TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Exposure Management เป็นคำศัพท์ที่หลายคนคงเคยได้ยินกันมาบ้างแล้ว แล้วนิยามที่แท้จริงเกี่ยวกับคำศัพท์คำนี้แท้จริงแล้วมีหัวข้อครอบคลุมเกี่ยวกับอะไรกันแน่ ทำไมองค์กรถึงต้องใส่ใจ จะเริ่มต้นได้อย่างไร ในบทความนี้เราจะขอขยายความเกี่ยวกับ Exposure Management กันครับ
Exposure Management คืออะไร?
Exposure Management เป็นกระบวนการในการปกป้องสินทรัพย์ดิจิทัลที่สามารถถูกเจาะโจมตีได้ อาจจะเป็น เซิร์ฟเวอร์ แอปพลิเคชัน คลาวด์ Endpoint เป็นต้น โดยวัตถุประสงค์ของการทำ Exposure Management ก็คือการตรวจตราพื้นผิวการโจมตีขององค์กรเพื่อค้นหาจัดการช่องโหว่ จุดอับต่อการโจมตีก่อนที่คนร้ายจะหาเจอ ซึ่งกระบวนการด้าน Exposure Management ได้รับการพูดถึงในหลายรูปแบบ โดยเราจะขออนุญาตยกตัวอย่างจาก Crowdstrike ที่อธิบายไว้ ดังนี้
1.) ค้นหาสินทรัพย์ที่ถูกเจาะได้
ความยุ่งยากของการค้นหาก็จะเป็นไปตามลักษณะของธุรกิจ โดยตัวอย่างคำว่าสินทรัพย์ดิจิทัล คือ เว็บแอปพลิเคชัน, DNS record, IoT, อุปกรณ์ OT (Operational Technology), API, Endpoint, ทรัพยากรบน Cloud ซึ่งการทราบถึงสินทรัพย์เหล่านี้จะช่วยให้เกิดความเข้าใจและลำดับความสำคัญได้ต่อไป
2.) จับคู่พื้นผิวการโจมตี
พิจารณาดูว่าเปิดช่องทางไหนเอาไว้บ้างเช่น บริการที่เข้าถึงได้สาธารณะ พอร์ทที่เปิดให้เข้าถึงได้ว่าจำเป็นหรือไม่ ช่องโหว่ของแอปและระบบปฏิบัติการ แม้กระทั่งข้อมูลที่อาจรั่วไหลอย่าง metadata หรือแม้กระทั่งการเปิดเผยข้อความ debug ซึ่งขั้นตอนนี้ช่วยให้องค์กรเข้าใจความคิดของผู้โจมตีและรู้ถึงสิ่งที่เปิดหน้าอยู่
3.) ประเมินความเสี่ยง
ทำแผนที่ของพื้นผิวการโจมตีและเส้นทางการโจมตีเพื่อประเมินความเสี่ยงเข้ากับแต่ละสินทรัพย์นำไปสู่การประเมินระดับความเสี่ยง เช่น ข้อมูลสำคัญเก็บอยู่กับสินทรัพย์ใด ความน่าจะเป็นที่การเปิดเผยสินทรัพย์นี้เสี่ยงต่อการโจมตี หากถูกโจมตีจะเกิดผลกระทบอย่างไร
4.) จัดลำดับความสำคัญของการถูกโจมตี
เมื่อประเมินความเสี่ยงของสินทรัพย์แล้ว ก็สามารถลำดับความสำคัญว่าการเปิดเผยสินทรัพย์นั้นเหมาะหรือไม่ แก้ไขหรือบรรเทาปัญหา หรือรอได้
5.) ลดทอนโอกาสถูกโจมตีในสินทรัพย์
ในขั้นตอนนี้คือการลงมือกระทำการกำจัดความเสี่ยงที่เชื่อมโยงกับสินทรัพย์ ซึ่งอาจประกอบด้วยหลายกิจกรรม เช่น แพตช์ช่องโหว่ สั่งปิดพอร์ทที่ไม่จำเป็น แก้ไขนโยบายการเข้าถึง หรือปิดกั้นไม่ให้เข้าถึง
6.) ติดตามอย่างต่อเนื่อง
การเปิดเผยพื้นผิวการโจมตีนั้นมีการเปลี่ยนแปลงตลอด ดังนั้นองค์กรต้องติดตามการเปลี่ยนแปลงได้อย่างต่อเนื่องทั้งลำดับความสำคัญหรือช่องโหว่ไหมของสินทรัพย์นั้น
ประโยชน์และความท้าทายของการทำ Exposure Management
การทำ Exposure Management ก่อให้เกิดประโยชน์แก่องค์กรในหลายด้าน เริ่มต้นจากการปรับปรุงการป้องกันสู่เชิงรุกเพราะทราบไว้แล้วว่ามีอะไรเกิดขึ้นได้บ้างตรงไหน ดีกว่ารอให้เหตุเกิดขึ้น และถ้าเกิดขึ้นจะส่งผลกระทบอะไรบ้าง นอกจากนี้องค์กรยังสามารถสื่อสารให้ได้เข้าใจตรงกันและวางงบประมาณที่มีจำกัดได้เหมาะกับสินทรัพย์เสี่ยง รวมถึงการปฏิบัติตามระเบียบข้อบังคับด้วย
อย่างไรก็ตามการทำ Exposure Management มาพร้อมกับความท้าทายด้วยเช่นกัน เพราะส่วนใหญ่แล้วองค์กรมักขาดบุคลากรที่มีทักษะจำเป็น รวมถึงงบประมาณเองที่จำกัด ในขณะที่ภัยจาก Supply Chain ก็มีให้เห็นมากขึ้น
เทคโนโลยีและเครื่องมือสนับสนุน
Exposure Management ต้องอาศัยเทคโนโลยีหลายตัวเพื่อให้บรรลุจุดประสงค์เพราะจากขั้นตอนข้างต้นจะเห็นได้ว่า Exposure Management มีทั้งเรื่องของการประเมินความเสี่ยง ช่องโหว่ การรู้จักสินทรัพย์ พื้นผิวการโจมตี และการต่อสู้กับภัยคุกคามด้วย ดังนั้นจึงกล่าวได้ว่าไม่มีเครื่องมือไหนดีที่สุด แม้จะมี Vendor พยายามอัดฟีเจอร์ต่างๆเข้ามารวมกัน ทั้งนี้องค์กรยังสามารถอาศัยเทคโนโลยีที่มีอยู่แล้วได้เช่น
- เครื่องมือสแกนหาช่องโหว่ของแอปพลิเคชัน คลาวด์ เครือข่าย โฮสต์ ฐานข้อมูล API หรืออะไรก็ตามในระบบไอที
- เครื่องมือช่วยค้นหาสินทรัพย์ก็เป็นจุดเริ่มต้นที่ดีที่ทำให้เราได้รู้จักตัวเองว่ามีสินทรัพย์อะไรบ้างจะได้จัดทำข้อมูลเหล่านั้น เพื่อการติดตาม รู้จุดอ่อน และไม่พลาดการรับรู้ว่ามีอยู่ของสินทรัพย์เหล่านั้น รวมถึงเป็นประโยชน์ต่อการจัดทำรายงานตามระเบียบบังคับขององค์กรด้วย
- เครื่องมือจัดการแพตช์ ช่วยในการระบุ ติดตาม อัปเดตแพตช์ให้แอปหรือบริการทันสมัยอยู่เสมอ
- เครื่องมือติดตามความมั่นคงปลอดภัย ช่วยติดตามความมั่นคงปลอดภัยอย่างต่อเนื่อง อาจจะมีการกวาดข้อมูลหลายส่วน เช่น เครือข่าย กิจกรรมผู้ใช้ และอื่นๆ เพื่อป้อนให้แก่ทีมเฝ้าระวังภัยคุกคาม
- เครื่องมือวิเคราะห์ภัยจากภายนอกว่ามีสินทรัพย์อะไรของเราเปิดเผยอยู่
- เครื่องมือจัดการพื้นผิวการโจมตีของสินทรัพย์ไซเบอร์ จะมีการจัดทำคลังสินทรัพย์ วาดแผนที่จับคู่ภัยทั้งจากภายในภายนอก
Exposure Management vs Vulnerability Management
คำสองคำนี้มักเหมือนมีความเกี่ยวโยงกันซึ่งในความเป็นจริงแล้วจากข้อมูลข้างต้นจะเห็นได้ว่า Vulnerability Management เป็นกิจกรรมที่เป็นส่วนหนึ่งภายใน Exposure Management โดยอย่างหลังที่เรากำลังโฟกัสในบทความนี้จะมีกิจกรรมที่กว้างกว่าทั้งการทราบถึงสินทรัพย์ รู้ว่าอะไรเปิดเผยอยู่ รู้ว่ามีช่องโหว่หรือจุดอ่อนอย่างไร เสี่ยงอย่างไรจากพื้นผิวการโจมตีใด
หรือถ้าจะให้เจาะลึกไปกว่านั้นก็คือ Exposure Management จะเน้นไปที่การสำรวจ ติดตาม บรรเทาความเสี่ยงของพื้นผิวการโจมตีต่อสินทรัพย์ที่ถูกเจาะได้ ในขณะที่ Vulnerability Management จะเน้นไปที่การค้นหา แก้ไข และบรรเทาช่องโหว่ โดยการจัดทำคลังระบบและแอป สแกนเครือข่ายและลำดับจุดอ่อนอาจด้วยปัจจัยคะแนนความรุนแรง
Best Practice สำหรับ Exposure Management
คำสองคำนี้มักเหมือนมีความเกี่ยวโยงกันซึ่งในความเป็นจริงแล้วจากข้อมูลข้างต้นจะเห็นได้ว่า Vulnerability Management เป็นกิจกรรมที่เป็นส่วนหนึ่งภายใน Exposure Management โดยอย่างหลังที่เรากำลังโฟกัสในบทความนี้จะมีกิจกรรมที่กว้างกว่าทั้งการทราบถึงสินทรัพย์ รู้ว่าอะไรเปิดเผยอยู่ รู้ว่ามีช่องโหว่หรือจุดอ่อนอย่างไร เสี่ยงอย่างไรจากพื้นผิวการโจมตีใด
หรือถ้าจะให้เจาะลึกไปกว่านั้นก็คือ Exposure Management จะเน้นไปที่การสำรวจ ติดตาม บรรเทาความเสี่ยงของพื้นผิวการโจมตีต่อสินทรัพย์ที่ถูกเจาะได้ ในขณะที่ Vulnerability Management จะเน้นไปที่การค้นหา แก้ไข และบรรเทาช่องโหว่ โดยการจัดทำคลังระบบและแอป สแกนเครือข่ายและลำดับจุดอ่อนอาจด้วยปัจจัยคะแนนความรุนแรง
Best Practice สำหรับ Exposure Management
Exposure Management เป็นกระบวนการที่ประกอบไปด้วยขั้นตอนมากมาย เช่น การค้นหาสินทรัพย์ การติดตามเรียลไทม์ ลำดับความสำคัญ ประเมินความเสี่ยง และแก้ไขปัญหา ดังนั้นการหาทางจัดทำระบบที่เป็นอัตโนมัติได้จึงเป็นเรื่องจำเป็น ยิ่งหากมี AI/ML ก็จะเพิ่มประสิทธิภาพของกระบวนการให้ดียิ่งขึ้น
นอกจากนี้องค์กรควรหมั่นตรวจทานถึงความเสี่ยงกำเนิดใหม่ ผลลัพธ์ของการวางกลยุทธ์และมาตรการ สุดท้ายคือการให้ความรู้แก่บุคลากรให้พวกเขาเข้าใจว่าอะไรเป็นความเสี่ยงต่อการถูกเจาะในระบบดิจิทัลและจะป้องกันอย่างไร เช่น ในมุมของนักพัฒนาก็ควรเข้าใจเรื่องการเขียนโค้ดอย่างปลอดภัย ในขณะที่ไอทีก็ควรเข้าใจความเสี่ยงจากการให้สิทธิ์สูงโดยไม่จำเป็น
ที่มา :
