[Blognone Quest] RSA: การต่อสู้กับภัยคุกคามด้วยศูนย์ควบคุมความปลอดภัยขั้นสูง

สรุปเนื้อหาสาระจากงาน Blognone Quest for Modern Security ในช่วงแรกเป็นการบรรยายโดยคุณอภิเชษฐ์ ชัยเพ็ชร ที่ปรึกษาเทคโนโลยีอาวุโสจาก RSA

ความเปลี่ยนแปลงของการจัดการความปลอดภัยของระบบคอมพิวเตอร์จากสมัยก่อน มีความเปลี่ยนแปลงไปแล้วหลายอย่าง ได้แก่

1. โครงสร้างพื้นฐานไอทีที่เปลี่ยนไป จากยุคก่อนที่เมนเฟรมมีกระบวนการติดต่อกับผู้ใช้ชัดเจนและทางเข้าออกของข้อมูล แต่ในทุกวันนี้พอเข้าสู่ยุคคลาวด์หรือโมบาย การเชื่อมต่อมีมากขึ้นเป็นอย่างมาก
2. ความเปลี่ยนแปลงต่อมาคือกระบวนการทำธุรกิจเอง กระบวนการทำธุรกิจในช่วงหลังมีความเชื่อมโยงกันมากขึ้น มีกรณีที่แฮกเกอร์เจาะเข้าระบบของบริษัทอื่นๆ ที่เชื่อมต่อเครือข่ายกับบริษัทเป้าหมายเพื่อสร้างช่องทางโจมตี ความปลอดภัยจึงไม่ใช่เรื่องของคนภายในหรือคนภายนอกอีกต่อไป
3. ความเปลี่ยนแปลงของแรงจูงใจในการโจมตี แฮกเกอร์เริ่มสามารถหาประโยชน์เป็นตัวเงินได้จากการโจมตีออนไลน์ได้เป็นมูลค่าสูง ทำให้คุ้มกับการลงทุนจำนวนมากเพื่อโจมตีเป้าหมาย

โดยความเปลี่ยนแปลงของแรงจูงในการโจมตีทำให้แฮกเกอร์ในสมัยให่แบ่งออกเป็น 4 กลุ่มได้แก่

1. กลุ่มอาชญากร โจมตีเพื่อต้องการผลประโยชน์โดยตรง มุ่งเป้าไปเพื่อขโมยเงิน ความลับทางการค้า ในบางกรณีมีผลประโยชน์สูงมากจนกลายเป็นองค์กรอาชญากรรม
2. คนใน ที่อาจมีความโกรธแค้น หรือต้องการผลประโยชน์จากการใช้ข้อมูลภายใน
3. Hacktivist แฮกเพื่อเรียกร้อง หรือนำเสนอข้อความของตัวเอง
4. State-sponsored การโจมตีที่ได้รับการสนับสนุนจากหน่วยงานของรัฐ

กรณีสำคัญที่เกิดขึ้น เช่นกรณีของเกาหลีใต้ ถูกโจมตีด้วยการลบ master boot record จำนวนมหาศาล นับร้อยนับพันเครื่อง รวมเครื่องที่ติดมัลแวร์ถึง 48,000 เครื่อง แฮกเกอร์วางแผนเป็นอย่างดี ด้วยการโจมตีเครื่องอัพเดตเซิร์ฟเวอร์ แล้วสร้างมัลแวร์กระจายออกไปเพื่อให้ลบ master boot record

กรณีที่สองอโดบีที่ถูกโจมตีจนกระทั่งรหัสผ่านผู้ใช้นับล้านรายหลุดออกไป ทำให้บริการจำนวนมากต้องแจ้งผู้ใช้เร่งเปลี่ยนรหัสผ่านตามไป เพราะผู้ใช้จำนวนมากใช้รหัสผ่านซ้ำกันในหลายๆ บริการ

กรณีที่สาม ช่วงปลายปีที่แล้วมีการโจมตีห้าง Target ขโมยหมายเลขบัตรเครดิตไปเป็นจำนวนมาก ที่น่าตกใจคือมีการแจ้งเตือนมาก่อนแล้วแต่ทีมดูแลความปลอดภัยเจอการแจ้งเตือนแล้วเลือกที่จะปล่อยผ่าน ความเสียหายของกรณีนี้อาจจะถึงหลักพันล้านดอลลาร์

งานวิจัยของ Verizon เคยแสดงว่าแม้จะมีกระบวนการตรวจสอบแล้วแต่หน่วยงานกว่าจะเข้ามาตรวจสอบพบและตอบสนองต่อปัญหาได้อาจจะต้องใช้เวลานับสัปดาห์ มีเวลาให้แฮกเกอร์เตรียมการเป็นเวลานาน

จากกรณีเหล่านี้มีจุดร่วมอยู่คล้ายกันคือมักเริ่มจากอีเมลฟิชชิ่ง (phishing) กรณีหนึ่งคือแฮกเกอร์ส่งอีเมลหาเจ้าหน้าที่ฝ่ายบุคคลส่งมาจากเมลเซิร์ฟเวอร์ของบริษัทรับจัดหางาน มีเนื้อหาต่อเนื่องจากที่เคยคุยกันก่อนหน้า พร้อมกับแนบเอาไฟล์ที่มีโค้ดโจมตีส่งไปด้วย ฝ่ายบุคคลท่านนั้นเมื่อเปิดไฟล์ดูพบว่าเปิดไม่ได้ก็ไม่ได้สนใจนัก กรณีแบบนี้ในความเป็นจริงองค์กรใดๆ ก็แทบป้องกันไม่ได้

กระบวนการโจมตีเช่นนี้เป็นการโจมตีอย่างเจาะจง มีความพยายามซ่อนตัวเป็นอย่างดี และการโจมตีมีการโต้ตอบปรับเปลี่ยนกลยุทธ์

การโจมตีเจาะจงเป้าหมายเช่นนี้ไม่ว่าจะป้องกันอย่างไรก็เป็นไปได้ยากที่จะป้องกันได้ทุกทาง คำถามจึงกลับมาที่มาตอบสนองต่อปัญหาหากถูกโจมตีไปแล้ว กรณีเช่นนี้ย้อนกลับมาตั้งแต่การจัดการงบประมาณ ที่หน่วยงานส่วนมากจัดงบประมาณความปลอดภัยมักจะจัดให้ระบบ "ป้องกัน" มากถึง 70-80% โดยวางงบประมาณให้กับมอนิเตอร์ปัญหาที่เกิดขึ้นและการตอบสนองต่อปัญหาไม่มากนัก

มุมมองของ RSA ระบุว่างบประมาณด้านความปลอดภัยควรปรับให้สมดุลกัน โดยวางงบประมาณให้เท่ากันทั้งระบบป้องกัน, ระบบมอนิเตอร์, และการตอบสนองต่อปัญหา

ในส่วนของ RSA เองมีโซลูชั่นที่ปรับให้ระบบความปลอดภัยเป็นการดูแลความปลอดภัยที่เรียกว่า intelligence-driven security ตัวอย่างหนึ่งที่เราพบคือการล็อกอินที่บริการหนึ่งๆ อาจจะบังคับผู้ใช้ในรหัสผ่านใหม่ทุกครั้งที่ใช้งาน แต่ในหากมีการวิเคราะห์เพิ่มเติม หากผู้ใช้ใช้เครื่องเดิมทุกครั้งก็อาจจะปล่อยผ่านไม่ต้องใส่รหัสผ่านทุกครั้ง ขณะที่หากมีความเปลี่ยนแปลงอื่น เช่นล็อกอินจากเบราว์เซอร์ใหม่ก็อาจจะสอบถามข้อมูลเพิ่มเติม กระบวนการนี้ของ RSA วิเคราะห์จากแพ็กเก็ตเน็ตเวิร์ค วิเคราะห์ข้อมูลเข้าออกจำนวนมากด้วย Hadoop

อีกระบบหนึ่งคือ Security Operation มีการจัดลำดับการจัดการรายงานปัญหาเป็นลำดับขั้น เปิดให้กระบวนการจัดการปัญหาความปลอดภัยสามารถรับมือโดยเจ้าหน้าที่ขั้นต้น หากเกิดปัญหาที่แปลกออกไปก็สามารถรายงานขึ้นไปยังเจ้าหน้าที่ระดับสูงขึ้นไป

สำหรับใครที่สนใจเนื้อหาของทาง RSA และ EMC ทาง EMC ก็ฝากมาบอกว่าสามารถเข้าไปติดตามโพสต่างๆ ได้ใน Facebook:EMC Thailand ครับ