แม้ว่าความถูกต้องของข้อมูลหรือ “Integrity” จะเป็นแนวคิดพื้นฐานด้านความมั่นคงปลอดภัยไซเบอร์มาอย่างยาวนาน แต่ความหมายและการนำไปใช้กลับเป็นไปอย่างจำกัด บทความนี้จะมาทบทวนถึงแนวคิดเรื่อง “Integriey” ซึ่งเป็นหัวใจสำคัญของการวางกลยุทธ์ด้านความมั่นคงปลอดภัยในยุคที่มีเครือข่ายเชื่อมต่อถึงกันไปทั่วโลก ข้อมูลถูกส่งกระจัดกระจายไปทั่วทั้งบนอุปกรณ์ปลายทาง Data Center และระบบ Cloud ก่อนจะเข้าสู่เนื้อหา ต้องทำความเข้าใจเกี่ยวกับคำว่า “Integrity” เสียก่อน สำหรับบทความนี้ Integrity จะถูกนิยามออกเป็น 2 แบบ คือ
กล่าวได้ว่า Integrity คือรากฐานของความเชื่อมั่น (Trust) และความน่าเชื่อถือ (Reliability) และเป็นตัวชี้วัดที่สำคัญที่สุดของการรักษาความมั่นคงปลอดภัยของระบบ Integrity ไม่ใช่แค่เรื่องความถูกต้องของข้อมูลโดยนิยามแล้ว Integrity คือ การไม่มีการแปรเปลี่ยนระหว่างสถานะเริ่มต้นและสถานะปัจจุบัน หรือระหว่างสถานะที่ควรจะเป็นและสถานะที่แท้จริง เช่น เราสามารถตัดสินได้ว่าใครมี Integrity จากการที่ไม่มีการแปรเปลี่ยนระหว่างสิ่งที่เขาพูด ที่เขากำลังจะทำ และที่เขาทำจริงๆ ส่งผลให้ Integrity กลายเป็นรากฐานของความเชื่อมั่น (Trust) และก่อให้เกิดผลลัพธ์เป็นความมั่นคงปลอดภัย ตามที่เราทราบกัน Integrity มักถูกอ้างอิงเป็น 1 ใน 3 ของหลักการ CIA Triad ได้แก่ Confidentiality, Integrity และ Availability ซึ่งเป็น Framework ในการสร้างความมั่นคงปลอดภัยสารสนเทศให้แก่องค์กร ภายใต้บริบทนี้ Integrity จะเน้นเรื่องความถูกต้องของข้อมูล กล่าวคือ ข้อมูลจะไม่แปรเปลี่ยนจากปัจจัยภายนอก อย่างไรก็ตาม แม้ความถูกต้องของข้อมูลจะเป็นสิ่งสำคัญในกลยุทธ์ด้านความมั่นคงปลอดภัย นิยามดังกล่าวกลับเป็นการจำกัดมุมมองและศักยภาพของ Integrity ส่งผลให้องค์กรส่วนใหญ่เข้าใจว่า Integrity แค่คือความถูกต้องของข้อมูล ซึ่งนำ FIM มาใช้เป็นมาตรการควบคุมก็เพียงพอแล้ว เมื่อไม่เปิดโลกของ Integrity ให้กว้างขึ้นจนครอบคลุมไปทั่วระบบ IT และ OT จึงทำให้การยกระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กรไปอีกขั้นเป็นเรื่องยาก Credit: Andrea Danti/ShutterStock.comการโจมตี Integrity อาจร้ายแรงกว่าที่คุณคิดเทคโนโลยีในปัจจุบันมีการพัฒนาอย่างก้าวกระโดด แต่สิ่งที่ตามมาของการพัฒนานี้คือช่องทางหรือช่องโหว่ที่อาชญากรไซเบอร์สามารถโจมตีได้มากขึ้น รวมไปถึงความซับซ้อนของระบบเครือข่าย การกระจัดการจายของข้อมูล การมาถึงของ Cloud & IoT และการทำงานแบบ Remote เหล่านี้ทำให้กระบวนการด้านความมั่นคงปลอดภัยแบบเก่าที่เน้นการกั้นขอบเขต (Perimeter-based Security & Network Defenses) ไม่ตอบโจทย์อีกต่อไป ในขณะที่กระบวนการใหม่อย่าง Zero Trust, AI และ Machine Learning ก็ยังไม่ได้รับการพิสูจน์ว่าดีเพียงพอ หนึ่งในผลลัพธ์ที่ร้ายแรงที่สุดของการโจมตี Integrity ขององค์กร คือ ผู้บริหารหรือผู้มีอำนาจตัดสินใจไม่สามารถกระทำการใดๆ ได้ เนื่องจากพวกเขาไม่สามารถเชื่อมั่นในข้อข้อมูลที่พวกเขาได้รับ หรือที่แย่กว่านั้น คือ เกิดการตัดสินใจแบบผิดๆ จากข้อมูลที่ถูกปรุงแต่งหรือไม่มีความแม่นยำ ดังนั้นแล้ว การตรวจจับและรับมือกับภัยคุกคามที่ส่งผลกระทบต่อ Integrity จึงเป็นสิ่งจำเป็นอย่างย่ิง Credit: bikeriderlondon/ShutterStockวางกลยุทธ์ด้าน Integrity ให้องค์กรอย่างไรจากที่กล่าวไปข้างต้น Integrity ไม่ได้ถูกจำกัดแค่เรื่องความถูกต้องของข้อมูล (จากแนวคิด CIA Triad) เพียงอย่างเดียว แต่องค์กรควรเปิดกว้างเรื่อง Integrity ไปสู่ทุกภาคส่วนของระบบ IT และ OT เพื่อสร้างความเชื่อมั่น (Trust) ขึ้นภายใต้ระบบนิเวศทั้งหมด ซึ่งจะกลายเป็นรากฐานสำคัญของการรักษาความมั่นคงปลอดภัย องค์ประกอบของ Integrity และมาตรการควบคุมที่เกี่ยวข้องควรประกอบด้วย
การวางมาตรการควบคุมให้สอดคล้องกับ Integrity ช่วยสร้างความเชื่อมั่น (Trust) ให้แก่ People, Process และ Technology ขององค์กร อีกหนึ่งสิ่งสำคัญคือความสามารถในการมองเห็นและติดตามเหตุการณ์ที่เกิดขึ้นในระบบ (Visibility) เพื่อให้มั่นใจว่าการเปลี่ยนแปลงโดยไม่ได้รับอนุญาตหรือโดยมิชอบจะไม่เกิดขึ้น การสร้างและรักษาความเชื่อมั่น (Trust) ให้คงอยู่ตลอดเวลาเป็นกุญแจสำคัญในการทำ Integrity Management ซึ่งจะนำไปสู่ความสำเร็จของการรักษาความมั่นคงปลอดภัย Credit: Mr. Kosal/ShutterStock.comFIM กับหน้าที่สำคัญด้าน Integrity สำหรับองค์กรFile Integrity Monitoring (FIM) เป็นระบบที่มีความสามารถในการติดตามการเปลี่ยนแปลงของ Configurations, Files และ File Attributes ที่เกิดขึ้นบนระบบ IT สอดคล้องกับความต้องการของหลายๆ มาตรฐานและข้อบังคับ เช่น PCI DSS อย่างไรก็ตาม FIM ไม่ได้ตอบโจทย์ Data Integrity เพียงอย่างเดียว แต่สามารถตรวจจับการเปลี่ยนแปลงที่เกิดขึ้นบนระบบ IT ได้อีกด้วย โดย FIM สามารถสร้าง Baseline ของไฟล์หรือการตั้งค่าที่เราต้องการเฝ้าระวัง ว่าสถานะที่เราทราบหรือเชื่อมั่น (Trust) เป็นอย่างไร จากนั้นใช้คุณสมบัติด้านการเฝ้าระวังแบบเรียลไทม์ในการตรวจจับการเปลี่ยนแปลงที่เกิดขึ้น แล้วนำไปเปรียบเทียบกับ Baseline พร้อมระบุว่าใครแก้ไขตรงจุดไหน เวลาไหน และก่อน-หลังการแก้ไขเป็นอย่างไร นอกจากนี้ องค์กรที่จัดการกับ FIM ได้เป็นอย่างดีจะมีการประยุกต์ใช้ Change Intelligence เข้าไปในการเปลี่ยนแปลงที่เกิดขึ้นด้วย เพื่อตรวจสอบว่าการเปลี่ยนแปลงดังกล่าวส่งผลกระทบต่อ Integrity หรือไม่ เช่น การเปลี่ยนแปลงที่เกิดขึ้นทำให้ Configurations ผิดเพี้ยนไปจากนโยบายที่กำหนด หรือมีความเกี่ยวข้องกับการโจมตีไซเบอร์ กล่าวได้ว่า เราสามารถใช้ FIM เป็นมาตรการควบคุมด้านความมั่นคงปลอดภัยแกนหลักได้ ถ้า FIM สามารถให้ข้อมูลเชิงลึกและการตอบสนองที่ชาญฉลาดเพียงพอ ที่สำคัญคือ ถ้าเราสามารถนำแนวคิดนี้ไปประยุกต์ใช้กับระบบ IT ทั้งหมดขององค์กร ไม่ว่าจะเป็น Systems, Network Devices หรือ Cloud Infrastructure ได้ ย่อมช่วยยกระดับการรักษาความมั่นคงปลอดภัยให้ก้าวหน้าไปอีกขั้น ยกระดับสู่ “Integrity ที่ดี”แม้ว่าองค์กรจะมีเครื่องมือในการบริหารจัดการ Integrity แต่โดยส่วนใหญ่แล้วมักกระทำตามเช็คลิสต์พื้นฐานเพื่อให้สอดคล้องกับมาตรฐานหรือข้อบังคับเท่านั้น การจะก้าวไปสู่การบริหารจัดการ “Integrity ที่ดี” ควรประกอบด้วย
การขยายขอบเขตของ Integrity ให้ครอบคลุมไปทั่วระบบ IT และ OT ขององค์กรนั้น เป็นก้าวแรกของการสร้างความเชื่อมั่น (Trust) และเป็นรากฐานสำคัญของการรักษาความมั่นคงปลอดภัยไซเบอร์ ทั้งยังช่วยลดช่องทางการโจมตีและความเสี่ยงที่อาจจะเกิดขึ้นลง การเปลี่ยนแปลงใดๆ ที่เกิดขึ้นบนระบบโดยไม่ได้รับอนุญาตหรือโดยมิชอบสามารถนำพามาซึ่งภัยคุกคามสู่องค์กรได้ ผู้ที่สนใจสามารถดาวน์โหลด White Paper เรื่อง “Why Integrity Should Be Your Organizing Cybersecurity Principle” มาศึกษาเพิ่มเติมได้ที่นี่ [PDF] สอบถามรายละเอียดเพิ่มเติมเกี่ยวกับโซลูชันของ Tripwire ติดต่อ
|