Zero Trust Architecture กับการป้องกัน Insider Threats

หากพูดถึงคำว่า Cyberthreat หรือภัยคุกคามทางไซเบอร์ ผู้อ่านหลายท่านอาจจะนึกถึงเรื่องที่เราเคยเห็นตามข่าวทั่วไป เช่น การจารกรรมข้อมูลมาปล่อยตามอินเทอร์เน็ต (Cyber Espionage), การปล่อยมัลแวร์เรียกค่าไถ่ตามองค์กรต่าง ๆ (Ransomware) หรือการถูกโจมตีด้วยอีเมลหลอกลวงเพื่อหลอกให้บุคคลกรอกข้อมูล (Phishing) ก็ตาม แต่อีกหนึ่งในภัยคุกคามที่เกิดขึ้นอยู่บ่อยครั้งในช่วงระยะเวลาที่ผ่านมา และหลายองค์กรอาจปล่อยปละละเลยจนเกิดเป็นภัยคุกคามแก่องค์กรตัวเอง คือ ภัยคุกคามที่เกิดจากภายในองค์กรเอง หรือที่เรียกว่า Insider Threats

Insider Threats

กล่าวถึง Insider Threats โดยสรุปแล้ว คือการเกิดภัยคุกคามกับทางองค์กรซึ่งส่งผลโดยตรงกับการรักษาความลับของข้อมูล (Confidentiality), ความแท้จริงของข้อมูล (Integrity) และการใช้งานได้ของระบบ (Availability) หรือ CIA ซึ่งเกิดจากภายในองค์กรเอง ไม่ได้เกิดจากปัจจัยภายนอก โดยแบ่งเป็น 3 ประเภทหลัก ๆ ได้แก่

1. Unintentional Threats หรือภัยคุกคามที่เกิดโดยไม่ได้ตั้งใจ ซึ่งแบ่งได้อีกเป็น 2 ลักษณะคือ

• Negligence หรือ ความประมาทเลินเล่อของพนักงาน เช่น การนำโน้ตบุ๊กไปทำงานที่ร้านกาแฟ แล้วเปิดทิ้งไว้โดยไม่ล็อกหน้าจอ หรือเลี่ยงการอัปเดตแพตช์ของ Anti-virus ของอุปกรณ์ภายในองค์กร
• Accidental หรือ อุบัติเหตุจากพนักงาน เช่น การส่งข้อมูลสำคัญผ่านอีเมลโดยใส่อีเมลผิด หรือการกดโฆษณาในเว็บไซต์ที่ใช้งานอยู่โดยไม่ตั้งใจก็ตาม

2. Malicious Threats หรือ ภัยคุกคามที่เกิดจากพนักงานโดยตรง เช่น การปล่อยข้อมูลสำคัญขององค์กรออกทางอินเทอร์เน็ต เนื่องจากความไม่พอใจ หรือการโจมตีพนักงานอื่นภายในองค์กรที่ไม่ชอบหน้า ด้วยการปล่อยข้อมูลส่วนตัวทางอินเทอร์เน็ตในทางเสีย ๆ หาย ๆ

3. Other Threats หรือภัยคุกคามจากทางอื่น ๆ ซึ่งแบ่งได้อีก 2 ลักษณะคือ

• Collusive หรือ การสมรู้ร่วมคิดระหว่างพนักงาน กับผู้ไม่หวังดี เช่น ขายข้อมูลให้ Hacker เพื่อผลประโยชน์
• Third-Party หรือ จากบุคคลที่สาม เช่น การให้ Vendor มาใช้งานอุปกรณ์แล้วเปิดทิ้งไว้ หรือ การผู้ติดต่อนำข้อมูลไปในทางที่ผิด ซึ่งอาจเป็นทั้งโดยเจตนาหรือไม่เจตนาก็ตาม

ที่มา: https://uniserveit.com/blog/how-to-protect-your-business-from-insider-threats

โดยการเกิด Insider Threats อาจก่อให้เกิดอันตรายต่อองค์กรโดยตรง อีกทั้งวิจัยจากบริษัทชื่อดังอย่าง IBM ได้วิเคราะห์ว่า หากเกิดข้อมูลรั่วไหลขึ้นแต่ละครั้ง อาจสูญเสียเงินโดยรวมเป็นจำนวนถึง 3 ล้านเหรียญสหรัฐ อีกทั้งยังมีความเสียหายอื่นที่ตามมา เช่น การจารกรรมข้อมูล การทำร้ายทางจิตใจ การถูกโจมตีทางไซเบอร์ เป็นต้น

โดยทางปกติองค์กรจะมีแผนการรับมือเบื้องต้นเพื่อรองรับเหตุการณ์เหล่านี้ เช่น การกำหนดนโยบาย (Procedures and Policies) ภายในองค์กร หรือการจัดอบรมความปลอดภัยทางไซเบอร์ (Cybersecurity Awareness) ก็ตาม แต่ก็เป็นการป้องกันในเชิงของบุคคล และกระบวนการ (People and Process) เท่านั้น ซึ่งก็ได้มีเทคโนโลยีที่เข้ามาช่วยรองรับเหตุการณ์เหล่านี้ เพื่อให้การรับมือกับภัยคุกคามภายในมีประสิทธิภาพมากขึ้น

Zero Trust Architecture

Zero Trust Architecture หรือแนวคิดด้านเทคโนโลยีที่จะไม่เชื่ออะไรก็ตามที่ใช้งาน และทำการตรวจสอบเสมอด้วยแนวคิดที่ว่า

“Never trust, Always Verify”

Zero Trust Architecture หรือ ZTA กำเนิดขึ้นเมื่อปี 2010 โดย John Kindervag และ Google ก็ได้นำมาต่อยอด และประกาศชื่อ Zero Trust Policy ขึ้นมาในชื่อ BeyondCorp และได้เป็นที่รู้จักเพิ่มขึ้นในวงกว้าง โดยเริ่มต้นจากปัญหาด้าน IT ที่เริ่มมีแนวคิดคล้ายกับการขุดคลองล้อมรอบปราสาท หรือเรียกว่า Castle-and-Moat เพื่อป้องกันระบบภายใน และให้เข้าถึงได้เฉพาะช่องทางที่จำเป็นเท่านั้น เริ่มไม่ตอบโจทย์กับการใช้งานจริงในปัจจุบัน

ที่มา: https://cyberhoot.com/cybrary/castle-and-moat-network-model/

เนื่องจากปัญหาต่าง ๆ ที่เกิดจากพนักงานภายในองค์กร เช่น การนำอุปกรณ์ส่วนตัวมาใช้กับ Resource ขององค์กรหรือที่เรียกกันว่า Bring-Your-Own-Device (BYOD) โดยที่องค์กรไม่สามารถควบคุมการเข้าถึงได้เลย หรือการถูกบุกรุกข้อมูลจากเส้นทางอื่นก็ตาม อาจเช่นภัยคุกคามมีความฉลาดเกิน จนสามารถข้ามคูคลองที่ขุดขวางมาโดยตรงได้ จึงกำเนิดเป็นสถาปัตยกรรมที่เรียกว่า Zero Trust ขึ้นโดยที่มีหลักการทำงานคือ

• ไม่มีการเชื่อถืออุปกรณ์ และบุคคลใด ๆ ก็ตามที่มาเชื่อมต่อกับระบบภายในทั้งสิ้น
• การกำหนดสิทธิการเข้าถึงอุปกรณ์ให้มีความจำเป็นน้อยที่สุด
• การเข้าถึงอุปกรณ์ต้องได้รับการยืนยันตัวตนทุกครั้ง ไม่ว่าจะเป็นพนักงานภายในหรือภายนอกองค์กรก็ตาม

การที่องค์กรจะปรับตัวเพื่อให้เข้ากับสถาปัตยกรรมนี้ การไม่กำหนดความเชื่อถือใดเลยให้พนักงาน อาจทำให้ปรับตัวได้ค่อนข้างยาก จึงต้องค่อย ๆ ปรับตัวเพื่อลดความเสี่ยงที่จะเกิดขึ้นอย่างช้า ๆ และปรับกระบวนการ ซึ่งอาจจะค่อย ๆ ปรับโดยยึดการทำงานจากหลักการของ ZTA หรือ ZTA Framework รวมกับปัจจัยหลักในการทำ Zero Trust อันได้แก่ 5 เสาหลักของ Zero Trust คือ

• Identity Trust
• Device Trust
• Network / Environment Trust
• Application Trust
• Data Trust

โดยอยู่ภายใต้พื้นฐานของการทำเสาหลัก คือ หลักธรรมาภิบาลด้านเทคโนโลยี (Governance) การควบคุมการเข้าถึงอัตโนมัติและรวบรวมระบบ (Automation and Orchestration) และสามารถเข้าถึง นำไปวิเคราะห์ได้ (Visibility and Analytics)

ที่มา: https://er.educause.edu/articles/2022/2/zero-trust-architecture-rethinking-cybersecurity-for-changing-environments/

ที่มา: https://news.mit.edu/2022/zero-trust-architecture-may-hold-answer-cybersecurity-insider-threats-0517

ซึ่งสามารถปรับตัวได้ทีละขั้น อาจอ้างอิงจากวิธีการดำเนินการนี้

1. การประเมินความเสี่ยงเบื้องต้น (Risk Assessment) โดยยึดจากพื้นฐานของ ZTA
2. กำหนดเป้าหมายในการทำ ZTA โดยดูจากระบบ ข้อมูล บุคคล และอุปกรณ์ขององค์กร
3. กำหนดแผนงาน (Business Plan) และนำเสนอแนวคิดให้ผู้บริหารภายในองค์กร
4. จัดตั้งงบและทรัพยากรในการติดตั้ง
5. เริ่มติดตั้งระบบ ZTA ให้เข้ากับพื้นฐานโครงสร้างของแต่ละเสาหลัก
6. กำหนดขอบเขต และกฎเกณฑ์ในการเข้าถึงระบบ
7. เพิ่มขั้นตอนการเข้าสู่ระบบ เช่นการทำ Multi-Factor Authentication (MFA)
8. ตระหนักและระวังถึงบัญชีในแต่ละอุปกรณ์, Application และ Databases
9. เพิ่มกระบวนการเข้าถึงการควบคุม หรือ Access Control model เช่น Attribute-based Model
10. เฝ้าระวังการเข้าถึงระบบและกิจกรรมต่าง ๆ ของระบบ โดยเช็คจากกฎเกณฑ์ที่กำหนดในแต่ละส่วน

ซึ่งหลังจากผ่านกระบวนการทั้งหมดแล้ว จึงสามารถตอบได้ว่า องค์กรต้องทยอยปรับ Zero Trust Architecture ให้เข้ากับระบบ เพื่อไม่ให้มีการเข้าถึงที่ยุ่งยากเกินไปต่อผู้ใช้งาน และลดความเสี่ยงในการเข้าถึงระบบต่าง ๆ ไม่ได้ด้วย

สรุป Zero Trust Architecture and Insider Threats

โดยสรุปภัยคุกคามที่อาจเกิดขึ้น ถึงแม้จะไม่มีเทคโนโลยีใดที่สามารถปกป้องการเกิดภัยคุกคามได้ 100% แต่หนึ่งในเทคโนโลยีที่ช่วยลดอัตราการเกิดภัยคุกคาม และบรรเทาสิ่งที่เกิดขึ้น ให้มีผลกระทบที่ต่ำลง คือ Zero Trust Architecture ซึ่งไม่ว่าผู้ใช้จะเป็นผู้ใช้จากภายนอก ซึ่งจะต้องผ่านกระบวนการการเข้าถึงอุปกรณ์มากขั้นตอนอยู่แล้ว หรือผู้ใช้ภายในเอง ซึ่งคือหนึ่งในอัตราการเกิดภัยคุกคามจากภายในองค์กรนั้น ก็จะต้องผ่านกระบวนการ Zero Trust เช่นกัน ซึ่งการเพิ่มระบบความปลอดภัยนี้เอง แม้จะเพิ่มกระบวนการด้านความยุ่งยากในการเข้าถึง แต่ก็แลกมากับการที่สามารถยืนยันตัวตนการเข้าถึงระบบได้ มีหลักฐานยืนยันว่ามาจากบุคคลจริง และต้องผ่านการอนุมัติจากผู้ควบคุมระบบ หรือแอปพลิเคชันนั้น ๆ โดยเฉพาะอย่างยิ่งกับระบบที่สำคัญมาก ๆ ขององค์กร จะช่วยเพิ่มประสิทธิภาพให้กับระบบ เครื่องมือ ข้อมูล และบุคลากรขององค์กรให้มีความปลอดภัยสูงขึ้น และลดอัตราเสี่ยงที่จะเกิดภัยคุกคามภายในให้น้อยลงได้

อ้างอิง

- Managing Insider Threats with Zero Trust Model — Identity Management Institute®

- Zero Trust Architecture: Rethinking Cybersecurity for Changing Environments | EDUCAUSE

- Zero-trust architecture may hold the answer to cybersecurity insider threats | MIT News | Massachusetts Institute of Technology

- Defining Insider Threats | CISA

- https://www.youtube.com/watch?v=6I6bnNdZ5XU