บทความ

หัวใจหลักของแนวคิด BAS กับความปลอดภัยทางไซเบอร์

จากบทความแรกที่เขียนในปลายปีที่แล้วถึงแนวคิดที่เรียกว่า Breach and Attack Simulation (BAS) นั่นก็คือ เครื่องมือที่ใช้ในการทดสอบความสามารถในการป้องกันความปลอดภัยของระบบเครือข่ายด้วยการจำลองการโจมตีภัยคุกคามทางไซเบอร์โดยอัตโนมัติและต่อเนื่อง บทความนี้เราจะมาพูดถึงหัวใจหลักของเทคโนโลยีหรือโซลูชั่นนี้กันต่อ โดยเทคโนโลยีที่เรากำลังจะพูดถึงนี้ ทำงานอย่างชาญฉลาดและช่วยเพิ่มประสิทธิภาพการทำงานได้อีกด้วย

แนวทาง 3 ประการ ของเทคโนโลยี Breach and Attack Simulation (BAS)

เทคโนโลยีเพื่อการทดสอบความปลอดภัยทางไซเบอร์ขององค์กร หรือการทดสอบความสามารถในการรักษาความปลอดภัยต่อการโจมตีทางไซเบอร์ในปัจจุบันนั้น หากอยู่ในวงการนี้เราจะรู้เลยว่า ซอฟต์แวร์แต่ละสัญชาติเขาไปกันไกลมากๆ แล้ว อย่างไรก็ตาม เนื่องจากอาชญากรรมทางอินเทอร์เน็ตนั้นก็มีเพิ่มมากขึ้น และมีความสามารถขึ้นทุกวันๆ ฉะนั้น ความต้องการโซลูชั่นเพื่อการทดสอบชนิดล่าสุดที่ครอบคลุมมากที่สุดนั้น ก็ยังคงมีเพิ่มขึ้น เพื่อรับมือกับภัยนี้ให้ได้ก่อนที่ใครจะโดนบุกรุก หรือเกิดความเสียหายใหญ่โต

หากเรามองย้อนยุคไปก่อนหน้านี้สัก 2-3 ปี จะพบว่าเครื่องมือทดสอบการรักษาความปลอดภัยในโลกไซเบอร์ของผู้เชี่ยวชาญด้าน Cyber Security หลักๆ ส่วนใหญ่จะประกอบด้วย การสแกนค้นหาช่องโหว่หรือจุดอ่อนด้านความปลอดภัย (Vulnerability scanner) และการทดสอบการเจาะระบบด้วยตนเอง (manual penetration testing) ซึ่ง ณ ปัจจุบันนี้ ทุกอย่างเปลี่ยนไปมากมาย ตั้งแต่มีเทคโนโลยีจำลองการละเมิดการโจมตีภัยคุกคามทางไซเบอร์ Breach & Attack Simulation เพิ่มเข้ามาในวงการ ตามที่ Blog ของเราได้แชร์เรื่องนี้ไว้ในพาร์ทแรก โดยบทความในพาร์ทนี้ เราจะขยายความย้อนกลับให้เข้าใจถึงหลักการทั้งสามแบบ ก่อนที่จะอธิบายว่าเทคโนโลยี BAS นั้นถูกประยุกต์มาจากแต่ละหลักการใดบ้าง และมีจุดเด่นพิเศษอย่างไร

APPROACH 1 – AGENT-BASED VULNERABILITY SCANNING SOLUTIONS

Vulnerability Scanner เป็นเครื่องมือที่ใช้มาช่วงระยะเวลาหนึ่งแล้ว เพื่อใช้งานการค้นหาช่องโหว่ด้านความปลอดภัยที่มีการรับรู้ว่ามีมาก่อนแล้ว ไม่ว่าจะด้วยความใกล้ตัว หรือได้รับการเผยแพร่ข่าวสารอาชญากรไซเบอร์ที่ได้มีการบุกรุกที่โน่นที่นั่นมาก่อน ซึ่งผู้ให้บริการผลิตภัณฑ์ BAS จำนวนหนึ่งได้นำเครื่องมือนี้ก้าวไปสู่อีกระดับด้วยการจัดให้เป็นโมเดลแบบ agent-based ซึ่งเป็นโมเดลที่มีการติดตั้งซอฟท์แวร์เอเจนไปที่เครื่องปลายทางต่างๆ ที่มีอยู่ โดยรูปแบบนี้รองรับการรักษาความปลอดภัยระบบเครือข่ายภายในองค์กร

สรุปก็คือ โซลูชั่น BAS ในกลุ่มแรกนี้ ใช้ software scanner ค้นหาในเครือข่าย LAN VLAN ภายในองค์กร จากเครื่องที่มีอยู่จำนวนเท่าใดก็ได้ เช่น บนเครื่อง VMs PCs และ physical servers โดยใช้ประโยชน์จากการนำฐานข้อมูลที่ได้รวบรวมรายการช่องโหว่หรือจุดอ่อนด้านความปลอดภัยที่ได้รับรู้มาแล้วนั้น (Known Vulnerabilities Database) ซึ่งอาจมีมากถึงหลายพันรายการ นำมาสแกนค้นหาภายในระบบเครือข่าย หรือระบบงานต่างๆ ขององค์กรในแต่ละช่องโหว่ด้านความปลอดภัย โดยสามารถระบุได้ว่าในแต่ละเครื่องมีช่องโหว่อะไรบ้าง และเมื่อการทดสอบนี้เสร็จสิ้นลง จะมีการสร้างรายงานในแต่ละเครื่องออกมาประกอบด้วยรายการช่องโหว่ที่มีโอกาสโดนโจมตีหรือมีอันตรายเข้าถึงและเข้ามาทำการควบคุมได้ พร้อมทั้งแนะนำแนวทางการแก้ไขที่ต้องการการปรับปรุงจากซอฟต์แวร์ที่แก้ไขปัญหาหรือแพทช์ที่จำเป็น (Patches Required) ซึ่งจะช่วยให้ป้องกัน แก้ไข หรือใช้บรรเทาปัญหาเหล่านั้นได้

อย่างไรก็ตาม โซลูชั่นเหล่านี้มุ่งเน้นเฉพาะการรายงานผลกระทบที่อาจเกิดขึ้น หากถูกละเมิดเข้าถึงระบบเครือข่ายขององค์กรได้ จุดที่จะเป็นประเด็นก็คือ ไม่ได้มีการทดสอบการโจมตีเข้าถึงช่องโหว่หรือจุดอ่อนนั้นว่าเข้าถึงได้จริงๆ และไม่ได้ทดสอบขอบเขตขององค์กรว่ามีความคงทนแข็งแรงเพียงไร สิ่งนี้เลยเป็นปัญหาสำหรับการค้นพบอย่างมืออาชีพที่ต้องการทราบจุดยืนด้านความปลอดภัย จากมุมมองการควบคุมทั้งภายในและภายนอกองค์กร

APPROACH 2 – “MALICIOUS” TRAFFIC-BASED TESTING SOLUTIONS

โดยทั่วไปโซลูชั่นด้านการป้องกันความปลอดภัย (security solutions) จะทำการเฝ้าดูการรับส่งข้อมูลทราฟฟิกต่างๆ (monitor traffic) การตรวจจับแพ็คเกจข้อมูลที่มีรูปแบบมีอันตราย (detect malicious) และการป้องกัน โดยการบล็อก หรือการกักกันข้อมูลไว้ (block/quarantine) หลังจากนั้นจึงทำการแจ้งเตือนให้กับเจ้าหน้าที่ที่ดูแลด้านความปลอดภัยรับทราบ (alert)

โซลูชั่น BAS ประเภทที่สองนี้จะทดสอบโซลูชั่นด้านการป้องกันความปลอดภัยต่างๆ ที่องค์กรมีใช้อยู่ โดยการสร้าง traffic ชุดข้อมูลชนิด “Malicious” หรือข้อมูลที่เป็นอันตราย ส่งเข้าไปยังเครือข่ายภายในขององค์กร โดยการตั้งค่าเครื่องจำลองแบบเสมือน Virtual Machines จำนวนหนึ่งที่อยู่ภายในเครือข่ายภายในองค์กรทำหน้าที่เป็นเครื่องเป้าหมายปลายทางสำหรับการทดสอบ โดยใช้ฐานข้อมูลสถานการณ์การโจมตีที่มีหลากหลายรูปแบบ

โซลูชั่น BAS กลุ่มนี้ ทำการประเมิน assessment โดยการสร้างการโจมตีระหว่างเครื่องแต่ละเครื่อง จากนั้นจึงทำการตรวจสอบว่าระบบการป้องกัน IPS และ SIEM ขององค์กร หรือโซลูชั่นอื่นๆ ที่มีอยู่ สามารถทำการตรวจพบ หรือมีการบล็อคสกัดกั้น พร้อมทั้งทำการแจ้งเตือนที่เป็นไปตามการป้องกันที่กำหนดไว้ โซลูชั่นนี้จะไม่ทำการใช้เครื่องที่ทำงานจริงมาทดสอบ โดยจะมุ่งเน้นไปทางด้านการตรวจสอบการส่งรับข้อมูลทราฟฟิกในระบบเครือข่ายในรูปแบบต่างๆ ของการโจมตี หรือช่องโหว่จุดอ่อนทั้งหลาย รวมไปถึงการตรวจสอบวิธีการรับรู้การรับส่งข้อมูล “Malicious” ของแต่ละโซลูชั่นด้านการป้องกันความปลอดภัย (cyber security solutions) ต่างๆ ที่มีใช้อยู่ในระบบเครือข่ายองค์กร

หลังจากการทดสอบระบบจะมีการสร้างรายงาน โดยแสดงรายการการแจ้งเตือนที่เกิดขึ้นระหว่างการประเมิน ข้อมูลนี้ช่วยให้องค์กรมีภาพรวมของเหตุการณ์ที่ไม่มีการตรวจจับ หรือป้องกัน/ปิดกั้น โดยโซลูชั่น IPS และ SIEM

นอกจากนี้ยังมีการแนะนำรายการที่ควรกำนหนดค่าไว้ของ rules และ alerts เพื่อปิดกั้น traffic การรับส่งข้อมูลชนิด “Malicious”ที่อาจเกิดขึ้นมาในอนาคตได้ ซึ่งก็คล้ายกับโซลูชั่นแรกก่อนหน้านี้ แต่โซลูชั่นกลุ่มที่สองนี้จะเน้นเฉพาะสิ่งที่อาจเกิดขึ้น หากเครือข่ายขององค์กรถูกเจาะละเมิดได้ แต่จะไม่ทดสอบความปลอดภัยในขอบเขตความแข็งแรงด้านไซเบอร์ขององค์กร

APPROACH 3 – BLACKBOX MULTI-VECTOR TESTING SOLUTIONS

โซลูชั่น BAS แบบที่สาม ประกอบด้วย การโจมตีจำลองแบบ multi-vector หรือหลายๆ *เวกเตอร์ ที่ช่วยให้องค์กรสามารถตรวจจับช่องโหว่ทั้งในขอบเขตขององค์กร และ เครือข่ายข้อมูลภายใน หากเทียบกับการประเมินแบบที่ 1และ 2 ข้างต้นนั้น การประเมินแบบที่ 3 นี้ นับว่าเข้าใกล้การทดสอบความปลอดภัยทางไซเบอร์มากที่สุด อย่างมีประสิทธิผล และชาญฉลาดในระดับที่เป็นปัจจุบันที่สุด เท่าที่อาชญากรไซเบอร์ หรือ hacker จะทำอันตรายได้

โซลูชั่น BAS กลุ่มนี้ ส่วนใหญ่ทำงานบนระบบ cloud ไม่ต้องมีการใช้ hardware หรือ virtual machines ที่ทำให้ยุ่งยากต่อการเริ่มดำเนินการประเมิน แพลตฟอร์ม BAS นี้ ใช้แค่การ implement ของ lightweight agent บนเครื่องปลายทางที่อยู่ภายในเครือข่ายข้อมูลภายในขององค์กร และมีการสื่อสารระหว่างเครื่องนี้กับแพลตฟอร์มที่ให้บริการ เพียงแค่นี้ BAS ก็จะทำงานประเมินความเสี่ยงทางไซเบอร์อย่างปลอดภัย พร้อมทั้งทำการรวบรวมข้อมูลเพื่อส่งผลลัพธ์ไปทำการปรับปรุงรายงานทางหน้าเว็บการจัดการเพื่อให้ทำงานต่อไปได้ (management console)

รูปแบบการประเมินความเสี่ยงนี้ ประกอบด้วยการทดสอบแบบหลายขั้นตอน ซึ่งใช้เทคนิคของการโจมตีของฝ่ายตรงข้ามที่แตกต่างกัน techniques, tactics and practices (TTPs) และข้อมูลประกอบชุดการจำลอง payloads ที่จะพยายามหลีกเลี่ยงจากโซลูชั่นการป้องกัน (bypass cyber security solutions) รวมถึงการควบคุมที่มีอยู่ ทั้งภายในและภายนอกเครือข่ายแลนขององค์กรเอง

ฉะนั้นการโจมตีเหล่านี้จึงมีความใกล้เคียงกับชีวิตจริงและเป็นปัจจุบันได้มากที่สุด ประเมินความน่าจะเป็นและระบุได้ว่า โซลูชั่นในการป้องกันภัยคุกคามด้านไซเบอร์ (cyber security solutions) มีประสิทธิภาพในการตรวจจับหรือปิดกั้นการโจมตีใดๆ และส่งการแจ้งเตือนที่เกี่ยวข้องได้หรือไม่ ระบบจะสร้างรายงานที่แสดงให้เห็นคลอบคลุมไปถึงช่องโหว่ (vulnerabilities) และความเสี่ยงการคุกคามที่พบในกรอบความปลอดภัยทางไซเบอร์ขององค์กร แบบเจาะลึกชั้นต่อชั้น (layer by layer) ตั้งแต่การคุกคามที่ขอบเขต ไปจนถึงองค์ประกอบที่สัมพันธ์กันในแต่ละทรัพยากรเลยทีเดียว

หากกล่าวถึง โซลูชั่น BAS ของกลุ่มของเทคโนโลยี BLACKBOX MULTI-VECTOR TESTING นี้ แต่ละแบรนด์ก็จะมีความแตกต่างกันไป ทั้งนี้ ความแตกต่างข้อใหญ่ที่วัดกันในแง่ของประสิทธิผลก็คือ ระดับของความเป็นระบบอัตโนมัติที่นำเสนอในการจำลอง simulation ของการคุกคามด้านไซเบอร์ การจำลองการโจมตีอัตโนมัติไม่ว่าจะด้วยรูปแบบไหน (scenarios) ก็จะช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ทราบล่วงหน้างถึงความน่าจะเป็น และผลกระทบของความเสี่ยงที่องค์กรต้องเผชิญ โดยอ้างอิงกับผลลัพธ์จากการป้องกันที่สามารถนำมาใช้ได้จริง โดยสามารถบ่งชี้ได้หากการโจมตีนั้นทำได้สำเร็จในระหว่างการจำลอง ก็จะมีความเป็นไปได้สูงที่องค์กรอาจถูกภัยคุกคามทางไซเบอร์ได้จริง หรือชี้ให้เห็นภัยอันตรายว่าภายใต้การโจมตีจำลองนั้น โซลูชั่นในการป้องกันภัยคุกคามด้านไซเบอร์ (cybersecurity defense solutions) และการควบคุมทั้งภายในและภายนอกขององค์กรนั้นล้มเหลว หรือปลอดภัยเพียงพอหรือไม่

พวกเรามาถึงจุดไหนกันแล้ว

สำหรับวงการโซลูชั่น BAS ในตลาดในประเทศไทยบ้านเราจนถึงปัจจุบัน มีผู้ให้บริการจำนวนหลายรายที่ให้บริการโซลูชั่น BAS ด้วยแนวทางต่างๆ ทั้งสามแนวทางข้างต้น ทั้งนี้เนื่องจากแนวทางของการประเมินช่องโหว่ Vulnerability Assessment กำลังได้รับความสนใจ และมีผู้เชี่ยวชาญด้านไซเบอร์จำนวนมากขึ้นที่หันมาศึกษา หรือเปลี่ยนทิศจาก Penetration Test มาที่ Vulnerability Assessment หรือโซลูชั่น BAS แทน

โซลูชั่น BAS มีหลายแนวทาง ซึ่งแต่ละแนวทางมีความสามารถ ประโยชน์ และข้อเสียต่างกันไป สิ่งสำคัญที่ต้องจำไว้ว่าประสิทธิภาพสูงสุดของโซลูชั่น BAS ทั้งหมด คือ สามารถจำลองการคุกคามทางไซเบอร์ด้วยระบบ Automation ในระดับหนึ่ง

ฉะนั้น CISO, CIO และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ควรทำความเข้าใจและพิจารณาหมวดหมู่ต่างๆ ของโซลูชั่น BAS อย่างละเอียดเพื่อที่จะเลือกโซลูชั่น BAS ที่เหมาะสมที่สุดสำหรับองค์กร

CYMULATE Approach – Closing the Security Gap

Cymulate เป็นโซลูชั่นที่นำเทคโนโลยีในหมวดที่ 3 หรือ BLACKBOX MULTI-VECTOR TESTING SOLUTIONS มาประยุกต์ใช้ ซึ่งโซลูชั่น Cymulate มีจุดเด่นด้าน automation ดังต่อไปนี้

จำลองทุกช่วงระยะของการโจมตีตลอดไปตั้งแต่ ก่อนคุกคาม ไปจนถึง เมื่อมีการโจมตีสำเร็จ (Full Cyber Kill Chain)
ทำการทดสอบอย่างต่อเนื่อง เป็นระยะ หรือตามรอบเวลาที่ต้องการ
จำลองการโจมตีอย่างปลอดภัย และที่สำคัญไม่รบกวนการทำงาน
ตรวจสอบการควบคุมความปลอดภัยของระบบเครือข่ายข้อมูล และเครื่องปลายทาง (network & endpoint security controls)
นำเสนอการจำลองที่รวมภัยคุกคามใหม่ล่าสุด
จัดทำรายงานที่ครอบคลุมรวมถึง บทสรุปผู้บริหาร และรายงานทางเทคนิคพร้อมคำแนะนำสำหรับการแก้ไข หรือการบรรเทาผลกระทบ

แพลตฟอร์ม BAS ที่ใช้งานง่ายของ Cymulate ได้พิสูจน์แล้วว่า ช่วยให้องค์กรหลายแห่งมากมาย ก้าวนำหน้าผู้คุกคามทางไซเบอร์ไปหนึ่งก้าวอยู่เสมอ โดยการเลียนแบบกลยุทธ์ และมีเครื่องมือมากมายที่ผู้โจมตีปรับใช้ ธุรกิจสามารถประเมินความพร้อมของตนเพื่อจัดการกับภัยคุกคามความปลอดภัยทางไซเบอร์ได้อย่างมีประสิทธิภาพ และการที่เป็นแพลตฟอร์มให้บริการเบ็ดเสร็จ SaaS (Software as a Services) แบบ on-demand 24×7 ทำให้ผู้ใช้ทำการจำลองได้จากทุกที่ตามเวลาที่ต้องการ ส่งผลให้รอบการทดสอบสั้นลง และเวลาในการแก้ไขเร็วขึ้น

Cymulate ได้รับความไว้วางใจจากบริษัทหลายร้อยแห่งทั่วโลก ตั้งแต่ธุรกิจขนาดเล็กไปจนถึงองค์กรขนาดใหญ่ เพื่อให้ทุกคนสามารถปกป้ององค์กรด้วยการรักษาความปลอดภัยระดับสูงสุดได้อย่างง่ายดาย Cymulate มีเทคโนโลยีการตรวจสอบความปลอดภัยอย่างต่อเนื่อง เปรียบเหมือนปราการที่ปกป้องประตูหน้า ประตูหลัง และหน้าต่าง ของบ้านคุณอย่างต่อเนื่องและสม่ำเสมอทุกครั้งที่มีภัยคุกคามแบบใหม่ๆ ออกมา พร้อมรับมือในเวลาที่มีภัยคุกคามล่าสุด ที่สำคัญคือใช้งานได้ในลักษณะที่ไม่ต้องการการดูแลโดยผู้เชี่ยวชาญระดับสูงหรือทีมทดสอบภายในอย่างเช่นเดิมอีกต่อไป

ที่มา: Cymulate, The 3 Approaches of Breach & Attack Simulation Technologies [PDF file].

เขียนโดย : Kanitha

วันที่เผยแพร่ : 1 มี.ค. 2565

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.