“หากไม่มีข้อมูล คุณก็เป็นเพียงคนที่มีความคิดเห็น”
นี่คือการตีความใหม่จากหลักการอมตะของปีเตอร์ ดรักเกอร์: คุณไม่สามารถจัดการกับสิ่งที่คุณไม่ได้วัดผลได้ หากคุณไม่มีวิสัยทัศน์ที่จะเข้าใจปัญหาของคุณ คุณจะแก้ปัญหาได้อย่างไร คุณรู้หรือไม่ว่าปัญหาที่แท้จริงคืออะไร
นี่คือปัญหาที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ต้องเผชิญในปัจจุบัน ตลอดปีที่ผ่านมา อุตสาหกรรมได้ตระหนักในที่สุดว่า ความปลอดภัยของข้อมูลประจำตัว ไม่ใช่แค่เรื่องสำคัญเท่านั้น แต่ยังเป็นพื้นฐานของความปลอดภัยทางไซเบอร์อีกด้วย อย่างไรก็ตาม องค์กรส่วนใหญ่ยังคงขาดวิสัยทัศน์ที่ชัดเจนหรือข้อมูลที่มีความหมายในการประเมินความเสี่ยง ตอนที่ผมเป็น CIO ให้กับบริษัทที่ปรึกษาขนาดใหญ่แห่งหนึ่ง ผมและทีมงานก็ตกอยู่ในสถานการณ์เดียวกันนี้เมื่อไม่กี่ปีที่ผ่านมา
ช่องว่างการมองเห็นในการปกป้องข้อมูลประจำตัว
ทีมไอทีของผมขับเคลื่อนด้วยข้อมูลอย่างมีประสิทธิภาพ เรามีการรายงานที่ครอบคลุมทุกการดำเนินงาน ทั้งการจัดการโปรแกรม การจัดการบริการ ความพร้อมใช้งาน และอื่นๆ รายงานด้านความปลอดภัยทางไซเบอร์ก็มีการพัฒนาอย่างแข็งแกร่งเช่นกันในด้านต่างๆ เช่น การป้องกันขอบเขต และการจัดการช่องโหว่
แต่เมื่อพูดถึงชั้นข้อมูลประจำตัว การรายงานกลับมีน้อย คำถามพื้นฐานของฉันที่ว่า "เรามีความเสี่ยงแค่ไหน" ยังคงไม่ได้รับคำตอบ การขาดข้อมูลเชิงลึกนี้ได้รับการยอมรับว่าเป็น "สิ่งที่ดีที่สุดที่เราทำได้"
เราเชื่อมั่นในการป้องกันปริมณฑลที่แข็งแกร่งของเรา ซึ่งได้รับการสนับสนุนจากทีมงานที่มีทักษะ SOC ระดับโลก ระบบ SIEM และ สคททำให้เราปลอดภัย ความเชื่อนั้นก็สูญสลายไปทันทีที่ทีมแดงมาถึง
เสียงปลุกให้ตื่น
สำหรับผู้ที่ยังไม่คุ้นเคย Red Team ซึ่ง NIST นิยามว่าเป็น “กลุ่มบุคคลที่ได้รับอนุญาตให้เลียนแบบการโจมตีของศัตรู” จะทดสอบว่าผู้โจมตีสามารถเจาะระบบป้องกันของคุณได้ไกลแค่ไหน โดยที่ดีที่สุดคือต้องไม่ส่งสัญญาณเตือนใดๆ เป้าหมายสูงสุดของพวกเขาคือการได้รับสิทธิ์เข้าถึงผู้ดูแลระบบทั่วทั้งโดเมนของคุณ
ในกรณีของเรา จุดเริ่มต้นของ Red Team คือการโจมตีแบบฟิชชิงที่ออกแบบมาอย่างชาญฉลาด แม้จะมีการฝึกซ้อมฟิชชิงภายในองค์กรเป็นประจำ แต่ผู้ใช้จำนวนเล็กน้อยก็ยังคงคลิก และนั่นก็เพียงพอแล้ว
สิ่งที่ตามมานั้นน่าตกใจยิ่งกว่า แม้จะมีระบบป้องกันที่ทันสมัย แต่ทีมแดงก็ยังคงปฏิบัติการโดยไม่มีใครตรวจพบเป็นเวลาหลายสัปดาห์ ไม่มีการแจ้งเตือนใดๆ ไปถึง SOC เลย หายไปในคลื่นยักษ์ของข้อมูล SIEM การซ้อมรบสิ้นสุดลงก็ต่อเมื่อพวกเขาเลือกที่จะหยุด เมื่อถึงเวลานั้น พวกเขาสามารถเข้าถึงโดเมนได้ผ่านระบบที่ถูกลืมเลือนมานาน บัญชีสิทธิพิเศษ.
ความเป็นจริงอันโหดร้าย
เราเพิ่งเสร็จสิ้นโครงการยกระดับความปลอดภัยทางไซเบอร์มูลค่าหลายล้านดอลลาร์ที่ดำเนินมาเป็นเวลาห้าปี พร้อมด้วยเครื่องมือชั้นยอด แต่ศัตรูที่เชี่ยวชาญก็ยังคงฝ่าฟันมาได้ เพราะเราไม่สามารถป้องกันการใช้ข้อมูลประจำตัวในทางที่ผิดได้
ตั้งแต่นั้นมา ผมได้เห็นเรื่องราวแบบเดียวกันนี้เกิดขึ้นในหลายองค์กร ไม่ว่าพวกเขาจะมีความซับซ้อนแค่ไหนก็ตาม ถ้าคุณคิดว่าคุณรอดพ้นจากภัยคุกคามนี้ แต่ไม่สามารถพิสูจน์ด้วยข้อมูลได้ คุณก็กำลังเดิมพันด้วยความหวัง และความหวังไม่ใช่กลยุทธ์
สิ่งที่เราได้เรียนรู้
- การป้องกันเอกลักษณ์ เป็นพื้นฐาน
การป้องกันปริมณฑลเป็นสิ่งสำคัญ แต่สิ่งที่เกิดขึ้นหลังจากการบุกรุกต่างหากที่สำคัญอย่างแท้จริง การทุบกระจกหน้าต่างเป็นเรื่องไม่ดี แต่การสูญเสียทรัพย์สินมีค่าทั้งหมดยิ่งเลวร้ายกว่า ในทุกการโจมตี การใช้ข้อมูลประจำตัวที่มีสิทธิพิเศษในทางที่ผิดคือกุญแจสำคัญที่นำไปสู่การสูญเสียนั้น - ระบุความเสี่ยงของคุณให้ชัดเจน
ความคิดเห็นเกี่ยวกับมาตรการรักษาความปลอดภัยนั้นไม่เพียงพอ ควรใช้ข้อมูลสนับสนุน มอบหมายให้ทีม Red Team ฝึกซ้อมที่ไม่เพียงแต่ทดสอบขอบเขตพื้นที่ของคุณเท่านั้น แต่ยังรวมถึงการป้องกันตัวตนภายในของคุณด้วย การประเมินความเสี่ยงเชิงปริมาณจะช่วยให้คุณมีโอกาสในการต่อสู้เพื่อลดความเสี่ยง - การมองเห็นเป็นสิ่งสำคัญที่สุด
คลังข้อมูลประจำตัวหลายแห่งได้พัฒนามาตลอดหลายทศวรรษ ซึ่งมักซ่อนความเสี่ยงที่เคยมีมา คุณต้องสามารถระบุบัญชีที่มีความเสี่ยงสูงในทุกระบบได้จากหน้าจอเดียว หากไม่มีสิ่งนี้ ทีมของคุณก็จะต้องต่อสู้อย่างตาบอด - ครอบคลุมพื้นฐาน
คุณอาจเชื่อว่าคุณมีเต็ม MFA ได้ทุกที่ แต่โอกาสที่คุณจะครอบคลุมนั้นมีน้อยมาก ระบบเก่า การแชร์ไฟล์ และเครื่องมือบรรทัดคำสั่งมักขาดการรองรับ MFA และกลายเป็นจุดเข้าใช้งานที่ง่าย ในทำนองเดียวกัน การกำหนดขอบเขตแบบวงแหวน ตัวตนที่ไม่ใช่มนุษย์ เพื่อให้สามารถใช้ได้เฉพาะในกรณีที่จำเป็นเท่านั้น
“การใช้บัญชีที่มีสิทธิพิเศษในทางที่ผิด ไม่ว่าจะเป็นของมนุษย์หรือไม่ก็ตาม ถือเป็นหัวใจสำคัญของการโจมตีที่ประสบความสำเร็จส่วนใหญ่”
ช่วงเวลาแห่งการจุดประกาย
จุดเปลี่ยนเกิดขึ้นไม่นานหลังจากการฝึกซ้อมทีมแดงของเรา เมื่อฉันค้นพบว่า Silverfort แพลตฟอร์มนี้ ถือเป็นการเปิดโลกทัศน์ใหม่ให้กับทั้งฉันและ CISO ของฉัน
หลักฐานแนวคิดของเรายืนยันแล้วว่า แม้ว่าทีมแดงจะยังคงเข้าถึงข้อมูลเบื้องต้นได้ แต่พวกเขาไม่สามารถเคลื่อนที่ไปด้านข้างหรือสร้างความเสียหายได้ ที่สำคัญยิ่งกว่านั้น ในที่สุดเราก็สามารถมองเห็นข้อมูลที่เก็บข้อมูลส่วนบุคคลของเราที่หายไปหลายปีได้ ซึ่งถือเป็นก้าวสำคัญในการลดความเสี่ยงทางไซเบอร์
eBook
การป้องกันการเคลื่อนไหวด้านข้างใน Active Directory
- ทำไมการป้องกันแบบดั้งเดิมจึงไม่สามารถหยุดยั้งได้ การเคลื่อนไหวด้านข้าง
- วิธีเอาชนะการเคลื่อนไหวด้านข้างด้วยกลยุทธ์ที่เน้นที่ตัวตนเป็นหลัก
- ความสามารถที่ต้องมีเพื่อการป้องกันที่มีประสิทธิภาพ
คุณไม่สามารถปกป้องสิ่งที่คุณมองไม่เห็นได้
บทเรียนจากประสบการณ์ของผมและจากคนอื่นๆ อีกมากมายนับไม่ถ้วนตั้งแต่นั้นมานั้นชัดเจน นั่นคือ คุณไม่สามารถปกป้องสิ่งที่คุณมองไม่เห็นได้ อัตลักษณ์กลายเป็นสมรภูมิใหม่ของความมั่นคงปลอดภัยทางไซเบอร์ แต่กระนั้นก็ยังคงเป็นประเด็นที่ถูกวัดน้อยที่สุดและถูกเข้าใจผิดมากที่สุด หากไม่ประเมินความเสี่ยงด้านอัตลักษณ์ องค์กรของคุณก็เหมือนถูกปิดตา พึ่งพาสมมติฐานและความคิดเห็นแทนที่จะใช้หลักฐาน
การทดสอบในโลกแห่งความเป็นจริง การมองเห็นข้อมูลอย่างต่อเนื่อง และข้อมูลที่นำไปปฏิบัติได้จริง คือสิ่งที่แยกองค์กรที่คิดว่าตนเองปลอดภัยออกจากองค์กรที่มั่นใจได้อย่างแท้จริง ความสามารถในการมองเห็น วัดผล และทำความเข้าใจว่าข้อมูลประจำตัวถูกนำไปใช้ในทางที่ผิดอย่างไรในสภาพแวดล้อมของคุณ ช่วยเปลี่ยนความปลอดภัยจากการตอบสนองเป็นเชิงรุก
การประเมินความเสี่ยงด้านอัตลักษณ์เชิงปริมาณไม่เพียงแต่เปิดเผยจุดอ่อนเท่านั้น แต่ยังช่วยให้ทีมของคุณมีอำนาจตัดสินใจอย่างรอบรู้ จัดลำดับความสำคัญได้อย่างมีประสิทธิภาพ และปิดช่องโหว่ที่ผู้โจมตีใช้ประโยชน์ ในด้านความมั่นคงปลอดภัยไซเบอร์ นั่นคือความแตกต่างระหว่างการคาดหวังสิ่งที่ดีที่สุดกับการปกป้องสิ่งสำคัญที่สุดอย่างมั่นใจ