Author By: Prinya Hom-anek, CISSP, SSCP, CSSLP, CISA, CISM, CRISC, CGEIT, CASP,
ITIL Expert, COBITB 5 Impleementation, CBCI, IRCA ISMS LA
President and Founder, ACIS Professional Center

การมาถึงของยุคแห่ง S-M-C-I (ดูรูปที่ 1) ทำให้หลายองค์กรต้องเตรียมตัวรับมือกับภัยคุกคามใหม่ๆ ที่มาทางไซเบอร์ โดยผ่านช่องทาง Social Network, Mobile Devices หรือ Cloud Services ต่างๆ โดยสภาพและลักษณะของภัยคุกคามมีการเปลี่ยนแปลงไปจากเดิมอย่างมาก ตลอดจนมีรูปแบบในการโจมตีเป้าหมายที่หลากหลาย ไม่ว่าจะเป็น APT (Advanced Persistent Threat) Attack, Watering Hole Attack หรือ Spear Phishing Attack ล่าสุดปัญหา Ransomware และ Malware Pre-load on Hardware กำลังมาแรงมากจนทำให้ผู้เชี่ยวชาญและผู้ปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ตามแทบไม่ทัน ดังนั้นแนวความคิดและแนวทางในการป้องกันระบบและทรัพย์สินขององค์กรให้ได้ประสิทธิผล (effectiveness) จึงจำเป็นอย่างยิ่งยวดที่จะต้องปรับความคิดและปรับกลยุทธ์ ให้สอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไปดังกล่าว (Threat Landscape changed) และ ควรเพิ่มปัจจัยที่สำคัญอีกปัจจัยลงไปในสมการแห่งการเปลี่ยนแปลงนี้ด้วย ได้แก่ ปัจจัยของเวลา (Time Factor) เพราะ “เวลา” มีผลต่อการป้องกันทรัพย์สินและระบบสารสนเทศขององค์กร จากรูปที่ 1 พบว่าหัวใจสำคัญก็คือ องค์กรต้องป้องกันเรื่องของ “Privacy Risk” ซึ่งจะนำไปสู่ “Reputation Risk” ในที่สุดเราควรเข้าใจทั้งความสภาวะแวดล้อมใหม่ๆที่เปลี่ยนจาก stage ที่ 1 “Information Security” เข้าสู่ stage ที่ 2 “Cybersecurity” และเข้าสู่ stage ที่ 3 ได้แก่ “Cyber Resilience” รูปที่ 2

รูปที่ 1: Privacy in the heart of S-M-C-I era with four factors to be concerned 1. Information Security 2. Cybersecurity 3. Cyber Resilience and 4. Organizational Resilience & Business Resilience source: Modified from Gartner Nexus of the disruptive forces

รูปที่ 2: How to build cyber resilience to your organization : 3 Stages from ISF , Information Security , Cybersecurity and Cyber Resilience : source : Information Security Forum (ISF)

ในปัจจุบันเราคงต้องยอมรับว่ากลไกในการป้องกันการโจมตีจากแฮกเกอร์และผู้ไม่หวังดีโดยใช้มัลแวร์เป็นเครื่องมือนั้นไม่ได้มีประสิทธิผลเท่าที่ควร ดูได้จากการแก้ปัญหาด้านความมั่นคงปลอดภัยสารสนเทศขององค์กรนั้นมีประวัติอันยาวนานมาตั้งแต่ ปี ค.ศ. 1988 ที่ Robert T. Morris สร้าง Internet worm ตัวแรกของโลกขึ้นโดยบังเอิญ จากวันนั้นถึงวันนี้ ค.ศ. 2015 ผ่านมาแล้ว 27 ปี ยังไม่สามารถแก้ปัญหามัลแวร์ได้ 100% ยกตัวอย่าง ทุกวันนี้ยังมีการโจมตีแบบ APT (Advanced Persistent Threat) และ Ransomware อยู่โดยตลอดเวลา ดูได้จากข่าวรายวันที่มีบริษัทใหญ่ๆถูกเจาะระบบอยู่เป็นประจำ ยกตัวอย่าง เช่น Home Depot, Target Supermarket และ Sony Pictures

รูปที่ 3: Today Cybersecurity Traditional Approach doesn’t work

รูปที่ 4: P-D-R and D-R-P security model with Time-Based Security Concept

สาเหตุของปัญหาก็คือ แนวความคิดในการแก้ปัญหาความมั่นคงปลอดภัยไซเบอร์ยังอยู่ในสมการ P-D-R Model โดย P คือ Protect, D คือ Detect และ R คือ React ( ป้องกัน ตรวจจับ และ ตอบสนอง) เรามีความเชื่อว่าการป้องกัน (P) คือการแก้ปัญหาที่ดีที่สุด (Old Concept: Protective Control is the best control ) แต่จากสภาวะโลกไซเบอร์ในปัจจุบัน. Winn Schwartau ผู้เขียนหนังสือ “TIME-BASED SECURITY” ได้ค้นพบว่า P-D-R Model จะนำมาใช้ประโยชน์ได้ก็ต่อเมื่อ Pt > (Dt + Rt) โดย t = time (เวลา) สมการนี้มีความหมายว่า ถ้าเวลาในการป้องกันมากกว่าเวลาในการตรวจจับและเวลาในการตอบสนอง องค์กรจะสามารถคงสภาวะที่ยังมีความมั่นคงปลอดภัยไว้ได้ แต่ถ้าเวลาในการป้องกันน้อยกว่าเวลาในการตรวจจับและเวลาในการตอบสนอง ระบบขององค์กรก็จะไม่ปลอดภัยอีกต่อไป ซึ่งในโลกไซเบอร์ปัจจุบัน สมการ มีลักษณะดังนี้

Pt << (Dt + Rt)

หมายถึงเวลาในการตรวจจับและตอบสนองมีมากกว่าเวลาในการป้องกันเป็นอย่างมาก (ดูรูปที่ 4)
ดังนั้นเราจึงควรหันมาเปลี่ยน Mindset จากการทุ่มเททรัพยากรไปที่ “P” มาเป็นการให้ความสำคัญที่ “D” และ “R” มากขึ้น ถ้าเราต้องการให้ระบบขององค์กรมั่นคงปลอดภัย เราควร “ลดเวลาในการตรวจจับลง” (decrease Dt) และ “ลดเวลาในการตอบสนองลง” (decrease Rt) ด้วยเช่นกัน
กล่าวโดยสรุปจะเห็นได้ว่ามี 4 ปัจจัยที่เราต้องนำมาพิจารณาไตร่ตรองอย่างรอบคอบในการวางแผนกลยุทธด้านความมั่นคงปลอดภัย (Security Strategy) ได้แก่
1. Protection (การป้องกัน)
2. Detection (การตรวจจับ)
3. Reaction (การตอบสนอง)
4. Time (เวลา)
กุญแจของการแก้ปัญหาด้านความมั่นคงปลอดภัยสารสนเทศนั้น ควรมีมุมมอง 3 ด้าน (PPT Concept) ได้แก่ People, Process and Technology การปรับกระบวนการโดยการปฏิบัติตามมาตรฐาน ISO/IEC 27001:2013 ก็ดี หรือ การนำเทศโนโลยีสมัยใหม่มาใช้ในองค์กร เช่น APT Detection using Sandbox, การใช้ SIEM, การใช้ Next-Gen Firewall ก็ดี เป็นการแก้ปัญหาที่ Process และ Technology แต่รากเหง้าของปัญหาที่แท้จริงแล้วปัจจัยสำคัญอยู่ที่ “มนุษย์” หรือ “People” ในการเตรียมพร้อมรับมือกับภัยคุกคามต่างๆที่อาจเกิดขึ้นเมื่อใดก็ได้
การเตรียมความพร้อมของผู้ใช้ระบบสารสนเทศทั่วไป (User Readiness and Responsiveness by performing Cyber Drill) และการให้ความรู้ด้านภัยสารสนเทศ (User Information Security Awareness Training by performing Information Security Awareness Training) จึงเป็นเรื่องจำเป็นที่องค์กรต้องทำเป็นประจำทุกปี ยกตัวอย่าง เรื่องการซ้อมหนีไฟ (Fire Drill) องค์กรยังมีการซ้อมอยู่เป็นประจำทุกปี แล้วทำไมองค์กรไม่ทำการซ้อมรับมือภัยทางไซเบอร์ที่เรียกว่า “Cyber Drill” (ดูรูปที่ 5) เพื่อให้ผู้ใช้คอมพิวเตอร์ในองค์กรตลอดจนผู้บริหารทั้งระดับกลางและระดับสูงได้ตระหนักรู้และสร้างประสบการณ์ในการรับมือกับภัยคุกคามอย่างได้ผลในทางปฏิบัติ มีความพร้อมต่อการรับมือ “Incident” ต่างๆที่จะเกิดขึ้น ทาง ACIS CYBERLAB ได้ทำการทดลองปฏิบัติการ “Cyber Drill” กับพนักงาน ACIS Professional Center ทั้ง 68 คน ผลการทดลองเป็นไปตามรูปที่ 6 เราพบว่า พนักงาน 27 คนจาก 68 คน เปิด email ปลอมที่ส่งมาด้วยวิธีการ Targeted Attack และ Social Engineering และ 13 คน จาก 27 คน ได้บอกรหัสผ่านแก่แฮกเกอร์โดยไม่รู้ตัว โดยแฮกเกอร์สามารนำชื่อผู้ใช้และรหัสผ่านไปใช้ได้อย่างสบาย หลังจากการทดลองครั้งแรก เราได้ทดลองอีก 2 ครั้ง อัตราการติดบ่วงการหลอกด้วยวิธีการ “Social Enginering” ดังกล่าวนั้นลดลงอย่างชัดเจน เพราะพนักงานเริ่มรู้ตัวแล้วว่าเป็นการส่ง email หลอก (Phishing email) โดยมัลแวร์หรือแฮกเกอร์

รูปที่ 5: Cyber Drill Operation

รูปที่ 6: Cyber Drill Result at ACIS office

จะเห็นได้ว่าการฝึกซ้อมให้พนักงานรับมือกับการโจมตีทางอินเตอร์เน็ตเป็นเรื่องที่มีความสำคัญอย่างยิ่งยวด เพื่อพนักงานจะได้มี Responsive and Readiness มีความพร้อมและความตระหนัก ปฏิบัติการ “Cyber Drill” ถือเป็นการเตรียมความพร้อมกับภัยคุกคามทางไซเบอร์ได้อย่างดีที่สุดในเวลานี้ เพราะจุดอ่อนขององค์กรมักจะอยู่ที่คนเป็นหลัก
นอกจากนี้กลไกกระบวนการและเทคนิคในการตรวจจับความผิดปกติในระบบ แบบ Real-Time ก็มีความจำเป็นเช่นกัน ตลอดจนระบบป้องกันที่สามารถ “ปิด” ช่องทางของแฮกเกอร์ ได้ในเวลาที่กำหนดก็เป็นอีกเรื่องที่สำคัญ ซึ่งเวลาจะแปรผันตรงกับความเสียหาย ในรูปแบบ Exponential (ดูรูปที่ 7)

รูปที่ 7: Business Impact & Time

เพราะฉะนั้นเราจึงควรเปลี่ยน Mindset ที่เป็น “Fortress Mentality” มาเป็น “Responsive and Readiness Mentality” และเปลี่ยนคำถามจาก “Are we Secure?” เป็น “Are we Ready?” หมายถึง การเตรียมพร้อมกับเหตุการณ์ไม่พึงประสงค์อยู่ตลอดเวลาก็จะช่วยทำให้การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศชองเรามีประสิทธิผลมากขึ้นโดยลำดับ สามารถทำให้องค์กรมี “Cyber Resilience” และ “Business Resilience” ในที่สุด