Sourcefire: การรักษาความปลอดภัยให้กับเครือข่ายที่กำลังเติบโต ต้องป้องกันจุดอ่อน และเสริมการป้องกันที่แข็งแกร่ง

By blognone on Tag:

โดยสุธี อัศวสุนทรางกูร ผู้จัดการประจำประเทศไทย และอินโดจีน บริษัท ซอร์สไฟร์ (ประเทศไทย) จำกัด

ถ้าคุณรู้ว่าระบบของคุณกำลังพ่ายแพ้กับการโจมตี คุณจะรักษาความปลอดภัยในวิธีที่แตกต่างจากเดิมหรือไม่?

ความจริงที่ไม่น่าพิสมัย คือ แม้องค์กรจะพยายามอย่างเต็มที่ในการรักษาความปลอดภัย แต่ผู้โจมตี มักจะรู้จักระบบเครือข่ายที่ตนต้องการโจมตีดีกว่าเจ้าของด้วยซ้ำและกำลังหาข้อได้เปรียบจากเรื่องนี้ เหล่านี้ไม่ใช่เรื่องของระบบเครือข่ายที่คุณคุ้นเคยดีซึ่งอยู่ข้างในกำแพงขององค์กรอีกที แต่เป็นเครือข่ายที่มีการขยายการใช้งานออกมาข้างนอก รวมถึงพวกจุดเชื่อมต่อปลายทาง หรือเอ็นด์พอย์ท อุปกรณ์โมบาย เดสก์ท็อปและดาต้าเซ็นเตอร์ในระบบเสมือน เครือข่ายเหล่านี้ถูกขยายเพื่อให้ครอบคลุมจุดที่คุณและพนักงานองค์กรเข้าถึงได้ง่าย และเป็นที่ซึ่งมีข้อมูลอยู่ หรือสามารถเรียกใช้ข้อมูลจากช่องทางนี้ได้ เครือข่ายและองค์ประกอบเหล่านี้เริ่มพัฒนาไปสู่จุดที่มีการใช้รูปแบบการโจมตีใหม่ๆ ทั้งทางอุปกรณ์โมบาย เว็บแอพพลิเคชัน และโมบายแอพพลิเคชัน รวมถึงไฮเปอร์ไวเซอร์ (ซอฟต์แวร์ที่ทำหน้าที่จัดสรรและบริหารการใช้ทรัพยากรในระบบเสมือน) โซเชียลมีเดีย เว็บเบราเซอร์ เครื่องคอมพิวเตอร์ตามบ้าน หรือกระทั่งในรถยนต์ การปกป้องเครือข่ายที่ขยายให้ได้จริง ต้องยอมรับเรื่องธรรมชาติของสภาพแวดล้อมเครือข่ายรวมถึงการใช้งานอุปกรณ์แบบใหม่ๆ และเริ่มทำการป้องกันด้วยการคิดเสมือนว่าคุณเป็นผู้โจมตีก่อนเป็นอันดับแรก

มีองค์กรจำนวนไม่กี่แห่งที่คิดแบบนี้ และที่น้อยกว่านั้นคือองค์กรที่เปลี่ยนรูปแบบและวิธีการรักษาความปลอดภัยเพื่อรับมือกับความจริงข้อนี้ มีการรักษาความปลอดภัยของเครือข่าย จุดเชื่อมต่อปลายทาง สินทรัพย์ในระบบเสมือนและระบบโมบายโดยนำเทคโนโลยีหลายอย่างมาช่วย แต่เทคโนโลยีเหล่านี้ไม่สามารถทำงานร่วมกันได้ ซึ่งโดยพื้นฐานแล้วผู้โจมตีจะเข้าใจถึงธรรมชาติของเทคโนโลยีรักษาความปลอดภัยที่คลาสสิกเหล่านี้ รวมถึงแอพพลิเคชันที่ใช้ พร้อมกับพยายามหาช่องว่าง รูโหว่ที่อยู่ระหว่างสิ่งเหล่านี้ และเนื่องจากผู้โจมตีไม่แบ่งแยกวิธี ดังนั้นจึงดำเนินการโจมตีอย่างไม่ลดละจากที่บ้านหรือจากทุกที่ บ่อยครั้งจะใช้เครื่องมือที่มีการพัฒนาขึ้นมาโดยเฉพาะ เพื่อหลบหลีกโครงสร้างระบบรักษาความปลอดภัยของเป้าหมาย และยอมทอดเวลาในการดำเนินการเพื่อไม่ให้โดนตรวจจับได้ โดยใช้เทคโนโลยีและวิธีการที่ให้ผลแบบที่องค์กรแทบไม่ทันรู้สึกว่าระบบของตนกำลังโดนโจมตี ใช้วิธีการที่มีการวางแบบแผนการโจมตีไว้อย่างแยบยล และแสดงให้เห็นถึง “การโจมตีแบบลูกโซ่” ร้อยเรียงเหตุการณ์เข้าด้วยกันโดยโจมตีเป็นเฟสๆ ดังนี้

ช่วงสำรวจ เป็นช่วงที่ผู้โจมตีเจาะเข้าไปยังระบบโครงสร้างของคุณได้ในช่วงแรก และส่งมัลแวร์ไปสอดแนมสภาพแวดล้อมโดยรอบ ไม่ว่าจะแฝงตัวอยู่ในส่วนไหนก็ตาม ทั้งในเครือข่าย เอ็นด์พอยท์ โมบาย และเวอร์ชวล เพื่อทำความเข้าใจเบื้องต้นว่าจะใช้วิธีการโจมตีแบบใดได้บ้าง องค์กรมีการใช้เครื่องมือรักษาความปลอดภัยอะไรบ้าง และจะใช้แอคเคาท์ไหนเพื่อให้ได้รับการอนุมัติในการดำเนินการต่างๆ มัลแวร์ประเภทนี้ใช้ช่องทางปกติในการสื่อสารและดำเนินการสำรวจหรือลาดตระเวณได้โดยที่ไม่มีใครสังเกตุเห็น

ช่วงแห่งการสร้าง เมื่อรู้ว่าต้องเผชิญหน้ากับอะไร ผู้โจมตีจึงสร้างมัลแวร์ที่มุ่งเป้าและเป็นมัลแวร์ที่รู้จักสภาพแวดล้อมในเครือข่ายเป็นอย่างดี (Context-aware malware) ตัวอย่างที่เราเคยเห็น คือมัลแวร์ที่สามารถสืบค้นตำแหน่งที่ตัวเองอยู่ได้เช่นถ้าอยู่ในแซนด์บอกซ์ (Sandbox) ก็จะแสดงพฤติกรรมต่างจากเวลาที่อยู่ในระบบของผู้ใช้ หรือมัลแวร์ที่สามารถเช็คว่ามีการติดตั้งชุดภาษา (เหมือนในกรณีของมัลแวร์ Flame) ก่อนที่จะดำเนินการ รวมถึงมัลแวร์ที่จะแสดงพฤติกรรมต่างกันไปถ้าอยู่ในองค์กรหรืออยู่ในเครือข่ายการใช้งานตามบ้าน ทั้งนี้ผู้โจมตีจะขยายการสอดส่องดูแลเพื่อจับรายละเอียดสำคัญว่ามีสินทรัพย์อยู่ตรงจุดไหนบ้างและจะขโมยมาได้อย่างไร มัลแวร์เหล่านี้จะมุ่งเน้นโดยเฉพาะเจาะจงที่ตัวองค์กร แอพพลิเคชัน ผู้ใช้ พันธมิตร กระบวนการและขั้นตอนการดำเนินงาน

ช่วงทดสอบ ผู้โจมตีต้องทำให้มั่นใจได้ว่ามัลแวร์ที่สร้างมาใช้งานได้ดี ผู้เขียนมัลแวร์กระเป๋าหนักและสร้างเครือข่ายไว้อย่างดีเพื่อแบ่งปันข้อมูลระหว่างกัน โดยจะสร้างสภาพแวดล้อมขึ้นมาเพื่อทำการทดสอบมัลแวร์กับเทคโนโลยีและเครื่องมือรักษาความปลอดภัยขององค์กรเพื่อให้แน่ใจว่ามัลแวร์สามารถฝ่าด่านป้องกันเข้าไปได้โดยไม่โดนตรวจจับ ตามด้วยกระบวนการพัฒนาซอฟต์แวร์เช่น การทดสอบคุณภาพ (QA) หรือทำการทดสอบก่อนเริ่มดำเนินการจริง วิธีการนี้ช่วยป้องกันความผิดพลาดซึ่งปัจจุบันเราเห็นว่ามีผู้สร้างมัลแวร์ที่สามารถการันตีได้ว่ามัลแวร์จะอยู่รอดปลอดภัยนานถึง 6 เดือน หรือนานกว่านั้นคือ 9 เดือนด้วยซ้ำ นับว่าทำกันเป็นอุตสาหกรรมการแฮกของจริง

ช่วงดำเนินการ สิ่งที่เราพูดมาทั้งหมด ไม่ได้พูดถึงผู้โจมตีรุ่นเก่าๆ ที่หวังสร้างชื่อเสียงจากสาธารณชน เพราะส่วนแบ่งทางการเงินเพื่อตอบแทนการดำเนินการลับๆ หอมหวานยิ่งกว่าชื่อเสียงซะอีก ผู้โจมตีที่รู้จักสภาพแวดล้อมในระบบเป็นอย่างดีจะค้นหาเส้นทางโจมตีผ่านเครือข่ายที่มีการขยายการใช้งานสู่ภายนอก หลบเลี่ยงการตรวจจับ และค่อยๆเคลื่อนตัวไปจนกว่าจะถึงเป้าหมาย ในความเป็นจริงเราได้เห็นตัวอย่างเพิ่มขึ้นมากมายเกี่ยวกับเรื่องที่ผู้โจมตีตั้งคำสั่งควบคุมการทำงานขึ้นมาเองบนเซิร์ฟเวอร์ภายในเครือข่ายและจุดนี้ทำให้สามารถควบคุมการทำงานของมัลแวร์ได้อย่างมั่นใจว่าสามารถรอดพ้นจากการตรวจสอบของเครื่องมือที่อยู่รอบๆ ได้

ช่วงบรรลุภารกิจ บางครั้งจุดจบของเกมคือการได้ข้อมูลมา ในกรณีอื่นๆคือสามารถทำลายข้อมูลได้อย่างง่ายดาย จะด้วยกรณีไหนก็ตาม ผู้โจมตีก็มีข้อมูลมากมายและมีแผนงานที่มีเป้าหมายชัดเจนซึ่งช่วยให้ปฏิบัติภารกิจได้สำเร็จ และทันทีที่บรรลุภารกิจผู้โจมตีจะทำลายหลักฐานแต่จะยังคงยึดหัวหาดอยู่ที่นั่นเพื่อหวังโจมตีต่อในอนาคต

ขั้นตอนต่อไปคืออะไร และเราจะป้องกันเครือข่ายที่ขยายการใช้งานออกไปได้อย่างไร
กล่าวง่ายๆ ก็คือ เราต้องเปลี่ยนรูปแบบการรักษาความปลอดภัยเป็นการมุ่งเน้นที่ภัยคุกคามเป็นหลัก เพื่อตอบโจทย์ในเรื่องของเครือข่ายที่มีการขยายการใช้งานออกไป และเรื่องการโจมตีต่อเนื่องอย่างเต็มรูปแบบ ทั้งก่อน ระหว่างและหลังการโจมตี ผู้โจมตีมีมุมมองในลักษณะนี้ได้ และเราก็ต้องมองในมุมนี้เช่นกัน

ก่อน – ผู้โจมตีรู้จักสภาพแวดล้อมเป็นอย่างดี เราจึงต้องมีระบบรักษาความปลอดภัยที่รู้จักสภาพแวดล้อมได้ดีเช่นกัน เรากำลังต่อสู่กับผู้โจมตีที่รู้จักองค์กรเรา เราจึงต้องเริ่มจากการมีมุมมองที่ครอบคลุมและมองเห็นสภาพแวดล้อมได้ครอบคลุมกว่าเดิม ถ้าเราไม่ตระหนักดีพอว่าเรากำลังพยายามปกป้องอะไรอยู่ เราจะไม่มีการเตรียมตัวที่ดีไม่สามารถตั้งค่าเทคโนโลยีระบบรักษาความปลอดภัยเพื่อปกป้ององค์กรเราได้ เราจึงต้องพัฒนาความสามารถในการรับรู้ความเคลื่อนไหวภายในเครือข่ายทั้งหมด รวมถึงเอ็นด์พอยท์ สภาพแวดล้อมในระบบเสมือน และอุปกรณ์โมบายทั้งหมด การมองเห็นความเคลื่อนไหวนับเป็นพื้นฐานสำหรับระบบรักษาความปลอดภัยแบบที่รู้จักสภาพแวดล้อมภายในเป็นอย่างดี (Context-Aware Security) และเป็นวิธีเดียวที่จะช่วยให้เรามีข้อมูลเหนือชั้นกว่าผู้โจมตี

ระหว่าง – การโจมตีอย่างไม่รามือ ต้องการการรักษาความปลอดภัยอย่างต่อเนื่อง ซึ่งเทคโนโลยีรักษาความปลอดภัยแบบดั้งเดิมทำได้แค่การตรวจจับที่จุดใดจุดหนึ่งในเวลานั้น ซึ่งจำกัดอยู่แค่การรับมือกับไวรัสและภัยคุกคามอื่นๆ แต่เมื่อต้องต่อกรกับมัลแวร์ขั้นสูงที่มีฤทธิ์เดชมากและโจมตีแบบพุ่งเป้า แทบไม่ต้องพูดถึงเทคโนโลยีรักษาความปลอดภัยแบบเดิมๆ ทั้งนี้ระบบโครงสร้างการรักษาความปลอดภัยขึ้นอยู่กับแนวคิดเรื่องของการรับรู้และใช้พื้นฐานความสามารถในการมองเห็นความเคลื่อนไหวภายในเครือข่าย ทำให้เราสามารถรวบรวมทั้งข้อมูลและเหตุการณ์ตลอดทั่วทั้งเครือข่ายที่มีการขยายการใช้งานออกไป ซึ่งเป็นพัฒนาการของระบบรักษาความปลอดภัยจากที่ดำเนินการจากจุดเดียวในช่วงเวลาเดียวไปสู่การวิเคราะห์สิ่งที่เกิดขึ้นอย่างต่อเนื่องและช่วยให้ตัดสินใจได้ดี การมีมุมมองเชิงลึกแบบเรียลไทม์ ทำให้เรานำระบบอัตโนมัติที่ทำงานได้อย่างฉลาดมาช่วยในการบังคับใช้นโยบายด้านความปลอดภัยโดยที่ไม่ต้องลงมือทำเอง

หลัง – เพื่อตอบสนองการโจมตีต่อเนื่องอย่างเต็มรูปแบบ เราต้องมีระบบรักษาความปลอดภัยแบบย้อนหลัง ซึ่งการรักษาความปลอดภัยแบบย้อนหลังมีความท้าทายเรื่องของข้อมูลขนาดใหญ่และความสามารถบางอย่างที่ต้องทำให้ได้ โดยระบบโครงสร้างที่สามารถรวบรวมและวิเคราะห์ข้อมูลได้อย่างต่อเนื่องเพื่อสร้างความรู้เท่าทันเรื่องของการรักษาความปลอดภัยช่วยให้เราทำสิ่งนี้ได้ผ่านระบบงานอัตโนมัติที่จะระบุตัวบ่งชี้ว่าจุดไหนที่มีการผ่อนปรณเรื่องความปลอดภัย รวมถึงตรวจจับมัลแวร์ที่ซับซ้อนในระดับที่สามารถปรับเปลี่ยนพฤติกรรมเพื่อหลีกเลี่ยงการตรวจจับจากนั้นก็เข้าดำเนินการแก้ไข อีกทั้งสามารถระบุจุดที่ผ่อนปรณและหลุดรอดสายตาคือยังไม่มีการตรวจจับเป็นเวลาล่วงเลยมาหลายสัปดาห์หรือหลายเดือน พร้อมทั้งกำหนดขอบข่ายเพื่อทำการคลีนระบบภายในเวลารวดเร็ว รูปแบบการรักษาความปลอดภัยที่มุ่งเน้นที่ภัยคุกคามเป็นหลัก ช่วยให้ผู้ป้องกันจัดการกับภัยคุกคามต่อเนื่องอย่างเต็มรูปแบบรวมถึงการโจมตีในทุกรูปแบบได้เช่นกัน พร้อมดำเนินการตอบโต้การคุกคามได้ตลอดเวลาและในทุกช่วงเวลา การรักษาความปลอดภัยรูปแบบใหม่นี้อาศัยความสามารถในการรับรู้ความเป็นไปในเครือข่ายที่ครอบคลุมรวมถึงการวิเคราะห์กิจกรรมของมัลแวร์และผู้โจมตีได้อย่างต่อเนื่อง จึงช่วยให้ผู้ป้องกันสามารถรับมือกับภัยคุกคามได้อย่างมีประสิทธิภาพแม้ผู้บุกรุกจะหลุดรอดเข้ามาที่ระบบแล้วก็ตาม

เราไม่ได้บอกว่าการเปลี่ยนแปลงเป็นเรื่องง่าย หากเป็นเรื่องเร่งด่วนที่ควรทำอย่างหลีกเลี่ยงไม่ได้ เครือข่ายของเรามีการขยายการใช้งานเนื่องอันเนื่องมาจากนวัตกรรมทั้งเรื่องอุปกรณ์ ระบบเสมือน และโมบาย ซึ่งผู้โจมตีก็ได้เรียนรู้ที่จะหาช่องว่างและใช้สัญญาณของความอ่อนแอมาดำเนินการได้อย่างมีประสิทธิภาพเวลาที่สบช่อง Compromise หรือการผ่อนปรณของระบบ เป็นสิ่งที่ยากจะหลีกเลี่ยง และเพื่อเผชิญหน้ากับความจริงเรื่องนี้ ถึงเวลาแล้วที่เราจะต้องหันมาใช้วิธีการรักษาความปลอดภัยที่แตกต่างออกไปจากเดิม

มีเทคโนโลยีที่ช่วยรองรับการรักษาความปลอดภัยรูปแบบใหม่ที่ว่าแล้ว ซึ่งมีครบหมดเรื่องของการตรวจสอบอย่างต่อเนื่อง การวิเคราะห์สิ่งที่เกิดขึ้นอย่างอัตโนมัติ รวมถึงระบบควบคุมอัตโนมัติ พร้อมการแก้ไขแบบย้อนหลัง ระบบงานเหล่านี้สามารถทำงานได้สอดคล้องกันด้วยความต่อเนื่องเพื่อรักษาความปลอดภัยให้กับเครือข่าย เอ็นด์พอยท์ ระบบเสมือนและโมบาย ได้ครอบคลุมตลอดระยะเวลาในการโจมตีต่อเนื่องอย่างเต็มรูปแบบ อย่างไรก็ตาม เรื่องนี้ไม่ได้เป็นปัญหาที่เทคโนโลยีอย่างเดียว หากเกี่ยวข้องกับเรื่องของคนและกระบวนการเช่นกัน เพราะต้องมีการเปลี่ยนความเชื่อและทัศนคติของคนในองค์กร และต้องมีการกำหนดโครงสร้างองค์กรขึ้นใหม่

ทั้งผู้นำธุรกิจและเทคโนโลยี ไม่จำเป็นต้องก้มหน้ารับความพ่ายแพ้ แต่สิ่งที่ต้องทำคือยอมรับว่าผู้โจมตีได้เปลี่ยนโฉมหน้าของเกมไปแล้ว เราในฐานะที่อยู่ในอุตสาหกรรม ทั้งผู้จำหน่ายและนักปฏิบัติ ต้องเข้าใจว่าผู้โจมตีมีการดำเนินการอย่างไรในโลกแห่งความเป็นจริง และเพียงแค่เราสามารถป้องกันจุดอ่อน และเพิ่มการป้องกันได้อย่างเข้มแข็งให้ได้เท่านั้นก็พอ

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand