เมื่อไม่นานมานี้ทาง Amazon ได้ทำข้อมูลเกี่ยวกับพฤติกรรมการรับชมวิดีโอของ Amazon Prime หลุดออกสาธารณะชนไม่ได้ตั้งใจ และยังมีบริษัทข่าวและสื่อของ Thomson Reuters ยอมรับว่าเซิร์ฟเวอร์ของตนโดนบุกรุก ทำให้ข้อมูล ElasticSearch ขนาด 3TB หลุดออกสาธารณะ ซึ่งข่าวเหล่านี้เป็นข่าวประเภทที่มักเกิดขึ้นและเห็นได้ในหน้าแรกของฟอรัมความปลอดภัยทางไซเบอร์ แต่ถ้าเจาะลึกลงไปอีกเล็กน้อย ก็จะพบว่าการที่ข้อมูลมีการรั่วไหลเหล่านี้เกิดจากการกำหนดค่าที่ไม่ถูกต้อง (Cloud Misconfigurations) ไม่ใช่การโจมตีทางไซเบอร์แต่อย่างใด

โดยมีสถิติตั้งแต่ปี 2017 ถึง 2021 การกำหนดค่า Cloud ที่ไม่ถูกต้อง (Cloud Misconfigurations) ได้ขึ้นมาอยู่ที่อันดับที่ 5 ในรายการของ OWASP Top 10 อีกสาเหตุหนึ่งเป็นเพราะการใช้บริการคลาวด์ในปริมาณมากขึ้นด้วยเช่นกัน ตัวอย่างของผลกระทบของการกำหนดค่าบริการคลาวด์ที่ไม่ถูกต้อง เช่น อาจทำให้เกิดความเสี่ยงทางไซเบอร์ และการรั่วไหลของข้อมูล ซึ่งส่งผลเสียต่อชื่อเสียงขององค์กรในท้ายที่สุด อีกทั้งการวิจัยด้านความปลอดภัยของ McAfee แสดงให้เห็นว่าองค์กรทั่วไป ประสบปัญหาการตั้งค่าที่ผิดพลาด (Misconfiguration) บนระบบ Cloud ประมาณ 3,500 เหตุการณ์ต่อเดือน จากการศึกษาพบว่า 90% ของธุรกิจ รายงานว่าพวกเขาประสบปัญหาด้านความปลอดภัย 

จึงเห็นได้ว่าการย้ายไปใช้ระบบ Cloud นั้นนอกจากการเพิ่มประสิทธิภาพและความสะดวกในการใช้งานแล้ว ควรจะต้องระมัดระวังเรื่องความปลอดภัยด้วย เพราะการตั้งค่าผิดพลาดบนระบบ Cloud อาจส่งผลเสียมากกว่าผลดี 

ดังนั้นเมื่อบริษัทและพนักงานจำเป็นต้องใช้งานระบบ Cloud ในทุก ๆ วัน การใส่ใจเรื่องการตั้งค่าต่าง ๆ ที่อาจจะที่ผิดพลาดหรือหละหลวม เช่น การกำหนดตั้งค่าต่าง ๆ การกำหนดสิทธิ์เข้าถึงไฟล์ ข้อกำหนดนโยบายด้าน Cybersecurity รวมไปถึงการขาดการตรวจสอบดูแลระบบอย่างต่อเนื่อง จึงเป็นเรื่องที่ไม่ควรมองข้าม และเพื่อไม่ให้เกิดเป็นช่องโหว่สำหรับการถูกล่วงละเมิดข้อมูลจากเหล่าอาชญากรทางไซเบอร์ จึงควรทำความเข้าใจเรื่องนี้ไปพร้อมกันได้ในบทความนี้

7 ข้อผิดพลาด บน Cloud ที่พบได้ทั่วไป

 1.การไม่จำกัดพอร์ตขาเข้า และ ขาออก (Unrestricted Inbound and Outbound Ports) 

พอร์ตบน Server ทั้งหมดที่เปิดสู่อินเทอร์เน็ตแม้มีเพื่อให้บริการ Services ต่าง ๆ แต่อาจทำให้เกิดปัญหาได้ บริการ Cloud ส่วนใหญ่ใช้พอร์ต UDP หรือ TCP อย่างจำกัด เพื่อลดความเสี่ยงในการเข้าถึง แต่แฮกเกอร์ก็ยังคงสามารถดักจับพวกมันได้ เมื่อต้องการย้ายไปยัง Cloud Platform ต้องตรวจสอบให้แน่ใจว่าคุณทราบว่าพอร์ตที่เปิดอยู่มีอะไรบ้างอย่างครบถ้วน และปิด พอร์ตที่ไม่ได้ใช้ และ ไม่ควรละเลยพอร์ตขาออกด้วย เพราะพอร์ตขาออก เสี่ยงต่อความปลอดภัยของระบบเป็นอย่างมาก เช่น การโดนขโมยข้อมูล หรือ การสแกนเครือข่ายภายในเมื่อมีช่องโหว่ของระบบ และการให้สิทธิ์การเข้าถึง RDP หรือ SSH ขาออก ตัวอย่างเช่น แอปพลิเคชันเซิร์ฟเวอร์แทบจะไม่ต้องใช้ SSH ไปยังเซิร์ฟเวอร์เครือข่ายอื่น ดังนั้นจึงไม่จำเป็นต้องใช้พอร์ตขาออกแบบเปิดสำหรับ SSH เป็นต้น

สำหรับเรื่องการเปิด Port ทิ้งไว้ถือเป็นการกำหนดค่าระบบ Cloud ที่ผิดพลาดที่พบได้บ่อยและไม่ควรละเลย ดังนั้นจึงต้องตรวจสอบให้แน่ใจว่าคุณจำกัดการเข้าถึงพอร์ตขาเข้า และ ขาออก อย่างดีพอแล้วหรือยัง

2. การจัดการความลับ (Secrets Management) 

ปัญหาการกำหนดค่าความปลอดภัยของข้อมูลให้เป็นความลับ ปัญหานี้อาจสร้างความเสียหายให้กับองค์กรของคุณได้ หากคุณตั้งค่าเปิดเผยข้อมูลเหล่านี้ผ่านทางเซิร์ฟเวอร์ เช่น คีย์ API, รหัสผ่าน, คีย์การเข้ารหัส และข้อมูลประจำตัวของผู้ดูแลระบบ ซึ่งถือว่าเป็นสิ่งสำคัญ แต่บริษัทส่วนใหญ่มักเปิดเผยข้อมูลเหล่านี้ผ่านทางเซิร์ฟเวอร์ที่ถูกบุกรุก ไม่ว่าจะเป็นการกำหนดค่าบัคเก็ตบนคลาวด์ที่ไม่ดี รวมถึงโค้ด HTML และ GitHub เป็นความเสี่ยงพอ ๆ กับการเอากุญแจล็อคบ้านติดไว้ที่ประตูหน้าบ้านเลยทีเดียว

วิธีป้องกันสามรถทำได้ด้วยการเก็บรักษาความลับของบริษัททั้งหมดไว้อย่างเป็นระบบ และประเมินวิธีการรักษาความปลอดภัยเป็นประจำ มิฉะนั้น ผู้ไม่หวังดีจะทำการคุกคามและอาจจะละเมิดระบบเพื่อเข้าถึงข้อมูลของคุณและองค์กรได้

3.  การปิดใช้งานการตรวจสอบและการบันทึก (Disabled Monitoring and Logging)

องค์กรส่วนใหญ่มักจะไม่ได้ตั้งค่า หรือตั้งค่าผิดพลาด รวมถึงไม่ได้เปิดใช้งานการเก็บ Log บนคลาวด์สาธารณะ ซึ่งที่กล่าวมามันอาจจะยากและซับซ้อนเกินไป การมีผู้รับผิดชอบในการตรวจสอบเป็นประจำและทำแจ้งเตือนเฉพาะเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยจะช่วยได้มาก อีกทั้งจำเป็นต้องตรวจสอบเป็นประจำ

การแจ้งเตือนเรื่องการบำรุงรักษาและหมั่นตามข่าวการอัปเดตนั้นจะช่วยให้องค์กรปลอดภัยขึ้นด้วยเช่นกัน

4. การเปิด ICMP ทิ้งไว้ (ICMP Left Open)

ICMP (Internet Control Message Protocol)  คือโปรโตคอล Network Layer ที่ใช้โดยอุปกรณ์เครือข่ายเพื่อวินิจฉัยปัญหาการสื่อสาร จะใช้เพื่อกำหนดว่าข้อมูลไปถึงปลายทางที่ตั้งใจไว้หรือไม่ แต่อาจถูกนำมาใช้ในการโจมตีจากเหล่าอาชญากรไซเบอร์ สิ่งนี้เกิดขึ้นเพราะในขณะที่โปรโตคอลสามารถแสดงได้ว่าเซิร์ฟเวอร์ของคุณตอบสนองและออนไลน์อยู่หรือไม่ อาชญากรไซเบอร์ก็สามารถใช้เพื่อระบุการโจมตีได้เช่นกัน นอกจากนี้ยังเป็นเวกเตอร์การโจมตีสำหรับการปฏิเสธการบริการ (DDoS) และมัลแวร์หลายประเภท การ Ping Flood หรือ Ping Sweep อาจทำให้เซิร์ฟเวอร์ของคุณเต็มไปด้วยข้อความ ICMP

แม้ว่าจะเป็นการโจมตีที่ล้าสมัยไปแล้ว แต่ก็ยังมีประสิทธิภาพอยู่ ดังนั้นตรวจสอบให้แน่ใจว่าคุณได้กำหนดค่าคลาวด์ของคุณให้บล็อก ICMP ไว้แล้ว

5.  การสำรองข้อมูลอัตโนมัติที่ไม่ปลอดภัย (Insecure Automated Backups) 

ภัยคุกคามจากระบบภายในของคลาวด์ถือเป็นความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่เกิดขึ้นตลอดเวลา จากข้อมูลของ McAfee องค์กรธุรกิจประมาณ 92% ถูกขายข้อมูลประจำตัวของพนักงานบน Darknet ซึ่งจริง ๆ แล้วข้อมูลอาจไม่ได้รั่วไหลจากช่องโหว่ของแอปพลิเคชัน แต่ เกิดจากการสำรองข้อมูลแต่ไม่มีความปลอดภัยในการเก็บรักษาและเข้ารหัสที่ดีพอ

ดังนั้น เมื่อต้องการย้ายไปยังระบบคลาวด์ ควรตรวจสอบให้แน่ใจว่าข้อมูลสำรองของคุณได้รับการเข้ารหัสหรือไม่ จำเป็นต้องตรวจสอบสิทธิ์และจำกัดการเข้าถึงข้อมูลที่สำรองไว้ด้วย 

6. ซับโดเมนเนมถูกขโมย (Subdomain Hijacking, AKA Dangling DNS )

สาเหตุทั่วไปของการโจมตีทางไซเบอร์ประเภทนี้คือเมื่อองค์กรลบ Sub Domain (โดเมนย่อย) ออกจากโฮสต์เสมือน (เช่น AWS, Azure, Github เป็นต้น) แต่ลืมลบบันทึกที่เกี่ยวข้องออกจาก Domain Name System (DNS) เมื่อเหล่าแฮกเกอร์ค้นพบ Sub Domain ที่ไม่ได้ใช้ พวกเขาสามารถลงทะเบียนใหม่ผ่านแพลตฟอร์มโฮสติ้งและกำหนดเส้นทางผู้ใช้ไปยังหน้าเว็บที่เป็นอันตรายของมันได้ ซึ่งการ Hijacking นี้อาจส่งผลให้เกิดการแทรกมัลแวร์หรือการโจมตีแบบฟิชชิ่งต่อผู้ใช้ และอาจสร้างความเสียหายต่อชื่อเสียงอย่างร้ายแรงต่อเจ้าของ Sub Domain เดิม

เพื่อหลีกเลี่ยงการขโมยโดเมน องค์กรควรจำไว้เสมอว่าต้องลบระเบียน DNS สำหรับโดเมนหลักและโดเมนย่อยทั้งหมดที่ไม่ได้ใช้งานแล้วออกไป

 7. การเข้าถึง Virtual Machines, Containers และ Hosts ที่มากเกินไป 

การจะเชื่อมต่อเซิร์ฟเวอร์เสมือนหรือเซิร์ฟเวอร์จริงในศูนย์ข้อมูลเข้ากับอินเทอร์เน็ตโดยตรงไม่ผ่านการป้องกันโดยใช้ไฟร์วอลล์หรือตัวกรอง แม้ว่าจะดูเหมือนว่าคงไม่มีใครทำแบบนี้ แต่จริง ๆ แล้วอาจเป็นเรื่องที่มองข้ามไปว่าจะส่งผลกระทบร้ายแรงอะไร ดังเช่น

• เปิด FTP Server บน Server 
• เปิด rexec, rsh และ telnet บนเครื่อง Server แล้วนำไปไว้บน cloud
• เปิด Port 2379 (etcd) ของ Kubernetes cluster ให้ Internet เข้าถึงได้

โดยสามารถหลีกเลี่ยงข้อผิดพลาดในการกำหนดค่าระบบคลาวด์นี้ได้โดยปิด Port และ ปิดใช้งานโปรโตคอลที่เก่าและไม่แนะนำให้ใช้บนระบบ Cloud

วิธีปกป้องข้อมูลของคุณจากการตั้งค่าผิดพลาดบนคลาวด์เบื้องต้น (Cloud Misconfiguration)

หากทุกคนองค์กรสามารถปฏิบัติตามวิธีดังต่อไปนี้ได้ก็จะช่วยให้องค์กรของคุณกำหนดการตั้งค่าคลาวด์ได้อย่างปลอดภัยและสามารถรักษาระบบความปลอดภัยให้กับข้อมูลและองค์กรให้ห่างไกลจากอาชญากรไซเบอร์

• ตรวจสอบความปลอดภัยและการกำหนดค่าอัตโนมัติ
  หมั่นตรวจสอบให้แน่ใจว่าคุณตรวจสอบโครงสร้างพื้นฐานและแอปพลิเคชันที่ทำงานอยู่ของคุณดีแล้วหรือไม่ เพื่อความปลอดภัยและการปฏิบัติตามข้อกำหนดในการใช้คลาวด์  
• การเปิดใช้งานสิทธิ์การเข้าถึงคลาวด์มากเกินไป 

ประโยชน์หลักของ Cloud Computing คือความง่ายในการปรับขนาด อย่างไรก็ตามไม่ได้ดีเสมอไป เมื่อสภาพแวดล้อมระบบคลาวด์มีขนาดใหญ่ขึ้นและซับซ้อนขึ้น ผู้ดูแลระบบก็จะดูแลยากขึ้นด้วยจนบางครั้งเลือกที่จะตั้งค่าการอนุญาตเริ่มต้นให้สําหรับผู้ใช้ทั้งหมด เพื่อไม่ต้องรับมือกับการคําขอเข้าถึงที่มาจาก User จำนวนมาก

• ดำเนินการประเมินความเสี่ยง 

การประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์ช่วยให้คุณระบุภัยคุกคามที่อาจ เกิดขึ้นในพื้นที่เก็บข้อมูลบนคลาวด์และส่วนโครงสร้างพื้นฐานอื่น ๆ เมื่อย้ายข้อมูลและ การดำเนินงานของคุณไปยังคลาวด์

ดังนั้นเพื่อความปลอดภัยในการใช้งานระบบ Cloud การตั้งค่าความปลอดภัยจึงเป็นเรื่องสำคัญ หลังจากการเรียนรู้และหลีกเลี่ยงการตั้งค่าที่ผิดพลาด (Misconfiguration) บนระบบ Cloud ไม่ให้ผิดพลาดแล้ว แต่ก็อาจจะป้องกันได้ไม่ครอบคลุม หรืออาจเกิดเหตุการไม่คาดคิดขึ้น จนบางครั้งร้ายแรงจนข้อมูลและระบบเสียหาย สำหรับองค์กรหรือหน่วยงานที่ต้องการความปลอดภัยขั้นสูง การเลือกใช้บริการเฝ้าระวังภัยคุกคามทางด้านไซเบอร์ ก็สามารถช่วยเพิ่มความมั่นใจได้ NT cyfence มีบริการ Cybersecurity Monitoring ที่เป็นบริการบริการเฝ้าระวังภัยคุกคามทางด้านไซเบอร์ และความปลอดภัยของระบบเทคโนโลยีสารสนเทศผ่านศูนย์ปฏิบัติการ Cybersecurity Operations Center (CSOC) โดยมีผู้เชี่ยวชาญที่มีประสบการณ์ (Security Analyst) ในการวิเคราะห์ภัยคุกคามทางด้านไซเบอร์ แจ้งเตือนเหตุการณ์ภัยคุกคาม รวมถึงแนวทางในการจัดการ จึงเป็นอีกตัวช่วยหนึ่งสำหรับองค์กรหรือหน่วยงานที่ต้องการความปลอดภัยที่มากขึ้น

โดยปัจจุบันบริการ Cybersecurity Monitoring ของ NT cyfence สามารถ Monitor Public Cloud ระดับโลกได้แล้ว อาทิเช่น Microsoft Azure, Amazon Web Services (AWS)  , Huawei Cloud รวมถึง Google Cloud Platform (GCP) 

สำหรับผู้ที่สนใจบริการ Cybersecurity Monitoring สามารถติดต่อ NT cyfence เพื่อขอทราบข้อมูลเพิ่มเติมได้ที่ https://www.cyfence.com/contact-us/  หรือโทร 1888 เรามีทีมงานผู้เชี่ยวชาญพร้อมให้คำแนะนำ และเป็นที่ปรึกษาด้านความปลอดภัยด้านสารสนเทศอย่างครบวงจรให้กับคุณ

ที่มา: cyfence , spectralop , upguard