TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ภัยคุกคามในปัจจุบันมีการพัฒนาและก้าวหน้ามากขึ้นเรื่อยๆ ภัยคุกคามที่ไม่เคยพบมาก่อน หรือที่เรียกว่า Unknown Threats / Zero-day Attacks เป็นสิ่งที่ปรากฏอยู่ในหัวข้อข่าวบ่อยๆ หลายบริษัทยักษ์ใหม่มักตกเป็นเหยื่อ ต้องเผชิญกับความสูญเสียมหาศาล คำถามคือ เราจะสามารถป้องกัน Unknown Threats หรือ Zero-day Attacks ได้อย่างไร
Unknown Threat การโจมตีที่ไม่มีทางป้องกันได้
คำตอบคือ … “แทบเป็นไปไม่ได้เลย” เนื่องจากการโจมตีเหล่านั้นเป็นสิ่งที่ไม่เคยพบเห็นมาก่อน ทำให้ไม่สามารถทำ Rule สำหรับป้องกันบน Firewall หรือใช้ Signature บน IPS / Endpoint Protection หนึ่งในวิธีป้องกันที่ดีที่สุดคงเป็น User Behaviour Analytics หรือ Machine Learning ที่เรียนรู้พฤติกรรมของการใช้งาน ถ้าพบเห็นสิ่งที่ผิดปกติก็ให้ทำการแจ้งเตือนหรือกักกันสิ่งเหล่านั้นออกจากระบบ อย่างไรก็ตาม ก็ใช่ว่าวิธีดังกล่าวจะตรวจจับและป้องกัน Unknown Threats ได้ 100% หรือได้ทันก่อนที่จะทำอันตรายระบบ
Cyber Resilience การรับมือภัยคุกคามไซเบอร์
Information Security Forum (ISF) หน่วยงานอิสระที่มุ่งเน้นการพัฒนามาตรฐาน คู่มือแนะนำ และ Best Practices เชิงเทคนิคทางด้านความมั่นคงปลอดภัยของข้อมูล ได้ทำการแบ่งภัยคุกคามและวิธีรับมือออกเป็น 3 ขั้น ได้แก่
- ขั้นต้น Known CIA คือ ภัยคุกคามที่เป็นที่รู้จักที่ส่งผลกระทบต่อ CIA Triad ซึ่งประกอบด้วย Confidentiality, Integrity และ Availability การรับมือกับภัยคุกคามนี้เรียกว่า Information Security หรือความมั่นคงปลอดภัยข้อมูล
- ขั้นกลาง Known non-CIA คือ ภัยคุกคามที่เป็นที่รู้จักที่ส่งผลกระทบต่อระบบอื่นนอกเหนือจาก CIA Triad เช่น Authentication, Authorization การรับมือกับภัยคุกคามนี้เรียกว่า Cyber Security หรือความมั่นคงปลอดภัยไซเบอร์
- ขั้นสูง Unknown คือ ภัยคุกคามที่ไม่เคยพบมาก่อน ไม่สามารถทำนายได้ ไม่ชัดเจน หรือไม่คาดคิดมาก่อน เช่น การโจมตีแบบ Zero-day การรับมือกับภัยคุกคามนี้เรียกว่า Cyber Resillience
Cyber Resilience ค่อนข้างต่างจาก Information Security และ Cyber Security ตรงที่ไม่ใช่แนวคิดเรื่องการป้องกันภัยคุกคามไม่ให้เกิดขึ้น แต่เป็นการมี “ความคงทน” หรือ “ความยืดหยุ่น” ต่อการถูกโจมตี กล่าวคือ เมื่อถูกโจมตี ระบบจะต้องให้บริการเชิงธุรกิจต่อไปได้ และต้องสามารถตรวจจับการโจมตีได้อย่างรวดเร็ว สามารถบล็อกการโจมตี กักกันเครื่องที่ตกเป็นเหยื่อไม่ให้แพร่กระจายการโจมตีหรือมัลแวร์สู่ระบบอื่นๆ และจัดการคลีนให้เรียบร้อย เพื่อให้ระบบกลับมาทำงานได้สมบูรณ์เป็นเหมือนเดิม
ปรับตัวจาก Protective Security ไปเป็น Responsive Security
กล่าวโดยสรุป Cyber Resilience คือ แนวทางในการเตรียมความพร้อมเพื่อตรวจจับ (Detect) และตอบสนอง (React) ต่อการถูกบุกรุกโจมตีได้อย่างรวดเร็วและมีระบบ องค์กรจำเป็นต้องปรับตัวจาก “การป้องกัน (Protective Security)” แบบดั้งเดิมที่ทำอยู่ในปัจจุบัน ไปเป็น “การเตรียมความพร้อม (Responsive Security)” ให้พร้อมรับมือต่อภัยคุกคามที่ไม่เคยพบเห็นมาก่อน
เดี๋ยวตอนถัดไปจะเขียนลงรายละเอียดเรื่อง Responsive Security นะครับ
ที่มา: Information Security Forum
