สรุปงานสัมมนาออนไลน์ Hackuity “การบริหารจัดการช่องโหว่ตามความเสี่ยง – เป็นแนวทางที่มีประสิทธิภาพสำหรับการรักษาความมั่นคงปลอดภัยไซเบอร์ในปัจจุบันหรือไม่?”

องค์กรจัดทำสถิติส่วนใหญ่เผยผลลัพธ์ที่บ่งชี้ไปในทางเดียวกันว่าปริมาณของช่องโหว่มีแนวโน้มเพิ่มขึ้นทุกปี อย่างไรก็ดีแม้จะมีองค์กรกลางที่ช่วยรวบรวมและให้คะแนนช่องโหว่เหล่านั้น แต่เป็นไปได้แค่ไหนที่องค์กรจะสามารถแก้ไขช่องโหว่ที่ปรากฏในระบบของตนได้ครบจริงๆ และคำแนะนำเหล่านั้นสามารถชี้วัดได้ถึงความรุนแรงในแต่ละองค์กรที่มีสภาพแวดล้อมต่างกันได้ดีเพียงใด

ด้วยเหตุนี้เองจึงเป็นที่มาของงานสัมมนาออนไลน์เมื่อวันที่ 16 มีนาคม 2566 ที่ผ่านมา โดยทีมงาน Hackuity จึงได้มาบรรยายเกี่ยวกับแนวคิดของ Risk-based management ว่าเป็นอย่างไร สำหรับใครที่พลาดเข้าร่วมงาน ทีมงาน TechTalkThai ได้สรุปสาระสำคัญของงานมาให้ได้ติดตามกันอีกครั้งครับ

สถานการณ์ความเสี่ยงขององค์กรในปัจจุบัน

มีสถิติมากมายเกี่ยวกับช่องโหว่ในแต่ละปีเช่น

• ในปี 2022 มีช่องโหว่เกิดขึ้นราว 25,059 รายการ (อ้างอิงจาก CVE) ซึ่งหมายความว่าในทุกชั่วโมงมีช่องโหว่ใหม่ปรากฏตัวขึ้น 2 รายการและราว 70 รายการต่อวัน
• 60% ของเหตุการณ์ถูกโจมตีล้วนแล้วแต่เกิดจากช่องโหว่เก่า (Known) แต่ไม่ได้รับการแพตช์ อีกทั้งยังพบว่าองค์กรใช้เวลานานกว่าจะตรวจพบการโจมตีด้วย
• 77% ขององค์กรไม่มีทรัพยากรมากพอในการติดตามและแก้ไขทุกช่องโหว่ให้หมดไป

อย่างไรก็ดีทุกสถิติล้วนแล้วแต่ชี้เป้าไปในทิศทางเดียวกันก็คือปริมาณที่เพิ่มขึ้นเรื่อยๆ ยิ่งเมื่อประกอบกับข้อกฏหมายเช่น PDPA ทำให้องค์กรจำเป็นต้องหันกลับมาใส่ใจกับเรื่องเหล่านี้ให้มากขึ้น เพราะมีบทลงโทษทางกฏหมายรวมอยู่ด้วยหากถูกขโมยข้อมูล จากเดิมธุรกิจก็เสียหายอยู่แล้ว ทั้งนี้เมื่อวิเคราะห์เข้าไปถึงกระบวนการภายในขององค์กร สิ่งที่น่าตกใจคือค่าเฉลี่ยที่ระบุว่าแต่ละองค์กรใช้งานเครื่องมือด้านความมั่นคงปลอดภัยถึง 76 ชิ้น นั่นหมายถึงความซับซ้อนจากเครื่องมือที่หลากหลาย

ไม่เพียงเท่านั้นในโลกดิจิทัลที่กว้างไกลมากยิ่งขึ้น องค์กรยังมีการปฏิบัติการโดยไม่บูรณาการร่วมกัน (Silo) ทำให้อีกเหตุปัจจัยที่นำไปสู่ความเสี่ยงจึงไม่ได้อยู่ที่แค่ตัว CVE เอง แต่ยังรวมไปถึงความอ่อนแอของระบบที่มีด้วยเนื่องจากความซับซ้อนหรือ Common Weakness Vulnerability(CWE) เช่น ความผิดพลาดในการใช้รหัสผ่าน เป็นต้น ทำให้การคำนวณ CVSS เพียงอย่างเดียวจึงไม่เพียงพอต่อการทำ Risk Rating 

ในแนวทางการจัดลำดับความเสี่ยงขององค์กร มาตรฐานที่ชัดเจนแม่นยำเป็นเพียงส่วนหนึ่งในภาพใหญ่ของแผนการเท่านั้น เพราะในการปฏิบัติจริงเมื่อทราบความสำคัญแล้วยังต้องผลักดันให้การแก้ไขเข้าเป็นส่วนหนึ่งของ Workflow ให้ได้ ซึ่งเครื่องมือที่ดีอย่าง Hackuity จะช่วยให้กระบวนการเหล่านี้เกิดขึ้นอย่างอัตโนมัติ

“ภารกิจของ Hackuity คือฉายภาพให้องค์กรมองเห็นความสำคัญและผลกระทบที่แท้จริง ในขณะที่ระบบของคุณตกอยู่ท่ามกลางความโกลาหลจากภัยมากมาย“

Hackuity : True Risk Scoring (TPS)

ไอเดียสิ่งที่ Hackuity นำเสนอคือการเป็นแพลตฟอร์มกลางเพื่อรวบรวมข้อมูลจากแหล่งต่างๆ และประมวลผลเป็นคะแนนที่สามารถวัดผลได้อย่างแม่นยำเหมาะสมกับสิ่งที่องค์กรใช้งานจริง อีกทั้งยังมีความสามารถในการส่งต่อข้อมูลให้เกิดการตอบสนองได้ ซึ่งทั้งระบบเป็นกิจกรรมที่เกิดขึ้นได้อย่างอัตโนมัติ โดยการเชื่อมต่อกับ Third-party ต่างๆทำได้ผ่านสิ่งที่เรียกกว่า Connector ที่ใช้ API เช่น บริการ AWS, Crowdstrike, Burpsuite, Nessus และอื่นๆ

จากภาพจะเห็นได้ว่าฝั่งซ้ายมือท่านสามารถรับข้อมูลจากเครื่องมือสแกนช่องโหว่ เครื่องมือประเมินโปรแกรม ผลทดสอบจากเครื่องมือของทีมเจาะระบบ รวมถึงคะแนะอื่นๆ เมื่อได้ข้อมูลมาแล้วจะนำมารวมกับฐานข้อมูลภัยคุกคามความรุนแรง ความบ่อยครั้ง หรือปัจจัยอื่น แต่สุดท้ายแล้วระบบจะวิเคราะห์ควบคู่ไปกับการใช้งานขององค์กรด้วย เช่น ช่องโหว่ A ที่เกิดขึ้นกับ non-production อาจไม่น่ากังวลเท่ากับระบบ Production เป็นต้น จากนั้นท่านสามารถ Integrate เข้ากับ Workflow การทำงานอื่น เช่น เปิดเคสผ่าน ITSM หรือ ส่งต่อให้ทีม SOC ต่อไป

ปัญหาสำคัญของระบบประเมินช่องโหว่ก็คือการพบช่องโหว่จำนวนมากแต่ไม่สามารถลำดับงานได้ว่าสิ่งไหนต้องทำก่อน ตามที่องค์กรใช้งาน โดยจากภาพด้านล่างท่านจะสังเกตได้ว่า Finding มีมากกว่า 44,000 รายการ ทั้งนี้หากเรายึดเพียงแค่ CVE จะมีเพียง 4,500 รายการเท่านั้น นั่นพิสูจน์ได้ว่า CVE ไม่ใช่ปัจจัยเดียวของความเสี่ยง โดย Hackuity ได้แสดงให้เห็นว่าเมื่อคำนวณความเกี่ยวข้องที่กระทบกับองค์กรจริงๆแล้วสินทรัพย์ที่สำคัญลดลงจาก 427 รายการเหลือเพียง 13 รายการและจากช่องโหว่นับพันกลับเหลือเพียงไม่ถึงร้อยรายการ นี่คือจุดเด่นที่ทำให้องค์กรสามารถดำเนินกลยุทธ์การป้องกันได้อย่างตรงจุด

อย่างที่ทราบแล้วว่าการทราบเพียงแค่ความสำคัญเป็นส่วนที่จำเป็นแต่ไม่ใช่ทั้งหมดที่องค์กรควรมีในกลยุทธ์ ในแง่ของการบริหารจัดการช่องโหว่เครื่องมือ Hackuity ยังช่วยเพิ่มประสิทธิภาพให้ผู้ดูแลทำงานได้ง่าย เช่น กรณีของการ Assign ช่องโหว่ให้แก่ผู้รับผิดชอบที่เกี่ยวข้อง ซึ่งการทำโปรไฟล์เช่นนี้จะช่วยให้ท่านสามารถติดตามงานได้ว่ามีความคืบหน้าเป็นอย่างไร ถูกแก้ไขแล้ว หรือมีกำหนดแก้ไขภายในระยะเวลาเท่าไหร่ ซึ่งอันที่จริงแล้วในช่วงสาธิตการใช้งานเรายังได้เห็นความสะดวกอีกมากมาย ตัวอย่างเช่น การติดตามช่องโหว่ตามแต่ละหน่วยธุรกิจ หรือไซต์ของสำนักงานเป็นต้น 

ภายในแพลตฟอร์มของ Hackuity ยังได้มอบความสามารถ Visibility ให้แก่องค์กรอย่างเต็มเปี่ยม เช่น เจาะลึกไปได้ว่าแต่ละ Asset เชื่อมโยงกับช่องโหว่รายการใดได้ข้อมูลมาจากเครื่องมืออะไร รันอยู่บนระบบปฏิบัติการไหน เป็นสินทรัพย์ประเภทใดและอื่นๆอีกมากมาย ตลอดจนสร้างกลไกอัตโนมัติผ่านเครื่องมือ Playbook ที่ให้ท่านสร้าง Workflow การทำงานได้อย่างครอบคลุม แต่ไม่ว่าการครอบคลุมจะมากเพียงใด Hackuity เข้าใจดีว่าเกณฑ์ของ TPS กลางไม่อาจตอบโจทย์ของการทำงานทั้งโลกได้ ด้วยเหตุนี้ในแพลตฟอร์มยังเปิดโอกาสให้ท่านสามารถคอนฟิคปัจจัยสำหรับการพิจารณา TPS ได้สอดคล้องกับการใช้งานสินทรัพย์ในองค์กร

และนี่คือทั้งหมดของงานสัมมนาออนไลน์ในครั้งนี้สนใจชมคลิปวีดีโอย้อนหลังได้ที่

สำหรับผู้สนใจในโซลูชันจาก Hackuity สามารถติดต่อทีมงานได้ผ่านทางอีเมล pkhaonongbua@hackuity.io or visit www.hackuity.io