โดย Rodman Ramezanian - Global Cloud Threat Lead, Skyhigh Security
22 ตุลาคม 2567 3 อ่านนาที
ในฐานะผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่ Skyhigh Security และในฐานะนักเทคโนโลยีที่ทุ่มเทให้กับการปกป้องทรัพย์สินที่สำคัญของประเทศ ฉันได้ใช้เวลาหลายปีในการเฝ้าดูผู้ก่อภัยคุกคามตรวจสอบและใช้ประโยชน์จากอุปกรณ์เอดจ์ที่เชื่อมต่อกับอินเทอร์เน็ต ซึ่งเป็นเกตเวย์ที่สำคัญที่เชื่อมต่อเครือข่ายองค์กรของเรากับโลกดิจิทัลที่กว้างขึ้น นั่นเป็นเหตุผลที่ฉันขอต้อนรับ คำแนะนำด้านความปลอดภัยเอดจ์ล่าสุดของศูนย์ความปลอดภัยทางไซเบอร์ของออสเตรเลีย (ACSC) เกี่ยวกับการรักษาความปลอดภัยส่วนประกอบโครงสร้างพื้นฐานที่สำคัญเหล่านี้
จังหวะเวลาไม่สามารถดีไปกว่านี้ได้อีกแล้ว เรากำลังเห็นการโจมตีที่ซับซ้อนเพิ่มขึ้นอย่างไม่เคยปรากฏมาก่อน โดยมุ่งเป้าไปที่อุปกรณ์เอดจ์ ตั้งแต่ไฟร์วอลล์รุ่นถัดไปไปจนถึงตัวปรับสมดุลการโหลดและตัวรวม VPN สิ่งเหล่านี้ไม่ใช่แค่ส่วนประกอบของเครือข่ายอีกต่อไป แต่เป็นแนวป้องกันด่านแรกในภูมิทัศน์ไซเบอร์ที่อันตรายมากขึ้นเรื่อยๆ เมื่อถูกบุกรุก พวกมันสามารถให้ที่มั่นพิเศษแก่ผู้โจมตีในเครือข่ายของเรา ซึ่งอาจเปิดเผยข้อมูลที่ละเอียดอ่อนและระบบที่สำคัญได้
ปัญหาพื้นฐานเกี่ยวกับเทคโนโลยี VPN เช่น ความจริงที่ว่าเทคโนโลยีนี้สร้างจุดเชื่อมต่อสาธารณะ ซึ่งเป็นเป้าหมายที่ผู้โจมตีใช้ค้นหาจุดอ่อนอยู่เสมอ การตรวจสอบสิทธิ์ (หรือการใช้ประโยชน์) สำเร็จโดยใช้ VPN จะทำให้ทั้งผู้ใช้และผู้โจมตีสามารถเข้าถึงเครือข่ายของคุณได้ VPN ยังคงเป็นเป้าหมายหลักด้วยผลตอบแทนที่มีศักยภาพสูง การโจมตีในอดีต ปัจจุบัน และอนาคตพิสูจน์ให้เห็นถึงสิ่งนี้ – ข้อมูลที่มีกำไรมหาศาลทำให้ VPN กลายเป็นเป้าหมายที่ผู้ก่ออาชญากรรมทางไซเบอร์เล็งเป้าไว้ตลอดเวลา
และตามคำพูดที่ว่า “หากคุณติดต่อได้ คุณก็ถูกเจาะได้” เราได้เรียนรู้อะไรจากภัยคุกคามเมื่อเร็วๆ นี้บ้าง?
- ภัยคุกคามจากภายในและการจัดการทางสังคม : Lapsus$ แสดงให้เราเห็นถึงผลกระทบมหาศาลจากการใช้ประโยชน์จากเทคโนโลยีการเข้าถึงระยะไกลแบบ edge โดยการแสวงประโยชน์จากบุคคลภายในที่เชื่อถือได้และการจัดการทางสังคม
- แรนซัมแวร์ : แคมเปญเช่น *Qilin* *Akira* และ *Fog* ยังคงมุ่งเป้าไปที่องค์กรต่างๆ ทั่วโลกที่พึ่งพา VPN และข้อมูลรับรองแบบคงที่ในเทคโนโลยีที่ใช้ขอบเครือข่าย
- ช่องโหว่ : ข้อบกพร่องร้ายแรงและช่องโหว่แบบ zero-day ในอุปกรณ์ edge จาก Fortinet , Check Point , Ivanti และอื่นๆ ยังคงทำให้องค์กรต่างๆ ตกอยู่ในความเสี่ยง
- แคมเปญแบบกำหนดเป้าหมาย : ผู้โจมตีจะกำหนดเป้าหมายเทคโนโลยี VPN แบบ edge-based จาก Cisco , Check Point และอื่นๆ อย่างต่อเนื่องเพื่อเจาะเครือข่ายโดยใช้ข้อมูลประจำตัวที่ขโมยมา
สิ่งที่ทำให้แนวทางล่าสุดของ ACSC มีคุณค่าอย่างยิ่งคือแนวทางแบบองค์รวมในการรักษาความปลอดภัยอุปกรณ์เอดจ์ แทนที่จะมุ่งเน้นเฉพาะการกำหนดค่าทางเทคนิคเท่านั้น แนวทางดังกล่าวเน้นย้ำถึงความสำคัญของสถาปัตยกรรมความปลอดภัยที่ครอบคลุม การควบคุมการเข้าถึงที่เหมาะสม และการตรวจสอบอย่างต่อเนื่อง ซึ่งสอดคล้องกับสิ่งที่เราสังเกตเห็นในภาคสนามอย่างสมบูรณ์แบบ นั่นคือ การปกป้องอุปกรณ์เอดจ์ที่ประสบความสำเร็จต้องใช้กลยุทธ์แบบหลายชั้นที่ผสมผสานการควบคุมทางเทคนิคที่แข็งแกร่งเข้ากับแนวทางปฏิบัติด้านการปฏิบัติงานที่เหมาะสม
คำแนะนำของพวกเขากล่าวถึงการตรวจสอบสิทธิ์หลายปัจจัย (MFA) ซึ่งเป็นหนึ่งในกลยุทธ์บรรเทาผลกระทบที่สำคัญ แต่ฉันอยากจะเสริมว่าในปัจจุบันยังต้องมีอีกมากเพื่อเสริม MFA ในการโจมตีทางไซเบอร์และแคมเปญคุกคามต่างๆ ที่กล่าวมาข้างต้น ผู้โจมตีสามารถหลีกเลี่ยง MFA ได้อย่างง่ายดายโดยใช้เทคนิคที่เรียกว่า MFA Fatigue หรือ Bombing
ดังนั้นคุณอาจถามว่าเราควรคิดถึงอะไรอีก?
“ Zero Trust ” อาจผุดขึ้นมาในใจทันทีที่นี่ น่าเสียดายที่ Zero Trust ถูกโฆษณาเกินจริงจนเกินเหตุ ดูเหมือนว่ากระแสนี้จะพยายามเลี่ยงประเด็นพื้นฐาน: Zero Trust ไม่ใช่ผลิตภัณฑ์ และฉันขอชื่นชม ACSC ที่ไม่เสนอแนะเช่นนั้น แม้ว่าผลิตภัณฑ์หรือบริการสามารถเป็นส่วนหนึ่งของกลยุทธ์ความปลอดภัย Zero Trust ได้ แต่ไม่มีผลิตภัณฑ์ใดที่สามารถตอบสนองความต้องการ Zero Trust ทั้งหมดและเปลี่ยนแปลงองค์กรของคุณได้ สถาปัตยกรรม Zero Trust ต้องใช้การประสานงานระบบต่างๆ หลายระบบ ตั้งแต่บริการระบุตัวตนและการรับรองความถูกต้องไปจนถึงกลไกการจำแนกข้อมูล
สถาปัตยกรรม Zero Trust แตกต่างจากระบบ VPN ทั่วไปที่มักจะไว้วางใจผู้ใช้เมื่อเชื่อมต่อกับเครือข่ายแล้ว โดยจะตรวจสอบผู้ใช้และอุปกรณ์ทุกเครื่องที่พยายามเข้าถึงทรัพยากรอย่างต่อเนื่อง โดยไม่คำนึงถึงตำแหน่งหรือการเข้าถึงก่อนหน้านี้ การตรวจสอบอย่างต่อเนื่องนี้มีความสำคัญในโลกปัจจุบันที่งานเกิดขึ้นทุกที่ ไม่ว่าจะเป็นเครือข่ายสำนักงาน Wi-Fi ที่บ้าน ไปจนถึงร้านกาแฟ ทำให้การรักษาความปลอดภัยทำได้ยากขึ้นเพียงแค่ไว้วางใจทุกคนภายในขอบเขตเครือข่ายขององค์กร
สิ่งที่ผมอยากจะอธิบายเพิ่มเติมเกี่ยวกับแนวทางของ ACSC คือความจำเป็นในการเปลี่ยนผ่านจากระบบรักษาความปลอดภัยแบบ Edge แบบดั้งเดิมโดยอิงตามความเสี่ยง แม้ว่าบริการรักษาความปลอดภัยที่ส่งผ่านระบบคลาวด์จะมีข้อได้เปรียบที่น่าสนใจ แต่แนวทางแบบผสมผสานมักจะมีความสมเหตุสมผลในเชิงกลยุทธ์มากกว่า ระบบที่สำคัญบางส่วนและข้อมูลที่ละเอียดอ่อนอาจต้องอยู่ในสถานที่เนื่องจากข้อกำหนดด้านกฎระเบียบและ/หรืออำนาจอธิปไตย ความอ่อนไหวและการจำแนกข้อมูล ปัญหาความล่าช้า หรือการพิจารณาความต่อเนื่องทางธุรกิจ
สิ่งสำคัญคือการปรับปรุงความปลอดภัยแบบ Edge ให้ทันสมัยโดยยอมรับว่าส่วนต่างๆ ของโครงสร้างพื้นฐานของคุณอาจต้องใช้วิธีการที่แตกต่างกัน ซึ่งอาจหมายถึงการดูแลรักษาส่วนประกอบและโครงสร้างพื้นฐานภายในองค์กรบางส่วนที่ยังคงรองรับหลักการ Zero Trust สำหรับกรณีการใช้งานเฉพาะ ในขณะที่นำบริการความปลอดภัยที่ส่งมอบผ่านระบบคลาวด์มาใช้กับกรณีอื่นๆ เพื่อให้แน่ใจว่าแต่ละทางเลือกนั้นขับเคลื่อนโดยการประเมินความเสี่ยงแทนที่จะปฏิบัติตามคำสั่งสากลที่เน้นระบบคลาวด์เป็นหลัก
แนวทางเหล่านี้ช่วยเตือนเราว่าการรักษาความปลอดภัยแบบ Edge นั้นมีขอบเขตมากกว่าการแพตช์และกฎไฟร์วอลล์ แต่เป็นการสร้างระบบที่มีความยืดหยุ่นซึ่งจะสร้างสมดุลระหว่างความปลอดภัยกับความต้องการทางธุรกิจ เมื่อการทำงานแบบไฮบริดและห่วงโซ่อุปทานดิจิทัลที่ซับซ้อนกลายเป็นเรื่องปกติ คำแนะนำด้านความปลอดภัยแบบ Edge ฉบับใหม่จาก ACSC จะให้รากฐานที่มั่นคงสำหรับการปกป้องจุดเข้าใช้เครือข่ายที่สำคัญของเรา
แม้ว่าบางคนอาจโต้แย้งว่าแนวทางด้านความปลอดภัยขอบใหม่จาก ACSC นั้นไม่ครอบคลุมหรือมีข้อกำหนดชัดเจนเพียงพอที่จะ " ครอบคลุมทุกพื้นฐาน " แต่ก็ทำหน้าที่เป็นคำเตือนและเรียกร้องให้ดำเนินการที่สำคัญเพื่อประเมินการพึ่งพาเทคโนโลยีแบบเดิมที่อิงตามขอบและปริมณฑลอีกครั้ง ซึ่งยังคงแพร่หลายในภาครัฐและภาคส่วนโครงสร้างพื้นฐานที่สำคัญของเรา แม้จะมีภัยคุกคามที่เปลี่ยนแปลงไปมากมายก็ตาม
กลับไปที่บล็อก