TTT 2025 Events

ปกป้อง Container และ Cloud Workload ด้วย F5 App Infrastructure Protection (AIP)

April 21, 2023 Cloud Security, Cybersecurity, F5 Networks, Featured Posts, Products

หลังจากที่โลกได้เร่ง Digital Transformation กันอย่างก้าวกระโดด เทคโนโลยี Cloud และ Containerization ได้ส่งผลให้โครงสร้างพื้นฐาน (Infrastructure) และการพัฒนาแอปพลิเคชัน (Application) ขององค์กรต่าง ๆ ได้เปลี่ยนแปลงไปโดยสิ้นเชิง สิ่งที่เกิดขึ้นได้ส่งผลต่อเรื่องความมั่นคงปลอดภัย (Security) อย่างหลีกเลี่ยงไม่ได้ ทุกองค์กรจำเป็นต้องพิจารณา Security ขององค์กรในทุกระดับ ตั้งแต่ Application ไปจนถึง Infrastructure ที่อยู่เบื้องหลัง ตามคำกล่าวที่ว่า “Application ยุคใหม่จะมั่นคงปลอดภัยได้เท่ากับ Infrastructure ที่ Application เหล่านั้นรันอยู่เท่านั้น”

ทุกองค์กรจึงควรให้ความสำคัญกับเรื่อง Security ของ Infrastructure อย่างมาก และ App Infrastructure Protection (AIP) คือหนึ่งในเครื่องมือสนับสนุนการปกป้อง Infrastructure และ Application ของทุกองค์กรจาก F5 องค์กรผู้เชี่ยวชาญด้าน Security ระดับโลก ด้วยระบบ ML ตรวจจับภัยคุกคาม (Threat) อย่างมีประสิทธิภาพสูง ทำให้องค์กรมีทัศนวิสัย (Visibility) ที่ทำให้การทำงานในทุกวันดำเนินไปได้อย่างมั่นใจยิ่งขึ้น และบทความนี้คือภาพรวมของเทรนด์การเกิดการละเมิด (Breach) ในปัจจุบันและเครื่องมือ AIP โดยคุณประชาชาติ สถาพรนานนท์ Solutions Engineer จาก F5 (Thailand) ที่ได้บรรยายไว้ใน F5 Webinar: Securing Container and Cloud Workload in 2023 ว่าจะสามารถช่วยองค์กรปกป้อง Application และ Infrastructure ให้มีความปลอดภัยอย่างไรได้บ้าง

ผลงานวิจัย Application Protection Report จาก F5 Labs

ในทุก ๆ ปี ทาง F5 Labs ซึ่งเป็นหน่วยงานวิจัยของทาง F5 จะมีการเผยแพร่รายงาน Application Protection Report ออกมาสู่สาธารณะ โดย F5 ได้รวบรวมเหตุการณ์ด้าน Security ที่เกิดขึ้นไม่ว่าจะเป็น Public Breach ที่เกิดขึ้นอย่างต่อเนื่อง รวมถึงแนวโน้มเทรนด์ลักษณะการเกิด Breach พร้อมทั้งคำแนะนำว่าส่วนใดควรจะต้องปกป้องระมัดระวังจุดใดเป็นพิเศษในช่วงเวลานั้น ๆ มากขึ้น ซึ่งรายงานฉบับเต็มล่าสุดจากทาง F5 ของปี 2022 นั้นสามารถอ่านได้ที่นี่

จากรายงานฉบับล่าสุด F5 ได้ชี้ให้เห็นเทรนด์ลักษณะของ Breach ที่เกิดขึ้นช่วง 3-4 ปีที่ผ่านมาว่ามักจะเกิดจากเรื่องของการเข้าถึง (Access) เป็นส่วนใหญ่ แต่สาเหตุที่เติบโตอย่างก้าวกระโดดอย่างชัดเจนมาก ๆ คือ “มัลแวร์ (Malware)” โดยในปี 2021 นั้น Malware ได้เป็นสาเหตุของการเกิด Breach สูงถึง 30% ไปแล้ว และคาดว่าจะยังเติบโตขึ้นเรื่อย ๆ ในอนาคตอีกหลายปีต่อจากนี้

Data Breach ที่เกิดขึ้นในช่วงปี 2018 – 2021 (Credit : F5 Labs)

นอกจากนี้ F5 ยังชี้ให้เห็นว่าเทคนิคยอดนิยมตามเฟรมเวิร์ก MITRE ATT&CK ที่นำไปสู่การเกิด Breach ในปี 2021 ที่ผ่านมาคือ “การเข้ารหัสข้อมูลเพื่อให้เกิดผลกระทบกับองค์กร (Data Encrypted for Impact)” ตามที่เห็นในภาพว่าเป็นเทคนิคที่นำไปสู่การเกิดเหตุการณ์ Data Breach มากที่สุดก่อนหน้านี้ ซึ่งเทคนิคดังกล่าวเป็นสิ่งที่เกิดจาก “แรนซัมแวร์ (Ransomware)” นั่นเอง และ F5 เชื่อว่าทั้งสาเหตุและเทคนิคนี้จะยังคงทำให้เกิด Breach ใหม่ขึ้นในอีกหลายปีข้างหน้านี้อย่างแน่นอน

เทคนิค MITRE ATT&CK ที่นำไปสู่การเกิด Data Breach ในสหรัฐอเมริกา ช่วงปี 2020-2021 (Credit : F5 Labs)

4 ระยะในการโจมตีของ Ransomware

โดยทั่วไป Ransomware จะมีเทคนิคหรือกระบวนการในการโจมตีเป็น 4 ระยะ (Stage) ได้แก่

  • Initial Access การพยายามหาทางเข้าถึง Infrastructure ขององค์กร เช่น การโจมตีผ่านเว็บไซต์ด้วยการฝัง Script ให้เครื่องรันอะไรบางอย่างที่อาจฝังโปรแกรมแล้วทำให้เกิดช่องทางเข้า Infrastructure ขององค์กรได้
  • Privilege Escalation การพยายามหาทางเพิ่มสิทธิ (Authorization) ภายในเครื่องหรือใน Infrastructure ขององค์กรเพื่อทำการโจมตีตามที่ต้องการได้ รวมทั้งขยายผลได้ในวงกว้างมากขึ้น
  • Exfiltration การพยายามดึงเอาข้อมูลสำคัญภายในองค์กรออกไปจัดเก็บไว้ที่ระบบภายนอก โดยอาจจะเป็นพื้นที่ Cloud Storage ที่จัดเตรียมไว้แล้ว เป็นต้น

Impact อันเป็นเป้าหมายสุดท้ายคือการเข้ารหัส (Encrypt) ข้อมูลต่าง ๆ ขององค์กรเพื่อสร้างผลกระทบให้เกิดขึ้น ทำให้องค์กรได้รับความเสียหาย มีผลกระทบกับการทำงานหรือกระบวนงานที่สำคัญ

4 ระยะการโจมตีของ Ransomware ในปี 2021 (Credit : F5 Labs)

ที่สำคัญ หลังจากที่ Ransomware สามารถโจมตีสำเร็จในจุดหนึ่งแล้ว ก็มักจะพยายามขยายผลไปในจุดอื่น ๆ ต่อในสภาพแวดล้อม (Environment) เดียวกัน โดยอาจจะส่ง Ransomware ไปยังเครื่อง Server อื่นหรือไป Cloud Workload อื่น ๆ อย่างแนบเนียน จนทีม Security ไม่อาจตรวจจับได้ พร้อมกลบเกลื่อนร่องรอยที่เกิดขึ้น เช่น ลบ Access Log หรือลบไฟล์ Log ต่าง ๆ ไป พร้อมกันนั้นอาจจะไปปิดการใช้งาน (Disable) เครื่องมือ Security ขององค์กร อาทิ ระบบ Threat Detection and Response (TDR) ลงไป อีกทั้งยังอาจไปเข้ารหัสข้อมูลสำรอง (Backup) ที่มีอยู่ภายในด้วยเพื่อให้การกู้คืนข้อมูลทำได้อย่างยากลำบากมาก จนองค์กรอาจจำเป็นต้องยอมรับเงื่อนไขตามที่แฮกเกอร์ผู้ปล่อย Ransomware เรียกร้องเพื่อให้ได้ข้อมูลคืนมา

2 Layer ที่ทุกองค์กรต้องปกป้องให้ดี

อย่างที่รู้กันว่า Infrastructure และการออกแบบพัฒนา Application ได้เปลี่ยนแปลงไปจากในอดีตอย่างรวดเร็ว การพัฒนา Application ที่มีลักษณะเป็น Microservice หรือเป็น API มากขึ้น Infrastructure กลายเป็น Cloud-Native เป็น Container วางบน Muti-Cloud หรือ Serverless รวมไปถึงการเรียกใช้บริการ Software-as-a-Service (SaaS) อย่างหลากหลายและซับซ้อน จนทำให้ทุกวันนี้ทุกองค์กรมีความท้าทายในเรื่อง Security มากกว่าในอดีตกาลอย่างมหาศาล

แต่อย่างไรก็ดี ไม่ว่าจะมีความซับซ้อนมากน้อยขนาดไหน ภาพรวมจะยังคงแบ่งเป็น 2 ชั้น (Layer) ที่สำคัญที่ทุกองค์กรจะต้องปกป้องให้ดี ได้แก่

  • Application ที่ให้บริการ ซึ่งควรเสริมสร้าง Security อาทิ การจัดการควบคุมสิทธิ (Access Control) การยืนยันตัวตน (Authentication) การทำใบรับรอง SSL/TLS การดำเนินการตาม OWASP Top 10
  • Cloud-Native Infrastructure ไม่ว่าจะเป็น Container, Kubernetes, Host VM หรือ Cloud Management Console อย่างเช่น Red Hat OpenShift หรือ Cloud Provider ต่าง ๆ  ก็ควรจะต้องมี Security ที่ปกป้องให้ทุกจุด

หลาย ๆ องค์กรมักเชี่ยวชาญในการปกป้องส่วนของ Application Layer หากแต่ในส่วน Infrastructure Layer นั้นอาจจะไม่คุ้นชินมากนัก ทั้งนี้ “ไม่ว่าจะปกป้อง Application ดีเพียงใด ถ้าไม่ปกป้องในส่วนของ Infrastructure ให้แข็งแกร่งพอ หากถูกโจมตีแล้วก็จะกระทบต่อ Application ได้เช่นกัน” ดังนั้น การทำให้เห็นทัศนวิสัย (Visibility) ทั้งหมดของ Infrastructure ว่ามีอะไรอยู่บ้าง สิ่งที่ใช้อยู่ทั้งหมดนั้นมี Security ดีแล้วหรือไม่ จึงเป็นสิ่งที่สำคัญ และ App Infrastructure Protection จากทาง F5 คือหนึ่งในผลิตภัณฑ์ที่ตอบโจทย์ในส่วนนี้

โซลูชัน App Infrastructure Protection ภายใต้ F5 Distributed Cloud 

เมื่อปี 2021 ที่ผ่านมา ทาง F5 ได้เข้าซื้อกิจการ Threat Stack ผู้เชี่ยวชาญด้าน Cloud Security ที่จะช่วยให้เห็น Visibility ของทั้ง Application Infrastructure และ Workload ซึ่งทำให้ผู้ใช้งานสามารถปรับใช้ (Adopt) Security ที่สอดคล้องกันใน Cloud ใด ๆ ได้อย่างสะดวก และหลังจากที่ F5 ได้นำ Threat Stack มาพัฒนาเพิ่มเติมเพื่อให้ทำงานกับโซลูชันเดิมของทาง F5 ได้สำเร็จ F5 จึงเปิดตัวออกมาเป็นโซลูชัน App Infrastructure Protection (AIP)

โซลูชัน AIP เป็นส่วนหนึ่งในกลุ่ม F5 Distributed Cloud ที่สามารถให้บริการแบบ “Full-Stack Observability” หรือการให้ Visibility ที่ครอบคลุมทั้ง Stack หรือทุก Layer ที่ Application กำลังรันอยู่ ทำให้องค์กรสามารถเห็นภาพรวมข้อมูล (Telemetry) ภายใน Infrastructure ทั้งหมดว่าเกิดเหตุการณ์อะไรขึ้นบ้าง มีเหตุการณ์อะไรที่ควรจะต้องพิจารณา พร้อมทั้งมีระบบ Machine Learning (ML) ที่เป็น Supervised Machine Learning ช่วยวิเคราะห์เหตุการณ์ที่อาจเป็นภัยคุกคามได้อย่างแม่นยำ ซึ่ง AIP จะส่งการแจ้งเตือน (Alert) ให้กับองค์กรในทันที โดยทาง F5 ได้ให้บริการโซลูชัน AIP ในลักษณะ SaaS ที่พร้อมใช้งานได้ทันทีหลังจากที่องค์กรส่งข้อมูล Telemetry ทุก Layer ใน Stack ของ Infrastructure เข้าสู่โซลูชัน AIP

โซลูชัน AIP จะแบ่งการทำงานเป็น 4 ระยะ ได้แก่

  • Collect การจัดเก็บข้อมูล Telemetry จากแต่ละส่วนในทุก Stack ไม่ว่าจะเป็น App, Container, Host VM หรือว่า Cloud Management Console หรือแม้แต่ Bare Metal Server
  • Detect การตรวจจับเหตุการณ์ที่ไม่พึงประสงค์เกิดขึ้นผ่านกฎ (Rule) ที่ตั้งไว้ หรือระบบ ML ที่จะวิเคราะห์พฤติกรรมที่น่าสงสัยจาก Telemetry ทั้งหมด เช่น คำสั่งที่มีการใช้งานผิดเวลาที่กำหนดไว้ ซึ่งระบบจะแจ้งเตือนทั้ง Known และ Unknown Threat ออกมาเพื่อให้ตรวจสอบต่อไป
  • Analyze การวิเคราะห์ Alert ที่ได้มาตามแต่ละ Use Case เช่น การตรวจสอบที่ Cloud Management Console การตรวจสอบ Audit Log หรือที่ Cloudtrail เพื่อตรวจสอบในอีกระดับว่ามีพฤติกรรมที่ผิดปกติจริงหรือไม่ เช่น การมีคนพยายามไปแก้ไขไฟล์ที่ไม่ควรไปแก้ไขหรือไม่ 
  • Respond การส่ง Alert ไปหาระบบ Security Operation ต่าง ๆ อย่างเช่น SIEM หรือ SOAR เพื่อดำเนินการตามขั้นตอนที่กำหนดไว้ได้อย่างรวดเร็ว เพื่อบรรเทาความเสียหายที่เกิดขึ้นได้ทันที

ปกป้อง Container และ Cloud Workload ด้วย F5 AIP ได้แล้ววันนี้

เพราะปัจจุบันการโจมตีเพื่อทำให้เกิด Breach นั้นมีเทคนิคและกระบวนการที่หลากหลาย และหลาย ๆ ครั้งที่ Breach เกิดขึ้นนั้นเป็นเพราะขาด Visibility หรือความไม่รู้ว่าภายใน Application และ Infrastructure นั้นมีอะไรผิดปกติเกิดขึ้นภายในบ้าง ซึ่ง F5 Distributed Cloud App Infrastructure Protection จากทาง F5 คือเครื่องมือที่จะช่วยเสริม Visibility ให้กับขององค์กรในทุก Layer ไม่ว่าจะเป็น Cloud, Container หรือ Bare Metal ก็สามารถช่วยตรวจจับและแจ้งเตือนให้องค์กรสามารถจัดการกับพฤติกรรมอันไม่พึงประสงค์ได้อย่างทันเวลา และทำให้องค์กรสามารถเดินหน้าธุรกิจต่ไปไแ้อย่างมั่นใจในทุก ๆ วัน

สำหรับผู้ที่สนใจโซลูชัน AIP จากทาง F5 สามารถดูเพิ่มเติมได้ที่เว็บไซต์นี้ ส่วนการบรรยายในหัวข้อ “F5 Webinar: Securing Container and Cloud Workload in 2023” โดยคุณประชาชาติ สถาพรนานนท์ Solutions Engineer จาก F5 (Thailand) สามารถดูย้อนหลังได้ที่นี่

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบมัลแวร์เรียกค่าไถ่ VanHelsing ตัวใหม่โจมตีระบบ Windows, ARM และ ESXi พร้อมกัน

ผู้เชี่ยวชาญด้านความปลอดภัยค้นพบมัลแวร์เรียกค่าไถ่ตัวใหม่ชื่อ VanHelsing ที่ออกแบบมาให้ทำงานได้หลายแพลตฟอร์มทั้ง Windows, Linux, BSD, ARM และ ESXi โดยเป็นการให้บริการในรูปแบบ Ransomware-as-a-Service (RaaS)

Google เปิดตัว Gemini 2.5 โมเดล AI ใหม่ล่าสุด พร้อมความสามารถด้านการคิดวิเคราะห์สูง

Google ประกาศเปิดตัว Gemini 2.5 โมเดล AI ที่ฉลาดที่สุดในขณะนี้ พร้อมความสามารถด้าน “Thinking” ที่ให้ประสิทธิภาพเหนือกว่าคู่แข่งในด้านการคิดวิเคราะห์และการเขียนโค้ด โดยรุ่นแรกคือ Gemini 2.5 Pro Experimental

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand