Back to Blog

เมื่อตัวตนคือช่องโจมตี: คีย์เดียวเปิดทางถึง 98% ของระบบคลาวด์

กรณีศึกษาเผยคีย์เข้าถึง AWS ที่ถูกแคชไว้ใน Windows เปิดทางให้ผู้โจมตีเจาะระบบคลาวด์ได้ถึง 98% แนวทางป้องกันและการจัดการข้อมูลรับรองอย่างปลอดภัย

Sales
1 min read
เมื่อตัวตนคือช่องโจมตี: คีย์เดียวเปิดทางถึง 98% ของระบบคลาวด์

ในโลกไซเบอร์ที่ซับซ้อนขึ้นทุกวัน ช่องโหว่ที่อันตรายที่สุดอาจไม่ใช่โค้ดที่เขียนผิด หรือระบบที่ตั้งค่าผิดพลาด แต่อาจเป็นเพียงกุญแจดิจิทัลที่ถูกทิ้งไว้บนเครื่องคอมพิวเตอร์เครื่องเดียวโดยไม่ตั้งใจ กรณีศึกษาล่าสุดจาก The Hacker News ชี้ให้เห็นว่าคีย์เข้าถึงที่ถูกแคชไว้ใน Windows โดยพฤติกรรมปกติของผู้ใช้ กลับกลายเป็นเส้นทางโจมตีที่เปิดประตูสู่ทรัพยากรกว่า 98% ในระบบคลาวด์ขององค์กร

เรื่องนี้เกิดขึ้นเมื่อพนักงานคนหนึ่งล็อกอินเข้าระบบ AWS ตามปกติ คีย์เข้าถึง (access key) ถูกจัดเก็บไว้ในเครื่องโดยอัตโนมัติตามมาตรฐานการทำงานของ AWS ไม่มีใครตั้งค่าผิดพลาด และไม่มีนโยบายใดถูกละเมิด แต่จุดอ่อนอยู่ที่ความสะดวกสบายนั้นเอง ที่ทำให้คีย์ดังกล่าวเข้าถึงได้ง่ายสำหรับผู้โจมตีระดับเริ่มต้น ซึ่งสามารถใช้ประโยชน์จากคีย์เพียงดอกเดียวเพื่อเจาะลึกเข้าไปในระบบขนาดใหญ่ได้


คีย์เดียวกับภัยคุกคามที่ถูกมองข้าม


คีย์เข้าถึงที่ถูกแคชไว้นี้เป็นพฤติกรรมปกติที่พบได้ทั่วไปเมื่อผู้ใช้ล็อกอินเข้าสู่บริการคลาวด์ AWS โดยระบบจะเก็บข้อมูลรับรองไว้เพื่อความสะดวกในการทำงานครั้งต่อไป แต่สิ่งที่ผู้ใช้และทีมความปลอดภัยมักมองข้ามคือ การที่คีย์นี้ถูกจัดเก็บในรูปแบบที่โปรแกรมหรือมัลแวร์สามารถดึงออกมาได้ง่ายเมื่อเครื่องถูกบุกรุก แม้แต่ผู้โจมตีที่มีทักษะไม่สูงก็สามารถใช้เครื่องมืออัตโนมัติเพื่อค้นหาและขโมยข้อมูลเหล่านี้ได้


98 เปอร์เซ็นต์ที่ตกอยู่ในความเสี่ยง


จากรายงานของบริษัทรักษาความปลอดภัยที่วิเคราะห์เหตุการณ์นี้ พบว่าคีย์เพียงดอกเดียวที่ถูกขโมยไปสามารถเข้าถึงบัญชีและบริการต่างๆ ในระบบคลาวด์ขององค์กรได้มากถึง 98% ของเอนทิตีทั้งหมด ซึ่งรวมถึงฐานข้อมูลสำคัญ ฟังก์ชัน Lambda บัคเก็ต S3 และบริการอื่นๆ อีกมากมาย ตัวเลขนี้สะท้อนให้เห็นว่าการป้องกันเพียงแค่ชั้นเดียวคือการพึ่งพาความปลอดภัยของเครื่องปลายทางนั้นไม่เพียงพอ เมื่อผู้โจมตีสามารถใช้ประโยชน์จากคีย์ที่ถูกแคชไว้เพื่อเคลื่อนที่ในแนวนอนภายในระบบคลาวด์ได้อย่างอิสระ


แนวทางป้องกันที่องค์กรควรปฏิบัติ


เพื่อลดความเสี่ยงจากภัยคุกคามลักษณะนี้ องค์กรควรดำเนินมาตรการดังต่อไปนี้

  • ใช้การยืนยันตัวตนหลายขั้นตอน (MFA) สำหรับทุกบัญชีที่มีสิทธิ์เข้าถึงระบบคลาวด์ โดยเฉพาะบัญชีที่ใช้คีย์เข้าถึงแบบถาวร
  • จำกัดอายุการใช้งานของคีย์ ด้วยการตั้งนโยบายให้คีย์หมดอายุโดยอัตโนมัติ และใช้คีย์ชั่วคราวจาก AWS STS แทนคีย์แบบถาวร
  • ตรวจสอบและเฝ้าระวังการใช้งานคีย์ ผ่านบริการ AWS CloudTrail หรือเครื่องมือตรวจจับพฤติกรรมผิดปกติ เพื่อระบุการเข้าถึงที่ไม่ได้รับอนุญาตได้ทันที
  • ใช้หลักการสิทธิ์น้อยที่สุด โดยให้สิทธิ์เข้าถึงเฉพาะทรัพยากรที่จำเป็นสำหรับการทำงานเท่านั้น ไม่ใช่ให้สิทธิ์กว้างขวางเกินความจำเป็น

บทเรียนสำหรับองค์กรยุคดิจิทัล


กรณีนี้เป็นเครื่องเตือนใจว่า ความปลอดภัยไซเบอร์ไม่ใช่แค่การตั้งค่า firewall หรือการอัปเดตซอฟต์แวร์เท่านั้น แต่ยังรวมถึงการจัดการข้อมูลรับรองและสิทธิ์การเข้าถึงอย่างเคร่งครัด ทุกคีย์ที่ถูกสร้างขึ้นโดยไม่มีการควบคุมกลายเป็นประตูที่เปิดรอให้ผู้ไม่หวังดีเข้ามาใช้ประโยชน์ องค์กรที่ต้องการปกป้องระบบคลาวด์ของตนจำเป็นต้องปรับเปลี่ยนมุมมองจาก การรักษาความปลอดภัยของระบบ มาเป็น การรักษาความปลอดภัยของตัวตน และใช้มาตรการเชิงรุกเพื่อปิดช่องโหว่ที่เกิดจากการจัดการข้อมูลรับรองที่หละหลวม


Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINE ดูสินค้าทั้งหมด