Cybersecurity Management

การเปลี่ยน “Time-based Security” ไปสู่ “Responsive Security”

ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 31 ตุลาคม 2561

เปลี่ยน Mindset ที่เป็น “Fortress Mentality” มาเป็น “Responsive and Readiness Mentality” และเปลี่ยนคำถามจาก “Are we Secure?” เป็น “ Are we Ready?”เพื่อเตรียมพร้อมรับมือกับเหตุการณ์ไม่พึงประสงค์อยู่ตลอดเวลา จะทำให้องค์กรมี Cyber Resilience

การมาถึงของยุคแห่ง S-M-C-I (Social, Mobile, Cloud and Information/Big Data) ทำให้หลายองค์กรต้องเตรียมตัวรับมือกับภัยคุกคามใหม่ๆ ที่มาทางไซเบอร์ โดยผ่านช่องทางโซเชียลเน็ตเวิร์ก อุปกรณ์เคลื่อนที่ หรือบริการคลาวด์ต่างๆ โดยสภาพและลักษณะของภัยคุกคามมีการเปลี่ยนแปลงไปจากเดิมอย่างมาก

ตลอดจนมีรูปแบบในการโจมตีเป้าหมายที่หลากหลาย ไม่ว่าจะเป็น APT (Advanced Persistent Threat) Attack, Watering Hole Attack หรือ Spear Phishing Attack

ล่าสุดปัญหา Ransomware และ Malware Pre-load on Hardware กำลังมาแรงมากจนทำให้ผู้เชี่ยวชาญและผู้ปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ตามแทบไม่ทัน 

ดังนั้นแนวความคิดและแนวทางในการป้องกันระบบและทรัพย์สินขององค์กรให้ได้ประสิทธิผล (Effectiveness) จึงจำเป็นอย่างยิ่งยวดที่จะต้องปรับความคิดและปรับกลยุทธ์ให้สอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไปดังกล่าว (Threat Landscape Changed)

และควรเพิ่มปัจจัยที่สำคัญลงไปในสมการแห่งการเปลี่ยนแปลงนี้ด้วย ได้แก่ ปัจจัยของเวลา (Time Factor) เพราะ “เวลา” มีผลต่อการป้องกันทรัพย์สินและระบบสารสนเทศขององค์กร จากรูปที่ 1 

รูปที่ 1 : Privacy in the heart of S-M-C-I era with four factors to be concerned 1. Information Security 2. Cybersecurity 3. Cyber Resilience and 4. Organizational Resilience & Business Resilience  source: Modified from Gartner Nexus of the disruptive forces

พบว่าหัวใจสำคัญก็คือ องค์กรต้องป้องกันเรื่องของ “Privacy Risk” ซึ่งจะนำไปสู่ “Reputation Risk” ในที่สุดเราควรเข้าใจทั้งสภาวะแวดล้อมใหม่ๆ ที่เปลี่ยนจาก stage ที่ 1  “Information Security” เข้าสู่ stage ที่ 2 “Cybersecurity”  และเข้าสู่ stage ที่ 3 คือ “Cyber Resilience” รูปที่ 2

รูปที่ 2 : How to build cyber resilience to your organization : 3 Stages from ISF , Information Security , Cybersecurity and Cyber Resilience : source : Information Security Forum (ISF)

ในปัจจุบันเราคงต้องยอมรับว่ากลไกในการป้องกันการโจมตีจากแฮกเกอร์และผู้ไม่หวังดีโดยใช้มัลแวร์เป็นเครื่องมือนั้น ไม่ได้มีประสิทธิผลเท่าที่ควร

ดูได้จากการแก้ปัญหาด้านความมั่นคงปลอดภัยสารสนเทศขององค์กรนั้น มีประวัติอันยาวนานมาตั้งแต่ ปี ค.ศ. 1988 ที่ Robert T. Morris สร้าง Internet worm ตัวแรกของโลกขึ้นโดยบังเอิญ

จากวันนั้นถึงวันนี้ ค.ศ. 2015 ผ่านมาแล้ว 27 ปี ยังไม่สามารถแก้ปัญหามัลแวร์ได้ 100%

ยกตัวอย่าง ทุกวันนี้ยังมีการโจมตีแบบ APT (Advanced Persistent Threat) และ Ransomware อยู่ตลอดเวลา ดูได้จากข่าวรายวันที่มีบริษัทใหญ่ๆ ถูกเจาะระบบเป็นประจำ ยกตัวอย่าง เช่น Home Depot, Target Supermarket และ Sony Pictures

รูปที่ 3 :  Today Cybersecurity Traditional Approach doesn’t work

 รูปที่ 4 : P-D-R and D-R-P security model with Time-Based Security Concept

สาเหตุของปัญหาก็คือ แนวความคิดในการแก้ปัญหาความมั่นคงปลอดภัยไซเบอร์ ยังอยู่ในสมการ P-D-R Model โดย P คือ Protect, D คือ Detect และ R คือ React ( ป้องกัน ตรวจจับ และตอบสนอง)

เรามีความเชื่อว่าการป้องกัน (P) คือการแก้ปัญหาที่ดีที่สุด (Old Concept: Protective Control is the best control)

แต่จากสภาวะโลกไซเบอร์ในปัจจุบัน “Winn Schwartau ผู้เขียนหนังสือ “TIME-BASED SECURITY” ได้ค้นพบว่า P-D-R Model จะนำมาใช้ประโยชน์ได้ก็ต่อเมื่อ Pt > (Dt + Rt) โดย t = time (เวลา)

สมการนี้มีความหมายว่า

ถ้าเวลาในการป้องกันมากกว่าเวลาในการตรวจจับและเวลาในการตอบสนอง องค์กรจะสามารถคงสภาวะที่ยังมีความมั่นคงปลอดภัยไว้ได้

แต่ถ้าเวลาในการป้องกันน้อยกว่าเวลาในการตรวจจับและเวลาในการตอบสนอง ระบบขององค์กรก็จะไม่ปลอดภัยอีกต่อไป ซึ่งในโลกไซเบอร์ปัจจุบันสมการมีลักษณะ ดังนี้

Pt << (Dt + Rt)

หมายถึง เวลาในการตรวจจับและตอบสนองมีมากกว่าเวลาในการป้องกันเป็นอย่างมาก (ดูรูปที่ 4)

ดังนั้นเราจึงควรหันมาเปลี่ยน Mindset จากการทุ่มเททรัพยากรไปที่ “P” มาเป็นการให้ความสำคัญที่ “D” และ “R” มากขึ้น

ถ้าเราต้องการให้ระบบขององค์กรมั่นคงปลอดภัย เราควร “ ลดเวลาในการตรวจจับลง” (decrease Dt) และ “ลดเวลาในการตอบสนองลง” (decrease Rt) ด้วยเช่นกัน

กล่าวโดยสรุปจะเห็นได้ว่ามี 4 ปัจจัยที่เราต้องนำมาพิจารณาไตร่ตรองอย่างรอบคอบในการวางแผนกลยุทธด้านความมั่นคงปลอดภัย (Security Strategy) ได้แก่

  • Protection (การป้องกัน)
  • Detection (การตรวจจับ)
  • Reaction (การตอบสนอง)
  • Time (เวลา)

กุญแจของการแก้ปัญหาด้านความมั่นคงปลอดภัยสารสนเทศนั้น ควรมีมุมมอง 3 ด้าน (PPT Concept) ได้แก่ People, Process and Technology

การปรับกระบวนการโดยการปฏิบัติตามมาตรฐาน ISO / IEC 27001 : 2013 ก็ดี หรือการนำเทคโนโลยีสมัยใหม่มาใช้ในองค์กร เช่น APT Detection using Sandbox, การใช้ SIEM, การใช้ Next-Gen Firewall ก็ดี เป็นการแก้ปัญหาที่ Process และ Technology

แต่รากเหง้าของปัญหาที่แท้จริงแล้วปัจจัยสำคัญอยู่ที่ มนุษย์” หรือ “People” ในการเตรียมพร้อมรับมือกับภัยคุกคามต่างๆ ที่อาจเกิดขึ้นเมื่อใดก็ได้

การเตรียมความพร้อมของผู้ใช้ระบบสารสนเทศทั่วไป (User Readiness and Responsiveness by performing Cyber Drill) และการให้ความรู้ด้านภัยสารสนเทศ (User Information Security Awareness Training by performing Information Security Awareness Training) จึงเป็นเรื่องจำเป็นที่องค์กรต้องทำเป็นประจำทุกปี

รูปที่ 5 : Cyber Drill Operation

ยกตัวอย่าง เรื่องการซ้อมหนีไฟ (Fire Drill) องค์กรยังมีการซ้อมอยู่เป็นประจำทุกปี แล้วทำไมองค์กรไม่ทำการซ้อมรับมือภัยทางไซเบอร์ที่เรียกว่า “Cyber Drill” (ดูรูปที่ 5) เพื่อให้ผู้ใช้คอมพิวเตอร์ในองค์กร ตลอดจนผู้บริหารทั้งระดับกลางและระดับสูงได้ตระหนักรู้และสร้างประสบการณ์ในการรับมือกับภัยคุกคามอย่างได้ผลในทางปฏิบัติ มีความพร้อมต่อการรับมือ “ Incident” ต่างๆ ที่จะเกิดขึ้น

ทาง ACIS CYBERLAB ได้ทำการทดลองปฏิบัติการ Cyber Drill กับพนักงาน ACIS Professional Center ทั้ง 68 คน ผลการทดลองเป็นไปตามรูปที่ 6

รูปที่ 6 : “Cyber Drill Result at ACIS office”

เราพบว่า พนักงาน 27 คนจาก 68 คน เปิดอีเมลปลอมที่ส่งมาด้วยวิธีการ Targeted Attack และ Social Engineering และ 13 คน จาก 27 คน ได้บอกรหัสผ่านแก่แฮกเกอร์โดยไม่รู้ตัว โดยแฮกเกอร์สามารนำชื่อผู้ใช้และรหัสผ่านไปใช้ได้อย่างสบาย

หลังจากการทดลองครั้งแรก เราได้ทดลองอีก 2 ครั้ง อัตราการติดบ่วงการหลอกด้วยวิธีการ “Social Engineering” ดังกล่าวนั้นลดลงอย่างชัดเจน เพราะพนักงานเริ่มรู้ตัวแล้วว่าเป็นการส่งอีเมลหลอก (Phishing email) โดยมัลแวร์หรือแฮกเกอร์

จะเห็นได้ว่าการฝึกซ้อมให้พนักงานรับมือกับการโจมตีทางอินเทอร์เน็ต เป็นเรื่องที่มีความสำคัญอย่างยิ่งยวด เพื่อพนักงานจะได้มี Responsive and Readiness มีความพร้อมและความตระหนัก

ปฏิบัติการ Cyber Drill ถือเป็นการเตรียมความพร้อมกับภัยคุกคามทางไซเบอร์ได้อย่างดีที่สุดในเวลานี้ เพราะจุดอ่อนขององค์กรมักจะอยู่ที่คนเป็นหลัก

รูปที่ 7 : “Business Impact” & “ Time”

นอกจากนี้กลไกกระบวนการและเทคนิคในการตรวจจับความผิดปกติในระบบ แบบเรียลไทม์ก็มีความจำเป็นเช่นกัน

ตลอดจนระบบป้องกันที่สามารถ “ปิด” ช่องทางของแฮกเกอร์ ได้ในเวลาที่กำหนดก็เป็นอีกเรื่องที่สำคัญ ซึ่งเวลาจะแปรผันตรงกับความเสียหาย ในรูปแบบ Exponential (ดูรูปที่ 7) 

เพราะฉะนั้นเราจึงควรเปลี่ยน Mindset ที่เป็น “Fortress Mentality” มาเป็น “Responsive and Readiness Mentality” และเปลี่ยนคำถามจาก “Are we Secure?” เป็น “ Are we Ready?”

หมายถึง การเตรียมพร้อมกับเหตุการณ์ไม่พึงประสงค์อยู่ตลอดเวลา ก็จะช่วยทำให้การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของเรามีประสิทธิผลมากขึ้นโดยลำดับ สามารถทำให้องค์กรมี Cyber Resilience และ Business Resilience ในที่สุด