TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
โดยปกติแล้วเมื่อเราพูดถึงเรื่องของ Security ในธุรกิจองค์กร เรามักจะนึกถึงการจัดซื้อเทคโนโลยีหรือโซลูชันอย่าง Firewall, Antivirus หรือระบบอื่นๆ เพื่อเสริมความมั่นคงปลอดภัยให้กับระบบ IT ของธุรกิจองค์กรเท่านั้น แต่ในความเป็นจริงแล้ว Security ยังมีอะไรที่มากกว่านั้น
Offensive Security ถือเป็นแนวทางหนึ่งในการเสริมความมั่นคงปลอดภัยให้กับธุรกิจองค์กรที่ถูกใช้งานสากลทั่วโลกมาอย่างยาวนาน และในไทยเองนอกจากธุรกิจองค์กรอย่างสถาบันการเงินขนาดใหญ่หรือธุรกิจในตลาดหลักทรัพย์แล้ว แนวคิดด้าน Offensive Security ก็เริ่มถูกนำมาใช้งานเป็นวงกว้างมากขึ้น เพื่อช่วยปกป้องระบบ IT สำคัญของธุรกิจจากภัยคุกคามที่นับวันจะยิ่งซับซ้อนมากยิ่งขึ้น และโซลูชัน Security แบบเดิมๆ นั้นไม่เพียงพอต่อการตอบโจทย์นี้
ในบทความนี้เราจะพาทุกท่านไปรู้จักกับ Offensive Security เบื้องต้น พร้อมถ่ายทอดประสบการณ์จริงจากทีมงาน AIS Cyber Secure ที่เคยทำ Offensive Security ให้กับธุรกิจองค์กรและป้องกันระบบ IT สำคัญจากการถูกโจมตีในหลากหลายรูปแบบมาแล้ว
ทำไมเทคโนโลยีด้าน Security อย่าง Firewall, Antivirus, IDS/IPS, Log Management หรือ Security Analytics ถึงไม่เพียงพอ?
ถึงแม้ในหลายธุรกิจเราจะคุ้นเคยกับคำว่า Firewall, Antivirus, IDS/IPS, Log Management หรือ Security Analytics ในฐานะของเทคโนโลยีทางด้าน Cybersecurity แต่การใช้งานเทคโนโลยีเหล่านี้ถือเป็นเพียงการรักษาความมั่นคงปลอดภัยในเชิงรับหรือ Defensive Security เท่านั้น และไม่เพียงพอต่อการปกป้องระบบให้มีความมั่นคงปลอดภัยอย่างแท้จริง
ลองจินตนาการว่าธุรกิจของเรามีการติดตั้งระบบ E-Commerce ที่เปิดให้ลูกค้าสามารถเข้ามาซื้อขายสินค้าด้วยการตัดบัตรเครดิตได้จริง และระบบนี้มีการเชื่อมต่อกับระบบ ERP/WMS สำคัญของธุรกิจ ซึ่งถึงแม้ธุรกิจจะทำการลงทุนปกป้องระบบเหล่านี้ด้วยการลงทุนจัดซื้อเทคโนโลยีต่างๆ เข้ามาติดตั้งใช้งาน แต่นั่นก็ไม่ได้หมายความว่าระบบ E-Commerce สำคัญนี้จะปลอดภัยจากการถูกโจมตีเสมอไป
เทคโนโลยีอย่าง Firewall, Web Application Firewall, Antivirus, IDS/IPS และอื่นๆ นั้น สามารถปกป้องระบบจากการถูกโจมตีได้แค่บางชนิดที่เทคโนโลยีเหล่านั้นรองรับ หรือมีการตั้งค่าการทำงานไว้ให้ตรวจจับการโจมตีในรูปแบบนั้นๆ เท่านั้น แต่หากผู้โจมตีระบบมีความพยายามในการโจมตีและค้นหาช่องโหว่หรือจุดอ่อนของระบบ การโจมตีก็ยังสามารถเกิดขึ้นได้ ตัวอย่างเช่น
- การค้นหาช่องโหว่บนระบบ Load Balancer, Web Server หรือ Application Server ซึ่งยังไม่ได้ถูกทำการอัปเดต Patch อุดช่องโหว่ และอาศัยช่องโหว่นั้นเป็นก้าวแรกในการโจมตีระบบ ซึ่งบางครั้งช่องโหว่เหล่านี้อาจเป็นช่องโหว่ของ Firewall, Web Application Firewall หรืออุปกรณ์เครือข่ายหรือ Security อื่นๆ ที่เกี่ยวข้องกับระบบโดยตรงเลยก็ได้
- การค้นหาโค้ดส่วนที่เขียนเอาไว้อย่างไม่ปลอดภัยภายใน Web Application, Desktop Application หรือ Mobile Application ซึ่งอาจจะเป็นการจัดการกับ Session ที่ไม่ดี หรือการจัดการประมวลผล Input อย่างไม่รอบคอบ ทำให้สามารถอาศัยจุดอ่อนตรงนี้ในการโจมตีต่อเนื่องได้
- การค้นหาช่องโหว่ของระบบเบื้องหลังที่มีการใช้งานภายในธุรกิจองค์กร เช่น ระบบ AD, File Sharing, Server, Network หรืออุปกรณ์อื่นๆ และทำการโจมตีผ่านช่องโหว่เหล่านั้นเพื่อเข้าถึงสิทธิ์ของผู้ใช้งานระดับสูงหรือผู้ดูแลระบบ และทำการเข้าถึงข้อมูลหรือระบบงานอื่นๆ ภายในองค์กรต่อเนื่องเพื่อทำการโจมตีหรือขโมยข้อมูล
จะเห็นได้ว่าถึงแม้เราจะทำการจัดซื้อเทคโนโลยีมาช่วยปกป้องระบบของเรามากแค่ไหน แต่หากระบบของเรานั้นยังคงมีจุดอ่อนหรือช่องโหว่ที่ถูกใช้โจมตีหลุดรอดอยู่ ระบบ IT และข้อมูลสำคัญของธุรกิจเรานั้นก็ล้วนตกอยู่ภายใต้ความเสี่ยงอยู่ดี
แล้วธุรกิจองค์กรจะทำอย่างไรเพื่อจัดการกับจุดอ่อนหรือช่องโหว่เหล่านี้? คำตอบก็คือ Offensive Security นั่นเอง
มาทำความรู้จักกับ Offensive Security เบื้องต้นกันก่อน
หากจะสรุปโดยย่นย่อให้เข้าใจง่าย แนวคิดของการทำ Offensive Security นั้นก็คือการนำเครื่องมือหรือผู้เชี่ยวชาญมาทำการค้นหาช่องโหว่หรือจุดอ่อนที่มีในระบบของเราและสามารถถูกใช้ในการโจมตีได้ เพื่อให้ธุรกิจทราบถึงการมีอยู่ของช่องโหว่หรือจุดอ่อนเหล่านี้ และทำการอุดช่องโหว่หรือปิดจุดอ่อนที่มีอยู่เพื่อไม่ให้ถูก Hacker ใช้โจมตีในภายหลังได้นั่นเอง
สำหรับวิธีการในการทำ Offensive Security นี้ก็คือการทำ Security Assessment เพื่อประเมินความมั่นคงปลอดภัยของระบบ ซึ่งมีด้วยกันหลายระดับ ได้แก่
1. Vulnerability Assessment (VA) ทำการตรวจสอบช่องโหว่ของอุปกรณ์และ Software ที่มีการใช้งานอยู่ภายในระบบ ซึ่งมักจะใช้เครื่องมือช่วยในการค้นหาช่องโหว่เหล่านี้
2. Penetration Testing (Pentest) ทำการตรวจสอบทั้งช่องโหว่และจุดอ่อนโดยทีมงานผู้เชี่ยวชาญ ซึ่งอาจใช้เครื่องมือช่วยในบางส่วนควบคู่ไปกับผู้ทดสอบที่มีความชำนาญเฉพาะในการวิเคราะห์ด้านความมั่นคงปลอดภัยในแต่ละด้าน เช่น Web Security, Application Security, Mobile Application Security และอื่นๆ ซึ่งอาจมีการอ้างอิงตาม Framework มาตรฐานสำคัญๆ อย่างเช่น OWASP เพื่อให้ธุรกิจมั่นใจว่าจะปลอดภัยจากการโจมตีในรูปแบบมาตรฐานซึ่งเป็นที่นิยม
3. Red Team Assessment (iPentest) ทำการทดลองโจมตีระบบให้มีความเสมือนจริงมากที่สุด โดยนอกจากผู้ทดสอบจะทำการค้นหาช่องโหว่หรือจุดอ่อนเพื่อใช้ในการโจมตีแล้ว ก็ยังจะใช้วิธีการที่กว้างขึ้นในการโจมตี เช่น การทำ Social Engineering หลอกล่อพนักงานภายในองค์กรเพื่อใช้เป็นก้าวแรกในการโจมตี เป็นต้น ส่วนในฝั่งธุรกิจองค์กรเองก็จะมีการเตรียมทีม Security มาทดลองตรวจจับและยับยั้งการโจมตีเหล่านั้น หรือดำเนินกระบวนการต่างๆ เมื่อตรวจพบว่าระบบถูกโจมตีหรือไม่สามารถให้บริการได้ตามปกติ เพื่อทดสอบว่ากระบวนการที่วางเอาไว้สามารถรับมือกับภัยคุกคามได้อย่างเหมาะสมหรือไม่
โดยหลังจากที่มีการทำ Offensive Security จบแล้ว ผู้ทดสอบก็จะจัดทำรายงานของช่องโหว่และจุดอ่อนต่างๆ พร้อมคำแนะนำว่าธุรกิจองค์กรควรปรับปรุงแก้ไขเพื่อให้ระบบมีความมั่นคงปลอดภัยขึ้นอย่างไร และเมื่อธุรกิจองค์กรได้นำข้อมูลเหล่านี้ไปใช้ปรับปรุงให้ระบบของตนเองมั่นคงปลอดภัยขึ้นแล้ว ก็อาจมีการทำ Offensive Security ซ้ำอีกครั้งหนึ่งเพื่อทดสอบว่าหลังจากปรับปรุงระบบไปแล้วนั้น ระบบจะมั่นคงปลอดภัยจากการโจมตีนั้นจริงๆ
เมื่อรู้ว่าระบบมีจุดอ่อนใดบ้างจากการทำ Offensive Security แล้ว ธุรกิจองค์กรต้องทำอะไรต่อ?
ในมุมของธุรกิจเมื่อได้รับรายงานจากการทำ Offensive Security แล้ว ก็จะต้องพิจารณาในการที่จะจัดการกับช่องโหว่หรือจุดอ่อนเหล่านั้น ซึ่งโดยทั่วไปก็มักจะแบ่งออกเป็น 4 แนวทาง ได้แก่
- การลดความเสี่ยง (Risk Mitigation) เช่น การจัดการอัปเดตระบบเพื่ออุดช่องโหว่, การซื้อ Security Solution เพื่อมาป้องกันภัยคุกคามเพิ่มเติม, การปรับเปลี่ยนการทำงานของระบบ, การแก้ไขโค้ดในส่วนที่มีช่องโหว่หรือจุดอ่อน, การพัฒนา Application ใหม่ทั้งหมดเลย ซึ่งแต่ละแนวทางนั้นก็อาจต้องมีกิจกรรมหรือการใช้งบประมาณที่แตกต่างกันออกไป
- การหลีกเลี่ยงความเสี่ยง (Risk Avoidance) ถ้าหากพบว่าระบบมีความเสี่ยงสูงและอาจสร้างผลเสียต่อองค์กรได้มาก ก็อาจมีการตัดสินใจปิดไม่ให้มีการเข้าถึงระบบเหล่านั้นไปเลยจนกว่าจะมีการแก้ไขแล้ว หรือจัดหาระบบใหม่ที่มีความมั่นคงปลอดภัยกว่ามาใช้งานทดแทนระบบเดิม เป็นต้น
- การแบ่งความเสี่ยง (Risk Sharing/Risk Transfer) ในกรณีที่ธุรกิจตัดสินใจว่าจะไม่ทำการอุดช่องโหว่หรือแก้ไขจุดอ่อนที่ตรวจพบ ก็อาจตัดสินใจทำประกันภัยความเสียหายหรือ Cyber Insurance เพื่อให้บริษัทที่รับประกันนี้ช่วยจ่ายค่าเสียหายทดแทนให้กับธุรกิจหากช่องโหว่หรือจุดอ่อนนี้ถูกโจมตีขึ้นมา แนวทางนี้เหมาะกับช่องโหว่ที่มีโอกาสการเกิดได้ต่ำ แต่หากเกิดเหตุนี้แล้วจะเกิดความเสียหายมูลค่าสูง
- การยอมรับความเสี่ยง (Risk Acceptance) เป็นกรณีที่ธุรกิจยอมรับว่ารับได้กับความเสี่ยง และใช้ระบบนั้นๆ ที่ยังมีความเสี่ยงต่อไป โดยหากเกิดเหตุขึ้นก็ไม่ส่งผลกระทบหรือสร้างความเสียหายต่อธุรกิจมากนัก
ดังนั้นจะเห็นได้ว่าธุรกิจเองก็ต้องทำการประเมินความเสี่ยงของตนเองและตัดสินใจจัดการในประเด็นเหล่านี้ให้เหมาะสมกับงบประมาณและความเสียหายที่อาจเกิดขึ้นได้ ซึ่งในแต่ละธุรกิจก็อาจมีระบบ IT ที่มีความสำคัญมากน้อยแตกต่างกัน ใช้งบประมาณในการแก้ไขที่แตกต่างกัน จึงต้องชั่งน้ำหนักตัดสินใจในส่วนนี้ให้ดี
ธุรกิจองค์กรไทย กับแนวโน้มในการทำ Offensive Security ที่เติบโตขึ้นอย่างต่อเนื่องท่ามกลางกระแส Digital Transformation
ทีมงาน AIS Cyber Secure ระบุว่าที่ผ่านมานี้ธุรกิจองค์กรมีการทำ Offensive Security กันอยู่แล้วจากปัจจัยด้านข้อกฎหมายและข้อบังคับของแต่ละอุตสาหกรรม เช่น ธุรกิจการเงินและธนาคาร, ธุรกิจประกันภัย และธุรกิจในตลาดหลักทรัพย์ แต่ในช่วง 4-5 ปีที่ผ่านมานี้ด้วยกระแสของธุรกิจ Startup ที่เริ่มมีบริษัทที่เติบโตขึ้นมาเป็นรายใหญ่, การทำ Digital Transformation ของธุรกิจองค์กรจำนวนมาก และข่าวคราวของภัยคุกคามและการโจมตีที่นับวันจะยิ่งรุนแรงขึ้น Offensive Security จึงกลายเป็นบริการที่เป็นที่ต้องการเติบโตอย่างรวดเร็วทั้งในธุรกิจเอกชนและหน่วยงานภาครัฐ
นอกจากนี้ อีกแรงขับเคลื่อนที่ส่งผลเป็นอย่างมากก็คือการออกข้อกฎหมายพรบ.ความมั่นคงปลอดภัยไซเบอร์และพรบ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งจะบังคับใช้กับทุกธุรกิจและมีบทลงโทษที่รุนแรง ธุรกิจองค์กรจำนวนมากจึงทำการเสริมความมั่นคงปลอดภัยให้กับตนเองด้วยการนำ Offensive Security ไปใช้เพื่อลดความเสี่ยง
ทั้งนี้ในแต่ละธุรกิจเองก็อาจมองการทำ Offensive Security ในระดับที่แตกต่างกันไป และอาจเลือกทำกับระบบที่มีความสำคัญสูงหรือมีความเสี่ยงสูงก่อน หรือกำหนดรอบในการทำซ้ำให้แตกต่างกันตามลำดับความสำคัญ ให้สอดคล้องกับงบประมาณและความคล่องตัวในการทำงานด้วย
AIS Cyber Secure ระบุว่าที่ผ่านมามีธุรกิจองค์กรและหน่วยงานรัฐในหลากหลายรูปแบบที่ใช้บริการในส่วนนี้ และพบถึงช่องโหว่หรือจุดอ่อนที่ไม่เคยคาดถึงซึ่งอาจสร้างความเสียหายต่อธุรกิจหรือหน่วยงานอย่างมหาศาลได้ในอนาคต เช่น
- สถาบันการศึกษาที่มีการพัฒนาระบบของตนเอง แต่ไม่ได้มีการพัฒนาโค้ดในส่วนของการกำหนดสิทธิ์และการจัดการกับ Session ของผู้ใช้งานให้ดี ทำให้ผู้โจมตีสามารถปลอมตัวเป็นนักเรียนนักศึกษาคนอื่นและเข้าถึงข้อมูลหรือสั่งทำสิ่งต่างๆ ได้ อีกทั้งยังอาจเสี่ยงต่อการผิดพรบ.คุ้มครองข้อมูลส่วนบุคคลด้วย
- ธุรกิจที่มีการพัฒนา Web Application หรือ Mobile Application ของตนเองและยังมีช่องโหว่หรือจุดอ่อนอยู่ ก็อาจถูกใช้ช่องโหว่หรือจุดอ่อนนั้นในการโจมตีต่อเนื่องเพื่อขโมยข้อมูลของผู้ใช้งานในระบบ หรือทำให้ระบบไม่สามารถให้บริการแก่ลูกค้าได้
- ธุรกิจองค์กรที่มีการวางระบบ IT Infrastructure เอาไว้มากมาย แต่ไม่ได้มีการดูแลรักษาด้านความมั่นคงปลอดภัยหรืออัปเดต Patch อย่างต่อเนื่อง ก็อาจถูกโจมตีผ่านช่องโหว่เหล่านี้และใช้เป็นช่องทางในการเข้าถึงระบบหรือข้อมูลสำคัญขององค์กรได้
- ธุรกิจองค์กรที่มีการใช้งานบริการ Cloud เป็นจำนวนมาก แต่ไม่ได้มีการกำหนดตั้งค่าการทำงานของบริการ Cloud ให้เหมาะสม ก็อาจทำให้เกิดกรณีข้อมูลรั่วไหลทั้งภายในและภายนอกองค์กรได้
- ธุรกิจหรือหน่วยงานภาครัฐที่มีการจัดจ้างให้บริษัทอื่นๆ มาทำการพัฒนา Application ให้ โดยทั่วไปนั้นมักมีการทำแต่ Functional Test เพื่อทดสอบการทำงานของระบบ แต่ไม่ได้มีการตรวจสอบประเด็นด้าน Non-Functional เช่น Performance หรือ Security ซึ่งก็อาจนำมาสู่ความเสี่ยงในอนาคตได้
เรียกได้ว่าการทำ Digital Transformation ที่จะทำให้ธุรกิจมีขีดความสามารถในการแข่งขันที่สูงขึ้นนั้นก็อาจเป็นดาบสองคมที่ทำให้ธุรกิจมีความเสี่ยงมากขึ้นไปในเวลาเดียวกัน และบริการอย่าง Offensive Security นี้เองที่จะทำให้ธุรกิจองค์กรสามารถทำ Digital Transformation ได้อย่างมั่นใจและมั่นคงปลอดภัยยิ่งขึ้นได้นั่นเอง ซึ่ง AIS Cyber Secure ก็เชื่อว่าในปี 2021 นี้แนวโน้มด้านการทำ Offensive Security จะเติบโตยิ่งขึ้นในไทยอย่างต่อเนื่อง จากการที่ผู้บริหารของหลายธุรกิจเล็งเห็นถึงความสำคัญของแนวทางนี้ และการประกาศบังคับใช้พรบ.คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ที่กำลังจะเริ่มต้นขึ้นในเดือนพฤษภาคม 2021 ที่กำลังจะมาถึง
ตอบโจทย์การทำ Offensive Security ในทุกระดับ พร้อมจัดการกับช่องโหว่และจุดอ่อนของระบบ ด้วยบริการ One Stop Service จาก AIS Cyber Secure
AIS Cyber Secure ในฐานะของผู้ให้บริการ One Stop Service ทางด้าน Cybersecurity แก่ธุรกิจองค์กรทั่วไทยนั้น ก็มีทีมงานผู้เชี่ยวชาญมากประสบการณ์สำหรับให้บริการด้าน Offensive Security โดยเฉพาะซึ่งครอบคลุมทั้งการทำ Vulnerability Assessment (VA), Penetration Testing (Pentest) ไปจนถึง Red Team Assessment (iPentest) เพื่อให้ตอบโจทย์ต่อความต้องการของธุรกิจองค์กรในทุกระดับ
นอกเหนือไปจากทีมบริการทดสอบ Offensive Security ที่มีความรู้ความชำนาญแล้ว อีกจุดหนึ่งที่โดดเด่นของ AIS Cyber Secure นี้ก็คือการให้บริการด้าน Cybersecurity ได้อย่างครบวงจรแบบ One Stop Service ที่ครอบคลุมทั้ง Defensive Security และ Offensive Security รวมถึงการให้คำปรึกษาเกี่ยวกับการปฏิบัติตามกฎหมายด้านความปลอดภัยไซเบอร์ ซึ่งธุรกิจองค์กรก็สามารถเลือกใช้เฉพาะแค่บริการส่วนใดส่วนหนึ่งที่ต้องการ หรือเลือกใช้ทั้งสองส่วนเลยก็ได้เช่นกัน
ทั้งนี้สำหรับธุรกิจองค์กรที่ต้องการเริ่มต้นวางแผนด้าน Cybersecurity สำหรับปี 2021 และยังไม่รู้ว่าควรจะเริ่มต้นอย่างไร หรือเริ่มมีโจทย์ในใจอยู่แล้ว ก็สามารถติดต่อทีมงาน AIS Cyber Secure เพื่อรับคำปรึกษาที่รอบด้านทั้งในส่วนของ Defensive Security และ Offensive Security ได้ทันที
สนใจติดต่อ AIS Cyber Secure ได้ทันที
สำหรับผู้ที่สนใจบริการของ AIS Cyber Secure สามารถศึกษาข้อมูลเพิ่มเติมได้ที่ https://business.ais.co.th/solution/security.html หรือสอบถามข้อมูลทางอีเมล์ cybersecure@ais.co.th และเบอร์โทรศัพท์ 063-225-3434 หรือติดต่อทีมงานของ AIS ที่ดูแลธุรกิจของคุณอยู่เพื่อประสานงานสำหรับการขอข้อมูลเพิ่มเติมเกี่ยวกับบริการต่างๆ
