CISO Insider: ฉบับที่ 3
ยินดีต้อนรับสู่ฉบับที่สามของเราในซีรีส์ CISO Insider ผมชื่อ Rob Lefferts เป็นหัวหน้าทีมวิศวกร Microsoft Defender และ Sentinel ครับ เราเปิดตัวซีรีส์นี้เมื่อประมาณหนึ่งปีที่แล้วเพื่อแบ่งปันข้อมูลเชิงลึกจากการพูดคุยกับเพื่อนร่วมวงการของคุณ รวมถึงจากการศึกษาวิจัยและประสบการณ์ของเราที่ทำงานแนวหน้าด้านการรักษาความปลอดภัยทางไซเบอร์
รายงานสองฉบับแรกของเราศึกษาถึงภัยคุกคามที่ทวีความรุนแรงขึ้น เช่น แรนซัมแวร์ และวิธีการที่ผู้นำด้านการรักษาความปลอดภัยใช้ประโยชน์จากระบบอัตโนมัติและการยกระดับทักษะเพื่อช่วยตอบสนองต่อภัยคุกคามเหล่านี้อย่างมีประสิทธิภาพ ท่ามกลางปัญหาการขาดแคลนบุคลากรที่มีความสามารถที่เกิดขึ้นอย่างต่อเนื่อง เนื่องจาก CISO เผชิญกับแรงกดดันมากขึ้นในการทำงานอย่างมีประสิทธิภาพท่ามกลางความไม่แน่นอนทางเศรษฐกิจในปัจจุบัน CISO หลายรายจึงมองหาวิธีการเพิ่มประสิทธิภาพโดยใช้โซลูชันบนระบบคลาวด์และบริการรักษาความปลอดภัยที่มีการจัดการแบบครบวงจร ในฉบับนี้ เราจะศึกษาลำดับความสำคัญด้านการรักษาความปลอดภัยที่เกิดขึ้นใหม่ เนื่องจากองค์กรต่างๆ เปลี่ยนไปใช้โมเดลที่เน้นระบบคลาวด์เป็นหลักมากขึ้น โดยมีทรัพย์สินทางดิจิทัลทุกอย่างตั้งแต่ระบบในองค์กรไปจนถึงอุปกรณ์ IoT
ระบบคลาวด์สาธารณะนำเสนอข้อดีสามประการด้วยการรักษาความปลอดภัยขั้นพื้นฐานที่มีประสิทธิภาพ ร่วมกับประสิทธิผลในการใช้ต้นทุนและการประมวลผลที่ปรับขนาดได้ จึงกลายเป็นทรัพยากรที่สำคัญในช่วงเวลาที่มีงบประมาณจำกัด แต่จากข้อดีสามประการนี้ คุณจึงต้อง “ระวังช่องว่าง” ที่เกิดขึ้นในการเชื่อมโยงระหว่างระบบคลาวด์สาธารณะ ระบบคลาวด์ส่วนตัว และระบบในองค์กร เราศึกษาวิธีการดำเนินการของผู้นำด้านการรักษาความปลอดภัยเพื่อจัดการความปลอดภัยในพื้นที่จำกัดระหว่างอุปกรณ์ที่เชื่อมต่อกับเครือข่าย อุปกรณ์ปลายทาง แอป ระบบคลาวด์ และบริการที่มีการจัดการ สุดท้ายนี้ เราจะศึกษาเทคโนโลยีสองประเภทที่เปรียบเสมือนตัวแทนของความท้าทายด้านความปลอดภัยนี้ ซึ่งก็คือ IoT และ OT นั่นเอง การบูรณาการร่วมกันของเทคโนโลยีจากทั้งสองฟากฝั่งเหล่านี้ โดยเทคโนโลยีหนึ่งเพิ่งเกิดขึ้นเมื่อไม่นานและอีกเทคโนโลยีหนึ่งคงอยู่มาอย่างยาวนาน แต่มีการนำเทคโนโลยีทั้งคู่มาใช้กับเครือข่ายโดยไม่มีการรักษาความปลอดภัยที่มีอยู่แล้วภายในที่เพียงพอ อาจก่อให้เกิดช่องโหว่ที่เสี่ยงต่อการถูกโจมตี
ฉบับที่ 3 จะศึกษาลำดับความสำคัญด้านการรักษาความปลอดภัยที่เน้นระบบคลาวด์เป็นหลัก:
ระบบคลาวด์มีความปลอดภัย แต่คุณจัดการสภาพแวดล้อมบนระบบคลาวด์อย่างปลอดภัยหรือไม่
เสถียรภาพการรักษาความปลอดภัยที่ครอบคลุมเริ่มต้นด้วยการมองเห็นข้อมูลและจบลงที่การจัดการความเสี่ยงที่จัดลำดับความสำคัญ
การเริ่มนำระบบคลาวด์ไปใช้อย่างรวดเร็วทำให้เกิดการขยายตัวของบริการ อุปกรณ์ปลายทาง แอป และอุปกรณ์ นอกเหนือจากกลยุทธ์ในการจัดการจุดเชื่อมต่อระบบคลาวด์ที่สำคัญแล้ว CISO ยังตระหนักถึงความจำเป็นในการมองเห็นข้อมูลและการประสานงานที่ดียิ่งขึ้นในการขยายขอบเขตทางดิจิทัล นั่นคือความต้องการการจัดการเสถียรภาพที่ครอบคลุม เราจะศึกษาวิธีการที่ผู้นำด้านการรักษาความปลอดภัยขยายแนวทางจากการป้องกันการโจมตี (ซึ่งยังคงเป็นการป้องกันที่ดีที่สุดตราบเท่าที่ยังใช้งานได้ผล) ไปสู่การจัดการความเสี่ยงผ่านเครื่องมือจัดการเสถียรภาพที่ครอบคลุม ซึ่งช่วยในการจัดทำรายการแอสเซทและสร้างโมเดลความเสี่ยงทางธุรกิจ และแน่นอนว่ารวมถึงข้อมูลประจำตัวและการควบคุมการเข้าถึงด้วย
พึ่งพาหลักการ Zero Trust และมาตรการเพื่อควบคุมสภาพแวดล้อมที่มีเครือข่ายหลากหลายทับซ้อนกันของ IoT & OT
การเติบโตแบบทวีคูณในอุปกรณ์ IoT และ OT ที่เชื่อมต่อยังคงต้องเผชิญกับความท้าทายด้านความปลอดภัย โดยเฉพาะอย่างยิ่งเมื่อพิจารณาถึงความยากลำบากในการปรับแต่งเทคโนโลยีต่างๆ ให้ทำงานร่วมกันได้ ซึ่งผสมผสานกันระหว่างเครื่องมือบนระบบคลาวด์ของบริษัทภายนอกและอุปกรณ์แบบดั้งเดิมที่ได้รับการปรับปรุงใหม่สำหรับระบบเครือข่าย มีการคาดการณ์ว่าจำนวนอุปกรณ์ IoT ทั่วโลกจะสูงถึง 41.6 พันล้านเครื่องภายในปี 2025 ซึ่งก่อให้เกิดพื้นหน้าของการโจมตีที่ขยายตัวเพิ่มขึ้นสำหรับผู้โจมตีที่จะใช้อุปกรณ์ดังกล่าวเป็นจุดเริ่มต้นสำหรับการโจมตีทางไซเบอร์ อุปกรณ์เหล่านี้มีแนวโน้มที่จะตกเป็นเป้าหมายในฐานะจุดที่สามารถถูกโจมตีได้ง่ายในเครือข่าย โดยอาจมีการใช้งานอุปกรณ์เหล่านี้แบบเฉพาะกิจและเชื่อมต่อกับเครือข่าย IT โดยไม่มีคำแนะนำที่ชัดเจนจากทีมรักษาความปลอดภัย ได้รับการพัฒนาโดยไม่มีการรักษาความปลอดภัยขั้นพื้นฐานโดยบุคคลที่สาม หรือได้รับการจัดการไม่เพียงพอโดยทีมรักษาความปลอดภัยเนื่องจากความท้าทายต่างๆ เช่น โพรโทคอลที่เป็นกรรมสิทธิ์และข้อกำหนดด้านความพร้อมใช้งาน (OT) เรียนรู้วิธีการที่ผู้นำด้าน IT จำนวนมากในขณะนี้กำลังพัฒนากลยุทธ์การรักษาความปลอดภัยด้าน IoT/OT เพื่อเอาตัวรอดจากการใช้อุปกรณ์ปลายทางที่เต็มไปด้วยช่องว่างนี้
ระบบคลาวด์มีความปลอดภัย แต่คุณจัดการสภาพแวดล้อมบนระบบคลาวด์อย่างปลอดภัยหรือไม่
ในช่วงเวลาของการขาดแคลนบุคลากรที่มีความสามารถและงบประมาณที่จำกัด ระบบคลาวด์นำเสนอประโยชน์มากมาย เช่น ประสิทธิผลในการใช้ต้นทุน ทรัพยากรที่ปรับขนาดได้ไม่จำกัด เครื่องมือที่ล้ำสมัย และการคุ้มครองข้อมูลที่เชื่อถือได้มากกว่าที่ผู้นำด้านการรักษาความปลอดภัยส่วนใหญ่รู้สึกว่าตนสามารถทำได้ในองค์กร ในขณะที่ CISO เคยมองว่าการใช้ทรัพยากรบนระบบคลาวด์ต้องมีการแลกเปลี่ยนระหว่างโอกาสในการเผชิญความเสี่ยงที่มากขึ้นและประสิทธิผลในการใช้ต้นทุนที่มากขึ้น ผู้นำด้านการรักษาความปลอดภัยส่วนใหญ่ที่เรามีโอกาสพูดคุยด้วยในปัจจุบันได้นำระบบคลาวด์มาใช้จนกลายเป็นวิถีใหม่ไปแล้ว พวกเขาไว้วางใจในการรักษาความปลอดภัยขั้นพื้นฐานที่มีประสิทธิภาพของเทคโนโลยีระบบคลาวด์: “เราคาดหวังว่าผู้ให้บริการระบบคลาวด์จะจัดการได้อย่างเหมาะสมในแง่ของการจัดการข้อมูลประจำตัวและการเข้าถึง การรักษาความปลอดภัยของระบบ และการรักษาความปลอดภัยทางกายภาพ” CISO รายหนึ่งกล่าว
แต่ดังที่ผู้นำด้านการรักษาความปลอดภัยส่วนใหญ่ต่างตระหนักดีว่า การรักษาความปลอดภัยขั้นพื้นฐานบนระบบคลาวด์ไม่ได้รับประกันว่าข้อมูลของคุณจะปลอดภัย แต่การปกป้องข้อมูลของคุณในระบบคลาวด์นั้นขึ้นอยู่กับวิธีการนำบริการระบบคลาวด์ไปใช้ร่วมกับระบบในองค์กรและเทคโนโลยีที่พัฒนาขึ้นเอง ความเสี่ยงเกิดขึ้นในช่องว่างระหว่างระบบคลาวด์และขอบเขตขององค์กรแบบดั้งเดิม นโยบาย และเทคโนโลยีที่ใช้ในการรักษาความปลอดภัยของระบบคลาวด์ การกำหนดค่าที่ไม่ถูกต้องอาจเกิดขึ้น ซึ่งมักจะทำให้องค์กรต่างๆ ตกอยู่ในความเสี่ยงและต้องพึ่งพาทีมรักษาความปลอดภัยเพื่อระบุและปิดช่องว่างดังกล่าว
“การละเมิดจำนวนมากเกิดจากการกำหนดค่าที่ไม่ถูกต้อง มีบุคคลกำหนดค่าบางอย่างไม่ถูกต้องโดยไม่ได้ตั้งใจ หรือมีการเปลี่ยนแปลงบางอย่างที่ทำให้ข้อมูลรั่วไหล”
ภายในปี 2023 การเจาะระบบความปลอดภัยบนระบบคลาวด์ 75 เปอร์เซ็นต์จะเกิดขึ้นจากการจัดการข้อมูลประจำตัว การเข้าถึง และสิทธิ์การใช้งานที่ไม่เพียงพอ ซึ่งเพิ่มขึ้นจาก 50 เปอร์เซ็นต์ในปี 2020 (ความเสี่ยงที่ใหญ่ที่สุดจากการกำหนดค่าที่ไม่ถูกต้องและช่องโหว่ในการรักษาความปลอดภัยของระบบคลาวด์: รายงาน | CSO Online) ความท้าทายไม่เพียงแต่เกิดขึ้นในการรักษาความปลอดภัยของระบบคลาวด์เท่านั้น แต่ยังเกิดขึ้นในนโยบายและการควบคุมที่ใช้ในการรักษาความปลอดภัยของการเข้าถึงอีกด้วย ดังที่ CISO ของบริการทางการเงินได้กล่าวไว้ว่า “การรักษาความปลอดภัยของระบบคลาวด์จะดีมากหากมีการปรับใช้อย่างถูกต้อง ตัวระบบคลาวด์และส่วนประกอบต่างๆ นั้นมีความปลอดภัย แต่เมื่อคุณเริ่มกำหนดค่าก็อาจเกิดคำถามขึ้นในใจว่า: เราเขียนโค้ดถูกต้องหรือไม่ เราตั้งค่าตัวเชื่อมต่อทั่วทั้งองค์กรอย่างถูกต้องหรือไม่” ผู้นำด้านการรักษาความปลอดภัยอีกรายกล่าวสรุปความท้าทายไว้ดังนี้: “การกำหนดค่าบริการระบบคลาวด์ที่ไม่ถูกต้องคือสิ่งที่เปิดช่องให้ผู้ดำเนินการภัยคุกคามเข้าถึงบริการดังกล่าวได้” เมื่อผู้นำด้านการรักษาความปลอดภัยจำนวนมากขึ้นเริ่มตระหนักถึงความเสี่ยงจากการกำหนดค่าระบบคลาวด์ที่ไม่ถูกต้อง หัวข้อการสนทนาเกี่ยวกับการรักษาความปลอดภัยของระบบคลาวด์จึงเปลี่ยนจาก “ระบบคลาวด์ปลอดภัยหรือไม่” เป็น “ฉันใช้ระบบคลาวด์อย่างปลอดภัยหรือไม่”
ความหมายของ “การใช้ระบบคลาวด์อย่างปลอดภัย” ผู้นำหลายคนที่ผมมีโอกาสพูดคุยด้วยรับมือกับกลยุทธ์การรักษาความปลอดภัยของระบบคลาวด์ตั้งแต่เริ่มต้น โดยจัดการกับข้อผิดพลาดของมนุษย์ที่อาจทำให้องค์กรเผชิญความเสี่ยง เช่น การละเมิดข้อมูลประจำตัวและการกำหนดค่าที่ไม่ถูกต้อง ซึ่งสอดคล้องกับคำแนะนำของเราเช่นกัน นั่นคือการรักษาความปลอดภัยของข้อมูลประจำตัวและการจัดการการเข้าถึงที่พร้อมปรับตัวถือเป็นพื้นฐานที่สำคัญอย่างยิ่งสำหรับกลยุทธ์การรักษาความปลอดภัยของระบบคลาวด์
สำหรับทุกคนที่ยังตัดสินใจไม่ได้ ข้อมูลเหล่านี้อาจช่วยคุณได้: McAfee รายงานว่า 70 เปอร์เซ็นต์ของบันทึกข้อมูลที่มีความเสี่ยงทั้ง 5.4 พันล้านรายการมีช่องโหว่เนื่องจากบริการและพอร์ทัลที่กำหนดค่าไม่ถูกต้อง การจัดการการเข้าถึงผ่านการควบคุมข้อมูลประจำตัวและการนำมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพไปใช้สามารถปิดช่องว่างได้อย่างมาก McAfee รายงานในทำนองเดียวกันด้วยว่า 70 เปอร์เซ็นต์ของบันทึกข้อมูลที่มีความเสี่ยงทั้ง 5.4 พันล้านรายการมีช่องโหว่เนื่องจากบริการและพอร์ทัลที่กำหนดค่าไม่ถูกต้อง การจัดการการเข้าถึงผ่านการควบคุมข้อมูลประจำตัวและการนำมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพไปใช้สามารถปิดช่องว่างได้อย่างมาก
กลยุทธ์การรักษาความปลอดภัยของระบบคลาวด์ที่มีประสิทธิภาพเกี่ยวข้องกับแนวทางปฏิบัติเหล่านี้:
1. นำกลยุทธ์แพลตฟอร์มการปกป้องแอปพลิเคชันบนระบบคลาวด์ (CNAPP) แบบครบวงจรไปใช้ การจัดการรักษาความปลอดภัยด้วยเครื่องมือที่แยกส่วนอาจทำให้เกิดจุดบอดในการป้องกันและต้นทุนที่สูงขึ้น การมีแพลตฟอร์มแบบครบวงจรที่ช่วยให้คุณสามารถฝังการรักษาความปลอดภัยตั้งแต่โค้ดไปยังระบบคลาวด์ ถือเป็นสิ่งสำคัญในการลดพื้นหน้าของการโจมตีบนระบบคลาวด์โดยรวม และเปลี่ยนการป้องกันภัยคุกคามให้เป็นระบบอัตโนมัติ กลยุทธ์ CNAPP เกี่ยวข้องกับแนวทางปฏิบัติดังต่อไปนี้:
แพลตฟอร์มการป้องกันแอปพลิเคชันบนระบบคลาวด์ที่มีให้บริการใน Microsoft Defender for Cloud ไม่เพียงช่วยให้มองเห็นข้อมูลทรัพยากรแบบมัลติคลาวด์เท่านั้น แต่ยังมอบการปกป้องในสภาพแวดล้อมทุกระดับ พร้อมทั้งตรวจสอบภัยคุกคามและเชื่อมโยงการแจ้งเตือนเข้ากับเหตุการณ์ที่ผสานรวมกับ SIEM ของคุณ วิธีการนี้จะปรับปรุงการตรวจสอบให้มีประสิทธิภาพยิ่งขึ้น และช่วยให้ทีม SOC ของคุณรับทราบถึงการแจ้งเตือนข้ามแพลตฟอร์ม
การป้องกันแม้เพียงเล็กน้อยทั้งการปิดช่องว่างด้านข้อมูลประจำตัวและการกำหนดค่าที่ไม่ถูกต้อง เมื่อทำงานร่วมกับเครื่องมือที่มีประสิทธิภาพสำหรับการตอบสนองต่อการโจมตี จะช่วยรักษาความปลอดภัยสภาพแวดล้อมระบบคลาวด์ทั้งหมดได้อย่างมากตั้งแต่เครือข่ายองค์กรไปจนถึงบริการระบบคลาวด์
เสถียรภาพการรักษาความปลอดภัยที่ครอบคลุมเริ่มต้นด้วยการมองเห็นข้อมูลและจบลงที่การจัดการความเสี่ยงที่จัดลำดับความสำคัญ
การหันไปให้ความสำคัญกับระบบ IT ที่เน้นระบบคลาวด์เป็นหลักไม่เพียงทำให้องค์กรเผชิญความเสี่ยงจากช่องว่างในการนำไปใช้งานเท่านั้น แต่ยังรวมถึงจากแอสเซทจำนวนมากที่เชื่อมต่อกับเครือข่าย เช่น อุปกรณ์ แอป อุปกรณ์ปลายทาง ตลอดจนปริมาณงานบนระบบคลาวด์ที่มีความเสี่ยงอีกด้วย ผู้นำด้านการรักษาความปลอดภัยกำลังจัดการเสถียรภาพของตนในสภาพแวดล้อมที่ไม่มีขอบเขตนี้ด้วยเทคโนโลยีที่มอบการมองเห็นข้อมูลและการตอบสนองที่จัดลำดับความสำคัญ เครื่องมือเหล่านี้ช่วยให้องค์กรจัดทำแผนผังรายการแอสเซทที่ครอบคลุมพื้นหน้าของการโจมตีทั้งหมด โดยครอบคลุมอุปกรณ์ที่มีการจัดการและไม่มีการจัดการทั้งภายในและภายนอกเครือข่ายขององค์กร การใช้ทรัพยากรเหล่านี้ทำให้ CISO สามารถประเมินเสถียรภาพการรักษาความปลอดภัยของแอสเซทแต่ละรายการตลอดจนบทบาทในธุรกิจเพื่อพัฒนาโมเดลความเสี่ยงที่จัดลำดับความสำคัญได้
จากการสนทนากับผู้นำด้านการรักษาความปลอดภัย เราพบเห็นวิวัฒนาการจากการรักษาความปลอดภัยตามขอบเขตไปสู่แนวทางตามเสถียรภาพการรักษาความปลอดภัยที่พร้อมนำระบบนิเวศที่ไร้ขอบเขตมาใช้
ดังที่ CISO รายหนึ่งได้กล่าวไว้ว่า “สำหรับเราแล้ว เสถียรภาพนั้นขึ้นอยู่กับข้อมูลประจำตัว.... เราไม่ได้มองว่าเป็นเสถียรภาพแบบดั้งเดิมที่ขอบเขตคือการขยับออกไปจนสุดทางจนถึงอุปกรณ์ปลายทาง” (สาธารณูปโภค - ระบบประปา, จำนวนพนักงาน 1,390 คน) “ข้อมูลประจำตัวได้กลายเป็นขอบเขตใหม่ไปแล้ว” CISO ด้านเทคโนโลยีทางการเงินแสดงความเห็นพร้อมถามว่า: “ข้อมูลประจำตัวจะหมายถึงสิ่งใดกันแน่ในโมเดลใหม่ที่ไม่มีทั้งขอบเขตภายนอกและภายใน” (เทคโนโลยีทางการเงิน, จำนวนพนักงาน 15,000 คน)
ด้วยสภาพแวดล้อมที่มีช่องโหว่นี้ CISO จึงรับทราบถึงความเร่งด่วนของการจัดการเสถียรภาพที่ครอบคลุม แต่หลายคนยังคงตั้งคำถามว่าตนเองมีทรัพยากรและความพร้อมทางดิจิทัลที่จะนำวิสัยทัศน์นี้ไปปฏิบัติจริงหรือไม่ โชคดีที่การทำงานร่วมกันของเฟรมเวิร์กที่ได้รับการพิสูจน์แล้วในอุตสาหกรรม (อัปเดตตามความต้องการในปัจจุบัน) และนวัตกรรมด้านการรักษาความปลอดภัย ทำให้องค์กรส่วนใหญ่เข้าถึงการจัดการเสถียรภาพที่ครอบคลุมได้
รับเครื่องมือในโครงสร้างพื้นฐานทางไซเบอร์ที่ช่วยให้คุณสามารถจัดทำรายการแอสเซทได้ ประการที่สอง พิจารณาว่าเครื่องมือใดที่มีความสำคัญซึ่งมีความเสี่ยงที่ใหญ่ที่สุดต่อองค์กร และรับทราบว่าอุปกรณ์เหล่านี้มีช่องโหว่ที่อาจเกิดขึ้นได้อย่างไรบ้าง และตัดสินใจว่าสิ่งนี้ยอมรับได้หรือไม่ หรือฉันต้องใช้โปรแกรมแก้ไขหรือแยกอุปกรณ์ออก
แนวทางปฏิบัติและเครื่องมือบางส่วนที่ผู้นำด้านการรักษาความปลอดภัยใช้เพื่อจัดการเสถียรภาพของตนในสภาพแวดล้อมแบบเปิดที่เน้นระบบคลาวด์เป็นหลักมีดังนี้:
การมองเห็นข้อมูลเป็นขั้นตอนแรกในการจัดการเสถียรภาพแบบองค์รวม CISO ต่างถามว่า “เรารับทราบถึงทุกสิ่งที่พร้อมใช้งานเป็นขั้นตอนแรกหรือไม่ เราสามารถมองเห็นข้อมูลได้ก่อนที่จะเริ่มจัดการหรือไม่” รายการแอสเซทด้านความเสี่ยงประกอบด้วยแอสเซทด้าน IT ต่างๆ เช่น เครือข่ายและแอปพลิเคชัน, ฐานข้อมูล, เซิร์ฟเวอร์, คุณสมบัติของระบบคลาวด์, คุณสมบัติของ IoT รวมถึงแอสเซทข้อมูลและ IP ที่จัดเก็บไว้ในโครงสร้างพื้นฐานดิจิทัลนี้ แพลตฟอร์มส่วนใหญ่ เช่น Microsoft 365 หรือ Azure มีเครื่องมือรายการแอสเซทที่มีอยู่แล้วภายในที่สามารถช่วยคุณเริ่มต้นใช้งานได้
เมื่อองค์กรมีรายการแอสเซทที่ครอบคลุมแล้ว ก็สามารถวิเคราะห์ความเสี่ยงที่เกี่ยวข้องกับช่องโหว่ภายในและภัยคุกคามจากภายนอกได้ ขั้นตอนนี้พึ่งพาบริบทเป็นอย่างมากและมีลักษณะเฉพาะสำหรับแต่ละองค์กร การประเมินความเสี่ยงที่เชื่อถือได้ขึ้นอยู่กับความร่วมมือที่แข็งแกร่งระหว่างทีมรักษาความปลอดภัย IT และข้อมูล ทีมข้ามสายงานนี้ใช้ประโยชน์จากเครื่องมือการจัดลำดับความสำคัญและการให้คะแนนความเสี่ยงแบบอัตโนมัติในการวิเคราะห์ ตัวอย่างเช่น เครื่องมือจัดลำดับความสำคัญความเสี่ยงที่รวมอยู่ใน Microsoft Entra ID, Microsoft Defender XDR และ Microsoft 365 เทคโนโลยีการจัดลำดับความสำคัญและการให้คะแนนความเสี่ยงแบบอัตโนมัติอาจรวมคำแนะนำจากผู้เชี่ยวชาญในการแก้ไขช่องว่าง รวมถึงข้อมูลเชิงบริบทเพื่อการตอบสนองต่อภัยคุกคามที่มีประสิทธิภาพ
ด้วยความเข้าใจที่ชัดเจนเกี่ยวกับภูมิทัศน์ด้านความเสี่ยง ทีมเทคนิคจึงสามารถทำงานร่วมกับผู้นำทางธุรกิจเพื่อจัดลำดับความสำคัญของการแทรกแซงด้านการรักษาความปลอดภัยโดยคำนึงถึงความต้องการทางธุรกิจได้ พิจารณาบทบาทของแอสเซทแต่ละรายการ คุณค่าต่อธุรกิจ และความเสี่ยงต่อธุรกิจหากถูกโจมตี โดยถามคำถามต่างๆ เช่น “ข้อมูลนี้มีความละเอียดอ่อนเพียงใด และธุรกิจจะได้รับผลกระทบอย่างไรบ้างจากการเปิดเผยข้อมูล” หรือ “ระบบเหล่านี้มีความสำคัญมากน้อยเพียงใด และเวลาหยุดทำงานส่งผลกระทบต่อธุรกิจอย่างไรบ้าง” Microsoft นำเสนอเครื่องมือเพื่อสนับสนุนการระบุและจัดลำดับความสำคัญของช่องโหว่อย่างครอบคลุมตามการสร้างโมเดลความเสี่ยงทางธุรกิจ รวมถึงคะแนนความปลอดภัยของ Microsoft, คะแนนการตรงตามมาตรฐานของ Microsoft, คะแนนความปลอดภัยของ Azure, การจัดการพื้นหน้าของการโจมตีภายนอกของ Microsoft Defender และการจัดการช่องโหว่ของ Microsoft Defender
รายการแอสเซท การวิเคราะห์ความเสี่ยง และโมเดลความเสี่ยงทางธุรกิจล้วนเป็นพื้นฐานสำหรับการจัดการเสถียรภาพที่ครอบคลุม การมองเห็นข้อมูลและข้อมูลเชิงลึกนี้ช่วยให้ทีมรักษาความปลอดภัยระบุวิธีที่ดีที่สุดในการจัดสรรทรัพยากร มาตรการเสริมความแข็งแกร่งใดบ้างที่ต้องนำมาใช้ และวิธีการเพิ่มประสิทธิภาพการแลกเปลี่ยนระหว่างความเสี่ยงและความสามารถในการใช้งานสำหรับแต่ละส่วนของเครือข่าย
โซลูชันการจัดการเสถียรภาพนำเสนอการมองเห็นข้อมูลและการวิเคราะห์ช่องโหว่เพื่อช่วยให้องค์กรรับทราบว่าควรมุ่งเน้นความพยายามในการปรับปรุงเสถียรภาพของตนที่จุดใด ด้วยข้อมูลเชิงลึกนี้ องค์กรจึงสามารถระบุและจัดลำดับความสำคัญของจุดสำคัญในพื้นหน้าของการโจมตีของตนได้
พึ่งพาหลักการ Zero Trust และมาตรการเพื่อควบคุมสภาพแวดล้อมที่มีเครือข่ายหลากหลายทับซ้อนกันของ IoT และ OT
ความท้าทายสองประการที่เราได้กล่าวถึงกันไปแล้ว ได้แก่ ช่องว่างในการนำระบบคลาวด์ไปใช้งานและการขยายตัวของอุปกรณ์ที่เชื่อมต่อกับระบบคลาวด์ ได้ก่อให้เกิดสถานการณ์เลวร้ายจากความเสี่ยงในสภาพแวดล้อมของอุปกรณ์ IoT และ OT นอกเหนือจากความเสี่ยงโดยธรรมชาติของพื้นหน้าของการโจมตีที่ขยายตัวเพิ่มขึ้นซึ่งเกิดขึ้นจากอุปกรณ์ IoT และ OT แล้ว ผู้นำด้านการรักษาความปลอดภัยบอกกับผมว่าพวกเขากำลังพยายามหาเหตุผลให้กับการบูรณาการร่วมกันของกลยุทธ์ที่ใช้ IoT ที่เพิ่งเกิดขึ้นเมื่อไม่นานและ OT ที่คงอยู่มาอย่างยาวนาน IoT อาจทำงานในระบบคลาวด์ แต่อุปกรณ์เหล่านี้มักให้ความสำคัญกับความสะดวกทางธุรกิจมากกว่าความปลอดภัยขั้นพื้นฐาน โดย OT มีแนวโน้มที่จะเป็นอุปกรณ์แบบดั้งเดิมที่จัดการโดยผู้ขายซึ่งพัฒนาขึ้นโดยไม่มีการรักษาความปลอดภัยที่ทันสมัย และนำมาใช้แบบเฉพาะกิจบนเครือข่าย IT ขององค์กร
อุปกรณ์ IoT และ OT กำลังช่วยให้องค์กรต่างๆ ปรับพื้นที่ทำงานให้ทันสมัย ขับเคลื่อนด้วยข้อมูลมากขึ้น และลดความต้องการพนักงานผ่านการเปลี่ยนแปลงเชิงกลยุทธ์ เช่น การจัดการจากระยะไกลและระบบอัตโนมัติ International Data Corporation (IDC) ประมาณการว่าจะมีอุปกรณ์ IoT ที่เชื่อมต่อถึง 41.6 พันล้านเครื่องภายในปี 2025 ซึ่งเป็นอัตราการเติบโตที่สูงกว่าอุปกรณ์ IT แบบดั้งเดิม
แต่โอกาสนี้ก็มาพร้อมกับความเสี่ยงอย่างมีนัยสำคัญ รายงานสัญญาณอันตรายทางไซเบอร์ประจำเดือนธันวาคม 2022 ของเราในหัวข้อ การบูรณาการร่วมกันของ IT และเทคโนโลยีด้านการปฏิบัติการ ได้ศึกษาความเสี่ยงต่อโครงสร้างพื้นฐานที่สำคัญที่เกิดขึ้นจากเทคโนโลยีเหล่านี้
ข้อมูลสำคัญที่ค้นพบมีดังนี้:
1. 75% ของตัวควบคุมทางอุตสาหกรรมที่พบได้บ่อยที่สุดในเครือข่าย OT ของลูกค้ามีช่องโหว่ที่มีความรุนแรงสูงและไม่ได้รับการแก้ไข
2. ตั้งแต่ปี 2020 ถึง 2022 มีการเปิดเผยช่องโหว่ที่มีความรุนแรงสูงเพิ่มขึ้นถึง 78% ในอุปกรณ์ควบคุมเชิงอุตสาหกรรมที่ผลิตโดยผู้ขายยอดนิยม
3. อุปกรณ์จำนวนมากที่มองเห็นได้แบบสาธารณะบนอินเทอร์เน็ตกำลังใช้งานซอฟต์แวร์ที่ไม่ได้รับการสนับสนุน ตัวอย่างเช่น ยังคงมีการใช้ซอฟต์แวร์ Boa ที่ล้าสมัยกันอย่างแพร่หลายในอุปกรณ์ IoT และชุดพัฒนาซอฟต์แวร์ (SDK)
หลายฝ่ายมองว่าอุปกรณ์ IoT เป็นจุดอ่อนที่สุดในทรัพย์สินทางดิจิทัล เนื่องจากไม่ได้รับการจัดการ อัปเดต หรือติดตั้งโปรแกรมแก้ไขในลักษณะเดียวกับอุปกรณ์ IT แบบดั้งเดิม จึงสามารถทำหน้าที่เป็นเกตเวย์แสนสะดวกสำหรับผู้โจมตีที่ต้องการแทรกซึมเครือข่าย IT เมื่อเข้าถึงแล้ว อุปกรณ์ IoT จะเผชิญความเสี่ยงจากการเรียกใช้โค้ดจากระยะไกล ผู้โจมตีสามารถควบคุมและใช้ประโยชน์จากช่องโหว่เพื่อฝังบอทเน็ตหรือมัลแวร์ในอุปกรณ์ IoT ได้ ณ จุดนั้น อุปกรณ์ดังกล่าวจะกลายเป็นประตูที่เปิดกว้างสู่เครือข่ายทั้งหมด
อุปกรณ์เทคโนโลยีด้านการปฏิบัติการก่อให้เกิดความเสี่ยงที่เลวร้ายยิ่งขึ้น โดยอุปกรณ์หลายอย่างมีความสำคัญต่อการดำเนินงานขององค์กร แม้ว่าในอดีตจะทำงานแบบออฟไลน์หรือแยกออกจากเครือข่าย IT ขององค์กร แต่เครือข่าย OT เริ่มได้รับการผสานรวมเข้ากับระบบ IT และ IoT มากขึ้นเรื่อยๆ การศึกษาวิจัยเดือนพฤศจิกายน 2021 ของเราที่ดำเนินการร่วมกับ Ponemon Institute ในหัวข้อ สถานะของการรักษาความปลอดภัยทางไซเบอร์ด้าน IoT/OT ในองค์กร พบว่าเครือข่าย OT มากกว่าครึ่งหนึ่งในปัจจุบันเชื่อมต่อกับเครือข่าย IT (ธุรกิจ) ขององค์กร และบริษัทต่างๆ มีอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตบนเครือข่าย OT ของตนสำหรับสถานการณ์ใช้งานต่างๆ เช่น การเข้าถึงจากระยะไกล ในสัดส่วนที่ใกล้เคียงกันราว 56 เปอร์เซ็นต์
การเชื่อมต่อ OT ทำให้องค์กรเผชิญความเสี่ยงต่อการหยุดชะงักและการหยุดทำงานครั้งใหญ่ในกรณีที่มีการโจมตี OT มักเป็นหัวใจสำคัญของธุรกิจ จึงกลายเป้าหมายที่ล่อตาล่อใจของผู้โจมตีที่สามารถใช้ประโยชน์เพื่อสร้างความเสียหายได้เป็นอย่างมาก ตัวอุปกรณ์เองสามารถตกเป็นเป้าหมายได้ง่าย เนื่องจากมักเกี่ยวข้องกับอุปกรณ์รุ่นเก่าหรือแบบดั้งเดิมที่มีการออกแบบไม่ปลอดภัย มีมาก่อนแนวทางปฏิบัติด้านการรักษาความปลอดภัยสมัยใหม่ และอาจมีโพรโทคอลที่เป็นกรรมสิทธิ์ซึ่งทำให้เครื่องมือตรวจสอบด้าน IT มาตรฐานไม่สามารถมองเห็นข้อมูลได้ ผู้โจมตีมีแนวโน้มที่จะใช้ประโยชน์จากเทคโนโลยีเหล่านี้โดยการค้นพบระบบที่เชื่อมต่อกับอินเทอร์เน็ต เข้าถึงผ่านข้อมูลการเข้าสู่ระบบของพนักงาน หรือใช้ประโยชน์จากการเข้าถึงที่มอบให้กับซัพพลายเออร์และผู้รับเหมาที่เป็นบุคคลที่สาม โพรโทคอล ICS ที่ไม่ได้รับการตรวจสอบเป็นจุดเริ่มต้นหนึ่งที่พบได้บ่อยสำหรับการโจมตีที่มุ่งเป้าไปยัง OT เป็นหลัก (Microsoft Digital Defense Report ปี 2022)
เพื่อรับมือกับความท้าทายที่ไม่เหมือนใครในการจัดการการรักษาความปลอดภัยของ IoT และ OT ผ่านอุปกรณ์หลากหลายที่เชื่อมต่อกันในรูปแบบต่างๆ กับเครือข่าย IT ผู้นำด้านการรักษาความปลอดภัยจึงปฏิบัติตามแนวทางปฏิบัติเหล่านี้:
การรับทราบถึงแอสเซททั้งหมดที่คุณมีในเครือข่าย วิธีการที่ทุกสิ่งเชื่อมต่อเข้าด้วยกัน รวมถึงความเสี่ยงและการเปิดเผยข้อมูลทางธุรกิจที่เกี่ยวข้องในแต่ละจุดเชื่อมต่อถือเป็นรากฐานที่สำคัญสำหรับการจัดการ IoT/OT ที่มีประสิทธิภาพ โซลูชันการตรวจหาและตอบสนองต่อเครือข่าย (NDR) ที่รองรับ IoT และ OT และ SIEM อย่าง Microsoft Sentinel ยังช่วยให้คุณมองเห็นอุปกรณ์ IoT/OT บนเครือข่ายได้อย่างเจาะลึกยิ่งขึ้น และตรวจสอบพฤติกรรมที่ผิดปกติ เช่น การสื่อสารกับโฮสต์ที่ไม่คุ้นเคย (สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการจัดการโพรโทคอล ICS ที่สามารถเข้าถึงได้ใน OT โปรดดู “ความเสี่ยงเฉพาะด้านการรักษาความปลอดภัยของอุปกรณ์ IOT” Microsoft Security)
หากเป็นไปได้ ให้แบ่งกลุ่มเครือข่ายเพื่อยับยั้งการเคลื่อนย้ายการโจมตีไปยังอุปกรณ์เครื่องอื่นในกรณีที่มีการโจมตี อุปกรณ์ IoT และเครือข่าย OT ควรแยกออกจากเครือข่าย IT ขององค์กรอย่างสิ้นเชิงผ่านไฟร์วอลล์ อย่างไรก็ตาม สิ่งสำคัญคือต้องยอมรับว่ามีการบูรณาการ OT และ IT ของคุณร่วมกัน และสร้างโพรโทคอล Zero Trust ทั่วทั้งพื้นหน้าของการโจมตี การแบ่งส่วนเครือข่ายจึงไม่เหมาะสมมากขึ้นเรื่อยๆ สำหรับองค์กรที่ได้รับการควบคุม เช่น การดูแลสุขภาพ สาธารณูปโภค และการผลิต การเชื่อมต่อ OT และ IT ถือเป็นหัวใจสำคัญของการดำเนินงานทางธุรกิจ เช่น เครื่องแมมโมแกรมหรือ MRI อัจฉริยะที่เชื่อมต่อกับระบบเวชระเบียนอิเล็กทรอนิกส์ (EHR) สายการผลิตอัจฉริยะ หรือการทำน้ำให้บริสุทธิ์ซึ่งต้องมีการตรวจสอบจากระยะไกล ในกรณีเหล่านี้ หลักการ Zero Trust จึงมีความสำคัญอย่างยิ่ง
ทีมรักษาความปลอดภัยสามารถปิดช่องว่างได้ด้วยแนวทางปฏิบัติด้านมาตรการพื้นฐานบางส่วน เช่น:
- การตัดการเชื่อมต่ออินเทอร์เน็ตและพอร์ตที่เปิดอยู่ที่ไม่จำเป็น การจำกัดหรือปฏิเสธการเข้าถึงระยะไกล และการใช้บริการ VPN
- การจัดการความปลอดภัยของอุปกรณ์โดยการนำโปรแกรมแก้ไขไปใช้ รวมถึงการเปลี่ยนรหัสผ่านและพอร์ตเริ่มต้น
- ตรวจสอบให้แน่ใจว่าอินเทอร์เน็ตไม่สามารถเข้าถึงโพรโทคอล ICS ได้โดยตรง
สำหรับคำแนะนำที่ดำเนินการได้เกี่ยวกับวิธีการบรรลุผลด้านข้อมูลเชิงลึกและการจัดการในระดับนี้ โปรดดู “ความเสี่ยงเฉพาะของอุปกรณ์ IoT/OT” ใน Microsoft Security Insider
ข้อมูลเชิงลึกที่ดำเนินการได้
1. ใช้โซลูชันการตรวจหาและการตอบสนองต่อเครือข่าย (NDR) ที่รองรับ IoT/OT และโซลูชันข้อมูลการรักษาความปลอดภัยและการจัดการเหตุการณ์ (SIEM)/การประสานรวมและการตอบสนองด้านการรักษาความปลอดภัย (SOAR) เพื่อช่วยให้คุณมองเห็นอุปกรณ์ IoT/OT บนเครือข่ายได้อย่างเจาะลึกยิ่งขึ้น และตรวจสอบอุปกรณ์เพื่อหาพฤติกรรมที่ผิดปกติหรือไม่ได้รับอนุญาต เช่น การสื่อสารกับโฮสต์ที่ไม่คุ้นเคย
2. ปกป้องสถานีวิศวกรรมโดยการตรวจสอบด้วยโซลูชันการตรวจหาและการตอบสนองอุปกรณ์ปลายทาง (EDR)
3. ลดพื้นหน้าของการโจมตีโดยตัดการเชื่อมต่ออินเทอร์เน็ตและพอร์ตที่เปิดอยู่ที่ไม่จำเป็น จำกัดการเข้าถึงระยะไกลโดยการบล็อกพอร์ต ปฏิเสธการเข้าถึงระยะไกล และใช้บริการ VPN
4. ตรวจสอบให้แน่ใจว่าอินเทอร์เน็ตไม่สามารถเข้าถึงโพรโทคอล ICS ได้โดยตรง
5. แบ่งส่วนเครือข่ายเพื่อจำกัดความสามารถของผู้โจมตีในการเคลื่อนย้ายการโจมตีไปยังระบบอื่นๆ และโจมตีแอสเซทหลังจากการบุกรุกครั้งแรก อุปกรณ์ IoT และเครือข่าย OT ควรแยกออกจากเครือข่าย IT ขององค์กรผ่านไฟร์วอลล์
6. ตรวจสอบให้แน่ใจว่าอุปกรณ์มีเสถียรภาพโดยการนำโปรแกรมแก้ไขไปใช้ รวมถึงเปลี่ยนรหัสผ่านและพอร์ตเริ่มต้น
7. ยอมรับว่ามีการบูรณาการ OT และ IT ของคุณร่วมกัน และสร้างโพรโทคอล Zero Trust ลงในพื้นหน้าของการโจมตีของคุณ
8. ตรวจสอบให้แน่ใจว่าองค์กรมีความสอดคล้องกันระหว่าง OT และ IT โดยส่งเสริมการมองเห็นข้อมูลและการผสานรวมทีมที่ดียิ่งขึ้น
9. ปฏิบัติตามแนวทางปฏิบัติในการรักษาความปลอดภัยด้าน IoT/OT โดยอิงตามข่าวกรองเกี่ยวกับภัยคุกคามขั้นพื้นฐานเสมอ
ในขณะที่ผู้นำด้านการรักษาความปลอดภัยคว้าโอกาสในการปรับปรุงพื้นที่ดิจิทัลของตนให้มีประสิทธิภาพยิ่งขึ้น ท่ามกลางภัยคุกคามที่ทวีความรุนแรงขึ้นและแรงกดดันให้ดำเนินการมากขึ้นโดยใช้ทรัพยากรน้อยลง ระบบคลาวด์จึงกลายเป็นรากฐานของกลยุทธ์การรักษาความปลอดภัยสมัยใหม่ ดังที่เราได้เห็นไปแล้วว่า ประโยชน์ของแนวทางที่เน้นระบบคลาวด์เป็นหลักมีมากกว่าความเสี่ยงอย่างมาก โดยเฉพาะอย่างยิ่งสำหรับองค์กรที่ใช้แนวทางปฏิบัติในการจัดการสภาพแวดล้อมระบบคลาวด์ของตนผ่านกลยุทธ์การรักษาความปลอดภัยของระบบคลาวด์ที่มีประสิทธิภาพ การจัดการเสถียรภาพที่ครอบคลุม และกลยุทธ์ที่มุ่งเป้าเพื่อปิดช่องว่างที่อุปกรณ์ IoT/OT ปลายทาง
สำหรับคำแนะนำที่ดำเนินการได้เกี่ยวกับวิธีการบรรลุผลด้านข้อมูลเชิงลึกและการจัดการในระดับนี้ โปรดดู “ความเสี่ยงเฉพาะของอุปกรณ์ IoT/OT” ใน Microsoft Security Insider
การศึกษาวิจัยของ Microsoft ที่อ้างถึงทั้งหมดใช้บริษัทวิจัยอิสระในการติดต่อผู้เชี่ยวชาญด้านการรักษาความปลอดภัยสำหรับการศึกษาทั้งเชิงปริมาณและเชิงคุณภาพ เพื่อรับรองว่ามีการปกป้องความเป็นส่วนตัวและความเข้มงวดในการวิเคราะห์ คำพูดและการค้นพบที่มีอยู่ในเอกสารนี้เป็นผลลัพธ์จากการศึกษาวิจัยของ Microsoft เว้นแต่จะระบุไว้เป็นอย่างอื่น
ติดตาม Microsoft Security