Microsoft Azure by Ingram Micro (Thailand)

Offensive Security: บริการด้านความมั่นคงปลอดภัยเชิงรุก ที่ทุกธุรกิจองค์กรในปัจจุบันและอนาคตจะขาดไปไม่ได้

โดยปกติแล้วเมื่อเราพูดถึงเรื่องของ Security ในธุรกิจองค์กร เรามักจะนึกถึงการจัดซื้อเทคโนโลยีหรือโซลูชันอย่าง Firewall, Antivirus หรือระบบอื่นๆ เพื่อเสริมความมั่นคงปลอดภัยให้กับระบบ IT ของธุรกิจองค์กรเท่านั้น แต่ในความเป็นจริงแล้ว Security ยังมีอะไรที่มากกว่านั้น

Offensive Security ถือเป็นแนวทางหนึ่งในการเสริมความมั่นคงปลอดภัยให้กับธุรกิจองค์กรที่ถูกใช้งานสากลทั่วโลกมาอย่างยาวนาน และในไทยเองนอกจากธุรกิจองค์กรอย่างสถาบันการเงินขนาดใหญ่หรือธุรกิจในตลาดหลักทรัพย์แล้ว แนวคิดด้าน Offensive Security ก็เริ่มถูกนำมาใช้งานเป็นวงกว้างมากขึ้น เพื่อช่วยปกป้องระบบ IT สำคัญของธุรกิจจากภัยคุกคามที่นับวันจะยิ่งซับซ้อนมากยิ่งขึ้น และโซลูชัน Security แบบเดิมๆ นั้นไม่เพียงพอต่อการตอบโจทย์นี้

ในบทความนี้เราจะพาทุกท่านไปรู้จักกับ Offensive Security เบื้องต้น พร้อมถ่ายทอดประสบการณ์จริงจากทีมงาน AIS Cyber Secure ที่เคยทำ Offensive Security ให้กับธุรกิจองค์กรและป้องกันระบบ IT สำคัญจากการถูกโจมตีในหลากหลายรูปแบบมาแล้ว

ทำไมเทคโนโลยีด้าน Security อย่าง Firewall, Antivirus, IDS/IPS, Log Management หรือ Security Analytics ถึงไม่เพียงพอ?

ถึงแม้ในหลายธุรกิจเราจะคุ้นเคยกับคำว่า Firewall, Antivirus, IDS/IPS, Log Management หรือ Security Analytics ในฐานะของเทคโนโลยีทางด้าน Cybersecurity แต่การใช้งานเทคโนโลยีเหล่านี้ถือเป็นเพียงการรักษาความมั่นคงปลอดภัยในเชิงรับหรือ Defensive Security เท่านั้น และไม่เพียงพอต่อการปกป้องระบบให้มีความมั่นคงปลอดภัยอย่างแท้จริง

ลองจินตนาการว่าธุรกิจของเรามีการติดตั้งระบบ E-Commerce ที่เปิดให้ลูกค้าสามารถเข้ามาซื้อขายสินค้าด้วยการตัดบัตรเครดิตได้จริง และระบบนี้มีการเชื่อมต่อกับระบบ ERP/WMS สำคัญของธุรกิจ ซึ่งถึงแม้ธุรกิจจะทำการลงทุนปกป้องระบบเหล่านี้ด้วยการลงทุนจัดซื้อเทคโนโลยีต่างๆ เข้ามาติดตั้งใช้งาน แต่นั่นก็ไม่ได้หมายความว่าระบบ E-Commerce สำคัญนี้จะปลอดภัยจากการถูกโจมตีเสมอไป

เทคโนโลยีอย่าง Firewall, Web Application Firewall, Antivirus, IDS/IPS และอื่นๆ นั้น สามารถปกป้องระบบจากการถูกโจมตีได้แค่บางชนิดที่เทคโนโลยีเหล่านั้นรองรับ หรือมีการตั้งค่าการทำงานไว้ให้ตรวจจับการโจมตีในรูปแบบนั้นๆ เท่านั้น แต่หากผู้โจมตีระบบมีความพยายามในการโจมตีและค้นหาช่องโหว่หรือจุดอ่อนของระบบ การโจมตีก็ยังสามารถเกิดขึ้นได้ ตัวอย่างเช่น

  • การค้นหาช่องโหว่บนระบบ Load Balancer, Web Server หรือ Application Server ซึ่งยังไม่ได้ถูกทำการอัปเดต Patch อุดช่องโหว่ และอาศัยช่องโหว่นั้นเป็นก้าวแรกในการโจมตีระบบ ซึ่งบางครั้งช่องโหว่เหล่านี้อาจเป็นช่องโหว่ของ Firewall, Web Application Firewall หรืออุปกรณ์เครือข่ายหรือ Security อื่นๆ ที่เกี่ยวข้องกับระบบโดยตรงเลยก็ได้
  • การค้นหาโค้ดส่วนที่เขียนเอาไว้อย่างไม่ปลอดภัยภายใน Web Application, Desktop Application หรือ Mobile Application ซึ่งอาจจะเป็นการจัดการกับ Session ที่ไม่ดี หรือการจัดการประมวลผล Input อย่างไม่รอบคอบ ทำให้สามารถอาศัยจุดอ่อนตรงนี้ในการโจมตีต่อเนื่องได้
  • การค้นหาช่องโหว่ของระบบเบื้องหลังที่มีการใช้งานภายในธุรกิจองค์กร เช่น ระบบ AD, File Sharing, Server, Network หรืออุปกรณ์อื่นๆ และทำการโจมตีผ่านช่องโหว่เหล่านั้นเพื่อเข้าถึงสิทธิ์ของผู้ใช้งานระดับสูงหรือผู้ดูแลระบบ และทำการเข้าถึงข้อมูลหรือระบบงานอื่นๆ ภายในองค์กรต่อเนื่องเพื่อทำการโจมตีหรือขโมยข้อมูล

จะเห็นได้ว่าถึงแม้เราจะทำการจัดซื้อเทคโนโลยีมาช่วยปกป้องระบบของเรามากแค่ไหน แต่หากระบบของเรานั้นยังคงมีจุดอ่อนหรือช่องโหว่ที่ถูกใช้โจมตีหลุดรอดอยู่ ระบบ IT และข้อมูลสำคัญของธุรกิจเรานั้นก็ล้วนตกอยู่ภายใต้ความเสี่ยงอยู่ดี

แล้วธุรกิจองค์กรจะทำอย่างไรเพื่อจัดการกับจุดอ่อนหรือช่องโหว่เหล่านี้? คำตอบก็คือ Offensive Security นั่นเอง

มาทำความรู้จักกับ Offensive Security เบื้องต้นกันก่อน

หากจะสรุปโดยย่นย่อให้เข้าใจง่าย แนวคิดของการทำ Offensive Security นั้นก็คือการนำเครื่องมือหรือผู้เชี่ยวชาญมาทำการค้นหาช่องโหว่หรือจุดอ่อนที่มีในระบบของเราและสามารถถูกใช้ในการโจมตีได้ เพื่อให้ธุรกิจทราบถึงการมีอยู่ของช่องโหว่หรือจุดอ่อนเหล่านี้ และทำการอุดช่องโหว่หรือปิดจุดอ่อนที่มีอยู่เพื่อไม่ให้ถูก Hacker ใช้โจมตีในภายหลังได้นั่นเอง

สำหรับวิธีการในการทำ Offensive Security นี้ก็คือการทำ Security Assessment เพื่อประเมินความมั่นคงปลอดภัยของระบบ ซึ่งมีด้วยกันหลายระดับ ได้แก่

1. Vulnerability Assessment (VA) ทำการตรวจสอบช่องโหว่ของอุปกรณ์และ Software ที่มีการใช้งานอยู่ภายในระบบ ซึ่งมักจะใช้เครื่องมือช่วยในการค้นหาช่องโหว่เหล่านี้

2. Penetration Testing (Pentest) ทำการตรวจสอบทั้งช่องโหว่และจุดอ่อนโดยทีมงานผู้เชี่ยวชาญ ซึ่งอาจใช้เครื่องมือช่วยในบางส่วนควบคู่ไปกับผู้ทดสอบที่มีความชำนาญเฉพาะในการวิเคราะห์ด้านความมั่นคงปลอดภัยในแต่ละด้าน เช่น Web Security, Application Security, Mobile Application Security และอื่นๆ ซึ่งอาจมีการอ้างอิงตาม Framework มาตรฐานสำคัญๆ อย่างเช่น OWASP เพื่อให้ธุรกิจมั่นใจว่าจะปลอดภัยจากการโจมตีในรูปแบบมาตรฐานซึ่งเป็นที่นิยม

3. Red Team Assessment (iPentest) ทำการทดลองโจมตีระบบให้มีความเสมือนจริงมากที่สุด โดยนอกจากผู้ทดสอบจะทำการค้นหาช่องโหว่หรือจุดอ่อนเพื่อใช้ในการโจมตีแล้ว ก็ยังจะใช้วิธีการที่กว้างขึ้นในการโจมตี เช่น การทำ Social Engineering หลอกล่อพนักงานภายในองค์กรเพื่อใช้เป็นก้าวแรกในการโจมตี เป็นต้น ส่วนในฝั่งธุรกิจองค์กรเองก็จะมีการเตรียมทีม Security มาทดลองตรวจจับและยับยั้งการโจมตีเหล่านั้น หรือดำเนินกระบวนการต่างๆ เมื่อตรวจพบว่าระบบถูกโจมตีหรือไม่สามารถให้บริการได้ตามปกติ เพื่อทดสอบว่ากระบวนการที่วางเอาไว้สามารถรับมือกับภัยคุกคามได้อย่างเหมาะสมหรือไม่

โดยหลังจากที่มีการทำ Offensive Security จบแล้ว ผู้ทดสอบก็จะจัดทำรายงานของช่องโหว่และจุดอ่อนต่างๆ พร้อมคำแนะนำว่าธุรกิจองค์กรควรปรับปรุงแก้ไขเพื่อให้ระบบมีความมั่นคงปลอดภัยขึ้นอย่างไร และเมื่อธุรกิจองค์กรได้นำข้อมูลเหล่านี้ไปใช้ปรับปรุงให้ระบบของตนเองมั่นคงปลอดภัยขึ้นแล้ว ก็อาจมีการทำ Offensive Security ซ้ำอีกครั้งหนึ่งเพื่อทดสอบว่าหลังจากปรับปรุงระบบไปแล้วนั้น ระบบจะมั่นคงปลอดภัยจากการโจมตีนั้นจริงๆ

เมื่อรู้ว่าระบบมีจุดอ่อนใดบ้างจากการทำ Offensive Security แล้ว ธุรกิจองค์กรต้องทำอะไรต่อ?

ในมุมของธุรกิจเมื่อได้รับรายงานจากการทำ Offensive Security แล้ว ก็จะต้องพิจารณาในการที่จะจัดการกับช่องโหว่หรือจุดอ่อนเหล่านั้น ซึ่งโดยทั่วไปก็มักจะแบ่งออกเป็น 4 แนวทาง ได้แก่

  1. การลดความเสี่ยง (Risk Mitigation) เช่น การจัดการอัปเดตระบบเพื่ออุดช่องโหว่, การซื้อ Security Solution เพื่อมาป้องกันภัยคุกคามเพิ่มเติม, การปรับเปลี่ยนการทำงานของระบบ, การแก้ไขโค้ดในส่วนที่มีช่องโหว่หรือจุดอ่อน, การพัฒนา Application ใหม่ทั้งหมดเลย ซึ่งแต่ละแนวทางนั้นก็อาจต้องมีกิจกรรมหรือการใช้งบประมาณที่แตกต่างกันออกไป
  2. การหลีกเลี่ยงความเสี่ยง (Risk Avoidance) ถ้าหากพบว่าระบบมีความเสี่ยงสูงและอาจสร้างผลเสียต่อองค์กรได้มาก ก็อาจมีการตัดสินใจปิดไม่ให้มีการเข้าถึงระบบเหล่านั้นไปเลยจนกว่าจะมีการแก้ไขแล้ว หรือจัดหาระบบใหม่ที่มีความมั่นคงปลอดภัยกว่ามาใช้งานทดแทนระบบเดิม เป็นต้น
  3. การแบ่งความเสี่ยง (Risk Sharing/Risk Transfer) ในกรณีที่ธุรกิจตัดสินใจว่าจะไม่ทำการอุดช่องโหว่หรือแก้ไขจุดอ่อนที่ตรวจพบ ก็อาจตัดสินใจทำประกันภัยความเสียหายหรือ Cyber Insurance เพื่อให้บริษัทที่รับประกันนี้ช่วยจ่ายค่าเสียหายทดแทนให้กับธุรกิจหากช่องโหว่หรือจุดอ่อนนี้ถูกโจมตีขึ้นมา แนวทางนี้เหมาะกับช่องโหว่ที่มีโอกาสการเกิดได้ต่ำ แต่หากเกิดเหตุนี้แล้วจะเกิดความเสียหายมูลค่าสูง
  4. การยอมรับความเสี่ยง (Risk Acceptance) เป็นกรณีที่ธุรกิจยอมรับว่ารับได้กับความเสี่ยง และใช้ระบบนั้นๆ ที่ยังมีความเสี่ยงต่อไป โดยหากเกิดเหตุขึ้นก็ไม่ส่งผลกระทบหรือสร้างความเสียหายต่อธุรกิจมากนัก

ดังนั้นจะเห็นได้ว่าธุรกิจเองก็ต้องทำการประเมินความเสี่ยงของตนเองและตัดสินใจจัดการในประเด็นเหล่านี้ให้เหมาะสมกับงบประมาณและความเสียหายที่อาจเกิดขึ้นได้ ซึ่งในแต่ละธุรกิจก็อาจมีระบบ IT ที่มีความสำคัญมากน้อยแตกต่างกัน ใช้งบประมาณในการแก้ไขที่แตกต่างกัน จึงต้องชั่งน้ำหนักตัดสินใจในส่วนนี้ให้ดี

ธุรกิจองค์กรไทย กับแนวโน้มในการทำ Offensive Security ที่เติบโตขึ้นอย่างต่อเนื่องท่ามกลางกระแส Digital Transformation

ทีมงาน AIS Cyber Secure ระบุว่าที่ผ่านมานี้ธุรกิจองค์กรมีการทำ Offensive Security กันอยู่แล้วจากปัจจัยด้านข้อกฎหมายและข้อบังคับของแต่ละอุตสาหกรรม เช่น ธุรกิจการเงินและธนาคาร, ธุรกิจประกันภัย และธุรกิจในตลาดหลักทรัพย์ แต่ในช่วง 4-5 ปีที่ผ่านมานี้ด้วยกระแสของธุรกิจ Startup ที่เริ่มมีบริษัทที่เติบโตขึ้นมาเป็นรายใหญ่, การทำ Digital Transformation ของธุรกิจองค์กรจำนวนมาก และข่าวคราวของภัยคุกคามและการโจมตีที่นับวันจะยิ่งรุนแรงขึ้น Offensive Security จึงกลายเป็นบริการที่เป็นที่ต้องการเติบโตอย่างรวดเร็วทั้งในธุรกิจเอกชนและหน่วยงานภาครัฐ

นอกจากนี้ อีกแรงขับเคลื่อนที่ส่งผลเป็นอย่างมากก็คือการออกข้อกฎหมายพรบ.ความมั่นคงปลอดภัยไซเบอร์และพรบ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งจะบังคับใช้กับทุกธุรกิจและมีบทลงโทษที่รุนแรง ธุรกิจองค์กรจำนวนมากจึงทำการเสริมความมั่นคงปลอดภัยให้กับตนเองด้วยการนำ Offensive Security ไปใช้เพื่อลดความเสี่ยง

ทั้งนี้ในแต่ละธุรกิจเองก็อาจมองการทำ Offensive Security ในระดับที่แตกต่างกันไป และอาจเลือกทำกับระบบที่มีความสำคัญสูงหรือมีความเสี่ยงสูงก่อน หรือกำหนดรอบในการทำซ้ำให้แตกต่างกันตามลำดับความสำคัญ ให้สอดคล้องกับงบประมาณและความคล่องตัวในการทำงานด้วย

AIS Cyber Secure ระบุว่าที่ผ่านมามีธุรกิจองค์กรและหน่วยงานรัฐในหลากหลายรูปแบบที่ใช้บริการในส่วนนี้ และพบถึงช่องโหว่หรือจุดอ่อนที่ไม่เคยคาดถึงซึ่งอาจสร้างความเสียหายต่อธุรกิจหรือหน่วยงานอย่างมหาศาลได้ในอนาคต เช่น

  • สถาบันการศึกษาที่มีการพัฒนาระบบของตนเอง แต่ไม่ได้มีการพัฒนาโค้ดในส่วนของการกำหนดสิทธิ์และการจัดการกับ Session ของผู้ใช้งานให้ดี ทำให้ผู้โจมตีสามารถปลอมตัวเป็นนักเรียนนักศึกษาคนอื่นและเข้าถึงข้อมูลหรือสั่งทำสิ่งต่างๆ ได้ อีกทั้งยังอาจเสี่ยงต่อการผิดพรบ.คุ้มครองข้อมูลส่วนบุคคลด้วย
  • ธุรกิจที่มีการพัฒนา Web Application หรือ Mobile Application ของตนเองและยังมีช่องโหว่หรือจุดอ่อนอยู่ ก็อาจถูกใช้ช่องโหว่หรือจุดอ่อนนั้นในการโจมตีต่อเนื่องเพื่อขโมยข้อมูลของผู้ใช้งานในระบบ หรือทำให้ระบบไม่สามารถให้บริการแก่ลูกค้าได้
  • ธุรกิจองค์กรที่มีการวางระบบ IT Infrastructure เอาไว้มากมาย แต่ไม่ได้มีการดูแลรักษาด้านความมั่นคงปลอดภัยหรืออัปเดต Patch อย่างต่อเนื่อง ก็อาจถูกโจมตีผ่านช่องโหว่เหล่านี้และใช้เป็นช่องทางในการเข้าถึงระบบหรือข้อมูลสำคัญขององค์กรได้
  • ธุรกิจองค์กรที่มีการใช้งานบริการ Cloud เป็นจำนวนมาก แต่ไม่ได้มีการกำหนดตั้งค่าการทำงานของบริการ Cloud ให้เหมาะสม ก็อาจทำให้เกิดกรณีข้อมูลรั่วไหลทั้งภายในและภายนอกองค์กรได้
  • ธุรกิจหรือหน่วยงานภาครัฐที่มีการจัดจ้างให้บริษัทอื่นๆ มาทำการพัฒนา Application ให้ โดยทั่วไปนั้นมักมีการทำแต่ Functional Test เพื่อทดสอบการทำงานของระบบ แต่ไม่ได้มีการตรวจสอบประเด็นด้าน Non-Functional เช่น Performance หรือ Security ซึ่งก็อาจนำมาสู่ความเสี่ยงในอนาคตได้

เรียกได้ว่าการทำ Digital Transformation ที่จะทำให้ธุรกิจมีขีดความสามารถในการแข่งขันที่สูงขึ้นนั้นก็อาจเป็นดาบสองคมที่ทำให้ธุรกิจมีความเสี่ยงมากขึ้นไปในเวลาเดียวกัน และบริการอย่าง Offensive Security นี้เองที่จะทำให้ธุรกิจองค์กรสามารถทำ Digital Transformation ได้อย่างมั่นใจและมั่นคงปลอดภัยยิ่งขึ้นได้นั่นเอง ซึ่ง AIS Cyber Secure ก็เชื่อว่าในปี 2021 นี้แนวโน้มด้านการทำ Offensive Security จะเติบโตยิ่งขึ้นในไทยอย่างต่อเนื่อง จากการที่ผู้บริหารของหลายธุรกิจเล็งเห็นถึงความสำคัญของแนวทางนี้ และการประกาศบังคับใช้พรบ.คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ที่กำลังจะเริ่มต้นขึ้นในเดือนพฤษภาคม 2021 ที่กำลังจะมาถึง

ตอบโจทย์การทำ Offensive Security ในทุกระดับ พร้อมจัดการกับช่องโหว่และจุดอ่อนของระบบ ด้วยบริการ One Stop Service จาก AIS Cyber Secure

AIS Cyber Secure ในฐานะของผู้ให้บริการ One Stop Service ทางด้าน Cybersecurity แก่ธุรกิจองค์กรทั่วไทยนั้น ก็มีทีมงานผู้เชี่ยวชาญมากประสบการณ์สำหรับให้บริการด้าน Offensive Security โดยเฉพาะซึ่งครอบคลุมทั้งการทำ Vulnerability Assessment (VA), Penetration Testing (Pentest) ไปจนถึง Red Team Assessment (iPentest) เพื่อให้ตอบโจทย์ต่อความต้องการของธุรกิจองค์กรในทุกระดับ

นอกเหนือไปจากทีมบริการทดสอบ Offensive Security ที่มีความรู้ความชำนาญแล้ว อีกจุดหนึ่งที่โดดเด่นของ AIS Cyber Secure นี้ก็คือการให้บริการด้าน Cybersecurity ได้อย่างครบวงจรแบบ One Stop Service ที่ครอบคลุมทั้ง Defensive Security และ Offensive Security รวมถึงการให้คำปรึกษาเกี่ยวกับการปฏิบัติตามกฎหมายด้านความปลอดภัยไซเบอร์ ซึ่งธุรกิจองค์กรก็สามารถเลือกใช้เฉพาะแค่บริการส่วนใดส่วนหนึ่งที่ต้องการ หรือเลือกใช้ทั้งสองส่วนเลยก็ได้เช่นกัน

ทั้งนี้สำหรับธุรกิจองค์กรที่ต้องการเริ่มต้นวางแผนด้าน Cybersecurity สำหรับปี 2021 และยังไม่รู้ว่าควรจะเริ่มต้นอย่างไร หรือเริ่มมีโจทย์ในใจอยู่แล้ว ก็สามารถติดต่อทีมงาน AIS Cyber Secure เพื่อรับคำปรึกษาที่รอบด้านทั้งในส่วนของ Defensive Security และ Offensive Security ได้ทันที

สนใจติดต่อ AIS Cyber Secure ได้ทันที

สำหรับผู้ที่สนใจบริการของ AIS Cyber Secure สามารถศึกษาข้อมูลเพิ่มเติมได้ที่ https://business.ais.co.th/solution/security.html หรือสอบถามข้อมูลทางอีเมล์ cybersecure@ais.co.th และเบอร์โทรศัพท์  063-225-3434 หรือติดต่อทีมงานของ AIS ที่ดูแลธุรกิจของคุณอยู่เพื่อประสานงานสำหรับการขอข้อมูลเพิ่มเติมเกี่ยวกับบริการต่างๆ

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ผสาน Automation และ Intelligence เข้าไปยังความสามารถของงานด้านการผลิต โดย Infor

การนำเทคโนโลยีใหม่ๆเข้ามาใช้งานในธุรกิจนั้นไม่ใช่เรื่องง่าย และแต่ละอุตสาหกรรมก็มีความท้าทายเฉพาะตัวที่ต้องเผชิญหน้า ในอุตสาหกรรมการผลิตเองก็เช่นกันที่ได้รับผลกระทบจากการเปลี่ยนแปลงของเทคโนโลยี ความต้องการของลูกค้า Supply Chain และอื่นๆ 

Cisco ปิดดีลเข้าซื้อ Splunk มูลค่า 1 ล้านล้านบาท

หลังจากผ่านการตรวจสอบอย่างเข้มข้นจนได้รับอนุมัติเรียบร้อย ล่าสุดทาง Cisco ได้ประกาศถึงความสำเร็จในการเข้าซื้อกิจการของ Splunk ที่มูลค่า 28,000 ล้านเหรียญหรือราวๆ 1 ล้านล้านบาทอย่างเป็นทางการแล้ว