ADPT

ทำงานแบบ Hybrid Work ให้ปลอดภัย เริ่มต้นด้วย Zero trust วันนี้

สถานการณ์การแพร่ระบาดของไวรัสโควิทบีบให้ทุกองค์กรเปลี่ยนรูปแบบการทำงานไปจากเดิม ไม่พ้นแม้แต่บริษัทยักษ์ใหญ่อย่างไมโครซอฟท์เช่นกัน อย่างไรก็ดีไมโครซอฟท์ได้มีการทำงานในรูปแบบ Hybrid Work มาหลายปีแล้ว และยังได้นำแนวความคิดของ Zero Trust มาใช้ในการดูแลความปลอดภัย จึงพร้อมรับมือกับสถานการณ์ได้อย่างมั่นใจ ในขณะที่องค์กรส่วนใหญ่ตระหนักดีแล้วว่าการทำงานรูปแบบใหม่นี้ อาจจะทำให้องค์กรมีความเสี่ยงกับภัยคุกคามที่มีเพิ่มขึ้นอย่างหลีกเลี่ยงไม่ได้ แต่ยังไม่ทราบว่าจะเริ่มต้นป้องกันตัวเองได้อย่างไร วันนี้เรามีสาระดีๆจากไมโครซอฟท์ที่มาเล่าถึงประสบการณ์ตรงว่า ผ่านการปฏิวัติองค์กรสู่ Zero Trust ได้อย่างไรมาเล่าให้ฟังกัน

ก่อนจะเข้าประเด็นว่า Zero Trust คืออะไร จะย้อนกลับไปเมื่อยี่สิบปีก่อน พนักงานจะทำงานก็ต้องเดินทางเข้ามาบริษัท การทำงานก็จะอยู่ภายใต้เครือข่ายขององค์กร การดูแลรักษาความปลอดภัยก็จะอยู่ในกรอบอาณาเขตขององค์กร เมื่อประมาณปี 1995 อินเตอร์เน็ตเข้ามามีบทบาท พนักงานสามารถทำงานจากบ้านได้โดยใช้ VPN (virtual private network) และเครือข่ายภายในองค์กรจะมีอุปกรณ์เช่น Firewall เข้ามากรองการเข้าถึงระบบจากภายนอก เรามาดูในยุคปัจจุบัน การทำงานในรูปแบบไฮบริดที่พนักงานสามารถทำงานจากที่บ้าน ทำงานจากที่ไหนก็ได้ ใช้อุปกรณ์โน้ตบุ๊กขององค์กร หรือมือถือส่วนตัว และยังรวมไปถึงอุปกรณ์ต่าง ไม่ว่าจะเป็นเครื่องจักร เซนเซอร์ต่างๆ ที่อยู่กระจายไปตามที่ต่างๆ โดยที่พนักงานหรืออุปกรณ์เหล่านั้นจะต้องการเข้าถึงระบบขององค์กร ดังนั้นจะเห็นได้ว่าการดูแลจัดการด้านความปลอดภัยจะไม่สามารถดูแลเฉพาะภายในเครือข่ายองค์กรได้อีกต่อไป แต่ต้องขยายออกไปถึงอุปกรณ์ปลายทางที่ต้องการเชื่อมต่อเข้าระบบอีกด้วย

อีกประเด็นหนึ่งที่สำคัญคือเรื่องของภัยคุกคาม ปัจจุบันความก้าวหน้าและความซับซ้อนของภัยคุกคามมีมากขึ้นเรื่อยๆ จากเดิมที่เน้นเป้าหมายเป็นคนทั่วไปหรือเป็นเหยื่อรายเล็กๆ ปัจจุบันเปลี่ยนเป้าหมายเป็นระดับองค์กร โดยใช้วิธีที่เรียกว่า Human Operate Ransomware หรือการโจมตีที่ใช้คนสั่งการ และภัยคุกคามนี้โดยส่วนใหญ่ต้องการที่จะขโมยข้อมูล ซึ่งอาจจะใช้ทั้งวิธีเรียกค่าไถ่หรือนำข้อมูลไปขายในตลาดมืด จากสภาพแวดล้อมที่เปลี่ยนไปนี้เองทำให้การดูแลรักษาความปลอดภัยจะต้องอาศัยแนวคิดใหม่ๆ ซึ่ง Zero Trust ไม่ได้หมายถึงสินค้า แต่เป็นแนวความคิดของการดูแลจัดการความปลอดภัย

Zero Trust คืออะไร?

Zero Trust เป็นแนวความคิด ในการดูแลความปลอดภัยในโลกไซเบอร์ โดยตั้งอยู่บนหลักการสามข้อคือ

  • Verify Explicitly – จะไม่มีการอนุญาตให้เข้าใช้งานโดยไม่ตรวจสอบ ด้วยเหตุนี้เองทุกการเข้าใช้งานที่วิ่งเข้ามาในระบบจะถูกตรวจสอบอย่างเข้มข้น โดยมีกลไกการพิสูจน์ตัวตนและกำหนดสิทธิ์การใช้งานโดยพิจารณาจากบริบทต่างๆเช่น ตัวตนของผู้เรียกใช้งาน (Identity) พิกัดที่เข้ามาขอใช้งาน บริการหรือ Workload ที่ขอใช้งาน สถานะของอุปกรณ์ที่เข้ามาใช้งาน และความผิดปกติในการร้องขอ
  • Least Privilege – หลังจากได้อนุญาตเข้าใช้งานแล้ว แนะนำให้จำกัดสิทธิ์ให้อยู่ในระดับต่ำที่สุดที่จำเป็น เช่นสิทธิ์ในการเข้าถึงทรัพยากร โดยมีการจัดทำนโยบาย เช่นพนักงานใช้อุปกรณ์ส่วนตัวที่ไม่ได้ลงทะเบียนไว้ สามารถทำงานได้ แต่การเข้าถึงไฟล์ทำได้ในระดับ Read only หรือ พนักงานที่ทำหน้าที่เป็นผู้ดูแลระบบจากเดิมจะได้สิทธิ์ที่เป็น Super User หรือ Admin ตลอดเวลา ก็ให้ปรับเป็นสิทธิ์แบบผู้ใช้งานปกติ และเมื่อใดที่ต้องการทำงานที่ต้องใช้สิทธิ์ของ Admin ก็ค่อยทำการขออนุมัติปรับระดับของประเภทผู้ใช้งาน และจำกัดเวลาที่จะทำงานเป็น Admin เฉพาะในช่วงเวลานั้นๆ  
  • Assume Breach – ตั้งสมมติฐานไว้ก่อนว่าองค์กรกำลังโดนโจมตีด้วยภัยคุกคาม ดังนั้นระบบที่ดูแลตรวจสอบภัยคุกคามจำเป็นที่จะต้องมีความพร้อม เพื่อที่ให้เราสามารถตรวจเจอ และหยุดการโจมตีได้ทันท่วงที อย่างที่กล่าวไว้ว่ารูปแบบภัยคุกคามยกระดับขึ้นมาเป็น Human Operate Ransomware การโจมตีจะเริ่มตั้งแต่ผู้ใช้งานที่ถูกหลอกจากอีเมลหลอกลวง (Phishing) หรือการเปิดไฟล์แนบที่มีมัลแวร์ ทำให้ผู้ใช้งานนั้นถูกโจรไซเบอร์ครอบครองเครื่องแบบไม่รู้ตัว เมื่อโจรไซเบอร์ได้เริ่มฝังตัวอย่างเงียบๆ อยู่บนเครื่องผู้ใช้งานที่โดนหลอก โจรก็จะอาศัยจุดนี้ที่จะเริ่มเดินทางต่อเข้าไปในระบบภายในองค์กร จนในที่สุดโจรเจอระบบเป้าหมายที่สามารถขโมยข้อมูลเพื่อเรียกค่าไถ่และได้เม็ดเงินมหาศาลกลับไป ดังนั้นระบบการตรวจสอบภัยคุกคามจำเป็นที่จะต้องมีให้ครบวงจรตลอดการเดินทางคุกคามของโจรไซเบอร์

หัวใจสำคัญที่จะให้พนักงานทำงานจากทุกที่ได้อย่างปลอดภัย

การนำหลักการของ Zero Trust มาใช้ในการดูแลความปลอดภัยกับการทำงานแบบไฮบริดนั้น มีเป้าหมายเพื่อทำให้องค์กรมั่นใจได้ว่าพนักงานสามารถเข้าถึงระบบและ resource ได้จากทุกที่อย่างปลอดภัย จากหลักการสามข้อของ Zero Trust คือข้อหนึ่งต้องมีการตรวจสอบทุกๆ ครั้งเมื่อมีการเข้าสู่ระบบ ข้อสองมีการจัดการนโยบายที่จะให้เข้าถึงทรัพยากรให้น้อยที่สุด ให้สิทธิ์เท่าที่จำเป็น และข้อสามคือการคิดเสมอว่ากำลังถูกเจาะระบบ นั่นคือเราต้องมีเครื่องมือที่จะสามารถมองเห็นว่าเรากำลังถูกคุกคามอยู่หรือไม่

วิธีที่องค์กรสามารถทำให้พนักงานทำงานแบบไฮบริดได้แบบปลอดภัย บนแนวความคิด Zero Trust แบ่งออกเป็น 4 หัวข้อดังนี้

1.) ปรับการทำงานสู่โมเดล Internet-first

เมื่อ 15 ปีก่อน การทำงานจากบ้าน ต้องอาศัย VPN เพื่อดูแลความปลอดภัยให้กับคนที่ทำงานนอกออฟฟิศและต้องการเข้าใช้ระบบขององค์กร แต่องค์กรจะต้องลงทุนกับ VPN ตั้งแต่ซอฟต์แวร์ หรือท่อที่ต้องรองรับการเชื่อมต่อเข้ามา ซึ่งจะเห็นได้ว่าจากท่อที่มีจำกัดทำให้การรองรับปริมาณคนที่จะเข้ามาใช้ จำนวนคนที่จะเข้าระบบได้พร้อมๆกันมีจำกัด ดังนั้นในสถานการณ์โควิดที่ต้องทำงานในรูปแบบไฮบริดนั้น การลงทุนขยายระบบ VPN เพื่อรองรับจำนวนพนักงานในองค์กรที่มีจำนวนมากให้สามารถทำงานจากบ้านได้อาจจะเป็นทางเลือกที่มีค่าใช้จ่ายสูง องค์กรสามารถใช้ทางเลือกที่ง่ายกว่า และคุ้มค่ากว่าคือการให้พนักงานสามารถใช้อินเตอร์เน็ตที่บ้าน หรือจากร้านค้าล็อกอินเข้าใช้ระบบได้ โดยที่ไม่ต้องใช้ช่องทาง VPN และใช้วิธีการตรวจสอบแบบใหม่ที่ทันสมัย ในการเช็คข้อมูลของผู้ทำการล็อกอินเข้ามาขอเข้าระบบว่าเป็นพนักงานขององค์กรจริงๆ

2.) ควบคุมความปลอดภัยในการเข้าถึงด้วย Conditional Access 

เมื่อผู้ใช้งานเข้าถึงระบบโดยใช้อินเตอร์เน็ต จากแนวความคิดของ Zero Trust คือการตรวจสอบทุกครั้งเมื่อมีคนขอเข้าใช้ระบบ ไมโครซอฟต์มีเทคโนโลยีสมัยใหม่ คือ Microsoft Active Directory Conditional Access ซึ่งใช้การตรวจสอบคนเข้าระบบที่มากกว่าการใช้รหัสผ่านหรือ password โดยการใช้ปัจจัยอื่นๆ มาประเมินความเสี่ยง ได้แก่ ตรวจสอบอุปกรณ์ที่ใช้ ตรวจสอบพิกัดสถานที่ว่าทำการล๊อกอินมาจากสถานที่หรือประเทศแปลกๆ หรือไม่ และตรวจสอบแอพพลิเคชั่นที่ใช้ขอเข้าระบบ ระบบจะนำปัจจัยทั้งหมดมาประเมินความเสี่ยงก่อนตัดสินใจให้ผู้ใช้คนนั้นเข้าระบบหรือไม่ หากระบบไม่แน่ใจว่าผู้ใช้งานนี้เป็นพนักงานของตนเองจริงๆ หรือไม่ ระบบการใช้วิธีการที่เรียกว่าการทำ Multi-factor authentication หรือการยืนยันตัวตนด้วยรหัสอีกชุดหนึ่ง ซึ่งเป็นรหัสที่พนักงานตั้งไว้ก่อนหน้านี้แล้ว เพื่อทำการยืนยันกับระบบว่าเป็นพนักงานจริงๆ ที่ต้องการเข้าใช้

3.) การจัดการด้านสิทธิ์ ความปลอดภัยของการเข้าถึงทรัพยากรและข้อมูลที่สำคัญ

การจัดการด้านนี้จะต้องใช้การตรวจสอบคนที่เข้าขอใช้ระบบที่กล่าวไปแล้วในข้อที่สอง ต่อมาคือการจัดการทางด้านอุปกรณ์ที่จะต้องมั่นใจว่าอุปกรณ์ที่ใช้งานมีความปลอดภัย (ดูข้อมูลเพิ่มเติม) รวมไปถึงการดูแลจัดการไฟล์ที่สำคัญ เริ่มต้นตั้งแต่กำหนดชื่อไฟล์ แบ่งประเภทของไฟล์นั้นว่าเป็นไฟล์แบบ Sensitive, Confidential เป็นต้น โดยใช้เทคโนโลยีในการทำ Label ตัวไฟล์ โดยตัว Label นี้จะใช้ในการบอกแอปพลิเคชันต่างๆ เมื่อไฟล์นั้นถูกใช้งานว่าเป็นไฟล์แบบใด และมีนโยบายที่จะอนุญาตให้เปิดได้บนแอปพลิเคชันใด หรือบนอุปกรณ์ใด เช่นผู้ใช้งานเปิดไฟล์สำคัญบนแอปพลิเคชันอีเมล และต้องการส่งต่อบนแชทแอปพลิเคชันส่วนตัว ระบบก็สามารถบล็อกการส่งต่อนี้ได้ เป็นต้น นอกจากนี้ยังมีเทคโนโลยี Data Loss Prevention ที่จะเข้ามาช่วยในการแจ้งเตือนเมื่อไฟล์สำคัญต่างๆ เหล่านี้อาจจะถูกส่งออกไปนอกระบบ เช่นผู้ใช้งานส่งอีเมลโดยแนบไฟล์สำคัญนี้ ระบบก็จะทำการแจ้งเตือนผู้ใช้งาน เป็นต้น

4.) การดูแลจัดการภัยคุกคามแบบ End to End

แนวความคิดของ Zero Trust คือการให้เราอยู่เสมอว่าเรากำลังถูกโจมตี ดังนั้นถ้าองค์กรไม่มีระบบที่สามารถทราบได้ว่า ตัวเองกำลังถูกโจมตีอยู่หรือไม่ องค์กรก็จะไม่รู้ได้เลยว่า ระบบของเรามีโจรไซเบอร์แฝงตัวอยู่หรือไม่ จากความก้าวหน้าของภัยคุกคามจะเห็นได้ว่าการเจาะระบบนั้นมักจะเริ่มจากผู้ใช้งานองค์กรเป็นหลัก แล้วจึงค่อยๆ คืบคลานเข้ามายังระบบอื่นๆ ในองค์กร ดังนั้นเทคโนโลยี Microsoft Defender จึงถูกออกแบบมาให้สามารถดูแลจัดการความปลอดภัยได้แบบ End to End ตั้งแต่ Microsoft Defender for Office365 จะช่วยจัดการภัยคุกคามที่จะเข้ามาทางบริการต่างๆ ของ Microsoft 365 Service เช่น Exchange online หรือการตรวจสอบอีเมลหลอกลวงที่มีลิงก์แนบที่ไม่ดี หรือมีไฟล์แนบที่มีมัลแวร์ ระบบจะทำการสแกนและบล็อกอีเมลนั้นก่อนที่จะส่งต่อไปผู้ใช้งาน หรือระบบจะคอยสแกนไฟล์ที่อยู่บน OneDrive for Business, Sharepoint Online ว่ามีมัลแวร์หรือไม่ เป็นต้น

หากเกิดเหตุที่ผู้ใช้งานอาจถูกหลอกโดยเปิดไฟล์และติดมัลแวร์บนอุปกรณ์ Microsoft Defender for Endpoint จะช่วยในการจัดการบล็อกผู้ใช้งานในการเข้าถึงทรัพยากร หรือนอกจากนี้ยังสามารถตรวจสอบช่องโหว่ที่ตัวอุปกรณ์ของผู้ใช้งานมีได้ และเมื่อเกิดกรณีที่ผู้ใช้งานติดมัลแวร์และโจรฝังมัลแวร์ลงไปในเครื่องอย่างเงียบๆ เมื่อโจรเริ่มทำการสั่งการโดยการพยายามล็อกอินเข้าไปในระบบเซิร์ฟเวอร์อื่นๆ ในองค์กร Microsoft 365 Defender for Identity จะทำการตรวจสอบความผิดปกติที่เกิดขึ้นในระบบ เช่นภายในระยะเวลา 10 นาทีมีปริมาณการพยายามล็อกอินเข้าเครื่องเซิร์ฟเวอร์ของระบบ CRM เป็นจำนวนหนึ่งหมื่นครั้ง ตัว Microsoft 365 Defender ก็จะทำการแจ้งเตือนผู้ดูแลระบบให้รับทราบ ทั้งหมดที่กล่าวมานี้จะเห็นได้ว่าการที่เราเตรียมความพร้อมที่จะมีเครื่องมือที่ดูแลภัยคุกคามแบบ End to End จะทำให้เราสามารถตรวจสอบเจอภัยคุกคามที่อาจจะคืบคลานเข้ามาจากช่องทางต่างๆ ได้อย่างครบถ้วน

เตรียมตัวให้พร้อมตั้งแต่วันนี้เพื่อความปลอดภัยในวันข้างหน้า

จากสถานการณ์ที่ไม่แน่นอนนั้น ส่งผลให้การทำงานในรูปแบบไฮบริดนั้นเป็นสิ่งที่องค์กรต้องเตรียมความพร้อมอยู่เสมอ เพื่อให้พนักงานสามารถทำงานจากที่ไหนก็ได้ และยังอยู่บนระบบที่มีความปลอดภัย ท้ายที่สุดการสร้างวัฒนธรรมองค์กรก็เป็นปัจจัยสำคัญ เพราะองค์กรจะต้องสร้างสภาพแวดล้อมที่ส่งเสริมให้พนักงานเปิดรับ และปรับตัวกับรูปแบบการทำงานในรูปแบบใหม่ และทำความเข้าใจกับการดูแลความปลอดภัยให้กับตัวเขาเอง และกับองค์กร เพื่อสร้างความมั่นใจและความไว้วางใจให้กับลูกค้าในการทำธุรกิจได้อย่างปลอดภัย

ติดตามเพิ่มเติมได้ที่ : 


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

5 เหตุผลทำไมควรปกป้อง Multi-cloud Apps ด้วย McAfee MVISION CNAPP

เกือบทุกบริษัท ตั้งแต่ธุรกิจ SMB ไปจนถึงองค์กรขนาดใหญ่ ต่างใช้ระบบ Cloud กันทั้งสิ้น อีกทั้งหลายๆ บริษัทเริ่มใช้ระบบ Cloud จากผู้ให้บริการหลายๆ รายเพื่อให้ได้ผลลัพธ์เชิงธุรกิจที่ดีที่สุด กลายเป็นสถาปัตยกรรมแบบ Multi-cloud ซึ่งก่อให้เกิดปัญหาด้าน …

TechTalk x ACIS Webinar: Privacy and Data Resilience

ACIS Professional Center ร่วมกับ TechTalkThai ขอเรียนเชิญผู้บริหารและผู้ปฏิบัติงานด้าน Cybersecurity เข้าร่วมสัมมนาออนไลน์ “Privacy and Data Resilience” พร้อมแชร์กระบวนการและเครื่องมือที่ใช้สำหรับปกป้องข้อมูลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลจากการทำงานจริง …