ต่อเนื่องจากบทความก่อนหน้านี้ Cyber Resilience แนวคิดสำหรับรับมือกับ Unknown Threats
ระบบความมั่นคงปลอดภัยและมาตรฐานต่างๆ มีการปรับปรุง พัฒนา ให้พร้อมรับมือกับภัยคุกคามรูปแบบต่างๆ อยู่เสมอมา หลายบริษัทลงทุนติดตั้งอุปกรณ์ที่ดีที่สุด และเลือกใช้กระบวนการ/มาตรฐานที่ดีที่สุดในการวางแผนรับมือ และป้องกันระบบของตนจากการโจมตีของแฮ็คเกอร์ แต่ทำไมระบบขององค์กรเหล่านั้นยังคงมีช่องโหว่และถูกเจาะเข้ามาอยู่ดี
เทคโนโลยีดี กระบวนการเจ๋ง ทำไมยังถูกแฮ็ค
ยกตัวอย่างกรณีของ Target Corporation ห้างค้าปลีกที่ใหญ่ที่สุดของสหรัฐฯ มีการลงติดตั้ง FireEye หนึ่งในระบบ Threat Intelligence ที่ดีที่สุดในโลกไปกว่า $16 ล้านเหรียญสหรัฐฯ หรือประมาณ 57 ล้านบาท รวมทั้งมีการปฏิบัติตามมาตรฐาน PCI-DSS สำหรับปกป้องข้อมูลบัตรเครดิตของลูกค้า แต่เมื่อต้นปี 2014 ที่ผ่านมากลับมีข่าวว่าห้างดังกล่าวถูกโจมตี และข้อมูลบัตรเครดิตลูกค้ากว่า 40 ล้านรายการถูกขโมยออกไป .. ทำไมถึงเป็นแบบนี้
หลังจากเกิดเหตุ Target ฟ้องร้องบริษัท FireEye ทันที ในข้อหาผลิตภัณฑ์ไม่ได้ช่วยปกป้องระบบเหมือนที่ได้โฆษณาไว้ แต่หลังจากที่ FireEye ทำการสืบสวน พบว่าในจังหวะที่แฮ็คเกอร์โจมตีแบบ APT ซึ่งมีการแทรกซึมเข้ามาในระบบ FireEye ที่ประเทศอินเดียได้พบความผิดปกติ และแจ้งเตือนมายังสำนักงานใหญ่ที่สหรัฐฯ ให้ทีม SOC รับทราบแล้ว แต่ทีม SOC กลับเพิกเฉย ไม่ดำเนินการใดๆ
จากเคสของ Target แสดงให้เห็นว่า ต่อให้องค์กรจะใช้เทคโนโลยีที่ล้ำเลิศแค่ไหน เช่น NGFW, Advanced Threat Protection, Sandbox, SIEM หรือกระบวนการที่เป็นระบบเพียงใด เช่น ISO 27001, COBIT 5 แต่ถ้ามนุษย์หรือพนักงานในองค์กรไม่มีความรู้และทักษะในการรับมือกับภัยคุกคามเพียงพอ ระบบขององค์กรก็ยังคงตกอยู่ในความเสี่ยง
เปลี่ยนแนวคิดจาก “Are we secure?” ไปเป็น “Are we ready?”
Responsive Security เป็นแนวคิดเรื่องการเตรียมความพร้อมในการรับมือกับภัยคุกคาม โดยแก้ปัญหาที่รากเหง้า คือ “คน” นั่นคือ พนักงานภายในองค์กรทุกระดับ ตั้งแต่พนักงานทั่วไป จนถึงระดับบอร์ดบริหาร จำเป็นต้องเปลี่ยนแนวคิดเรื่องความปลอดภัยบนโลกไซเบอร์เสียใหม่ จาก “Are we secure?” พวกเราปลอดภัยหรือไม่ ไปเป็น “Are we ready?” พวกเรามีความพร้อมหรือไม่ แทน
พนักงานทุกระดับต้องพึงคิดไว้เสมอว่า ระบบที่ตนใช้งานอยู่จะต้องถูกโจมตีแน่นอน ดังนั้น จะทำอย่างไรจึงจะสามารถหาวิธีรับมือได้อย่างรวดเร็วและเป็นระบบ เพื่อให้เกิดผลกระทบน้อยที่สุด เนื่องจากไม่มีระบบใดในโลกที่จะสมบูรณ์ปลอดภัย 100% การทำให้ตนเองคุ้นชินกับการถูกแฮ็ค ถูกโจมตีจะช่วยให้มีความพร้อมรับมือกับภัยคุกคามบนโลกไซเบอร์ได้อย่างไม่หวั่นเกรง
“คน” เป็นจุดอ่อนมากน้อยแค่ไหน
Cisco ได้ทำการทดสอบการส่งอีเมล Phishing เพื่อดูว่า “คน” เป็นจุดอ่อนของระบบมากน้อยแค่ไหน และวิธีการรับมือการภัยคุกคามให้ได้อย่างมีประสิทธิภาพขึ้นอยู่กับอะไรบ้าง โดยทดสอบกับพนักงานในบริษัทของตนจำนวน 294 คน ซึ่งในบริษัทมีการติดตั้งระบบ Ironport Email Security เพื่อตรวจจับสแปม Phishing และมัลแวร์ต่างๆ รวมถึงมีระบบ Threat Intelligence ชื่อดังอย่าง Cisco Talos และทีมนักวิจัยด้านความปลอดภัยคอยเฝ้าระวังให้อีกด้วย จึงทำให้พนักงานมั่นใจเรื่องความมั่นคงปลอดภัยของระบบอีเมล … จนมากเกินไป
เพื่อความแนบเนียนในการทดสอบ Cisco ได้ส่งอีเมล Phishing ในหัวข้อ “Your request for Paid Time Off” ซึ่งดูเหมือนอีเมลที่หัวหน้าส่งให้ลูกน้องปกติ ผลลัพธ์ที่ได้คือ
- 125 คน (42.5%) เปิด Email และทำการกดลิงค์ Phishing
- 69 คน (23.5%) จาก 125 คนนั้น กดลิงค์ Phishing ภายใน 15 นาทีแรก
- ~ 20% ของคนที่กดลิงค์ ใช้ Web Browser รุ่นเก่า อายุกว่า 4 ปี
- 7 นาทีหลังจากเริ่มแคมเปญอีเมล Phishing ทีม CSIRT ตรวจพบความผิดปกติ และเริ่มบล็อกเว็บไซต์ (Blackhole)
- 5 นาทีหลังจากนั้นเว็บ Phishing ถูกบล็อกโดยสมบูรณ์
นั่นหมายความว่า ภายในระยะเวลา 12 นาทีที่ทีม CSIRT ตรวจจับความผิดปกติและโต้ตอบเหตุการณ์ที่เกิดขึ้น มีพนักงานตกเป็นเหยื่อไปแล้วเกือบ 69 คน ในขณะที่ประสิทธิภาพในการรับมือกับ Phishing ขึ้นอยู่กับปัจจัย 2 ประการ คือความเร็วในการตรวจจับ และความเร็วในการตอบสนอง

“คน” ปัจจัยสำคัญในการรับมือกับภัยคุกคาม
ถ้าพนักงานคนแรกที่กดลิงค์ Phishing สามารถแจ้งเรื่องไปยังทีม CSIRT ก็จะช่วยให้ระยะเวลาในการตรวจพบความผิดปกติลดลงอย่างเห็นได้ชัด ในขณะที่ถ้านิ่งเงียบ โวยวายอยู่ที่โต๊ะ ก็จะทำให้ผู้ที่เกี่ยวข้องไม่ทราบเรื่องว่ามีเหตุการณ์ผิดปกติเกิดขึ้น ก็อาจทำให้การตรวจจับล่าช้าลงได้ “คน” จึงเป็นปัจจัยสำคัญที่ส่งผลกระทบต่อความเร็วในการตรวจจับ ในขณะที่ความเร็วในการตอบสนองนั้น ขึ้นอยู่กับความสามารถของเทคโนโลยีที่ใช้ และแผนการรับมือเมื่อมีเหตุผิดปกติเกิดขึ้นเสียมากกว่า
ดังนั้น ถ้าเราฝึก “คน” ให้มีความพร้อมในการรับมือกับภัยคุกคามได้อย่างมีประสิทธิภาพ ก็จะช่วยลดระยะเวลาในการรับมือกับภัยคุกคาม รวมถึงลดผลกระทบที่เกิดขึ้นกับระบบให้น้อยลง ส่งผลให้สามารถฟื้นฟูระบบให้กลับมาใช้งานเหมือนเดิมได้เร็วยิ่งขึ้น
อบรมไม่พอ ต้องฝึกจำลองสถานการณ์จริง
การโจมตีไซเบอร์ เทียบเท่ากับภัยพิบัติรูปแบบหนึ่ง การเข้าคอร์สอบรมให้ตระหนักถึงภัยคุกคามอาจไม่เพียงพอ เปรียบเทียบกับอัคคีภัย หลายบริษัทยังมีการซ้อมหนีไฟเพื่อให้พนักงานสามารถรับมือกับเหตุไฟไหม้จริงได้อย่างรวดเร็ว และไม่ตื่นตระหนก ภัยคุกคามไซเบอร์ก็เช่นเดียวกัน ควรมีการฝึกซ้อม จำลองเหตุการณ์จริงเหมือนอย่างที่ Cisco ทำ เพื่อให้พนักงานมีประสบการณ์ สามารถตอบสนองต่อการโจมตีได้อย่างรวดเร็วและมีประสิทธิภาพ

แนะนำหนังสือ Responsive Security
Meng-Chow Kang, Ph.D., CISSP, CISA เป็นเจ้าของแนวคิด Responsive Security โดยได้ทำการศึกษาวิจัยเรื่องดังกล่าวขณะศึกษาอยู่ที่ประเทศออสเตรเลียในระดับปริญญาเอก ผู้ที่สนใจสามารถอ่านงานวิจัยซึ่งถูกปรับให้อยู่ในรูปหนังสือที่อ่านเข้าใจได้ไม่ยากนัก ชื่อ “Responsive Security Be Ready to Be Secure” สามารถสั่งซื้อหรือดาวน์โหลดในรูป eBook ได้ที่ https://www.crcpress.com/Responsive-Security-Be-Ready-to-Be-Secure/Kang/9781466584303
ขอขอบคุณ อาจารย์ปริญญา หอมเอนก Acis Professional สำหรับข้อมูลและคำแนะนำเรื่อง Responsive Security