TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
การประเมินทรัพย์สินจำพวกอุปกรณ์ ฮาร์ดแวร์ ซอฟต์แวร์ เป็นสิ่งที่ควรจะกระทำให้องค์กรอย่างสม่ำเสมอ ซึ่งบางองค์กรกลับมองข้ามและหลายแห่งยกหน้าที่นี้ให้เป็นของทีม IT อย่างไรก็ตามขั้นตอนเหล่านี้มีผลต่อความมั่นคงปลอดภัยด้านไซเบอร์ด้วย วันนี้เราจึงหยิบยกบทความที่กล่าวถึงเหตุผลว่าทำไมการประเมินทรัพย์สินในองค์กรจึงถือเป็นความรับผิดชอบของทีมงานด้านความมั่นคงปลอดภัยไซเบอร์ด้วยเช่นกัน เหมือนที่ซุนวูกล่าวไว้ว่า “รู้เขารู้เรารบร้อยครั้งย่อมชนะร้อยครั้ง“
การไม่รู้ย่อมผิด
- คุณจะไม่สามารถมองความเสี่ยงขององค์กรในภาพรวมได้หากคุณไม่รู้ว่าคุณว่าคุณมีทรัพย์สินอะไรบ้าง แน่นอนว่าเราไม่สามารถประเมินความเสี่ยงได้ตามความเป็นจริงหากไม่รู้ว่ามีระบบไอทีหรือระบบข้อมูลใดถูกใช้งานอยู่บ้าง
- คุณจะไม่สามารถทราบได้เลยหากระบบของคุณถูกแก้ไขหรือเปลี่ยนแปลงอย่างไม่ถูกต้องหากไม่เคยทราบว่าระบบปกติทำงานอย่างไร แต่ละขั้นตอนมีส่วนไหนทำงานเกี่ยวข้องกันบ้าง ยกตัวอย่างเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้นบ่อยครั้งที่ฝ่ายตั้งรับมักจะไม่ทราบว่าตรงไหนคือส่วนสำคัญของตนที่ต้องปกป้องให้ดีหรือแม้กระทั่งว่าไม่รู้ว่ามีระบบส่วนนั้นอยู่ด้วยจนกระทั่งถูกโจมตี
- ขาดการตื่นตัวเกี่ยวกับระบบตัวเอง โดยที่ข้อมูลขององค์กรอาจจะไม่เป็นไปตามกฏหมายต่างๆ ยกตัวอย่าง เช่น หนึ่งในกฏหมาย GDPR ระบุให้พลเมืองอียูมีสิทธิ์ที่จะเข้าถึงข้อมูลของตนซึ่งประกอบด้วยสิทธิ์ที่จะทราบว่าข้อมูลของตนถูกเก็บ ประมวลผล หรือควบคุมไว้อย่างไรเป็นต้น โดยหากทีมงานด้านความมั่นคงปลอดภัยไซเบอร์ไม่ทราบว่าระบบไหนใช้เก็บข้อมูลอะไรแน่นอนว่าคงไม่สามารถตอบคำถามผู้ใช้งานหรือเจ้าหน้าที่ตรวจสอบได้
ขั้นตอนเพื่อสร้างรายการทรัพย์สินในองค์กร
- สื่อสารกับคนในองค์กรให้เห็นถึงความสำคัญของการจัดทำรายการทรัพย์สินให้ล่าสุดเสมอ โดยอาจจะกำหนดเป็นนโยบายด้านความมั่นคงปลอดภัยเพื่อให้ทราบว่าข้อมูลสำคัญถูกเก็บไว้ที่ไหนและมีระบบใดในเครือข่ายเพื่อทำหน้าที่ป้องกันความเสี่ยงที่อาจจะเกิดขึ้นกับลูกค้าและคู่ค้าให้อยู่ในระดับที่สามารถยอมรับได้และไม่มีผลกระทบกับการใช้งาน อีกทั้งกำหนดให้เจ้าของระบบในองค์กรคอยอัปเดตรายการทรัพย์สินของตนให้ทันสมัย นอกจากนี้เจ้าของระบบควรจะทราบในแต่ละส่วนว่ามีความสำคัญอย่างไรและใช้ข้อมูลอะไร
- มีการติดตามการใช้ข้อมูลอย่างเข้มงวด เช่น ใช้เครื่องมือพวก DLP เป็นต้น เนื่องจากการติดตามทรัพย์สินในเทคโนโลยีปัจจุบันนั้นเป็นไปได้ยากเพราะมีทรัพยากรมากมาย เช่น Cloud หรือ Virtualization ถูกรวมเข้ามาด้วย มีคำกล่าวอันโด่งดังจากผู้มีวิสัยทัศน์อย่าง Kevin Kelly กล่าวว่า “ระบบอินเตอร์เน็ตคือเครื่องจักรที่ทำหน้าที่เพื่อการคัดลอกข้อมูล” อย่างไรก็ตามมันก็ยังไม่เพียงพอ เราจึงควรเพิ่มกระบวนการทำงานด้วยตนเองประกอบด้วยการเก็บข้อมูลจากเจ้าของข้อมูล ตรวจสอบเอกสารที่เกี่ยวข้องกับระบบ หรือทดสอบการตั้งค่าของระบบ
- ตรวจสอบการตั้งค่าในระบบที่เป็นกุญแจสำคัญขององค์กรถึงสถานที่เก็บข้อมูลและกระบวนการรับส่งข้อมูล เช่น ระบบอย่าง Domain Controller, เซิร์ฟเวอร์ที่ใช้พิสูจน์ตัวตน, เซิร์ฟเวอร์อีเมล, ระบบสำหรับประมวลผลการเงิน, เซิร์ฟเวอร์ที่เก็บข้อมูลเกี่ยวกับการซื้อขาย, เซิร์ฟเวอร์ที่ใช้แชร์ไฟล์ และส่วนอื่นๆ ที่สามารถเชื่อมต่อกับอินเทอร์เน็ตได้หรือติดต่อกับ Third-party
- การจ้างผู้ตรวจสอบด้านความมั่นคงปลอดภัยจากภายนอกที่มีความเชี่ยวชาญมาตรวจสอบหลังจากเราตรวจด้วยตัวเองไปแล้วซึ่งอาจจะพบจุดอ่อนที่เรามองข้ามไปได้
ที่มา : https://f5.com/labs/articles/cisotociso/trends/to-protect-your-network-you-must-first-know-your-network และ https://www.helpnetsecurity.com/2017/12/01/strong-security-starts/
