ปัจจุบันระบบสารสนเทศขององค์กรต่าง ๆ หรือในองค์กรของเราเองนั้นล้วนมีช่องโหว่ของระบบอยู่ด้วยกันทั้งนั้น ผู้ดูแลระบบอาจจะรู้ถึงช่องโหว่และมีการดำเนินการแก้ไขเพื่อป้องกันหรือปิดช่องโหว่แล้ว และบางช่องโหว่นั้นอาจจะยังไม่ได้รับการแก้ไขหรือยังตรวจสอบไม่พบ โดยปกติแล้วช่องโหว่ในระบบสารสนเทศนั้นเกิดได้จากหลายสาเหตุ เช่น มีการเขียนโค้ดของแอฟลิเคชันอย่างไม่ปลอดภัย หรือการตั้งค่าซอฟต์แวร์และอุปกรณ์สารสนเทศอย่างไม่ปลอดภัย
วันนี้เราจะมาทำความรู้จักกับ Center for Internet Security (CIS Benchmarks) หรือที่เรารู้จักกันว่า ศูนย์รักษาความปลอดภัยอินเทอร์เน็ต ซึ่งจะเป็นตัวช่วยให้เราตั้งค่าอุปกรณ์ระบบสารสนเทศ และระบบปฏิบัติการต่าง ๆ ของเราให้มีความมั่นคงปลอดภัยมากยิ่งขึ้น
Center for Internet Security (CIS Benchmarks) คือชุดแนวปฏิบัติที่ได้รับการยอมรับทั่วโลก เพื่อช่วยให้ผู้ปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยทางสารสนเทศนำไปใช้งาน และจัดการตั้งค่าเพื่อเพิ่มการป้องกันด้านความปลอดภัยทางไซเบอร์ แนวปฏิบัติด้านการรักษาความปลอดภัยนี้จะช่วยป้องกัน และความเสี่ยงของผลกระทบที่เกิดขึ้นจากการโจมตีของผู้ไม่ประสงค์ดี องค์กรสามารถนำแนวปฏิบัติเกณฑ์มาตรฐาน CIS ไปใช้งานภายในองค์กร เพื่อกำจัดช่องโหว่ด้านการรักษาความมั่นคงปลอดภัยในระบบสารสนเทศขององค์กร นอกเหนือจากนั้นแนวปฏิบัติเหล่านี้เป็นจุดเริ่มต้นที่ดีในการจัดทำแผนการตั้งค่าระบบสารสนเทศภายในองค์กรที่มีอยู่ในปัจจุบันและในอนาคตที่มีแผนจะจัดทำ เพื่อวางแผนหรือออกแบบการตั้งค่าของระบบเพื่อนำไปใช้งานได้อย่างมีความมั่นคงความปลอดภัย โดย CIS Benchmark จะสามารถรักษาความปลอดภัยของระบบจากความเสี่ยงที่พบบ่อยและที่เกิดใหม่ได้ดีด้วยการดำเนินขั้นตอนต่าง ๆ เช่น การควบคุมการเข้าถึงระบบปฏิบัติการ การปิดใช้งานพอร์ตที่ไม่ได้ใช้ การปิดใช้ฟังก์ชันที่ไม่ได้ใช้ การจำกัดสิทธิ์ดูแลระบบ การจัดการแพทช์ การตั้งค่าเว็บบราว์เซอร์ การตั้งค่าความเป็นส่วนตัว เป็นต้น
ระบบไอทีประเภทใดที่ CIS Benchmark ครอบคลุม
CIS Benchmark ได้เผยแพร่เกณฑ์มาตรฐานกว่า 100 รายการซึ่งครอบคลุมกลุ่มผลิตภัณฑ์ของผู้จำหน่ายกว่า 25 กลุ่ม โดยเทคโนโลยีที่ CIS Benchmark ครอบคลุมถึงนั้นสามารถจัดกลุ่มได้อย่างกว้าง ๆ เป็นเจ็ดกลุ่มดังต่อไปนี้
1. ระบบปฏิบัติการ (Operating Systems)
การกำหนดค่าการรักษาความปลอดภัยมาตรฐานกับระบบปฏิบัติการ CIS นั้นมีแนวปฏิบัติของระบบปฏิบัติการที่เป็นที่นิยมในท้องตลาด เช่น Microsoft Windows Desktop, Apple mac OS, Debian Linux, Ubuntu Linux, Amazon Linux, CentOS Linux, Oracle Linux, Red Hat Enterprise Linux, SUSE Linux Enterprise Server, Microsoft Windows Server เป็นต้น
1. ซอฟต์แวร์เซิร์ฟเวอร์ (Server Software)
การกำหนดค่าการรักษาความปลอดภัยมาตรฐานกับซอฟต์แวร์ CIS นั้นมีแนวปฏิบัติของซอฟต์แวร์เซิร์ฟเวอร์ ที่เป็นที่นิยมในท้องตลาด เช่น Microsoft IIS, VMware, Microsoft SharePoint, MongoDB, Apache Tomcat, Microsoft SQL Server, PostgreSQL, Apache HTTP Server, Docker, Oracle Database เป็นต้น
2. ผู้ให้บริการระบบคลาวด์ (Cloud Providers)
การกำหนดค่าสำหรับโครงสร้างพื้นฐานระบบคลาวด์ให้เป็นไปตามมาตรฐาน CIS นั้นมีแนวปฏิบัติของผู้ให้บริการที่เป็นที่นิยมในท้องตลา เช่น เป็นต้น Amazon Web Services, Google Cloud Computing Platform, Microsoft Azure, Oracle Cloud Infrastructure, Alibaba Cloud, Microsoft 365 เป็นต้น
3. ซอฟต์แวร์เดสก์ท็อป (Desktop Software)
การกำหนดค่าสำหรับซอฟต์แวร์เดสก์ท็อป ให้เป็นไปตามมาตรฐาน CIS นั้นมีแนวปฏิบัติของผู้ให้บริการที่เป็นที่นิยมในท้องตลาด เช่น Microsoft Office, Microsoft Exchange Server, Mozilla Firefox, Safari Browser, Google Chrome, Zoom เป็นต้น
4. อุปกรณ์มือถือ (Mobile Devices)
การกำหนดค่าสำหรับอุปกรณ์มือถือหรืออุปกรณ์พกพาอื่นๆ ให้เป็นไปตามมาตรฐาน CIS นั้นมีแนวปฏิบัติของผู้ให้บริการที่เป็นที่นิยมในท้องตลาด เช่น Apple iOS, Google Android เป็นต้น
5. อุปกรณ์เครือข่าย (Network Devices)
การกำหนดค่าสำหรับอุปกรณ์เครือข่าย เช่น ไฟร์วอลล์ เราเตอร์ สวิตช์ ให้เป็นไปตามมาตรฐาน CIS นั้นมีแนวปฏิบัติของผู้ให้บริการที่เป็นที่นิยมในท้องตลาด เช่น Cisco, Palo Alto Networks, Check Point Firewall, Juniper, F5, Sophos เป็นต้น
6. อุปกรณ์การพิมพ์แบบมัลติฟังก์ชัน (Multi Function Print Devices)
การกำหนดค่าสำหรับอุปกรณ์การพิมพ์แบบมัลติฟังก์ชัน เช่น เครื่องพิมพ์มัลติฟังก์ชัน เครื่องสแกน และเครื่องถ่ายเอกสาร CIS นั้นมีแนวปฏิบัติครอบคลุมแนวปฏิบัติที่ดีเพื่อการกำหนดค่าที่ปลอดภัย
ดังนั้นถ้าหากเราต้องการตั้งค่าอุปกรณ์สารสนเทศของเราให้มีความมั่นคงปลอดภายมากยิ่งขึ้น เมื่อเรามีข้อมูลของอุปกรณ์ที่ใช้งานอยู่ เราสามารถค้นหาในเว็บไซต์ของ CIS ตามลิงค์นี้ https://downloads.cisecurity.org/#/all ตัวอย่างเช่น เราใช้งาน Firewall ยี่ห้อ Palo alto โดยใช้เฟริมแวร์เวอร์ชัน 9.0 ในเว็บไซต์ของCIS จะมีเอกสาร Palo Alto Firewall 9 Benchmark ให้เราสามารถดาวน์โหลดมาเพื่อศึกษาและทำความเข้าใจกับแนวปฏิบัติได้ โดยในเอกสารจะแบ่งแนวปฏิบัติการตั้งค่า ของอุปกรณ์ออกเป็นหมวดต่างๆ เช่น Device Setup, User Identification, High Availability, Dynamic update, Security Profile, Security Policy เป็นต้น ดังนั้นเราจึงสามารถนำคำแนะนำจากเอกสาร CIS Benchmark มาปรับใช้ ในการตั้งค่าระบบของเราได้
อย่างไรก็ตามการทำให้ระบบปลอดภัยมากยิ่งขึ้น หลายๆ ครั้งการตั้งค่าอาจเป็นการปิดความสามารถบางอย่างของระบบไปด้วย เพื่อลดจุดที่แฮกเกอร์จะเข้ามาโจมตี ดังนั้นเราจึงจำเป็นต้องทำความเข้าใจระบบพร้อมกับค่าที่เราจะตั้งด้วยเพื่อป้องกันปัญหาอื่น ๆ ที่อาจตามมาได้ เช่นตั้งค่าแล้วระบบอาจจะล่มได้
ซึ่งบทความนี้เป็นการแนะนำให้องค์กรเข้าใจเกี่ยวกับการตั้งค่าระบบสารสนเทศให้มีความมั่นคงปลอดภัยมากยิ่งขึ้นโดยใช้ Center for Internet Security (CIS Benchmarks) เพื่อที่องค์กรจะได้ทบทวน หรือจัดทำแนวทางการตั้งค่าระบบให้เหมาะสม เพื่อช่วยบริหารจัดการและป้องกันภัยคุกคามทั้งจากภายในและภายนอกองค์กรได้
