Home > Medias & Articles > Tech Vibe: ทำความรู้จักกับการรักษาความปลอดภัยขั้นสูง Zero-Trust และการนำไปปรับใช้ภายในองค์กร
Back
September 21, 2021

Tech Vibe: ทำความรู้จักกับการรักษาความปลอดภัยขั้นสูง Zero-Trust และการนำไปปรับใช้ภายในองค์กร

Wannakorn Bangpisuttikul

นับตั้งแต่เริ่มมีการระบาดของเชื้อไวรัสโควิด-19 องค์กรทั่วโลกได้นำการทำงานแบบ Work From Home มาปรับใช้ภายในองค์กร ซึ่งการปรับเปลี่ยนแนวทางการทำงานครั้งใหญ่นี้ได้ส่งผลเสียต่อความมั่นคงทางไซเบอร์ขององค์กร โดยจากรายงานของ IBM ระบุว่าการทำงานจากระยะไกล (Remote work) เป็นตัวการที่ทำให้มูลค่าความเสียหายโดยเฉลี่ยจากเหตุรั่วไหลของข้อมูลเพิ่มสูงขึ้นถึง 137,000 ดอลลาร์สหรัฐหรือราว ๆ 4 ล้านบาท (ภายในระยะเวลาเท่าไหร่ หรือเป็นตัวเลขสัดส่วนของอะไรคะ เช่นเฉลี่ยต่อองค์กร) ซึ่งเป็นผลมาจากการที่ระดับการรักษาความปลอดภัยของระบบไอทีและระบบเครือข่ายที่บ้านของพนักงานนั้นต่ำกว่าระดับที่ใช้ภายในสำนักงาน ทำให้พวกเขาเสี่ยงต่อการถูกโจมตีทางไซเบอร์มากยิ่งขึ้นอย่างหลีกเลี่ยงไม่ได้

ภายในสภาพแวดล้อมอันซับซ้อนของระบบไอทีที่เทคโนโลยีมีการเปลี่ยนแปลงอย่างรวดเร็ว โมเดล Zero-Trust ได้ถูกมาปรับใช้กับระบบไอทีและเครือข่าย ซึ่งต้องอธิบายก่อนว่ารูปแบบสถาปัตยกรรมของ Zero Trust นั้นแตกต่างจากระบบความปลอดภัยของเครือข่ายทั่วไป โดยมันกำหนดให้ตัวตน (entity) ใด ๆ ที่ต้องการเข้าถึงภายในระบบเครือข่ายจำเป็นต้องผ่านการรับรองความถูกต้อง (verify) หลายต่อหลายครั้งในระหว่างที่มีการเคลื่อนย้ายภายในเครือข่าย ซึ่งการทำงานของโมเดลนี้เป็นไปตามชื่อ Zero Trust หมายถึง ‘ความน่าเชื่อถือเป็นศูนย์’ หรือ ‘ไร้ความน่าเชื่อถือ’ ทำให้ระบบนี้จะไม่มอบสิทธิในการเข้าถึงเครือข่ายแบบไม่จำกัดหลังผ่านการยืนยันตัวตนเหมือนกับระบบเครือข่ายทั่วไป ในทางกลับกัน มันจะกำหนดให้ “บุคคลภายในที่เชื่อถือได้ (Trusted insiders)” เป็นผู้ยืนยันสิทธิในทุก ๆ ครั้งที่ตัวตนแสดงความต้องการในการเข้าถึงส่วนใดส่วนหนึ่งของเครือข่ายโดยเฉพาะ หรือเมื่อตัวตนมีความต้องการในการใช้ทรัพยากรที่มีความเกี่ยวข้องกับระบบเครือข่าย

จากรายงานเกี่ยวกับการถูกคุกคามทางไซเบอร์ที่เพิ่มสูงขึ้นมากกว่าปกติในช่วงวิกฤตโควิด-19 นี้ เห็นได้ชัดว่าการพึ่งพามาตรการรักษาความปลอดภัยของระบบไอทีแบบดั้งเดิมไม่สามารถตอบโจทย์กับความเสี่ยงรูปแบบใหม่ที่ทวีความรุนแรง

ยิ่งขึ้นในปัจจุบัน ด้วยเหตุนี้จึงขอให้คำแนะนำบางประการเพื่อช่วยให้องค์กรนำแนวทางในการใช้โมเดล Zero-Trust ที่มีความปลอดภัยสูงนี้ไปปรับใช้งาน

  1. ก่อนอื่นคุณต้องระบุว่ามีข้อมูลใดบ้างที่จำเป็นต้องได้รับการปกป้อง การวางนโยบายจัดประเภทข้อมูลถือเป็นการเริ่มต้นที่ดี และการจําแนกประเภทของข้อมูลจะช่วยให้คุณค้นพบว่าข้อมูลของคุณนั้นอยู่ที่ไหนบ้าง มีใครบ้างที่สามารถเข้าถึงข้อมูลเหล่านั้นได้ และความอ่อนไหวของข้อมูลที่มีผลต่องานของคุณ องค์กรที่ดําเนินงานในสภาพแวดล้อมที่มีการควบคุมสูง (เช่น GDPR, HIPPA และ PCI DSS) ควรรู้อยู่แล้วว่าข้อมูลใดที่มีความอ่อนไหวซึ่งเป็นส่วนหนึ่งของการปฏิบัติตามข้อกําหนดของสภาพแวดล้อมดังกล่าว

  2. วาดแผนที่ที่แสดงให้เห็นว่าข้อมูลอ่อนไหวมีการเคลื่อนไหวผ่านเครือข่ายภายในองค์กรของคุณอย่างไร เพื่อที่คุณจะสามารถทำความเข้าใจทิศทางที่ข้อมูลถูกนำไปใช้ได้ ยกตัวอย่างเช่น เพื่อทำความเข้าใจการแลกเปลี่ยนข้อมูลระหว่างแอปพลิเคชันต่าง ๆ เพื่อทำความเข้าใจว่าข้อมูลใดที่ผู้ใช้งานมักแลกเปลี่ยนระหว่างกันและกัน, แอปพลิเคชันใดที่ผู้ใช้งานเลือกใช้เพื่อเข้าถึงหรือประมวลผลข้อมูลอ่อนไหว และเพื่อดูว่าองค์ประกอบของเครือข่ายอื่น ๆ นั้นประมวลผลและใช้งานข้อมูลอ่อนไหวอย่างไร คุณยังสามารถใช้งานเครื่องมือค้นหาข้อมูลอัตโนมัติเพื่อตรวจหาทิศทางการเคลื่อนที่ของข้อมูลระหว่างองค์ประกอบของโครงสร้างพื้นฐานด้านไอทีของคุณได้ ตัวอย่างของเครื่องมือดังกล่าว ได้แก่ iotahoe, egnyte และ onetrust

  3. หลังจากที่คุณทราบแล้วว่าข้อมูลมีการเคลื่อนที่ผ่านเครือข่ายของคุณอย่างไร แอปพลิเคชัน, ทรัพยากรเครือข่าย, และผู้ใช้งานคนไหนที่มีการใช้งานข้อมูลละเอียดอ่อนอยู่บ้าง เบื้องต้นขอให้คุณเริ่มจากการออกแบบโมเดล Zero Trust ซึ่งทำได้โดยการแบ่งส่วนระบบเครือข่าย (Network Segmentation) และการติดตั้งระบบควบคุมการเข้าถึง (Access Control) ทั้งแบบเสมือนและแบบกายภาพ เพื่อแยกส่วนเครือข่ายต่าง ๆ ออกจากกัน ระบบเครือข่ายสามารถถูกแบ่งออกเป็นส่วน ๆ ได้ตามหลักเกณฑ์ที่แตกต่างกัน อาทิ เราสามารถแยกส่วนเครือข่ายที่อนุญาตให้เข้าถึงได้โดยพนักงานจากระยะไกลผ่านอุปกรณ์ส่วนตัว (เช่น สมาร์ทโฟน แท็บเล็ต และแล็ปท็อป) ออกจากส่วนของเครือข่าย (เช่น ศูนย์ข้อมูล) ที่มีข้อมูลละเอียดอ่อนและข้อมูลที่เกี่ยวข้องกับธุรกิจอื่น ๆ ซึ่งในขณะนี้หลายองค์กรกำลังใช้งานระบบเครือข่าย Software-Defined Networking (SDN) เพื่อดำเนินนโยบายการกรองการเข้าถึง (Filtering Policy) ในทุกพื้นที่ ๆ ภายในระบบเครือข่าย

  4. คุณต้องกำหนดมาตรการความปลอดภัยสำหรับควบคุมการเข้าถึง และเพิ่มนโยบายสำหรับกรองสิทธิการเข้าถึงเพื่อดำเนินการปรับใช้ในทางเทคนิคให้ทั่วทุกส่วนของระบบเครือข่าย โดยผู้ใช้งานแต่ละคนควรต้องเข้าถึงทรัพยากรแค่เพียงพอสำหรับการทํางานให้สําเร็จเท่านั้น หรือที่เรียกว่าหลักการ “least privilege”

  5. หลังจากดำเนินการปรับใช้ทุกอย่างและทำการแบ่งส่วนเครือข่ายของคุณเรียบร้อยแล้ว คุณจำเป็นต้องคอยเฝ้าสังเกตการรับส่งข้อมูลภายในเครือข่ายบนระบบไอทีของคุณเพื่อให้สามารถแก้ไขปัญหาที่อาจเกิดขึ้นได้อย่างทันท่วงที และสำหรับสิทธิ์การเข้าถึงของผู้ใช้งานทั้งหมดนั้น จำเป็นต้องได้รับการปรับปรุงอย่างต่อเนื่องเพื่อสะท้อนถึงบทบาทและหน้าที่ของพนักงานในหน่วยงานต่าง ๆ ภายในองค์กร โดยเมื่อใดที่มีพนักงานออกจากงาน บัญชีของเขาจะต้องถูกระงับในทันที นอกจากนี้ การเปลี่ยนแปลงข้อกําหนดของกรอบการปฏิบัติตามกฎระเบียบที่มีการบังคับใช้ภายในองค์กรจะต้องมีผลเมื่อมีการอัปเดตนโยบายการกรองสิทธิการเข้าถึงและมาตรการควบคุมการเข้าถึงของคุณ

หากไม่มีการนำเทคโนโลยี Zero-Trust มาใช้งาน เมื่อมีส่วนใดส่วนหนึ่งของระบบเครือข่ายถูกคุกคาม โดยอาจจะเป็นการติดไวรัสเรียกค่าไถ่ (Ransomware) หรือถูกโจมตีทางไซเบอร์ในรูปแบบอื่น ๆ ความเสียหายจะสามารถแพร่กระจายไปยังส่วนอื่น ๆ ของระบบได้อย่างรวดเร็ว ซึ่งนำไปสู่การถูกละเมิดความมั่นคงปลอดภัยของระบบเครือข่ายและระบบไอทีที่เชื่อมต่อกันทั้งหมด

เทคโนโลยี Zero-trust นี้ไม่เพียงถูกใช้แค่ในการเพิ่มพูนความปลอดภัยของข้อมูลเท่านั้น แต่มันยังถูกพิสูจน์แล้วว่าสามารถช่วยในการพัฒนาการจัดการข้อมูลขององค์กร และยังช่วยเพิ่มการมองเห็น (visibility) กระแสของข้อมูล (data flow) ที่ไหลผ่านระหว่างอุปกรณ์ปลายทางและเครือข่ายที่เชื่อมต่อกันได้อีกด้วย

โดยสรุปแล้ว Zero Trust เป็นเทคโนโลยีที่จะเข้ามาช่วยให้องค์กรสามารถจัดการกับปัญหาการรั่วไหลของข้อมูลด้วยการยกเลิกแนวคิดที่ให้สถาปัตยกรรมของระบบเครือข่าย (Network Architecture) เป็นผู้มอบความน่าเชื่อถือแก่ทุกตัวตนที่เชื่อมต่อเข้ามาในระบบโดยอัตโนมัติ แล้วแทนที่ด้วยการไม่มอบความเชื่อถือใด ๆ ทั้งสิ้น และตัวตนเหล่านั้นจำเป็นจะต้องผ่านกระบวนการตรวจสอบ (verify) ทุกครั้งก่อนที่จะกระทำการใด ๆ กับระบบไอที ซึ่งการใช้งานโมเดล Zero-Trust นี้จะทำให้องค์กรสามารถเพิ่มพูนประสิทธิภาพของระบบไอทีในการต่อสู้กับภัยคุกคามทางไซเบอร์ขั้นสูง อาทิ มัลแวร์เรียกค่าไถ่ (Ransomware) หรือการถูกเข้าบุกยึดอุปกรณ์ที่สามารถเจาะผ่านระบบควบคุมการเข้าถึง (Access control) หลายชั้นได้อีกด้วย

อ่านเพิ่มเติม
Zero Trust Security Best Practiceshttps://cybersecurity-magazine.com/zero-trust-security-best-practices/

ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์
ติดต่อเรา Cloudsec Asia
ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิก
Tel.+66 2962 3425
www.cloudsecasia.com
#cybersecurity
#cybersecurityisamust
#cloudsecasia