IBM Security หน่วยงานด้านความปลอดภัยของ IBM เปิดแพลตฟอร์มแลกเปลี่ยนสารสนเทศด้านความปลอดภัย X-Force Exchange มาตั้งแต่ปีที่แล้ว
สัปดาห์ก่อน มีผู้เชี่ยวชาญด้านความปลอดภัยของ IBM Security คือคุณ Diana Kelley ตำแหน่ง Executive Security Advisor มาเยือนเมืองไทย และผมมีโอกาสได้พูดคุยเกี่ยวกับสภาพการณ์ของวงการความปลอดภัยโลก ในสายตาของ IBM มีประเด็นที่น่าสนใจหลายอย่างทั้งเรื่อง ransomware, blockchain และความสำคัญของ security auditing ครับ
คุณ Kelley ทำงานด้านความปลอดภัยมา 25 ปี และบอกว่าสถานการณ์ความปลอดภัยเปลี่ยนไปจากในอดีตมาก เพราะบรรดา "คนร้าย" ร่วมมือกันมากขึ้น แชร์เทคนิคและข้อมูลช่องโหว่ระหว่างกัน หันมาทำงานเป็นทีม แบ่งกันทำงานตามช่องโหว่ที่ถนัด ดังนั้นในแง่การป้องกัน คนทำงานด้านความปลอดภัยก็ต้องร่วมมือกันมากขึ้น (good guys need to collaborate) ต้องมาแชร์ข้อมูลระหว่างกันว่าฝ่ายอาชญากรกำลังทำอะไรกันอยู่
โครงการ X-Force Exchange ถือเป็นความพยายามของ IBM ในการแชร์ข้อมูลเหล่านี้ โดย IBM เปิดข้อมูลทั้งหมดให้คนทั่วไปเข้าถึงได้ ข้อมูลอัพเดตแบบเรียลไทม์ บอกได้ว่าหมายเลข IP ไหนมีความเสี่ยงที่จะเป็นที่ปล่อยมัลแวร์ บอกได้ว่าคนปล่อยสแปมมาจากที่ไหน มีคลังข้อมูลมัลแวร์สายพันธุ์ต่างๆ ที่เปิดให้คนภายนอกบริษัท เข้ามาแชร์ข้อมูลได้ด้วย และงานนี้ฟรีหมดไม่มีค่าใช้จ่าย
คุณ Diana Kelley
สถิติที่น่าสนใจของ X-Force พบว่า
คุณ Kelley เคยทำงานด้าน security audit มาก่อน บอกว่าเรื่องการตรวจสอบ (auditing) และการประเมินความเสี่ยง (assessment) สำคัญมาก แต่องค์กรยังไม่ค่อยทำกัน เพราะมองว่าแค่เสริมมาตรการความปลอดภัย จ่ายเงินซื้อโซลูชันแพงๆ ก็น่าจะปลอดภัยแล้ว ซึ่งไม่เป็นความจริงแต่อย่างใด การทำ auditing/assessment จะช่วยให้องค์กรทราบว่าระดับความปลอดภัยของตัวเองอยู่ที่ไหน ทำมาแล้วถึงไหน และควรทำอะไรต่อ
คุณ Kelley บอกว่าทีมของเธอทำ assessment ปีละครั้ง ซึ่งถือว่าโอเค แต่ยังไม่ดีพอ ควรทำให้ได้บ่อยกว่านี้
ปัญหาเรื่องข้อมูลรั่วไหลเป็นสิ่งสำคัญมาก เพราะอาชญากรเน้นไปที่การนำข้อมูลออกมาขายหรือทำประโยชน์ต่อ แทนการแฮ็กระบบหรือทำให้ระบบล่ม ซึ่งไม่มีมูลค่าใดๆ เชิงธุรกิจ
หลักการป้องกันข้อมูลรั่วไหลโดยพื้นฐาน ต้องทำ 3 เรื่อง
ตอนนี้มี 2 แนวคิดที่ตรงข้ามกัน คือ มองว่าเครือข่ายควรจะปลอดภัย (safe network) กับมองว่าเครือข่ายมีอันตรายเสมอ (unsafe network) ซึ่งการใช้งานก็แตกต่างกันตามแต่ละแอพพลิเคชัน
กรณีที่เรามั่นใจว่าอุปกรณ์ endpoint ของเรามั่นคงพอ จะเปิดไปใช้งานในเครือข่ายเปิด (open network) เลยก็ได้ ซึ่งแนวโน้มของบริการฝั่งคอนซูเมอร์ในปัจจุบัน ไปในทิศทางนี้ แต่ในบางกรณี ก็ยังจำเป็นต้องมีเครือข่าย safe/secured network อย่าง VPN ไว้ใช้งานอยู่ดี
ถึงแม้ผู้ใช้อุปกรณ์พกพาในปัจจุบัน จะไม่ค่อยสนใจติดตั้งแอนตี้ไวรัสแบบเดียวกับพีซี แต่การใช้งานอุปกรณ์เหล่านี้ในองค์กร ก็ต้องมีระบบ enterprise mobility อยู่ดี ดังนั้นแปลว่าต่อให้ไม่มีแอนตี้ไวรัสติดตั้งอยู่ในเครื่อง ก็ต้องมีระบบ policy control ควบคุมการใช้งาน
คุณ Kelley บอกว่าปัญหานี้เติบโตเร็วมาก (ใช้คำว่า exploding) และเป็นสถานการณ์ที่เกิดขึ้นทั่วโลก สิ่งที่ทำให้ปัญหานี้ยิ่งแย่คือองค์กรที่โดน ransomware มัก "อับอาย" เลยไม่ค่อยรายงานว่าเกิดปัญหา ยอมจ่ายเงินเพื่อให้เรื่องจบๆ ไป ผลคืออาชญากรยิ่งมองว่าวิธีนี้เวิร์ค ก็เลยยิ่งทำกันเข้าไปอีก
แนวโน้มของ ransomware ในปีนี้จะขยายจากการเรียกค่าไถ่ข้อมูลภายในเครื่อง ไปเป็นการเรียกค่าไถ่ข้อมูลบน cloud storage ด้วย
คุณ Kelley เสนอหลักการพื้นฐานการป้องกัน ransomware ว่าต้องแบ็คอัพ และเก็บข้อมูลแบ็คอัพให้ออฟไลน์ไว้ด้วย จากนั้นพยายามป้องกัน ransomware โดยสอนพื้นฐานความปลอดภัยพื้นฐานให้คนในองค์กร จะได้รู้ว่าทำอย่างไรจึงจะไม่ติด ransomware
ตอนนี้แวดวงการวิจัยกำลังทำเรื่อง blockchain กันเยอะมาก ซึ่ง IBM ก็ทำด้วย แต่เป็นอีกหน่วยงานหนึ่งคือ IBM Financial Group
ล่าสุด IBM เพิ่งเปิดโค้ดของซอฟต์แวร์ด้าน blockchain เป็นโอเพนซอร์ส ภายใต้โครงการ Hyperledger ที่ร่วมมือกับหลายหน่วยงาน และเปิดบริการ Blockchain as a Service บนคลาวด์ ด้วยอีกทางหนึ่ง