Cyber Resilience Principles

ปัจจุบันภัยคุกคามทางไซเบอร์เพิ่มสูงขึ้น และส่งผลกระทบในวงกว้างกับธุรกิจทุกภาคส่วน ในปีที่ผ่านมา จะเห็นได้ว่ารูปแบบของ Cyber Threat มีปรับเปลี่ยนทั้งเพิ่มความซับซ้อนทางด้านเทคนิค มีผลรุนแรงมากขึ้นทั้งกระทบกับธุรกิจ และผู้ใช้บริการ ดังที่เห็นในหลายกรณีศึกษาเช่น Source Code Leak ที่เกิดบนการพัฒนาระบบบน Cloud, Ransomware Attack องค์กรใหญ่ ๆ, Customer Data Leak ที่เกิดจากการโจมตี Critical Vulnerability, และ SMS Phishing Attack ที่เกิดกับหลายองค์กรในช่วงระยะเวลาที่ผ่านมา ทั้งหมดเป็นข้อมูลยืนยันถึง บทบาทของเจ้าหน้าที่ด้านความปลอดภัยไซเบอร์ที่ต้องทำงานเชิงรุกมากขึ้นเพื่อพร้อมรับความท้าทายที่จะเกิด

จากกรณีศึกษาต่าง ๆ ที่ได้เป็นข่าวทางสื่อต่าง ๆ นั้น จะพบว่าภัยคุกคามทางไซเบอร์ที่เกิดขึ้น มักจะมีเหตุการณ์เกี่ยวกับข้อมูลรั่วไหล ข้อมูลสูญหาย หรือขโมยข้อมูล (Data Breach Loss or Theft) สูงที่สุด รองลงมาเป็นเหตุการณ์เกี่ยวกับการโจมตีของมัลแวร์ในรูปแบบอื่น ๆ ที่ไม่มุ่งเป้าไปที่ข้อมูล (Malicious Code Attack) ส่วนการเข้าถึงโดยไม่ได้รับอนุญาต (Unauthorized Access) การใช้งานไม่เหมาะสม การฉ้อโกง (Inappropriate Usage & Fraud) รวมไปถึงการใช้เทคนิคการหลอกลวง (Social Engineering) ก็ยังคงมีมาให้เห็นกันเป็นระยะ ๆ

จากเหตุการณ์ข้อมูลรั่วไหลทั่วโลก ได้มีการวิเคราะห์ถึงสาเหตุของการรั่วไหลของข้อมูล พบว่าสาเหตุหลักเกิดจากเจาะระบบซึ่งแบ่งประเภทของการ Threat Actor ดังนี้

1. เจาะระบบออกเป็นการเจาะระบบโดยตรงเพื่อขโมยข้อมูล
2. การเจาะระบบขโมยข้อมูลโดยใช้มัลแวร์เรียกค่าไถ่
3. ความผิดพลาดของระบบและการปรับแต่งระบบที่ผิดพลาดมีผลให้เป็นช่องทางเข้าถึงข้อมูลได้
4. ข้อมูลรั่วไหลจากบุคลากรภายในและองค์กรที่เป็น 3^rd party

สาเหตุที่องค์กรมักได้รับผลกระทบจากการถูกมัลแวร์เรียกค่าไถ่โจมตีมีหลายปัจจัย ดังเช่น

1. Awareness ผู้ใช้งานขาดความตระหนักถึงการเปิดอ่านอีเมล์มีมัลแวร์แนบมาด้วย
2. Protection ทางองค์กรขาดการรักษาความปลอดภัยทางอีเมล์ เช่นระบบกรองสแปมเมล์ หรือกรองมัลแวร์ผ่านทางอีเมล์
3. Privilege ผู้ใช้งานหลายคนมีสิทธิ์ของ Local admin หลังจากที่มัลแวร์ถูกติดตั้งในเครื่องคอมพิวเตอร์ของผู้ใช้งานที่มีสิทธิ์ที่สามารถเข้าถึงระบบสำคัญ ทำให้มัลแวร์สามารถแพร่กระจายไปยังเครื่องคอมพิวเตอร์และเซิร์ฟเวอร์อื่นๆที่สำคัญด้วยเช่นกัน
4. Backup องค์กรขาดการสำรองข้อมูลที่เหมาะสม เช่น นโยบาย รวมถึงสื่อที่ใช้ในการสำรอง การรักษาความปลอดภัยข้อมูลในระบบสำรอง และระยะเวลาการเก็บข้อมูล รอบการเก็บข้อมูล เทคโนโลยีที่ใช้ นอกจากนี้ในหลายองค์กรยังขาดการทดสอบกู้คืนข้อมูลที่ถูกสำรองไว้อีกด้วย

สิ่งแรกที่ทุกองค์กรควรพิจารณาคือการปรับแนวความคิดที่ว่า ความมั่นคงปลอดภัยไซเบอร์เป็นบทบาทความรับผิดชอบเชิงเทคนิคที่ให้ฝ่ายเทคโนโลยีสารสนเทศรับผิดชอบเท่านั้น ทั้งนี้การบริหารจัดการความเสี่ยงด้านไซเบอร์ควรเป็นส่วนหนึ่งของการบริหารจัดการความเสี่ยงในระดับองค์กรเพื่อที่องค์กรจะได้วางแผนการรับมือกับภัยไซเบอร์ให้สอดคล้องกับกลยุทธ์การดำเนินธุรกิจ ที่สำคัญคือ ไม่ควรยึดหลักการ One-Size-fits-All แต่ควรปรับให้เหมาะสมและสอดคล้องกับความซับซ้อนของแต่ละองค์กร เพื่อให้การบริหารจัดการแบบบูรณาการ โดยให้ฝ่ายงานต่าง ๆ ที่เกี่ยวข้องมีส่วนร่วมด้วยทุกฝ่าย

แนวทางการรักษาความปลอดภัยไซเบอร์ มีหลัก ๆ ดังนี้

1. ระบุความเสี่ยง (Identify)
2. วางกลไกการป้องกัน (Protection)
3. จัดให้มีระบบติดตาม (Detection)
4. เตรียมแนวทางการรับมือและเตรียมมาตรการกู้คืน (Response and Recovery)

ในบทความนี้ เดลล์ เทคโนโลยีส์ และ อินเทลคอร์ปอเรชัน จะมุ่งเน้นในส่วนของการรับมือกับมัลแวร์เรียกค่าไถ่ (Ransomware) ด้วยผลิตภันฑ์ Power Protect Cyber Recovery ซึ่งเป็นผลิตภัณฑ์ที่ถูกพัฒนามาจากพื้นฐานของการวางระบบรักษาความปลอดภัยซึ่งอ้างอิงมากจากสถาบัน National Institute of Standards and Technology (NIST) ที่มุ่งเน้นในการฟื้นฟูระบบจากการถูกคุกคามไซเบอร์ด้วยกับมัลแวร์เรียกค่าไถ่ (Ransomware โดยที่ Power Protect Cyber Recovery นั้น มีแนวทางในการรักษาความปลอดภัยของข้อมูลด้วยวิธีการดังนี้

1. Isolation air-gapped เป็นการรักษาความปลอดภัยอีกขั้นสำหรับระบบสำรองข้อมูล โดยที่ระบบสำรองข้อมูลเพื่อรับมือกับภัยคุกคามทางไซเบอร์นั้น จะมีการทำสำเนาข้อมูลจากระบบสำรองข้อมูลหลักมายังระบบสำรองข้อมูลเพื่อรองรับกรณีภัยคุกคามไซเบอร์ตามเงื่อนไขที่กำหนดแบบสุ่ม (randomized replicate schedule) โดยการทำสำเนาของข้อมูลที่จะเกิดขึ้นนั้นต้องได้รับคำสั่งจากระบบสำรองข้อมูลเพื่อรองรับกรณีภัยคุกคามไซเบอร์เท่านั้น
2. Immutability Copied ข้อมูลที่ถูกทำสำเนาไว้ในระบบสำรองข้อมูลเพื่อรองรับกรณีภัยคุกคามไซเบอร์ จะเป็นข้อมูลที่ไม่สามารถแก้ไขได้ก่อนระยะเวลาที่กำหนดไว้ ทั้งนี้ เพื่อความมั่นใจได้ว่า ไม่ว่าจะเกิดอะไรขึ้นจากจากแรนซัมแวร์หรือภัยคุกคามที่ซับซ้อนอื่นๆ องค์กรจะมีข้อมูลชุดที่สามารถนำกลับมากู้คืนระบบได้อย่างแน่นอน
3. Intelligence Analysis ด้วย CyberSense Machine Learning เพื่อเรียนรู้และตรวจสอบความถูกต้องข้อมูลอยู่ตลอดเวลา โดยอาศัย Artificial intelligence (AI) เข้ามาช่วยในการวิเคราะห์เพื่อตรวจสอบดูว่าข้อมูลมีความผิดปกติจากเดิมหรือไม่ โดยสามารถตรวจสอบความถูกต้องของข้อมูลได้สูงสุดถึง 99.5% อีกทั้งยังเป็นการการวิเคราะห์เชิงลึกในรูปแบบของ full content-based analysis ซึ่งจะแตกต่างจากเทคโนโลยีอื่น ๆ ที่จะทำการวิเคราะห์ความถูกต้องของข้อมูลจาก File Metadata เป็นหลัก ซึ่งอาจมีข้อผิดพลาด (Fault Positive) ได้สูงกว่าการวิเคราะห์แบบ full content-based analysis ซึ่งอาจส่งผลเมื่อต้องการกู้คืนขึ้นจริง อาจจะไม่ได้ข้อมูลที่ต้องการกลับมาเนื่องจาก Fault Positive ที่เกิดขึ้น

ทั้งนี้หาก CyberSense Machine Learning ตรวจสอบแล้วพบว่ามีความผิดปกติจะทำการแจ้งเตือนไปยังผู้ดูแลระบบ เพื่อให้ผู้ดูแลระบบทำการตรวจสอบและเร่งหาทางแก้ไขหรือฟื้นฟูระบบในลำดับถัดไป

นอกเหนือไปจากแนวทางในการรักษาความปลอดภัยของข้อมูลด้วยที่จัดเก็บอยู่ในระบบสำรองข้อมูลเพื่อรับมือภัยไซเบอร์ดังที่กล่าวมาแล้ว ในส่วนของอุปกรณ์จัดเก็บข้อมูล (PowerProtect DD) นั้น ยังมีกลไกการควบคุมการเข้าถึงเพื่อป้องกันการเข้าถึงข้อมูลสำรองในอุปกรณ์จัดเก็บข้อมูล (PowerProtect DD) โดยไม่ได้รับอนุญาต โดยให้สิทธิ์เฉพาะผู้ใช้ที่ได้รับมอบหมายบทบาทในฐานะผู้ดูแลระบบเท่านั้นที่ได้รับอนุญาตให้ทำการกำหนดค่า (Configure) และบริหารจัดการอุปกรณ์จัดเก็บข้อมูล (PowerProtect DD) ได้ นอกเหนือไปจากนี้ อุปกรณ์จัดเก็บข้อมูล (PowerProtect DD) ยังมีความสามารถในการเข้ารหัสข้อมูล การเข้ารหัสข้อมูลจะช่วยปกป้องข้อมูลที่จัดเก็บไว้จากการเข้าถึงที่ไม่ได้รับอนุญาต หากเกิดเหตุที่พยายามเข้าถึงข้อมูลจะต้องมีกุญแจถอดรหัสที่สร้างขึ้น อุปกรณ์จัดเก็บข้อมูล (PowerProtect DD) รองรับมาตรฐาน FIPS 140-2 Federal Information Processing Standard (FIPS) เป็นมาตรฐานและแนวทางสำหรับการประมวลผลข้อมูลที่อีกด้วย Power Protech Cyber Recovery จะช่วยสร้างความมั่นใจให้กับองค์กรได้ว่า เมื่อองค์กรต้องรับมือกับเหตุสุดวิสัยจากการถูกคุกคามไซเบอร์ จะสามารถฟื้นฟูระบบกลับมาได้อย่างรวดเร็ว เพื่อให้ส่งผลกระทบกับการดำเนินงานทางธุรกิจขององค์กรน้อยที่สุด

สำหรับอินเทลเองก็ให้ความสำคัญอย่างมาก และเน้นในเรื่อง นวัตกรรมการรักษาความปลอดภัยที่ระดับการแกนกลางของอินเทล การรักษาความปลอดภัยเป็นคุณสมบัติของระบบที่ฝังรากอยู่ในฮาร์ดแวร์ โดยทุกองค์ประกอบตั้งแต่ซอฟต์แวร์ไปจนถึงซิลิคอนมีบทบาทในการช่วยให้ข้อมูลปลอดภัยและรักษาความสมบูรณ์ของอุปกรณ์ อินเทลมีชุดเทคโนโลยีที่จะสร้างและดำเนินการตามกลยุทธ์การป้องกันในเชิงลึก ด้วยโซลูชันที่ครอบคลุมการตรวจจับภัยคุกคาม การปกป้องข้อมูล/เนื้อหา การป้องกันหน่วยความจำ และอื่นๆ

โซลูชันการรักษาความปลอดภัยของอินเทล ตอบสนองความท้าทายเฉพาะโดยเน้นที่ความสำคัญหลักสามประการ

• การรักษาความปลอดภัยพื้นฐาน: การป้องกันที่สำคัญเพื่อช่วยตรวจสอบความน่าเชื่อถือของอุปกรณ์และข้อมูล
• ภาระงานและการปกป้องข้อมูล: การดำเนินการที่เชื่อถือได้สำหรับการปกป้องข้อมูลที่แยกจากฮาร์ดแวร์
• ความน่าเชื่อถือของซอฟต์แวร์: แพลตฟอร์มที่ช่วยป้องกันภัยคุกคามความปลอดภัยทางไซเบอร์ต่างๆ

นวัตกรรมเหล่านี้ร่วมกันช่วยขับเคลื่อนวิสัยทัศน์ของเราสำหรับโลกที่มีการเข้ารหัสข้อมูลทั้งหมด

ข้อมูลอ้างอิง

https://www.dell.com/en-th/dt/data-protection/cyber-recovery-solution.htm

สนใจโซลูชัน Cyber Security Solutions ติดต่อขอข้อมูลเพิ่มเติมกับทีมงาน Dell Technologies ประจำประเทศไทย ได้ทันทีที่ อีเมล DellTechnologies@kkudos.com โทร 090-949-0823 (วศิน)