Trace Id is missing
ข้ามไปที่เนื้อหาหลัก
Security Insider

CISO Insider: ฉบับที่ 1

ดาวน์โหลด
แชร์
ผู้ชายกําลังดูแท็บเล็ตในคลังสินค้า

เอาตัวรอดในภูมิทัศน์ภัยคุกคามปัจจุบันด้วยการวิเคราะห์และคำแนะนำสุดพิเศษจากผู้นำด้านการรักษาความปลอดภัย

ผมชื่อ Rob Lefferts เป็นหัวหน้าทีมวิศวกรการรักษาความปลอดภัยสำหรับ Microsoft 365 ครับ ทีมของผมกับทีมค้นคว้าด้านการรักษาความปลอดภัยของ Microsoft ร่วมกันเปิดเผยและต่อสู้กับแนวโน้มภัยคุกคามล่าสุดที่บริษัท ลูกค้าของเรา และชุมชนทั่วโลกทั้งหมดกำลังเผชิญอยู่อย่างไม่ลดละ

จนถึงตอนนี้ เราแชร์สรุปเกี่ยวกับภัยคุกคามเป็นการภายในเท่านั้น แต่เราได้ตัดสินใจที่จะเริ่มเผยแพร่ต่อสาธารณะในรูปแบบของ CISO Insider แล้ว เป้าหมายของเราคือการเสริมศักยภาพองค์กรทั่วโลกด้วยข้อมูลเชิงลึกและคำแนะนำด้านการรักษาความปลอดภัยที่ทันสมัยที่สุด เพื่อปกป้องตนเองและลูกค้าจากอาชญากรรมไซเบอร์ได้อย่างมีประสิทธิภาพมากขึ้น

โดยฉบับที่ 1 เริ่มต้นด้วยสามหัวข้อที่อยู่ในใจพวกเราหลายๆ คนเป็นอันดับแรก นั่นคือ

  • แนวโน้มการโจมตี: แม้การโจมตีจะเปลี่ยนไป แต่พื้นฐานยังคงให้การป้องกันที่มีคุณค่าอยู่
  • ความเสี่ยงในการทำธุรกิจ: การจัดการภัยคุกคามในห่วงโซ่อุปทาน
  • แนวทางใหม่เพื่อช่วยแก้ไขปัญหาการขาดแคลนบุคลากรด้านการรักษาความปลอดภัย

สถานการณ์โควิด-19 ทำให้องค์กรต่างๆ ต้องพึ่งพาความยืดหยุ่นในสถานที่ทำงานมากขึ้นและเร่งให้เกิดการแปลงข้อมูลเป็นดิจิทัลเร็วขึ้น และการเปลี่ยนแปลงเหล่านี้ทำให้จำเป็นต้องเปลี่ยนแปลงกลยุทธ์ด้านการรักษาความปลอดภัยด้วยเช่นกัน ขอบเขตได้ขยายออกไปและเป็นแบบไฮบริดมากขึ้น โดยครอบคลุมระบบคลาวด์และแพลตฟอร์มมากมาย แม้ว่าเทคโนโลยีใหม่ๆ จะเป็นประโยชน์ต่อหลายองค์กร ซึ่งทำให้เกิดประสิทธิผลและการเติบโตในช่วงเวลาที่ท้าทายนี้ แต่การเปลี่ยนแปลงดังกล่าวนี้ก็นำเสนอโอกาสให้กับอาชญากรไซเบอร์ที่พยายามจะใช้ประโยชน์จากช่องโหว่ที่พบในสภาพแวดล้อมดิจิทัลที่ซับซ้อนมากขึ้นเช่นกัน

การโจมตีแบบฟิชชิ่งที่เกี่ยวข้องกับการทำงานระยะไกลที่เพิ่มขึ้นนั้นเป็นสิ่งที่ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยที่ผมพูดคุยด้วยให้ความสำคัญเป็นอันดับแรกๆ และเราก็เห็นสิ่งนี้จากการค้นคว้าของเราเช่นกัน ในการสำรวจผู้นำด้านการรักษาความปลอดภัยของ Microsoft ที่ดำเนินการในปี 2020 กว่า 55 เปอร์เซ็นต์บอกเราว่าองค์กรของพวกเขาตรวจพบการโจมตีแบบฟิชชิ่งเพิ่มขึ้นนับตั้งแต่เริ่มมีการระบาดใหญ่ และ 88 เปอร์เซ็นต์กล่าวว่าการโจมตีแบบฟิชชิ่งนั้นส่งผลกระทบต่อองค์กรของพวกเขา และผมได้ยินเป็นประจำเกี่ยวกับการโจมตีแรนซัมแวร์ที่พุ่งสูงขึ้น วิธีที่ทำให้มัลแวร์ยังคงเป็นภัยคุกคามอยู่อย่างต่อเนื่อง และวิธีที่ช่องโหว่ในข้อมูลประจำตัวยังคงเป็นความท้าทายหลักที่สร้างภัยพิบัติให้กับทีมรักษาความปลอดภัยอย่างมาก

ยิ่งไปกว่านั้น เรารู้ว่าการโจมตีโดยรัฐชาตินั้นมีความก้าวร้าวและต่อเนื่องมากขึ้นเรื่อยๆ การโจมตีห่วงโซ่อุปทานของ NOBELIUM ซึ่งใช้ประโยชน์จากแพลตฟอร์ม SolarWinds เป็นหนึ่งในการโจมตีสมัยใหม่ที่เกิดขึ้นในปีที่ผ่านมา แม้ว่าเทคนิคใหม่ๆ ที่ดูฉูดฉาดเป็นสิ่งที่มักจะจับกระแสข่าวได้ แต่ CISO บอกผมตลอดว่าแม้แต่ผู้ดำเนินการภัยคุกคามขั้นสูงเหล่านี้ก็มักจะมุ่งเน้นไปที่การโจมตีที่มีต้นทุนต่ำแต่ให้มูลค่าสูง เช่นเดียวกับอาชญากรไซเบอร์ส่วนใหญ่

“หากรัฐชาติจะโจมตีผมและบริษัทของผม นั่นคงเป็นเหตุการณ์โจมตีสายฟ้าแลบ มันก็เกิดขึ้นได้ ผมก็ค่อนข้างกังวล แต่ไม่มากเท่ากับที่กังวลเกี่ยวกับการดำเนินการในแต่ละวันและการรักษาความปลอดพื้นฐาน”
CISO บริการทางการเงิน

เพื่ออธิบายประเด็นนี้เพิ่มเติม เราพบว่ามีผู้โจมตีรัฐชาติเพิ่มขึ้นที่ใช้การโจมตีแบบสเปรย์รหัสผ่าน การเป็นผู้นำด้านการรักษาความปลอดภัยนั้นเกี่ยวกับการจัดการความเสี่ยงและการจัดลำดับความสำคัญ และผู้นำหลายๆ คนบอกผมว่าการเสริมสร้างสุขลักษณะในโลกไซเบอร์เพื่อป้องกันการโจมตีที่พบบ่อยที่สุด โดยเฉพาะอย่างยิ่งในพื้นที่ทางดิจิทัลที่กำลังเติบโตขึ้น เป็นสิ่งที่สำคัญที่สุดของพวกเขา ข้อมูลและการค้นคว้าของเราสนับสนุนความคิดเห็นนี้ โดยเราประเมินว่าสุขลักษณะด้านการรักษาความปลอดภัยขั้นพื้นฐานจะยังคงป้องกันการโจมตีได้ถึง 98 เปอร์เซ็นต์ (ดูหน้า 124 ใน  Microsoft Digital Defense Report ตุลาคม 2021)

ผู้นำด้านการรักษาความปลอดภัยส่วนใหญ่ที่ผมเคยพูดคุยด้วยนั้นเห็นด้วยกับขั้นตอนพื้นฐานสำหรับกลยุทธ์ด้านการรักษาความปลอดภัย:

  • การใช้การรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) และนโยบายการลงทะเบียน
  • การมองเห็นภาพรวมสภาพแวดล้อมของตนได้
  • การศึกษาผู้ใช้
  • การติดตามความคืบหน้าของการปะซ่อมและการจัดการช่องโหว่
  • การจัดการและการปกป้องอุปกรณ์ทุกเครื่อง
  • การรักษาความปลอดภัยการกำหนดค่าทรัพยากรและปริมาณงานในองค์กรและบนระบบคลาวด์
  • การรับประกันการสำรองข้อมูลในกรณีที่สถานการณ์การกู้คืนกรณีที่เลวร้ายที่สุด
“ท้ายที่สุดแล้ว ส่วนใหญ่ก็เป็นเพราะ...รหัสผ่านที่คาดเดาได้ง่ายๆ ในบัญชีสิทธิ์พิเศษ หรือเป็นเพราะบางคนไม่ได้ใช้ใบรับรองกับตำแหน่งข้อมูลเฉพาะที่จำเป็น”
CISO การดูแลสุขภาพ

คุณอาจคิดว่าการพูดถึงขั้นตอนการรักษาความปลอดภัยพื้นฐานนั้นเป็นเรื่องง่าย แต่การนำไปใช้ในชีวิตจริงนั้นยากกว่ามาก โดยเฉพาะอย่างยิ่งเมื่อทีมมีภาระงานมากเกินไปและมีพนักงานไม่เพียงพอ แต่ผมขอยืนยันว่าการเป็นผู้นำด้านการรักษาความปลอดภัยนั้นเกี่ยวกับการจัดการทั้งความเสี่ยงและการจัดลำดับความสำคัญ และนั่นทำให้การมุ่งเน้นไปที่ปัจจัยพื้นฐานเป็นแนวทางเชิงปฏิบัติที่แน่นหนา บ่อยครั้ง เหตุการณ์ด้านความปลอดภัยนั้นไม่ใช่ “ถ้า” แต่เป็น “เมื่อใด” มากกว่า มีสถิติการรักษาความปลอดภัยทางไซเบอร์ที่น่าตกใจหลายร้อยรายการ เช่น มีการโจมตีอาชญากรรมทางไซเบอร์ประมาณ 4,000 ครั้งทุกวันในสหรัฐอเมริกาเพียงประเทศเดียว และเว็บไซต์มากกว่า 30,000 แห่งทั่วโลกก็ถูกแฮ็กทุกวันเช่นกัน

ผมเชื่อว่าแนวป้องกันที่ดีที่สุดคือการใช้แนวทางที่สมดุลและลงทุนในการตรวจหาและการตอบสนองต่อเหตุการณ์ควบคู่ไปกับการป้องกัน

แม้ว่าอาจดูเป็นเรื่องยากที่จะลงทุนในการป้องกันระดับใหม่ๆ ในขณะที่ยังคงต้องพยายามตามให้ทันกับความต้องการในการตรวจหาและการตอบสนองที่เพิ่มมากขึ้น แต่การค้นหาสมดุลที่เหมาะสมระหว่างความพยายามทั้งสองนี้มีความสำคัญและเป็นประโยชน์อย่างมาก ผลการศึกษาของ Ponemon Institute และ IBM Security ในปี 2021 พบว่าองค์กรที่ไม่มีทีมการตอบสนองต่อเหตุการณ์หรือแผนงานจะมีค่าใช้จ่ายโดยเฉลี่ยจากการละเมิดข้อมูลเพิ่มขึ้นถึง 55 เปอร์เซ็นต์ ทีมรักษาความปลอดภัยที่สามารถสร้างสมดุลการป้องกันที่แข็งแกร่งด้วยกลยุทธ์ซึ่งรวมถึงการตอบสนองต่อเหตุการณ์และการลงทุนในเครื่องมือตรวจหาและแก้ไขนั้นจะมีความเพียบพร้อมในการเผชิญกับเหตุการณ์ที่หลีกเลี่ยงไม่ได้เป็นอย่างดี

ประเด็นสำคัญที่ได้เรียนรู้?

ใช้แนวทางที่สมดุล เตรียมพื้นฐานให้พร้อม และวางแผนรับมือการละเมิดที่อาจเกิดขึ้น
  • การลงทุนด้านสุขลักษณะทางไซเบอร์ขั้นพื้นฐานและการขยายไปสู่สภาพแวดล้อมดิจิทัลที่กำลังเติบโตนั้นเป็นกลยุทธ์สำคัญที่จะช่วยปกป้องบริษัทของคุณจากการโจมตีตั้งแต่แรก
  • แม้ว่าการโจมตีครั้งใหญ่เหล่านี้จะไม่ได้เกิดขึ้นทุกวัน แต่สิ่งสำคัญคือต้องเตรียมพร้อมรับมือ แม้ว่าพื้นฐานจะมีความสำคัญ แต่องค์กรที่มีความคิดก้าวหน้าก็ตั้งเป้าไปที่แผนงานที่มีการจัดทำเอกสารไว้อย่างดีและผ่านการทดสอบแล้วว่าจะทำอย่างไรหลังจากเกิดการละเมิด

และหัวข้อถัดไปที่เราคำนึงถึงสำหรับ CISO ในปัจจุบันก็คือ ห่วงโซ่อุปทานและภัยคุกคามที่เกิดขึ้นภายใน การขยายขอบเขตการรักษาความปลอดภัยภายนอกองค์กรรักษาความปลอดภัยและไอทีอันเป็นผลมาจากห่วงโซ่อุปทานที่เชื่อมต่อกันและซับซ้อนมากขึ้นคือความเป็นจริงของสภาพแวดล้อมทางธุรกิจในปัจจุบัน รายงานจาก Sonatype เดือนกันยายน 2021 พบว่าการโจมตีห่วงโซ่อุปทานเพิ่มขึ้น 650 เปอร์เซ็นต์เมื่อเทียบเป็นรายปีจากปี 2020

ใช่ คุณอ่านถูกแล้ว 650%!

และความเป็นจริงทางธุรกิจใหม่ๆ เช่น การทำงานแบบไฮบริดและการหยุดชะงักของห่วงโซ่อุปทานทุกประเภท ซึ่งส่งผลกระทบต่อทุกอุตสาหกรรม ได้ขยายขอบเขตด้านการรักษาความปลอดภัยและข้อมูลประจำตัวออกไปอีก
1,013

จำนวนผู้ขายโดยเฉลี่ยในห่วงโซ่อุปทานของบริษัท

แหล่งข้อมูล: BlueVoyant,

“ห่วงโซ่อุปทาน CISO”, 2020

64%

ของธุรกิจอ้างว่า มีการมอบหมายงานธุรกิจในแต่ละวันมากกว่าหนึ่งในสี่ ให้กับซัพพลายเออร์ภายนอกที่ต้องการเข้าถึงข้อมูลทางธุรกิจของตน

แหล่งข้อมูล: (ISC)2, “การรักษาความปลอดภัยระบบนิเวศของคู่ค้า”, 2019

ไม่น่าแปลกใจที่ผู้นำด้านการรักษาความปลอดภัยให้ความสำคัญกับความเสี่ยงในห่วงโซ่อุปทานมากขึ้น และการเชื่อมโยงใดๆ ทั้งหมดในห่วงโซ่อุปทานไม่เพียงแค่มีความสำคัญต่อการดำเนินงานของบริษัทเท่านั้น แต่การหยุดชะงักที่ใดก็ตามในห่วงโซ่ก็อาจเป็นอันตรายได้หลายวิธีด้วย

ในขณะที่ผู้นำด้านการรักษาความปลอดภัยขยายการจ้างงานภายนอกไปยังซัพพลายเออร์สำหรับแอป โครงสร้างพื้นฐาน และทุนมนุษย์ ก็ยังกำลังมองหาเฟรมเวิร์กและเครื่องมือที่มีประสิทธิภาพมากขึ้นเพื่อช่วยประเมินและลดความเสี่ยงในทุกระดับของซัพพลายเออร์ เพราะตัวเลข 650 เปอร์เซ็นต์นั้นน่ากลัว และเราทุกคนตกเป็นเป้าหมายได้หมด

CISO บอกผมว่าแม้ว่ามาตรการคัดกรองแบบดั้งเดิมจะมีประสิทธิภาพในการลดความเสี่ยงระหว่างกระบวนการคัดเลือกหรือระหว่างการตรวจสอบ แต่ทีมงานนั้นต้องต่อสู้กับข้อบกพร่องของการตรวจสอบ ณ จุดใดจุดหนึ่ง ซึ่งรวมถึง:

  • กระบวนการตรวจสอบซัพพลายเออร์มักมีเพียงแบบสอบถามหรือ “รายการตรวจสอบ” ที่ไม่ได้กล่าวถึงความเสี่ยงทั้งหมดที่มีอยู่ในห่วงโซ่อุปทานในปัจจุบัน
  • เมื่อซัพพลายเออร์เข้าร่วมงานแล้ว จะมีเพียงรอบการตรวจสอบ ณ จุดใดจุดหนึ่งเท่านั้น ซึ่งมักจะเป็นรายปีหรือระหว่างการต่ออายุสัญญา
  • บ่อยครั้งที่แผนกต่างๆ ภายในบริษัทเดียวกันมีกระบวนการและหน้าที่ที่รับผิดชอบต่างกัน และไม่มีวิธีที่ชัดเจนในการแบ่งปันข้อมูลระหว่างทีมภายใน
“ซัพพลายเออร์หลักคือซัพพลายเออร์ที่เราไว้วางใจในวงกว้างหรือซัพพลายเออร์ที่ให้การสนับสนุนเรามากที่สุดในการบรรลุวิสัยทัศน์ของเรา การขัดขวางสวัสดิภาพของซัพพลายเออร์ทั้งสองประเภทจะส่งผลเสียอย่างมีนัยสำคัญต่อองค์กรของเรา”
CIO การค้นคว้าทางวิทยาศาสตร์

กรณีนี้ชี้ให้เห็นว่าองค์กรไม่สามารถบังคับใช้การปฏิบัติตามข้อบังคับและลดความเสี่ยงในเวลาจริงได้ ด้วยเหตุนี้ ทีมรักษาความปลอดภัยจึงตอบสนองต่อลักษณะการทำงานที่ผิดปกติได้ยากขึ้นมาก เช่น การกักกันซอฟต์แวร์ภายนอกที่ถูกบุกรุก หรือการบล็อกข้อมูลประจำตัวของผู้ดูแลระบบที่รั่วไหลจากการเข้าถึงเครือข่าย สิ่งที่เราได้เรียนรู้จากการโจมตีในช่วงนี้ก็คือแม้แต่สุขลักษณะด้านการรักษาความปลอดภัยทางไซเบอร์ที่ดีที่สุดและการให้ความสำคัญกับพื้นฐานในการระบุ วัดผล และลดความเสี่ยง ก็ไม่สามารถขจัดความเป็นไปได้ที่ภัยคุกคามจะแอบเล็ดลอดเข้าไปในห่วงโซ่อุปทานได้ทั้งหมด

“เรามีการตรวจสอบประจำปีกับผู้จำหน่ายหลัก และเราอาจกลับมาตรวจสอบทุกๆ สองปีหรือสามปี และทำการประเมินอีกครั้ง ทั้งนี้ขึ้นอยู่กับระดับของผู้จำหน่าย แต่การประเมินจะให้ข้อมูลเฉพาะช่วงเวลาจุดใดจุดหนึ่งเท่านั้น ไม่ได้เป็นการตรวจสอบสภาพแวดล้อมการควบคุมตลอดทั้งปี”
สมาชิกคณะกรรมการที่ปรึกษาลูกค้าสำหรับ Supply Chain Management ของ Microsoft

แล้วคุณจะจัดการความเสี่ยงในห่วงโซ่อุปทานของคุณในขณะที่ยังคงความคล่องตัวและประสิทธิผลไว้ได้อย่างไร ปรากฏว่าผู้นำด้านการรักษาความปลอดภัยจำนวนมากนั้นกำลังต่อกรกับภัยคุกคามในห่วงโซ่อุปทานเช่นเดียวกับที่ต่อกรกับการโจมตีทางไซเบอร์ ซึ่งจะมุ่งเน้นไปที่ปัจจัยพื้นฐานที่แข็งแกร่งและปรับปรุงการมองเห็น

เนื่องจากมีความเสี่ยงหลายประเภทที่เกี่ยวข้องกับระบบนิเวศของซัพพลายเออร์ จึงไม่มีมาตรฐาน “แนวทางปฏิบัติ” หรือแม้แต่เทคโนโลยีในการจัดการความเสี่ยงเหล่านั้นที่ชัดเจน อย่างไรก็ตาม ผู้นำด้านการรักษาความปลอดภัยจำนวนมากใช้ Zero Trust เป็นแนวทางในการลดความเสี่ยงและช่วยป้องกันช่องโหว่ที่อยู่เบื้องหลังภัยคุกคามในห่วงโซ่อุปทานอย่างต่อเนื่อง เช่น ข้อมูลประจำตัวของผู้ใช้บุคคลที่สามที่ถูกบุกรุก อุปกรณ์ที่ติดมัลแวร์ โค้ดอันตราย และอื่นๆ

Zero Trust เป็นแนวทางเชิงรุกแบบครบวงจรในการรักษาความปลอดภัยในทุกชั้นของทรัพย์สินทางดิจิทัล ซึ่งจะตรวจสอบทุกธุรกรรมอย่างชัดเจนและต่อเนื่อง ยืนยันสิทธิ์ระดับสูงเท่าที่จำเป็น และใช้ระบบอัจฉริยะ การตรวจจับขั้นสูง และการตอบสนองต่อภัยคุกคามในเวลาจริง

เรารับรู้มาโดยตลอดจากผู้นำด้านการรักษาความปลอดภัยว่าพวกเขาสามารถลดผลกระทบของการโจมตีในห่วงโซ่อุปทานที่สำคัญได้ และปรับปรุงประสิทธิภาพโดยรวมของการดำเนินงานในห่วงโซ่อุปทานโดยใช้กลยุทธ์ Zero Trust ที่แข็งแกร่ง ที่จริงแล้วจาก การศึกษาล่าสุดโดย Ponemon Institute และ IBM Security องค์กรที่มีการปรับใช้ Zero Trust เต็มที่นั้นพบว่าค่าใช้จ่ายเฉลี่ยของการละเมิดลดลงประมาณ 40 เปอร์เซ็นต์ เมื่อเทียบกับองค์กรที่ไม่มี Zero Trust
“Zero Trust ช่วยให้เราสามารถสร้างเฟรมเวิร์กและรูปแบบการเข้าถึงเพื่อปกป้องทรัพย์สินที่สำคัญทั้งหมดในองค์กรของเราได้”
ผู้มีอำนาจตัดสินใจในการรักษาความปลอดภัยด้านการดูแลสุขภาพ
“เรายึดแนวทางแนะนำเป็นหลัก และอย่างน้อยจากมุมมองของการควบคุม ก็ค่อนข้างเอนเอียงไปทางหลัก Zero Trust แทนที่จะถามคำถามเหล่านี้ แล้วพยายามว่า “จะควบคุมทุกอย่างในขอบเขตเฉพาะนี้ได้อย่างไร” ก็เพียงแค่ทำตรงกันข้ามและเริ่มต้นด้วยการไม่ทำอะไรเลย และเปิดเฉพาะสิ่งที่จำเป็นเท่านั้น ก็เลยคิดว่า… Zero Trust จะกลับมาได้รับความนิยมอีกครั้งในอุตสาหกรรมนี้”
CISO สินค้าบรรจุภัณฑ์อุปโภคบริโภค

ถือว่าทุกอย่างเป็นการละเมิด

แม้ว่าหลักการสองข้อแรกจะช่วยลดโอกาสในการถูกโจมตีได้ แต่การถือว่าทุกอย่างเป็นการละเมิดนั้นจะช่วยให้องค์กรต่างๆ เตรียมตรวจหาและตอบสนองต่อการละเมิดได้อย่างรวดเร็ว โดยสร้างกระบวนการและระบบไว้ราวกับว่ามีการละเมิดเกิดขึ้นแล้ว ในทางปฏิบัติหมายถึงการใช้กลไกการรักษาความปลอดภัยซ้ำซ้อน การรวบรวมข้อมูลระบบจากการวัดและส่งข้อมูลทางไกล การใช้กลไกดังกล่าวเพื่อตรวจจับความผิดปกติ และเมื่อใดก็ตามที่เป็นไปได้ การเชื่อมต่อข้อมูลเชิงลึกนั้นกับระบบอัตโนมัติที่ช่วยให้คุณสามารถป้องกัน ตอบสนอง และแก้ไขได้ในเวลาใกล้เคียงเวลาจริง CISO หลายคนบอกว่าพวกเขากำลังลงทุนในการนำระบบการติดตามตรวจสอบที่มีประสิทธิภาพมาใช้ ซึ่งสามารถช่วยตรวจจับการเปลี่ยนแปลงในสภาพแวดล้อมได้ เช่น อุปกรณ์ IoT ที่ถูกโจมตีซึ่งพยายามที่จะเปิดการเชื่อมต่อที่ไม่จำเป็นไปยังอุปกรณ์อื่น เพื่อระบุและสกัดกั้นการโจมตีได้อย่างรวดเร็ว

ผู้นำที่ผมพูดคุยด้วยเกี่ยวกับ Zero Trust นั้นต่างยอมรับว่านี่เป็นเฟรมเวิร์กที่ยอดเยี่ยมในการสร้างสุขลักษณะทางไซเบอร์ขั้นพื้นฐาน และนั่นรวมถึงการจัดการห่วงโซ่อุปทานด้วย

มาดูกันว่าผู้นำด้านการรักษาความปลอดภัยใช้หลักการ Zero Trust เพื่อปกป้องห่วงโซ่อุปทานของตนอย่างไร

ยืนยันชัดแจ้ง

การยืนยันชัดแจ้งหมายความว่าเราควรตรวจสอบทุกแง่มุมที่เกี่ยวข้องของคำขอเข้าถึง แทนที่จะเชื่อถือโดยอิงจากหลักประกันที่ไม่น่าเชื่อคือ เช่น ตำแหน่งเครือข่าย ในกรณีของห่วงโซ่อุปทาน ผู้โจมตีมักจะใช้ประโยชน์จากช่องว่างในการยืนยันชัดแจ้ง เช่น การค้นหาบัญชีผู้จำหน่ายที่มีสิทธิ์ขั้นสูงซึ่งไม่ได้รับการปกป้องด้วยการรับรองความถูกต้องโดยใช้หลายปัจจัย หรือการแทรกโค้ดอันตรายลงในแอปพลิเคชันที่เชื่อถือได้ ทีมรักษาความปลอดภัยต่างกำลังเสริมความแข็งแกร่งให้กับวิธีการตรวจสอบยืนยันของตน และขยายข้อกำหนดนโยบายความปลอดภัยไปยังผู้ใช้บุคคลที่สาม

ใช้สิทธิ์การเข้าถึงระดับสูงเท่าที่จำเป็น

เมื่อคุณบรรลุหลักการข้อแรกได้แล้ว สิทธิ์การเข้าถึงระดับสูงเท่าที่จำเป็นนี้จะช่วยให้มั่นใจได้ว่าระบบจะมอบบสิทธิ์ตามแต่เป้าหมายทางธุรกิจที่เฉพาะเจาะจงจากสภาพแวดล้อมที่เหมาะสมและบนอุปกรณ์ที่เหมาะสมเท่านั้น ซึ่งจะช่วยลดโอกาสในการการโจมตีแบบหาช่องโหว่รอบด้านโดยจำกัดจำนวนทรัพยากรที่ถูกโจมตี (ผู้ใช้ ตำแหน่งข้อมูล แอป หรือเครือข่าย) ที่สามารถเข้าถึงผู้อื่นในสภาพแวดล้อมนั้นได้ ผู้นำด้านการรักษาความปลอดภัยบอกเราว่าตนกำลังจัดลำดับความสำคัญในการมอบสิทธิ์เข้าถึงเท่าที่จำเป็นให้แก่ผู้จำหน่ายและบุคคลที่สาม และทำการตรวจสอบและประเมินคำขอและนโยบายการเข้าถึงภายในห่วงโซ่อุปทานขององค์กรอย่างต่อเนื่องเพื่อลดการติดต่อกับส่วนระบบและทรัพยากรที่สำคัญ

“เป้าหมายคือปรับปรุงเสถียรภาพการรักษาความปลอดภัยโดยรวม แต่ทั้งหมดกลับเป็นการลดความขัดแย้งในส่วนประสบการณ์ของผู้ใช้และทำให้ชีวิตผู้ใช้ง่ายขึ้น”
ผู้มีอำนาจตัดสินใจในการรักษาความปลอดภัยด้านธุรกิจบริการ

ประเด็นสำคัญที่ได้เรียนรู้?

ผู้จำหน่ายจำนวนมากและความท้าทายมากมายที่มีอยู่ในห่วงโซ่อุปทานแบบกระจายนี้ทำให้การจัดการเชิงรุกมีความสำคัญมากยิ่งขึ้น จากการละเมิดข้อมูลทั่วโลกในช่วงนี้ ผู้นำด้านการรักษาความปลอดภัยต่างก็กระตือรือร้นที่จะค้นหาวิธีลดความเสี่ยงของซัพพลายเออร์ และหลักการ Zero Trust ก็ช่วยมอบกลยุทธ์และเฟรมเวิร์กที่แข็งแกร่งสำหรับการจัดการระบบนิเวศของซัพพลายเออร์ได้
  • แนวทาง Zero Trust จะช่วยให้มั่นใจได้ว่าเฉพาะคนที่เหมาะสมเท่านั้นที่จะได้รับสิทธิ์เข้าถึงในระดับที่เหมาะสมทั่วทั้งองค์กรของคุณ พร้อมทั้งยกระดับการรักษาความปลอดภัยและประสิทธิผลของผู้ใช้ด้วย
  • แม้ว่าจะมีหลายวิธีในการเริ่มต้นใช้งานแนวทาง Zero Trust แต่การสร้างการรับรองความถูกต้องโดยใช้หลายปัจจัยควรเป็นความสำคัญลำดับแรกจากระบบนิเวศของซัพพลายเออร์และจุดยืนในการบริหารความเสี่ยง
  • ประเมินสถานะการพัฒนา Zero Trust ในองค์กรของคุณและรับคำแนะนำหลักเป้าหมาย พร้อมกับรายการทรัพยากรและโซลูชันที่คัดสรรมาสำหรับความคืบหน้าบนเส้นทาง Zero Trust ของคุณ

เราทุกคนเคยได้ยินเกี่ยวกับการลาออกครั้งใหญ่ พนักงานทั่วโลกมากกว่า 40 เปอร์เซ็นต์ต่างพิจารณาที่จะลาออกจากบริษัทในปีนี้ และผู้นำด้านการรักษาความปลอดภัยกับทีมงานก็รู้สึกว่ามีพนักงานไม่เพียงพออยู่แล้ว ผมได้พูดคุยกับ CISO หลายๆ คนบ่อยครั้งเกี่ยวกับภาพรวมของสิ่งต่างๆ ที่เกิดขึ้น และการจัดหา การค้นหา และการรักษาบุคลากรผู้มีความสามารถนั้นถือเป็นหนึ่งในข้อกังวลอันดับต้นๆ ของพวกเขา และหากบุคลากรผู้มีความสามารถลาออกไป พวกเขาก็ต้องค้นหาบุคลากรผู้มีความสามารถคนใหม่หรือยกระดับทักษะของบุคลากรที่มีอยู่ เทคโนโลยีอัตโนมัติที่มีประสิทธิภาพภายในตัวนั้นช่วยได้ แต่ก็ยังไม่เพียงพอ

คำศัพท์เฉพาะด้านการรักษาความปลอดภัยได้กลายเป็นส่วนหนึ่งของคำศัพท์ที่ใช้ในชีวิตประจำวันไปแล้ว เพราะการโจมตีทางไซเบอร์ที่มีการายงานข่าวเป็นประจำ และการโจมตีเหล่านี้ (รวมถึงข่าวเกี่ยวกับการโจมตีเหล่านี้ด้วย) นั้นส่งผลกระทบอย่างลึกซึ้งต่อบริษัทได้ แต่รู้อะไรไหม นั่นก็ไม่ใช่เรื่องเลวร้ายเสียทีเดียว เนื่องจากการรักษาความปลอดภัยทางไซเบอร์กลายเป็นหัวข้อที่ทุกภาคส่วนขององค์กรคุ้นเคย เราได้ยินมาว่าแนวคิดเรื่อง “การรักษาความปลอดภัยคืองานของทุกคน” เริ่มที่จะสะท้อนไปทั่วทั้งองค์กรแล้ว ผู้นำด้านการรักษาความปลอดภัยจึงเลือกใช้วิธีสมัยใหม่นี้มากขึ้น โดยเฉพาะอย่างยิ่งรูปแบบการทำงานแบบไฮบริดใหม่และแนวรั้วการรักษาความปลอดภัยที่ถูกผลักดันด้วยวิธีการใหม่ๆ ทุกรูปแบบ เพื่อให้ทุกคนปลอดภัย แม้ว่าจะต้องเผชิญกับช่องว่างด้านบุคลากรและด้านทักษะก็ตาม ไม่ใช่ “ทำน้อยแต่ได้มาก” แต่เป็น “ทำต่างแต่ได้มาก” คือสิ่งที่ผู้นำด้านการรักษาความปลอดภัยสมัยใหม่ให้ความสำคัญในทุกวันนี้

“ถือเป็นความท้าทายที่ทุกคนต้องเผชิญ การมองหาบุคลากรเก่งนั้นยาก และการรักษาไว้ก็ยากเช่นกัน เปรียบเสมือนดาบสองคม เพราะเมื่อคุณพัฒนาบุคลากรขึ้นมา คุณทำให้บุคลากรนั้นมีมูลค่าเกิดกว่าที่จะรักษาไว้ได้ ดังนั้นจึงมีความท้าทายอยู่บ้างอย่างแน่นอน”
CISO บริการทางกฎหมาย

แม้ว่าการขาดแคลนบุคลากรและทักษะจะไม่เป็นผลดีอย่างแน่นอน แต่ก็ยังมีแสงสว่างเล็กๆ ที่ปลายทางอยู่ นั่นคือการสร้างวัฒนธรรมแห่งการรักษาความปลอดภัย CISO หลายคนบอกเราว่าวิธีที่มีประสิทธิภาพมากที่สุดวิธีหนึ่งในการจัดการกับความท้าทายด้านการรักษาความปลอดภัยท่ามกลางความท้าทายด้านการจัดบุคลากรก็คือการสร้างวัฒนธรรมแห่งการรักษาความปลอดภัย โดยที่การรักษาความปลอดภัยเป็นหน้าที่ของทุกคน CISO ต่างสนับสนุนแนวคิดที่ว่าทั้งองค์กรมีหน้าที่รับผิดชอบด้านการรักษาความปลอดภัยมากขึ้นเรื่อยๆ โดยเฉพาะอย่างยิ่งเมื่อต้องเผชิญกับปัญหาขาดแคลนบุคลากรหรือความท้าทายด้านเงินทุน

ทีมพัฒนา ผู้ดูแลระบบ และผู้ใช้ จะต้องเข้าใจนโยบายความปลอดภัยที่เกี่ยวข้องกับตน การแชร์ข้อมูลเป็นเรื่องที่ต้องทำกันทุกภาคส่วน และทีมรักษาความปลอดภัยก็ค้นหาวิธีใหม่ๆ มากขึ้นในการทำงานร่วมกับนักพัฒนา ผู้ดูแลระบบ และเจ้าของกระบวนการทางธุรกิจ เพื่อทำความเข้าใจความเสี่ยงและพัฒนานโยบายและขั้นตอนที่เป็นประโยชน์ต่อทั้งองค์กร

การขาดแคลนบุคลากรและช่องว่างด้านทักษะ (โดยเฉพาะอย่างยิ่งในวิชาชีพด้านการรักษาความปลอดภัยทางไซเบอร์ที่เปลี่ยนแปลงตลอดเวลา) ทำให้ CISO ต้องมองหาวิธีการล้ำสมัยใหม่ๆ เพื่อก้าวนำหน้า กลยุทธ์หนึ่งที่เรายังคงได้ยินอยู่เสมอก็คือ “การมอบหมาย” ของพนักงานที่อยู่นอกทีมรักษาความปลอดภัย CISO ต่างพยายามที่จะใช้ประโยชน์จากทั้งองค์กร โดยเน้นไปที่การฝึกอบรมผู้ใช้ให้เป็นส่วนหนึ่งของโซลูชันและสร้างการสนับสนุนจากทีมที่มีส่วนเกี่ยวข้อง

การส่งเสริมและการเพิ่มพูนความรู้ของผู้ใช้เกี่ยวกับภัยคุกคามด้านความปลอดภัย เช่น การทำให้มั่นใจว่าผู้ใช้เข้าใจเรื่องฟิชชิ่งและสัญญาณการโจมตีที่ใช้ลูกเล่นต่างๆ นั้นช่วยเพิ่มการรับรู้ของทีมรักษาความปลอดภัยได้อย่างมาก โดยเฉพาะอย่างยิ่งในฐานะกลยุทธ์ “ปลายหอก” ที่ผู้ใช้มักเป็นจุดเริ่มต้นของการโจมตี ผมไม่ได้บอกว่าเราสามารถฝึกฝนผู้ใช้ให้จับทุกอย่างได้อย่างน่าอัศจรรย์ แต่การเตรียมพร้อมและการแจ้งเตือนผู้ใช้นั้นจะช่วยลดภาระของทีมรักษาความปลอดภัยได้อย่างมาก

“คุณอาจเคยได้ยินวลีที่ว่า “การรักษาความปลอดภัยเป็นหน้าที่ของทุกคน” ก็เป็นเรื่องที่ดี แต่จริงๆ แล้ว…จนกว่าจะมีบางอย่างเกิดขึ้นเท่านั้น สำหรับด้านไอทีแล้ว สิ่งที่เราทำคือเรามอบหมายให้สมาชิกฝ่ายไอทีเป็นตัวแทนของการรักษาความปลอดภัย เราแต่งตั้งสมาชิกของทีมต่างๆ โดยเฉพาะทีมพัฒนา ทีมสถาปัตยกรรม ทีมโครงสร้างพื้นฐาน ซึ่งพวกเขาล้วนได้รับการฝึกอบรมด้านการรักษาความปลอดภัยเพิ่มเติม พวกเขาจะเข้าร่วมการประชุมด้านการรักษาความปลอดภัย และได้เป็นตัวแทนทีมของตนในการรักษาความปลอดภัย รวมถึงตัวแทนด้านการรักษาความปลอดภัยให้กับทีมของตนด้วย”
CISO บริการทางกฎหมาย

อีกกลยุทธ์หนึ่งคือการมอบหมายให้ฝ่ายไอทีเป็นส่วนหนึ่งของการรักษาความปลอดภัย การทำให้ทีมไอทีมีส่วนเกี่ยวข้องใกล้ชิดกับทีมรักษาความปลอดภัยและการดูแลให้ทีมไอทีได้รับข้อมูลสรุปเกี่ยวกับกลยุทธ์ด้านการรักษาความปลอดภัยนั้นช่วยให้ผู้นำด้านการรักษาความปลอดภัยจำนวนมากขยายภารกิจของตนไปยังทุกพื้นที่ขององค์กรได้

การให้คำแนะนำและความช่วยเหลือเกี่ยวกับระบบอัตโนมัติและเวิร์กโฟลว์เชิงรุกอื่นๆ รวมถึงกลยุทธ์การจัดการงาน เป็นวิธีพื้นฐานที่ CISO ใช้ในการขยายทีมและใช้ประโยชน์จากทีมไอทีเพื่อช่วยให้มั่นใจถึงเสถียรภาพการรักษาความปลอดภัยที่แข็งแกร่ง

“หากคุณพิจารณาในแง่ของการรักษาความปลอดภัย บุคลากรฝ่ายรักษาความปลอดภัยนั้นไม่ได้หยุดการโจมตีได้มากนัก แต่เป็นบุคลากรฝ่ายไอทีต่างหาก เช่น บุคลากรฝ่ายรักษาความปลอดภัยนั้นไม่ได้ติดตั้งแพตช์ แต่กลับเป็นบุคลากรฝ่ายไอทีต่างหากที่ติดตั้งแพตช์ ฝ่ายรักษาความปลอดภัยไม่ได้ดูแลสินค้าคงคลังการจัดการสินทรัพย์ แต่เป็นฝ่ายไอทีต่างหาก   และมีอีกหลายสิ่งหลายอย่าง เช่น ไฟร์วอลล์มักจะได้รับการดูแลจัดการโดยทีมระบบเครือข่าย ไม่จำเป็นต้องเป็นทีมรักษาความปลอดภัย ทั้งนี้ขึ้นอยู่กับองค์กรของคุณด้วย หลายสิ่งที่เราทำก็เพื่อช่วยเหลือบุคลากรที่ได้รับมอบหมายให้ทำสิ่งต่างๆ ที่เป็นการป้องกัน และเรากำลังพัฒนาทักษะให้กับบุคลากรกลุ่มนี้ พร้อมกับจัดหาเครื่องมือสำหรับดำเนินงานบางอย่างที่พวกเขาดูแลอยู่โดยอัตโนมัติ
  เราแจ้งเหตุผลให้ทราบ ไม่ใช่แค่บอกว่าต้องทำอะไร และบางครั้งการเข้าใจสาเหตุก็มีส่วนช่วยเป็นแรงผลักดันให้ลงมือทำด้วย”
CISO บริการทางกฎหมาย

ประเด็นสำคัญที่ได้เรียนรู้?

การใช้ทรัพยากรอย่างสร้างสรรค์ไม่ใช่เรื่องใหม่ แต่การพัฒนาทีมให้กว้างขึ้นผ่านการฝึกอบรมอย่างเป็นระบบและการมีส่วนร่วมกับทีมที่เกี่ยวข้องกับการรักษาความปลอดภัยนั้นเป็นแนวทางใหม่ที่ CISO ช่วยบรรเทาความยากลำบากจากการขาดแคลนบุคลากรและช่องว่างในทักษะสำคัญ
  • การสร้างการทำงานร่วมกันกับทีมอื่นๆ และการมอบหมายพนักงานนอกทีมรักษาความปลอดภัยจะช่วยขยายขอบเขตอิทธิพลและช่วยรักษาความปลอดภัยให้กับบริษัทได้
  • การฝึกอบรมผู้ใช้ให้รับรู้ถึงปัญหาฟิชชิ่งและปัญหาด้านความปลอดภัยที่พบบ่อยถือเป็นกลยุทธ์หนึ่งที่ผู้นำด้านการรักษาความปลอดภัยส่วนใหญ่เห็นพ้องต้องกันว่าคุ้มค่ากับเวลาและน้ำพักน้ำแรง

การศึกษาวิจัยของ Microsoft ที่อ้างถึงทั้งหมดใช้บริษัทวิจัยอิสระในการติดต่อผู้เชี่ยวชาญด้านการรักษาความปลอดภัยสำหรับการศึกษาทั้งเชิงปริมาณและเชิงคุณภาพ เพื่อรับรองว่ามีการปกป้องความเป็นส่วนตัวและความเข้มงวดในการวิเคราะห์ คำพูดและการค้นพบที่มีอยู่ในเอกสารนี้เป็นผลลัพธ์จากการศึกษาวิจัยของ Microsoft เว้นแต่จะระบุไว้เป็นอย่างอื่น

บทความที่เกี่ยวข้อง

สัญญาณไซเบอร์: ฉบับที่ 1

ข้อมูลประจำตัวคือสมรภูมิแห่งใหม่ รับข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามทางไซเบอร์ที่กำลังพัฒนา และขั้นตอนที่ต้องใช้เพื่อปกป้ององค์กรของคุณให้ดียิ่งขึ้น
เรียนรู้เพิ่มเติม

CISO Insider ฉบับที่ 2

ใน CISO Insider ฉบับนี้ เราได้รับฟังข้อมูลจาก CISO เกี่ยวกับสิ่งที่พวกเขาเห็นในแนวหน้าตั้งแต่เป้าหมายไปจนถึงยุทธวิธี และขั้นตอนที่พวกเขากำลังดำเนินการเพื่อช่วยป้องกันและตอบสนองต่อการโจมตี นอกจากนี้ เรายังได้รับฟังข้อมูลว่าผู้นำใช้ประโยชน์จาก XDR และระบบอัตโนมัติเพื่อขยายการป้องกันภัยคุกคามที่ซับซ้อนได้อย่างไร
เรียนรู้เพิ่มเติม

สัญญาณไซเบอร์ฉบับที่ 2: เศรษฐศาสตร์การขู่กรรโชก

รับฟังความเห็นจากผู้เชี่ยวชาญแนวหน้าเกี่ยวกับการพัฒนาแรนซัมแวร์ในรูปการบริการ เรียนรู้เกี่ยวกับเครื่องมือ กลยุทธ์ และเป้าหมายที่อาชญากรไซเบอร์ชื่นชอบ ตั้งแต่โปรแกรมและส่วนข้อมูลไปจนถึงการเข้าถึงนายหน้าและบริษัทในเครือ และรับคำแนะนำเพื่อช่วยปกป้ององค์กรของคุณ
เรียนรู้เพิ่มเติม