พื้นผิวการโจมตีหมายถึงช่องโหว่และจุดเข้าใช้งานทั้งหมดที่ผู้ใช้ที่ไม่ได้รับอนุญาตอาจใช้ประโยชน์ได้ภายในสภาพแวดล้อมที่กำหนด มันครอบคลุมทั้งองค์ประกอบดิจิทัลและทางกายภาพที่ผู้โจมตีกำหนดเป้าหมายเพื่อเข้าถึงโดยไม่ได้รับอนุญาต
พื้นผิวการโจมตีทางดิจิทัลประกอบด้วยอินเทอร์เฟซเครือข่าย ซอฟต์แวร์ ฮาร์ดแวร์ ข้อมูล และผู้ใช้ อินเทอร์เฟซเครือข่าย เช่น Wi-Fi และบลูทูธเป็นเป้าหมายทั่วไป ซอฟต์แวร์และเฟิร์มแวร์ที่มีช่องโหว่ให้โอกาสในการโจมตีแบบฉีดหรือบัฟเฟอร์ล้น ข้อมูลรับรองผู้ใช้และบัญชีที่ถูกบุกรุกมักถูกใช้เพื่อเข้าถึงระบบ การโจมตีทางวิศวกรรมสังคม
พื้นผิวการโจมตีทางกายภาพหมายถึงส่วนประกอบที่จับต้องได้ซึ่งสามารถแก้ไขเพื่อแทรกซึมเข้าไปในระบบได้ ซึ่งรวมถึงเวิร์กสเตชันแบบอัตโนมัติ ชั้นวางเซิร์ฟเวอร์ที่มีการรักษาความปลอดภัยที่ไม่เหมาะสม สายไฟที่มีช่องโหว่ และการเข้าถึงอาคารที่ไม่ปลอดภัย ผู้โจมตีอาจติดตั้งอุปกรณ์ล็อคคีย์ ขโมยอุปกรณ์จัดเก็บข้อมูล หรือเข้าถึงเครือข่ายโดยเลี่ยงการควบคุมความปลอดภัยทางกายภาพ
พื้นผิวการโจมตีของระบบประกอบด้วยจุดอ่อนหรือข้อบกพร่องใดๆ ที่สามารถนำไปใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ช่องโหว่ที่อาจเกิดขึ้นได้แก่:
เวกเตอร์การโจมตีอธิบายเส้นทางหรือวิธีการที่ผู้โจมตีสามารถเข้าถึงระบบได้ เช่น ผ่านมัลแวร์ อีเมลฟิชชิ่ง ไดรฟ์ USB หรือช่องโหว่ของซอฟต์แวร์ พื้นผิวการโจมตีคือจำนวนเวกเตอร์การโจมตีที่เป็นไปได้ที่สามารถใช้เพื่อโจมตีระบบ
การลดพื้นที่การโจมตีจำเป็นต้องระบุและกำจัดจุดอ่อนให้ได้มากที่สุดเท่าที่จะเป็นไปได้ในการโจมตีที่เป็นไปได้ทั้งหมด ซึ่งสามารถทำได้ผ่านมาตรการต่างๆ เช่น การแพตช์ซอฟต์แวร์ การจำกัดสิทธิ์ของผู้ใช้ การปิดใช้งานพอร์ตหรือบริการที่ไม่ได้ใช้ การใช้การรับรองความถูกต้องแบบหลายปัจจัย (ไอ้เวรตะไล) และปรับใช้โซลูชันป้องกันไวรัสหรือป้องกันมัลแวร์ที่อัปเดต
พื้นผิวการโจมตีที่ได้รับการปรับปรุงไม่เพียงแต่เสริมความแข็งแกร่งให้กับรูปแบบการรักษาความปลอดภัย แต่ยังช่วยให้ทีมรักษาความปลอดภัยทางไซเบอร์สามารถมุ่งเน้นไปที่ทรัพยากรในการตรวจสอบและปกป้องทรัพย์สินที่สำคัญ เมื่อจำนวนช่องโหว่ลดลง ผู้โจมตีก็จะมีโอกาสน้อยลงในการบุกรุกระบบ และผู้เชี่ยวชาญด้านความปลอดภัยสามารถจัดสรรเวลาและเครื่องมือได้ดีขึ้นเพื่อปกป้องเป้าหมายที่มีมูลค่าสูงและตอบสนองต่อภัยคุกคาม
การทำแผนที่พื้นผิวการโจมตีเกี่ยวข้องกับการระบุสินทรัพย์ดิจิทัลขององค์กร จุดเริ่มต้นที่เป็นไปได้ และช่องโหว่ที่มีอยู่
สินทรัพย์ดิจิทัลครอบคลุมทุกสิ่งที่เชื่อมต่อกับเครือข่ายที่จัดเก็บหรือประมวลผลข้อมูล รวมถึง:
จุดเข้าใช้งานหมายถึงเส้นทางใดๆ ที่สามารถนำไปใช้เพื่อเข้าถึงเครือข่ายได้ เช่น:
ช่องโหว่คือจุดอ่อนในสินทรัพย์หรือจุดเริ่มต้นที่สามารถใช้ประโยชน์ได้ในการโจมตี เช่น:
ด้วยการได้รับการมองเห็นสินทรัพย์ดิจิทัล จุดเริ่มต้น และช่องโหว่ทั่วทั้งองค์กร ทีมรักษาความปลอดภัยจึงสามารถทำงานเพื่อลดพื้นที่การโจมตีโดยรวมและเสริมสร้างการป้องกันทางไซเบอร์ ซึ่งอาจเกี่ยวข้องกับกิจกรรมต่างๆ เช่น การปิดใช้งานจุดเข้าใช้งานที่ไม่จำเป็น การใช้การควบคุมการเข้าถึงที่เข้มงวดมากขึ้น การปรับใช้การอัปเดตซอฟต์แวร์ และการให้ความรู้แก่ผู้ใช้เกี่ยวกับแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัย
การตรวจสอบพื้นผิวการโจมตีอย่างต่อเนื่องเป็นกุญแจสำคัญในการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง เมื่อมีการนำเทคโนโลยีใหม่ๆ มาใช้และเครือข่ายมีความซับซ้อนมากขึ้น พื้นผิวการโจมตีก็จะพัฒนาอย่างหลีกเลี่ยงไม่ได้ ทำให้เกิดความเสี่ยงด้านความปลอดภัยใหม่ๆ ที่ต้องระบุและบรรเทา
การลดพื้นที่การโจมตีขององค์กรเกี่ยวข้องกับการกำจัดจุดเข้าที่เป็นไปได้และทำให้ทรัพย์สินที่สำคัญแข็งแกร่งขึ้น ซึ่งรวมถึงการลบบริการเชื่อมต่ออินเทอร์เน็ตที่ไม่ได้ใช้และพอร์ตเปิดที่ไม่ได้ใช้ การเลิกใช้งานระบบเดิม และการแก้ไขช่องโหว่ที่ทราบทั่วทั้งโครงสร้างพื้นฐาน
การควบคุมการเข้าถึงที่เข้มงวดและนโยบายสิทธิ์ขั้นต่ำควรถูกนำมาใช้เพื่อจำกัดการเข้าถึงข้อมูลและระบบที่ละเอียดอ่อนของฝ่ายตรงข้าม โซลูชัน MFA และการลงชื่อเพียงครั้งเดียว (SSO) ให้การปกป้องบัญชีเพิ่มเติม การตรวจสอบสิทธิ์การเข้าถึงของผู้ใช้และกลุ่มเป็นประจำเพื่อให้แน่ใจว่ายังคงมีความเหมาะสม และการเพิกถอนข้อมูลรับรองที่ไม่ได้ใช้จะช่วยลดพื้นที่การโจมตี
ไฟร์วอลล์ เราเตอร์ และเซิร์ฟเวอร์ควรได้รับการเสริมประสิทธิภาพด้วยการปิดใช้งานฟังก์ชันที่ไม่ได้ใช้ ลบบัญชีเริ่มต้น และเปิดใช้งานการบันทึกและการตรวจสอบ การปรับปรุงซอฟต์แวร์ให้ทันสมัยอยู่เสมอด้วยแพตช์ล่าสุดจะช่วยป้องกันช่องโหว่ที่ทราบจากการถูกโจมตี
การแบ่งส่วนเครือข่ายและการแบ่งส่วนย่อยจะแบ่งโครงสร้างพื้นฐานออกเป็นส่วนเล็กๆ ที่แยกออกจากกัน ด้วยวิธีนี้ หากศัตรูสามารถเข้าถึงส่วนใดส่วนหนึ่งได้ การเคลื่อนไหวด้านข้าง ไปยังพื้นที่อื่น ๆ ได้อย่างจำกัด ควรใช้โมเดล Zero-trust โดยที่ไม่มีส่วนใดของเครือข่ายที่เชื่อถือได้โดยปริยาย
การประเมินความเสี่ยง การสแกนช่องโหว่ และการทดสอบการเจาะระบบเป็นประจำจะระบุจุดอ่อนในโครงสร้างพื้นฐานก่อนที่จะถูกนำไปใช้ประโยชน์ การปิดช่องว่างด้านความปลอดภัยและการแก้ไขการค้นพบความเสี่ยงสูงและวิกฤตจะช่วยลดพื้นที่การโจมตีโดยรวม
การรักษาพื้นผิวการโจมตีให้น้อยที่สุดต้องใช้ความพยายามและทรัพยากรอย่างต่อเนื่องเพื่อระบุความเสี่ยงใหม่ ประเมินการควบคุมที่มีอยู่อีกครั้ง และทำการปรับปรุง อย่างไรก็ตาม การลงทุนในระบบรักษาความปลอดภัยที่แข็งแกร่งนั้นให้ประโยชน์อย่างมาก ช่วยให้องค์กรต่างๆ ดำเนินงานด้วยความมั่นใจในสภาพแวดล้อมภัยคุกคามในปัจจุบัน โดยรวมแล้ว การมุ่งเน้นไปที่การกำจัดจุดเริ่มต้น การทำให้สินทรัพย์ที่สำคัญแข็งแกร่งขึ้น และการใช้แนวทางแบบ Zero-Trust ถือเป็นกุญแจสำคัญในการลดพื้นผิวการโจมตีได้สำเร็จ
ข้อมูลประจำตัวเป็นพื้นที่การโจมตีที่สำคัญมากขึ้นสำหรับองค์กรในการจัดการ เนื่องจากบริษัทต่างๆ หันมาใช้บริการคลาวด์และพนักงานเข้าถึงระบบที่สำคัญจากระยะไกล การระบุตัวตนและการจัดการการเข้าถึง กลายเป็นสิ่งสำคัญต่อความปลอดภัย
ข้อมูลรับรองที่อ่อนแอ ถูกขโมย หรือถูกบุกรุกทำให้เกิดช่องว่างที่สำคัญ รายละเอียดการเข้าสู่ระบบของผู้ใช้มักตกเป็นเป้าโดยผู้โจมตี เนื่องจากการได้รับการควบคุมบัญชีที่ได้รับอนุญาตสามารถให้ผู้โจมตีเข้าถึงทรัพยากรขององค์กรได้ อีเมลฟิชชิ่งและมัลแวร์มีเป้าหมายเพื่อหลอกผู้ใช้ให้ระบุชื่อผู้ใช้และรหัสผ่าน เมื่อได้รับข้อมูลรับรองผู้ใช้แล้ว ผู้โจมตีจะสามารถใช้เพื่อเข้าสู่ระบบและเข้าถึงข้อมูลที่ละเอียดอ่อน และปรับใช้ได้ ransomwareหรือคงความคงอยู่ภายในเครือข่าย
MFA เพิ่มชั้นพิเศษของ การป้องกันตัว. การไม่ต้องการเพียงแค่รหัสผ่าน แต่ยังรวมถึงรหัสที่ส่งไปยังอุปกรณ์มือถือหรือโทเค็นฮาร์ดแวร์จะช่วยป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต แม้ว่ารหัสผ่านจะถูกขโมยก็ตาม การรับรองความถูกต้องแบบปรับเปลี่ยนได้ ก้าวไปอีกขั้นด้วยการวิเคราะห์พฤติกรรมผู้ใช้และตำแหน่งเพื่อตรวจจับความผิดปกติที่อาจส่งสัญญาณถึงการบุกรุกบัญชี
การจัดการการเข้าถึงสิทธิพิเศษ (PAM) จำกัดสิ่งที่ผู้ใช้ที่ได้รับการรับรองความถูกต้องสามารถทำได้ภายในระบบและแอปพลิเคชัน การให้การเข้าถึงขั้นต่ำแก่ผู้ดูแลระบบเท่านั้นที่จำเป็นในการทำงานจะช่วยลดผลกระทบที่อาจเกิดขึ้นจากบัญชีที่ถูกบุกรุก มีการควบคุมและติดตามอย่างเข้มงวด บัญชีสิทธิพิเศษซึ่งมีระดับการเข้าถึงสูงสุดถือเป็นสิ่งสำคัญอย่างยิ่ง
การจัดการการเข้าถึงจากภายนอกสำหรับบุคคลที่สาม เช่น ผู้รับเหมาหรือพันธมิตรทางธุรกิจ ทำให้เกิดความเสี่ยงมากขึ้น การดูแลให้พันธมิตรปฏิบัติตามหลักปฏิบัติด้านความปลอดภัยที่เข้มงวดและการจำกัดการเข้าถึงเฉพาะสิ่งที่จำเป็นคือกุญแจสำคัญ การยกเลิกการเข้าถึงทั้งหมดเมื่อความสัมพันธ์สิ้นสุดลงมีความสำคัญเท่าเทียมกัน
การจัดการข้อมูลประจำตัวและการเข้าถึงที่มีประสิทธิภาพเกี่ยวข้องกับการรักษาสมดุลระหว่างความปลอดภัยและการใช้งาน การควบคุมที่ซับซ้อนมากเกินไปอาจทำให้พนักงานหงุดหงิดและลดประสิทธิภาพการทำงาน แต่นโยบายการเข้าถึงที่อ่อนแอทำให้องค์กรมีความเสี่ยง ด้วยกลยุทธ์และโซลูชั่นที่เหมาะสม บริษัทต่างๆ จึงสามารถลดความเสี่ยงตามข้อมูลประจำตัวในขณะที่ช่วยให้การดำเนินธุรกิจเป็นไปได้
อย่างต่อเนื่อง การจัดการพื้นผิวการโจมตี เป็นแนวทางปฏิบัติที่ดีที่สุดที่แนะนำในการรักษาความปลอดภัยทางไซเบอร์ มันหมายถึงกระบวนการอย่างต่อเนื่องในการค้นหา จัดทำรายการ และบรรเทาช่องโหว่ทั่วทั้งพื้นผิวการโจมตีขององค์กร ซึ่งรวมถึงสินทรัพย์ดิจิทัล การเชื่อมต่อ และจุดเชื่อมต่อทั้งหมดที่สามารถเป็นเป้าหมายได้
ขั้นตอนแรกคือการค้นหาและแมปองค์ประกอบทั้งหมดของพื้นผิวการโจมตี รวมถึง:
เมื่อพื้นผิวการโจมตีได้รับการแมปแล้ว จำเป็นต้องมีการตรวจสอบอย่างต่อเนื่อง เมื่อมีการเพิ่มสินทรัพย์ดิจิทัล การเชื่อมต่อ และเทคโนโลยีใหม่ๆ การโจมตีจะเปลี่ยนแปลงและขยายออกไป ทำให้เกิดช่องโหว่ใหม่ๆ การตรวจสอบอย่างต่อเนื่องจะติดตามการเปลี่ยนแปลงเหล่านี้เพื่อระบุช่องโหว่ใหม่ๆ และอัปเดตแผนที่พื้นผิวการโจมตีให้ทันสมัยอยู่เสมอ
ด้วยการมองเห็นพื้นผิวการโจมตีและช่องโหว่ ทีมรักษาความปลอดภัยจึงสามารถจัดลำดับความสำคัญและแก้ไขความเสี่ยงได้ ซึ่งรวมถึงการแพตช์ซอฟต์แวร์ การอัปเดตการกำหนดค่า การใช้การควบคุมความปลอดภัยเพิ่มเติม การเลิกใช้งานสินทรัพย์ที่ไม่จำเป็น และการจำกัดการเข้าถึง ความพยายามในการแก้ไขจะต้องดำเนินการอย่างต่อเนื่องเพื่อแก้ไขช่องโหว่ใหม่ๆ ที่เกิดขึ้น
การจัดการพื้นที่การโจมตีอย่างต่อเนื่องเป็นกระบวนการที่ต้องทำซ้ำๆ ซึ่งช่วยให้องค์กรลดขนาดพื้นที่การโจมตีเมื่อเวลาผ่านไปผ่านการค้นพบ การติดตาม และการแก้ไข ด้วยการรักษาความเข้าใจที่สมบูรณ์และอัปเดตเกี่ยวกับพื้นผิวการโจมตี ทีมรักษาความปลอดภัยสามารถปกป้องทรัพย์สินดิจิทัลได้ดีขึ้นและป้องกันการละเมิดที่ประสบความสำเร็จ
