ความมั่นคงทางไซเบอร์ที่จำเป็นต้องทราบ (need to know) ตอนที่ 2

ที่มาภาพ: https://www.oilandgasiq.com/digital-transformation/articles/5-big-cyber-security-attacks-in-oil-and-gas

แม้การเผยแพร่คำแนะนำเกี่ยวกับความมั่นคงทางไซเบอร์รวมทั้งการใช้จ่ายเพื่อความปลอดภัยทางไซเบอร์ทั่วโลกเพิ่มขึ้นอย่างมาก (ประมาณปีละ 150,000 ล้านดอลลาร์สหรัฐสำหรับผลิตภัณฑ์และบริการทางไซเบอร์) แต่หน่วยงานภาครัฐและบริษัทขนาดใหญ่ยังคงตกเป็นเหยื่อการบุกรุกทางไซเบอร์อย่างต่อเนื่อง ขณะที่ภัยคุกคามจากผู้บุกรุกมีเงินทุนสนับสนุนเป็นอย่างดีและ “พื้นที่โจมตี” กำลังเปลี่ยนไปอย่างมากเช่นกัน[1]

ในช่วงทศวรรษที่ผ่านมาจำนวนการใช้งานแอพพลเคชั่นขององค์กรทั่วไปเพิ่มขึ้นอย่างรวดเร็ว ล่าสุดการให้บริการซอฟต์แวร์พร้อมใช้ (Software as a Service - SaaS)[2] เพิ่มขึ้นจาก 16 แอพเมื่อห้าปีที่แล้วเป็น 130 แอพ บริษัทขนาดใหญ่ที่จัดการ SaaS และแอปพลิเคชันนับพันรายการต้องแสดงสถานะความพร้อมด้านความปลอดภัยในโลกไซเบอร์ จัดการช่องโหว่และการควบคุมการพิสูจน์ตัวตน

อุปกรณ์อินเตอร์เน็ตในทุกสิ่ง (Internet of Things - IoT)[3] ก็เพิ่มขึ้นอย่างมาก คาดการณ์ว่าภายในปี 2025อุปกรณ์ดังกล่าวเพิ่มขึ้น 41,600 ล้านชิ้น และเครือข่าย 5G จะช่วยให้การประมวลผลด้วยความเร็วมีประสิทธิภาพมากขึ้น เครื่งบินไร้คนขับ (drone) และหุ่นยนต์ (robotic) ไม่ได้เป็นเรื่องเฉพาะทางการทหารอีกต่อไป แต่ถูกนำมาใช้ในหลายอุตสาหกรรมและบริการ การทำฟาร์มเพาะปลูกไปจนถึงศูนย์กระจายสินค้า บริการจัดส่งและอื่น ๆ

ซอฟต์แวร์และเฟิร์มแวร์ของอุปกรณ์เหล่านี้จัดทำขึ้นด้วยรหัสฐานที่ซับซ้อนมากขึ้น ซอฟต์แวร์ต้นกำเนิดของกระสวยอวกาศมีรหัสฐาน 400,000 บรรทัด ส่วนรถยนต์สมัยใหม่มีรหัสจำนวน 100 ล้านบรรทัด

ในทางปฏิบัติเป็นไปไม่ได้ที่จะเสริมความปลอดภัยจนไร้ช่องโหว่และผลที่ตามมาก็ทวีความรุนแรง MKS Instruments ผู้จัดหาเทคโนโลยีแก่อุตสาหกรรมเซมิคอนดักเตอร์รายงานว่า มูลค่าความเสียหายจากการโจมตีแบบเรียกค่าไถ่สูงถึง 200 ล้านดอลลาร์สหรัฐ การแสวงประโยชน์จากช่องโหว่ในระบบควบคุมอุตสาหกรรมและอุปกรณ์ IoT กระทบต่อชีวิตและความปลอดภัยเห็นได้จากความพยายามล่าสุดในการทำให้ระบบน้ำเป็นพิษ

เพื่อจัดการความเสี่ยงทางไซเบอร์จำเป็นต้องเปลี่ยนวิธีวัดประสิทธิภาพระบบรวมทั้งมาตรการต่าง ๆ เช่น 1) การประเมินสถานะและความพร้อมขององค์กร (maturity assessments) ซึ่งใช้อัตราส่วนกำหนดระดับวุฒิภาวะเพื่อวัดความสามารถในการจัดการความเสี่ยงทางไซเบอร์ 2) การรับรองการปฏิบัติตาม (compliance attestations) ซึ่งบริษัทหรือผู้ตรวจสอบบุคคลที่สามรับรองหรือตรวจสอบว่ามีการควบคุมความปลอดภัย

3) รายงานความเปราะบางของระบบ (vulnerability aging reports) ซึ่งวัดการมีอยู่ของช่องโหว่สำคัญของระบบไอทีและระยะเวลาที่ช่องโหว่เหล่านั้นไม่ได้รับการแก้ไขและ 4) สถิติเวลาเฉลี่ยในการตรวจจับ (mean-time-to-detect statistics) ใช้เวลานานเท่าใดในการตรวจจับการคุกคามสภาพแวดล้อมขององค์กร มาตรการเหล่านี้มีคุณค่าและจำเป็น แต่ยังไม่เพียงพอ โดยต้องป้องกันความเสี่ยงทางไซเบอร์ด้วยวิธีการต่อไปนี้

ประการแรก จำเป็นต้องเพิ่มระดับการป้องกันความเสี่ยงโดยรวมขององค์กรที่ “หน้าบ้าน” หรือส่วนติดต่อผู้ใช้ (user interface) หลักการสำคัญคือ “เราปกป้องอะไร” กว่าสองทศวรรษที่เราให้รางวัลกระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) ในการรักษาความปลอดภัยพื้นที่เมืองใหญ่ต่าง ๆ ในโลกไซเบอร์ควรใช้แนวทางแบบนี้รวมทั้งมาตรการตรวจวัดภัยคุกคาม ความซับซ้อนและผลกระทบทางธุรกิจที่อาจเกิดขึ้น

เราต้องการแผงควบคุม (dashboard) ที่วัดแนวโน้มปัจจัยต่าง ๆ เช่น จำนวนแอปพลิเคชัน ขนาดและลักษณะของฐานข้อมูลและที่เก็บรหัส พื้นที่ดำเนินการ ความเร็วในการควบรวมกิจการและการพึ่งพาผู้จัดหาสินค้าหลักจะมีความสำคัญเป็นพิเศษ พร้อมกับพัฒนาการของ Big Data, AI และ IoT เนื่องจากประโยชน์และความเสี่ยงของนวัตกรรมดังกล่าวจะลดลงแบบไม่เท่ากันทั้งองค์กร

ประการที่สอง จำเป็นต้องมีความโปร่งใส (transparency) เที่ยงตรง (accuracy) และแม่นยำ (precision) มากขึ้นเกี่ยวกับการต่อต้านภัยคุกคาม ไม่ว่าเราจะทำเช่นนั้นอย่างสม่ำเสมอตลอดทั้งพื้นที่การโจมตีหรือไม่ ความรู้ที่เชื่อถือได้และโปร่งใสที่สุดเกี่ยวกับพฤติกรรมภัยคุกคามในปัจจุบันคือ กรอบความรู้ทั่วไปเกี่ยวกับเทคนิค ยุทธวิธีโจมตีแบบปรปักษ์ (ATT&CK) ของ MITER[4] ซึ่งเป็นแหล่งรวบรวมข้อมูลสำหรับการป้องกันภัยทางไซเบอร์และปกป้ององค์กรด้วยการตรวจจับและรับมือกับการบุกรุกของนักเจาะระบบ

ขณะที่สำนักงานความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) เผยแพร่เอกสารCybersecurity Performance Goals เพื่อช่วยกำหนดแนวทางปฏิบัติพื้นฐานด้านความปลอดภัยทางไซเบอร์สำหรับโครงสร้างพื้นฐานที่สำคัญ เป้าหมายแต่ละข้อตรงกับเทคนิคการโจมตี/ภัยคุกคามที่รวบรวมโดย MITER ทั้งนี้บริษัทต่าง ๆ สามารถทดสอบประสิทธิภาพการรักษาความปลอดภัยซึ่ง CISA, FBI และสำนักงานความมั่นคง แห่งชาติ (NSA) ร่วมกันกำหนดขึ้น

ทุกปี CISA จะจัดทำบทสรุปเกี่ยวกับความพยายามทดสอบการเจาะระบบ รายงานข้อบ่งชี้ของบัญชีที่ทำให้องค์กรจำนวนมากประสบความล้มเหลว ซึ่งมีแนวโน้มนี้เพิ่มขึ้นเมื่อเราย้ายไปยังระบบคลาวด์ เนื่องจากตัวตน (identity) คือ ขอบเขตนอกสุด การปกป้องตัวตนและการเข้าถึงจึงมีความสำคัญเร่งด่วนสูงสุด ระบบอัตโนมัติและการวัดประสิทธิภาพการรักษาความปลอดภัยอย่างต่อเนื่องจะมีความสำคัญมากขึ้น

ในทำนองเดียวกัน ความก้าวหน้าของ AI และความสามารถในการเลียนแบบผู้ใช้ที่มีสิทธิ์ถูกต้อง (legitimate users) ทำให้เทคนิคการวิเคราะห์ชื่อเสียง (reputational analysis) สำคัญมากขึ้นในการระบุตัวผู้แอบอ้าง หน่วยงานศุลกากรและป้องกันชายแดนสหรัฐ (Customs & Border Protection) ประเมินความเสี่ยงของสินค้าขาเข้าโดยพิจารณาว่าผู้ส่งเป็นที่รู้จักและเชื่อถือได้หรือไม่ หลักการนี้อาจนำมาปรับใช้ในโลกไซเบอร์ เทคนิคการวิเคราะห์ชื่อเสียงใช้ตัดสินใจว่าจะบล็อกบางเว็บไซต์ อีเมลขาเข้าหรือตรวจสอบสิทธิ์ที่น่าสงสัยหรือไม่

การป้องกันภัยคุกคามตามข้อมูลที่เคยมีมาก่อนหน้าโดยอัตโนมัติ (Threat Informed Defense - TID)[5] คือ การวัดว่า “ทรัพย์สินที่มีมูลค่าสูง” ได้รับการปกป้องอย่างไร คำจำกัดความของ “ทรัพย์สินที่มีมูลค่าสูง” อาจเป็นเรื่องของแต่ละบุคคล (subjective) และออกนอกเรื่อง ระบบบางอย่างมักตกเป็นเป้าหมายซ้ำ ๆ เนื่องจากระบบเหล่านี้มีความสำคัญต่อความเชื่อถือ หลังเกิดเหตุการณ์เจาะระบบ SolarWinds[6] ผู้ผลิตซอฟต์แวร์เฝ้าติดตามเครือข่าย สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) สหรัฐฯ ได้กำหนดรายชื่อซอฟต์แวร์ที่สำคัญและมาตรการตรวจวัดว่าเครือข่ายได้รับการปกป้องดีเพียงใด

ประการที่สาม เราจำเป็นต้องวางแผนและวัดประสิทธิภาพการป้องกันภัยจากเหตุการณ์ที่มีความเป็นไปได้น้อย แต่ผลกระทบตามมารุนแรง (low probability high consequence events) แนวโน้มการวัดผลกระทบทางการเงินของความเสี่ยงทางไซเบอร์ในเชิงปริมาณผ่านแบบจำลองมูลค่าความเสี่ยงทางการเงิน (Value at Risk) โดยวัดปริมาณมูลค่าของกิจการและระดับความเชื่อมั่นที่อาจสูญเสียไปในช่วงเวลาที่กำหนด

ประโยชน์ของแบบจำลองดังกล่าวขึ้นอยู่กับข้อมูลนำเข้า (data inputs) ข้อมูลที่ขับเคลื่อนแบบจำลองนี้อาจมีมุมมองความเสี่ยงมากเกินไป โดยเป็นความเสี่ยงด้านความเชื่อถือและสภาพคล่องในช่วงต้นทศวรรษ 2000 ซึ่งเห็นได้จากวิกฤติการเงินในปี 2007 - 2008

หลังเหตุการณ์ 9/11 กระทรวงความมั่นคงแห่งบ้านเกิด (DHS) สหรัฐฯได้วางแผนเตรียมพร้อมรองรับสถานการณ์หลัก ขณะนี้หน่วยงานกำกับดูแลด้านการธนาคารของอังกฤษได้วางแผนและทดสอบฉากทัศน์ “รุนแรงแต่เป็นไปได้ (severe but plausible)” จุดเริ่มต้นที่ดีคือ กรณี Maersk[7] ถูกโจมตีเรียกค่าไถ่ช่วงปลายมิถุนายน -ต้นกรกฎาคม 2017 บริษัทเกือบจะสูญเสียระบบไอทีอย่างถาวรให้กับมัลแวร์ซึ่งมีที่มาจากรัสเซีย

สภาพภูมิศาสตร์การเมืองในปัจจุบัน บ่งชี้ถึงความสำคัญของการปรับโครงสร้างและการวางแผนคืนสภาพเพื่อให้บริษัทอยู่รอดต่อไปหากระบบหลักถูกบุกรุก คำถามคือ บริษัทได้สำรองข้อมูลแบบออฟไลน์และทดสอบการกู้คืนแล้วหรือยัง เราสามารถสร้างวิธีการสื่อสารกับพนักงานที่สำคัญได้หรือไม่ เรารู้วิธีที่จะทำให้การชำระเงินที่สำคัญแต่มีความเสี่ยงต่ำดำเนินต่อไปได้หรือไม่

การเปลี่ยนความเสี่ยงให้เป็นโอกาส หากสามารถรวมกลไกวัดประสิทธิภาพการรักษาความปลอดภัยทาง  ไซเบอร์ด้วยความโปร่งใส ถูกต้องและแม่นยำ เราอาจทำงานร่วมกับประเทศพันธมิตรเพื่อการประมวลผลและปฏิบัติ ซึ่งสะท้อนให้เห็นข้อกำหนดพื้นฐานในการจัดหาเทคโนโลยีจากต่างประเทศและเพิ่มโอกาสในการสร้างความแตกต่าง

โลกนี้ไม่มีอะไรที่ปราศจากความเสี่ยง มาตรการป้องกันและการสร้างแรงจูงใจที่ดีขึ้น ไม่เพียงช่วยจัดการความเสี่ยงด้านเทคโนโลยีเหล่านี้ แต่ยังเป็นโอกาสสำหรับการพลิกฟื้นเศรษฐกิจ

---

[1] Cyber Risk Is Growing. Here’s How Companies Can Keep Up by Michael Chertoff Harvard Business Review  April 13, 2023 Available at: https://hbr.org/2023/04/cyber-risk-is-growing-heres-how-companies-can-keep-up?utm_medium=email&utm_source=newsletter_daily&utm_campaign=dailyalert_notactsubs&deliveryName=DM268614

[2] โมเดลซอฟต์แวร์บนคลาวด์ที่ส่งมอบแอปพลิเคชันไปยังผู้ใช้ปลายทาง ผ่านเบราว์เซอร์อินเทอร์เน็ต ผู้จำหน่าย SaaS จะโฮสต์บริการและแอปพลิเคชันสำหรับลูกค้า เพื่อให้เข้าถึงตามความต้องการ บริการ SaaS ทำให้ผูใช้ไม่จำเป็นต้องดูแลรักษาบริการหรือจัดการโครงสร้างพื้นฐาน

[3] หมายถึง การที่อุปกรณ์ต่าง ๆ สิ่งต่าง ๆ ถูกเชื่อมโยงสู่โลกอินเตอร์เน็ต โดยมนุษย์สามารถสั่งการ ควบคุมการใช้งานอุปกรณ์ต่าง ๆ ผ่านทางเครือข่าย เช่น การเปิด-ปิด อุปกรณ์เครื่องใช้ไฟฟ้า (การสั่งการเปิดไฟฟ้าภายในบ้านด้วยการเชื่อมต่ออุปกรณ์ควบคุม เช่น มือถือ ผ่านทางอินเตอร์เน็ต) รถยนต์ โทรศัพท์มือถือ เครื่องมือสื่อสาร เครื่องมือทางการเกษตร อาคาร บ้านเรือน เครื่องใช้ในชีวิตประจำวันต่างๆ ผ่านเครือข่ายอินเตอร์เน็ต เป็นต้น

[4] องค์กรไม่แสวงหาผลกำไรก่อตั้งเมื่อปี ค.ศ. 1958 มีจุดประสงค์ “แก้ไขปัญหาเพื่อโลกที่ปลอดภัยกว่าเดิม” MITRE มีความรู้เกี่ยวกับ MITRE ATT&CK ที่มาจากคำว่า “Adversarial Tactics, Tecniques, and Common Knowledge” เป็นแพลตฟอร์มจัดการและจัดหมวดหมู่ของกลยุทธ์ เทคนิคและกระบวนการ (TTPs) ที่แฮกเกอร์ใช้ในโลกดิจิตอล ช่วยให้องค์กรสามารถเพิ่มความปลอดภัยได้ เข้าถึงได้ที่ https://blog.eset.co.th/2020/05/26/mitre-attck-คืออะไร-แล้วมีประโยชน/

[5] เป็นกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ที่จัดลำดับความสำคัญของภัยคุกคามที่เคยมีมาก่อนหน้า เพื่อการตัดสินใจด้านความปลอดภัยขององค์กร TID เกี่ยวข้องกับการระบุภัยคุกคามที่อาจเกิดขึ้น การวิเคราะห์กลยุทธ์และเทคนิคที่ผู้โจมตีใช้และควบคุมความปลอดภัย ช่วยให้องค์กรสามารถปกป้องทรัพย์สินของตนได้ดีขึ้น ดู https://www.linkedin.com/pulse/threat-informed-defense-reza-adineh

[6] ผู้ผลิตซอฟต์แวร์เฝ้าติดตาม/บริหารเครือข่ายถูกแฮกเกอร์ฝังมัลแวร์ในแพลตฟอร์ม Orion ส่งผลให้ลูกค้าของ SolarWinds ซึ่งมีหน่วยงานรัฐบาลสหรัฐหลายแห่ง เช่น กระทรวงการคลัง, กระทรวงพาณิชย์ โดนแฮ็กไปด้วย กลายเป็นกรณีการแฮ็กหน่วยงานรัฐบาลครั้งใหญ่ของสหรัฐ คาดว่าตัวอัปเดตของซอฟต์แวร์เวอร์ชันระหว่าง 2019.4 ถึง 2020.2.1 ถูกแทรกแซงโดยคนร้าย ปัจจุบันบริษัทได้ออกการแก้ไขในเวอร์ชัน 2020.2.1 HF 2 แล้ว

[7] ธุรกิจขนส่งที่ใหญ่ที่สุดในโลกเปิดเผยถึงการกอบกู้บริษัทคืนหลังเกิดเหตุ NotPetya Ransomware ที่ทำให้ต้องติดตั้งระบบ IT ใหม่เกือบทั้งหมดภายในระยะเวลาเพียง 10 วัน แต่ธุรกิจก็ยังคงดำเนินต่อไปได้กว่าร้อยละ 80 แม้ไม่มีระบบ IT

About Kim
Kim is a retired civil servant, specializing in intelligence analysis. He loves productivity hacks, minimalist workflows and CSI series.