Rapid7 Security Program Basics พื้นฐานความปลอดภัยที่คุณต้องรู้
Security Program Basics พื้นฐานของความปลอดภัย (วางรากฐานเพื่อความปลอดภัยขององค์กร)
At a Glance:
“ความปลอดภัยในด้านเทคโนโลยี” กำลังเป็นคำที่พูดถึงกันเป็นอย่างมาก และยิ่งหากคุณเป็นคนที่ต้องทำงานในเกี่ยวข้องในด้านของไอที เทคโนโลยีแล้วด้วยนั้นการสร้างความปลอดภัยคือสิ่งที่สำคัญมากเลยทีเดียว แต่ก็มีหลายคำถามที่เกิดขึ้น “ความปลอดภัยนี้สามารถสร้างและเริ่มขึ้นได้ที่จุดใน” “ถ้าหากต้องการสร้างความปลอดภัยนี้ความจะต้องทำอย่างไร”
ก่อนที่จะเข้าถึงเรื่องราวของความปลอดภัยนี้ “คุณต้องกลับมาสร้างความมั่นใจก่อนว่า องค์กรของคุณมีการสร้างทั้ง 5 ปัจจัยเหล่านี้ได้ดีมากแค่ไหน”
- Asset Inventory : ความพร้อมด้านทรัพยากรและทรัพย์สิน
- Multi-factor authentication (MFA) : การตรวจสอบสิทธิ์การใช้ต่างๆ
- Patch Management : การบริหารจัดการระบบ Patch
- Network Segmentation : การแบ่งส่วนของเครือข่าย
- Decentralization : การกระจายของอำนาจการดูแล
ในการรวบรวมปัจจัยที่จะช่วยให้คุณสร้างพื้นฐานของความปลอดภัยขององค์นี้
“คือการลดความเสี่ยงโดยรวมที่คุณจำเป็นต้องรู้”
Asset Inventory
นี่คือการเริ่มต้นของรากฐานความปลอดภัยของ “ระบบการรักษาความปลอดภัย” ซึ่งในส่วนนี้คือพื้นฐานเพื่อนำไปสูงการปฏิบัติในทางอื่น ถ้าขาดในส่วนนี้ไปก็จะทำให้การรักษาความปลอดภัยด้อยลงไปได้ทันที
เพราะการตรวจเช็คระบบความสามารถในการรับมือความปลอดภัยขององค์กรของคุณ ก็ต้องวัดจาก “ความพร้อมของสินทรัพย์ในเครือข่ายของคุณและระบบซอฟต์แวร์ ว่ามีมากน้อยเพียงใดและระบบบริหารจัดการดีเพียงไร”
ต้องทำความเข้าใจในส่วนนี้ก่อนว่าคำว่า “สินทรัพย์” ในเรื่องความปลอดภัยของเครือข่ายนี้หมายถึง “PC, Laptops, Routers, Firewall, Printers, Cloud Applications และส่วนต่างๆที่มีผลต่อการใช้งานเครือข่ายขององค์กร”
ดังนั้นความพร้อมของ “เครื่องมือ” คือทางออกในการแก้ปัญหาความปลอดภัย และหัวใจในการสร้างระบบความปลอดภัยที่มีเสถียรภาพและเชื่อถือได้ “อีกทั้งยังสามารถทำให้ตัวผู้ประกอบการเองสามารถตรวจเช็คและดูแลข้อมูลกันได้แบบ Real Time ได้เลยทีเดียว”
Multi-factor authentication
โปรแกรมและระบบในการรักษาความปลอดภัยที่มีประสิทธิภาพต้องเริ่มต้นที่ “การตรวจสอบสิทธิ์ในการเข้าถึงข้อมูลทั้งในรูปแบบองค์กรและส่วนบุคคล” โดยรูปแบบในการตรวจสอบที่มีประสิทธิ์ภาพมีอยู่ด้วยกัน 3 รูปแบบดังนี้
- Something you know : สิ่งที่คุณรู้ ไม่ว่าจะเป็น Password, วันเดินปีเกิด, และข้อมูลสำคัญต่างๆ
- Something you have : สิ่งที่คุณมี ไม่ว่าจะเป็น โทรศัพท์, บัตร ATM หรือบัตรประชาชน
- Something you are : สิ่งที่คุณเป็น ที่นิยมกันมากที่สุดก็คือ “ระบบการสแกนลายนิ้วมือ”
สำหรับระบบ Password ถือเป็นระบบที่มีข้อบกพร่องและสามารถขโมยได้ง่ายดายที่สุด ผ่านทางระบบ “Phishing attacks” ซึ่งอาศัยการคาดเดารหัสผ่านและมัลแวร์ การรักษาความปลอดภัยสูงสุดจะต้องมีการตรวจสอบที่ซับซ้อนและหลายขั้นตอน ถึงแม้จะเป็นเรื่องที่ยากกว่าและราคาของระบบที่มีสูงกว่าก็ตาม
Patch Management
สำหรับในส่วนนี้คือ “การยกระดับซอฟต์แวร์ทั้งหมดของคุณ” ว่ามีการอัปเดต ติดตั้ง และกำหนดค่าได้อย่างทันสมัยและถูกต้อง รวมไปถึงการตรวจเช็คระบบอยู่เป็นประจำว่าจะสามารถรับมือกับภัยคุกคามต่างๆได้ ที่ซึ่งมีการอัปเดตตัวเองและพัฒนาความร้ายกาจอยู่ในทุกวันเช่นเดียวกัน ซึ่งหน้าที่และความรับผิดชอบในส่วนนี้จะต้องมาจากผู้ดูแลระบบ IT และ ทีม DevOps ของซอฟต์แวร์ต่างๆที่คุณเลือกใช้งาน
การจัดการ Patch อย่างใกล้ชิดนั้นจะสามารถช่วยลดและจัดการความเสี่ยงได้เป็นอย่างดี เพราะเมื่อเกิดช่องโหว่ใดในองค์กร ก็จะสามารถจะสามารถจัดการได้ทันถ่วงที (Vulnerability management)
ซึ่งส่วนสำคัญของ Patch Management คือความเข้าใจการทำงานของ Patch ที่เมื่ออัปเดตไปแล้วอาจจะเกิดความเสี่ยงได้มากกว่าของเดิม ซึ่งหน้าที่ของผู้ดูแลคือการจัดลำดับความสำคัญของ Patch ว่าองค์กรนั้นเหมาะกับในรูปแบบใด ซึ่งบางครั้งจะแต่งมีการแบ่งซอฟต์แวร์ และจัด Patch ให้เหมาะสมกับซอฟต์แวร์แต่ละส่วนที่จะต้องเจอความเสี่ยงที่แตกต่างกันออกไปและเพื่อจัดการทุกช่องโหว่อย่างใกล้ชิด
Network Segmentation
ในส่วนนี้คือ “การแบ่งตัวของเครือข่าย” เพื่อให้ง่ายต่อการจัดการระบบ อุปกรณ์เพื่อลดความเสี่ยงที่อาจจะต้องเจอแตกต่างกันออกไป และการซิงค์กันของข้อมูลที่แตกต่างกันจากการแบ่งของระบบอีกด้วย
ตัวอย่างเช่น : ระบบการประเมินเบื้องต้นของพยาบาลในโรงพยาบาลที่ใช้อีกเครือข่ายของพยาบาลในการพิมพ์ประวัติผู้ป่วย และสามารถส่งต่อไปยังระบบอื่นๆ ไม่ว่าจะเป็น “ระบบเครือข่ายของแพทย์และห้องยา” เพื่อทราบประวัติของผู้ป่วย
เพื่อให้ระบบเครือข่ายมีประสิทธิภาพสูงสุด “ก็คือการตรวจสอบการเข้าถึงเพื่อลดความเสี่ยงของภัยคุกคามและสิ่งแปลกปลอมที่จะเข้ามายังเครือข่ายต่างๆขององค์อีกด้วย”
Decentralization
การกระจายอำนาจในการเข้าถึงข้อมูลนั้น เป็นคอนเซ็ปในการเก็บรักษาข้อมูลที่กระจายอยู่ทั่วเครือข่ายและระบบคลาวด์ขององค์กร เพื่อให้แน่ใจว่า “คนที่เข้าถึงข้อมูลของคุณนั้นเป็นคนในองค์กรไม่ใช่ผู้บุกรุกจากภายนอก” และการแบ่งส่วนเช่นนี้จะช่วยให้องค์กรของคุณยกระดับความปลอดภัยได้เป็นอย่างดี นั้นก็เพราะว่า “ข้อมูลสำคัญทั้งหมดของคุณไม่ได้กองอยู่ในส่วนเดียว หากมีการคุกคามก็จะไม่เสียหายไปทั้งหมดทีเดียว” ซึ่งสามารถโยกย้ายไปยังจุดปลอดภัยได้ ไม่ว่าจะเป็นอีเมล์ งบงานเงิน และข้อมูลของลูกค้า ในองค์กรของคุณ
สิ่งสำคัญที่สุดที่ควรทราบก็คือ “การกำหนดรูปแบบการรับรองความปลอดภัย” ซึ่งในส่วนของการกลั่นกรองด้านความปลอดภัยนี้แค่เพียงประเภทเดียวยังไม่เพียงพอ แต่ต้องสร้างความซับซ้อนมากกว่านั้น
ตัวอย่างเช่น : หากคุณต้องการให้ผู้ใช้ใส่รหัสผ่านแล้วตอบคำถามเพื่อความปลอดภัยเช่น “คุณชื่อมารดาของแม่คืออะไร” จากตัวอย่างนี้ไม่ถือเป็นการรักษาความปลอดภัยที่ถูกต้องเพราะทั้งสองคำถามคือ “Something you know : สิ่งที่คุณรู้” ฉะนั้นทั้งสองคำถามคือการตรวจสอบสิทธิ์เพียงครั้งเดียวเท่านั้น
การสร้างความปลอดภัยในระดับสูงที่ถูกต้องก็คือ “การป้อน Password (Something you know : สิ่งที่คุณรู้”)” และ การป้อน OTP ที่ได้รับบน Smartphone (Something you have : สิ่งที่คุณมี”)
เมื่อคุณได้รวบรวมแนวทางการปฏิบัติเพื่อความปลอดภัยในองค์กรจากทั้ง 5 ปัจจัยเหล่านี้ ก็จะสามารถสร้างความปลอดภัยให้กับเครือข่ายขององค์กรได้ ซึ่งจะสามารถป้องกันผู้บุกรุกและภัยคุกคามทั้งหลายสามารถจู่โจมข้อมูลที่สำคัญขององค์กรคุณได้
“เพราะหากข้อมูลที่สำคัญของคุณโดนคุกคามแล้วนั้นความเสียหายย่อมเกิดมากกว่าแค่ข้อมูลเสียหายอย่างแน่นอน สิ่งที่จะตามมานั้นมีมากมาย ไม่ว่าจะเป็นเรื่องของค่าใช้จ่าย ความน่าเชื่อถือขององค์กร และข้อมูลที่สำคัญของลูกค้าเสียหายไปเลยก็ได้”
(Reference : www.rapid7.com/fundamentals/security-program-basics/)