ความพร้อมรับมือภัยไซเบอร์ยุค S-M-C-I

โดย...ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศและระบบเทคโนโลยีสารสนเทศ

การมาถึงของยุคแห่ง S-M-C-I ทำให้หลายองค์กรต้องเตรียมรับมือกับภัยคุกคามใหม่ๆ จากไซเบอร์ที่มาผ่านช่องทาง Social Network Mobile Devices หรือ Cloud Services ซึ่งภัยคุกคามมีการเปลี่ยนแปลงไปจากเดิมอย่างมาก ตลอดจนมีรูปแบบการโจมตีเป้าหมายที่หลากหลาย ไม่ว่าจะเป็น APT (Advanced Persistent Threat) Attack, Watering Hole Attack หรือ Spear Phishing Attack

ล่าสุดปัญหา Ransomware และ Malware Pre-load on Hardware กำลังมาแรงมาก จนทำให้ผู้เชี่ยวชาญและผู้ปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ตามแทบไม่ทัน ดังนั้นแนวความคิดและแนวทางป้องกันระบบและทรัพย์สินขององค์กรให้ได้ประสิทธิผล (Effectiveness) จึงจำเป็นจะต้องปรับความคิดและปรับกลยุทธ์ให้สอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไป (Threat Landscape Changed) และควรเพิ่มปัจจัยที่สำคัญลงไปในสมการการเปลี่ยนแปลงนี้ด้วย

ได้แก่ ปัจจัยเวลาเพราะ “เวลา” มีผลต่อการป้องกันทรัพย์สินและระบบสารสนเทศขององค์กร หัวใจสำคัญก็คือ องค์กรต้องป้องกัน เรื่อง Privacy Risk ซึ่งจะนำไปสู่ Reputation Risk ในที่สุดเราควรเข้าใจทั้งความสภาวะแวดล้อมใหม่ๆ ที่เปลี่ยนจาก Stage ที่ 1 Information Security เข้าสู่ Stage ที่ 2 Cyber Security และเข้าสู่ Stage ที่ 3 ได้แก่ Cyber Resilience

ปัจจุบันเราต้องยอมรับว่ากลไกการป้องกันการโจมตีจากแฮ็กเกอร์และผู้ไม่หวังดีโดยใช้มัลแวร์เป็นเครื่องมือนั้นไม่ได้มีประสิทธิผลเท่าที่ควร ดูได้จากการแก้ปัญหาด้านความมั่นคงปลอดภัยสารสนเทศขององค์กรนั้นมีประวัติอันยาวนานมาตั้งแต่ ปี 1988 ที่ Robert T. Morris สร้าง Internet worm ตัวแรกของโลกขึ้นโดยบังเอิญ

จากวันนั้นถึงปี 2015 ผ่านมา 27 ปี ยังไม่สามารถแก้ปัญหามัลแวร์ได้ 100% ยกตัวอย่าง ทุกวันนี้ยังมีการโจมตีแบบ APT (Advanced Persistent Threat) และ Ransomware อยู่โดยตลอดเวลา ดูได้จากข่าวรายวันที่มีบริษัทใหญ่ๆ ถูกเจาะระบบอยู่เป็นประจำ ยกตัวอย่าง เช่น Home Depot, Target Supermarket และ Sony Pictures

สาเหตุของปัญหาก็คือแนวความคิดในการแก้ปัญหาความมั่นคงปลอดภัยไซเบอร์ยังอยู่ในสมการ P-D-R Model โดย P คือ Protect, D คือ Detect และ R คือ React (ป้องกัน ตรวจจับ และตอบสนอง) เรามีความเชื่อว่าการป้องกัน (P) คือการแก้ปัญหาที่ดีที่สุด (Old Concept : Protective Control is the best control) แต่จากสภาวะโลกไซเบอร์ในปัจจุบัน ”Winn Schwartau ผู้เขียนหนังสือ TIME-BASED SECURITY ได้ค้นพบว่า P-D-R Model จะนำมาใช้ประโยชน์ได้ก็ต่อเมื่อ Pt > (Dt + Rt) โดย t = time (เวลา)

สมการนี้มีความหมายว่า ถ้าเวลาการป้องกันมากกว่าเวลาในการตรวจจับและเวลาในการตอบสนอง องค์กรจะสามารถคงสภาวะที่ยังมีความมั่นคงปลอดภัยไว้ได้ แต่ถ้าเวลาในการป้องกันน้อยกว่าเวลาการตรวจจับและเวลาในการตอบสนอง ระบบขององค์กรก็จะไม่ปลอดภัยอีกต่อไป ซึ่งในโลกไซเบอร์ปัจจุบัน สมการมีลักษณะดังนี้

Pt << ( Dt + Rt )หมายถึงเวลาในการตรวจจับและตอบสนองมีมากกว่าเวลาในการป้องกันเป็นอย่างมาก ดังนั้นเราจึงควรหันมาเปลี่ยน Mindset จากการทุ่มเททรัพยากรไปที่ “P” มาเป็นการให้ความสำคัญที่ “D” และ “R” มากขึ้น ถ้าเราต้องการให้ระบบขององค์กรมั่นคงปลอดภัย เราควร “ลดเวลาในการตรวจจับลง” (Decrease Dt) และ “ลดเวลาในการตอบสนองลง” (Decrease Rt) ด้วยเช่นกัน

กล่าวโดยสรุปจะเห็นได้ว่ามี 4 ปัจจัยที่ต้องนำมาพิจารณาไตร่ตรองอย่างรอบคอบในการวางแผนกลยุทธด้านความมั่นคงปลอดภัย (Security Strategy) ได้แก่ 1.Protection (การป้องกัน) 2.Detection (การตรวจจับ) 3.Reaction (การตอบสนอง) 4.Time (เวลา)

กุญแจการแก้ปัญหาด้านความมั่นคงปลอดภัยสารสนเทศควรมีมุมมอง 3 ด้าน (PPT Concept) ได้แก่ People, Process and Technology การปรับกระบวนการโดยการปฏิบัติตามมาตรฐาน ISO/IEC 27001 : 2013 ก็ดี หรือการนำเทคโนโลยีสมัยใหม่มาใช้ในองค์กร เช่น APT Detection Using Sandbox, การใช้ SIEM, การใช้ Next-Gen Firewall ก็ดี เป็นการแก้ปัญหาที่ Process และ Technology แต่รากเหง้าของปัญหาที่แท้จริง ปัจจัยสำคัญอยู่ที่มนุษย์เตรียมรับมือที่อาจเกิดขึ้นเมื่อใดก็ได้

การเตรียมความพร้อมของผู้ใช้ระบบสารสนเทศทั่วไปและการให้ความรู้ด้านภัยสารสนเทศ จึงเป็นเรื่องจำเป็นที่องค์กรต้องทำเป็นประจำทุกปี ยกตัวอย่าง การซ้อมหนีไฟ (Fire Drill) แม้ซ้อมอยู่ประจำทุกปี แต่ทำไมองค์กรไม่ซ้อมรับมือภัยทางไซเบอร์ที่เรียกว่า Cyber Drill เพื่อให้ผู้ใช้คอมพิวเตอร์ในองค์กรตลอดจนผู้บริหารระดับกลางและระดับสูงได้ตระหนักรู้และสร้างประสบการณ์ในการรับมืออย่างได้ผลในทางปฏิบัติ มีความพร้อมต่อการรับมือ “Incident” ที่จะเกิดขึ้น

ทาง ACIS Cyber Lab ได้ทำการทดลองปฏิบัติการ Cyber Drill กับพนักงาน ACIS Professional Center ทั้ง 68 คน พบว่าพนักงาน 27 คน จาก 68 คน เปิด E-mail ปลอมที่ส่งมาด้วยวิธีการ Targeted Attack และ Social Engineering และ 13 คน จาก 27 คน ได้บอกรหัสผ่านแก่แฮ็กเกอร์โดยไม่รู้ตัว แฮ็กเกอร์
สามานย์นำชื่อผู้ใช้และรหัสผ่านไปใช้ได้อย่างสบาย

หลังทดลองครั้งแรก เราได้ทดลองอีก 2 ครั้ง อัตราการติดบ่วงการหลอกด้วยวิธีการ Social Engineering ดังกล่าวนั้นลดลงอย่างชัดเจน เพราะพนักงานเริ่มรู้ตัวแล้วว่าเป็นการส่ง E-mail หลอก (Phishing E-mail) โดยมัลแวร์หรือแฮ็กเกอร์

จะเห็นได้ว่าการฝึกซ้อมให้พนักงานรับมือกับการโจมตีทางอินเทอร์เน็ตเป็นเรื่องที่มีความสำคัญอย่างยิ่งเพื่อพนักงานจะได้มี Responsive and Readiness มีความพร้อมและความตระหนัก ปฏิบัติการ Cyber Drill ถือเป็นการเตรียมความพร้อมกับภัยคุกคามทางไซเบอร์ได้อย่างดีที่สุดในเวลานี้ เพราะจุดอ่อนขององค์กรมักจะอยู่ที่คนเป็นหลัก

นอกจากนี้กลไกกระบวนการและเทคนิคในการตรวจจับความผิดปกติในระบบแบบ Real-Time ก็จำเป็นเช่นกัน ตลอดจนระบบป้องกันที่สามารถ “ปิด” ช่องทางของแฮ็กเกอร์ได้ในเวลาที่กำหนดก็สำคัญ ซึ่งเวลาจะแปรผันตรงกับความเสียหาย ในรูปแบบ Exponential

ฉะนั้นเราจึงควรเปลี่ยน Mindset ที่เป็น Fortress Mentality มาเป็น Responsive and Readiness Mentality และเปลี่ยนคำถามจาก Are we Secure? เป็น Are we Ready? หมายถึง การเตรียมพร้อมกับเหตุการณ์ไม่พึงประสงค์อยู่ตลอดเวลา ก็จะช่วยทำให้การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศมีประสิทธิผลมากขึ้น สามารถทำให้องค์กรมี Cyber Resilience และ Business Resilience ในที่สุด