รายงานล่าสุดเกี่ยวกับการละเมิดข้อมูลส่วนตัว (Data breach) ขนาดใหญ่ในองค์กรและที่เกิดขึ้นในโลกโซเชี่ยลกลายเป็นเรื่องที่น่ากลัวสำหรับทุกคน ลูกค้าผู้ใช้บริการโซเชียลมีเดียทั้งหลายย่อมต้องกังวลว่าข้อมูลการเงิน และข้อมูลส่วนบุคคลของตนจะถูกล่วงละเมิด และนำไปใช้แบบไม่ชอบธรรม
การละเมิดข้อมูลส่วนตัว (Data breach) ปัญหาที่ต้องแก้
วันนี้องค์กรที่ถูกบุกรุกย่อมกังวลเกี่ยวกับผลกระทบในระยะสั้นและระยะยาวต่อธุรกิจ และองค์กรอื่นๆ กังวลว่าจะเป็นอย่างไรต่อไป คำถามใหญ่ที่ทุกคนถามคือจะทำอย่างไรเกี่ยวกับเรื่องนี้?
หากย้อนดู งานวิจัย และติดตามภัยคุกคามทั่วโลก ของ ทีมฟอร์ติแล็ปส์ของฟอร์ติเน็ต เมื่อต้นเดือนเมษายน เราจะพบว่าจริงๆแล้วมีทางออกอยู่เช่นกันที่จะตรวจสอบ และป้องกัน เรื่องของ “การละเมิดข้อมูลส่วนตัว” โดยบุคคล และองค์กรที่ต้องการความปลอดภัยจากภัยการละเมิดข้อมูลหรือข้อมูลส่วนตัวรั่วไหลไว้ดังนี้
สำหรับผู้บริโภค
หากซื้อสินค้าที่ร้านค้าปลีกที่มีการละเมิดข้อมูลส่วนตัวไม่ว่าจะเป็นแบบออนไลน์หรือในซื้อที่ร้านค้า สิ่งแรกที่ต้องทำคือ คุณควรโทรติดต่อธนาคารหรือผู้ออกบัตรเครดิตของคุณ และเปลี่ยนบัตร ซึ่งแม้ว่าจะยุ่งยากถ้าคุณมีบัตรที่ผูกติดกับการชำระเงินอัตโนมัติอื่นๆ ก็ต้องอดทนเดินหน้าจัดการต่อไป
ขั้นต่อไปคือ เข้าสู่ระบบออนไลน์ต่างๆ และเปลี่ยนรหัสผ่านซะใหม่ หากคุณใช้รหัสผ่านเดียวกันกับบัญชีอื่นๆ โปรดเปลี่ยนรหัสบัญชีเหล่านั้นด้วย และท้ายสุด ควรเริ่มตรวจสอบข้อมูลของคุณที่องค์กรที่ออกรายงานด้านเครดิตและรายงานทันทีหากคุณพบสิ่งที่ดูไม่ถูกต้อง
สำหรับธุรกิจ
นอกเหนือจากเหยื่อที่ได้รับผลกระทบเป็นรายบุคคลแล้ว คำถามที่ถามในห้องบอร์ดทั่วประเทศในองค์กรต่างๆ ในวันนี้ คือ สิ่งที่องค์กรต่างๆ สามารถทำได้ในตอนนี้ เพื่อให้แน่ใจว่าภัยคุกคามนี้จะไม่ได้เกิดขึ้นกับกับองค์กร และเพื่อให้แน่ใจว่าสามารถปกป้ององค์กรได้ คือจำเป็นต้องสร้างเครือข่ายและพื้นฐานความปลอดภัยด้วยหลัก 3 ประการ
การประเมินความเสี่ยง : การประเมินความเสี่ยงอย่างละเอียดจะช่วยให้มั่นใจได้ว่า องค์กรมุ่งเน้นการปกป้อง และตรวจสอบสิ่งที่สำคัญต่อธุรกิจ แน่นอนว่าด้วยการที่เครือข่ายในปัจจุบันมีความซับซ้อนมากขึ้น ทำให้อาจไม่สามารถปกป้อง
และตรวจสอบทุกอย่างได้ แต่อย่างไรก็ต้องพยายามตรวจสอบความเสี่ยงที่มีผลกระทบมากที่สุด โดยการปรับแนวความคิดด้านความปลอดภัยให้สอดคล้องกับวัตถุประสงค์ทางธุรกิจอย่างต่อเนื่อง
สร้างความปลอดภัยที่สถาปัตยกรรมเครือข่าย : โดยปกติแล้ว องค์กรมักเริ่มออกแบบสถาปัตยกรรมเครือข่ายที่ดี แต่เมื่อเวลาผ่านไป เครือข่ายเติบโตขึ้นทั้งในด้านขนาดและความซับซ้อนทำให้โซลูชันด้านความปลอดภัยมีประสิทธิภาพน้อยลงหรือกลับกลายเป็นว่าซับซ้อนมากขึ้น ไม่ว่าจะด้วยวิธีใดก็ตาม
เรามักจะเจอจุดบอดของเครือข่าย ดังนั้นผู้ดูแลควรระบุจุดแข็งและจุดอ่อนเหล่านั้นและใช้ศักยภาพในการมองเห็นเครือข่าย และการควบคุมให้ลึกซึ้ง นอกจากนี้ ยังต้องประเมินเส้นทางการโจมตีที่น่าเป็นไปได้ ที่ไปยังข้อมูลสำคัญ
รวมถึงช่องโหว่ที่เชื่อมโยงกันในระบบต่างๆ ทั้งหมด
ซึ่งอาจช่วยให้สามารถจัดลำดับความสำคัญของช่องโหว่ได้ดีขึ้น ทั้งนี้ สามารถใช้กรอบโมเดลต่างๆ เพื่อให้เข้าใจสถานการณ์ได้ดียิ่งขึ้น เช่น ISO, CIS Critical Security Controls (SANS Top 20) และ NIST Cyber Security Framework เป็นต้น
ระบุสินทรัพย์สำคัญ : เครือข่ายมีการเติบโตอย่างรวดเร็ว และเพิ่มมากขึ้นในระบบนิเวศตั้งแต่ศูนย์ข้อมูลเสมือนจริงไปจนถึงสภาพแวดล้อมแบบมัลติคลาวด์ เมื่อรวมกับอุปกรณ์ปลายทางที่เพิ่มขึ้นซึ่งเชื่อมต่อกับเครือข่าย และความนิยมของอุปกรณ์ไอโอที (IoT) แล้ว
ยิ่งจะทำให้การสร้าง และการบำรุงรักษาอุปกรณ์ที่ถูกต้องอาจเป็นเรื่องที่ท้าทาย นอกจากนี้ สภาพแวดล้อมที่ซับซ้อนยิ่งทำให้องค์กรไม่สามารถมองเห็นสิ่งที่เกิดขึ้นในเครือข่ายจากส่วนกลางอย่างชัดเจน เนื่องจากปริมาณข้อมูลที่ถูกละเมิดมีมากมาย
อาจต้องลงทุนในเครื่องมือต่างๆ ที่มีศักยภาพในการมองเห็นได้ทั่วเครือข่าย และสามารถระบุอุปกรณ์ ระบบปฏิบัติการที่ใช้และระดับของแพทช์ได้ ซึ่งจะต้องสามารถผูกข้อมูลนี้กับข้อมูลภัยคุกคามอัจฉริยะเพื่อให้สามารถดู และจัดลำดับความสำคัญของความเสี่ยงสูงสุดได้
ป้องกันการโจรกรรมข้อมูล (Identity Theft Protection)
และเมื่อมีกลยุทธ์การตรวจสอบและการตรวจสอบพื้นฐานแล้ว ยังจำเป็นต้องปรับใช้โซลูชัน และกลยุทธ์ที่สามารถป้องกันข้อมูล และทรัพยากรที่สำคัญจากการโจรกรรมและการประนีประนอมกับภัยคุกคาม จึงขอแนะนำกลยุทธ์ 7 รูปแบบ ที่องค์กรสามารถทำได้
ฝึกสุขอนามัยด้านความปลอดภัยที่ดี : ตลอดเวลาช่วง 2-3 ปีที่ผ่านมา ทั้งนี้ การโจมตีส่วนใหญ่จะกำหนดเป้าหมายช่องโหว่ที่แพทช์ใช้งานได้อย่างน้อย 3ปี และมีบางส่วนมีแพทช์ถึง 10 ปีแล้ว ดังนั้นทุกองค์กรจึงจำเป็นจะเริ่มต้นใช้แพทช์บนอุปกรณ์ทุกชิ้นทันที ตามด้วยการสร้างโปรโตคอลการแก้ไข
และวิธีการปรับปรุงแพทช์อย่างเป็นทางการ จากนั้นตรวจสอบให้แน่ใจว่าอุปกรณ์ที่คุณควบคุมไม่ได้จะต้องถูกแบ่งส่วนกักกันอย่างถูกต้องหรือให้เข้าถึงไม่ได้ โดยต้องระบุเปลี่ยน หรือลบระบบที่ไม่สามารถลงแพทช์หรือป้องกันได้ ซึ่งกระบวนการนี้จะต้องเป็นไปอย่างอัตโนมัติ สามารถติดตามผลได้ และวัดผลได้
รวมข้อมูลภัยคุกคามเชิงลึกระดับท้องถิ่นและระดับโลกเข้ากับโซลูชั่น SIEM : ข้อมูลภัยคุกคามเชิงลึกขั้นสูง (Advanced threat intelligence) จะช่วยให้องค์กรสามารถลดเวลาในการตรวจจับภัยคุกคามและปิดช่องว่างระหว่างการตรวจจับและการตอบสนอง
โดยสามารถเริ่มต้นด้วยการใช้ประโยชน์จากข้อมูลด้านภัยคุกคามที่รวบรวมอยู่ในเครือข่ายซึ่งต้องใช้เครื่องมือรักษาความปลอดภัยที่ออกแบบมาเพื่อแบ่งปัน และเชื่อมโยงข้อมูลและดำเนินการร่วมกัน ทั้งนี้ ข้อมูลภัยคุกคามเชิงลึกในระดับท้องถิ่นเพียงอย่างเดียวไม่เพียงพอ
ยังต้องการข้อมูลภัยคุกคามป้อนเข้ามาในระบบเพื่อให้ทราบถึงแนวโน้มภัยคุกคามล่าสุดและการโจมตีที่ถูกตรวจจับทั่วโลก จึงอาจต้องการระบบจัดเก็บ และวิเคราะห์ข้อมูลความปลอดภัยของระบบเครือข่ายขององค์กร (Security Information and Event Manager: SIEM)
และเทคโนโลยีไฟร์วอลล์สำหรับแอ็ปพลิเคชันบนเว็บ (Web Application Firewall) ที่สามารถใช้ข้อมูลแปลงเป็นนโยบายที่สามารถดำเนินการได้ ใช้เพื่อปกป้องเครือข่าย
ปรับใช้เครื่องมือรักษาความปลอดภัยที่มีซิคเนเจอร์ : เนื่องจากการโจมตีเกิดที่เป้าหมายช่องโหว่ที่รู้จักอยู่นานแล้ว ดังนั้นจึงสามารถใช้ทูลส์ที่มีซิคเนเจอร์ตรวจจับจะช่วยให้สามารถค้นหาและป้องกันความพยายามที่จะแทรกซึมเข้ามาได้อย่างรวดเร็ว หรือภัยที่จะใช้ประโยชน์จากช่องโหว่ที่รู้จักอยู่แล้ว
เครื่องมือที่ใช้ซิคเนเจอร์จะมีประสิทธิภาพในสภาพแวดล้อมที่ซับซ้อน เช่น กลุ่มเครือข่ายที่ไม่มีแพ้ทช์ที่มีอุปกรณ์ไอโอทีและอุปกรณ์เชื่อมต่ออื่นๆ ที่ไม่สามารถอัปเดตได้อยู่มากมาย ซึ่งเป็นเครือข่ายที่มีความเสี่ยงที่จะถูกโจมตีสูง
เพิ่มการวิเคราะห์ตามพฤติกรรมและการทำข้อมูลให้ปลอดภัย : ไม่ใช่ภัยคุกคามทั้งหมดมีซิคเนเจอร์ที่เป็นที่รู้จัก การโจมตีขั้นสูงสามารถหลีกเลี่ยงการป้องกันและหลบเลี่ยงการตรวจจับได้ ซึ่งหมายความว่าต้องมีเครื่องมือป้องกันภัยคุกคามขั้นสูง
เช่น แซนด์บ็อกซ์ที่สามารถแยกแยะภัย และระบุรูปแบบสายพันธ์มัลแวร์ประเภท zero-day ที่เกิดใหม่ๆได้ รวมทั้งยังเชื่อมโยงข้อมูลดังกล่าวกับโครงสร้างพื้นฐานด้านความปลอดภัยอื่นๆ ได้ เครื่องมือวิเคราะห์ตามพฤติกรรม (User Entity Behavior Analytics: UEBA) ของผู้ใช้นี้จะช่วยให้สามารถระบุภัยคุกคามที่เกิดขึ้นจากภายใน
และค้นหาผู้กระทำผิดได้ง่ายขึ้น นอกจากนี้ ผู้โจมตียังใช้เทคนิคขั้นสูง เช่น การเรียนรู้และเลียนแบบรูปแบบทราฟฟิคเพื่อหลบเลี่ยงการตรวจจับ จึงทำให้เครื่องมือรักษาความปลอดภัยนั้นไม่เพียงแค่จะตรวจตราและตรวจสอบข้อมูล และแอพพลิเคชันที่มีมัลแวร์แอบซ่อนอยู่
อุปกรณ์ควรต้องสามารถวิเคราะห์ได้อย่างละเอียด ในการหารูปแบบที่มีความสัมพันธ์กัน เพื่อตรวจหาและระบุเจตนาที่เป็นอันตราย และถ้าเป็นไปได้ ระบบรักษาความปลอดภัยอัจฉริยะจะต้องสามารถแทรกแซงกิจกรรมในเชิงรุก และอัตโนมัติเพื่อป้องกันการโจมตีก่อนที่จะเริ่มต้นขึ้น
เทรนด์ใหม่ในปัจจุบัน คือ วิธี Content Disarm and Reconstruction (CDR) ที่ใช้ในการล้างข้อมูล ทั้งนี้ เทคโนโลยี CDR ใหม่นี้จะประมวลไฟล์ขาเข้าทำลาย และลบคอนเท้นท์ที่แอคทีฟอยู่
ซึ่งวิธีนี้จะช่วยเพิ่มกลยุทธ์การป้องกันไฟล์ประเภท Zero-day โดยการลบเนื้อหาที่เป็นอันตรายออกจากไฟล์ที่ระบุโดยไม่ตั้งใจจึงทำให้ไม่สามารถโหลดมัลแวร์และโหลดไฟล์ที่เป็นอันตรายได้
ปิด Web-Based Attack Vectors ด้วย Web Application Firewall : ภัยคุกคามจำนวนมากไม่ได้เข้าสู่เครือข่ายผ่านทางแบบดั้งเดิมการที่มีแอพพลิเคชันใช้มากมายทำให้เกิดการโจมตีทางเว็บมากขึ้น โดยเฉพาะอย่างยิ่งที่แอปพลิเคชั่นที่ออกแบบมาเพื่อสืบค้นและค้นหาข้อมูลโดยตรงในศูนย์ข้อมูล
เนื่องจากความต้องการแอพพลิเคชันบนเว็บเติบโตขึ้นอย่างรวดเร็ว องค์กรจำนวนมากจึงไม่มีเวลาหรือทรัพยากรเพียงพอที่จะทดสอบให้มั่นใจได้ก่อนที่จะใช้งาน วิธีที่มีประสิทธิภาพในการปิดช่องว่างดังกล่าวคือการใช้ WAF
ซึ่งอุปกรณ์รักษาความปลอดภัยเหล่านี้ได้รับการออกแบบมาเป็นพิเศษเพื่อให้สามารถตรวจสอบการเข้าใช้เว็บแอพพลิเคชันได้ลึกและมีประสิทธิภาพสูงกว่าเทคโนโลยีNext-Generation Firewall แบบดั้งเดิม
เปลี่ยนโซลูชันที่ทำงานแยกจากกันกับส่วนตัว : เนื่องจากเครือข่ายมีการเปลี่ยนแปลงตลอดเวลา การใช้อุปกรณ์รักษาความปลอดภัยรักษาแบบดั้งเดิมจึงไม่เพียงพอที่จะปกป้องดาต้าเซ็นเตอร์หรือเครือข่ายส่วนขอบนอก
(Edge) ได้
ซึ่งเทคโนโลยีด้านรักษาความปลอดภัยส่วนใหญ่เหล่านี้ส่วนใหญ่จึงยังคงทำงานแยกกันอยู่ ซึ่งหมายความว่า เครือข่ายสามารถมองเห็นและตอบสนองต่อภัยคุกคามที่อยู่ข้างหน้าตนเองเท่านั้น แต่เนื่องจากลักษณะของภัยคุกคามในปัจจุบันที่เป็นแบบหลายเวกเตอร์ และชาญฉลาดมากขึ้น
โซลูชั่นด้านความปลอดภัยจำเป็นต้องเชื่อมต่อเข้าด้วยกันเป็นระบบเดียวกัน สามารถขยายและปรับให้เข้ากับสถาปัตยกรรมเครือข่ายแบบยืดหยุ่นได้ นอกจากนี้ การผสานทำงานรวมกันแบบไดนามิกช่วยให้สามารถเห็นสิ่งที่เกิดขึ้นในเครือข่ายทั้งหมดได้ตลอดเวลา
ซึ่งเป็นสิ่งสำคัญ เนื่องจากคุณไม่สามารถป้องกันภัยคุกคามที่คุณไม่สามารถมองเห็นได้ นอกจากนี้ ระบบของโซลูชันด้านความปลอดภัยแบบรวมที่ช่วยให้องค์กรต่างๆ สามารถต่อสู้ภัยไซเบอร์ในเชิงรุก และชาญฉลาดในรูปแบบของระบบที่ประสานกันได้ทุกที่ที่อาจเกิดภัยขึ้น
แบ่งกลุ่มเครือข่าย : ต้องแบ่งและรักษาเครือข่ายที่มีประสิทธิภาพและปลอดภัยเพื่อป้องกันภัยคุกคามจากการแพร่กระจายในแนวนอนในเครือข่าย โดยติดตั้งไฟร์วอลล์ที่เหมาะสำหรับการแบ่งส่วนเครือข่ายภายใน
และการสร้างกลยุทธ์ด้านการประมวลผลแบบแมโคร และไมโครเพื่อป้องกันการแพร่กระจายของภัยคุกคาม เป้าหมายคือการสร้างนโยบายที่สอดคล้องกันและการบังคับใช้อย่างลึกซึ้งทั่วกันในเครือข่าย
อย่างไรก็ดีในปัจจุบันพบว่าองค์กรยังพึ่งพาโซลูชันด้านความปลอดภัยและกลยุทธ์ป้องกันภันแบบดั้งเดิม
ดังนั้นองค์กรควรต้องเปลี่ยน และเริ่มมีแผนงาน บุคลากร และกระบวนการต่างๆ รวมกับเทคโนโลยีด้านความปลอดภัยยุคใหม่ ที่มีการป้องกันเชิงรุกได้
ส่วนขยาย
* บทความนี้เรียบเรียงขึ้นเพื่อวิเคราะห์ในแง่มุมที่น่าสนใจ ไม่มีวัตถุมุ่งเพื่อโจมตี หน่วยงานใดหน่วยงานหนึ่ง
** Compose : ชลัมพ์ ศุภวาที (Editors and Reporters)
*** ขอขอบคุณภาพบางส่วนจาก www.pexels.com
สามารถกดติดตาม ข่าวสาร และบทความทางด้านเทคโนโลยี ของเราได้ที่