สัปดาห์ที่ผ่านมา ทีมงาน TechTalkThai มีโอกาสได้รับเชิญไปสัมภาษณ์คุณ Diana Kelly, Executive Security Advisor ของ IBM Security เกี่ยวกับประเด็นเรื่อง Cyber Security และวิธีการรับมือกับภัยคุกคามรูปแบบใหม่ๆ ที่นับวันจะยิ่งทวีความรุนแรงขึ้นเรื่อยๆ บทความนี้จึงได้สรุปเนื้อหาบทสัมภาษณ์เพื่อให้ทุกคนได้นำไปใช้เป็นไอเดียในการพัฒนาระบบความมั่นคงปลอดภัยของตนให้ดียิ่งขึ้น
0. ขอเชิญแนะนำตัวเองสักเล็กน้อยครับ
สวัสดีค่ะ ดิฉัน Diana Kelly เป็น Executive Security Advisor ของ IBM Security ค่ะ อยู่ในวงการด้าน IT Security มายาวนานกว่า 25 ปี ปัจจุบันนี้ดำรงตำแหน่งเป็นที่ปรึกษาระดับสูงด้าน Cyber Security และเป็นผู้คอยให้คำแนะนำแก่ CISO รวมถึงเป็นผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยค่ะ ดิฉันยังมีส่วนร่วมในการทำงานร่วมกับทีมบริหารจัดการผลิตภัณฑ์ของ IBM Security เพื่อช่วยกำหนดกลยุทธ์ วิสัยทัศน์ และแนวทางสำหรับพัฒนาโซลูชันให้สามารถรับมือกับภัยคุกคามในปัจจุบันได้อย่างมีประสิทธิภาพค่ะ
หัวข้อด้าน Cyber Security ที่ดิฉันสนใจ ได้แก่ Compliance & Risk, Mobile & Cloud Security, Secure SDLC, Application Testing, Security Analytics และ Security Intelligence ค่ะ
เกี่ยวกับสถานการณ์ด้าน Cyber Security ในปัจจุบัน
1. หลายองค์กรในปัจจุบันมีการวางระบบรักษาความมั่นคงปลอดภัยที่ทันสมัย ไม่ว่าจะเป็น NGFW, NGIPS หรือ Endpoint Protection ซึ่งระบบเหล่านี้ก็สามารถใช้ป้องกัน Known Threats ได้เป็นอย่างดี แล้วในกรณีถ้าเป็น Unknown Threats หรือ Zero-day Exploits ล่ะ เราจะจัดการกับมันได้อย่างไร
สิ่งที่ช่วยป้องกัน Unknown Threats และ Zero-day Exploits ได้ดีที่สุดในปัจจุบันคือระบบ Security Intelligence ค่ะ ซึ่งเป็นระบบที่รวบรวบข้อมูลเหตุการณ์ที่เกิดขึ้นบนระบบของเราทั้งหมด ไม่ว่าจะเป็นแอพพลิเคชัน เซิร์ฟเวอร์ อุปกรณ์เน็ตเวิร์ค อุปกรณ์รักษาความมั่นคงปลอดภัย และอุปกรณ์อื่นๆ ทั้งหมด เพื่อนำข้อมูลเหล่านั้นมาวิเคราะห์เชื่อมโยง หาความสัมพันธ์ เพื่อตรวจสอบและค้นหาเหตุการณ์ที่ผิดปกติที่อาจก่อให้เกิดความเสี่ยงต่อองค์กรของเรา แต่ดิฉันคิดว่าเพียงเท่านี้ยังไม่ถือว่าเป็นระบบอัจฉริยะโดยแท้จริง ระบบ Security Intelligence ที่ดีจำเป็นต้องมีการรวบรวมและแชร์ข้อมูลภัยคุกคามจากทั่วทุกมุมโลก กลายเป็นเครือข่ายอัจฉริยะขนาดใหญ่ เพื่อให้มั่นใจได้ว่าเมื่อมีภัยคุกคามลักษณะใหม่ๆ เกิดขึ้น ทุกองค์กรจะถูกแจ้งเตือนและสามารถรับมือกับภัยคุกคามเหล่านั้นได้อย่างรวดเร็ว
ยกตัวอย่างระบบของ IBM เอง ก็จะมี QRadar SIEM เป็นศูนย์กลางของ Security Intelligence ที่คอยรวบรวม วิเคราะห์ข้อมูล และเฝ้าระวังเหตุการณ์ผิดปกติที่เกิดขึ้นบนระบบขององค์กร และเรายังมี X-Force Exchange ซึ่งเป็นระบบ Threat Intelligence ที่รวบรวมข้อมูลช่องโหว่ขนาดใหญ่และสมบูรณ์ที่สุด ทีมนักวิจัยของเราจะคอยเฝ้าระวังและวิเคราะห์ภัยคุกคามรูปแบบใหม่ๆ จากทั่วทุกมุมโลก แล้วส่งข้อมูลมาอัพเดทให้ QRadar SIEM ตลอดเวลา เพื่อให้ IBM ที่มีสาขาและศูนย์ Data Center ทั่วโลกสามารถรับมือกับภัยคุกคามเหล่านั้นได้ทันท่วงทีค่ะ
นอกจากนี้ X-Force Exchange ยังเป็น Community ที่เปิดให้ทุกคนสามารถเข้าร่วมเพื่อแลกเปลี่ยนข้อมูลภัยคุกคามได้ฟรี เป็นการสนับสนุนให้ทุกองค์กรตื่นตัวในเรื่องความมั่นคงปลอดภัย และรู้เท่าทันอาชญากรไซเบอร์ที่นับวันจะสรรหาวิธีแปลกใหม่เข้ามาโจมตีระบบเครือข่าย
2. เบื้องหลังของ Security Intelligence มีเทคโนโลยีหรือกระบวนการใดอยู่เบื้องหลัง และสิ่งเหล่านี้ช่วยให้ระบุและตรวจจับ Unknown Threats ได้อย่างไร
ขอยกตัวอย่างต่อเนื่องมาจากระบบของ IBM ที่เล่าให้ฟังไปนะคะ เบื้องหลังของระบบ Security Intelligence ของเราจะแบ่งออกเป็น 2 ส่วนหลัก คือ ระบบ Security Intelligence ที่เสมือนเป็นระบบภูมิต้านทานขององค์กร และระบบ Threat Intelligence ที่แบ่งปันข้อมูลภัยคุกคามรูปแบบใหม่ๆ ไปทั่วโลก
อย่างที่กล่าวไปนะคะ Security Intelligence เสมือนเป็นระบบภูมิคุ้มกันขององค์กร ต่อให้เรามีอุปกรณ์รักษาความมั่นคงปลอดภัย เช่น NGFW, NGIPS, Network Monitoring, ระบบ Forensics และอื่นๆ มากมายแค่ไหน แต่ถ้าแต่ละระบบทำงานแยกขาดออกจากกัน ไม่สื่อสารหากัน ย่อมทำให้ไม่สามารถแสดงประสิทธิภาพได้อย่างเต็มที่ เราจำเป็นต้องมีศูนย์กลาง (ในที่นี้คือ QRadar SIEM) ในการวิเคราะห์และควบคุมการทำงานของระบบความมั่นคงปลอดภัยทั้งหมด รวมถึงมีการทำ Machine Learning และ Behavior Analytics เพื่อช่วยเหลือผู้ดูแลระบบให้สามารถตรวจจับความผิดปกติที่เกิดจาก Unknown Threats บนระบบได้อย่างรวดเร็วและแม่นยำค่ะ ดังนั้นแล้ว ความสำคัญของ Security Intelligence ก็คือ ทำอย่างไรให้อุปกรณ์และแอพพลิเคชันทุกอย่างในระบบของเราสามารถแลกเปลี่ยนข้อมูลหากันได้ และสามารถทำงานอย่างเป็นหนึ่งเดียวกัน
ในส่วนของ X-Force Exchange ซึ่งเป็นระบบ Threat Intelligence เอง เราก็มีทีมนักวิจัยที่คอยวิเคราะห์และตรวจสอบพฤติกรรมบนระบบเครือข่ายจากทั่วทุกมุมโลกอยู่ค่ะ ไม่ว่าจะเป็นการค้นหามัลแวร์รูปแบบใหม่ๆ หรือการติดตามความเคลื่อนไหวใน Dark Web เพื่อให้มั่นใจได้ว่า ทุกคนในเครือข่าย Threat Intelligence ของเราจะได้รับข้อมูลแนวโน้มภัยคุกคามล่าสุดอยู่เสมอ Unknown Threats ที่ได้เจอครั้งหนึ่งแล้วจะไม่มีทางทำอันตรายระบบ Security Intelligence ที่มี X-Force Exchange สนับสนุนได้อีกต่อไป
3. คน กระบวนการ และเทคโนโลยีต่างเป็นองค์ประกอบสำคัญของ Cyber Security จนถึงตอนนี้ ทั้งกระบวนการและเทคโนโลยีต่างถูกพัฒนาเพื่อให้สามารถรับมือกับภัยคุกคามได้อย่างเยี่ยมยอด แต่ผู้เชี่ยวชาญหลายคนมองว่า “คน” เป็นจุดอ่อนที่สำคัญที่สุด ไม่ทราบว่าคุณ Diana มีความเห็นในเรื่องนี้อย่างไร และเราสามารถช่วยให้คนที่ไม่ใช่ผู้เชี่ยวชาญด้าน IT ตระหนักรู้ถึงความสำคัญของ Cyber Security ได้อย่างไร
ดิฉันค่อนข้างมองตรงกันข้ามนะคะ บางคนอาจเห็นว่า “คน” เป็นจุดอ่อนที่สำคัญที่สุด เนื่องจากการเจาะระบบมักมีสาเหตุมาจากบุคคลทั่วไปที่ไม่ใช่สาย IT ถูกหลอก (Social Engineering) หรือถูกโจมตีโดยที่เขาไม่รู้ตัว แต่ “คน” สำหรับดิฉันแล้ว อาจกลายเป็นจุดแข็งที่สุดในการรับมือกับภัยคุกคามก็ได้ เนื่องจากถ้าทำให้คนเหล่านั้นทราบว่ามีสิ่งผิดปกติเกิดขึ้น พวกเขาจะกลายเป็นกระบอกเสียงที่แจ้งเตือนผู้ดูแลระบบให้ทราบถึงเหตุผิดปกติได้เร็วกว่าระบบ Incident-Response ใดๆ ที่มีอยู่เลยค่ะ
การจะทำให้คนทราบถึงสิ่งผิดปกติ หรือรู้ตัวว่ากำลังถูกโจมตีอยู่สามารถทำได้โดยการสร้างความตระหนักรู้เรื่อง Cyber Security ค่ะ ไม่ว่าจะเป็นการอบรมพนักงานในองค์กร หรือการซ้อมร้บมือกับภัยคุกคามรูปแบบต่างๆ เพื่อให้พวกเขาสามารถปฏิบัติตามขั้นตอนและแจ้งเตือนผู้ดูแลระบบเมื่อเกิดสิ่งผิดปกติขึ้นได้อย่างถูกวิธีและรวดเร็ว นอกจากนี้ วัฒนธรรมขององค์กรก็มีผลเช่นเดียวกัน องค์กรควรให้การสนับสนุนเรื่องความมั่นคงปลอดภัยมากยิ่งขึ้น เนื่องจากระบบคอมพิวเตอร์ถือว่าเป็นโครงสร้างสำคัญที่ช่วยสนับสนุนระบบธุรกิจ ถ้าระบบคอมพิวเตอร์เป็นอะไรไป อาจส่งผลให้ธุรกิจหยุดชะงัก และเกิดการสูญเสียโอกาสและรายได้ได้ค่ะ
4. ในความเห็นของคุณ Bug Bounty Program ถือว่าเป็นสิ่งที่ดีหรือไม่ บริษัทหรือองค์กรขนาดใหญ่ เช่น หน่วยงานรัฐบาลควรมีหรือไม่
จริงๆ ดิฉันว่ามันไม่เกี่ยวว่า Bug Bounty Program ควรมีหรือควรทำตามบริษัทใหญ่ๆ หรือไม่ แต่มันขึ้นอยู่กับว่าเราจะกำหนดวิธีการหรือมาตรการเพื่อให้ผู้ที่ค้นพบช่องโหว่ของบริษัทเราสามารถรายงานเราได้อย่างไรมากกว่าค่ะ Bug Bounty Program เป็นเพียงหนึ่งในวิธีการที่ช่วยกระตุ้นให้ White Hat (หรือ Gray Hat) รายงานช่องโหว่ที่ค้นพบแก่เราอย่างถูกวิธี แทนที่จะโจมตีเพื่อเจาะระบบขโมยข้อมูลเอง ซึ่งเสี่ยงต่อการผิดกฏหมาย แถมไม่ทราบด้วยว่าจะได้ข้อมูลหรืออะไรที่นำไปขายได้หรือไม่ หรือขายช่องโหว่ดังกล่าวให้คนอื่นต่อ เช่น ถ้าจะขายให้บริษัทคู่แข่ง ก็ให้มาขายเจ้าของบริษัทแทน ซึ่งได้ทั้งเงินรางวัลและชื่อเสียงค่ะ
แนวโน้มทางด้าน Cyber Security ในอนาคต
5. ปัจจุบันนี้ เรารับมือกับ Unknown Threats โดยใช้วิธี Detection & Response เป็นไปได้ไหมในอนาคตที่เราจะป้องกัน (Prevent) Unknown Threats ไม่ให้เข้ามาในระบบได้อย่างสมบูรณ์
เป็นไปได้ค่ะ แต่ดิฉันยังไม่สามารถตอบได้เต็มปากแบบ 100% นะคะ การป้องกัน Unknown Threats ก่อนที่จะเข้ามาถึงระบบเราเป็นแนวคิดที่ทาง IBM Security กำลังพัฒนาอยู่เช่นเดียวกันค่ะ เรียกว่า Predictive Security โดยอาศัยการทำ Cognitive Computing ซึ่งเป็นระบบ Machine Learning ระดับสูงที่ผสานร่วมกับปัญญาประดิษฐ์ (Artificial Intelligence) เพื่อให้สามารถวิเคราะห์ข้อมูลแบบไร้โครงสร้าง (Unstructured Data) ซึ่งมีปริมาณมหาศาลระดับ Big Data ในปัจจุบันได้อย่างถูกต้องและแม่นยำ ส่งผลให้สามารถเข้าใจถึงลักษณะและรูปแบบพฤติกรรมของแฮ็คเกอร์ตั้งแต่ขั้นตอนลาดตระเวน (Reconnaissance Phase) เมื่อเราทราบว่าใครกำลังแอบสอดส่องหรือแอบเก็บข้อมูลระบบของเราอยู่บ้าง ก็ให้บล็อกการโจมตีตั้งแต่เฟสนั้นไปเลยค่ะ แฮ็คเกอร์ก็จะไม่มีสิทธิ์แม้แต่จะยุ่มย่ามระบบของเรา อย่างไรก็ตาม Predictive Security ยังเป็นเรื่องของอนาคตที่ต้องศึกษาและพัฒนากันต่อไปค่ะ
6. ภัยคุกคามระดับสูงมีการใช้เทคนิคเพื่อหลบหลีกการตรวจจับ หรือหลบซ่อนตัวจากระบบป้องกันต่างๆ เราจะมีวิธีรับมือกับภัยคุกคามที่นับวันจะพัฒนาตัวเองให้เก่งขึ้นได้อย่างไร
โมเดลสำหรับป้องกันภัยคุกคามระดับสูงมี 3 องค์ประกอบหลักด้วยกัน คือ ป้องกัน (Prevent) ตรวจจับ (Detect) และตอบสนอง (Response) ดิฉันขอแยกออกเป็น 2 ส่วนหลักๆ นะคะ คือ การป้องกันภัยคุกคาม และการตอบสนอง (Detect + Response) ต่อภัยคุกคาม
ในส่วนของการป้องกัน สิ่งที่สำคัญที่สุดคือระบบ Security Intelligence จะต้องรู้เท่าทันแต่ละขั้นตอนของการโจมตี ซึ่งปกติจะแบ่งออกเป็น 7 ขั้นตอน คือ Recon, Lure, Delivery, Exploitation, Malware Installation, Command & Control และ Data Theft ค่ะ ขอแค่เราทราบถึงหรือตรวจจับขั้นตอนใดขั้นตอนหนึ่งนี้ได้ ก็จะสามารถหยุดยั้งภัยคุกคามระดับสูงไม่ให้ทำอันตรายระบบของเราได้ทันที จากนั้นค่อยอาศัยการวิเคราะห์ของ Security Intelligence ในค้นหาและกักกันอุปกรณ์ที่ได้รับผลกระทบ ตรวจสอบและชี้ชัดต้นตอของปัญหา แล้วจัดการคลีนทุกอย่างให้เรียบร้อยเหมือนเดิมค่ะ
ในกรณีที่ไม่สามารถป้องกันได้ สิ่งสำคัญที่สุดคือมีระบบตรวจจับและตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วและแม่นยำ ยิ่งมีมัลแวร์แฝงอยู่ในระบบนานเท่าไหร่ ระบบยิ่งทวีความเสียหายมากขึ้นเท่านั้นค่ะ ยังคงเป็นหน้าที่ของ Security Intelligence อีกเช่นกันที่ต้องคอยสอดส่องและเฝ้าระวังความผิดปกติที่เกิดขึ้น แล้วรีบแจ้งให้ผู้ดูแลระบบทราบโดยเร็วที่สุด เพื่อให้สามารถหาทางรับมือและแก้ปัญหาได้อย่างทันท่วงที
7. คุณคิดว่าแนวโน้มเรื่องสงครามไซเบอร์ (Cyber-warfare) ในอนาคตจะเป็นอย่างไร แต่ละองค์กรควรเตรียมรับมือกับเหตุการณ์ที่จะเกิดขึ้นอย่างไร
อ้างอิงจากรายงาน Threat Horizon 2017 ของ ISF นะคะ ในอนาคตเป็นไปได้ที่ผู้ก่อการร้ายและอาชญากรไซเบอร์จะรวมกลุ่มกันเป็นขบวนการเพื่อยกระดับความรุนแรงในการโจมตีเป้าหมาย และขยายการโจมตีออกไปเป็นวงกว้างทั่วโลก องค์กรควรขวนขวายหาวิธีการป้องกันใหม่ๆ เพื่อให้สามารถรับมือกับการโจมตีเหล่านั้นได้อย่างมีประสิทธิภาพ ซึ่งดิฉันติดว่าคงหนีไม่พ้นแนวคิดเรื่อง Security Intelligence ที่ทุกอุปกรณ์มีการเชื่อมต่อถึงกัน ส่งผลให้สามารถวิเคราะห์และตรวจจับการโจมตีทั้งแบบ Known/Unknown Threats ได้อย่างรวดเร็วและแม่นยำค่ะ
แต่ Security Intelligence ยังคงเป็นการแก้ปัญหาที่ปลายเหตุ สิ่งสำคัญในการรับมือกับสงครามไซเบอร์คือองค์กรจำเป็นต้องเปลี่ยนวัฒนธรรมองค์กรเสียใหม่ ต้องยกประเด็นเรื่องความมั่นคงปลอดภัยให้เข้ามามีบทบาทในการดำเนินธุรกิจ จากการสำรวจของ Ponemon ระบุว่า ร้อยละ 56 ขององค์กรได้รับแรงกดดันให้ต้องเปิดตัวแอพพลิเคชันใหม่อย่างรวดเร็ว ทำให้ต้องโฟกัสที่การตอบโจทย์ความต้องการของลูกค้าเป็นหลัก และปล่อยปละละเลยเรื่องความมั่นคงปลอดภัยของแอพพลิเคชัน คิดว่าเดี๋ยวค่อยเพิ่มฟังก์ชันด้านความปลอดภัยเข้าไปภายหลังก็คงเพียงพอ ซึ่งไม่มีทางเป็นไปได้เลยค่ะ นอกจากนี้ ร้อยละ 35 ขององค์กรไม่มีการทำ Pen Test แอพพลิเคชันเพื่อค้นหาช่องโหว่ก่อนนำไปใช้งานจริงอีกด้วย เหล่านี้ ก่อให้เกิดความเสี่ยงต่อองค์กรทั้งสิ้น
องค์กรควรปรับเปลี่ยนวิธีการพัฒนาแอพพลิเคชันให้มั่นคงปลอดภัยเสียใหม่ โดยใช้ Seure SDLC (Software Development Life Cycle) ไม่ว่าจะเป็น Secure Design หรือ Secure Coding เป็นต้น เพื่อให้มั่นใจว่าแอพพลิเคชันของระบบมีความทนทานต่อภัยคุกคาม และไม่เป็นช่องโหว่ให้แฮ็คเกอร์สามารถเจาะเข้ามาเพื่อขโมยข้อมูลของเราออกไปได้ นี่ถึงจะเป็นการแก้ปัญหาที่ต้นเหตุโดยแท้จริง
ก็จบไปแล้วสำหรับคำถามด้าน Cyber Security ทั้ง 7 ข้อ ทีมงาน TechTalkThai ขอขอบพระคุณ IBM ประเทศไทย และคุณ Diana Kelly ที่ให้เกียรติมาสัมภาษณ์แบบ Exclusive 1:1 ซึ่งช่วยนำเสนอไอเดียต่างๆ ในการรับมือกับภัยคุกคามแบบ Unknown Threats หรือ Zero-day Exploits ในปัจจุบัน รวมไปถึงช่วยอธิบายเหตุการณ์และชี้แนะข้อควรระวังและข้อควรปรับปรุงเพื่อพัฒนาระบบขององค์กรให้พร้อมรับมือกับภัยคุกคามรูปแบบใหม่ๆ และสงครามไซเบอร์อันร้อนแรงในอนาคต