Red Teaming: ย้อนกลับวิธีการจัดการกับการโจมตีทางไซเบอร์

เผยแพร่แล้ว: 2019-04-11

แม้จะมีมาตรการป้องกัน การติดตั้งซอฟต์แวร์ป้องกันข้อมูลประจำตัว เทคนิคการเข้ารหัสข้อมูล และยูทิลิตี้ป้องกันมัลแวร์ การรักษาความปลอดภัยทางไซเบอร์ยังคงเสี่ยงต่อภัยคุกคามที่เกิดขึ้นใหม่ ซึ่งท้ายที่สุดแล้วองค์กรสมัยใหม่และระบบคอมพิวเตอร์ส่วนบุคคลจะเสี่ยงต่อการรั่วไหลของข้อมูลและการใช้ข้อมูลในทางที่ผิด แม้ว่าจะมีความเสี่ยงสูงต่อการสูญเสียทางการเงินสำหรับองค์กรที่ใช้ซอฟต์แวร์คอมพิวเตอร์เพื่อจัดการระดับงานต่างๆ ของตน แต่ก็มีผลที่ตามมาจากการคุกคามความปลอดภัยส่วนบุคคลและการแสดงตนทางออนไลน์ของสาธารณะ ซึ่งในทางกลับกันทำให้พวกเขาตกเป็นเหยื่อของการกลั่นแกล้งทางอินเทอร์เน็ต เนื่องจากการป้องกันการโจมตีทางไซเบอร์และการก่อการร้ายทางไซเบอร์ของเรานั้นล้มเหลวอย่างมาก จึงอาจมีความจำเป็นที่จะต้องมีแนวทางที่แตกต่างออกไปเพื่ออัพเกรดเทคนิคการป้องกันทางไซเบอร์ของเรา แม้ว่าบริษัทส่วนใหญ่จะอาศัยเว็บคุณสมบัติด้านความปลอดภัยที่ซับซ้อนสำหรับเซิร์ฟเวอร์และคลาวด์ของตน แต่ขณะนี้บริษัทหลายแห่งได้เริ่มทดสอบกลไกการป้องกันด้วยกลวิธีใหม่ที่เรียกว่า Red Teaming มันเกี่ยวกับอะไร? และการเปลี่ยนแปลงใดที่สามารถนำมาสู่กลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ได้? ลองหากัน

ต้องอ่าน: 5 การคาดการณ์ความปลอดภัยทางไซเบอร์ที่คุณต้องรู้

เหตุใดจึงต้องมีแนวทางที่แตกต่างในการรักษาความปลอดภัยทางไซเบอร์

กลไกความปลอดภัยทางไซเบอร์และการป้องกันเว็บ - Tweaklibrary — ภาพ: CTO

เมื่อเราพูดถึงการรักษาความปลอดภัยทางไซเบอร์และกลไกการป้องกันเว็บ มีคนจำนวนมากที่เกี่ยวข้องในการใช้มาตรการเหล่านี้ในเซิร์ฟเวอร์ขององค์กรหรือพื้นที่บนคลาวด์ คนเหล่านี้มีความรู้เชิงลึกเกี่ยวกับระบบ ภาษาคอมพิวเตอร์ การเข้ารหัส และการแฮ็ก มีทักษะและมีคุณสมบัติเหมาะสมในการทำงานต่าง ๆ ที่เกี่ยวข้องกับความปลอดภัยในโลกไซเบอร์ งานของคนเหล่านี้คือทำให้แน่ใจว่านายจ้างของพวกเขาจะไม่ถูกขโมยข้อมูลและการเงินทางออนไลน์โดยผู้จู่โจมที่ไม่รู้จัก ซึ่งอาจทำให้พวกเขาสูญเสียทั้งส่วนตัวและในอาชีพ ปัจจุบันบริษัทส่วนใหญ่จ้างคนเหล่านี้เพื่อตรวจสอบเซิร์ฟเวอร์ของตนเพื่อหาภัยคุกคามที่อาจเกิดขึ้นและทำการปะแก้ช่องโหว่เป็นประจำ พวกเขาประเมินระบบเครือข่ายทั้งหมด ค้นหาช่องโหว่ที่อาจเกิดขึ้นซึ่งทำให้เซิร์ฟเวอร์ของบริษัทเสี่ยงต่อการถูกโจมตี และแก้ไข การตรวจสอบและวิเคราะห์เป็นประจำช่วยให้ทีมรักษาความปลอดภัยทางไซเบอร์เหล่านี้รักษาเซิร์ฟเวอร์และพื้นที่เว็บที่เกี่ยวข้องไว้เหมือนเดิม บี

การละเมิดข้อมูลผู้โจมตีทางไซเบอร์ - Tweaklibrary — ภาพ: The Hacker News

แต่ผู้โจมตีทางไซเบอร์ไม่ได้เป็นเพียงการละเมิดความปลอดภัยของข้อมูลด้วยวิธีการทดลองและข้อผิดพลาดแบบเก่าในการเจาะการเข้ารหัส ทุกวันนี้ผู้โจมตีพยายามค้นหามาตรการอื่นๆ ที่สามารถนำพวกเขาไปสู่เครือข่ายที่มีการป้องกันโดยไม่ทิ้งร่องรอยทางดิจิทัล ดังนั้นพวกเขาจึงหาวิธีที่จะขโมยการควบคุมและการปกป้องข้อมูลของคุณโดยไม่ได้แจ้งให้คุณทราบ เนื่องจากผู้โจมตีเหล่านี้กำลังคิดนอกกรอบเพื่อกำหนดเป้าหมายเซิร์ฟเวอร์และเครือข่าย จึงจำเป็นต้องเปลี่ยนแนวทางในการป้องกันเซิร์ฟเวอร์ความปลอดภัยทางไซเบอร์ด้วยและมีบางสิ่งที่คิดนอกกรอบ

Red Teaming คืออะไร?

Red Teaming - Tweaklibrary — ภาพ: Prisma CSI

บริการป้องกันบุคคลที่สามของบริษัทส่วนใหญ่จะตรวจสอบและซ่อมแซมไฟร์วอลล์ของตน และป้องกันมัลแวร์ออกจากเซิร์ฟเวอร์ที่เกี่ยวข้อง แต่ทีมแดงเป็นกรณีที่แตกต่างอย่างสิ้นเชิงจากบริการคุ้มครอง แม้ว่าทักษะและความรู้ของทั้งคู่จากบริการป้องกันไฟร์วอลล์และสมาชิกของ "ทีมสีแดง" จะคล้ายกัน แต่งานของพวกเขาที่ทำให้ทั้งความสามารถและงานแตกต่างกัน ใน Red Teaming บริษัทต่างๆ จะรวบรวมทีมผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ภายในบริษัท ซึ่งไม่เพียงแต่มีทักษะในการติดตามและป้องกันการโจมตีทางไซเบอร์เท่านั้น แต่ยังเชี่ยวชาญในการดำเนินการดังกล่าวด้วย คนเหล่านี้เลียนแบบการโจมตีทางไซเบอร์ในฐานะผู้โจมตีและคิดหาวิธีต่างๆ ในการเจาะเซิร์ฟเวอร์ของนายจ้างเพื่อกำหนดวิธีที่เป็นไปได้ทั้งหมดที่ผู้โจมตีจริงสามารถเจาะเข้าไปได้ ซึ่งช่วยให้องค์กรต่างๆ สามารถระบุตำแหน่งที่ต้องการอัปเกรดในไฟร์วอลล์ และช่องทางทั้งหมดที่เซิร์ฟเวอร์ของตนต้องให้สิทธิ์การเข้าถึงแก่ผู้โจมตีโดยไม่ได้รับอนุญาต

Red Teaming ละเมิดการป้องกันไฟร์วอลล์ - Tweaklibrary — ภาพ: DTS Solution

ด้วยการสวมบทบาทเป็นผู้โจมตี ทีมสีแดงไม่เพียงแค่ตรวจสอบเซิร์ฟเวอร์เพื่อหาช่องโหว่ แต่ยังมุ่งเน้นอย่างมากในการค้นหาและใช้ประโยชน์จากช่องโหว่เหล่านี้ ช่วยให้องค์กรรู้ว่าการโจมตีประเภทใดที่ไฟร์วอลล์ไม่สามารถป้องกันได้ อย่างไรก็ตาม Red Teams สามารถทำงานได้อย่างมีประสิทธิภาพก็ต่อเมื่อพวกเขาทราบถึงเครื่องมือแฮ็คและเป็นผู้เชี่ยวชาญในการดำเนินการโจมตีแบบฟิชชิงและมัลแวร์ พวกเขาอาจใช้เทคนิคอื่นๆ เช่น การเข้าถึงพื้นที่คลาวด์ของข้อมูลองค์กร หรือการเจาะระบบเมนเฟรมทางอุตสาหกรรม และเข้าควบคุมเครื่องจักรในสายการผลิต คนเหล่านี้คิดถึงความเป็นไปได้ใหม่ๆ ในการละเมิดการป้องกันไฟร์วอลล์ และด้วยเหตุนี้จึงช่วยในการอัปเกรดสถาปัตยกรรมไฟร์วอลล์

Red Teaming เป็นแนวทางปฏิบัติที่สำคัญสำหรับองค์กรหรือไม่?

Red Teaming แนวปฏิบัติที่สำคัญสำหรับองค์กร - Tweaklibrary — ภาพ: PC World

ใช่. แม้จะจ้างบริการป้องกันอย่างมืออาชีพและใช้มาตรการไฟร์วอลล์ทุกประเภท แต่องค์กรต่างๆ มักอยู่ภายใต้ภัยคุกคามทางไซเบอร์และการก่อการร้ายทางอินเทอร์เน็ต สิ่งนี้สามารถยืนยันได้จากการดูการโจมตีที่ส่งผลกระทบมากที่สุดในทศวรรษนี้ ซึ่งทำให้บริษัทยักษ์ใหญ่หลายร้อยแห่งต้องสูญเสียไปพร้อมกับการพิจารณาของสาธารณชน หนึ่งในนั้นคือ Sony Pictures Hack ในปี 2014 ซึ่งเซิร์ฟเวอร์ของสตูดิโอภาพยนตร์ถูกแฮ็กเพื่อเข้าถึงอีเมลส่วนตัวและอีเมลระดับมืออาชีพของหัวหน้าสตูดิโอ ซึ่งท้ายที่สุดก็นำไปสู่การเปิดเผยกิจการและการเจรจาต่างๆ ของ Sony Pictures นอกจากนี้ยังทำให้สตูดิโอยกเลิกการฉายภาพยนตร์เรื่อง The Interview ของพวกเขาอีกด้วย อีกประการหนึ่งคือ Stuxnet ซึ่งเป็นมัลแวร์ที่ได้รับทุนสนับสนุนจากรัฐโดยสหรัฐอเมริกาและอิสราเอลในรัฐบาลอิหร่านเพื่อชะลอโครงการพัฒนาอาวุธนิวเคลียร์ของอิหร่าน ในที่สุดเวิร์มตัวนี้ก็แพร่กระจายไปยังระบบที่ไม่รู้จัก ซึ่งไม่อยู่ในรายชื่อเป้าหมายและสร้างความหายนะ ที่โด่งดังที่สุดในปี 2560 แรนซัมแวร์โจมตีกำหนดเป้าหมายองค์กรขนาดเล็กและขนาดใหญ่หลายร้อยแห่งทั่วโลก ทำให้เป็นการโจมตีทางไซเบอร์ครั้งใหญ่ที่สุดในประวัติศาสตร์

Red Teaming แนวทางปฏิบัติที่สำคัญ - Tweaklibrary

ดังนั้น แม้ว่าบริษัทไฟร์วอลล์จะติดตั้งอะไรก็ตาม แต่ก็ยังมีช่องโหว่หรือวิธีการใหม่ๆ ในการแพร่กระจายมัลแวร์ที่ผู้โจมตีจะรู้จักหรือออกแบบด้วยตัวเองอยู่เสมอ ใช่แล้ว ต้องมีทีมสีแดงเพื่อให้แน่ใจว่าไฟร์วอลล์ในสถานที่นั้นมีประสิทธิภาพตามที่เห็นหรือไม่ เนื่องจากแม้แต่บริษัทขนาดใหญ่ที่สุดก็ยังถูกคุกคามจากการละเมิดความปลอดภัยทางไซเบอร์ จึงเป็นที่แน่ชัดว่าการป้องกันไฟร์วอลล์นั้นล่าช้าและไม่สามารถตามทันกลวิธีใหม่ๆ ที่เหล่าแฮ็กเกอร์จำนวนนับสิบเหล่านี้จะพัฒนาเป็นระยะๆ ดังนั้น ในการคิดนอกกรอบและคิดแบบเดียวกับที่ผู้โจมตีจะทำก่อนที่จะพยายามฝ่าฝืน การรวมทีมสีแดงเป็นมาตรการสำคัญที่ทุกองค์กรจำเป็นต้องนำมาใช้

Red Teaming สามารถเป็นทางออกเดียวได้หรือไม่?

Red Teaming เป็นทางออกเดียว - Tweaklibrary — ภาพ: Antian

ถ้าคุณคิดว่าทีมสีแดงจะรักษาเซิร์ฟเวอร์ของคุณให้ปลอดภัย คุณคิดผิดอย่างที่สุด เพราะในขณะที่พยายามค้นหาช่องโหว่ใหม่ในเครือข่ายของคุณ คุณจะต้องมีทีมอื่น ซึ่งจะตอบโต้ความพยายามของทีมสีแดงและรักษาความปลอดภัยให้กับช่องโหว่เหล่านั้นในแบบเรียลไทม์ ทั้งหมดนี้ฟังดูเหมือนเป็นงานแฮ็กกาธอน แต่นั่นเป็นวิธีการที่ถูกต้อง ทีมสีแดงพยายามบุกเข้าไปในเซิร์ฟเวอร์ ในขณะที่ทีมป้องกันพยายามต่อต้านการโจมตีของทีมสีแดง ซึ่งจะช่วยให้บริษัทต่างๆ สามารถอัพเกรดไฟร์วอลล์ตามเวลาจริงและแก้ไขช่องโหว่ในมาตรการป้องกันทางไซเบอร์ได้ทันที ทีมแดงไม่สามารถอยู่รอดได้เพียงลำพัง และจะไร้ผลหากไม่มีคนอยู่อีกฟากหนึ่งของกำแพง

อ่านเพิ่มเติม: จะใช้การฝึกอบรมให้ความรู้ด้านความปลอดภัยทางไซเบอร์เพื่อเปลี่ยนพฤติกรรมของพนักงานได้อย่างไร

บริษัททุกขนาดมีกลไกการป้องกันทางไซเบอร์และเครื่องมือไฟร์วอลล์จำนวนมาก และมีแนวโน้มที่จะพึ่งพากลไกเหล่านี้อย่างมาก แต่ผู้โจมตีมักพบช่องโหว่ในนั้น อย่างที่พวกเขาคิด เพื่อให้แน่ใจว่าได้รับการปกป้องอย่างสมบูรณ์จากการโจมตีดังกล่าว เราต้องเลียนแบบวิธีที่ผู้โจมตีเข้าถึงการป้องกันด้วยไฟร์วอลล์ แทนที่จะคิดว่าเป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ การเลียนแบบการโจมตีทางไซเบอร์ในทางปฏิบัติเหล่านี้จะเป็นประโยชน์ในการรักษาความปลอดภัยเซิร์ฟเวอร์ระดับสูงและการต้านทานการโจมตีทางไซเบอร์