Cisco เองนอกจากจะเป็นผู้นำเสนอโซลูชั่นด้าน Security แล้ว Cisco เองก็ยังเป็นผู้ใช้งานระบบ Security เองด้วย ในครั้งนี้ Cisco ก็มาเล่าเรื่องต่อยอดจากงาน Cisco Live! ในหัวข้อ Hunting Advanced Threats within Cisco ก็คือการตรวจจับภัยคุกคามต่างๆ ที่มีใน Cisco นั่นเอง ซึ่งทางทีมงาน TechTalkThai ก็ขอสรุปเนื้อหามาไว้ให้ผู้อ่านทุกท่านได้อ่านกันที่นี่นะครับ
ทั้งนี้ในตอนเรียนนั้นทางวิทยากรก็จะมีการยกกรณีตัวอย่างและกล่าวถึงบางเว็บไซต์ ซึ่งทางทีมงาน TechTalkThai ขออนุญาตเอาตรงนั้นออกนะครับ จะได้ไม่ส่งผลกระทบต่อชื่อเสียงของเว็บไซต์หรือหน่วยงานเหล่านั้น
Cisco ก็มีทีมรักษาความปลอดภัยให้พนักงานภายในองค์กรเช่นกัน
เนื่องจาก Cisco เป็นองค์กรขนาดใหญ่ ภายในบริษัท Cisco เองนั้นก็มีทีมงานที่คอยดูแลทางด้าน IT Security ให้กับพนักงานในองค์กรโดยเฉพาะ คล้ายๆ กับ CERT เองด้วยเช่นกัน รวมถึงยังมีทีม Security Operations สำหรับรับมือกับเรื่องการโจมตีต่างๆ โดยเฉพาะ และมีการใช้เครื่องมือต่างๆ ในการช่วยเหลือให้ทีมงานสามารถค้นหาภัยคุกคามต่างๆ ได้อย่างง่ายดายที่ Cisco ใช้กันภายใน
Threats หรือภัยคุกคาม กลายเป็นเรื่องใกล้ตัวของทุกคนไปแล้ว
สิ่งที่ผู้ใช้งานทุกคนควรจะทราบเอาไว้ก็คือ ในทุกๆ วินาทีที่เราเชื่อมต่อ Internet หรือเข้าเว็บไซต์ใดๆ ก็ตามแต่
เรามีความเสี่ยงในการที่จะถูกโจมตีอยู่เสมอ ตัวอย่างที่ใกล้ตัวสำหรับคนไทยก็คือ ในช่วงที่ผ่านมามีกรณีการที่เว็บไซต์ในไทยนั้นถูกโจมตีเพื่อฝังโค้ดที่เป็นอันตราย สำหรับใช้ในการเผยแพร่ Malware หรือโจมตีในรูปแบบต่างๆ เอาไว้ ซึ่งก็กลายเป็นช่องทางใหม่ในการโจมตีผู้ใช้งานอย่างเราๆ ได้อีกทางหนึ่งที่เราคาดไม่ถึง เพราะบางทีเว็บไซต์แห่งนั้นเราก็เข้าใช้งานอยู่ทุกวัน แต่อยู่มาวันหนึ่งเว็บนั้นก็กลายเป็นแหล่งแพร่กระจาย Malware ไปเสียแล้ว
อีกแนวโน้มหนึ่งที่ชัดเจนมากว่า Threats หรือภัยคุกคามนี้เป็นเรื่องที่ใกล้ตัวเรามากนั้น สามารถสังเกตได้จากการที่ระบบปฏิบัติการชั้นนำที่มีผู้ใช้งานจำนวนมากในทุกวันนี้ ไม่ว่าจะเป็น Microsoft Windows, Apple Mac OS X และ Apple iOS หรือแม้แต่ Google Android นั้น ต่างก็ออก Patch เพื่อุดช่องโหว่ทางด้านความปลอดภัยบ่อยขึ้น ในขณะที่ข่าวคราวเรื่องของช่องโหว่ต่างๆ และการโจมตีรูปแบบใหม่ๆ รวมถึงการโจมตีที่ประสบผลสำเร็จและเกิดความเสียหายมูลค่ามหาศาลนั้นก็เยอะขึ้นเป็นเงาตามตัว ดังนั้นเราคงจะปฏิเสธการมีอยู่ของภัยคุกคามบนโลกอินเตอร์เน็ตที่เราอาจตกเป็นเป้าการโจมตีไม่ได้อีกแล้ว
ทั้งนี้องค์กรต่างๆ ควรจะรับทราบเอาไว้ว่าทุกวันนี้บน Internet มีผู้ไม่หวังดีคอย Scan ระบบต่างๆ อยู่ตลอดเวลาเพื่อหาช่องโหว่สำหรับทำการโจมตี และหาผลประโยชน์จากการโจมตีเหล่านั้นได้ทั้งทางตรงและทางอ้อม ดังนั้นไม่ว่าจะเป็นองค์กรเล็กหรือองค์กรใหญ่ต่างก็มีสิทธิ์ตกเป็นเป้าของการโจมตีได้ทั้งสิ้น ต่างจากสมัยก่อนที่เป้าของการโจมตีมักจะเป็นองค์กรขนาดใหญ่หรือหน่วยงานที่มีเงินเพียงเท่านั้น
สำหรับกรณีของ Cyberwar ที่เคยคิดว่าคงไม่เกิดขึ้นในประเทศไทย อันที่จริงในประเทศไทยเคยเกิดกรณีนี้ขึ้นมาแล้ว เมื่อครั้งที่เรามีปัญหาตามเขตแนวชายแดนกับประเทศต่างๆ ซึ่งในเวลานั้นประเทศไทยก็ถูกโจมตีบางระบบหรือบางเว็บไซต์ในช่วงเวลานั้น ซึ่งอย่างกรณีนี้ก็คือตัวอย่างของการโจมตีเพื่อหวังผลทางการเมืองนั่นเอง
อีกกรณีหนึ่งคือมีบริษัท SME เจ้าหนึ่งในประเทศไทย เคยติด Ransomware ซึ่งพอสืบค้นดูแล้วพบว่ามีต้นตอการแพร่ระบาดมาจากในเมืองไทยด้วยกันเอง โดย Hacker ชาวต่างชาติได้ทำแคมเปญนี้ โดยโจมตี Server ในประเทศไทยเพื่อใช้เป็นฐานในการแพร่กระจาย Malware ในเมืองไทยเพื่อโจมตีคนไทยด้วยกันเองโดยเฉพาะ จะได้เพิ่มโอกาสการประสบความสำเร็จในการโจมตีได้ ดังนั้นถึงแม้ว่าจะเป็นบริษัทเล็กๆ แต่แง่มุมของการโจมตีเพื่อหวังผลประโยชน์ในลักษณะนี้ก็เป็นเรื่องที่ไม่มีองค์กรไหนหนีพ้น
นอกจากนี้การมาของ Smartphone เองก็ทำให้ต้องมีมุมมองใหม่ๆ เกี่ยวกับการรักษาความปลอดภัยเพิ่มขึ้นเช่นกัน เดี๋ยวนี้ในองค์กรบางแห่งก็เริ่มมีการห้ามนำ Smartphone เข้าไปใช้งานแล้ว เพราะ Smartphone นั้นก็สามารถทำตัวเป็น USB Drive ได้ และอาจใช้เป็นอุปกรณ์ในการขโมยข้อมูล หรือใช้ในการแพร่ระบาดของไวรัสหรือ Malware ในองค์กรแห่งนั้นก็ได้เช่นกัน โดยที่ยังไม่ต้องพูดถึงเรื่องของการเชื่อมต่อเครือข่าย หรือการโจมตีระบบเครือข่ายผ่านอุปกรณ์เหล่านี้เลยด้วยซ้ำ
Cisco ได้สรุปสั้นๆ เอาไว้ว่า ภัยคุกคามใดๆ ก็ตาม เกิดจาก 3 องค์ประกอบ ดังต่อไปนี้
ช่องโหว่ (Vulnerability) ทั้งในเชิง Technical คือการที่ซอฟต์แวร์หรือระบบต่างๆ มีช่องโหว่ในการทำงาน และ Weakness คือการใช้งานที่ไม่ปลอดภัย เช่น ใช้ การใช้ Default Password เป็นต้น รวมถึงการโจมตีเข้าผ่านทางผู้ใช้อย่าง Social Engineering ก็ตาม
ผู้กระทำ (Actor) อาจจะเป็นคนใดคนหนึ่ง, องค์กร หรือหน่วยงานรัฐก็เป็นได้
แรงบันดาลใจ (Motivation) ไม่ว่าจะเป็นการโจมตีเพื่อวัตถุประสงค์ทางการเงิน, การเมือง หรือการประชาสัมพันธ์ ซึ่งข้อมูลที่สามารถขโมยออกมาได้เหล่านี้ต่างก็มีราคาทั้งนั้น หรือแม้แต่ทุกช่องโหว่นั้นก็มีราคา และทุกระบบที่มีช่องโหว่และถูกโจมตีจนเป็นผลสำเร็จแล้ว ก็สามารถนำไปใช้ในการโจมตีระบบอื่นๆ อย่างต่อเนื่องได้ทั้งสิ้น
ประวัติศาสตร์ของ Threat หรือภัยคุกคาม และการโต้ตอบจากอุตสาหกรรม IT
เล่าโดยสรุปแล้ว ที่ผ่านมาของวงการ IT เรามีประวัติศาสตร์ทางด้านภัยคุกคามและการโต้ตอบดังต่อไปนี้
ในช่วงปี 2000 เป็นยุคของการโจมตีแบบ Host-based ผ่าน Virus/Worms และใช้เทคโนโลยี Signature-based อย่าง Anti-Virus ในการป้องกันเป็นหลัก
ในช่วงปี 2005 เป็นยุคของการโจมตีด้วย Spyware และ Rootkits ซึ่งก็มีเทคโนโลยีอย่าง IDS/IPS ที่ใช้ทั้ง Signature-based, Behavior-based มาคอยป้องกัน
ในช่วงปี 2010 ก็เริ่มเป็นยุคของ Cybersecurity และ Advanved Persistent Threats (APTs) ซึ่งก็มีการใช้ Global Reputation และ Sandboxing ขึ้นมาเป็นแนวทางหลักในการตรวจจับและป้องกัน
หลังจากปี 2015 ไปจนถึงอนาคต การโจมตีในรูปแบบที่หลากหลายบน Mobile และ Cloud เกิดขึ้นเยอะมากจนไม่สามารถแบ่งแยกรูปแบบได้อีกแล้ว ดังนั้นเทคโนโลยีหลักที่ใช้ในการรับมือจึงเป็นระบบ Intelligence & Analytics ที่สามารถตรวจจับการโจมตีลักษณะนี้ได้
ถึงแม้ในปัจจุบันนี้ การแบ่งปันข้อมูลทางด้านความปลอดภัย เพื่อใช้ในการตรวจสอบความน่าเชื่อถือของ URL และ File ต่างๆ รวมถึงข้อมูลเกี่ยวกับภัยคุกคามรูปแบบใหม่ๆ จะกลายเป็นหนทางหนึ่งที่จะช่วยให้ป้องกันการโจมตีที่มีความซับซ้อนสูงขึ้นได้ แต่เพียงเท่านี้ก็ยังถือว่าไม่เพียงพอต่อการรับมือการโจมตีในหลายๆ รูปแบบอยู่ดี
เนื้อหาข่าวฉบับเต็มอ่านต่อจากลิงค์นี้ได้ :
https://www.techtalkthai.com/it-security-basic-and-security-operations-in-cisco-from-cisco-night-academy-3/
สรุปความรู้พื้นฐานด้าน IT Security และการรักษาความปลอดภัยที่ใช้กันอยู่จริงภายใน Cisco เอง (เกี่ยวกับประเทศไทยด้วย)
ทั้งนี้ในตอนเรียนนั้นทางวิทยากรก็จะมีการยกกรณีตัวอย่างและกล่าวถึงบางเว็บไซต์ ซึ่งทางทีมงาน TechTalkThai ขออนุญาตเอาตรงนั้นออกนะครับ จะได้ไม่ส่งผลกระทบต่อชื่อเสียงของเว็บไซต์หรือหน่วยงานเหล่านั้น
Cisco ก็มีทีมรักษาความปลอดภัยให้พนักงานภายในองค์กรเช่นกัน
เนื่องจาก Cisco เป็นองค์กรขนาดใหญ่ ภายในบริษัท Cisco เองนั้นก็มีทีมงานที่คอยดูแลทางด้าน IT Security ให้กับพนักงานในองค์กรโดยเฉพาะ คล้ายๆ กับ CERT เองด้วยเช่นกัน รวมถึงยังมีทีม Security Operations สำหรับรับมือกับเรื่องการโจมตีต่างๆ โดยเฉพาะ และมีการใช้เครื่องมือต่างๆ ในการช่วยเหลือให้ทีมงานสามารถค้นหาภัยคุกคามต่างๆ ได้อย่างง่ายดายที่ Cisco ใช้กันภายใน
Threats หรือภัยคุกคาม กลายเป็นเรื่องใกล้ตัวของทุกคนไปแล้ว
สิ่งที่ผู้ใช้งานทุกคนควรจะทราบเอาไว้ก็คือ ในทุกๆ วินาทีที่เราเชื่อมต่อ Internet หรือเข้าเว็บไซต์ใดๆ ก็ตามแต่ เรามีความเสี่ยงในการที่จะถูกโจมตีอยู่เสมอ ตัวอย่างที่ใกล้ตัวสำหรับคนไทยก็คือ ในช่วงที่ผ่านมามีกรณีการที่เว็บไซต์ในไทยนั้นถูกโจมตีเพื่อฝังโค้ดที่เป็นอันตราย สำหรับใช้ในการเผยแพร่ Malware หรือโจมตีในรูปแบบต่างๆ เอาไว้ ซึ่งก็กลายเป็นช่องทางใหม่ในการโจมตีผู้ใช้งานอย่างเราๆ ได้อีกทางหนึ่งที่เราคาดไม่ถึง เพราะบางทีเว็บไซต์แห่งนั้นเราก็เข้าใช้งานอยู่ทุกวัน แต่อยู่มาวันหนึ่งเว็บนั้นก็กลายเป็นแหล่งแพร่กระจาย Malware ไปเสียแล้ว
อีกแนวโน้มหนึ่งที่ชัดเจนมากว่า Threats หรือภัยคุกคามนี้เป็นเรื่องที่ใกล้ตัวเรามากนั้น สามารถสังเกตได้จากการที่ระบบปฏิบัติการชั้นนำที่มีผู้ใช้งานจำนวนมากในทุกวันนี้ ไม่ว่าจะเป็น Microsoft Windows, Apple Mac OS X และ Apple iOS หรือแม้แต่ Google Android นั้น ต่างก็ออก Patch เพื่อุดช่องโหว่ทางด้านความปลอดภัยบ่อยขึ้น ในขณะที่ข่าวคราวเรื่องของช่องโหว่ต่างๆ และการโจมตีรูปแบบใหม่ๆ รวมถึงการโจมตีที่ประสบผลสำเร็จและเกิดความเสียหายมูลค่ามหาศาลนั้นก็เยอะขึ้นเป็นเงาตามตัว ดังนั้นเราคงจะปฏิเสธการมีอยู่ของภัยคุกคามบนโลกอินเตอร์เน็ตที่เราอาจตกเป็นเป้าการโจมตีไม่ได้อีกแล้ว
ทั้งนี้องค์กรต่างๆ ควรจะรับทราบเอาไว้ว่าทุกวันนี้บน Internet มีผู้ไม่หวังดีคอย Scan ระบบต่างๆ อยู่ตลอดเวลาเพื่อหาช่องโหว่สำหรับทำการโจมตี และหาผลประโยชน์จากการโจมตีเหล่านั้นได้ทั้งทางตรงและทางอ้อม ดังนั้นไม่ว่าจะเป็นองค์กรเล็กหรือองค์กรใหญ่ต่างก็มีสิทธิ์ตกเป็นเป้าของการโจมตีได้ทั้งสิ้น ต่างจากสมัยก่อนที่เป้าของการโจมตีมักจะเป็นองค์กรขนาดใหญ่หรือหน่วยงานที่มีเงินเพียงเท่านั้น
สำหรับกรณีของ Cyberwar ที่เคยคิดว่าคงไม่เกิดขึ้นในประเทศไทย อันที่จริงในประเทศไทยเคยเกิดกรณีนี้ขึ้นมาแล้ว เมื่อครั้งที่เรามีปัญหาตามเขตแนวชายแดนกับประเทศต่างๆ ซึ่งในเวลานั้นประเทศไทยก็ถูกโจมตีบางระบบหรือบางเว็บไซต์ในช่วงเวลานั้น ซึ่งอย่างกรณีนี้ก็คือตัวอย่างของการโจมตีเพื่อหวังผลทางการเมืองนั่นเอง
อีกกรณีหนึ่งคือมีบริษัท SME เจ้าหนึ่งในประเทศไทย เคยติด Ransomware ซึ่งพอสืบค้นดูแล้วพบว่ามีต้นตอการแพร่ระบาดมาจากในเมืองไทยด้วยกันเอง โดย Hacker ชาวต่างชาติได้ทำแคมเปญนี้ โดยโจมตี Server ในประเทศไทยเพื่อใช้เป็นฐานในการแพร่กระจาย Malware ในเมืองไทยเพื่อโจมตีคนไทยด้วยกันเองโดยเฉพาะ จะได้เพิ่มโอกาสการประสบความสำเร็จในการโจมตีได้ ดังนั้นถึงแม้ว่าจะเป็นบริษัทเล็กๆ แต่แง่มุมของการโจมตีเพื่อหวังผลประโยชน์ในลักษณะนี้ก็เป็นเรื่องที่ไม่มีองค์กรไหนหนีพ้น
นอกจากนี้การมาของ Smartphone เองก็ทำให้ต้องมีมุมมองใหม่ๆ เกี่ยวกับการรักษาความปลอดภัยเพิ่มขึ้นเช่นกัน เดี๋ยวนี้ในองค์กรบางแห่งก็เริ่มมีการห้ามนำ Smartphone เข้าไปใช้งานแล้ว เพราะ Smartphone นั้นก็สามารถทำตัวเป็น USB Drive ได้ และอาจใช้เป็นอุปกรณ์ในการขโมยข้อมูล หรือใช้ในการแพร่ระบาดของไวรัสหรือ Malware ในองค์กรแห่งนั้นก็ได้เช่นกัน โดยที่ยังไม่ต้องพูดถึงเรื่องของการเชื่อมต่อเครือข่าย หรือการโจมตีระบบเครือข่ายผ่านอุปกรณ์เหล่านี้เลยด้วยซ้ำ
Cisco ได้สรุปสั้นๆ เอาไว้ว่า ภัยคุกคามใดๆ ก็ตาม เกิดจาก 3 องค์ประกอบ ดังต่อไปนี้
ช่องโหว่ (Vulnerability) ทั้งในเชิง Technical คือการที่ซอฟต์แวร์หรือระบบต่างๆ มีช่องโหว่ในการทำงาน และ Weakness คือการใช้งานที่ไม่ปลอดภัย เช่น ใช้ การใช้ Default Password เป็นต้น รวมถึงการโจมตีเข้าผ่านทางผู้ใช้อย่าง Social Engineering ก็ตาม
ผู้กระทำ (Actor) อาจจะเป็นคนใดคนหนึ่ง, องค์กร หรือหน่วยงานรัฐก็เป็นได้
แรงบันดาลใจ (Motivation) ไม่ว่าจะเป็นการโจมตีเพื่อวัตถุประสงค์ทางการเงิน, การเมือง หรือการประชาสัมพันธ์ ซึ่งข้อมูลที่สามารถขโมยออกมาได้เหล่านี้ต่างก็มีราคาทั้งนั้น หรือแม้แต่ทุกช่องโหว่นั้นก็มีราคา และทุกระบบที่มีช่องโหว่และถูกโจมตีจนเป็นผลสำเร็จแล้ว ก็สามารถนำไปใช้ในการโจมตีระบบอื่นๆ อย่างต่อเนื่องได้ทั้งสิ้น
ประวัติศาสตร์ของ Threat หรือภัยคุกคาม และการโต้ตอบจากอุตสาหกรรม IT
เล่าโดยสรุปแล้ว ที่ผ่านมาของวงการ IT เรามีประวัติศาสตร์ทางด้านภัยคุกคามและการโต้ตอบดังต่อไปนี้
ในช่วงปี 2000 เป็นยุคของการโจมตีแบบ Host-based ผ่าน Virus/Worms และใช้เทคโนโลยี Signature-based อย่าง Anti-Virus ในการป้องกันเป็นหลัก
ในช่วงปี 2005 เป็นยุคของการโจมตีด้วย Spyware และ Rootkits ซึ่งก็มีเทคโนโลยีอย่าง IDS/IPS ที่ใช้ทั้ง Signature-based, Behavior-based มาคอยป้องกัน
ในช่วงปี 2010 ก็เริ่มเป็นยุคของ Cybersecurity และ Advanved Persistent Threats (APTs) ซึ่งก็มีการใช้ Global Reputation และ Sandboxing ขึ้นมาเป็นแนวทางหลักในการตรวจจับและป้องกัน
หลังจากปี 2015 ไปจนถึงอนาคต การโจมตีในรูปแบบที่หลากหลายบน Mobile และ Cloud เกิดขึ้นเยอะมากจนไม่สามารถแบ่งแยกรูปแบบได้อีกแล้ว ดังนั้นเทคโนโลยีหลักที่ใช้ในการรับมือจึงเป็นระบบ Intelligence & Analytics ที่สามารถตรวจจับการโจมตีลักษณะนี้ได้
ถึงแม้ในปัจจุบันนี้ การแบ่งปันข้อมูลทางด้านความปลอดภัย เพื่อใช้ในการตรวจสอบความน่าเชื่อถือของ URL และ File ต่างๆ รวมถึงข้อมูลเกี่ยวกับภัยคุกคามรูปแบบใหม่ๆ จะกลายเป็นหนทางหนึ่งที่จะช่วยให้ป้องกันการโจมตีที่มีความซับซ้อนสูงขึ้นได้ แต่เพียงเท่านี้ก็ยังถือว่าไม่เพียงพอต่อการรับมือการโจมตีในหลายๆ รูปแบบอยู่ดี
เนื้อหาข่าวฉบับเต็มอ่านต่อจากลิงค์นี้ได้ :
https://www.techtalkthai.com/it-security-basic-and-security-operations-in-cisco-from-cisco-night-academy-3/