Fortinet แนะ ถ้าระบบไม่มีการ Audit หรือทำ Pen Test ควรเริ่มทำทันที

fortinet_logo

ลองจินตนาการดูว่า…

คุณเป็นหัวหน้าฝ่าย IT อยู่ในบริษัทที่มีการติดตั้งไฟร์วอลล์และเซิฟเวอร์ทุกเครื่องมีการอัพเดทแพทช์เรียบร้อย เครื่องผู้ใช้งานมีการติดตั้งโปรแกรมป้องกันมัลแวร์ สแปม และฟิชชิ่ง .. Adobe Flash .. ไม่มีการใช้งานในบริษัท ระบบรักษาความปลอดภัยแบบ Role-based ก็ติดตั้งไปแล้วเมื่อ 3 ปีก่อน นอกจากนี้ ระบบ BYOD ก็อนุญาตให้เฉพาะเครื่องที่ติดตั้งโปรแกรมแอนตี้ไวรัสและถูกควบคุมโดยนโยบายรักษาความปลอดภัยอย่างเข้มงวด ฝ่าย IT ปฏิบัติงานตามแผนดูแลระบบความปลอดภัยทุกขั้นตอนอย่างเคร่งครัด … คงไม่มีระบบใดที่ยอดเยี่ยมไปกว่านี้อีกแล้ว

ความจริงอันแสนโหดร้าย

แต่ในความเป็นจริงนั้นต่างจากจินตนาการอย่างสิ้นเชิง บริษัทขนาดเล็กมักประสบปัญหาในการพัฒนาระบบรักษาความปลอดภัย รวมทั้งจ้างผู้เชี่ยวชาญมาดูแล หรือแม้แต่บริษัทขนาดใหญ่เอง บางทีก็ไม่สามรถระบุได้ว่าระบบหรือข้อมูลส่วนใดของตนเองที่จำเป็นต้องป้องกันอย่างเข้มงวด หลายบริษัทลงทุนเป็นจำนวนมหาศาลเพื่อติดตั้งฮาร์ดแวร์และซอฟต์แวร์รักษาความปลอดภัยอย่างไร้จุดหมายที่แน่ชัด โดยหวังว่าจะสามารถป้องกันระบบข้อมูลการเงิน ความลับของบริษัท และข้อมูลลูกค้าจากการถูกเจาะได้ทั้งหมด

คำถาม คือ ถ้าบริษัทขนาดใหญ่มีการติดตั้งระบบรักษาความปลอดภัยที่เหมาะสม ละจ้างวานบุคลากรที่มีคุณภาพมาดูแลระบบ ทำไมบริษัทเหล่านั้นยังคงถูกเจาะ ??

คำตอบที่ง่ายที่สุด คือ ระบบของบริษัทโดยทั่วไปแล้วมีการขยายตัว และเพิ่มความสลับซับซ้อนขึ้นเรื่อยๆ ส่งผลให้อาจจะพลาดในการระบุช่องโหว่ที่แอบซ่อนอยู่ในระบบ ไม่ว่าจะเป็นการกำหนดกฏของไฟร์วอลล์ผิดพลาด การตั้งค่า Wi-Fi Access Point ไม่ปลอดภัย หรือพนักงานใหม่เผลอกดลิงค์ผิด เป็นลิงค์ฟิชชิ่ง หรือไวรัสดาวน์โหลดมาติดตั้งบนเครื่อง ส่งผลให้แฮ็คเกอร์มีช่องทางในการเจาะระบบเข้ามาได้

มีบริษัทเพียง 33% เท่านั้น ที่ทดสอบระบบรักษาความปลอดภัยอย่างครบถ้วน

เพื่อเป็นแนวทางในการดูแลระบบและข้อมูลของบริษัทให้ปลอดภัย ข้อกำหนดและมาตรฐานต่างๆจึงถูกคิดค้นขึ้น เช่น PCI-DSS ที่ระบุรายการความต้องการด้านความปลอดภัยสำหรับการรับส่งข้อมูล จัดเก็บ และประมวลผลข้อมูลบัตรเครดิต สำหรับให้ร้านค้าขนาดเล็กจนไปถึงหน่วยงานรัฐปฏิบัติตามเพื่อให้ผู้ใช้บริการมั่นใจได้ว่า ข้อมูลบัตรเครดิตของตนเองมีความปลอดภัย ตารางด้านล่างแสดงข้อกำหนดของ PCI-DSS 12 ข้อ โดย PCI Security Standards Council

pci-dss_requirements

รายการที่ 11 ระบุว่า “Regularly test security systems and processes” หรือก็คือ หมั่นทดสอบความปลอดภัยของระบบและการประมวลผลต่างๆ ซึ่งการทดสอบนี้ก็ชัดเจนว่ามีเป้าหมายเพื่อค้นหาช่องโหว่ที่อาจเปิดทางให้อาชญากรบนโลกไซเบอร์เจาะระบบเข้ามาได้

จากรายงานข้อกำหนด PCI ของ Verizon ประจำปี 2015 พบว่าในปี 2014 ที่ผ่านมา หลายบริษัทมีการตื่นตัวเรื่องการพัฒนาระบบรักษาความปลอดภัยให้ผ่านตามข้อกำหนด PCI-DSS ทั้ง 12 ข้อมากยิ่งขึ้นเมื่อเทียบกับปี 2013 ยกเว้นแค่ข้อ 11 เท่านั้น มีเพียง 33% ของบริษัททั้งหมดเท่านั้น ที่มีการทดสอบระบบรักษาความปลอดภัยอย่างถูกต้องครบถ้วน

pci_assessment_2015_1

ผลลัพธ์สุดท้าย คือ หลายบริษัทปล่อยให้ระบบของตนเองมีช่องโหว่ และโดยส่วนใหญ่ บริษัทเหล่านั้นมักไม่มีการทำตรวจสอบหรือ Audit ระบบของตนเองเนื่องจากต้องลงทุนสูงและสิ้นเปลืองเวลาเป็นอย่างมาก บริษัทขนาดเล็กเองก็ไม่มีงบประมาณเพียงพอที่จะติดตั้งระบบตรวจสอบ นอกจากนี้ ในรายงานยังระบุอีกว่า ช่องโหว่หลายรายการสามารถค้นพบจากการสแกนช่องโหว่ตามรายการที่ 11 เพียงอย่างเดียว ซึ่งรายการที่ 11 เป็นความต้องการพื้นฐานที่ทำให้มั่นใจได้ว่าบริษัทมีความพร้อมต่อการถูกโจมตีหลากหลายรูปแบบ ระหว่างการตรวจสอบการเจาะระบบในช่วงครึ่งหลัง พบว่ามีบริษัทที่ผ่านข้อกำหนดเพียง 9% เท่านั้น

ทดสอบ – ติดตามผล – ตรวจสอบผล

แนวคิดในการแก้ปัญหาช่องโหว่นั่นง่ายมา คือ ทดสอบ ติดตามผล ตรวจสอบผล และทดสอบใหม่อีกครั้ง ไปเรื่อยๆ ว่าจ้างนักทดสอบเจาะระบบและนักตรวจสอบ (Auditor) มืออาชีพนับว่าเป็นความคิดที่ดี แต่วิธีการนี้จำเป็นต้องลงทุนสูง ไม่ว่าจะเป็นด้านการเงิน หรือด้านบุคลากร ซึ่งหลายบริษัทอาจจะไม่มีงบประมาณเพียงพอ

ความสามารถในการปกป้องข้อมูลของลูกค้า และทรัพย์สินทางปัญญาของบริษัทไม่ได้เป็นสิ่งจำเป็นทางกฏหมาย แต่เป็นสิ่งที่ทำให้บริษัทเหนือกว่าคู่แข่ง ถึงแม้ว่าบริษัทจะมีการติดตั้งระบบรักษาความปลอดภัยที่ยอดเยี่ยมและทันสมัยที่สุด การทดสอบระบบและตรวจสอบระบบสม่ำเสมอก็นับว่าเป็นสิ่งสำคัญไม่แพ้กัน แผนความปลอดภัยที่ไม่มีการทดสอบและตรวจสอบระบบก็จะไม่ถูกนับว่าเป็นแผนที่สมบูรณ์พร้อม

ที่มา: http://blog.fortinet.com/post/if-you-re-not-being-audited-and-pen-tested-you-should-be

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Intel แยก Intel Capital เป็นหน่วยงานอิสระ เดินหน้าเปลี่ยนโครงสร้างเพื่อฟื้นฟูกิจการ

Intel ประกาศในวันนี้ว่าหน่วยงานลงทุนของบริษัท Intel Capital จะถูกแยกออกเป็นหน่วยงานอิสระ ซึ่งเป็นความเคลื่อนไหวล่าสุดในความพยายามเปลี่ยนแปลงโครงสร้างองค์กรในช่วงที่บริษัทกำลังพยายามฟื้นฟูสถานะของตน โดยการแยกตัวเป็นกองทุนที่ดำเนินงานอย่างอิสระจะทำให้ Intel Capital สามารถระดมทุนจากนักลงทุนภายนอกได้ แทนที่การพึ่งพาทุนทั้งหมดจาก Intel เพียงแหล่งเดียวในปัจจุบัน

AWS เปิดตัว Mexico(Central) Region

AWS ได้ประกาศเปิดตัว Mexico Region ซึ่งทำให้มีฐานคลาวด์เป็นแห่งที่ 36 ในโลกแล้ว ซึ่งประกอบไปด้วย 114 Availability Zones