บทสรุปหลักสูตร
Cyber Security for Cloud and Network

รู้เท่าทัน “อาชญากรรมร้ายทางไซเบอร์”

ปัจจุบันแต่ละองค์กรเริ่มปรับตัวเพื่อให้ทันกับยุคสมัยที่เปลี่ยนไป ไม่ว่าจะเป็นการนำเทคโนโลยีต่าง ๆ เข้ามาใช้งาน การปรับเปลี่ยนการทำงานให้เป็นรูปแบบดิจิทัล โดยเฉพาะเมื่อเกิดสถานการณ์การแพร่ระบาดของไวรัสโคโรนา 2019 (Covid-19) ส่งผลให้คนส่วนใหญ่ต้องหันมาใช้โลกออนไลน์เป็นเครื่องมือหลักในการทำงาน Cyber Security หรือ การรักษาความปลอดภัยทางไซเบอร์ จึงเป็นสิ่งที่องค์กรต่าง ๆ หันมาให้ความสำคัญมากขึ้น

ภัยคุกคามทางไซเบอร์ นับวันยิ่งทวีความรุนแรงและสร้างความเสียหายเป็นวงกว้าง และส่งผลกระทบร้ายแรงตั้งแต่ระดับบุคคลไปจนถึงระดับองค์กร โดย Hacker หรืออาชญากรทางไซเบอร์ เป็นกลุ่มคนที่มีความสามารถใช้เทคโนโลยีในการก่ออาชญากรรม และยังเป็นอาชญากรรมที่ไม่มีเชื้อชาติ ไม่มีพรมแดน ไม่มีขอบเขตของประเทศ จึงยากลำบากต่อการติดตาม โดยแฮ็กเกอร์จะแฝงตัวและอาศัยช่องโหว่เพื่อโจรกรรมข้อมูลส่วนบุคล ในรูปแบบต่าง ๆ กระบวนการทำงานของแฮ็กเกอร์เรียกว่า Cyber kill chain หรือ ห่วงโซ่การโจมตีทางไซเบอร์ โดยจะเริ่มตั้งแต่เก็บรวบรวมข้อมูลของเป้าหมายก่อนเริ่มการโจมตี การจัดเตรียมเครื่องมือที่เหมาะสมเพื่อเจาะเข้าระบบ โดยที่เหยื่อยังไม่รู้ตัวว่าจะถูกโจมตี การเจาะระบบของเหยื่อด้วยวิธีต่าง ๆ จนกระทั่งสามารถเก็บเกี่ยวผลประโยชน์ตามที่ตนเองต้องการจากระบบเครือข่ายของเหยื่อ เช่น ขโมยข้อมูล เปลี่ยนแปลงแก้ไขข้อมูล หรือทำลายระบบ เป็นต้น

สถิติของการคุกคามทางไซเบอร์เพิ่มขึ้นอย่างต่อเนื่อง และสามารถเกิดขึ้นอย่างรวดเร็ว การจัดการกับปัญหานี้จึงไม่ใช่เรื่องง่าย อย่างไรก็ตาม แฮ็กเกอร์มักอาศัยช่องโหว่ที่เกิดมาจาก “คน” และ “ระบบ” ในการโจมตีเพื่อโจรกรรมข้อมูล ดังนั้น สิ่งสำคัญอันดับแรกของผู้บริหารในฐานะ “ผู้นำองค์กร” ต้องให้ความสำคัญ คือ การสร้างการตระหนักรู้ด้านความมั่นคงปลอดภัยทางไซเบอร์ให้บุคคลากรทุกคนในองค์กร เนื่องจากภัยคุกคามเกิดขึ้นอย่างต่อเนื่อง ในขณะที่บุคลากรด้านไซเบอร์เป็นที่ขาดแคลน และจำเป็นต้องให้ความสำคัญต่อระบบรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อเป็นการปิดช่องโหว่ความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่จะเกิดขึ้นในอนาคต สุดท้ายแล้วการป้องกันภัยทางไซเบอร์ ถือเป็นหน้าที่หลักของทุกคนในองค์กรที่ต้องช่วยกันดูแลและทำงานร่วมกัน เพื่อปกป้อง Data อันเป็นหัวใจสำคัญขององค์กร

AI มิติใหม่ในการรักษาความปลอดภัยทางไซเบอร์

Artificial Intelligence (AI) หรือปัญญาประดิษฐ์ คือ ระบบประมวลผลของคอมพิวเตอร์ หุ่นยนต์ เครื่องจักร หรืออุปกรณ์อิเล็กทรอนิกส์ต่าง ๆ ที่มีการวิเคราะห์เชิงลึกคล้ายความฉลาดของมนุษย์ และสามารถก่อให้เกิดผลลัพธ์ที่เป็นการกระทำได้ แม้ว่าความสามารถโดยรวมของระบบปัญญาประดิษฐ์จะไม่เทียบเท่ามนุษย์ แต่ก็ไม่อาจปฏิเสธได้ว่าระบบนี้มีความสำคัญต่อองค์กรต่าง ๆ ในปัจจุบันเป็นอย่างมาก ซึ่งระบบปัญญาประดิษฐ์ถูกนำมาใช้กับเทคโนโลยีเกือบทุกสาขาในปัจจุบัน หนึ่งในการประยุกต์ใช้ที่สร้างประสิทธิภาพได้เป็นอย่างมากคือการนำระบบปัญญาประดิษฐ์มาใช้กับงานด้าน Cyber Security หรือ ความปลอดภัยทางไซเบอร์ เพื่อช่วยในการตรวจจับและยับยั้งภัยคุกคามที่มีความซับซ้อนสูง ยกตัวอย่างบริษัทที่พัฒนาระบบรักษาความปลอดภัยจาก AI เช่น

Microsoft ได้เสริมความสามารถใหม่ให้กับ Windows Defender Advanced Threat Protection ให้สามารถใช้ AI ในการช่วยตรวจสอบและแก้ไขปัญหาด้าน Security ที่ตรวจพบได้โดยอัตโนมัติ โดยเมื่อ Windows Defender ATP ตรวจพบเหตุการณ์ผิดปกติหรือปัญหาใด ๆ ขึ้น ระบบ AI จะเข้าไปทำการวิเคราะห์ทันทีว่าภัยคุกคามที่ตรวจพบนั้นมีอยู่จริงหรือไม่ พร้อมทำการวิเคราะห์ให้ว่าควรแก้ไขปัญหานี้อย่างไร และโต้ตอบให้โดยอัตโนมัติ

IBM ได้เปิดตัว IBM Watson AIOps ซึ่งเป็นเครื่องมือและบริการที่นำ AI เข้ามาช่วยบริหารจัดการระบบโครงสร้างพื้นฐานด้านไอทีให้ยืดหยุ่นและพร้อมรับมือกับการเปลี่ยนแปลงที่อาจเกิดขึ้นในอนาคต โดย AI จะช่วยให้องค์กรสามารถตรวจจับเหตุผิดปกติของระบบไอทีได้อัตโนมัติ พร้อมวิเคราะห์และทำการตอบสนองต่อปัญหาแบบเรียลไทม์ ช่วยองค์กรหลีกเลี่ยงเหตุขัดข้องทางไอทีที่อาจส่งผลกระทบต่อธุรกิจทั้งในแง่รายได้และชื่อเสียง

Cylane ได้เปิดตัว Cylance Smart Antivirus ซอฟต์แวร์สำหรับป้องกันมัลแวร์ ถูกออกแบบมาสำหรับคอมพิวเตอร์และโน้ตบุ๊กทั่วไป ซึ่งนอกจากจะสามารถตรวจจับมัลแวร์ที่ค้นพบได้ทั่วไป เช่น ไวรัส เวิร์ม โทรจัน สปายแวร์ แล้ว ยังเพิ่มฟีเจอร์ทางด้าน AI และ Machine Learning สำหรับตรวจจับมัลแวร์ระดับสูงอย่าง Ransomware หรือ Zero-day Malware อีกด้วย

AI ถือเป็นเทคโนโลยีที่ได้รับความนิยมในปัจจุบันและเข้ามามีบทบาทสำคัญในการรักษาความปลอดภัยทางไซเบอร์ ซึ่งการนำ AI เข้ามาสนับสนุนการทำงานภายในองค์กรจะช่วยลดภาระการทำงานของผู้ใช้และผู้ดูแลระบบ และช่วยป้องกันภัยคุกคามที่อาจเกิดขึ้นในอนาคต

เหตุผลที่ควรพัฒนาองค์กรด้วย Microsoft Azure

เทคโนโลยี Cloud เริ่มได้รับความสนใจจากองค์กรต่าง ๆ และกลายเป็นเครื่องมือสำคัญที่จะเข้ามาเปลี่ยนแปลงการทำงานในรูปแบบเก่า ๆ โดยมีความสำคัญมากขึ้นต่อรูปแบบการใช้ชีวิตประจำวันและการทำธุรกิจที่จะต้องเข้าสู่ภาวะความปกติใหม่ (New normal) ในช่วงการแพร่ระบาดของไวรัสโคโรนา 2019 (COVID-19) Microsoft Azure เป็นอีกหนึ่งบริการของเทคโนโลยี Cloud ที่เหมาะสมและสามารถตอบสนองการทำงานในองค์กรได้เป็นอย่างดี

Microsoft Azure คือ ระบบ Cloud อัจฉริยะ จาก Microsoft ซึ่งเป็นหนึ่งในผู้ให้บริการด้านเทคโนโลยี Cloud สำหรับองค์กร ที่จะช่วยให้การจัดเก็บข้อมูลต่าง ๆ ง่ายขึ้น โดยมีการเก็บสำรองข้อมูลไปยัง Cloud โดยอัตโนมัติ เหมาะสำหรับองค์กรทุก ขนาดไม่ว่าจะเป็นองค์กรขนาดเล็ก ขนาดกลาง หรือ ขนาดใหญ่ที่ต้องการพัฒนาและปรับปรุงศูนย์ข้อมูลให้มีความยืดหยุ่น และรองรับกับความต้องการทางธุรกิจได้อย่างรวดเร็วและมีประสิทธิภาพ แล้ว Microsoft Azure มีบริการอะไรที่น่าสนใจบ้าง ทำไมองค์กรต้องเลือกใช้บริการนี้ เรามาดู 3 เหตุผลที่องค์กรควรเลือก Microsoft Azure ให้เป็นผู้ให้บริการ Cloud สำหรับองค์กร

  1. คิดค่าใช้จ่ายตามการใช้งาน

การคิดค่าใช้จ่ายของ Microsoft Azure จะคิดตามการใช้งาน โดยใช้งานเท่าใดจะต้องจ่ายเท่านั้น ซึ่งขึ้นอยู่กับบริการ (Services) ที่เลือกใช้งานครับ แต่ละบริการก็จะมีราคาหรือค่าใช้จ่ายที่แตกต่างกันออกไป โดยสามารถประเมินค่าใช้จ่ายแบบใกล้เคียงความจริง ด้วย Azure Calculator ซึ่งช่วยในการประเมินราคาค่าบริการได้สะดวกขึ้น อย่างไรก็ตามผู้ใช้ควรที่จะทำความเข้าใจบริการต่าง ๆ ของ Microsoft Azure ก่อนว่าเป็นอย่างไร บริการใดเหมาะสมกับการทำงานขององค์กร ข้อมูลจะต้องใช้พื้นที่ในการจัดเก็บเท่าไร จะได้เป็นการไม่เสียค่าใช้จ่ายโดยเปล่าประโยชน์

  1. หลากลายบริการเพื่อหน่วยงานของท่าน

บริการของ Azure มีให้เลือกใช้งานมากมายแบ่งตามวัตถุประสงค์การใช้งาน ยกตัวอย่างบริการจาก Azure เช่น

  • บริการ Virtual Machine เป็นหนึ่งในบริการที่เป็นที่นิยมของ Microsoft Azure ซึ่งเป็นการให้บริการเครื่องคอมพิวเตอร์สำหรับการประมวลผลในรูปแบบ Virtual Machine เพื่อจัดการเเละจัดเก็บข้อมูล ด้วยประสิทธิภาพการทำงานของ Virtual Machine ใน Azure ที่สูงจึงรองรับการทำงาน SQL Server ทั้งบนระบบปฎิบัติการ Linux เเละ Windows ที่มาพร้อมกับการรักษาความปลอดภัยของระบบและการกู้คืนฐานข้อมูลด้วย Azure Backup

  • บริการ Storage เป็นบริการที่ให้องค์กรสามารถจัดเก็บข้อมูลและย้ายข้อมูล รวมไปถึงการสำรองข้อมูลต่าง ๆ ได้อย่างสะดวกและปลอดภัย โดย Azure Storage รองรับข้อมูลทั้ง Structure Data และ Unstructure Data ไม่ว่าจะเป็น รูปภาพ, วิดีโอ, เสียง, และอื่นๆ โดย Azure Storage ได้เตรียม Storage Types ต่างๆ ไว้รองรับตามความต้องการขององค์กร เช่น Queue, Table, Blob, File, Disk เพื่อรองรับความต้องการขององค์กร

  1. การรักษาความปลอดภัยที่ครอบคลุม

บริการของ Azure ที่ช่วยเรื่องความปลอดภัย เช่น

  • Azure Active Directory (Azure AD) มีหน้าที่ในการบริหารและจัดการในเรื่องของ Identity (Identity Management) ต่าง ๆ ของผู้ใช้งาน และทำการตรวจสอบ (Authenticate) ผู้ใช้งานก่อนที่จะเข้าถึงทรัพยากร ข้อมูล และแอปพิเคชันต่าง ๆ

  • Azure Monitor เป็นบริการใน Microsoft Azure ที่เข้ามาช่วยตรวจสอบหรือทำการ Monitoring Azure Service ต่าง ๆ ที่เราได้ทำการ Deploy ไปแล้ว เพื่อตรวจสอบว่า Azure Service เหล่านั้นมีประเด็นใดที่เกี่ยวข้องกับ Performance หรือ Avalibility หรือไม่ และองค์กรสามารถใช้ข้อมูลนี้เพื่อแสดงภาพและวิเคราะห์สาเหตุของปัญหาที่อาจเกิดขึ้นในแอปได้

  • Azure Security Center เป็นบริการใน Microsoft Azure มีหน้าที่ทำการประเมิน ตรวจสอบ หรือ Monitor เรื่องความปลอดภัย (Cloud Security) การกำหนด Security Policy การป้องกัน ตลอดจนคำแนะนำสำหรับทรัพยากรต่าง ๆ เช่น Compute Network Storage และอื่น ๆ ที่ทำงานอยู่ใน Microsoft Azure ให้มีความปลอดภัยจากความเสี่ยงและภัยคุกคามต่าง ๆ

จึงสรุปได้ว่า Microsoft Azure คือ Cloud Platform ที่เปิดกว้างและมีความยืดหยุ่นสูง เหมาะสมอย่างยิ่งที่จะนำมาใช้กับการทำงานในองค์กรที่ต้องการประหยัดต้นทุนในด้านการบริการจัดเก็บข้อมูล รวมถึงต้องการความรวดเร็วและปลอดภัยในการบริหารจัดการข้อมูล เป็นเทคโนโลยีที่ตอบโจทย์การทำงาน ช่วยให้องค์กรของคุณเผชิญกับความท้าทายใหม่ ๆ และขับเคลื่อนอย่างต่อเนื่องได้แบบไม่มีสะดุด

เฝ้าระวัง 3 รูปแบบภัยคุกคามทางไซเบอร์ที่พบมากในปัจจุบัน

ปัจจุบันอินเตอร์เน็ตเข้ามามีบทบาทสำคัญในการดำเนินชีวิต ไม่ว่าจะเป็นการใช้เพื่อความบันเทิง การทำงาน การสื่อสาร เป็นต้น โดยเฉพาะเมื่อเกิดสถานการณ์การแพร่ระบาดของไวรัสโคโรนา 2019 (Covid-19) ส่งผลให้คนส่วนใหญ่ต้องหันมาใช้โลกออนไลน์เป็นเครื่องมือหลักในการทำงาน และการพึ่งพาคอมพิวเตอร์ที่สูงเช่นนี้ โอกาสที่จะเกิดภัยคุกคามทางไซเบอร์จึงมีสูงขึ้น และอาจสร้างความเสียหายตั้งแต่ระดับบุคคลไปจนถึงระดับองค์กร ลองมาดูรูปแบบภัยคุกคามทางไซเบอร์ที่ควรรู้ และพบบ่อยในปัจจุบัน

Ransomware หรือมัลแวร์เรียกค่าไถ่ เป็นมัลแวร์ประเภทหนึ่งที่จะทำการเข้ารหัสหรือล็อกไฟล์ ไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ วิดีโอ ทำให้ผู้ใช้งานไม่สามารถเปิดไฟล์ใด ๆ ได้ ซึ่งการถูกเข้ารหัสหรือล็อกไฟล์ก็หมายความว่าจะต้องใช้คีย์ในการปลดล็อกเพื่อกู้ข้อมูลคืนมา โดยผู้ใช้งานจะต้องทำการจ่ายเงินตามข้อความ “เรียกค่าไถ่” ที่ปรากฏ สาเหตุการตกเป็นเหยื่อของ Ransomware นั้น มักมาจากการที่ผู้ใช้งานดาวน์โหลดไฟล์ผ่านทางเว็บไซต์ที่ไม่น่าเชื่อถือ หรือดาวน์โหลดเอกสารแนบทางอีเมลที่มี Ransomware แฝงตัวมา เมื่อดาวน์โหลดมาแล้วกลับได้ Ransomware มาแทน โรงพยาบาลสระบุรีถูกโจมตีด้วย Ransomware ทำการล็อกไฟล์ข้อมูลคนไข้ และระบบคอมพิวเตอร์ เพื่อแลกเงินจำนวนหนึ่ง

Fileless Attack หรือมัลแวร์แบบไร้ไฟล์ เป็นวิธีการโจมตีสมัยใหม่ที่ได้รับความนิยมเป็นอย่างมากเพราะช่วยให้สามารถหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัส (Antivirus) หรือกลไกการตรวจสอบแบบเดิม โดยจะเข้าถึง Process และ Memory เพื่อรักษาสถานะและสิทธิ์บนระบบ (Persistence) แล้วทำการเพิ่มสิทธิ์จากผู้ใช้ทั่วไปให้กลายเป็นเจ้าของเครื่องหรือระบบเครือข่ายโดยใช้เทคนิค (Privilege Escalation) แล้วจึงทำการการเคลื่อนย้ายจากระบบคอมพิวเตอร์หนึ่งไปยังเครื่องที่มีการเชื่อมต่อ(Lateral Movement ) และทำการเก็บข้อมูลของแต่ละเครื่อง (Collection and Exfiltration) และเข้ายึดครองระบบแล้วดำเนินที่ส่งผลกระทบทางธุรกิจ (Impact)

Botnet การโจมตีเพื่อเข้ายึดกลุ่มอุปกรณ์ IoT (Internet of Things) ทำให้อุปกรณ์อิเล็กทรอนิกส์จำนวนมากตกเป็นเหยื่อ เพื่อรอรับคำสั่งจากเครื่องสั่งการ ทำให้สามารถโจมตีระบบหรือข้อมูลจนไม่สามารถใช้งานต่อไปได้ การโจมตีของบอทเน็ตอาจสร้างความเสียหายรุนแรงได้ ในปี 2016 Mirai botnet ได้ปิดสื่อยักษ์ใหญ่อย่าง Twitter Netflix CNN และเว็บไซต์ใหญ่อื่น ๆ รวมถึงระบบธนาคารของรัสเซียและประเทศไลบีเรียทั้งประเทศให้หยุดชะงักชั่วคราว

รองรับความปลอดภัยด้วย Azure Security Center

เรื่องของความปลอดภัยเป็นเรื่องที่องค์กรต่าง ๆ ให้ความสำคัญและต้องการมั่นใจว่าการที่องค์กรได้มีการติดตั้งระบบต่าง ๆ ใช้งานไม่ว่าจะอยู่ใน On-Premise Data Center หรือ Microsoft Azure นั้นปลอดภัย เพื่อความมั่นใจของผู้ใช้งาน ผู้ให้บริการคลาวด์จึงมีเครื่องมือที่จะช่วยยกระดับความปลอดภัยของข้อมูลในคลาวด์ทั้งจากความผิดพลาดของตัวระบบเองหรือรวมไปถึงความผิดพลาดของผู้ใช้

Azure Security Center เป็นบริการหนึ่งที่ให้บริการอยู่ใน Microsoft Azure จะช่วยในการค้นหาช่องโหว่ด้านความปลอดภัยและทำการแก้ไข รวมไปถึง การป้องกันทรัพยากรต่าง ๆ เช่น Compute, Network, Storage และอื่น ๆ ที่ทำงานอยู่ใน Microsoft Azure, On-Premise Data Center, และ Cloud Providers อื่น ๆ ให้มีความปลอดภัยจากความเสี่ยงและภัยคุกคามต่าง ๆ อีกทั้งยังสามารถตรวจจับภัยคุกคามด้วยการวิเคราะห์และความสามารถให้ตอบสนองได้อย่างรวดเร็วเมื่อมีการโจมตีเข้ามา

5 ฟีเจอร์หลักของ Azure Security Center

  1. Centralized Policy Management : การสร้างนโยบายเพื่อกำหนดมาตรฐานให้กับ Workloads หรือระบบงานต่าง ๆ ไม่ว่าจะอยู่ใน Microsoft Azure On-Premise และ Cloud Providers อื่น ๆ เพื่อให้มั่นใจว่า Workloads ทั้งหมดหรือระบบงานต่าง ๆ ทั้งบนคลาวด์หรือในองค์กร ปฏิบัติตามนโยบายที่กำหนดเพื่อรักษาความปลอดภัย

  2. Recommendations : การวิเคราะห์และประเมินเพื่อให้คำแนะนำที่ช่วยเสริมสร้างความปลอดภัย เช่น ควรจะทำการเข้ารหัส Disks ของ Virtual Machines ควรจะมีการใช้งาน Multi-Factor Authentications หรือการใช้ปัจจัยหลาย ๆ อย่าง ในการตรวจสอบและยืนยันตัวบุคคลสำหรับการเข้าถึงทรัพยากรต่าง ๆ เป็นต้น

  3. Just-In-Time VM Access : การป้องกันภัยคุกคามต่าง ๆ เช่น Brute Force Attacks ด้วยการควบคุมและจัดการการเข้าถึง Ports ต่าง ๆ ของ Virtual Machine โดยการกำหนดกฎสำหรับเข้าถึง Ports นั้น ๆ ของ Virtual Machine เมื่อต้องการหรือจำเป็นเท่านั้น

  4. Intelligent Alerting : ให้บริการแจ้งเตือนความปลอดภัยเชิงรุก โดยใช้เทคโนโลยี Machine Learning เข้ามาใช้ในการวิเคราะห์ข้อมูลที่ได้ทำการรวบรวมและการประเมินภัยคุกคามต่าง ๆ และใช้ เครื่องมือที่เก็บรวบรวมข้อมูลภัยคุกคามไซเบอร์จากทั่วทุกมุมโลก (Global Threat Intelligence) เพื่อตรวจจับการจู่โจมและแจ้งเตือน รวมถึงการนำเอา Windows Defender Advanced Threat Protection มาช่วยและปรับปรุงการแจ้งเตือนความปลอดภัยเชิงรุกให้มีประสิทธิภาพมากขึ้น

  5. Adaptive Application Controls : เป็นฟีเจอร์ที่ช่วยในการลดภัยคุกคามต่าง ๆ ที่จะเข้ามาจู่โจมระบบงานขององค์กร โดยใช้ Whitelisting โดยเทคโนโลยี Machine Learning ซึ่งสามารถประยุกต์ใช้งานกับWorkloads หรือระบบงานต่าง ๆ