(โดยสุธี อัศวสุนทรางกูร ผู้จัดการประจำประเทศไทย และอินโดจีน บริษัท ซอร์สไฟร์ (ประเทศไทย) จำกัด)
เบนจามิน แฟรงคลิน เคยเอื้อนเอ่ยไว้ว่า “An ounce of prevention is worth a pound of cure” หรือตามสุภาษิตบ้านเราคือ กันไว้ดีกว่าแก้ นั่นเอง วลีนี้ยังคงใช้เป็นข้อเตือนใจในการดำเนินชีวิตรวมไปถึงการทำธุรกิจได้ในหลายวาระ และยังเป็นการเตือนใจที่ใช้ได้ดีกับตลาดรักษาความปลอดภัยไอทีในช่วง 25 ปีแรกของศตวรรษ แต่วลีที่ว่านี้อาจไม่ได้เหมาะกับยุคสมัยปัจจุบันเสมอไป
เนื่องจากเรามีวิธีการป้องกันที่ดีขึ้น และดีขึ้นเรื่อยๆ ประสิทธิภาพในการรักษาความปลอดภัยก็อยู่ในระดับที่สูงมาก แต่ผู้ประสงค์ร้ายก็ยังคงมุ่งหน้าเจาะระบบและใช้มัลแวร์ล้ำหน้า รวมถึงการโจมตีแบบมีเป้าหมาย และวิถีการโจมตีแบบใหม่เพื่อหลีกเลี่ยงระบบป้องกันที่มีอยู่ดี ซึ่งการโจมตีเหล่านี้มักจะมาในลักษณะของการซุ่มโจมตี ที่กระทั่งมืออาชีพด้านการรักษาความปลอดภัยก็ยังต้องพยายามค้นต้นตอปัญหาว่ามาจากมัลแวร์ที่ใช้วิธีการล้ำหน้าหรือไม่ โดยการโจมตีมุ่งประสงค์ร้ายเหล่านี้มักพุ่งเป้าไปที่เหยื่อ แฝงตัวเองในรูปแบบอื่นเพื่อหลบหลีกระบบป้องกัน โดยสามารถซ่อนตัวอยู่เป็นเวลานานสองนานก่อนที่จะบุกโจมตีในช่วงเวลาใดเวลาหนึ่ง และด้วยวิธีการที่ซับซ้อนดังกล่าว จึงทำให้ยากที่จะหลีกเลี่ยงการแพร่กระจายของมัลแวร์ได้
แม้ว่าคุณจะระบุมัลแวล์ที่อยู่บนเครือข่ายได้ แต่ยังมีเรื่องที่ไม่รู้อีกมากมาย เช่น มัลแวร์หลุดรอดเข้ามาในเครือข่ายได้อย่างไร? และมีความรุนแรงในการแพร่กระจายมากน้อยแค่ไหน? พฤติกรรมการแพร่กระจายเป็นอย่างไร? ต้องแก้ไขอย่างไร? และ จะหยุดยั้งการแพร่กระจายได้อย่างไร เป็นต้น
การจะตอบคำถามเหล่านี้ได้ พร้อมทั้งลดผลกระทบจากช่องโหว่ที่เกิดขึ้น คุณต้องมีการป้องกันที่ดีเพื่อช่วยให้รับมือกับการโจมตีเต็มรูปแบบอย่างต่อเนื่องได้ ทั้งก่อนที่จะเริ่มการโจมตี ระหว่างที่กำลังดำเนินการ และภายหลังที่เริ่มมีความเสียหายเกิดขึ้นกับระบบ ทีนี้เราลองมาดูกันอย่างใกล้ชิดเกี่ยวกับวิธีปฏิบัติที่ดีที่สุดในแต่ละเฟสของการโจมตี และดูว่าระบบโครงสร้างด้านการรักษาความปลอดภัยในแต่ละลำดับชั้นว่ามีการทำงานร่วมกันอย่างไรเพื่อสร้างการป้องกันที่ดียิ่งขึ้น
ก่อนการโจมตี ให้เห็นภาพง่ายๆ ก็คือ คุณไม่สามารถป้องกันสิ่งที่คุณมองไม่เห็นว่ามีอยู่ หรืออีกแง่ก็คือ คุณต้องรู้ว่ามีอะไรเกิดขึ้นในเครือข่ายเพื่อที่จะได้ป้องกันได้ เหล่านั้นก็คือ อุปกรณ์ต่างๆ ระบบปฏิบัติการ การบริการ แอปพลิเคชัน ผู้ใช้งาน เนื้อหา และจุดอ่อนหรือช่องโหว่ที่อาจเป็นเหตุให้ถูกโจมตีได้ การที่สามารถกำหนดข้อมูลเพื่อใช้เป็นหลักในการตั้งสมมติฐาน นับเป็นก้าวแรกที่สำคัญในการป้องกันองค์กรของคุณจากการโจมตี การติดตั้งระบบควบคุมผู้ใช้ และการใช้แอปพลิเคชันก็ถือ
ว่าเป็นเรื่องสำคัญสำหรับการดำเนินงานในเฟสนี้เช่นกัน การนำระบบควบคุมที่ชาญฉลาดเพื่อควบคุมทุกจุดที่มีการเชื่อมต่อมาช่วยลดการโจมตีจากด่านหน้าจึงเป็นการช่วยลดช่องโหว่ขององค์กร ซึ่งผู้โจมตีมักจะนำข้อได้เปรียบจากวิธีการโจมตีหลายรูปแบบที่มีอยู่ปัจจุบันมารวบรวมเป็นข้อมูลเพื่อทำการเจาะเข้าสู่ระบบเครือข่าย แต่แค่วิธีการนี้เพียงอย่างเดียวนับว่าไม่เพียงพอสำหรับการป้องกัน
ระหว่างการโจมตี ในการต่อกรกับมัลแวร์ที่ใช้วิธีการโจมตีที่ซับซ้อนยิ่งขึ้นไปอีก คุณจำต้องใช้ระบบตรวจจับภัยคุกคามที่ดีที่สุดเท่าที่มีอยู่มาช่วย ปัจจัยที่ช่วยในการประเมินระดับของประสิทธิภาพและศักยภาพด้านการรักษาความปลอดภัย คือการทดสอบโซลูชันระบบรักษาความปลอดภัยบนสภาพการใช้งานจริง ซึ่งเป็นสิ่งที่จะช่วยให้คุณแยกโลกแห่งความจริงจากโฆษณาชวนเชื่อได้ และเมื่อคุณสามารถตรวจจับไฟล์หรือมัลแวร์นั้นได้ คุณก็สามารถทำการบล็อกได้ทันที แต่เนื่องจากมัลแวร์สามารถเปลี่ยนโฉมหรือวิธีการได้อย่างรวดเร็ว ดังนั้นการที่คุณสามารถเรียนรู้ และมีข้อมูลในการตรวจจับที่ทันต่อเหตุการณ์โดยอิงจากฐานความรู้เรื่องภัยคุกคามซึ่งเป็นสิ่งจำเป็นในการรักษาความปลอดภัยได้อย่างมีประสิทธิภาพ ซึ่งก็อีกนั่นแหละ ด้วยธรรมชาติของมัลแวร์ในปัจจุบัน ระบบตรวจจับภัยคุกคามที่ดีที่สุดก็ยังคงไม่เพียงพอต่อการป้องกันในสภาพแวดล้อมปัจจุบันอยู่ดี
หลังการโจมตี และในทันทีที่มัลแวร์เจาะเข้ามายังเครือข่ายคุณได้ ให้คิดไว้ก่อนว่ามันจะพยายามแพร่กระจายไปยังระบบงานอื่น และเมื่อมาถึงจุดนี้ ถ้าคุณไม่คิดอะไรมากเกี่ยวกับผลกระทบจากการโจมตีก็เป็นอันจบเกม คุณต้องตั้งรับในเชิงรุกเพื่อให้เข้าใจถึงขอบเขตความเสียหายว่าจะนำพามาซึ่งอะไรบ้าง พร้อมทั้งทำการแก้ไขเพื่อให้กลับมาดำเนินงานได้ตามปกติ เทคโนโลยีที่มีระบบวิเคราะห์อย่างต่อเนื่องเพื่อช่วยให้คุณมีมาตรวัดในเรื่องของการป้องกัน อีกทั้งสามารถตรวจสอบย้อนหลังกลับไปได้เพื่อดูประวัติของไฟล์ดังกล่าวที่อาจผ่านเข้ามาโดยที่ไม่ทันสังเกตและถูกระบุว่าเป็นไฟล์มุ่งประสงค์ร้ายในตอนนี้ ทั้งหมดนี้จะช่วยหยุดยั้งความเสียหายที่จะเกิดขึ้นพร้อมทำการแก้ไขได้ทันการณ์
ข้อคิดของเบนจามิน แฟรงคลิน เป็นสิ่งดีที่ทำให้เราคิดถึงการกันไว้ดีกว่าแก้ แต่เมื่อใดที่ถึงช่วงเวลาแห่งความท้าทายที่เราต้องป้องกันระบบเครือข่ายของเรา “การระวังภัยทั้งก่อน ระหว่าง และหลังเกิดภัยคุกคาม” กลับเป็นนิยามการป้องกันที่เหมาะสมสำหรับสถานการณ์ที่เกิดขึ้นได้เช่นกัน