ทุกคนชอบพลอตเรื่องสายลับที่มีการหักมุมเป็นสองหน้าในภาพยนตร์ แต่สถานการณ์นี้แตกต่างออกไปเมื่อพูดถึงการรักษาความปลอดภัยของข้อมูลในบริษัท ภัยคุกคามจากภายในไม่ว่าจะเป็นเจตนาหรือไม่เจตนาก็เป็นเรื่องที่ต้องให้ความสำคัญตามที่การวิจัยของ CSA เปิดเผยว่า 26% ของบริษัทที่รายงานเหตุการณ์ความปลอดภัยใน SaaS ถูกโจมตีโดยภัยคุกคามจากภายใน
ความท้าทายสำหรับหลายๆ บริษัทคือการตรวจจับภัยคุกคามเหล่านี้ก่อนที่จะนำไปสู่การละเมิดข้อมูลอย่างเต็มรูปแบบ หลายๆ ผู้เชี่ยวชาญด้านความปลอดภัยเชื่อว่าพวกเขาไม่สามารถป้องกันตัวเองจากผู้ใช้ที่จัดการได้อย่างถูกต้องที่เข้าสู่ระบบด้วยข้อมูลรับรองที่ถูกต้องโดยใช้วิธี MFA ของบริษัท ภายในองค์กรสามารถเข้าสู่ระบบได้ในช่วงเวลาทำการปกติ และสามารถอธิบายการเข้าถึงในแอปพลิเคชันได้อย่างง่ายดาย
การควบคุมภัยคุกคามที่เน้นการระบุตัวตนด้วย ITDR
ในด้านความปลอดภัยของ SaaS แพลตฟอร์ม Identity Threat Detection & Response (ITDR) จะค้นหาคำใบ้พฤติกรรมที่บ่งชี้ว่าแอปพลิเคชันอาจถูกโจมตี ทุกเหตุการณ์ในแอปพลิเคชัน SaaS จะถูกบันทึกไว้ในบันทึกเหตุการณ์ของแอปพลิเคชัน ซึ่งจะได้รับการตรวจสอบ และเมื่อเกิดสิ่งที่น่าสงสัย ระบบจะส่งสัญญาณเตือน ซึ่งเรียกว่า Indicator of Compromise (IOC)
สำหรับภัยคุกคามจากภายนอก IOC ส่วนใหญ่จะเกี่ยวข้องกับวิธีการเข้าสู่ระบบและอุปกรณ์ รวมถึงพฤติกรรมของผู้ใช้เมื่อพวกเขาได้รับการเข้าถึงแล้ว สำหรับภัยคุกคามจากภายใน IOC จะเน้นที่ความผิดปกติในพฤติกรรม เมื่อ IOC ถึงเกณฑ์ที่กำหนด ระบบจะรับรู้ว่าแอปพลิเคชันกำลังเผชิญกับภัยคุกคาม
ส่วนใหญ่แล้ว โซลูชัน ITDR จะมุ่งเน้นที่การปกป้องจุดสิ้นสุด (endpoint) และ Active Directory ภายในองค์กร แต่ไม่ได้ออกแบบมาเพื่อจัดการกับภัยคุกคามใน SaaS ซึ่งต้องใช้ความเชี่ยวชาญในแอปพลิเคชันอย่างลึกซึ้งและสามารถทำได้โดยการตรวจสอบและวิเคราะห์เหตุการณ์ที่น่าสงสัยจากหลายแหล่งข้อมูล.
ตัวอย่างของภัยคุกคามจากภายในในโลกของ SaaS:
- การขโมยข้อมูลหรือการส่งข้อมูลออก: การดาวน์โหลดหรือแชร์ข้อมูลหรือลิงก์มากเกินไป โดยเฉพาะเมื่อส่งไปยังอีเมลส่วนตัวหรือบุคคลที่สาม อาจเกิดขึ้นหลังจากพนักงานถูกเลิกจ้างและเชื่อว่าข้อมูลนั้นอาจมีประโยชน์ในงานถัดไป หรือหากพนักงานไม่พอใจและมีเจตนาร้าย ข้อมูลที่ถูกขโมยอาจรวมถึงทรัพย์สินทางปัญญา ข้อมูลลูกค้า หรือกระบวนการทางธุรกิจที่เป็นกรรมสิทธิ์
- การปรับเปลี่ยนข้อมูล: การลบหรือแก้ไขข้อมูลที่สำคัญภายในแอปพลิเคชัน SaaS ซึ่งอาจทำให้เกิดการสูญเสียทางการเงิน ความเสียหายต่อชื่อเสียง หรือการหยุดชะงักของการดำเนินงาน
- การใช้งานข้อมูลรับรองอย่างไม่เหมาะสม: การแชร์ข้อมูลรับรองการเข้าสู่ระบบกับผู้ใช้ที่ไม่ได้รับอนุญาต ไม่ว่าจะโดยเจตนาหรือไม่ก็ตาม ซึ่งทำให้เข้าถึงพื้นที่ที่เป็นความลับของแอปพลิเคชัน SaaS
- การใช้สิทธิ์อย่างไม่เหมาะสม: ผู้ใช้ที่มีสิทธิพิเศษใช้สิทธิ์ของตนเพื่อปรับเปลี่ยนการตั้งค่า ข้ามมาตรการรักษาความปลอดภัย หรือเข้าถึงข้อมูลที่จำกัดเพื่อผลประโยชน์ส่วนตัวหรือเจตนาร้าย
- ความเสี่ยงจากผู้ขายภายนอก: ผู้รับเหมา หรือผู้ขายภายนอกที่มีการเข้าถึงแอปพลิเคชัน SaaS อย่างถูกต้องใช้การเข้าถึงนี้อย่างไม่เหมาะสม
- แอปพลิเคชันเงา (Shadow Apps): ภายในองค์กรติดตั้งซอฟต์แวร์หรือปลั๊กอินที่ไม่ได้รับอนุญาตในสภาพแวดล้อม SaaS ซึ่งอาจทำให้เกิดช่องโหว่หรือมัลแวร์ ซึ่งอาจไม่ตั้งใจ แต่ยังคงเป็นการกระทำของภายใน
แต่ละ IOC เหล่านี้เพียงอย่างเดียวอาจไม่ได้บ่งชี้ถึงภัยคุกคามจากภายใน การดำเนินการแต่ละอย่างอาจมีเหตุผลในการดำเนินงานที่ถูกต้อง อย่างไรก็ตาม เมื่อ IOC สะสมและถึงเกณฑ์ที่กำหนด ทีมรักษาความปลอดภัยควรทำการตรวจสอบผู้ใช้เพื่อทำความเข้าใจว่าทำไมพวกเขาจึงดำเนินการดังกล่าว
การทำงานร่วมกันของ ITDR และ SSPM เพื่อป้องกันและตรวจจับภัยคุกคามจากภายใน
หลักการของการให้น้อยที่สุด (Principle of Least Privilege หรือ PoLP) เป็นหนึ่งในวิธีที่สำคัญที่สุดในการต่อสู้กับภัยคุกคามจากภายใน เนื่องจากพนักงานส่วนใหญ่มักจะมีการเข้าถึงมากกว่าที่จำเป็น
SaaS Security Posture Management (SSPM) และ Identity Threat Detection & Response (ITDR) เป็นสองส่วนของโปรแกรมความปลอดภัย SaaS ที่ครอบคลุม SSPM มุ่งเน้นที่การป้องกัน ขณะที่ ITDR มุ่งเน้นที่การตรวจจับและการตอบสนอง SSPM ใช้เพื่อบังคับใช้กลยุทธ์ความปลอดภัยที่เน้นตัวตน (Identity-First Security) ป้องกันการสูญหายของข้อมูลโดยการตรวจสอบการตั้งค่าการแชร์เอกสาร ตรวจจับแอปพลิเคชันเงาที่ผู้ใช้ใช้งาน และตรวจสอบความสอดคล้องกับมาตรฐานที่ออกแบบมาเพื่อตรวจจับภัยคุกคามจากภายใน
ในขณะเดียวกัน ITDR ช่วยให้ทีมรักษาความปลอดภัยสามารถติดตามผู้ใช้ที่มีพฤติกรรมที่น่าสงสัย ซึ่งทำให้พวกเขาสามารถหยุดภัยคุกคามจากภายในก่อนที่จะทำความเสียหายอย่างมาก
Ref: thehackernews
ไม่มีความคิดเห็น:
แสดงความคิดเห็น