แนวทางการจัดทำกลยุทธ์ด้าน Zero Trust สำหรับผู้บริหารระดับสูง

แนวคิดเกี่ยวกับ Zero Trust ถูกพูดถึงอย่างมากมายตลอด 2 – 3 ปีที่ผ่านมา หลายองค์กรพยายามศึกษา ทำความเข้าใจ เพื่อที่จะได้ดำเนินการตามแนวทางได้อย่างถูกต้อง การกำหนดกลยุทธ์ด้าน Zero Trust สำหรับองค์กรจึงเป็นสิ่งที่สำคัญที่ผู้บริหารด้าน IT จำเป็นต้องเข้าใจและดำเนินการได้อย่างเหมาะสม กลยุทธ์ที่สร้างขึ้นมาควรครอบคลุมตั้งแต่การกำหนดสถาปัตยกรรมด้าน Zero Trust การสร้าง Cybersecurity Program และการสร้างมาตรการควบคุมด้านความมั่นคงปลอดภัยที่สอดคล้องกับแนวคิดนี้ แนวคิด Zero Trust สามารถนำไปประยุกต์ใช้ได้ทั้งระบบ IT/OT ประโยชน์ที่องค์กรได้รับคือการยกระดับความมั่นคงปลอดภัย การปรับปรุงกระบวนการทางธุรกิจ รวมทั้งการลดต้นทุนการดำเนินการด้านการรักษาความมั่นคงปลอดภัย

ภายในงาน Thailand National Cyber Week 2023 ที่จัดขึ้นเมื่อวันที่ 17 – 18 กุมภาพันธ์ 2023 ที่ผ่านมา ซึ่งเป็นการจัดงานด้านความมั่นคงปลอดภัยทางไซเบอร์ครั้งแรกในประเทศไทย หนึ่งในหัวข้อที่ถูกนำขึ้นมาบรรยายมากที่สุดเป็นอันดับต้นๆ คือ Zero Trust ซึ่งในบทความนี้ได้สรุปสาระสำคัญของการเสวนากลุ่มย่อย – แนวทางการจัดทำกลยุทธ์ด้าน Zero Trust สำหรับผู้บริหารระดับสูง โดย ดร. ศุภกร กังพิศดาร Managing Director – Cyber Elite และ Mr. Heng Mok – CISO Zscaler ที่นำข้อมูลที่เป็นประโยชน์สำหรับธุรกิจระดับองค์กรที่ต้องการสร้าง Zero Trust ให้ง่ายขึ้น

Threat Landscape

รูปแบบภัยคุกคามของ Cybersecurity วิธีการโจมตีแบบไหนที่ใช้เยอะที่สุด ซึ่งอาจเกิดจากบุคลากร อุปกรณ์ทั้งภายในและภายนอกองค์กร ด้วยความตั้งใจหรือไม่ตั้งใจก็ตาม เพื่อให้องค์กรได้ปรับกลยุทธ์รับมือกับภัยความเสี่ยงที่อยู่บนความไม่แน่นอนได้ทันท่วงทีที่มาจาก Externally Facing Assets, Supply Chain, Remote Workers, Authentication Infrastructure และ Unpatched (On-prem / Cloud) ซึ่งที่กล่าวมาคือสิ่งที่ธุรกิจต่างๆ จะต้องเผชิญกับภัยคุกคามทางไซเบอร์ที่ยากจะคาดเดา

  • 91% ของการโจมตีไม่ได้สร้างการแจ้งเตือนความปลอดภัยด้วยซ้ำ
  • 68% ของการโจมตีไม่ใช่มัลแวร์ เพราะการโจมตีขั้นสูงเป็นฝีมือของมนุษย์
  • 45% ของการแจ้งเตือนเป็นผลบวกลวง (false positives)

Zero Trust คืออะไร

Zero Trust คือ แนวคิดการลดความเสี่ยงสำหรับองค์กรธุรกิจที่สำคัญที่สุด ซึ่งเป็นมากกว่าเทคโนโลยี Zero Trust เป็นเฟรมเวิร์กสำหรับการรักษาความปลอดภัยองค์กรในโลกคลาวด์และมือถือที่ยืนยันว่าไม่มีผู้ใช้หรือแอปพลิเคชันใดคู่ควรที่จะเชื่อถือได้เลย แม้ว่าอุปกรณ์ใดจะเชื่อมต่อกับเครือข่ายที่ได้รับอนุญาตสิทธิ์ระดับองค์กร หรือแม้ว่าอุปกรณ์เหล่านั้นจะผ่านการยืนยันก่อนหน้านี้แล้วก็ตาม “อย่าไว้ใจ ตรวจสอบเสมอ” (never trust, always verify) เพราะฉะนั้น Transformative Re-imaging คือวิธีที่ธุรกิจระดับองค์กรจะสามารถจัดการความปลอดภัยทางไซเบอร์เพื่อให้สอดคล้องกับวิธีการทำธุรกิจของคุณได้

ประโยชน์ของ Zero Trust

Zero Trust สามารถยกระดับความมั่นคงปลอดภัย การปรับปรุงกระบวนการทางธุรกิจ รวมทั้งการลดต้นทุนการดำเนินการด้านการรักษาความมั่นคงปลอดภัยได้ ซึ่ง Zero Trust ที่สมบูรณ์แบบจะต้องสามารถระบุตัวตนของผู้ใช้และอุปกรณ์ได้อย่างชัดเจน ระบุสิทธิ์การเข้าถึงที่เหมาะสม และมีความเสี่ยงลดลงในทุกมิติ

บริบทด้านธุรกิจและการรักษาความปลอดภัย

ความท้าทาย และปัญหาต่างๆ ที่เกิดขึ้นกับภาคธุรกิจ ที่ผ่านมาพบว่าแนวคิดเรื่องการทำ Cybersecurity อาจจะไม่ตอบโจทย์ความท้าทายของธุรกิจได้อีกต่อไป เรามักจะพูดถึงการทำ Security บนระบบ Network Infrastructure แบบเดิมๆ แต่ถ้าเราต้องการแนวความคิดใหม่ๆ สิ่งสำคัญที่ควรคำนึง คือ บางครั้งเราไม่สามารถเติมเต็มประสิทธิภาพของ Cybersecurity ลงไปบน Infrastructure แบบเดิมๆ ได้อีกต่อไป เพราะฉะนั้นจึงได้เกิดแนวคิดที่เรียกว่า Zero Trust ขึ้นมา

แนวคิดการรักษาความปลอดภัยแบบ Zero trust คือ “อย่าไว้ใจ ตรวจสอบเสมอ” ซึ่งหมายความว่าอุปกรณ์ใด บุคคลใดจะเข้าถึงแหล่งข้อมูลจะต้องผ่านการตรวจสอบเสมอ แม้ว่าอุปกรณ์นั้นๆ จะเคยผ่านการเชื่อมต่อกับเครือข่ายที่ได้รับอนุญาตมาก่อนแล้วก็ตาม การสร้างการมองเห็นสามารถปลดล็อกความไม่ไว้ใจเหล่านี้ออกไปจากองค์กรได้ดีที่สุด เราจะไม่สามารถบริหารจัดการในสิ่งที่มองไม่เห็นได้เลย นี่คือสิ่งแรกที่องค์กรควรเริ่มต้นและทำให้เกิดขึ้นในระบบนิเวศทั้งภายในและภายนอกองค์กร เพื่อต่อยอดกระบวนการวิเคราะห์ระดับภัยคุกคามได้อย่างแม่นยำ

การนำ Zero Trust มาปรับใช้ – ไม่ใช่แนวทางเดียวที่เหมาะกับทุกวิถีทาง และย่างก้าวการเดินทางขององค์กรแต่ละแห่งอาจแตกต่างกันไปโดยพิจารณาจากลำดับความสำคัญของธุรกิจ ความซับซ้อน ภูมิทัศน์ของเทคโนโลยี และข้อกำหนดด้านกฎระเบียบต่างๆ หลายองค์กรมองหาอุปกรณ์ด้านการรักษาความปลอดภัยเข้ามาเสริมศักยภาพให้กับธุรกิจมีความน่าเชื่อถือเป็นสำคัญ แต่ถ้าเราซื้ออุปกรณ์ที่ทันสมัยที่สุดเข้ามาปรับใช้โดยที่เรายังไม่ทราบระบบนิเวศทั้งหมดขององค์กรเลย ก็ไม่ต่างกับการหลับตายิงธนู นอกจากจะมองไม่เห็นเป้าหมาย เรายังไม่มีโอกาสได้กำหนดกลยุทธทิศทางการปล่อยลูกศรให้มุ่งสู่เป้าหมายได้สำเร็จเลย

Zero Trust Architecture

Zero Trust Architecture เป็นสถาปัตยกรรมความปลอดภัยที่สร้างขึ้นเพื่อกระชับพื้นจากการโจมตีของเครือข่าย ป้องกันทุกความเคลื่อนไหวรอบด้าน และลดความเสี่ยงจากการละเมิดข้อมูล โดยยึดหลักการที่สำคัญของ Zero Trust Security Model เพื่อเชื่อมต่ออุปกรณ์และผู้ใช้ทั้งหมดด้วยวิธีที่ปลอดภัยที่สุด

การทำ Zero Trust ให้สำเร็จ – เราจะต้องกลับมามองที่ตัวของเราเป็นอันดับตั้งต้นก่อน ว่ารากฐานของการทำ Cybersecurity ของเรานั้นมีครบหรือยัง อาทิเช่น เรื่องของ Asset, Data, Application และ System Management สิ่งเหล่านี้เป็นเรื่องพื้นฐานที่จำเป็นต้องตระหนักรู้ที่มาที่ไปทั้งหมด “ถ้าเราไม่รู้ว่าสินทรัพย์ของเรานั้นอยู่ที่ใด นั่นหมายความว่าเราจะไม่สามารถปกป้องมันได้อย่างแน่นอน” นอกจากนี้เราจะต้องเข้าใจกระบวนการทางธุรกิจที่กำลังดำเนินอยู่เพื่อให้สามารถประเมินความเสี่ยงในทุกระดับได้อย่างเหมาะสม ไม่ว่าสิทธ์การเข้าถึงระบบ การบันทึกเก็บข้อมูลการใช้งานทั้งขาเข้าและขาออก รวมไปถึงการจัดการข้อมูล Workload แบบ On-Prem หรือ On-Cloud ซึ่งจะต้องมีการป้องกันที่แตกต่างกันด้วยเช่นกัน

อีกมุมความคิดที่หลายคนเข้าใจว่า ถ้าต้องการความปลอดภัยกับระบบเดิมที่เป็นแบบ On-Prem ให้นำขึ้นไปอยู่บนระบบ Cloud ซึ่งแท้จริงแล้วเป็นแนวคิดที่ไม่ถูกต้อง เนื่องจากบน Cloud นั่นมีความท้าทายที่แตกต่างกันออกไปอีกมากมายที่องค์กรต่างๆ จะต้องทำความเข้าใจและจัดการ Workload on Cloud ให้มีวิธีการจัดการความเสี่ยงให้มีความปลอดภัยระดับสูง

สรุปรากฐานของการทำ Zero Trust ทั้ง 3 ข้อ

เป้าหมาย เพื่อยกระดับองค์กรสู่ความมั่นคงปลอดภัย องค์กรจะต้องทำความเข้าใจว่า :

  1. ทำความเข้าใจภาพรวมองค์ประกอบภายในองค์กร เช่น สินทรัพย์ ข้อมูล แอปพลิเคชัน และการจัดการระบบทั้งหมด รวมไปถึงกระบวนการทางธุรกิจทั้งหมดและสิทธิ์และการจัดการการเข้าถึงระบบทั้งหมด
  2. ทำความเข้าใจการจัดการการรักษาความปลอดภัยทั้งทางเข้าและทางออกในระบบขององค์กร
  3. ทำความเข้าใจการจัดการการเชื่อมต่อข้อมูล Workload ระหว่างกันขององค์กร

Zero Trust Architecture M & A Use Case (การควบรวมกิจการ)

Work from Anywhere ในช่วง 2 ปีที่ผ่านมา พฤติกรรมใหม่ๆ ได้รับการหล่อหลอมโดยพนักงานที่ทำงานอย่างยืดหยุ่นและทำงานจากที่ใดก็ได้จนกลายเป็นเรื่องปกติซึ่งผลผลิตทางธุกิจไม่ได้ลดลง ซึ่งมีโอกาสในการเติบโตและการขยายตลาดใหม่มากขึ้น แต่อย่างไรก็ตาม ความยืดหยุ่นในยุคดิจทัลทำให้องค์กรต่างๆ ตกเป็นเป้าของการโจมตีในโลกไซเบอร์ได้ง่ายดายมากขึ้นเช่นกัน จากข้อมูลวิจัยระบุว่า

  • 73% องค์กรเผชิญกับประสบปัญหาการผสานรวมเทคโนโลยี (ที่มา: Bain & Company)
  • 15-20% ค่าใช้จ่ายโดยรวมมาจากงานด้าน IT (ที่มา: Beloitte)
  • การโจมตีทางไซเบอร์เพิ่มขึ้น 100 เท่าระหว่างการควบรวมกิจการ (ที่มา: McKinsey Insights)

Zero Trust Exchange มีฟีเจอร์และโซลูชันที่รองรับกระบวนการควบรวมกิจการมีความมั่นคงปลอดภัยอย่างทันท่วงที รวมถึงสนับสนุนการทำงานของนักพัฒนาซอฟต์แวร์ให้ง่ายและปลอดภัยมากยิ่งขึ้น ด้วยวิธีการใหม่ในการสร้างการเชื่อมต่อที่รวดเร็ว ปลอดภัย และทำให้พนักงานขององค์กรสามารถทำงานจากที่ใดก็ได้โดยใช้อินเตอร์เน็ตเสมือนเป็นเครือข่ายองค์กร Zero Trust Exchange จาก Zscaler ทำงานอยู่บนศูนย์ข้อมูล 150 แห่งทั่วโลกเพื่อให้มั่นใจว่าศูนย์ข้อมูลอยู่ใกล้กับผู้ใช้งาน และอยู่ร่วมกับผู้ให้บริการ cloud และแอปพลิเคชั่นอย่างเช่น Microsoft 365 และ AWS เพื่อสร้างเส้นทางที่สั้นสุดระหว่างผู้ใช้งานกับปลายทางเพื่อให้ได้มาซึ่งทั้งความปลอดภัยและประสบการณ์ทำงานที่ยอดเยี่ยมสำหรับผู้ใช้งาน

ข้อดีของ Zero Trust Exchange จาก Zschaler

  • ลดค่าใช้จ่ายและความซับซ้อนทางด้านไอที – สามารถบริหารจัดการได้ง่าย และทำงานได้โดยไม่ต้องมี VPN หรือไฟร์วอลที่ซับซ้อน
  • ให้ประสบการณ์ทำงานที่ดีกับผู้ใช้ – สามารถบริหารและปรับปรุงประสิทธิภาพการเชื่อมต่อไป Cloud Application อย่างชาญฉลาด
  • ลดพื้นที่การโจมตีทางอินเตอร์เน็ต – แอปพลิเคชันอยู่หลัง exchange ป้องกันการค้นหาและตกเป็นเป้าการโจมตี
  • ป้องกัน Lateral Movement ของภัยคุกคาม – สามารถเชื่อมต่อผู้ใช้ไปยังแอปพลิเคชันโดยตรง ไม่สร้างการเชื่อมต่อระดับเครือข่าย เป็นการแยกภัยคุกคามออกไป

ความสามารถหลักของ Zero Trust Exchang จาก Zscaler

  • ทำงานปลอดภัยได้จากทุกที่ – พนักงานสามารถทำงานอย่างปลอดภัยและไร้รอยต่อจากทุกที่ โดยไม่ต้องกังวลเรื่องเครือข่ายหรือการเชื่อมต่อแบบ VPN
  • สร้างประสบการณ์การใช้งานที่ดีให้กับผู้ใช้งาน – ด้วยการให้ผู้ดูแลระบบรับทราบถึงประสบการณ์การใช้งานของผู้ใช้ทั้งหมดในทุกแอปพลิเคชัน Zero Trust ทำให้ผู้ดูแลระบบสามารถส่งมอบประสบการณ์การทำงานที่ดีให้กับผู้ใช้ได้อย่างต่อเนื่อง
  • ป้องกันภัยคุกคามทางไซเบอร์ – สามารถแกะรหัส SSl เพื่อตรวจสอบป้องกันภัยคุกคามทางไซเบอร์ ทั้งผู้ใช้งาน ระบบงานบน Cloud เครื่องแม่ข่าย และแอปพลิเคชัน SaaS
  • เชื่อมต่อผู้ใช้งานและสาขาได้อย่างง่ายดาย – เปลี่ยนจากเครือข่าย hub and spoke แบบเดิม ให้สาขาซึ่งเคยใช้ MPLS ราคาแพง หรือผู้ใช้ที่ต้องเชื่อมต่อด้วย VPN สามารถเชื่อมต่อผ่านอินเตอร์เน็ตไปยังปลายทางได้อย่างปลอดภัย ไม่ว่าจะเชื่อมต่อจากที่ใดก็ตาม
  • ไม่มี attack surface – ผู้ไม่ประสงคฺดีไม่สามารถโจมตีสิ่งที่มองไม่เห็นได้ สถาปัตยกรรมของ Zscaler ซ่อนตัวตนของระบบงานไว้ เป็นการลบ attack vector ซึ่งมีในระบบอื่นๆ ออก ป้องกันการตกเป็นเป้าหมายของการโจมตี
  • รักษาความปลอดภัยการเชื่อมต่อของ Cloud – เชื่อมต่อจาก Cloud สู่ Cloud อย่างปลอดภัยด้วย Zero Trust และ Machine Learning แทนการใช้ Site-to-Site VPN รูปแบบดั้งเดิมระหว่าง Cloud ที่มีปัญหา Lateral Movement
  • ป้องกันการรั่วไหลของข้อมมูล – ตรวจสอบข้อมูลที่ไหลผ่าน ไม่ว่าจะเข้ารหัสหรือไม่ ให้แน่ใจว่า SaaS หรือแอปพลิเคชันบน Public Cloud มีความปลอดภัยให้การป้องกันและการมองเห็นที่ต้องการ

การสื่อสารด้าน Zero Trust กับระดับผู้บริหารองค์กร

การทำความเข้าใจในบริบทให้กระจ่างกับสิ่งที่เกี่ยวข้องกับคณะกรรมการและอุตสาหกรรม เพื่อศึกษาความเสี่ยงที่อาจจะตกเป็นเป้าการโจมตี สู่การกำกับดูแลให้องค์กรมีความมั่นคงปลอดภัยด้วยการปรับใช้ Zero Trust

Education (ด้านการศึกษา) – สร้างความตระหนักรู้และการสนับสนุน ไซเบอร์ถูกมองว่าเป็นตัวขับเคลื่อนธุรกิจ เทคโนโลยี และพันธมิตรที่น่าเชื่อถือ

  • Zero Trust Architecture คืออะไร และเพิ่มมูลค่าให้กับธุรกิจได้อย่างไร?
  • ความเชื่อมโยงระหว่างเหตุการณ์ที่เกี่ยวข้องกับสื่อและช่องโหว่ และสถาปัตยกรรมมีมูลค่าเพิ่มอย่างไร?
  • ย้อนดูว่าสถาปัตยกรรมช่วยลดความเสี่ยงผ่านการป้องกันเหตุการณ์ทางไซเบอร์เฉพาะขององค์กรได้อย่างไร?

Governance (การกำกับดูแลกิจการ) – สร้างความมั่นใจในการบริหารจัดการภายใต้ความเสี่ยงที่ยอมรับได้ ขับเคลื่อนด้วยประสิทธิภาพและข้อมูล

  • แนวทางความเสี่ยงแบบแบ่งชั้น และความเชื่อมโยงกับความเสี่ยงด้านปฏิบัติการ
  • อะไรคือตัวชี้วัดที่สำคัญที่สนับสนุนสถาปัตยกรรมแบบ Zero trust?
  • อะไรคือตัวชี้วัดเกี่ยวกับประสิทธิผลการควบคุม
  • สิ่งนี้จะส่งผลต่อการเติบโตทางไซเบอร์ การปฏิบัติตามข้อกำหนด และข้อบังคับด้านกฎระเบียบได้อย่างไร
  • การบริหารระดับของความเสี่ยงที่ยอมรับได้ (คณะกรรมการหรือผู้บริหารควรกำหนดยุทธศาสตร์ขององค์กรที่สอดคล้องกับความเสี่ยงที่ยอมรับได้)

บทสรุป

การปรับใช้ Zero Trust ส่งผลกระทบโดยตรงต่อผู้ใช้ ทำให้ทีมไซเบอร์ได้รับโอกาสในการเป็นพันธมิตรที่ยอดเยี่ยมเพื่อนำไปสู่การปรับปรุงประสบการณ์ของพวกเขา การสื่อสารให้ระดับผู้บริหารองค์กรตระหนักรู้ความสำคัญของการปกป้องสินทรัพย์และข้อมูลทางธุรกิจจากการโจมตีทางไซเบอร์ บางองค์กรไม่เคยให้ความสำคัญเพราะไม่เคยสัมผัสประสบการณ์การถูกคุกคามมาก่อน แต่ในความเป็นจริงคุณอาจจะถูกโจมตีโดยที่คุณไม่รู้ตัวเลยเป็นได้

การวางกรอบ Zero Trust เป็นกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์เพื่อลดความเสี่ยงทางธุรกิจเป็นวิธีที่จำเป็นในการทำให้ผู้บริหารระดับสูงขององค์กรสังเกตเห็นประโยชน์และความสำคัญ CISO มักเผชิญกับปัญหาในการสื่อสารกับผู้บริหารระดับสูงและคณะกรรมการบริหารในภาษาที่พวกเขาสามารถเข้าใจได้ การอธิบายภาษาด้านเทคนิคให้เป็นภาษาทางธุรกิจที่ระดับผู้บริหารคุ้นเคยเป็นเรื่องไม่ง่าย แต่เมื่อใดที่ผู้บริหารระดับสูงตระหนักได้ว่า  “คุณจะไม่สามารถกู้คืนข้อมูลกลับมาได้และคุณไม่สามารถย้อนเวลากลับไปแก้ไขมันได้อีก เพื่อให้เสมือนว่าการโจมตีครั้งนั้นไม่เคยเกิดขึ้นมาก่อน”  ด้วยการเข้าถึงทรัพยากรทั้งหมดได้อย่างปลอดภัยไม่ว่าจะอยู่ที่ใด การควบคุมการเข้าถึงอยู่บนพื้นฐาน “จำเป็นต้องรู้” และมีการบังคับใช้อย่างเคร่งครัด การรับส่งข้อมูลทั้งหมดได้รับการตรวจสอบและบันทึก เครือข่ายได้รับการออกแบบจากภายในสู่ภายนอกและได้รับการตรวจสอบทุกอย่างเพราะ “ไม่เคยไว้วางใจอะไรได้เลย”

ดร. ศุภกร กังพิศดาร และ Mr. Heng Mok ได้กล่าวสรุปทิ้งท้ายร่วมกันไว้ว่า

“การเริ่มต้นปรับใช้ Zero Trust ควรเริ่มต้นจากการศึกษาข้อมูลให้เข้าใจอย่างถ่องแท้ก่อน ปัจจุบันมีเอกสารให้สืบค้นได้ง่ายดาย เช่น NIST Cybersecurity Framework (CSF) ซึ่งเป็นแกนหลักของ พรบ. ไซเบอร์ และเอกสาร SP 800-207 ซึ่งแนะนำโมเดลการวางระบบรักษาความมั่นคงปลอดภัยพื้นฐานและ Use Cases ช่วยให้ทุกองค์กรสามารถออกแบบ Zero Trust Architectures ได้อย่างมีประสิทธิภาพและยกระดับ Security Posture ให้แก่ระบบ IT เมื่อศึกษาข้อมูลจนเข้าใจครบถ้วน เราต้องกลับมาดู Architecture ขององค์กร เพราะสิ่งเดิมที่เคยปรับใช้งานด้าน Cybersecurity อาจสามารถนำมาต่อยอดการเริ่มต้นทำ Zero Trust โดยที่ไม่ต้องเริ่มจากศูนย์ก็ได้ และสุดท้ายควรคำนึงถึงผลประกอบการธุรกิจ (Business Outcome) ที่สะท้อนว่าความเป็นจริงขององค์การว่าสิ่งที่เราออกแบบไปนั้น สามารถตอบโจทย์ธุรกิจได้ดีมากน้อยขนาดไหน”