คงความแข็งแกร่งและยืดหยุ่น: คำแนะนำสูงสุดของ CISO สำหรับปี 2567
คงความแข็งแกร่งและยืดหยุ่น: คำแนะนำสูงสุดของ CISO สำหรับปี 2567
ปี 2566 ยังคงเป็นปีที่ท้าทายสำหรับความมั่นคงปลอดภัยของข้อมูล องค์กรต่าง ๆ ยังคงพยายามหาทางป้องกันแฮกเกอร์อยู่เสมอ เราพบเห็นการโจมตีแบบฟิชชิ่ง (Phishing) ที่เพิ่มมากขึ้นและซับซ้อนขึ้น โดยมีแนวโน้มสำคัญประการหนึ่งที่ส่งผลกระทบอย่างมากตลอดทั้งปี นั่นคือ “ฟิชชิ่งที่ขับเคลื่อนด้วย AI ” ฟิชชิ่งยังคงเป็นวิธีการโจมตีที่แพร่หลายที่สุด เนื่องจากต้นทุนค่อนข้างต่ำแต่มีอัตราความสำเร็จสูง การนำ AI มาใช้ยิ่งทำให้ปัญหานี้ทวีความรุนแรง
ปีที่ผ่านมา เราเห็นการโจมตีแบบฟิชชิ่งเพิ่มขึ้นอย่างมาก โดยมุ่งเป้าไปที่ธุรกิจ รัฐบาล และผู้บริโภค เพื่อหลอกลวงให้ผู้คนเปิดเผยข้อมูลสำคัญ สิ่งที่น่ากังวลคือ การสำรวจของ Yubico พบว่า 91% ของผู้คนยังคงใช้แค่ username และ password ในการรักษาความปลอดภัยบัญชีของตัวเองเพื่อความปลอดภัยในอนาคต เราจำเป็นต้องเปลี่ยนแปลง! เราต้องเลิกพึ่งพา password และวิธีการยืนยันตัวตนแบบเก่าที่ไม่ปลอดภัย แล้วหันไปใช้ Multi-Factor Authentication (MFA) ที่ทันสมัยและทนต่อการฟิชชิ่ง
ปีนี้ เราเห็นการโจมตีที่แยบยลขึ้นมาก เนื่องจากแฮกเกอร์มีข้อมูลเกี่ยวกับผู้ขายในห่วงโซ่อุปทาน (Supply Chain) และพนักงานภายในบริษัทมากขึ้น ข้อมูลเหล่านี้ช่วยให้แฮกเกอร์สามารถสร้างเรื่องราวหลอกลวงที่น่าเชื่อถือ (Pretext) เช่น อ้างอิงชื่อพนักงานจริงในบริษัทเพื่อสร้างความไว้วางใจ เข้าใจความสัมพันธ์ระหว่างบุคคล ในองค์กร เพื่อแอบอ้างเป็นคนอื่นอย่างแนบเนียน เลียนแบบสไตล์การสื่อสาร ของบุคคลจริง เพื่อให้เหยื่อหลงเชื่อ
เนื่องจากผลกระทบและความสำเร็จของการโจมตีแบบแยบยลเหล่านี้ รัฐบาลในสหรัฐฯ ยุโรป และทั่วโลก จึงเพิ่มความเข้มงวดในการยกระดับความปลอดภัยให้กับธุรกิจ ประชาชน และหน่วยงานของรัฐเอง
รัฐบาลสหรัฐฯ เริ่มหมดความอดทนกับภาคเอกชนที่กันแฮกเกอร์ไม่อยู่! พวกเขาเน้นย้ำว่าต้องลงมือทำอะไรสักที ไม่ใช่ปล่อยให้ประชาชนแบกรับความเสี่ยงไปเองต้นปี 2566 รัฐบาลประกาศ “กลยุทธ์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ” เพื่อเปลี่ยนภาระความรับผิดชอบด้านความปลอดภัยไซเบอร์ จากปัจจุบันที่ตกอยู่กับประชาชน ไปสู่ องค์กรที่มีศักยภาพและเหมาะสมที่สุดในการลดความเสี่ยงให้กับทุกคน
รัฐบาลสหรัฐฯ เอาจริงเรื่องความปลอดภัยไซเบอร์!ปี 2567ออกคำสั่ง Executive Order 14028 บังคับหน่วยงานรัฐและเอกชนที่ทำงานกับรัฐบาล ต้องยกระดับความปลอดภัยไซเบอร์ตามมาตรฐานที่กำหนดไม่ใช่แค่เรื่องรหัสผ่านนะ! คำสั่งนี้เน้นเรื่องสำคัญๆ ด้วย เช่นZero Trust: แนวคิดความปลอดภัยแบบไม่ไว้ใจใครง่ายๆPhishing-resistant MFA: วิธียืนยันตัวตนแบบปลอดภัยจากฟิชชิ่ง โดยเน้น FIDO/WebAuthn และ Smart Card (PIV)เส้นตายอยู่กันยายน 2024! องค์กรต้องปรับตัวให้ทันไม่ใช่แค่สหรัฐฯ สหภาพยุโรปและออสเตรเลียก็เข้มงวดเรื่องความปลอดภัยไซเบอร์เหมือนกัน
ปีที่ผ่านมา มีการใช้ FIDO และ passkeys เพื่อยืนยันตัวตนแพร่หลายมากขึ้นบริษัทเทคโนโลยีใหญ่ๆ อย่าง Apple, Microsoft, Google ต่างสนับสนุน passkeys แล้วทั้ง FIDO และ passkeys ช่วยเพิ่มความปลอดภัย ลดปัญหาการถูกโจมตีแบบฟิชชิ่ง
ตอนนี้เรามาถึงส่วนของคำแนะนำสำหรับธุรกิจและผู้นำด้านความปลอดภัยกันแล้วนะคะ ฉันตื่นเต้นที่จะได้อ่านต่อเลย!
1 . ให้ความสำคัญกับการนำกลยุทธ์ Zero Trust มาใช้ โดยเน้นไปที่ MFA ปลอดภัยจากฟิชชิ่ง
ที่ Yubico เราพูดถึงโครงสร้าง Zero Trust architectures (ZTAs) บ่อย เพราะอุตสาหกรรมตระหนักว่าถึงแม้เราจะพยายามป้องกันการโจมตีมากแค่ไหน แต่การรั่วไหลก็ยังเกิดขึ้นได้ และเมื่อเกิดขึ้น แนวป้องกันด่านถัดไปควรลดผลกระทบให้น้อยที่สุด ZTA นั้นเมื่อนำมาใช้กับทุกส่วน จะสร้างขอบเขตความไว้วางใจเพิ่มเติม ซึ่งจำกัดความสามารถของผู้โจมตีในการเคลื่อนไหวไปด้านข้าง และระยะเวลาเซสชั่นที่ค่อนข้างสั้นจะจำกัดช่วงเวลาโอกาสและความสามารถของผู้โจมตีในการรักษาความคงอยู่โดยไม่ต้องดำเนินการเพิ่มเติม
การใช้ ZTA ทำให้ผู้โจมตีมุ่งไปที่การโจมตีหลังการยืนยันตัวตน (จะพูดถึงในภายหลัง) และบังคับให้พวกเขาพยายามหลบเลี่ยงมาตรการป้องกัน เช่น การลงทะเบียนอุปกรณ์หลายองค์กรกำหนดให้ใช้อุปกรณ์เฉพาะที่ลงทะเบียนไว้สำหรับการเข้าถึงระบบเพื่อวัตถุประสงค์ด้านการดูแลระบบ การลงทะเบียนอุปกรณ์เหล่านี้ควรเป็นเหตุการณ์ที่ไม่บ่อยครั้ง – น้อยครั้งพอที่เหมาะสมที่จะแจ้งให้เจ้าหน้าที่ปฏิบัติการจำนวนมากทราบเหตุการณ์นั้น เพื่อให้สามารถคัดกรองเพื่อให้แน่ใจว่าเป็นสิ่งที่คาดหวังและได้รับอนุญาต
- การตรวจสอบเหตุการณ์เฉพาะและสำคัญ ช่วยให้ตรวจพบการโจมตีได้เร็ว
- การแจ้งเตือนกรณีลงทะเบียนอุปกรณ์เฉพาะ เป็นตัวอย่างของการตรวจจับแบบนี้
- การตรวจจับแบบนี้นำไปสู่การป้องกันความเสียหายได้เร็วขึ้น
- ควรเป็นส่วนหนึ่งของแผนการป้องกันภัยไซเบอร์ในปี 2567
เนื่องจากความจำเป็นในการรักษาความปลอดภัยไซเบอร์อย่างจริงจัง องค์กรต่างๆ ควรเลิกพึ่งพาแค่รหัสผ่านและ MFA แบบเก่าๆ อย่าง SMS OTP หรือแอปพลิเคชัน push-based รัฐบาลทั่วโลกตระหนักดีว่า MFA ไม่ใช่ทุกรูปแบบที่จะเท่ากัน และการใช้ MFA แบบทันสมัยที่ทนต่อฟิชชิ่ง – รวมถึงคีย์ความปลอดภัยฮาร์ดแวร์อย่าง YubiKey – เป็นส่วนสำคัญของกลยุทธ์ Zero Trust ที่จะยกระดับความปลอดภัยขององค์กรอย่างมาก
2 . เตรียมพร้อมสำหรับการโจมตีด้วย AI ที่พัฒนาอย่างต่อเนื่อง
ถึงแม้ AI จะมีประโยชน์มากมาย แต่ผู้ไม่หวังดีก็สามารถใช้ AI เพื่อสร้างความเสียหายได้เช่นกัน โดยเฉพาะอย่างยิ่งในด้านการโจมตีแบบฟิชชิ่งปัญหามีอยู่ 2 ประเด็นหลัก:2.1 AI ทำให้การสร้างฟิชชิ่งง่ายขึ้น: อัลกอริทึมสามารถเขียนอีเมลฟิชชิ่งเฉพาะบุคคลได้จำนวนมาก หรือโทรศัพท์หลอกเป็นเสียงคนได้เป็นพันสายพร้อมกัน อีกทั้งยังลดต้นทุนและทักษะที่ผู้โจมตีต้องมี ทำให้การโจมตีแบบฟิชชิ่งแพร่หลายและอันตรายมากขึ้น2.2 AI ลดทอนความสามารถที่ผู้โจมตีต้องมี: เพียงแค่ป้อนคำสั่งง่ายๆ อย่าง “ส่งอีเมลฟิชชิ่งไปยังผู้ดูแลไอทีของบริษัท X, Y, และ Z” AI ก็สามารถทำได้โดยไม่ต้องใช้ทักษะเฉพาะด้าน ภัยจาก AI ไม่ได้หยุดแค่การสร้างฟิชชิ่งง่ายๆ แต่มันยังส่งผลต่อการโจมตีแบบ Social Engineering ให้รุนแรงและสำเร็จได้ง่ายขึ้นด้วย เพราะ AI สมัยใหม่ใช้ข้อมูลมหาศาลในการสร้างข้อความและเสียงปลอมที่เหมือนจริง รวมไปถึงสร้าง “แฟ้มประวัติ” ของบุคคลเป้าหมายเพื่อใช้โจมตีอย่างแยบยล
AI ทำให้การโจมตีแบบ Social Engineering เนียนกว่าเดิม โดยเลียนแบบบุคคล สร้างข้อมูลจริง และแม้กระทั่งเสียงปลอมเป้าหมายคือให้เหยื่อหลงเชื่อและลงมือทำอะไรบางอย่างวิธีป้องกัน: ตรวจสอบข้อมูลก่อนเชื่อ โดยใช้ช่องทางติดต่ออื่นที่เชื่อถือได้ เช่น โทรศัพท์เบอร์เดิมที่คุณมีอยู่
3 . เตือนให้เราระมัดระวังข่าวปลอมเกี่ยวกับเหตุการณ์ระดับโลกและแคมเปญการเลือกตั้งที่จะเกิดขึ้นในปีหน้า
AI และ Deepfakes จะส่งผลกระทบอย่างมากในปีหน้า โดยเฉพาะด้านการปล่อยข้อมูลเท็จเพื่อแทรกแซงเหตุการณ์ระดับโลกและการเลือกตั้ง ความท้าทายคือการลดผลกระทบของ Deepfakes ปี 2567 เป็นปีที่มีการเลือกตั้งใหญ่ในสหรัฐฯ คาดว่าจะมีการโจมตีด้วยข้อมูลเท็จเพิ่มขึ้นอย่างต่อเนื่อง เพื่อบั่นทอนความเชื่อมั่นในระบบการเลือกตั้งและทำลายระบบประชาธิปไตยวิธีการรับข่าวสารและสื่อสารแบบเดิมๆ อาจไม่ปลอดภัยอีกต่อไป เราต้องหาวิธีใหม่ๆ ที่เข้มงวดขึ้น เพื่อป้องกันการหลอกลวงและข้อมูลปลอม เหมือนกับระบบ Zero Trust ที่ใช้ในการรักษาความปลอดภัยคอมพิวเตอร์ เว็บไซต์วิดีโออาจต้องมีระบบพิเศษให้คนดู (หรือบริษัทช่วยคนดู) ตรวจสอบว่าคนที่อยู่ในวิดีโอนั้นเป็นตัวจริง ไม่ใช่ Deepfake เลียนแบบ ก็คล้ายๆ กับการยืนยันตัวตนในการเข้าเว็บไซต์สำคัญๆ นั่นแหละ! ระบบแบบเดียวกันนี้ก็น่าจะจำเป็นสำหรับอีเมลด้วยเหมือนกัน เพื่อให้รู้ว่าคนส่งเป็นใครจริงๆ
อุตสาหกรรมพยายามสร้างระบบ “ลายเซ็นอีเมล” เพื่อยืนยันตัวตนผู้ส่ง แต่ระบบเหล่านั้นมักใช้งานลำบาก ดูแลยาก และข้ามบริษัทไม่ค่อยได้ การแพร่หลายของ “passkeys” และ “บัตรประจำตัวดิจิทัลของรัฐบาล” จะช่วยวางรากฐานสำคัญในการสร้างความน่าเชื่อถือให้เนื้อหาและระบบสื่อสาร วิธีการเหล่านี้เข้าใจง่าย ทดลองใช้งานมาเยอะ ทำให้มั่นใจในความปลอดภัยได้ปัจจุบัน ยังไม่มีวิธีการยืนยันตัวตนที่สมบูรณ์แบบ ดังนั้น ต้องระมัดระวังและตรวจสอบแหล่งที่มาของข้อมูลเสมอควรสงสัยเนื้อหาที่ดูดีเกินจริงหรือรู้สึกแปลกๆ ก่อนเชื่ออะไร ให้ ตรวจสอบบัญชีผู้โพสต์อย่างเป็นทางการ
บน Social Media เช่น X, Facebook และ LinkedIn ดูว่าเว็บไซต์นั้นได้รับการยืนยันแล้ว ด้วยระบบเครื่องหมายถูกหรือเครื่องหมายพิเศษอื่นๆเพื่อต่อสู้กับข้อมูลปลอมอย่างจริงจัง รัฐบาลทั่วโลกจำเป็นต้องให้ความสำคัญกับความปลอดภัยไซเบอร์อย่างต่อเนื่อง และร่วมมือกันพัฒนาแนวทางป้องกันภัยคุกคามไซเบอร์
4 . ปรับตัวให้รับมือกับภัยคุกคามหลังการยืนยันตัวตนที่คาดว่าจะเพิ่มขึ้น
การใช้ MFA เพิ่มมากขึ้น ทำให้แฮกเกอร์เปลี่ยนวิธีโจมตี พวกเขาหันไปใช้วิธีการอื่นทดแทนการพยายามฝ่าด่าน MFAแฮกเกอร์เน้นการโจมตีแบบ Social Engineering หลอกล่อให้เหยื่อดาวน์โหลดและติดตั้งซอฟต์แวร์อันตรายการหลอกลวงด้วย Pop-up ปลอม ว่าอุปกรณ์ติดไวรัส เพิ่มขึ้นอีกครั้ง มักนำไปสู่การโทรติดต่อกับ Call Center ปลอมเพื่อหลอกลวงขูดรีดข้อมูล
แฮกเกอร์หันมาโฟกัสที่การขโมย “โทเค็นเบราว์เซอร์” มากขึ้น แม้ว่าวิธีการนี้จะไม่ใช่เรื่องใหม่โทเค็นเบราว์เซอร์เป็นเหมือนกุญแจที่ใช้ยืนยันตัวตนผู้ใช้หลังจากผ่านการล็อกอินสำเร็จ แฮกเกอร์จะนำโทเค็นเบราว์เซอร์ที่ขโมยมา ไปปลอมตัวเป็นผู้ใช้คนนั้นและเข้าถึงข้อมูลหรือบัญชีของเหยื่อ
โทเค็นเบราว์เซอร์ที่ถูกขโมยมาสามารถซื้อขายได้ และอาจถูกนำไปใช้ในแคมเปญ ransomware หรือ extortion ขนาดใหญ่การขโมยโทเค็นเพิ่มมากขึ้น ทำให้เกิดความสนใจในเทคโนโลยี “token binding” มากขึ้น token binding เป็นวิธีการทางเทคนิคที่ผูกโทเค็นกับอุปกรณ์เฉพาะ โดยจะตรวจจับได้ง่ายขึ้นหากโทเค็นถูกขโมยไปใช้ในอุปกรณ์อื่นหรือจากสถานที่อื่น
5 . การส่งเสริมการแบ่งปันข้อมูลและการทำงานร่วมกันระหว่าง CISOs เป็นเรื่องสำคัญมากในการรับมือกับภัยคุกคามทางไซเบอร์ที่ซับซ้อนและพัฒนาอย่างรวดเร็ว
ความเชื่อมโยงในโลกปัจจุบัน ส่งผลให้ความปลอดภัยของเราขึ้นอยู่กับความปลอดภัยของผู้อื่นอย่างมากความปลอดภัยของระบบเราเชื่อมโยงกับระบบของผู้อื่น ในยามวิกฤติไม่ใช่เวลาสร้างความสัมพันธ์ สำหรับผู้ขาย ผู้ให้บริการ พาร์ทเนอร์ และลูกค้าบางราย CISO และหัวหน้าฝ่ายความปลอดภัยควรสร้างความสัมพันธ์ที่เหนือกว่าแค่การประเมินความเสี่ยง ในปีที่ผ่านมาคุณได้กล่าวถึงความสำคัญของการสื่อสารอย่างเปิดเผยและการทำงานร่วมกัน ตอนแรกคุณอาจมองว่าสิ่งเหล่านี้เป็นวิธีเร่งความเข้าใจปัญหาและหาแนวทางแก้ไข แต่ในปีที่ผ่านมานี้ คุณได้ตระหนักถึงความสำคัญของการสร้างความสัมพันธ์ระหว่าง CISOs ก่อนที่จะเกิดการโจมตีหรือวิกฤติ
6 . การใช้เครื่องมือจัดการความลับ (secrets management) สำหรับบัญชีผู้ใช้เครื่อง (machine accounts) และบัญชีผู้ใช้บริการ (service accounts) ซึ่งเป็นบัญชีที่ใช้โดยระบบคอมพิวเตอร์และบริการต่างๆ โดยไม่ใช่บัญชีผู้ใช้บุคคลทั่วไป
ปี 2023 มีการโจมตีระดับสูงหลายครั้ง ที่แฮกเกอร์ขโมย “key material” และ “machine secrets” ทำให้พวกเขาสามารถอยู่ยงยาวและเคลื่อนไหวไปทั่วระบบได้อย่างอิสระในแพลตฟอร์มคลาวด์ สิ่งนี้มักหมายถึงการโจมตีผู้เช่าใช้บริการหรือลูกค้ารายอื่นๆ key material ที่ถูกขโมย ยังสามารถใช้สร้าง “ความสัมพันธ์ไว้วางใจ” ระหว่างอุปกรณ์ที่แฮกเกอร์ควบคุมกับระบบของบริษัทที่ตกเป็นเหยื่อได้
การโจมตีหลายครั้งเกิดจากการป้องกัน “ข้อมูลลับ” (credentials) ไม่ดี ทำให้แฮกเกอร์ขโมยไปใช้ได้ง่ายการใช้ “ระบบจัดการความลับ” (secrets manager) โดยเฉพาะที่ใช้ร่วมกับ “ฮาร์ดแวร์ความปลอดภัยพิเศษ” (HSM) จะช่วยลดความเสี่ยงจากการขโมยข้อมูลลับ แต่อาจไม่ป้องกันการใช้ในทางไม่ดีได้ทั้งหมดระบบจัดการความลับจะบังคับให้แฮกเกอร์โจมตีภายในระบบของคุณ ทำให้คุณตรวจจับและตอบสนองการโจมตีได้ง่ายขึ้น
ปี 2023 เต็มไปด้วยความท้าทายด้านความปลอดภัยไซเบอร์ ทั้งแบบเดิมและแบบใหม่ แต่เราก็ได้เห็นโอกาสมากมายที่จะทำให้ระบบปลอดภัยมากขึ้นและก้าวล้ำหน้าไปกว่าภัยคุกคามที่เปลี่ยนแปลงอยู่เสมอ แฮกเกอร์จะปรับตัวและพัฒนาเช่นเดียวกันเพื่อรับมือกับการเปลี่ยนแปลงของระบบป้องกันไซเบอร์ทั่วโลก ดังนั้น เราเองก็ต้องปรับตัวเช่นกัน
ข้อมูลจาก : Yubico