Vulnerability Management and Scanning 4 ขั้นตอนในการอุดช่องโหว่และแสกนความเสี่ยง
Vulnerability Management and Scanning 4 ขั้นตอนในการอุดช่องโหว่และแสกนความเสี่ยง
HIGHLIGHT
– การจัดการความเสี่ยงเป็นกระบวนการสำคัญในการทำงานด้านความปลอดภัยของแต่ละองค์กร ซึ่งจะเริ่มต้นตั้งแต่การวางแผนจนไปถึงการรายงานผล เพื่อจัดการช่องโหว่ทั้งหมดที่เกิดขึ้นได้อย่างเป็นระบบ
– ช่องโหว่ด้านความปลอดภัยหมายถึงจุดอ่อนทางเทคโนโลยีและข้อบกพร่องของบุคลากร ซึ่งจะเปิดช่องให้ผู้บุกรุกสามารถสร้างความเสียหายให้กับองค์กรได้
– กระบวนการนี้จะต้องดำเนินการอย่างต่อเนื่องเพื่ออัพเดทและติดตามการเปลี่ยนแปลงใหม่ๆที่เกิดขึ้น ทั้งของฝั่งเครื่องมือที่ใช้ และฝั่งภัยคุกคามที่มีการพัฒนาขึ้นทุกวันเช่นเดียวกัน
ซอฟต์แวร์ที่ใช้ในการจัดการช่องโหว่จะสามารถช่วยให้กระบวนการนี้เกิดขึ้นได้อย่างเป็นอัตโนมัติ โดยจะสามารถใช้เครื่องมือที่ทันสมัยเหล่านี้ในการสแกนหาช่องโหว่ของเครือข่าย รวมไปถึงในระบบต่างๆที่มีส่วนเกี่ยวข้องกับองค์กรอีกด้วย สำหรับ “Vulnerability Management” จะสามารถแบ่งออกได้เป็น 4 ขั้นตอนดังนี้
Step 1: Identifying Vulnerabilities
หัวใจสำคัญของทางออกในการจัดการช่องโหว่ที่เกิดขึ้นในองค์กร ก็คือการเริ่มต้นในการหาช่องโหว่ จากเครื่องมือที่ใช้ในการสแกนซึ่งจะประกอบด้วยกัน 4 ขั้นตอนดังนี้
– เครื่องมือสแกนเนอร์ทำการสแกนเข้าไปที่ระบบ
– ทำการเข้าถึงเครือข่ายด้วยการส่งข้อมูล TCP/UDP เพื่อระบุพอร์ตเปิดให้สแกนเนอร์เข้าไปทำการตรวจหาช่องโหว่
– ซึ่งจะสามารถเข้าสู่ระบบได้จากระยะไกล (Remote – Log in)
– รวบรวมข้อมูลจากระบบโดยละเอียด และเชื่อมโยงข้อมูลทั้งหมดเพื่อวางแผนแก้ไขช่องโหว่ที่เกิดขึ้น
การสแกนช่องโหว่นี้สามารถระบุความหลากหลายของระบบที่ใช้งานบนเครือข่ายเช่น แล็ปท็อปและเดสก์ท็อปเซิร์ฟเวอร์เสมือนจริง โดยระบบจะตรวจสอบส่วนต่างๆภายในเครือข่ายและการใช้งานไม่ว่าจะเป็น ได้แก่ ระบบปฏิบัติการ, ซอฟต์แวร์ที่ติดตั้ง, บัญชีผู้ใช้, โครงสร้างระบบไฟล์, และการกำหนดค่าระบบและอื่นๆ โดยข้อมูลที่ได้ทั้งหมดจะสามารถเชื่อมโยงช่องโหว่ที่ระบบสแกนรู้จัก ก่อนจะทำการวิเคราะห์ช่องโหว่จากฐานข้อมูลเพื่อรายงานผล
การสแกนช่องโหว่และความปลอดภัยที่มีประสิทธิภาพ จะต้องมาจาก “การกำหนดค่า” ซึ่งเป็นองค์ประกอบสำคัญของการจัดการความเสี่ยง แต่ในบางครั้งสแกนเนอร์อาจจะขัดขวางเครือข่ายได้ หากแบนด์วิธของเครือข่ายมีจำนวน ดังนั้นผู้ดูแลระบบความต้องจัดสรรเวลาในการสแกนให้ลงตัวเพื่อไม่ให้ขั้นตอนนี้มาทำลายการทำงานปกติ
Step 2: Evaluating Vulnerabilities
หลักจากตรวจพบช่องโหว่และความเสี่ยงที่อาจจะเข้ามาคุกคามองค์แล้ว ขั้นตอนสำคัญต่อมาก็คือ “การประเมินความเสี่ยงที่เกิด” และจัดการอย่างเหมาะสม อีกทั้งยังต้องสอดคล้องกับกลยุทธ์การบริหารความเสี่ยงขององค์กร ซึ่งส่วนมากแต่ละองค์กรจะเลือกประเมินการแก้ปัญหาโดยการใช้ Common Vulnerability Scoring System (CVSS) เพื่อให้คะแนนการแก้ปัญหาของ Solution แต่ละแบบ ซึ่งจะส่งผลให้การแก้ปัญหาเป็นไปอย่างถูกจุดมากที่สุด
และนี่คือ “ตัวอย่างของปัจจัยเพิ่มเติม” ที่ควรพิจารณาเมื่อทำการประเมินช่องโหว่
– ช่องโหว่นี้เกิดขึ้นจริงหรือเป็นเพียงข้อผิดพลาดในการสแกน
– บุคคลอื่นสามารถเข้าถึงช่องโหว่นี้ได้โดยตรงผ่านระบบอินเตอร์เน็ตหรือไม่
– ระบบการตรวจพบช่องโหว่นี้มีมากแค่ไหน
– มีการใช้ประโยชน์จากช่องโหว่นี้หรือไม่
– อะไรคือผลกระทบต่อธุรกิจหากช่องโหว่นี้ถูกใช้ประโยชน์
– มีการควบคุมความปลอดภัยด้านอื่นๆ ที่จะลดผลกระทบจากช่องโหว่นี้หรือไม่
– ช่องโหว่นี้เกิดขึ้นมานานเพียงไร และที่ผ่านมาส่งผลกระทบอะไรบ้าง
Step 3: Treating Vulnerabilities
เมื่อความเสี่ยงได้รับการตรวจสอบแล้วว่า “นี่คือภัยคุกคามที่ต้องจัดการ” ขั้นตอนต่อไปคือ “การจัดการแก้ไขปัญหาช่องโหว่ที่เกิดขึ้น” ซึ่งโดยทั่วไปจะมีหลายวิธีที่นิยมใช้กันได้แก่
“Remediation” : การแก้ไขที่จะช่วยจัดการช่องโหว่ที่เกิดขึ้นได้อย่างสมบูรณ์ เพื่อไม่ให้สามารถเข้ามาสร้างผลกระทบต่อธุรกิจของคุณได้ และนี่คือที่เลือกที่เหมาะสมกับองค์กรที่ต้องการจัดการปัญหานี้ให้หมดไปอย่างจริงจัง
“Mitigation” : ลดโอกาสและผลกระทบของภัยคุกคามหรือช่องโหว่ที่เกิดขึ้น ในบางครั้งจะต้องแก้ไขด้วยการอัพเดทแพทช์ที่เหมาะสมกับการจัดการความเสี่ยงนี้ ตัวเลือกนี้เหมาะสมกับการแก้ไขปัญหาเบื้องต้นในระหว่างที่ทีมดูแลความปลอดภัยกำลังหาวิธีจัดการความเสี่ยงอย่างจริงจัง
“Acceptance” ยอมรับปัญหาที่เกิดขึ้น โดยไม่แก้ไขหรือหาวิธีลดความเสี่ยงใดๆ เพราะหากความเสี่ยงที่เกิดขึ้นไม่รุนแรง หรือไม่เหมาะสมกับค่าใช้จ่ายในการแก้ปัญหา วิธีการนี้ก็เหมาะสมมากเลยทีเดียว
อย่างไรก็ตามบางครั้ง การสแกนก็สามารถตรวจพบ “ช่องโหว่ที่ไม่จำเป็นต้องแก้ไข” ตัวอย่างเช่นหากเครื่องสแกนตรวจพบช่องโหว่ใน Adobe Flash Player ซึ่งองค์กรปิดการใช้งานในส่วนนี้ไปแล้ว ก็ไม่จำเป็นที่จะต้องนำมาพิจารณาแก้ไขก็ได้เช่นเดียวกัน
Step 4: Reporting vulnerabilities
การประเมินผลของการแก้ไขปัญหาความเสี่ยงที่เกิดขึ้น พร้อมทั้งบันทึกรายงานผลเอาไว้จะสามารถช่วยให้การแก้ปัญหาครั้งต่อไปเกิดขึ้นได้อย่างรวดเร็วขึ้น หากเป็นช่องโหว่หรือความเสี่ยงที่เกิดขึ้นในลักษณะเดิมหรือใกล้เคียงกัน
สิ่งที่สำคัญที่สุดจาก “การรายงานผล” ก็คือช่วยให้ทีมไอทีสามารถเข้าใจได้ง่ายว่าเทคนิคใด หรือวิธีการใดจะสามารถจัดการช่องโหว่รวดเร็วและมีประสิทธิภาพได้มากที่สุด รวมทั้งในเรื่องของการประเมินต้นทุนของการแก้ปัญหาในแต่ละครั้งอีกด้วย นอกจากนี้รายงานยังสามารถใช้อ้างอิงเพื่อดำเนินการทางกฎหมายได้ต่อไปอีกด้วย
Staying Ahead of Attackers through Vulnerability Management หากต้องการให้องค์กรปลอดภัยก็จะต้องอยู่ข้างหน้าภัยคุกคามอยู่เสมอ
“ภัยคุกคามและอาชญากรไซเบอร์” มีการเปลี่ยนแปลงตลอดเวลาเช่นเดียวกับองค์กรต่างๆที่กำลังเพิ่มอุปกรณ์เคลื่อนที่บริการคลาวด์เครือข่าย และแอพพลิเคชันใหม่ ๆ อย่างต่อเนื่อง และเมื่อเหล่าคุกคามพัฒนาขึ้นไปอีกขั้นก็เหมือนความเสี่ยงครั้งใหม่ที่จะเกิดขึ้นอยู่เสมอ โดยที่ความเสี่ยงเหล่านี้จะสามารถเกิดขึ้นได้ทุกวัน สิ่งที่องค์กรและผู้ดูแลความปลอดภัยจะต้องหมั่นทำอยู่เสมอก็คือ
“การพยายามก้าวไปอยู่ข้างหน้าของเหล่าภัยคุกคาม รู้ทันรูปแบบของการโจมตี
และพร้อมรับมือแก้ไขความเสี่ยงเหล่านี้อยู่ตลอดเวลา”
ปรึกษาการทำ CyberSecurity กับมอนสเตอร์คอนเนค
Reference : https://www.rapid7.com/fundamentals/vulnerability-management-and-scanning/