fbpx
Insights 13 November 2024

‘Cloud Incident Response’ ขีดความสามารถที่ธุรกิจใช้ Cloud ต้องมี

ทุกวันนี้การละเมิดข้อมูลเกิดขึ้นจนแทบจะกลายเป็นเรื่องปกติ มีจำนวนผู้เสียหายเพิ่มขึ้นอย่างต่อเนื่องและที่น่าตกใจ คือ เหยื่อส่วนใหญ่ไม่รู้ตัวหรือรู้ตัวก็ต่อเมื่อข้อมูลถูกขายต่อในตลาดมืด ซ้ำร้ายหลายรายถูกโจมตีซ้ำ ส่งผลให้การตอบสนองต่อเหตุการณ์ (Incident Response – IR) เป็นเทรนด์ความปลอดภัยที่อยู่ในความสนใจของธุรกิจชั้นนำ โดยเฉพาะการตอบสนองต่อภัยคุกคามบนระบบคลาวด์ (Cloud Incident Response – Cloud IR)  

ความต้องการใช้งานและความซับซ้อนของระบบคลาวด์ที่เพิ่มสูงขึ้น เป็นความเสี่ยงและความท้าทายของธุรกิจยุคใหม่ที่ล้วนพึ่งพาระบบคลาวด์ ทั้งแง่มุมการป้องกันและตอบสนองต่อเหตุการณ์หรือข้อมูลรั่วไหลจากระบบคลาวด์ เพื่อจำกัดขอบเขตความเสียหายและลดความเสี่ยงในอนาคต ด้วยเหตุนี้ Cloud IR จึงเป็นขีดความสามารถสำคัญที่ธุรกิจจำเป็นต้องมีหากอยากเติบโตอย่างยั่งยืน 

เปิด 4 ความเสี่ยงหลักบนระบบคลาวด์ 

ไม่มีใครสามารถขจัดความเสี่ยงให้หมดไปจากโลกดิจิทัลได้ สิ่งเดียวที่เราทำได้ คือ การบริหารจัดการเพื่อลดความเสี่ยงและจำกัดความเสียหายเมื่อเกิดเหตุให้ได้มากที่สุด ด้วยเหตุนี้ องค์กรธุรกิจที่ใช้หรือต้องการใช้ระบบคลาวด์จำเป็นต้องรู้ว่ามีความเสี่ยงอะไรบ้างที่รออยู่ข้างหน้า แล้วความเสี่ยงที่ว่านั้นคืออะไร….ไปหาคำตอบกัน 

  1. การจัดการพื้นผิวโจมตี (Attack Surface) ไม่ดีพอ: Attack Surface เปรียบได้กับช่องทางที่แฮกเกอร์ใช้เจาะเข้าถึงระบบขององค์กร ดังนั้น Workload ที่เพิ่มขึ้นจากการปรับใช้ Microservices อาจทำให้พื้นที่โจมตีขยายตัวตามไปด้วย  
  1. ความผิดพลาดของมนุษย์ (Human Error):  Gartner ประเมินว่า ร้อยละ 99 ของความล้มเหลวด้านความปลอดภัยบนระบบคลาวด์ตลอดปี 2568 จะมีสาเหตุจากความผิดพลาดอย่างใดอย่างหนึ่งที่เกิดขึ้นโดยมนุษย์ ซึ่งความผิดพลาดนี้เป็นความเสี่ยงที่สามารถเกิดขึ้นได้ตลอดเวลา   
  1. การตั้งค่าผิดพลาด (Misconfiguration): องค์กรต้องตั้งค่าบนระบบคลาวด์เพิ่มขึ้น เพราะผู้ให้บริการคลาวด์มีการเพิ่มเซอร์วิสใหม่ ๆ อยู่ตลอดเวลา ยิ่งองค์กรที่ใช้บริการคลาวด์หลายแห่งยิ่งเสี่ยงต่อการตั้งค่าผิดพลาด เนื่องจากผู้ให้บริการแต่ละรายมีการกำหนดค่าเริ่มต้นแตกต่างกัน  
  1. การละเมิดข้อมูล (Data Breach): ผลกระทบจากการละเมิดข้อมูลขึ้นอยู่กับข้อมูลที่ถูกขโมยออกไปจากระบบ แฮกเกอร์อาจนำข้อมูลเหล่านั้นไปขายต่อในตลาดมืด และนักโจมตีรายอื่นนำไปใช้ประโยชน์ต่อและอาจสร้างความเสียหายมหาศาลต่อองค์กร 

Cloud Incident Response – Cloud IR คืออะไร 

Cloud IR คือ กระบวนการที่ใช้จัดการกับเหตุการณ์ภัยคุกคามที่เกิดขึ้นบนระบบคลาวด์ ซึ่ง Cloud IR แตกต่างจากการตอบสนองต่อเหตุการณ์โจมตี (Incident Response – IR) ระบบดั้งเดิมอย่าง On-Premises ได้แก่ การกำกับดูแล ความรับผิดชอบร่วมกันกับผู้ใช้บริการคลาวด์ และความสามารถในการมองเห็น (Visibility) ด้วยเหตุนี้ Cloud IR จึงต้องดำเนินการโดยผู้เชี่ยวชาญเฉพาะ เครื่องมือและเทคนิคที่แตกต่างจาก IR ทั่วไป  

Cloud IR แตกต่างจาก IR อย่างไร? 

โดยหลักการแล้ว IR เป็นองค์กรประกอบสำคัญของกลยุทธ์ด้านความปลอดภัยไซเบอร์ขององค์กร ที่ทำให้ธุรกิจสามารถตรวจจับ ควบคุมและกู้คืนระบบ/ข้อมูลจากเหตุการณ์โจมตีไซเบอร์ โดยเป้าหมายหลักของ IR ประกอบไปด้วย การจำกัดความเสียหาย กู้ระบบให้กลับมาทำงานเป็นปกติและหลีกเลี่ยงการถูกโจมตีซ้ำในอนาคต แต่ในส่วนของ Cloud IR นั้นจำเป็นต้องใช้กลยุทธ์และเครื่องมือที่แตกต่างกันกับ IR อย่างมีนัยสำคัญ ดังนั้น การทำความเข้าใจถึงข้อแตกต่างจึงสำคัญอย่างมากสำหรับธุรกิจที่ปรับใช้ระบบคลาวด์  

  1. ลักษณะโครงสร้างพื้นฐาน 
  • IR แบบดั้งเดิม: ทีมงานด้านความปลอดภัยสามารถเข้าถึงทรัพยากรบนระบบเซิร์ฟเวอร์ อุปกรณ์การจัดเก็บข้อมูลหรือฮาร์ดแวร์ได้โดยตรง ทำให้สามารถตรวจสอบ บันทึกข้อมูล (Logging) วิเคราะห์และเก็บหลักฐานทางดิจิทัลได้อย่างสะดวก นอกจากนี้แอปพลิเคชันบนระบบไอทีแบบดั้งเดิมมักเป็นแบบ Monolithic ทำให้ง่ายต่อการดูแลรักษาความปลอดภัยและตรวจจับกิจกรรมผิดปกต 
  • Cloud IR: ระบบคลาวด์มีความเป็นพลวัตสูงและกระจายตัว อีกทั้งโครงสร้างพื้นฐานของคลาวด์มีการจัดการร่วมกันระหว่างองค์กรและผู้ให้บริการ ทำให้ทีมงานด้านความปลอดภัยไซเบอร์อาจไม่มีสิทธิ์ในการควบคุมโดยตรงหรือเข้าถึงโครงสร้างพื้นฐานทางกายภาพของระบบหลังบ้านได้ ยิ่งไปกว่านั้นระบบคลาวด์ยังมีเทคโนโลยีใหม่ ๆ อาทิ Microservices, Container, และ Serverless Computing ที่เพิ่มความซับซ้อน ส่งผลให้การตอบสนองต่อเหตุการณ์โจมตีทำได้ยากขึ้น  
  1. การมองเห็นและการตรวจสอบ 
  • IR แบบดั้งเดิม: โดยทั่วไปแล้วการมองเห็น (Visibility) ในสภาพแวดล้อมแบบดั้งเดิมทำได้ง่ายกว่าเมื่อเทียบกับระบบคลาวด์ เพราะเป็นโครงสร้างพื้นฐานแบบ Static ดังนั้น ทีมงานด้านความปลอดภัยสามารถใช้เครื่องมือตรวจจับ วิเคราะห์ Traffic และความผิดปกติ รวมถึงรวบรวมหลักฐาน ซึ่งการเข้าถึงอุปกรณ์โดยตรงสามารถตรวจสอบและวิเคราะห์ได้ลึก 
  • Cloud IR: การมองเห็นบนระบบคลาวด์นั้นเป็นความท้าทาย เพราะกายภาพของสถาปัตยกรรมคลาวด์มีความซับซ้อน อีกทั้งสินทรัพย์ดิจิทัลบนคลาวด์มีการเปลี่ยนแปลงตลอดเวลา ดังนั้น การจัดเก็บและวิเคราะห์ต้องทำแบบเรียลไทม์เพื่อหลีกเลี่ยงการสูญหายของหลักฐานสำคัญ ด้วยเหตุนี้ องค์กรจึงต้องพึ่งพาเครื่องมือของผู้ให้บริการคลาวด์ในการตรวจสอบ ซึ่งอาจไม่ละเอียดและลงลึกได้เท่ากับระบบ On-Premises  
  1. เครื่องมือและระบบอัตโนมัติ 
  • IR แบบดั้งเดิม: พึ่งพาเครื่องมือที่ถูกออกแบบสำหรับระบบ Static ได้แก่ Firewalls, Intrusion Detection/Prevention System – IDS/IPS โซลูชัน Endpoint Detection and Response – EDR และระบบ SIEM โดยทั่วไปแล้วเครื่องมือเหล่านี้มักถูกติดตั้งอยู่ในระบบ Data Center ขององค์กร และสามารถตรวจสอบ ตรวจจับความผิดปกติและตอบสนองต่อเหตุการณ์ได้แบบเรียลไทม์ 
  • Cloud IR:  เครื่องมือแบบดั้งเดิมอาจไม่เหมาะสมหรือทำงานได้ไม่เต็มประสิทธิภาพบนสภาพแวดล้อมคลาวด์ที่มีความเป็นพลวัตรสูง ดังนั้น การตรวจสอบ ตรวจจับและตอบสนองต่อเหตุการณ์บนระบบคลาวด์จำเป็นต้องใช้เครื่องมือที่ออกแบบมาสำหรับระบบคลาวด์โดยเฉพาะ เช่น  Identity and Access Managemnent – IAM, Data Loss Prevention – DLP และ Cloud Workload Protection เป็นต้น นอกจากนี้ ระบบอัตโนมัติยังมีบทบาทสำคัญบนคลาวด์ ยกตัวอย่าง Security Orchestration Automeration and Response – SOAR เครื่องมือที่เข้ามาช่วยบริหารจัดการทั้งด้านสเกล (Scale) และความเร็วในการตอบสนองต่อเหตุการณ์อีกด้วย  
  1. พื้นผิวการโจมตีและภัยคุกคาม 
  • IR แบบดั้งเดิม: พื้นผิวการโจมตี (Attack Surface) จำกัดอยู่ที่โครงสร้างพื้นฐานแบบกายภาพขององค์กร โดย Network Perimeter, อุปกรณ์ปลายทางและแอปฯ ระบบ On-Premises เป็นเป้าหมายของภัยคุกคาม ในขณะที่เวกเตอร์ ได้แก่ (มัลแวร์, ฟิชชิ่ง, และการเรียกค่าไถ่ไซเบอร์) พุ่งเป้าที่ช่องโหว่ของอุปกรณ์ หรือขโมยข้อมูลสำคัญที่จัดเก็บใน Data Center ขององค์กร  
  • Cloud IR: ระบบคลาวด์ได้ขยายพื้นผิวการโจมตีออกไปอย่างกว้างขวาง เช่นเดียวกันกับความรับผิดชอบขององค์กร ที่ครอบคลุมทั้งกระบวนรักษาษาความปลอดภัยของข้อมูล แอปฯ และการใช้บริการจากระบบคลาวด์หลายแห่ง ( Multiple Cloud Environment) นอกจากภัยคุกคามแบบดั้งเดิม องค์กรยังต้องบริหารจัดการความเสี่ยงที่มักเกิดกับระบบคลาวด์ ได้แก่ การกำหนดค่าผิดพลาด (Misconfigurations) APIs ไม่ปลอดภัยและการขโมยข้อมูลส่วนบุคคล อีกทั้งยังต้องรับความเสี่ยงจากโมเดลความรับผิดชอบร่วมกันระหว่างผู้ให้บริการและผู้ใช้งานระบบคลาวด์  
  1. การตอบสนองและกู้คืน 
  • IR แบบดั้งเดิม: กระบวนการตอบสนองและกู้คืนในสภาพแวดล้อมแบบดั้งเดิมนั้นมีการกำหนดขอบเขตชัดเจน และสามารถแก้ไขด้วยทีมงานผู้เชี่ยวชาญ ด้วยการแยกอุปกรณ์ที่ได้รับผลกระทบ กู้คืนจากระบบสำรองข้อมูลและแก้ไขช่องโหว่บนซอฟต์แวร์โดยตรงบนระบบ On-Premises  
  • Cloud IR: การตอบสนองต่อเหตุการณ์บนคลาวด์ต้องใช้วิธีการทำงานที่มีความคล่องตัวสูง เนื่องจากความเร็วและสเกลของสภาพแวดล้อมของระบบคลาวด์ มีการใช้ Automated Playbooks และ Scripts ในการแยกทรัพย์กรที่ถูกบุกรุกอย่างรวดเร็ว กู้คืนระบบและ Credential Rotation ซึ่งการกู้คืนบนคลาวด์อาจซับซ้อนมากขึ้น เพราะทีมต้องประสานการทำงานระหว่างแพลตฟอร์มคลาวด์หลายแห่ง (Multiple Cloud Platfroms) หรือหลายภูมิภาค อย่างไรก็ตามความยืดหยุ่นของระบบคลาวด์ ส่งผลให้การกู้คืนอาจทำได้รวดเร็วกว่าปกติ หากกระบวนการ Cloud IR สามารถเชื่อมโยงการทำงานกับเครื่องมือเฉพาะสำหรับระบบคลาวด์และผู้ให้บริการได้อย่างมีประสิทธิภาพ 
  1. ทักษะและความเชี่ยวชาญ  
  • IR แบบดั้งเดิม: ทีมงานที่ทำหน้าที่ตอบสนองต่อเหตุการณ์ในสภาพแวดล้อมแบบดั้งเดิมมักมีความเชี่ยวชาญในเทคโนโลยี On-Premises เครือข่ายและระบบความปลอดภัยของอุปกรณ์ปลายทาง ซึ่งทักษะของพวกเขามักให้ความสำคัญกับโครงสร้างพื้นฐานทางกายภาพและการใช้เครื่องมือรักษาความปลอดภัยแบบดั้งเดิมเป็นหลัก 
  • Cloud IR:  การตอบสนองต่อเหตุการณ์บนระบบคลาวด์นั้นต้องอาศัยทักษะที่แตกต่างออกไปจากระบบแบบดั้งเดิม ได้แก่ ความรู้เกี่ยวกับสถาปัตยกรรมคลาวด์ เครื่องมือการรักษาความปลอดภัยของผู้ให้บริการคลาวด์ (CSP-Specific Security Tools) และระบบอัตโนมัติ อีกทั้งระบบคลาวด์ยังพัฒนาอย่างรวดเร็ว ดังนั้น ผู้ตอบสนองต่อเหตุการณ์จำเป็นต้องอัปเดตทักษะและความรู้ด้านความมั่นคงปลอดภัยไซเบอร์และภัยคุกคามใหม่ ๆ อยู่เสมอ ด้วยเหตุนี้ การขาดแคลนบุคลากรที่เชี่ยวชาญด้านความปลอดภัยบนคลาวด์ จึงเป็นอีกหนึ่งความท้าทายขององค์กรที่เปลี่ยนผ่านไปสู่ระบบคลาวด์  

การตอบสนองต่อภัยคุกคามบนระบบคลาวด์ของ บลูบิค ไททันส์ 

การตอบสนองต่อเหตุการณ์โจมตีบนคลาวด์ จำเป็นต้องใช้ทักษะ ประสบการณ์และเครื่องมือที่แตกต่างจากระบบ On-Premises หากองค์กรไม่มีผู้เชี่ยวชาญด้าน Cloud IR และเครื่องมือที่เหมาะสมกับแพลตฟอร์มของผู้ให้บริการคลาวด์แต่ละราย องค์กรอาจต้องเผชิญกับความล่าช้าในการตอบสนองและกู้คืนข้อมูล รวมถึงการควบคุมและขจัดภัยคุกคามออกจากระบบได้ ทำให้สูญเสียหลักฐานสำคัญเพราะไม่สามารถระบุได้ชัดเจนว่าเกิดอะไรขึ้นระหว่างการโจมตีและมีข้อมูลใดบ้างที่ถูกละเมิด อีกทั้งยังเสี่ยงต่อการถูกโจมตีซ้ำในอนาคตอีกด้วย  

บลูบิค ไททันส์ มีทีมผู้เชี่ยวชาญทั้งด้าน IR สำหรับระบบ On-Premises และ Cloud IR ที่พร้อมเสริมแกร่งด้านความปลอดภัยให้องค์กร ครอบคลุมตั้งแต่ Incident Response Retainer บริการที่ทำให้องค์กรมั่นใจหากต้องเผชิญกับภัยคุกคามไซเบอร์ การประเมินแนวทางด้านความปลอดภัยและระบุช่องโหว่ความเสี่ยงภัยคุกคาม รวมถึงบริการให้คำปรึกษาและโซลูชันสำหรับยกระดับมาตรฐานความปลอดภัยขององค์กร สำหรับองค์กรธุรกิจที่สนใจหรือต้องการข้อมูลเพิ่มเติมสามารถติดต่อสอบถามหรือปรึกษาเราได้ที่   

[email protected]  

02-636-7011  

ขอบคุณข้อมูลอ้างอิงจาก itpro, wiz.io, crowdstrike