การเปลี่ยน “Time-based Security” ไปสู่ “Responsive Security”
ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 31 ตุลาคม 2561
เปลี่ยน Mindset ที่เป็น “Fortress Mentality” มาเป็น “Responsive and Readiness Mentality” และเปลี่ยนคำถามจาก “Are we Secure?” เป็น “ Are we Ready?”เพื่อเตรียมพร้อมรับมือกับเหตุการณ์ไม่พึงประสงค์อยู่ตลอดเวลา จะทำให้องค์กรมี Cyber Resilience
การมาถึงของยุคแห่ง S-M-C-I (Social, Mobile, Cloud and Information/Big Data) ทำให้หลายองค์กรต้องเตรียมตัวรับมือกับภัยคุกคามใหม่ๆ ที่มาทางไซเบอร์ โดยผ่านช่องทางโซเชียลเน็ตเวิร์ก อุปกรณ์เคลื่อนที่ หรือบริการคลาวด์ต่างๆ โดยสภาพและลักษณะของภัยคุกคามมีการเปลี่ยนแปลงไปจากเดิมอย่างมาก
ตลอดจนมีรูปแบบในการโจมตีเป้าหมายที่หลากหลาย ไม่ว่าจะเป็น APT (Advanced Persistent Threat) Attack, Watering Hole Attack หรือ Spear Phishing Attack
ล่าสุดปัญหา Ransomware และ Malware Pre-load on Hardware กำลังมาแรงมากจนทำให้ผู้เชี่ยวชาญและผู้ปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ตามแทบไม่ทัน
ดังนั้นแนวความคิดและแนวทางในการป้องกันระบบและทรัพย์สินขององค์กรให้ได้ประสิทธิผล (Effectiveness) จึงจำเป็นอย่างยิ่งยวดที่จะต้องปรับความคิดและปรับกลยุทธ์ให้สอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไปดังกล่าว (Threat Landscape Changed)
และควรเพิ่มปัจจัยที่สำคัญลงไปในสมการแห่งการเปลี่ยนแปลงนี้ด้วย ได้แก่ ปัจจัยของเวลา (Time Factor) เพราะ “เวลา” มีผลต่อการป้องกันทรัพย์สินและระบบสารสนเทศขององค์กร จากรูปที่ 1
รูปที่ 1 : Privacy in the heart of S-M-C-I era with four factors to be concerned 1. Information Security 2. Cybersecurity 3. Cyber Resilience and 4. Organizational Resilience & Business Resilience source: Modified from Gartner Nexus of the disruptive forces
พบว่าหัวใจสำคัญก็คือ องค์กรต้องป้องกันเรื่องของ “Privacy Risk” ซึ่งจะนำไปสู่ “Reputation Risk” ในที่สุดเราควรเข้าใจทั้งสภาวะแวดล้อมใหม่ๆ ที่เปลี่ยนจาก stage ที่ 1 “Information Security” เข้าสู่ stage ที่ 2 “Cybersecurity” และเข้าสู่ stage ที่ 3 คือ “Cyber Resilience” รูปที่ 2
รูปที่ 2 : How to build cyber resilience to your organization : 3 Stages from ISF , Information Security , Cybersecurity and Cyber Resilience : source : Information Security Forum (ISF)
ในปัจจุบันเราคงต้องยอมรับว่ากลไกในการป้องกันการโจมตีจากแฮกเกอร์และผู้ไม่หวังดีโดยใช้มัลแวร์เป็นเครื่องมือนั้น ไม่ได้มีประสิทธิผลเท่าที่ควร
ดูได้จากการแก้ปัญหาด้านความมั่นคงปลอดภัยสารสนเทศขององค์กรนั้น มีประวัติอันยาวนานมาตั้งแต่ ปี ค.ศ. 1988 ที่ Robert T. Morris สร้าง Internet worm ตัวแรกของโลกขึ้นโดยบังเอิญ
จากวันนั้นถึงวันนี้ ค.ศ. 2015 ผ่านมาแล้ว 27 ปี ยังไม่สามารถแก้ปัญหามัลแวร์ได้ 100%
ยกตัวอย่าง ทุกวันนี้ยังมีการโจมตีแบบ APT (Advanced Persistent Threat) และ Ransomware อยู่ตลอดเวลา ดูได้จากข่าวรายวันที่มีบริษัทใหญ่ๆ ถูกเจาะระบบเป็นประจำ ยกตัวอย่าง เช่น Home Depot, Target Supermarket และ Sony Pictures
รูปที่ 3 : Today Cybersecurity Traditional Approach doesn’t work
รูปที่ 4 : P-D-R and D-R-P security model with Time-Based Security Concept
สาเหตุของปัญหาก็คือ แนวความคิดในการแก้ปัญหาความมั่นคงปลอดภัยไซเบอร์ ยังอยู่ในสมการ P-D-R Model โดย P คือ Protect, D คือ Detect และ R คือ React ( ป้องกัน ตรวจจับ และตอบสนอง)
เรามีความเชื่อว่าการป้องกัน (P) คือการแก้ปัญหาที่ดีที่สุด (Old Concept: Protective Control is the best control)
แต่จากสภาวะโลกไซเบอร์ในปัจจุบัน “Winn Schwartau ผู้เขียนหนังสือ “TIME-BASED SECURITY” ได้ค้นพบว่า P-D-R Model จะนำมาใช้ประโยชน์ได้ก็ต่อเมื่อ Pt > (Dt + Rt) โดย t = time (เวลา)
สมการนี้มีความหมายว่า
ถ้าเวลาในการป้องกันมากกว่าเวลาในการตรวจจับและเวลาในการตอบสนอง องค์กรจะสามารถคงสภาวะที่ยังมีความมั่นคงปลอดภัยไว้ได้
แต่ถ้าเวลาในการป้องกันน้อยกว่าเวลาในการตรวจจับและเวลาในการตอบสนอง ระบบขององค์กรก็จะไม่ปลอดภัยอีกต่อไป ซึ่งในโลกไซเบอร์ปัจจุบันสมการมีลักษณะ ดังนี้
Pt << (Dt + Rt)
หมายถึง เวลาในการตรวจจับและตอบสนองมีมากกว่าเวลาในการป้องกันเป็นอย่างมาก (ดูรูปที่ 4)
ดังนั้นเราจึงควรหันมาเปลี่ยน Mindset จากการทุ่มเททรัพยากรไปที่ “P” มาเป็นการให้ความสำคัญที่ “D” และ “R” มากขึ้น
ถ้าเราต้องการให้ระบบขององค์กรมั่นคงปลอดภัย เราควร “ ลดเวลาในการตรวจจับลง” (decrease Dt) และ “ลดเวลาในการตอบสนองลง” (decrease Rt) ด้วยเช่นกัน
กล่าวโดยสรุปจะเห็นได้ว่ามี 4 ปัจจัยที่เราต้องนำมาพิจารณาไตร่ตรองอย่างรอบคอบในการวางแผนกลยุทธด้านความมั่นคงปลอดภัย (Security Strategy) ได้แก่
- Protection (การป้องกัน)
- Detection (การตรวจจับ)
- Reaction (การตอบสนอง)
- Time (เวลา)
กุญแจของการแก้ปัญหาด้านความมั่นคงปลอดภัยสารสนเทศนั้น ควรมีมุมมอง 3 ด้าน (PPT Concept) ได้แก่ People, Process and Technology
การปรับกระบวนการโดยการปฏิบัติตามมาตรฐาน ISO / IEC 27001 : 2013 ก็ดี หรือการนำเทคโนโลยีสมัยใหม่มาใช้ในองค์กร เช่น APT Detection using Sandbox, การใช้ SIEM, การใช้ Next-Gen Firewall ก็ดี เป็นการแก้ปัญหาที่ Process และ Technology
แต่รากเหง้าของปัญหาที่แท้จริงแล้วปัจจัยสำคัญอยู่ที่ “มนุษย์” หรือ “People” ในการเตรียมพร้อมรับมือกับภัยคุกคามต่างๆ ที่อาจเกิดขึ้นเมื่อใดก็ได้
การเตรียมความพร้อมของผู้ใช้ระบบสารสนเทศทั่วไป (User Readiness and Responsiveness by performing Cyber Drill) และการให้ความรู้ด้านภัยสารสนเทศ (User Information Security Awareness Training by performing Information Security Awareness Training) จึงเป็นเรื่องจำเป็นที่องค์กรต้องทำเป็นประจำทุกปี
รูปที่ 5 : Cyber Drill Operation
ยกตัวอย่าง เรื่องการซ้อมหนีไฟ (Fire Drill) องค์กรยังมีการซ้อมอยู่เป็นประจำทุกปี แล้วทำไมองค์กรไม่ทำการซ้อมรับมือภัยทางไซเบอร์ที่เรียกว่า “Cyber Drill” (ดูรูปที่ 5) เพื่อให้ผู้ใช้คอมพิวเตอร์ในองค์กร ตลอดจนผู้บริหารทั้งระดับกลางและระดับสูงได้ตระหนักรู้และสร้างประสบการณ์ในการรับมือกับภัยคุกคามอย่างได้ผลในทางปฏิบัติ มีความพร้อมต่อการรับมือ “ Incident” ต่างๆ ที่จะเกิดขึ้น
ทาง ACIS CYBERLAB ได้ทำการทดลองปฏิบัติการ Cyber Drill กับพนักงาน ACIS Professional Center ทั้ง 68 คน ผลการทดลองเป็นไปตามรูปที่ 6
รูปที่ 6 : “Cyber Drill Result at ACIS office”
เราพบว่า พนักงาน 27 คนจาก 68 คน เปิดอีเมลปลอมที่ส่งมาด้วยวิธีการ Targeted Attack และ Social Engineering และ 13 คน จาก 27 คน ได้บอกรหัสผ่านแก่แฮกเกอร์โดยไม่รู้ตัว โดยแฮกเกอร์สามารนำชื่อผู้ใช้และรหัสผ่านไปใช้ได้อย่างสบาย
หลังจากการทดลองครั้งแรก เราได้ทดลองอีก 2 ครั้ง อัตราการติดบ่วงการหลอกด้วยวิธีการ “Social Engineering” ดังกล่าวนั้นลดลงอย่างชัดเจน เพราะพนักงานเริ่มรู้ตัวแล้วว่าเป็นการส่งอีเมลหลอก (Phishing email) โดยมัลแวร์หรือแฮกเกอร์
จะเห็นได้ว่าการฝึกซ้อมให้พนักงานรับมือกับการโจมตีทางอินเทอร์เน็ต เป็นเรื่องที่มีความสำคัญอย่างยิ่งยวด เพื่อพนักงานจะได้มี Responsive and Readiness มีความพร้อมและความตระหนัก
ปฏิบัติการ Cyber Drill ถือเป็นการเตรียมความพร้อมกับภัยคุกคามทางไซเบอร์ได้อย่างดีที่สุดในเวลานี้ เพราะจุดอ่อนขององค์กรมักจะอยู่ที่คนเป็นหลัก
รูปที่ 7 : “Business Impact” & “ Time”
นอกจากนี้กลไกกระบวนการและเทคนิคในการตรวจจับความผิดปกติในระบบ แบบเรียลไทม์ก็มีความจำเป็นเช่นกัน
ตลอดจนระบบป้องกันที่สามารถ “ปิด” ช่องทางของแฮกเกอร์ ได้ในเวลาที่กำหนดก็เป็นอีกเรื่องที่สำคัญ ซึ่งเวลาจะแปรผันตรงกับความเสียหาย ในรูปแบบ Exponential (ดูรูปที่ 7)
เพราะฉะนั้นเราจึงควรเปลี่ยน Mindset ที่เป็น “Fortress Mentality” มาเป็น “Responsive and Readiness Mentality” และเปลี่ยนคำถามจาก “Are we Secure?” เป็น “ Are we Ready?”
หมายถึง การเตรียมพร้อมกับเหตุการณ์ไม่พึงประสงค์อยู่ตลอดเวลา ก็จะช่วยทำให้การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของเรามีประสิทธิผลมากขึ้นโดยลำดับ สามารถทำให้องค์กรมี Cyber Resilience และ Business Resilience ในที่สุด