mobile-logo

How to set up a threat management program

program
23 Jan

How to set up a threat management program

by Naruemon Paengjaem
in Blog
Comments

How to set up a threat management program and Data Loss Prevention Program

(วิธีการตั้งค่าโปรแกรมการจัดการภัยคุกคามภายในและการป้องกันการสูญเสียข้อมูล )

ยุคสองสามปีที่ผ่านมานี้ โลกของเรากำลังเผชิญกับการเปลี่ยนแปลงครั้งใหญ่ไม่เคยปรากฏมาก่อน ไม่ว่าจะเป็นรูปแบบการทำงานที่กระจายตัวมากขึ้น การเข้าถึงข้อมูลมหาศาลผ่านช่องทางต่างๆ และการย้ายข้อมูลขึ้นสู่ระบบคลาวด์ ล้วนทำให้การรักษาความปลอดภัยของข้อมูลลับยิ่งซับซ้อนและท้าทายมากขึ้น

ชัดเจนว่าองค์กรต่างๆ กำลังเผชิญความยากลำบากในการรับมือกับความท้าทายด้านการรักษาความปลอดภัยข้อมูลที่เพิ่มมากขึ้น โดยเฉพาะอย่างยิ่งภัยคุกคามจากภายใน ระหว่างปี 2020 ถึง 2022 ภัยคุกคามประเภทนี้เพิ่มสูงถึง 44% และค่าใช้จ่ายในการจัดการกับภัยคุกคามเหล่านี้ก็พุ่งสูงขึ้น 34% จาก 11.45 ล้านดอลลาร์เป็น 15.38 ล้านดอลลาร์

การเพิ่มขึ้นอย่างรวดเร็วของภัยคุกคามจากภายในนี้มีสาเหตุหลักสองประการ ประการแรก ทีมรักษาความปลอดภัยส่วนใหญ่ ขาดความสามารถในการมองเห็น การรั่วไหลของข้อมูลที่เกิดจากบุคคลและเหตุการณ์ด้านความปลอดภัยที่เกิดจากภายใน และประการที่สอง มีเพียงไม่กี่ทีมที่มีเครื่องมือหรือทรัพยากร ที่เพียงพอในการรับมือกับปัญหานี้

สาเหตุสำคัญที่ทำให้ Gartner มองเห็นแนวโน้มการรวมตัวกันของแพลตฟอร์ม Data Loss Prevention (DLP) และ Insider Threat Management (ITM) ก็คือ ธุรกิจต้องการเครื่องมือและกระบวนการที่มอบข้อมูลเชิงลึกแบบองค์รวมและมีบริบท โดยคำนึงถึงพฤติกรรมของผู้ใช้ เพียงแค่โฟกัสไปที่ข้อมูลและการเคลื่อนไหวของข้อมูลนั้นไม่เพียงพออีกต่อไป

เพื่อป้องกันการสูญหายของข้อมูล ผู้นำในอุตสาหกรรมจำเป็นต้องใช้วิธีการที่เน้นผู้ใช้เป็นหลัก ซึ่งก้าวข้ามไปจากปัจจัยแบบเดิมๆ อย่างเช่น การปฏิบัติตามข้อกำหนด ในบทความนี้ เราจะมาเจาะลึกถึงหลักพื้นฐานบางประการในการออกแบบโปรแกรม ITM และ DLP สิ่งเหล่านี้สามารถช่วยให้คุณเข้าถึงการปกป้องข้อมูลในรูปแบบที่เหมาะสมกับการทำงานขององค์กรสมัยใหม่

เหตุใดการปกป้องข้อมูลจึงเป็นเรื่องที่ท้าทาย

ความเสี่ยงมีอยู่ทั่วไปในภูมิทัศน์ที่ซับซ้อนในปัจจุบัน ต่อไปนี้คือการเปลี่ยนแปลงบางประการที่ทําให้บริษัทต่างๆ ปกป้องข้อมูลของตนได้ยาก

  • ข้อมูลเพิ่มเติมเปิดให้เปิดเผยและถูกขโมย ขณะที่ธุรกิจต่างๆ ก้าวเข้าสู่โลกดิจิทัล ปริมาณข้อมูลที่ถูกสร้างขึ้นนั้นมีมากมายมหาศาลเกินกว่าที่เคยมีมา ตามการคาดการณ์ของ IDC ในรายงาน Worldwide Global DataSphere Forecast ปริมาณข้อมูลทั้งหมดที่ถูกสร้างขึ้นจะเพิ่มขึ้นเป็นสองเท่าระหว่างปี 2022 ถึง 2026 สิ่งนี้หมายความว่า ผู้ไม่หวังดีภายในองค์กรจะมีโอกาสเข้าถึงข้อมูลที่ละเอียดอ่อนมากขึ้นผ่านช่องทางต่างๆ มากขึ้น นอกจากนี้ ผู้ใช้งานที่ไม่ระมัดระวังอาจเผยข้อมูลโดยไม่ตั้งใจได้ง่ายขึ้น อีกทั้งช่องโหว่ด้านความปลอดภัยระหว่างช่องทาง การตั้งค่าที่ผิดพลาด หรือการแชร์ไฟล์โดยไม่ตั้งใจ ล้วนสามารถสร้างโอกาสให้ผู้โจมตีภายนอกขโมยข้อมูลได้มากขึ้น
  • ชนิดข้อมูลใหม่ตรวจจับได้ยาก ข้อมูลไม่ได้เติบโตแค่เพียงปริมาณเท่านั้น แต่ยังมีความหลากหลายมากขึ้น ซึ่งทำให้การตรวจจับและควบคุมยากขึ้น เครื่องมือโปรแกรมป้องกันการสูญหายของข้อมูล (DLP) แบบดั้งเดิม มักถูกออกแบบมาเพื่อตรวจจับข้อมูลตามรูปแบบที่กำหนดไว้อย่างเข้มงวด (เช่น หมายเลขบัตรเครดิต) แต่ถึงแม้จะเป็นเช่นนั้น เครื่องมือเหล่านี้ก็ยังสร้างผลบวกลวง (False Positives) มากเกินไป ปัจจุบันข้อมูลทางธุรกิจที่สำคัญมีความหลากหลายมากขึ้น และอาจอยู่ในรูปแบบกราฟิก ตาราง หรือแม้แต่โค้ดต้นฉบับ ซึ่งยากต่อการตรวจจับด้วยเครื่องมือแบบเดิม
  • ขอบเขตความปลอดภัยของเครือข่ายไม่มีอยู่อีกต่อไป ด้วยพนักงานและผู้รับเหมาที่ทํางานจากระยะไกลมากขึ้นขอบเขตการรักษาความปลอดภัยจึงเปลี่ยนจากอิฐและปูนเป็นหนึ่งตามผู้คน เพิ่มแนวทางปฏิบัติแบบผสมผสานระหว่างการนําอุปกรณ์ของคุณมาเอง (BYOD) ซึ่งส่วนบุคคลและมืออาชีพมักจะเบลอ และทีมรักษาความปลอดภัยมีความเสี่ยงที่ต้องต่อสู้มากยิ่งขึ้น ในการสํารวจรายงาน State of the Phish ปี 2023 จาก Proofpoint 72% ของผู้ตอบแบบสอบถามกล่าวว่าพวกเขาใช้อุปกรณ์ส่วนตัวอย่างน้อยหนึ่งเครื่องในการทํางาน
  • การเลิกจ้างพนักงานสูง การปลดพนักงานในอุตสาหกรรมเทคโนโลยีในปี 2022 และ 2023 ทําให้พนักงานจํานวนมากลาออกและเข้าร่วมธุรกิจในอัตราที่รวดเร็ว ผลที่ได้คือความเสี่ยงที่มากขึ้นของการขโมยข้อมูลการแทรกซึมและการก่อวินาศกรรม ผู้นําด้านความปลอดภัยก็รู้เช่นกัน 39% ของหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลให้คะแนนการปรับปรุงการปกป้องข้อมูลเป็นลําดับความสําคัญสูงสุดในอีกสองปีข้างหน้า
  • ความสามารถด้านความปลอดภัยขาดตลาด การขาดความสามารถทําให้ทีมรักษาความปลอดภัยจํานวนมากมีทรัพยากรไม่เพียงพอ และสถานการณ์มีแนวโน้มที่จะเลวร้ายลง ในปี 2023 ช่องว่างแรงงานด้านความปลอดภัยทางไซเบอร์แตะระดับสูงสุดเป็นประวัติการณ์ มีงานมากกว่าแรงงานที่มีทักษะถึง 4 ล้านตําแหน่ง

DLP vs. ITM

ความแตกต่างระหว่าง DLP และ ITM คืออะไร? ทั้ง DLP และ ITM ทํางานเพื่อป้องกันข้อมูลสูญหาย แต่พวกเขาประสบความสําเร็จในรูปแบบที่แตกต่างกัน

DLP ติดตามการเคลื่อนย้ายและการกรองข้อมูล

DLP จะคอยตรวจสอบกิจกรรมของไฟล์และสแกนเนื้อหาเพื่อดูว่าผู้ใช้กำลังจัดการข้อมูลสำคัญตามนโยบายของบริษัทหรือไม่ โดย DLP ถูกนำมาใช้ทั่วทั้งองค์กรโดยคำนึงถึงผู้ใช้ทั่วไปที่มีความเสี่ยงต่ำ

ITM มุ่งเน้นไปที่พฤติกรรมของผู้ใช้

ในขณะเดียวกัน ITM จะวิเคราะห์การใช้แอปพลิเคชันการทํางานของอินเทอร์เฟซผู้ใช้การเข้าถึงเว็บไซต์และการเคลื่อนย้ายไฟล์ มีวัตถุประสงค์เพื่อตรวจจับพฤติกรรมของผู้ใช้ที่มีความเสี่ยงและป้องกันข้อมูลสูญหายการก่อวินาศกรรมของระบบและการละเมิดการปฏิบัติตามข้อกําหนดอื่น ๆ นอกจากนี้ยังจับภาพหน้าจอของกิจกรรมที่มีความเสี่ยงสูงเพื่อเป็นหลักฐานภาพในกรณีที่มีการสอบสวน

ITM ใช้กับผู้ใช้ที่มีความเสี่ยง เช่น:

  • พนักงานที่ลาออก
  • ผู้ใช้ที่มีสิทธิพิเศษ
  • คนที่ถูกโจมตีมาก (VAPs)
  • ผู้รับเหมา
  • พนักงานในแผนการปฏิบัติงาน

เหตุใดโปรแกรม ITM และ DLP จึงมาบรรจบกัน

DLP และ ITM กําลังผนึกกําลังกันเพราะลักษณะของงานมีการพัฒนา เพื่อปกป้องข้อมูลในปัจจุบันคุณไม่สามารถมุ่งเน้นไปที่เนื้อหาเพียงอย่างเดียวได้ คุณต้องมองเห็นสิ่งที่คนวงในกําลังทํากับข้อมูล และคุณต้องมีกลยุทธ์ที่ชัดเจนในการป้องกันและบรรเทาภัยคุกคาม โปรแกรม ITM และ DLP ที่ทันสมัยคือ:

  • การรับรู้เนื้อหา เพื่อให้สามารถระบุข้อมูลที่ละเอียดอ่อนและควบคุมได้อย่างถูกต้อง
  • การตระหนักรู้พฤติกรรม ดังนั้นจึงสามารถระบุได้ว่าพฤติกรรมของผู้ใช้ใดมีความเสี่ยง ซึ่งน่าจะเป็นตัวบ่งชี้ถึงเจตนาร้าย และการเข้าถึงประเภทใดที่ผิดปกติ
  • ตระหนักถึงภัยคุกคาม ดังนั้นจึงสามารถระบุบัญชีที่ถูกบุกรุกหรือบอกได้ว่าผู้ใช้ตกเป็นเหยื่อของการโจมตีแบบฟิชชิงการละเมิด OAuth หรือมัลแวร์เมื่อใด

การเชื่อมต่อจุดเหล่านี้สามารถให้บริบทเพิ่มเติมปรับปรุงการตรวจสอบและเปิดเผยเจตนาบางสิ่งที่ไม่ชัดเจนเสมอไปเมื่อคุณใช้เครื่องมือ DLP แบบเดิม

สามเสาหลักของการป้องกันข้อมูลสูญหายที่ทันสมัย

6 ขั้นตอนในการสร้างโปรแกรม ITM และ DLP ที่ประสบความสําเร็จ

ต่อไปนี้คือภาพรวมพื้นฐานของขั้นตอนที่คุณต้องดําเนินการเพื่อออกแบบโปรแกรม ITM และ DLP ที่สร้างขึ้นสําหรับวิธีการทํางานขององค์กรสมัยใหม่

ขั้นตอนที่ 1: หาคนที่เหมาะสมให้เข้าที่

โปรแกรม ITM และ DLP ที่ประสบความสําเร็จนั้นทํางานข้ามสายงานโดยเนื้อแท้ ช่วยขจัดไซโลแบบดั้งเดิมระหว่าง “ความปลอดภัย” (เน้นบุคลากร) และ “InfoSec” (ไอทีที่เน้นเครือข่าย) และทําให้ผู้คนมีส่วนร่วมจากทั่วทั้งธุรกิจ รวมถึงกฎหมาย ทรัพยากรบุคคล การปฏิบัติตามกฎระเบียบ ผู้นําสายธุรกิจ ผู้บริหาร และแม้แต่คณะกรรมการบริษัท ทุกกลุ่มควรทํางานร่วมกันเพื่อบรรลุเป้าหมายร่วมกันในการลดความเสี่ยงขององค์กร ทั้งด้านเทคนิคและไม่ใช่ด้านเทคนิคควรได้รับอํานาจในการสื่อสารอย่างชัดเจนเกี่ยวกับปัญหา ITM และ DLP

ขั้นตอนที่ 2: กําหนดสินทรัพย์ข้อมูล ความเสี่ยง และข้อกําหนดของโปรแกรม

ธุรกิจส่วนใหญ่มีกรณีการใช้งานที่จํากัดและกําหนดไว้อย่างแคบสําหรับการประเมินภัยคุกคาม โดยทั่วไปแล้วพวกเขาจะเป็นเฉพาะกิจและปฏิกิริยา หากคุณต้องการขยายกรณีการใช้งานจุดเริ่มต้นคือการร่างสิ่งที่ทําให้องค์กรของคุณมีความเสี่ยงมากที่สุด

  • กําหนดสินทรัพย์ข้อมูล ข้อมูลใดบ้างที่ต้องการการปกป้อง หากคุณไม่ทราบว่าคุณมีข้อมูลที่ละเอียดอ่อนอะไรบ้างคุณจะไม่สามารถรักษาความปลอดภัยได้
  • ระบุบุคคลภายในที่มีความเสี่ยง ผู้บริหาร C-suite มักเป็นเป้าหมายของผู้โจมตี แต่ในหลายกรณี เป็นกลยุทธ์ที่ดีกว่าสําหรับผู้ไม่หวังดีที่จะมุ่งความสนใจไปที่ผู้อื่น พวกเขาอาจติดตามผู้ดูแลระบบไอทีที่มีสิทธิ์ของระบบมากมาย เป็นต้น หรืออาจกําหนดเป้าหมายพนักงานในการประชาสัมพันธ์หรือนักลงทุนสัมพันธ์ที่สามารถเข้าถึงข้อมูลที่มีค่าหรือละเอียดอ่อน
  • ร่างข้อกําหนดการปฏิบัติตามข้อกําหนด กฎหมายและกฎการปฏิบัติตามข้อกําหนดบางอย่างได้รับการตอบสนองที่ดีที่สุดผ่านโปรแกรมการปกป้องข้อมูลแบบองค์รวม จากมุมมองทางกฎหมายและความเป็นส่วนตัวการใช้โปรแกรมที่ออกแบบมาอย่างดีจะดีกว่าการหลีกเลี่ยงเนื่องจากความกลัวเกี่ยวกับอุปสรรคทางกฎหมายที่อาจเกิดขึ้น

ขั้นตอนที่ 3: ตรวจสอบความสามารถและช่องว่างของคุณ

ก่อนที่คุณจะสามารถวางแผนโปรแกรมของคุณคุณต้องเข้าใจสถานะปัจจุบันของคุณ สิ่งนี้เริ่มต้นด้วยการประเมินความสามารถ การลงทุน และระดับวุฒิภาวะในการป้องกันข้อมูลสูญหายในปัจจุบันของคุณอย่างมีวิจารณญาณ กระบวนการนั้นจะช่วยให้คุณตอบคําถามสําคัญเช่น:

  • ความสามารถและข้อจํากัดทางเทคนิคของเราคืออะไร?
  • อะไรคือจุดปวดเฉพาะของเราหรือช่องว่างความคุ้มครอง?
  • เราจะใช้ประโยชน์สูงสุดจากการลงทุนที่มีอยู่ของเราได้อย่างไรเมื่อเราเปิดตัวโปรแกรมที่ครอบคลุมมากขึ้น?
  • เราต้องใช้ความสามารถอะไรอีกบ้างในการปกป้องพนักงานแบบไฮบริดของเรา ?

ขั้นตอนที่ 4: วางแผนโปรแกรมของคุณ

การปกป้องข้อมูลเป็นงานที่ซับซ้อน ดังนั้นโปรดทราบว่าอาจใช้เวลาหลายเดือนก่อนที่โปรแกรม ITM และ DLP ของคุณจะทํางานได้อย่างสมบูรณ์ อย่างน้อยที่สุดแผนของคุณควรครอบคลุมการกํากับดูแลการตรวจสอบประวัติการฝึกอบรมการตรวจสอบกิจกรรมของผู้ใช้การจัดการข้อมูลและการตรวจสอบ เริ่มต้นด้วยแผนที่มีนโยบายและขั้นตอนที่เป็นเอกสารสนับสนุนตามกฎหมาย องค์กรส่วนใหญ่มีทรัพยากรในการจัดการกิจกรรมที่จําเป็นเหล่านี้

ขั้นตอนที่ 5: เปิดตัวและสร้างรอบการตรวจสอบ

หากต้องการเริ่มต้นใช้งาน ให้สร้างแผนการดําเนินงานที่มีเหตุการณ์สําคัญของโปรแกรม นี่คือเวลาที่คุณจะกําหนดขั้นตอนสําคัญเช่นวิธีการจัดพนักงานโปรแกรมของคุณความรับผิดชอบที่แน่นอนของสํานักงานของคุณเมื่อคุณจะได้รับความช่วยเหลือจากผู้เชี่ยวชาญจากบุคคลที่สามและอื่น ๆ เพื่อให้แน่ใจว่าโปรแกรมของคุณยังคงได้รับเงินทุน คุณจะต้องทําการประเมินตนเองที่ชัดเจนเป็นครั้งคราว การตรวจสอบเป็นประจําสามารถช่วยปรับปรุงโปรแกรมของคุณได้เช่นกัน โดยปกติ คุณจะทําการตรวจสอบในเหตุการณ์ที่กําหนดไว้ล่วงหน้า เช่น ก่อนเริ่มเหตุการณ์สําคัญของโครงการใหม่

ขั้นตอนที่ 6: ขยายขนาดเมื่อเวลาผ่านไป

โปรแกรม ITM และ DLP ส่วนใหญ่ต้องใช้เวลาจึงจะทํางานได้เต็มประสิทธิภาพ เพื่อให้การจัดการความเสี่ยงมีประสิทธิภาพคุณจะต้องบรรลุเป้าหมายเหล่านี้เมื่อโปรแกรมของคุณเติบโตเต็มที่:

  • ดําเนินการตรวจสอบประวัติสําหรับทุกคน
  • ยกระดับการฝึกอบรมของคุณ
  • ส่งเสริมการทํางานร่วมกันภายใน
  • กําหนดบทบาทการกํากับดูแล
  • ปรับแต่งการควบคุมการเข้าถึงข้อมูลของคุณอย่างละเอียด
  • ปรับใช้การตรวจสอบที่ดีขึ้นในสภาพแวดล้อมของคุณ
  • ป้องกันและแก้ไขโดยอัตโนมัติ

Proofpoint สามารถช่วยได้อย่างไร

พร้อมที่จะสร้างโปรแกรมการปกป้องข้อมูลของคุณเองแล้วหรือยัง องค์กรส่วนใหญ่ไม่มีความเชี่ยวชาญด้านภัยคุกคามจากภายใน ดังนั้นคุณอาจต้องการขอความช่วยเหลือจากผู้เชี่ยวชาญเช่นบริการที่มีการจัดการของ Proofpoint เราสามารถให้ข้อมูลเชิงลึกตามวัตถุประสงค์เพื่อช่วยคุณออกแบบ นําไปใช้ และจัดการโปรแกรม ITM และ DLP ที่มีประสิทธิภาพ
นอกจากนี้เรายังมีแพลตฟอร์มการปกป้องข้อมูลชั้นนําที่เน้นผู้คนเป็นศูนย์กลาง Proofpoint Sigma สามารถช่วยเชื่อมต่อจุดต่างๆ ระหว่างกิจกรรมของผู้ใช้และการเคลื่อนย้ายข้อมูล เพื่อให้ทีมรักษาความปลอดภัยของคุณสามารถตอบสนองต่อการละเมิดที่นําโดยบุคคลภายในได้เกือบเรียลไทม์ ปกป้อง บริษัท ของคุณจากการสูญเสียข้อมูลการกระทําที่เป็นอันตรายและความเสียหายของแบรนด์ที่เกิดจากผู้ใช้ในขณะที่ประหยัดทั้งเวลาและค่าใช้จ่าย สําหรับรายละเอียดเพิ่มเติมเกี่ยวกับการสร้างและจัดการโปรแกรม DLP ของคุณ ให้ดาวน์โหลด e-book เริ่มต้นใช้งาน DLP และ ITM คุณจะได้เรียนรู้:

  • สิ่งที่ต้องใช้ในการตั้งค่าโปรแกรม ITM และ DLP
  • แนวทางปฏิบัติที่ดีที่สุดสําหรับการเริ่มต้นใช้งานและการปรับขนาด
  • เคล็ดลับในการวัดความสําเร็จ

ข้อมูลจาก : proofpoint.com

Tags:
Naruemon Paengjaem
Naruemon Paengjaem