การเปลี่ยน "Time-based Security” - “Responsive Security" ***

Mobile Devices  หรือ Cloud Services ต่างๆ โดยสภาพและลักษณะของภัยคุกคามมีการเปลี่ยนแปลงไปจากเดิมอย่างมาก 

ตลอดจนมีรูปแบบในการโจมตีเป้าหมายที่หลากหลาย ไม่ว่าจะเป็น APT (Advanced Persistent Threat) Attack, Watering Hole Attack หรือ Spear Phishing Attack ล่าสุดปัญหา Ransomware และ Malware Pre-load on Hardware  กำลังมาแรงมากจนทำให้ผู้เชี่ยวชาญและผู้ปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ตามแทบไม่ทัน 

ดังนั้นแนวความคิดและแนวทางในการป้องกันระบบและทรัพย์สินขององค์กรให้ได้ประสิทธิผล (effectiveness)  จึงจำเป็นอย่างยิ่งยวดที่จะต้องปรับความคิดและปรับกลยุทธ์ ให้สอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไปดังกล่าว (Threat Landscape changed) และ ควรเพิ่มปัจจัยที่สำคัญอีกปัจจัยลงไปในสมการแห่งการเปลี่ยนแปลงนี้ด้วย ได้แก่ ปัจจัยของเวลา (Time Factor) เพราะ “เวลา” มีผลต่อการป้องกันทรัพย์สินและระบบสารสนเทศขององค์กร  จากรูปที่ 1 

รูปที่ 1 : Privacy in the heart of S-M-C-I era with four factors to be concerned 1. Information Security 2. Cybersecurity 3. Cyber Resilience and 4. Organizational Resilience & Business Resilience  source: Modified from Gartner Nexus of the disruptive forces

พบว่าหัวใจสำคัญก็คือ องค์กรต้องป้องกันเรื่องของ “Privacy Risk” ซึ่งจะนำไปสู่ “Reputation Risk” ในที่สุดเราควรเข้าใจทั้งความสภาวะแวดล้อมใหม่ๆที่เปลี่ยนจาก stage ที่ 1  “Information Security” เข้าสู่ stage ที่ 2 “Cybersecurity”  และเข้าสู่ stage ที่ 3 ได้แก่ “Cyber Resilience”  รูปที่ 2

รูปที่ 2 : How to build cyber resilience to your organization : 3 Stages from ISF , Information Security , Cybersecurity and Cyber Resilience : source : Information Security Forum (ISF)

ในปัจจุบันเราคงต้องยอมรับว่ากลไกในการป้องกันการโจมตีจากแฮกเกอร์และผู้ไม่หวังดีโดยใช้มัลแวร์เป็นเครื่องมือนั้นไม่ได้มีประสิทธิผลเท่าที่ควร ดูได้จากการแก้ปัญหาด้านความมั่นคงปลอดภัยสารสนเทศขององค์กรนั้นมีประวัติอันยาวนานมาตั้งแต่ ปี ค.ศ. 1988 ที่ Robert T. Morris สร้าง Internet worm ตัวแรกของโลกขึ้นโดยบังเอิญ จากวันนั้นถึงวันนี้ ค.ศ. 2015 ผ่านมาแล้ว 27 ปี ยังไม่สามารถแก้ปัญหามัลแวร์ได้ 100%  ยกตัวอย่าง ทุกวันนี้ยังมีการโจมตีแบบ APT (Advanced Persistent Threat) และ Ransomware อยู่โดยตลอดเวลา ดูได้จากข่าวรายวันที่มีบริษัทใหญ่ๆถูกเจาะระบบอยู่เป็นประจำ ยกตัวอย่าง เช่น Home Depot, Target Supermarket และ Sony Pictures

รูปที่ 3 :  Today Cybersecurity Traditional Approach doesn’t work

รูปที่ 4 : P-D-R and D-R-P security model with Time-Based Security Concept

สาเหตุของปัญหาก็คือ แนวความคิดในการแก้ปัญหาความมั่นคงปลอดภัยไซเบอร์ยังอยู่ในสมการ P-D-R Model โดย P คือ Protect, D คือ Detect และ R คือ React ( ป้องกัน  ตรวจจับ และ ตอบสนอง) เรามีความเชื่อว่าการป้องกัน (P) คือการแก้ปัญหาที่ดีที่สุด (Old Concept: Protective Control is the best control ) แต่จากสภาวะโลกไซเบอร์ในปัจจุบัน.”Winn Schwartau ผู้เขียนหนังสือ “TIME-BASED SECURITY” ได้ค้นพบว่า P-D-R  Model จะนำมาใช้ประโยชน์ได้ก็ต่อเมื่อ   Pt  > (Dt + Rt) โดย  t = time (เวลา) สมการนี้มีความหมายว่า ถ้าเวลาในการป้องกันมากกว่าเวลาในการตรวจจับและเวลาในการตอบสนอง  องค์กรจะสามารถคงสภาวะที่ยังมีความมั่นคงปลอดภัยไว้ได้ แต่ถ้าเวลาในการป้องกันน้อยกว่าเวลาในการตรวจจับและเวลาในการตอบสนอง ระบบขององค์กรก็จะไม่ปลอดภัยอีกต่อไป  ซึ่งในโลกไซเบอร์ปัจจุบัน สมการมีลักษณะดังนี้

Pt << ( Dt + Rt )

 หมายถึงเวลาในการตรวจจับและตอบสนองมีมากกว่าเวลาในการป้องกันเป็นอย่างมาก (ดูรูปที่ 4)

ดังนั้นเราจึงควรหันมาเปลี่ยน Mindset จากการทุ่มเททรัพยากรไปที่ “P” มาเป็นการให้ความสำคัญที่ “D” และ “R” มากขึ้น ถ้าเราต้องการให้ระบบขององค์กรมั่นคงปลอดภัย เราควร “ ลดเวลาในการตรวจจับลง” (decrease Dt) และ “ลดเวลาในการตอบสนองลง” (decrease Rt) ด้วยเช่นกัน

กล่าวโดยสรุปจะเห็นได้ว่ามี 4 ปัจจัยที่เราต้องนำมาพิจารณาไตร่ตรองอย่างรอบคอบในการวางแผนกลยุทธด้านความมั่นคงปลอดภัย (Security Strategy) ได้แก่

1. Protection (การป้องกัน)
2. Detection (การตรวจจับ)
3. Reaction (การตอบสนอง)
4. Time (เวลา)

กุญแจของการแก้ปัญหาด้านความมั่นคงปลอดภัยสารสนเทศนั้น ควรมีมุมมอง 3 ด้าน (PPT Concept) ได้แก่ People, Process and Technology  การปรับกระบวนการโดยการปฏิบัติตามมาตรฐาน ISO / IEC 27001 : 2013 ก็ดี  หรือ การนำเทศโนโลยีสมัยใหม่มาใช้ในองค์กร เช่น APT Detection using Sandbox , การใช้ SIEM, การใช้ Next-Gen Firewall ก็ดี เป็นการแก้ปัญหาที่ Process และ Technology  แต่รากเหง้าของปัญหาที่แท้จริงแล้วปัจจัยสำคัญอยู่ที่ “มนุษย์” หรือ “People” ในการเตรียมพร้อมรับมือกับภัยคุกคามต่างๆที่อาจเกิดขึ้นเมื่อใดก็ได้

การเตรียมความพร้อมของผู้ใช้ระบบสารสนเทศทั่วไป (User Readiness and Responsiveness by performing Cyber Drill) และการให้ความรู้ด้านภัยสารสนเทศ(User Information Security Awareness Training by performing Information Security Awareness Training)  จึงเป็นเรื่องจำเป็นที่องค์กรต้องทำเป็นประจำทุกปี 

รูปที่ 5 : “Cyber Drill Operation”

ยกตัวอย่าง เรื่องการซ้อมหนีไฟ (Fire Drill) องค์กรยังมีการซ้อมอยู่เป็นประจำทุกปี แล้วทำไมองค์กรไม่ทำการซ้อมรับมือภัยทางไซเบอร์ที่เรียกว่า “ Cyber Drill” (ดูรูปที่ 5)  เพื่อให้ผู้ใช้คอมพิวเตอร์ในองค์กรตลอดจนผู้บริหารทั้งระดับกลางและระดับสูงได้ตระหนักรู้และสร้างประสบการณ์ในการรับมือกับภัยคุกคามอย่างได้ผลในทางปฏิบัติ มีความพร้อมต่อการรับมือ “ Incident” ต่างๆที่จะเกิดขึ้น ทาง ACIS CYBERLAB ได้ทำการทดลองปฏิบัติการ ”Cyber Drill” กับพนักงาน ACIS Professional Center ทั้ง 68 คน ผลการทดลองเป็นไปตามรูปที่ 6 

รูปที่ 6 : “Cyber Drill Result at ACIS office”

เราพบว่า พนักงาน 27 คนจาก 68 คน เปิด email ปลอมที่ส่งมาด้วยวิธีการ Targeted Attack และ Social Engineering และ 13 คน จาก 27 คน ได้บอกรหัสผ่านแก่แฮกเกอร์โดยไม่รู้ตัว โดยแฮกเกอร์สามารนำชื่อผู้ใช้และรหัสผ่านไปใช้ได้อย่างสบาย  หลังจากการทดลองครั้งแรก เราได้ทดลองอีก 2 ครั้ง อัตราการติดบ่วงการหลอกด้วยวิธีการ “Social Engineering”  ดังกล่าวนั้นลดลงอย่างชัดเจน เพราะพนักงานเริ่มรู้ตัวแล้วว่าเป็นการส่ง email หลอก (Phishing email) โดยมัลแวร์หรือแฮกเกอร์

จะเห็นได้ว่าการฝึกซ้อมให้พนักงานรับมือกับการโจมตีทางอินเตอร์เน็ตเป็นเรื่องที่มีความสำคัญอย่างยิ่งยวด เพื่อพนักงานจะได้มี Responsive and Readiness มีความพร้อมและความตระหนัก ปฏิบัติการ  “Cyber Drill” ถือเป็นการเตรียมความพร้อมกับภัยคุกคามทางไซเบอร์ได้อย่างดีที่สุดในเวลานี้ เพราะจุดอ่อนขององค์กรมักจะอยู่ที่คนเป็นหลัก    

                           

รูปที่ 7 : “Business Impact” & “ Time”

นอกจากนี้กลไกกระบวนการและเทคนิคในการตรวจจับความผิดปกติในระบบ แบบ Real-Time ก็มีความจำเป็นเช่นกัน ตลอดจนระบบป้องกันที่สามารถ “ปิด” ช่องทางของแฮกเกอร์ ได้ในเวลาที่กำหนดก็เป็นอีกเรื่องที่สำคัญ ซึ่งเวลาจะแปรผันตรงกับความเสียหาย ในรูปแบบ Exponential (ดูรูปที่ 7) 

เพราะฉะนั้นเราจึงควรเปลี่ยน Mindset ที่เป็น “Fortress Mentality” มาเป็น “Responsive and Readiness Mentality” และเปลี่ยนคำถามจาก “Are we Secure?” เป็น “ Are we Ready?” หมายถึง การเตรียมพร้อมกับเหตุการณ์ไม่พึงประสงค์อยู่ตลอดเวลาก็จะช่วยทำให้การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศชองเรามีประสิทธิผลมากขึ้นโดยลำดับ สามารถทำให้องค์กรมี “Cyber Resilience. และ “Business Resilience” ในที่สุด

*** ชื่อเต็ม: “Paradigm Shift in Cybersecurity” From “Time-based Security” To “Responsive Security” 

การเปลี่ยนแปลงครั้งยิ่งใหญ่ของแนวความคิดเรื่องความมั่นคงปลอดภัยไซเบอร์ในยุคแห่ง S-M-C-I (Social, Mobile, Cloud and Information/Big Data)