Cyber Resilience แนวคิดสำหรับรับมือกับ Unknown Threats

ภัยคุกคามในปัจจุบันมีการพัฒนาและก้าวหน้ามากขึ้นเรื่อยๆ ภัยคุกคามที่ไม่เคยพบมาก่อน หรือที่เรียกว่า Unknown Threats / Zero-day Attacks เป็นสิ่งที่ปรากฏอยู่ในหัวข้อข่าวบ่อยๆ หลายบริษัทยักษ์ใหม่มักตกเป็นเหยื่อ ต้องเผชิญกับความสูญเสียมหาศาล คำถามคือ เราจะสามารถป้องกัน Unknown Threats หรือ Zero-day Attacks ได้อย่างไร

Unknown Threat การโจมตีที่ไม่มีทางป้องกันได้

คำตอบคือ … “แทบเป็นไปไม่ได้เลย” เนื่องจากการโจมตีเหล่านั้นเป็นสิ่งที่ไม่เคยพบเห็นมาก่อน ทำให้ไม่สามารถทำ Rule สำหรับป้องกันบน Firewall หรือใช้ Signature บน IPS / Endpoint Protection หนึ่งในวิธีป้องกันที่ดีที่สุดคงเป็น User Behaviour Analytics หรือ Machine Learning ที่เรียนรู้พฤติกรรมของการใช้งาน ถ้าพบเห็นสิ่งที่ผิดปกติก็ให้ทำการแจ้งเตือนหรือกักกันสิ่งเหล่านั้นออกจากระบบ อย่างไรก็ตาม ก็ใช่ว่าวิธีดังกล่าวจะตรวจจับและป้องกัน Unknown Threats ได้ 100% หรือได้ทันก่อนที่จะทำอันตรายระบบ

Credit: Brian Rinker
Credit: Brian Rinker

Cyber Resilience การรับมือภัยคุกคามไซเบอร์

Information Security Forum (ISF) หน่วยงานอิสระที่มุ่งเน้นการพัฒนามาตรฐาน คู่มือแนะนำ และ Best Practices เชิงเทคนิคทางด้านความมั่นคงปลอดภัยของข้อมูล ได้ทำการแบ่งภัยคุกคามและวิธีรับมือออกเป็น 3 ขั้น ได้แก่

  • ขั้นต้น Known CIA คือ ภัยคุกคามที่เป็นที่รู้จักที่ส่งผลกระทบต่อ CIA Triad ซึ่งประกอบด้วย Confidentiality, Integrity และ Availability การรับมือกับภัยคุกคามนี้เรียกว่า Information Security หรือความมั่นคงปลอดภัยข้อมูล
  • ขั้นกลาง Known non-CIA คือ ภัยคุกคามที่เป็นที่รู้จักที่ส่งผลกระทบต่อระบบอื่นนอกเหนือจาก CIA Triad เช่น Authentication, Authorization การรับมือกับภัยคุกคามนี้เรียกว่า Cyber Security หรือความมั่นคงปลอดภัยไซเบอร์
  • ขั้นสูง Unknown คือ ภัยคุกคามที่ไม่เคยพบมาก่อน ไม่สามารถทำนายได้ ไม่ชัดเจน หรือไม่คาดคิดมาก่อน เช่น การโจมตีแบบ Zero-day การรับมือกับภัยคุกคามนี้เรียกว่า Cyber Resillience

isf_cyber_security_model

Cyber Resilience ค่อนข้างต่างจาก Information Security และ Cyber Security ตรงที่ไม่ใช่แนวคิดเรื่องการป้องกันภัยคุกคามไม่ให้เกิดขึ้น แต่เป็นการมี “ความคงทน” หรือ “ความยืดหยุ่น” ต่อการถูกโจมตี กล่าวคือ เมื่อถูกโจมตี ระบบจะต้องให้บริการเชิงธุรกิจต่อไปได้ และต้องสามารถตรวจจับการโจมตีได้อย่างรวดเร็ว สามารถบล็อกการโจมตี กักกันเครื่องที่ตกเป็นเหยื่อไม่ให้แพร่กระจายการโจมตีหรือมัลแวร์สู่ระบบอื่นๆ และจัดการคลีนให้เรียบร้อย เพื่อให้ระบบกลับมาทำงานได้สมบูรณ์เป็นเหมือนเดิม

ปรับตัวจาก Protective Security ไปเป็น Responsive Security

กล่าวโดยสรุป Cyber Resilience คือ แนวทางในการเตรียมความพร้อมเพื่อตรวจจับ (Detect) และตอบสนอง (React) ต่อการถูกบุกรุกโจมตีได้อย่างรวดเร็วและมีระบบ องค์กรจำเป็นต้องปรับตัวจาก “การป้องกัน (Protective Security)” แบบดั้งเดิมที่ทำอยู่ในปัจจุบัน ไปเป็น “การเตรียมความพร้อม (Responsive Security)” ให้พร้อมรับมือต่อภัยคุกคามที่ไม่เคยพบเห็นมาก่อน

เดี๋ยวตอนถัดไปจะเขียนลงรายละเอียดเรื่อง Responsive Security นะครับ

ที่มา: Information Security Forum


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Gartner ออก Magic Quadrant ด้าน SD-WAN ผล VMware, Silver Peak ครองผู้นำ

Gartner บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน WAN Edge Infrastructure หรือที่รู้จักกันในนามโซลูชัน SD-WAN ฉบับล่าสุดประจำปี 2019 ผลปรากฏว่า VMware …

รายงานจาก Microsoft ชี้ตรวจพบ Malware, Ransomware และ Cryptominer ลดลงในปี 2019

ถ้าถามว่าใครจะมีข้อมูลของผู้ใช้งาน Windows มากที่สุด คงเถียงไม่ได้ว่าน่าจะเป็น Microsoft เนื่องจากเป็นเจ้าของ OS ซึ่งจากรายงานของปีนี้พบว่าภัยคุกคามประเภท Malware, Ransomware และ Cryptominer น้อยลงกว่ามีก่อน