SUSE by Ingram

ทำไม “Integrity” จึงเป็นหัวใจสำคัญของความมั่นคงปลอดภัยไซเบอร์

แม้ว่าความถูกต้องของข้อมูลหรือ “Integrity” จะเป็นแนวคิดพื้นฐานด้านความมั่นคงปลอดภัยไซเบอร์มาอย่างยาวนาน แต่ความหมายและการนำไปใช้กลับเป็นไปอย่างจำกัด บทความนี้จะมาทบทวนถึงแนวคิดเรื่อง “Integriey” ซึ่งเป็นหัวใจสำคัญของการวางกลยุทธ์ด้านความมั่นคงปลอดภัยในยุคที่มีเครือข่ายเชื่อมต่อถึงกันไปทั่วโลก ข้อมูลถูกส่งกระจัดกระจายไปทั่วทั้งบนอุปกรณ์ปลายทาง Data Center และระบบ Cloud

ก่อนจะเข้าสู่เนื้อหา ต้องทำความเข้าใจเกี่ยวกับคำว่า “Integrity” เสียก่อน สำหรับบทความนี้ Integrity จะถูกนิยามออกเป็น 2 แบบ คือ

  1. ความสามารถในการไม่แปรเปลี่ยนของข้อมูล (ภายใต้แนวคิดด้านความมั่นคงปลอดภัยข้อมูลของ CIA Triad)
  2. File Integrity Monitoring (FIM) มาตรการควบคุมการเฝ้าระวังระบบไฟล์ ซึ่งปัจจุบันนี้กลายเป็นส่วนหนึ่งของมาตรฐานและข้อบังคับต่างๆ เช่น PCI DSS (Payment Card Industry Security Data Security Standard)

กล่าวได้ว่า Integrity คือรากฐานของความเชื่อมั่น (Trust) และความน่าเชื่อถือ (Reliability) และเป็นตัวชี้วัดที่สำคัญที่สุดของการรักษาความมั่นคงปลอดภัยของระบบ

Integrity ไม่ใช่แค่เรื่องความถูกต้องของข้อมูล

โดยนิยามแล้ว Integrity คือ การไม่มีการแปรเปลี่ยนระหว่างสถานะเริ่มต้นและสถานะปัจจุบัน หรือระหว่างสถานะที่ควรจะเป็นและสถานะที่แท้จริง เช่น เราสามารถตัดสินได้ว่าใครมี Integrity จากการที่ไม่มีการแปรเปลี่ยนระหว่างสิ่งที่เขาพูด ที่เขากำลังจะทำ และที่เขาทำจริงๆ ส่งผลให้ Integrity กลายเป็นรากฐานของความเชื่อมั่น (Trust) และก่อให้เกิดผลลัพธ์เป็นความมั่นคงปลอดภัย

ตามที่เราทราบกัน Integrity มักถูกอ้างอิงเป็น 1 ใน 3 ของหลักการ CIA Triad ได้แก่ Confidentiality, Integrity และ Availability ซึ่งเป็น Framework ในการสร้างความมั่นคงปลอดภัยสารสนเทศให้แก่องค์กร ภายใต้บริบทนี้ Integrity จะเน้นเรื่องความถูกต้องของข้อมูล กล่าวคือ ข้อมูลจะไม่แปรเปลี่ยนจากปัจจัยภายนอก อย่างไรก็ตาม แม้ความถูกต้องของข้อมูลจะเป็นสิ่งสำคัญในกลยุทธ์ด้านความมั่นคงปลอดภัย นิยามดังกล่าวกลับเป็นการจำกัดมุมมองและศักยภาพของ Integrity ส่งผลให้องค์กรส่วนใหญ่เข้าใจว่า Integrity แค่คือความถูกต้องของข้อมูล ซึ่งนำ FIM มาใช้เป็นมาตรการควบคุมก็เพียงพอแล้ว เมื่อไม่เปิดโลกของ Integrity ให้กว้างขึ้นจนครอบคลุมไปทั่วระบบ IT และ OT จึงทำให้การยกระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กรไปอีกขั้นเป็นเรื่องยาก

Credit: Andrea Danti/ShutterStock.com

การโจมตี Integrity อาจร้ายแรงกว่าที่คุณคิด

เทคโนโลยีในปัจจุบันมีการพัฒนาอย่างก้าวกระโดด แต่สิ่งที่ตามมาของการพัฒนานี้คือช่องทางหรือช่องโหว่ที่อาชญากรไซเบอร์สามารถโจมตีได้มากขึ้น รวมไปถึงความซับซ้อนของระบบเครือข่าย การกระจัดการจายของข้อมูล การมาถึงของ Cloud & IoT และการทำงานแบบ Remote เหล่านี้ทำให้กระบวนการด้านความมั่นคงปลอดภัยแบบเก่าที่เน้นการกั้นขอบเขต (Perimeter-based Security & Network Defenses) ไม่ตอบโจทย์อีกต่อไป ในขณะที่กระบวนการใหม่อย่าง Zero Trust, AI และ Machine Learning ก็ยังไม่ได้รับการพิสูจน์ว่าดีเพียงพอ

หนึ่งในผลลัพธ์ที่ร้ายแรงที่สุดของการโจมตี Integrity ขององค์กร คือ ผู้บริหารหรือผู้มีอำนาจตัดสินใจไม่สามารถกระทำการใดๆ ได้ เนื่องจากพวกเขาไม่สามารถเชื่อมั่นในข้อข้อมูลที่พวกเขาได้รับ หรือที่แย่กว่านั้น คือ เกิดการตัดสินใจแบบผิดๆ จากข้อมูลที่ถูกปรุงแต่งหรือไม่มีความแม่นยำ ดังนั้นแล้ว การตรวจจับและรับมือกับภัยคุกคามที่ส่งผลกระทบต่อ Integrity จึงเป็นสิ่งจำเป็นอย่างย่ิง

Credit: bikeriderlondon/ShutterStock

วางกลยุทธ์ด้าน Integrity ให้องค์กรอย่างไร

จากที่กล่าวไปข้างต้น Integrity ไม่ได้ถูกจำกัดแค่เรื่องความถูกต้องของข้อมูล (จากแนวคิด CIA Triad) เพียงอย่างเดียว แต่องค์กรควรเปิดกว้างเรื่อง Integrity ไปสู่ทุกภาคส่วนของระบบ IT และ OT เพื่อสร้างความเชื่อมั่น (Trust) ขึ้นภายใต้ระบบนิเวศทั้งหมด ซึ่งจะกลายเป็นรากฐานสำคัญของการรักษาความมั่นคงปลอดภัย

องค์ประกอบของ Integrity และมาตรการควบคุมที่เกี่ยวข้องควรประกอบด้วย

  • Data Integrity: ป้องกันข้อมูลถูกเปลี่ยนแปลง มาตรการควบคุม เช่น Backup & Recovery, Encryption, Blockchain, Identity and Access Management (IAM) และ File Access Monitoring
  • System Integrity: ทำให้มั่นใจว่าสินทรัพย์ที่มีความสำคัญจะไม่ถูกแก้ไขโดยไม่ได้รับอนุญาต มาตรการควบคุม เช่น DIM, Secure Configuration Management, Host-based IDS, Vulnerability Management and Patching และ Privileged Account Management (PAM)
  • Network Integrity: รักษาไว้ซึ่งความเสถียรของการเชื่อมต่อและป้องกันข้อมูลขณะรับส่ง มาตรการควบคุม เช่น Firewall, Network-based IDS, Encryption, VPN และ Secure Remote Access
  • Physical Integrity: ปกป้องสถานที่และพื้นที่ที่จัดเก็บสินทรัพย์ที่สำคัญ มาตรการควบคุม เช่น Access Controls, Security Monitoring, All-hazards Mitigation และ Uninterrupted Power Supplies
  • Process Integrity: ทำให้มั่นใจว่ามาตรการควบคุมทั้งหลายถูกผสาน ควบคุม และทำงานร่วมกันได้อย่างบูรณาการ มาตรการควบคุม เช่น SIEM, SOAR, Analytics and Reporting และ SOC
  • People Integrity: รักษาไว้ซึ่งความเชื่อมั่นในตัวผู้ใช้ระบบ IT และ OT, ผู้สร้างและใช้ข้อมูล, ผู้ดูแลระบบรักษาความมั่นคงปลอดภัย มาตรการควบคุม ได้แก่ การอบรมความตระหนักด้านความมั่นคงปลอดภัย, ใบรับรองวิชาชีพ, RBAC, EUBA, การบังคับใช้นโยบายขององค์กร และการคัดกรองพื้นหลัง

การวางมาตรการควบคุมให้สอดคล้องกับ Integrity ช่วยสร้างความเชื่อมั่น (Trust) ให้แก่ People, Process และ Technology ขององค์กร อีกหนึ่งสิ่งสำคัญคือความสามารถในการมองเห็นและติดตามเหตุการณ์ที่เกิดขึ้นในระบบ (Visibility) เพื่อให้มั่นใจว่าการเปลี่ยนแปลงโดยไม่ได้รับอนุญาตหรือโดยมิชอบจะไม่เกิดขึ้น การสร้างและรักษาความเชื่อมั่น (Trust) ให้คงอยู่ตลอดเวลาเป็นกุญแจสำคัญในการทำ Integrity Management ซึ่งจะนำไปสู่ความสำเร็จของการรักษาความมั่นคงปลอดภัย

Credit: Mr. Kosal/ShutterStock.com

FIM กับหน้าที่สำคัญด้าน Integrity สำหรับองค์กร

File Integrity Monitoring (FIM) เป็นระบบที่มีความสามารถในการติดตามการเปลี่ยนแปลงของ Configurations, Files และ File Attributes ที่เกิดขึ้นบนระบบ IT สอดคล้องกับความต้องการของหลายๆ มาตรฐานและข้อบังคับ เช่น PCI DSS อย่างไรก็ตาม FIM ไม่ได้ตอบโจทย์ Data Integrity เพียงอย่างเดียว แต่สามารถตรวจจับการเปลี่ยนแปลงที่เกิดขึ้นบนระบบ IT ได้อีกด้วย โดย FIM สามารถสร้าง Baseline ของไฟล์หรือการตั้งค่าที่เราต้องการเฝ้าระวัง ว่าสถานะที่เราทราบหรือเชื่อมั่น (Trust) เป็นอย่างไร จากนั้นใช้คุณสมบัติด้านการเฝ้าระวังแบบเรียลไทม์ในการตรวจจับการเปลี่ยนแปลงที่เกิดขึ้น แล้วนำไปเปรียบเทียบกับ Baseline พร้อมระบุว่าใครแก้ไขตรงจุดไหน เวลาไหน และก่อน-หลังการแก้ไขเป็นอย่างไร

นอกจากนี้ องค์กรที่จัดการกับ FIM ได้เป็นอย่างดีจะมีการประยุกต์ใช้ Change Intelligence เข้าไปในการเปลี่ยนแปลงที่เกิดขึ้นด้วย เพื่อตรวจสอบว่าการเปลี่ยนแปลงดังกล่าวส่งผลกระทบต่อ Integrity หรือไม่ เช่น การเปลี่ยนแปลงที่เกิดขึ้นทำให้ Configurations ผิดเพี้ยนไปจากนโยบายที่กำหนด หรือมีความเกี่ยวข้องกับการโจมตีไซเบอร์ กล่าวได้ว่า เราสามารถใช้ FIM เป็นมาตรการควบคุมด้านความมั่นคงปลอดภัยแกนหลักได้ ถ้า FIM สามารถให้ข้อมูลเชิงลึกและการตอบสนองที่ชาญฉลาดเพียงพอ ที่สำคัญคือ ถ้าเราสามารถนำแนวคิดนี้ไปประยุกต์ใช้กับระบบ IT ทั้งหมดขององค์กร ไม่ว่าจะเป็น Systems, Network Devices หรือ Cloud Infrastructure ได้ ย่อมช่วยยกระดับการรักษาความมั่นคงปลอดภัยให้ก้าวหน้าไปอีกขั้น

Credit: moreimages/ShutterStock.com

ยกระดับสู่ “Integrity ที่ดี”

แม้ว่าองค์กรจะมีเครื่องมือในการบริหารจัดการ Integrity แต่โดยส่วนใหญ่แล้วมักกระทำตามเช็คลิสต์พื้นฐานเพื่อให้สอดคล้องกับมาตรฐานหรือข้อบังคับเท่านั้น การจะก้าวไปสู่การบริหารจัดการ “Integrity ที่ดี” ควรประกอบด้วย

  • การรวมศูนย์ Security และ Compliance Visibility ให้ครอบคลุมระบบขององค์กรทั้งหมด ตั้งแต่พื้นที่การปฏิบัติงาน, Data Center  ไปจนถึงระบบ Cloud
  • นอกจากการตรวจหาช่องโหว่แล้ว ควรประเมินความเสี่ยงของช่องโหว่ด้วย ซึ่งจะช่วยให้องค์กรสามารถจัดลำดับความสำคัญในการรับมือกับความเสี่ยงและระบบที่ได้รับผลกระทบได้ดียิ่งขึ้น
  • เฝ้าระวัง ประเมิน และเปรียบเทียบ Configurations ของทั้งฮาร์ดแวร์และซอฟต์แวร์อย่างต่อเนื่อง เพื่อสร้างเป็นแนวทางที่ต่อให้มีการแก้ไข Configurations แม้เพียงน้อยนิดก็จะไม่เพิ่มช่องโหว่ให้แก่ระบบ
  • ขณะที่เฝ้าระวัง Files และ File Attributes ต้องสามารถบอกความแตกต่างระหว่างการแก้ไขเชิงธุรกิจตามปกติกับการแก้ไขที่อาจนำมาสู่ปัญหาได้
  • มีการวาง Baseline อย่างมีประสิทธิภาพ เพื่อให้สามารถตรวจจับการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตหรือโดยมิชอบได้

การขยายขอบเขตของ Integrity ให้ครอบคลุมไปทั่วระบบ IT และ OT ขององค์กรนั้น เป็นก้าวแรกของการสร้างความเชื่อมั่น (Trust) และเป็นรากฐานสำคัญของการรักษาความมั่นคงปลอดภัยไซเบอร์ ทั้งยังช่วยลดช่องทางการโจมตีและความเสี่ยงที่อาจจะเกิดขึ้นลง การเปลี่ยนแปลงใดๆ ที่เกิดขึ้นบนระบบโดยไม่ได้รับอนุญาตหรือโดยมิชอบสามารถนำพามาซึ่งภัยคุกคามสู่องค์กรได้

ผู้ที่สนใจสามารถดาวน์โหลด White Paper เรื่อง “Why Integrity Should Be Your Organizing Cybersecurity Principle” มาศึกษาเพิ่มเติมได้ที่นี่ [PDF]

สอบถามรายละเอียดเพิ่มเติมเกี่ยวกับโซลูชันของ Tripwire ติดต่อ

  • Yong Hong Ow (ohong@tripwire.com), Tripwire Sales Manager, Tripwire
  • เอกวิทย์ พรหมสิทธิ์ (ekkawit@mtechpro.com), Product Manager, M-Solutions Technology (Thailand) Co., Ltd.

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Palo Alto Networks | Nutanix Webinar: Straight up Security with Nutanix and Palo Alto Networks

Palo Alto Networks และ Nutanix ขอเชิญเหล่า CISO, IT Security Manager, Security Engineer และผู้ที่เกี่ยวข้องกับสายงานทางด้าน IT Security …

CISA ออกเตือนพบคนร้ายสามารถ Bypass MFA เพื่อเข้าถึงบัญชี Cloud

CISA ได้ออกเตือนถึงเหตุการณ์ทั่วไปที่ตนพบเกี่ยวกับการโจมตีบัญชี Cloud ที่เกิดขึ้นได้บ่อย และมีบางกรณีที่คนร้ายสามารถลัดผ่านการป้องกันด้วย Multi-factor Authentication ได้