ในยุคปัจจุบันโลกเทคโนโลยีนั้นได้ถูกคิดค้นและพัฒนาไปอย่างรวดเร็วเพื่อตอบสนองความสะดวกสบายของผู้ใช้งาน ในขณะที่เทคโนโลยีด้านการรักษาความปลอดภัยได้ถูกพัฒนาอย่างต่อเนื่องเพื่อเตรียมพร้อมรับมือกับภัยคุกคามทางไซเบอร์ที่เข้ามาในรูปแบบที่หลากหลาย อาทิเช่น การพัฒนา hardware หรือ software เป็นต้น ซึ่ง ณ ปัจจุบันการโจมตีทางไซเบอร์นั้นมีการปรับเปลี่ยนรูปแบบวิธีการอยู่ตลอดเวลา ส่งผลให้การใช้เทคโนโลยีเพียงอย่างเดียวอาจไม่สามารถป้องกันองค์กรได้อย่างมีประสิทธิภาพมากนัก
วันนี้ OPEN-TEC ศูนย์รวมองค์ความรู้ด้านเทคโนโลยี (Tech Knowledge Sharing Platform) ภายใต้การดูแลของ TCC TECHNOLOGY GROUP ได้รวบรวมความรู้จากประสบการณ์ในการเป็นผู้จัดการดูแลระบบและที่ปรึกษาให้กับองค์กรชั้นนำ เพื่อยกระดับองค์กรในด้านความปลอดภัยทางไซเบอร์ ที่จำเป็นต้องมีการบริหารและจัดการความปลอดภัยอย่างมีประสิทธิภาพสูงสุด ผ่านการนำ 3 แกนหลักมาใช้ คือ people, process และ technology โดยมีรายละเอียดดังนี้
People (คน)
ตามสถิติด้านการโจมตีทางไซเบอร์ พบว่าหนึ่งในสาเหตุหลักนั้นเกิดจากความผิดพลาดหรือตัดสินใจของ “คน” ที่ขาดความรู้ในการเตรียมพร้อมสำหรับรับมือภัยคุกคามทางไซเบอร์ ซึ่งองค์กรสามารถป้องกันและลดช่องโหว่ของข้อผิด พลาดนี้ได้ด้วยวิธี ดังนี้
1. Awareness Training
การฝึกอบรมสำหรับบุคลากรเพื่อเตรียมพร้อมความรู้ความเข้าใจด้านความมั่นคงปลอดภัยในการใช้ทรัพยากรสารสนเทศภายในองค์กรที่มีส่วนช่วยให้สามารถลดโอกาสที่จะถูกโจมตีทางไซเบอร์ในรูปแบบต่างๆ ได้มากขึ้น
2. Specialist skill, experience and qualifications
ทักษะ ความรู้ และประสบการณ์ ล้วนเป็นสิ่งสำคัญของการทำงานด้านความมั่นคงปลอดภัย ซึ่งประกอบไปด้วย
2.1 Hard Skills
ความรู้และทักษะที่เกี่ยวข้องกับการทำงานโดยตรง อาทิเช่น การใช้โปรแกรม การวิเคราะห์ความเสี่ยง ความเข้าใจด้าน IoT และ Cloud security เป็นต้น
2.2 Soft Skills
ทักษะด้านต่างๆ ที่จำเป็นในการทำงานร่วมกับผู้อื่น อาทิเช่น บุคลิกภาพภายนอก ทัศนคติ การแก้ไขปัญหาเฉพาะหน้า การสื่อสาร และความฉลาดทางอารมณ์ เป็นต้น
3. Authorization control
การกําหนดสิทธิการเข้าใช้งานระบบคอมพิวเตอร์และข้อมูลสารสนเทศให้เป็นไปตามความจําเป็น และสอดคล้องกับความต้องการพื้นฐานตามที่ได้รับอนุญาต
Process (กระบวนการ)
กระบวนการนับว่าเป็นแกนหลักสำคัญในการควบคุมการทำงานของคนและการใช้เทคโนโลยีให้มีประสิทธิภาพสูงสุด โดยองค์กรสามารถนำกระบวนการเหล่านี้ไปใช้เพื่อพัฒนาองค์กรและป้องกันการโจมตีทางไซเบอร์ได้ ดังนี้
1. Management system and policies
การจัดการความปลอดภัยทางไซเบอร์และกำหนดนโยบายนั้นเป็นหลักการสำคัญของเทคโนโลยีสารสนเทศที่ทุกองค์กรควรเข้าใจเพื่อใช้ในการปกป้องและรับมือกับภัยคุกคามทางไซเบอร์
2. IT governance, risk, and compliance
การขับเคลื่อนองค์กรด้วยเทคโนโลยีที่เหมาะสมจำเป็นต้องคำนึงถึงความสำคัญของความเสี่ยงด้านระบบเทคโนโลยีสารสนเทศและความเสี่ยงด้านภัยคุกคามทางไซเบอร์ อาทิเช่น การกำกับดูแลด้านเทคโนโลยีสารสนเทศ (IT Governance), การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management), การปฏิบัติตามกฎเกณฑ์ด้านเทคโนโลยีสารสนเทศ (IT Compliance)
3. Frameworks by leading security standard
หลักการและแนวทางการปฏิบัติล้วนเป็นสิ่งจำเป็นที่ทุกองค์กรต้องตระหนักถึงเพื่อช่วยป้องกันความเสียหายที่เกิดจากการโจมตีทางไซเบอร์ อาทิเช่น
3.1 มาตรฐาน ISO 27001
มาตรฐานสากลสำหรับระบบการจัดการความปลอดภัยของข้อมูล ผ่านการประเมินความเสี่ยง การออกแบบด้านการรักษาความปลอดภัยและการนำไปปฏิบัติ โดยระบุแนวทางการดำเนินงานและการบริหารจัดการไว้อย่างชัดเจน
3.2 NIST Cybersecurity Framework
หลักการและแนวทางปฏิบัติของการบริหารจัดการความเสี่ยงเพื่อยกระดับความมั่นคงปลอดภัยของทุกองค์กร พร้อมทั้งช่วยให้องค์กรสามารถวางแผนป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วและเป็นระบบ
4. Third party management
องค์กรสามารถนำกรอบการบริหารจัดการบุคคลภายนอกมาปรับใช้ในการกำหนดนโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศเพื่อควบคุมและป้องกันความเสี่ยงจากการก่ออาชญากรรมทางไซเบอร์
5. Internal/External audit
Internal audit เป็นการตรวจสอบระบบความปลอดภัยขององค์กรโดยมีวัตถุประสงค์เพื่อตรวจสอบว่าระบบความปลอดภัยทำงานอย่างถูกต้องและมีความปลอดภัยในการใช้งานจริง ในขณะที่ External audit เป็นการตรวจสอบระบบความปลอดภัยขององค์กรโดยมีบริษัทหรือบุคคลภายนอกเป็นผู้ดำเนินการตรวจสอบ เพื่อให้แน่ชัดว่าระบบความปลอดภัยขององค์กรตรงตามมาตรฐานและกฎหมายที่เกี่ยวข้อง และมีการประยุกต์ใช้เทคโนโลยีที่เหมาะสมเพื่อป้องกันการโจมตีจากภัยคุกคามต่างๆ
Technology (เทคโนโลยี)
ปฏิเสธไม่ได้เลยว่าทุกวันนี้การโจมตีทางโลกไซเบอร์ได้ทวีความรุนแรงขึ้นอย่างต่อเนื่อง องค์กรจึงจำเป็นต้องเลือกใช้เทคโนโลยีที่เหมาะสมในการรองรับและรับมือกับภัยคุกคามได้อย่างทันถ่วงที ยกตัวอย่างเช่น
1. Endpoint security, detection and response
กระบวนการตรวจสอบและตรวจจับเหตุการณ์ที่น่าสงสัยที่เกิดขึ้นแบบทันที เพื่อให้องค์กรสามารถเท่าทันต่อภัยคุกคามโดยละเอียดและแจ้งเตือนทันทีในกรณีที่มีการโจมตี ผ่านขั้นตอนของการรวบรวมและจัดเก็บข้อมูล การวิเคราะห์ และ การตอบสนองอย่างรวดเร็ว
2. Network, infrastructure, and platform security
การรักษาความปลอดภัยของระบบอินเทอร์เน็ต โครงสร้างพื้นฐาน และแพลตฟอร์มที่จะช่วยป้องกันการถูกคุกคามจากภายนอกที่เข้ามาใช้งานโดยไม่ได้รับอนุญาต
3. Web Application Firewall
เครื่องมือสำหรับป้องกันการโจมตีในรูปแบบต่างๆภายในองค์กร ซึ่งจะทำการกรองและตรวจสอบที่มาของ HTTP ที่ถูกส่งเข้ามายังเว็บไซต์เพื่อวิเคราะห์ถึงความผิดปกติ หากมีความผิดพลาดเกิดขึ้นก็จะทำการป้องกันเพื่อลดโอกาสการโจมตีทางไซเบอร์
4. Software update/patch
ซอฟต์แวร์หรือโปรแกรมคอมพิวเตอร์ที่ถูกเขียนออกมาเพื่อซ่อมแซมหรือแก้ไขจุดบกพร่องของซอฟต์แวร์ก่อนหน้า
5. Assessment
การใช้เทคโนโลยีในการประเมินความเสี่ยงและช่องโหว่ของการโจมตีทางไซเบอร์ อาทิเช่น
5.1 VA scan
การประเมินช่องโหว่และประเมินความเสี่ยงด้านความปลอดภัยภายในองค์กรในเชิงลึกเพื่อระบุถึงปัญหา พร้อมทั้งให้แนวทางแก้ไขเพื่อช่วยลดความเสี่ยงที่เกิดขึ้น
5.2 Pentest
การประเมินความเสี่ยงด้วยการทดสอบเจาะระบบเพื่อค้นหาจุดอ่อนในการเข้าถึงระบบต่างๆ
6. Identity and access management
การบริหารจัดการตัวตนและการเข้าถึง เพื่อใช้ควบคุมสิ่งที่ผู้ใช้สามารถและไม่สามารถเข้าถึงได้ อาทิเช่น อีเมล ฐานข้อมูล ข้อมูล และแอปพลิเคชัน เป็นต้น โดยมีการแทรกแซงน้อยที่สุด เป้าหมายก็คือการจัดการการเข้าถึง เพื่อให้บุคคลที่เหมาะสมสามารถทำงานได้ และปฏิเสธบุคคลที่ไม่เหมาะสม เช่น แฮกเกอร์ ไม่ให้มีสิทธิ์เข้าถึง
7. Cloud security
Cloud Security ที่จะช่วยเพิ่มความปลอดภัยในการใช้งานระบบคลาวด์ให้ดียิ่งขึ้น โดยมี gateway ที่ปลอดภัย สามารถจัดการกับภัยคุกคามต่าง ๆ บนคลาวด์ได้อย่างดี
8. Data security and protection
การรักษาความปลอดภัยของข้อมูลและลดความสุ่มเสี่ยงด้านความปลอดภัยของข้อมูล อาทิเช่น การป้องกันการรั่วไหลของการเผยแพร่ข้อมูลโดยไม่ได้รับอนุญาต เป็นต้น
บทความโดย : ธวัช เพลินประภาพร – Senior Security Solution Manager บริษัท ที.ซี.ซี. เทคโนโลยี จำกัด
เรียบเรียงโดย: พรรณี สรรกซิกร – Community Builder Officer บริษัท ที.ซี.ซี. เทคโนโลยี จำกัด