TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ในทุกระบบไอทีมักมาพร้อมกับความเสี่ยง ซึ่งหนึ่งในความเสี่ยงที่เป็นเรื่องที่มีเสมอก็คือเรื่อง ‘ช่องโหว่’ ประเด็นคือในปัจจุบันองค์กรต่างมีสินทรัพย์ดิจิทัลนับไม่ถ้วน ทั้งระบบควบคุม ระบบเพื่อการใช้ดำเนินงาน ซอฟต์แวร์ที่ซื้อขาด ระบบที่พึ่งพาอยู่บนคลาวด์ ระบบสำหรับให้บริการ รวมไปถึงข้อมูลที่ถูกเก็บไว้ ด้วยเหตุนี้เองช่องโหว่จึงกลายเป็นเรื่องท้าทายและต้องมีแผนในการบริการจัดการอย่างเป็นระบบ และกลายเป็นหัวข้อเกี่ยวกับ Vulnerability Management ที่เราจะขออธิบายกันต่อไปในบทความนี้
Vulnerability Management คืออะไร
Vulnerability Management หมายถึงกระบวนการเกี่ยวกับการ ค้นหา ประเมิน แก้ไข รายงาน ช่องโหว่ที่มีอยู่ในระบบเครือข่าย อุปกรณ์ แอปพลิเคชัน โดยมีวัตถุประสงค์เพื่อป้องกัน และลดโอกาส หรือผลกระทบให้น้อยที่สุดที่เป็นไปได้ ต่อเหตุการณ์ไม่คาดฝันหรือการโจมตี ทั้งนี้กระบวนการควรเป็นไปอย่างต่อเนื่องและมีกลยุทธ์แบบเชิงรุก ซึ่งในหลายส่วนมักมีเครื่องมือช่วยเหลือแบบอัตโนมัติ
5 ขั้นตอนของกระบวนการ Vulnerability Management
ในแต่ละแหล่งที่มามักมีขั้นตอนหรือวิธีการจำกัดความที่แตกต่างกันออกไป โดยเราขอยึดเอาโครงร่างของ IBM เป็นหลักที่อธิบายไว้ได้อย่างครอบคลุมที่ให้หลักการเชิงกว้างได้ เสริมด้วยรายละเอียดปลีกย่อยจากข้อมูลอื่นๆ โดยกระบวนการ 5 ข้อ สำหรับงาน Vulnerability Management ที่กล่าวถึงคือ
1.) ค้นหา (Discovery)
จริงๆแล้วในหัวข้อนี้จะแนะนำถึงการค้นหาช่องโหว่ในระบบ แต่ก่อนที่จะไปถึงส่วนนี้ องค์กรควรมีการจัดทำคลังสินทรัพย์ดิจิทัลก่อนว่า มีการใช้งานอะไรบ้าง พร้อม baseline ของโปรแกรมที่คาดหวัง เมื่อทราบถึงสินทรัพย์ที่มีแล้วจึงเลือกวิธีการหรือเครื่องมือสำหรับการค้นหาช่องโหว่ต่อไป เช่น ซอฟต์แวร์สแกนค้นหาที่อาจมีฟังก์ชันการตรวจสอบอัตโนมัติ หรือใช้การทดสอบเจาะระบบ
2.) แบ่งประเภท และ จัดลำดับ (Categorization and Prioritization)
อันที่จริงแล้วช่องโหว่ที่เคยถูกค้นพบแล้วมักถูกบันทึกและกำกับคะแนนตามความร้ายแรงผ่านองค์กรอย่าง NIST, MITRE หรือ CVSS แต่นั่นเป็นเพียงการประเมินโดยพิจารณาจากตัวช่องโหว่เท่านั้น ดังนั้นสิ่งที่องค์กรต้องวิเคราะห์เพิ่มเติมก็คือโปรไฟล์ของสินทรัพย์เหล่านั้น ซึ่งแต่ละองค์กรมีสถานการณ์ต่างกันออกไป เช่น เป็นช่องโหว่ที่ร้ายแรงแต่เกิดขึ้นกับระบบที่ไม่ได้สำคัญ อาจจะไม่เทียบเท่ากับช่องโหว่ที่ใกล้เคียงกันแต่อยู่บนแอปพลิเคชันหลักขององค์กร ซึ่งอย่างหลังอาจเร่งด่วนมากกว่า สาเหตุที่ต้องทำเช่นนี้เพราะองค์กรมักมีทรัพยากรอย่างจำกัดไม่สามารถลงทุนแก้ไขได้ทุกช่องโหว่ที่เกิดขึ้น
3.) แก้ไข (Resolution)
เมื่อทราบปัญหาที่เกิดขึ้นแล้วองค์กรต้องตัดสินใจว่าจะตอบสนองกับช่องโหว่นั้นอย่างไร โดยอาจจัดการแก้ไขช่องโหว่อย่างเบ็ดไม่ให้มีอีกต่อไป ซึ่งในส่วนนี้อาจจะมีเครื่องมือสำหรับการช่วยแพตช์ได้อย่างอัตโนมัติมากมายในท้องตลาด รวมไปถึงการตั้งค่าที่ไม่ดีในอุปกรณ์หรือการใช้งานต่างๆ ในกรณีที่โอกาสเกิดยากหรือยังไม่มีแพตช์แต่จำเป็นต้องใช้งาน องค์กรก็อาจมองหาวิธีการบรรเทาปัญหาเบื้องต้นไปก่อน เช่น เซิร์ฟเวอร์ใช้งานภายในมีช่องโหว่แต่ต้องเข้าถึงก็อาจขวางด้วยการจำกัดผ่าน VPN เป็นต้น แต่ในกรณีที่การลงทุนแก้ไขไม่คุ้มค่ากับโอกาสเกิดหรือความรุนแรง องค์กรก็อาจพิจารณายอมรับความเสี่ยงด้วยการปล่อยเอาไว้
4.) ตรวจสอบการแก้ไข (Reassessment, Validation & Monitoring)
เมื่อเกิดการแก้ไขไปแล้ว ในบางองค์กรอาจส่งเคสให้แก่ฝ่ายผู้เกี่ยวข้อง อย่างไรก็ดีองค์กรต้องติดตามให้แน่ใจว่าช่องโหว่ได้ถูกจัดการตามเป้าหมายที่กำหนดแล้ว หรือกล่าวคือต้องติดตามและตรวจสอบซ้ำถึงการแก้ไขว่าได้ตามที่วางแผน หรือไม่นำไปสู่ปัญหาใหม่ๆต่อไป
5.) รายงาน (Reporting)
การจัดทำรายงานช่วยองค์กรได้มากมาย ตั้งแต่การมีข้อมูลเพื่อสื่อสารระหว่างทีมความมั่นคงปลอดภัยกับทีมอื่น ให้เห็นภาพรวมของช่องโหว่ที่มีในองค์กรและเทรนด์ เช่น มีแนวโน้มเพิ่มขึ้น หรือ ลดลงจากส่วนใด รวมถึงเครื่องมือหลายตัวยังติดตามเวลาที่พบและเวลาในการจัดการได้ด้วย ทั้งหมดนี้จะช่วยให้องค์กรสามารถวิเคราะห์เพื่อนำไปปรับปรุงระบบให้ดีขึ้นในอนาคต พร้อมมีเอกสารอ้างอิงรายละเอียดเกี่ยวกับช่องโหว่
Vulnerability Management เป็นกระบวนการที่ต้องดำเนินไปอย่างต่อเนื่องให้องค์กรมีข้อมูลอัปเดตสถานการณ์ปัจจุบัน รับทราบความเสี่ยงเพื่อแก้ปัญหาได้ล่วงหน้าของช่องโหว่เหล่านี้จะแสดงศักยภาพด้วยน้ำมือของผู้ไม่ประสงค์ดี โดยทั้ในกระบวนการข้างต้นมีเครื่องมือในท้องตลาดมากมายที่เข้ามาช่วยได้ในหลายขั้นตอน เช่น SIEM, Threat Intelligent, Patch Management, Endpoint Management, Vulnerability Scanner, Configuration Management, Asset Inventory Management, Pentest Tools รวมถึงมี Vendor ที่พยายามออกแพลตฟอร์มสำหรับ Vulnerability Management ด้วย
ที่มา : https://www.ibm.com/think/topics/vulnerability-management และ https://www.microsoft.com/en-us/security/business/security-101/what-is-vulnerability-management และ https://www.crowdstrike.com/en-us/cybersecurity-101/exposure-management/vulnerability-management/
