กลยุทธ์ Zero Trust ซับซ้อน แต่ไม่ยากถ้าจะเริ่มทำ
กลยุทธ์ Zero Trust ซับซ้อน แต่ไม่ยากถ้าจะเริ่มทำ
โดย: เคนเนธ ไล รองประธาน ประจำภูมิภาคอาเซียน Cloudflare
บ่อยครั้งที่การนำกลยุทธ์ Zero Trust มาใช้ปกป้องความปลอดภัยในองค์กรถูกมองว่าเป็นเรื่องที่ซับซ้อน ซึ่งก็สมควรแล้วหากพิจารณาในหลาย ๆ ด้าน
กลยุทธ์ Zero Trust ต้องอาศัยการทำงานด้านความปลอดภัยและด้านไอทีอย่างระมัดระวังและเหมาะสม กลยุทธ์นี้เกี่ยวข้องกับการคิดใหม่ทำใหม่ของนโยบายเริ่มต้นของการใช้งานและสถาปัตยกรรมเครือข่ายที่พิจารณาขอบเขตเป็นสำคัญ การใช้การทำงานข้ามทีมร่วมกัน และความเชื่อมั่นในบริการใหม่ ๆ ด้านความปลอดภัย
เป็นที่เข้าใจได้ว่าองค์กรบางแห่งอาจเลื่อนการปรับใช้กลยุทธ์ความปลอดภัยนี้ โดยชี้ว่าการนำ Zero Trust มาใช้ทั่วทั้งองค์กรอาจทำให้เกิดความไม่แน่นอนได้ นอกจากนั้น ทั้งข้อเสนอและตัวเลือกมากมายจากผู้ขาย ประกอบกับแหล่งข้อมูลที่แตกต่างกัน และแนวโน้มที่กระบวนการทำงาน ณ ตอนนั้นอาจหยุดชะงักได้ อาจเป็นประเด็นที่ทำให้องค์กรไม่กล้านำระบบรักษาความปลอดภัย Zero Trust มาปรับใช้
ดังที่กล่าวมาแล้วว่าธุรกิจต้องเผชิญกับภูมิทัศน์ภัยคุกคามที่เปลี่ยนไปอยู่ตลอด ซึ่งปัจจุบันนี้ผู้โจมตีใช้วิธีการที่ซับซ้อนมากขึ้นและพุ่งเป้าไปยังเหยื่อที่ไม่ทันตั้งตัว โดยข้อมูลทั้งหมดในเครือข่ายของ Cloudflare ซึ่งเป็นเครือข่ายที่ใหญ่ที่สุดและเชื่อมต่อกันมากที่สุดในโลกเครือข่ายหนึ่ง เปิดเผยว่าช่วงไตรมาส 2 ของปีนี้ มีภัยคุกคามทางไซเบอร์เกิดขึ้นในภูมิภาคเอเชียตะวันออกเฉียงใต้เฉลี่ย 7.7 พันล้านรายการต่อวัน
หรือกล่าวให้ชัดคือแนวทาง Zero Trust ไม่ใช่ทางเลือกด้านกลยุทธ์อีกต่อไปแล้วในยุคดิจิทัล แต่มันคือทางรอด โดยผู้บริหารด้านความปลอดภัยจำเป็นต้องลุกขึ้นมาและใช้โอกาสนี้จัดการความปลอดภัยขององค์กร มิฉะนั้นอาจเสี่ยงต่อการถูกโจมตีทางไซเบอร์
ก้าวแรกของการนำ Zero Trust มาใช้
แนวทาง Zero Trust ครอบคลุมอะไรบ้าง? ระบบรักษาความปลอดภัยแบบ Zero Trust ในบริบทของเครือข่าย กำหนดให้มีการตรวจสอบ ยืนยันข้อมูล เข้ารหัส และบันทึกทุกคำขอ-คำสั่งที่ป้อนเข้ามาและส่งออกไปภายในเครือข่ายองค์กร โดยแนวคิดที่ถือปฏิบัติคือไม่ควรไว้ใจคำขอหรือคำสั่งใด ๆ ทั้งสิ้น ไม่ว่าจะได้รับมาจากที่ใดหรือกำลังส่งต่อไปที่ใด โดยทุกคำขอจะต้องผ่านการตรวจสอบทั้งหมด
การเริ่มดำเนินการไปสู่ Zero Trust ช่วงเริ่มต้น หมายถึงการกำหนดและตั้งค่าความสามารถเหล่านี้ขึ้นในที่ที่จากเดิมนั้นไม่มีมาก่อน สำหรับองค์กรที่เริ่มต้นกระบวนการนี้จากศูนย์มักจะหมายถึงการขยายความสามารถให้เหนือกว่าขอบเขตของ “เครือข่ายพื้นฐานที่เพิ่มเข้ามาเพื่อความปลอดภัย หรือที่เรียกว่า Network Perimeter” เครือข่ายเดียว
ลองพิจารณา 5 โครงการการนำ Zero Trust มาใช้อย่างง่ายดายที่สุด โครงการเหล่านี้มุ่งเน้นไปที่การรักษาความปลอดภัยของผู้ใช้ แอปพลิเคชัน เครือข่าย และปริมาณการใช้งานอินเทอร์เน็ต โครงการทั้งหมดนี้อาจไม่สามารถบรรลุเป้าหมาย Zero Trust ได้อย่างสมบูรณ์ตามลำพัง แต่สามารถมอบประโยชน์ได้ในทันที พร้อมสร้างแรงขับเคลื่อนช่วงเริ่มต้น และวางรากฐานการเปลี่ยนแปลงให้ขยายครอบคลุมยิ่งขึ้นในลำดับถัดไป
- การยืนยันตัวตนแบบหลายปัจจัยสำหรับแอปพลิเคชันสำคัญ ๆ
ตามแนวทาง Zero Trust เครือข่ายจะต้องมั่นใจว่าคำขอหรือคำสั่งใด ๆ นั้นมาจากหน่วยงานที่มีตัวตนเชื่อถือได้ โดยองค์กรจำเป็นต้องสร้างมาตรการป้องกันการขโมยข้อมูลส่วนบุคคลของผู้ใช้ผ่านการฟิชชิ่งหรือการรั่วไหลของข้อมูล การยืนยันตัวตนแบบหลายปัจจัย (Multi-factor authentication หรือ MFA) ถือเป็นการป้องกันที่ดีที่สุดจากการขโมยข้อมูลส่วนบุคคล แม้ว่าการนำ MFA มาใช้อย่างสมบูรณ์แบบอาจใช้เวลานาน แต่การมุ่งเน้นไปที่แอปพลิเคชันสำคัญที่สุดก่อนนั้นถือเป็นวิธีการที่ง่ายกว่าและมีประสิทธิผลสูงกว่า
องค์กรที่มีผู้ให้บริการข้อมูลส่วนบุคคลอยู่แล้วสามารถกำหนดค่า MFA โดยตรงกับผู้ให้บริการนั้น ๆ ได้ โดยใช้รหัสครั้งเดียวหรือการแจ้งเตือนในแอปที่ส่งไปยังอุปกรณ์มือถือของพนักงาน ในกรณีขององค์กรที่ยังไม่มีผู้ให้บริการข้อมูลส่วนบุคคล องค์กรก็ยังสามารถเลือกใช้วิธีอื่นที่ง่ายกว่าได้ เช่น การใช้แพลตฟอร์มโซเชียล อย่าง Google, LinkedIn และ Facebook หรือเลือกรับรหัสผ่านครั้งเดียว (OTP) ที่ส่งไปยังหมายเลขโทรศัพท์มือถือ เพื่อตรวจสอบข้อมูลส่วนบุคคลของผู้ใช้ได้
ทั้งหมดนี้คือวิธีการเข้าถึงแบบ DIY สำหรับหน่วยงานบุคคลที่สามโดยไม่ต้องเพิ่มพวกเขาลงในกลุ่มผู้ให้บริการข้อมูลส่วนบุคคลขององค์กร และยังสามารถนำไปใช้ภายในบริษัทได้อีกด้วย
- การบังคับใช้นโยบาย Zero Trust ในแอปพลิเคชันสำคัญ
การบังคับใช้นโยบาย Zero Trust ไม่ได้หมายถึงการยืนยันตัวตนของผู้ใช้เพียงอย่างเดียว แอปพลิเคชันก็ต้องได้รับการปกป้องด้วยเช่นกันตามหลักการตรวจสอบและยืนยันคำขอเสมอ โดยจะมีการพิจารณาพฤติกรรมและปัจจัยในบริบทต่าง ๆ ก่อนการตรวจสอบและยืนยันความถูกต้องของข้อมูล และเฝ้าตรวจติดตามกิจกรรมอย่างต่อเนื่อง เช่นเดียวกับในโครงการแรก การนำนโยบายนี้ไปปรับใช้จะง่ายขึ้นเมื่อนำไปใช้ร่วมกับรายการเริ่มต้นของแอปพลิเคชันสำคัญ
- เฝ้าติดตามแอปพลิเคชันอีเมลและกรองการฟิชชิ่ง
อีเมลคือช่องทางการสื่อสารอันดับหนึ่งขององค์กรส่วนใหญ่ และเป็นแอปพลิเคชัน SaaS ที่ใช้งานมากที่สุด และพบการโจมตีบ่อยที่สุด ดังนั้นองค์กรจำเป็นต้องแน่ใจว่าได้นำหลัก Zero Trust มาใช้ร่วมกับอีเมลเพื่อเพิ่มประสิทธิภาพของการกรองและการตรวจสอบภัยคุกคามที่เป็นมาตรฐาน
นอกจากนี้ ผู้เชี่ยวชาญด้านความปลอดภัยควรพิจารณาการใช้เบราว์เซอร์แบบแยกอิสระหรือ Isolated Browser เพื่อกันลิงก์ที่ไม่น่าสงสัยออกมาไว้เพียงพอที่จะบล็อกได้อย่างสมบูรณ์
- ปิดพอร์ตขาเข้าทั้งหมดที่อยู่บนอินเทอร์เน็ตสำหรับการเปิดใช้แอปพลิเคชัน
การเปิดพอร์ตเครือข่ายขาเข้า หรือ Open Inbound Network Ports เป็นอีกช่องทางการโจมตีโดยทั่วไปและควรได้รับการป้องกันแบบ Zero Trust โดยการยอมรับแค่การรับ-ส่งข้อมูลจากแหล่งที่มาที่รู้จัก เชื่อถือได้ และผ่านการตรวจสอบแล้วเท่านั้น
เทคโนโลยีการสแกนสามารถตรวจพบพอร์ตเหล่านี้ จากนั้นใช้พร็อกซีแบบย้อนกลับของ Zero Trust เปิดแอปพลิเคชันบนเว็บได้อย่างปลอดภัยผ่านอินเทอร์เน็ตสาธารณะโดยไม่ต้องเปิดพอร์ตขาเข้าใด ๆ และบันทึกรายการเดียวที่สาธารณะมองเห็นได้ของแอปพลิเคชันคือบันทึก DNS ที่เป็นคำขอหรือคำสั่งที่เก็บอยู่ในฐานข้อมูลของระบบ Domain Name System ซึ่งสามารถป้องกันได้โดยใช้การยืนยันสิทธิ์และความสามารถในการบันทึกข้อมูลแบบ Zero Trust เพื่อเพิ่มชั้นความปลอดภัยบันทึก DNS แบบภายในและแบบส่วนตัวมีประสิทธิภาพเพิ่มขึ้นได้จากการใช้ Zero Trust Network Access solution
- ปิดกั้นคำขอ DNS ที่เป็นภัยคุกคามหรือมีความเสี่ยงกับปลายทาง
การกรองข้อมูล DNS หรือ DNS Filtering คือแนวทางปฏิบัติที่นำมาใช้เพื่อป้องกันไม่ให้ผู้ใช้เข้าถึงเว็บไซต์และแหล่งข้อมูลอินเทอร์เน็ตอื่น ๆ ที่รู้หรือสงสัยว่าเป็นอันตราย โดยการกรอง DNS จะไม่ได้รวมอยู่ในการสื่อสารโต้ตอบของ Zero Trust เสมอไป เนื่องจากไม่เกี่ยวข้องกับการตรวจสอบหรือบันทึกการรับ-ส่งข้อมูล
อย่างไรก็ตาม เมื่อใช้ DNS Filtering แล้ว องค์กรสามารถสร้างความมั่นใจได้ว่ามีมาตรการป้องกันที่ผู้ใช้ (หรือกลุ่มผู้ใช้) สามารถโอนและอัปโหลดข้อมูลได้ สอดคล้องกับปรัชญา Zero Trust ที่กว้างยิ่งขึ้น
เข้าใจภาพ Zero Trust ให้กว้างกว่าเดิม
การนำโครงการทั้ง 5 นี้ไปใช้ถือเป็นการก้าวเข้าสู่โหมด Zero Trust อย่างชัดเจน โดยองค์กรใดก็ตามที่ดำเนินการเหล่านี้จนแล้วเสร็จจะมีความคืบหน้าในด้านการรักษาความปลอดภัยที่ดีขึ้นและทันสมัยยิ่งขึ้นอย่างมีนัยสำคัญ และสร้างรากฐานที่มั่นคงไปด้วยในขณะดำเนินการ
อย่างไรก็ตาม การนำ Zero Trust มาใช้อย่างกว้างขวางยังคงเป็นหัวข้อที่ดูซับซ้อนขององค์กรในยุคปัจจุบัน เนื่องจากเส้นทางของแต่ละองค์กรจะแตกต่างกันเล็กน้อยตามการจัดลำดับความสำคัญ ความต้องการ และแผนธุรกิจในอนาคต
ที่สำคัญก็คือ ผู้บริหารด้านความปลอดภัยจำเป็นต้องกำหนดวัตถุประสงค์ที่ชัดเจนในแผนงาน Zero Trust เพื่อให้สามารถกลับมาควบคุมสภาพแวดล้อมด้านไอทีของตนได้อีกครั้ง การโจมตีทางไซเบอร์ที่เป็นอันตรายมีความสร้างสรรค์มากขึ้นกว่าเดิม และมักหาวิธีที่มีประสิทธิภาพเพื่อแทรกซึมเข้าไปในองค์กรและทำให้ทีมงานด้านความปลอดภัยเกิดการสับสนผ่าน Digital Touchpoints มากมายที่มีอยู่ในปัจจุบัน มีเพียงการวางแผนที่ชัดเจนเท่านั้นที่จะช่วยให้องค์กรทำให้พนักงาน แอปพลิเคชัน และเครือข่ายของตนมีความรวดเร็วและปลอดภัยยิ่งขึ้นในทุกที่ พร้อม ๆ กับช่วยลดความซับซ้อนและต้นทุนค่าใช้จ่าย