Common Success and Mistake in Protecting Data & Application
By Natthapon Thepchalerm , Country Manager, Imperva
เรื่องธรรมดาแต่สำคัญ ที่องค์กรมักหลงลืมไป
ในยุคปัจจุบันที่ธุรกิจส่วนใหญ่เป็น Digital Information ทำให้ข้อมูล (Data) กลายมาเป็นทรัพยากรที่มีค่าที่สุดขององค์กร และมี API เป็นสิ่งที่สำคัญรองลงมา เนื่องจากเป็นตัวเชื่อมโยงสำคัญที่ทำให้แอปพลิเคชันต่าง ๆ สามารถสื่อสารและแลกเปลี่ยนข้อมูลกับฐานข้อมูลหรือเซิร์ฟเวอร์ได้ เพราะ API ทำหน้าที่เป็น "สะพาน" ที่เชื่อมโยงระหว่าง Front-End (เช่น Web App, Desktop App, Mobile App) กับ Data
ถึงแม้ว่าองค์กรส่วนใหญ่ต่างมี Data Center เป็นของตนเองและเข้าใจดีว่า Data คือสิ่งที่มีค่าที่สุดขององค์กร แต่ในทางปฏิบัติ กลับพบว่าหลายองค์กรลงทุนด้าน Cybersecurity เพื่อปกป้องข้อมูลน้อยกว่าด้านอื่น ๆ จึงเกิดคำถามสำคัญว่า เราจะปกป้องข้อมูลที่เป็นทรัพยากรสำคัญที่สุดขององค์กรได้อย่างไร และองค์กรสามารถจัดการกับ API ซึ่งเป็นกุญแจสำคัญในการนำข้อมูลเข้า-ออกได้ดีแค่ไหน
Data is Digital Jewel
เมื่อ Hacker ยอมลงทุนเพื่อให้ได้มาของ Data ในประเทศไทย มีสถิติการโจมตีทางไซเบอร์ที่เกี่ยวข้องกับการรั่วไหลของข้อมูลเพิ่มขึ้นอย่างต่อเนื่องตั้งแต่ปี 2561 ซึ่งกว่า 90% ของข่าวการโจมตีทางไซเบอร์ที่ถูกนำเสนอเกี่ยวข้องกับข้อมูลที่รั่วไหลทางอินเทอร์เน็ต และแนวโน้มนี้ยังคงสูงอย่างต่อเนื่อง สาเหตุสำคัญมาจากเหล่า Hacker มองเห็นว่า Data เป็นทรัพยากรที่คุ้มค่าในการจารกรรม พวกเขาได้ลงทุนในเครื่องมือ เทคนิค และทรัพยากรใหม่ ๆ เพื่อให้ได้ข้อมูลขององค์กรมา เช่น
1) การหลอกลวงพนักงานหรือผู้ใช้งานให้เปิดเผยข้อมูลสำคัญ (Social Engineering)
2) การใช้เครือข่ายคอมพิวเตอร์ที่ถูกควบคุมเพื่อเจาะระบบ (Botnet)
3) การโจมตีเพื่อทำให้ระบบล่มชั่วคราวและเบี่ยงเบนความสนใจจากการขโมยข้อมูล (DDoS)
4) การโจมตีช่องโหว่ที่ยังไม่มีการแก้ไขในระบบ (Zero Day Attack)
5) การใช้ AI เพื่อทำการโจมตีแบบอัตโนมัติ (Automate Attack) รวมถึงการสร้างมัลแวร์ใหม่ ผ่าน AI
6) การซื้อข้อมูลจากพนักงานภายใน (Insider Threat)
เมื่อเหล่า Hacker ได้ลงทุนอย่างมหาศาลเพื่อเพิ่มโอกาสสำเร็จในการขโมยข้อมูลจากองค์กร ดังนั้น องค์กรเองจึงต้องตั้งคำถามว่า การลงทุนด้านความปลอดภัยของข้อมูล (Data Security) นั้นเพียงพอหรือไม่ เมื่อเปรียบเทียบกับความพยายามที่ Hacker ทุ่มเทเพื่อโจมตีระบบ
เลือกลงทุนด้าน Data Security ตาม Trend หรือ Standard ?
เมื่อองค์กรต้องการลงทุนใน Data Security Tools มักต้องเผชิญกับการเลือกลงทุนตาม เทรนด์ หรือ มาตรฐาน กฎหมายและระเบียบข้อบังคับต่าง ๆ การลงทุนตามเทรนด์เพียงอย่างเดียว อาจทำให้องค์กรต้องปรับตัวอย่างไม่หยุดหย่อน เนื่องจาก Vendor มักเสนอเทคโนโลยีและนวัตกรรมใหม่ ๆ อยู่ตลอดเวลา ซึ่งเป็นผลจากการตลาดของฝั่งผู้ขาย
ในทางกลับกัน การเลือกลงทุนตามมาตรฐาน Compliance และ Regulation ที่องค์กรต้องปฏิบัติตาม เช่น IT-RM (Bank of Thailand), IT-S (The Securities and Exchange Commission, Thailand), IT-RM (Office of Insurance Commission), Data Protection Guideline (ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย) นั้นเป็นจุดเริ่มต้นที่ดีที่องค์กรนำไปสร้างมาตรฐานและนโยบายเพื่อการปกป้องข้อมูลที่สำคัญในองค์กร
เทคโนโลยีที่สำคัญในการทำ Data Security
การทำ Data Security ที่มีประสิทธิภาพควรเริ่มต้นจาก Database ซึ่งเป็นจุดศูนย์กลางของข้อมูลและเป็นเป้าหมายหลักของการโจมตี โดยอาศัยเทคโนโลยีดังต่อไปนี้:
1) Database Firewall Suite: ตรวจสอบและวิเคราะห์พฤติกรรมการเข้าถึงข้อมูล เพื่อระบุความเสี่ยงจากพฤติกรรมที่ผิดปกติ
2) Data Encryption: ปกป้องข้อมูลที่ละเอียดอ่อนโดยการเข้ารหัสในระดับ Columns, Files, และ Disk เพื่อรักษาความลับและการเข้าถึงที่ถูกต้อง
3) Data Masking: แปลงข้อมูลที่ละเอียดอ่อนให้เป็นข้อมูลที่ดูเหมือนจริงแต่ไม่สามารถใช้งานได้จริง เพื่อใช้ในการทดสอบหรือพัฒนา
4) Data Tokenized: แทนที่ข้อมูลที่ละเอียดอ่อนด้วยโทเค็นที่ไม่มีความหมายในตัวเอง แต่สามารถนำข้อมูลจริงกลับมาได้ภายใต้การควบคุมที่ปลอดภัย
5) HSM/KMS: (Hardware Security Module/Key Management System): จัดเก็บและจัดการกุญแจพร้อมระบบจัดการวิธีใช้งาน สำหรับการถอดรหัสในสภาพแวดล้อมที่ปลอดภัย
Securing API ? : What is it and how ?
Case Study : API Attack Incident ครั้งสำคัญ
ในปี 2022 มีการบันทึกเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่ที่เกิดจาก API Compromise โดยองค์กรหนึ่งสูญเสียข้อมูลมากถึง 9.5 ล้าน Records เนื่องจาก มี API ที่องค์กรลืมว่ามีอยู่ ซึ่ง API ตัวนี้ได้ฝังตัวอยู่ใน Corporate Website และ api.Corporate Website โดยมีตัวหลังเป็นเป้าหมายของ Attacker
ทั้งสองตัวนี้ปรากฎเป็น Open-Facing มาตั้งแต่ปี 2017 และถูกทำให้ Secure ไปแล้ว ในปีถัดมาได้มีAccess Control ที่มีปัญหา และได้ทำการแก้ไขเสร็จสิ้นในปี 2021 แต่กลายเป็นว่ามีเฉพาะ API ที่อยู่ใน Corporate Website เท่านั้นที่ได้รับการปรับแก้ไขเพียงแห่งเดียว ทำให้ในปี 2022 Attacker ได้พบช่องโหว่ของ api.Corporate Website
และทำการ Bypass ระบบ Security ของ api.Corporate Website ทำให้มีข้อมูลกว่า 9.5 ล้าน Records ได้รั่วไหลออกไป โดยผู้เชี่ยวชาญให้ความเห็นว่า Cyber Attack ครั้งนี้ Attacker ไม่ได้อาศัยเครื่องมือที่ซับซ้อนหรือความรู้เชิงลึกแต่อย่างใด หากแต่อาศัยวิธีการดังต่อไปนี้:
1. API ที่เปิดให้บุคคลภายนอกเข้าถึง (Public API) หากเชื่อมโยงกับระบบธุรกิจหลัก (Core Business Operation) ขององค์กรโดยตรง จะเปิดช่องให้เข้าถึงข้อมูลที่เป็นความลับ (Sensitive Data) ได้ง่ายมากขึ้น
2. บุคคลภายนอก เช่น ลูกค้า สามารถใช้ API ผ่าน Mobile App หรือ Web App โดยระบบ Back-End จะทำหน้าที่ดึงข้อมูลสำคัญจากฐานข้อมูลและส่งต่อไปให้ผู้ใช้งานได้ ทำให้ข้อมูลที่ละเอียดอ่อนสามารถถูกดึงออกมาได้อย่างง่ายดาย
3. ผู้โจมตี อาศัยช่องโหว่นี้โดยการแฝงตัวเป็นผู้ใช้งานปกติ (Customer Account) จากนั้นใช้วิธีการในข้อ 2 เพื่อดึงข้อมูลออกมาอย่างต่อเนื่อง ซึ่งข้อมูลที่ถูกดึงออกไปมากถึง 9.5 ล้านรายการ เนื่องจากเครื่องมือรักษาความปลอดภัยทั่วไปไม่สามารถตรวจจับได้ เพราะการโจมตีนี้เกิดขึ้นภายใต้การเข้าถึงระบบที่ถูกต้องและถูกมองว่าเป็น Traffic ปกติ (Legitimate Traffic) ไม่ใช่การโจมตีที่ใช้ Payload ที่เป็นอันตราย (Malicious Payload)
กรณีนี้ชี้ให้เห็นว่า การปกป้อง API ขององค์กรจำเป็นต้องมากกว่าการใช้เครื่องมือรักษาความปลอดภัยจาก Vendor เพียงอย่างเดียว องค์กรควรทำความเข้าใจ Business Logic ของตนเองอย่างละเอียด เพื่อป้องกันการโจมตีในลักษณะนี้ที่อาจเกิดขึ้นในอนาคต
แนวทางสู่การสร้าง API ที่ปลอดภัย
1. API Traffic: ตรวจสอบและนำ API Traffic ทั้งหมดเข้าสู่แพลตฟอร์ม API Security โดยต้องระบุว่า API ทั้งหมดขององค์กรอยู่ในโซนใด เช่น Public API, Extranet API, Intranet API, Private API และ API Gateway เพื่อให้ครอบคลุมการป้องกันทุกจุดที่มีการใช้งาน
2. Opt-in & Decryption: ตรวจสอบให้แน่ใจว่าสามารถนำ API Traffic จากแต่ละจุดในสภาพแวดล้อมขององค์กรเข้าสู่แพลตฟอร์ม API Security ได้อย่างถูกต้อง รวมถึงการถอดรหัส (Decryption) API ที่มีการเข้ารหัสข้อมูลเพื่อให้สามารถวิเคราะห์ความปลอดภัยได้ครบถ้วน
3. Teams Responsible Model: การรักษาความปลอดภัยของ API จำเป็นต้องทำงานร่วมกันระหว่างทีมต่างๆ โดยเฉพาะทีม Cybersecurity, Network Security และ DepSecOps เพื่อดูแลเรื่องการปกป้อง API, การติดตามกิจกรรม API, การจัดการความเสี่ยงและช่องโหว่ของ API อย่างมีประสิทธิภาพภายใต้แพลตฟอร์ม API Security
4. Outcome: ผลลัพธ์ที่ได้จากการปฏิบัติตามแนวทางนี้คือ การมีระบบการป้องกัน API ที่ครอบคลุม ช่วยลดความเสี่ยงจากการโจมตีทางไซเบอร์ และรักษาความปลอดภัยของข้อมูลภายในองค์กรให้แน่นหนายิ่งขึ้น
จากกระบวนการทั้งหมด จะทำให้องค์กรทราบว่า:
1) Discovery: API ทั้งหมดในองค์กรมีอะไรบ้าง มีที่ไหนบ้าง และมี API ประเภทใดบ้าง
2) Identify Risks: การระบุจุดอ่อนและความเสี่ยงของ API ที่อาจถูกโจมตีรวมถึงข้อมูลที่ละเอียดอ่อน (Sensitive Data) เป็นสิ่งสำคัญในการจัดการความปลอดภัย API โดยการตรวจสอบว่ามี API ที่เลิกใช้งานแล้วและกลับมาใช้งานอีก (Deprecated API) ก็เป็นการช่วยให้เข้าใจถึงความเสี่ยงที่อาจเกิดขึ้น
3) Monitor Behaviors: สามารถมองเห็นพฤติกรรมที่เกิดขึ้นกับ API ทั้งหมดในองค์กรช่วยให้สามารถระบุพฤติกรรมที่ผิดปกติได้ ซึ่งเป็นขั้นตอนที่สำคัญในการตรวจจับภัยคุกคาม
4) Select Sensitive API: สามารถตัดสินใจแก้ไขปัญหาได้ถูกต้อง แม่นยำ ตามสถานการณ์ที่เกิดขึ้นจริง
5) Approach Securing API: ระบุแนวทางในการรักษาความปลอดภัย API เช่น การใช้มาตรการควบคุมการเข้าถึง การเข้ารหัสข้อมูล การตรวจสอบภัยคุกคาม เป็นต้น
ในการรักษาความปลอดภัยของ Database ซึ่งเป็นทรัพยากรสำคัญขององค์กร ควรเริ่มต้นจากการปฏิบัติตามมาตรฐาน Compliance ตามที่ Imperva แนะนำ เพื่อสร้างกรอบนโยบายและมาตรการปกป้องข้อมูลที่ชัดเจน นอกจากนี้ ควรใช้เทคโนโลยีที่เหมาะสม เช่น Database Firewall, Encryption, Data Masking & Tokenization และการจัดการกุญแจเข้ารหัสอย่างปลอดภัยด้วย HSM/KMS เพื่อให้ข้อมูลสำคัญขององค์กรได้รับการปกป้องอย่างรัดกุมและครบถ้วน
สำหรับการรักษาความปลอดภัยของ API ซึ่งเป็นช่องทางสำคัญในการนำเข้าและส่งออกข้อมูลขององค์กร ไม่ควรอาศัยเพียงการตรวจจับด้วยรูปแบบที่มีใน Vendor Solution เท่านั้น แต่ต้องเข้าใจถึง Business Logic ภายในองค์กรด้วยเช่นกัน
การรู้ถึง API ที่มีอยู่ทั้งหมด ระบุ ความเสี่ยง ที่อาจเกิดขึ้น ติดตาม พฤติกรรมการใช้งาน API อย่างต่อเนื่อง และเลือกดำเนินการตามความสำคัญของ API จะนำไปสู่การกำหนดกลยุทธ์ในการป้องกันได้อย่างมีประสิทธิภาพ นอกจากนี้ ควรระบุ ผู้รับผิดชอบ ในแต่ละจุดสำคัญ และเลือกโซลูชันที่เหมาะสมกับบริบทขององค์กร เพื่อให้ทรัพยากรที่มีค่าขององค์กรได้รับการรักษาความปลอดภัยอย่างรอบด้าน
กถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity #BCD2024 #Impaerva #AI #DataSecurity #APISecurity #DataProtection #DataEncryption #DataMasking #DataTokenized #HSM #KMS
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
