บทสรุปจากงาน RSA Conference 2019 ที่เพิ่งผ่านมา
29 มีนาคม 2019
งาน RSA Conference 2019 เป็นงานใหญ่ของเหล่าคนในวงการความปลอดภัยไซเบอร์ ปีนี้จัดขึ้นระหว่างวันที่ 4 – 8 มีนาคม ที่ผ่านมา ณ เมือง San Francisco สหรัฐฯ ในงานมีผู้บรรยายจำนวนถึง 740 คน กระจายไปตามหัวข้อการประชุมรวม 621 หัวข้อ มีผู้แสดงสินค้ามาออกบูทมากกว่า 700 บริษัท รูปแบบโดยรวมของการประชุมมีธีมว่า “Better” สื่อถึงความปลอดภัยทางไซเบอร์โดยรวมว่าจะดีขึ้นได้อย่างไรและองค์กรสามารถทำอะไรได้บ้างเพื่อให้ได้ผลลัพธ์ด้านความปลอดภัยที่ดีขึ้น สามารถสรุปได้ 10 ประเด็นสำคัญจากการประชุมครั้งนี้
1. ความซับซ้อนของเทคโนโลยีที่เพิ่มขึ้น ขณะผู้ใช้ยังขาดความเข้าใจในการใช้งาน
ความซับซ้อนที่เพิ่มขึ้นของโซลูชั่นรักษาความปลอดภัยในปัจจุบันกลับมีผลทำให้องค์กรไม่สามารถดำเนินการด้านการรักษาความปลอดภัยได้อย่างทั่วถึง เนื่องจากองค์กรยังตามเทคโนโลยีที่ใช้งานอยู่ไม่ค่อยทัน โดยผู้ใช้มักประสบปัญหาด้านการตั้งค่าการใช้งานที่ผิดพลาด รวมทั้งไม่ค่อยให้ความสำคัญด้านความปลอดภัยในการเข้าสู่ระบบเท่าที่ควร จึงมักมองข้ามการยืนยันตนแบบสองปัจจัย (2FA)
2. การชูแนวคิดของ DevSecOps
DevOps เป็นแนวคิดที่ว่าฝ่ายพัฒนาซอฟท์แวร์และฝ่ายปฏิบัติการควรทำงานร่วมกันในกระบวนการพัฒนาตั้งแต่ระยะตั้งไข่ โดยในกระบวนการพัฒนาจะผนวกเรื่องความปลอดภัยเป็นส่วนหนึ่งของกระบวนการ โดยองค์กรระดับโลกอย่าง Cisco เผยว่าได้นำ DevSecOps มาปฎิบัติใช้งานจริง ตั้งแต่ช่วงเริ่มต้นของกระบวนการพัฒนาฯ โดยสร้างสภาพแวดล้อมที่ปลอดภัยอย่างเคร่งครัด ไม่ว่าจะเป็นการพัฒนาแบบออฟไลน์หรือบนคลาวด์ก็ตาม
3. เปิดตัว Ghidra เครื่องมือวิเคราะห์มัลแวร์ให้ใช้ฟรี พัฒนาโดยรัฐบาลสหรัฐฯ
การเปิดตัวเครื่องมือวิศวกรรมย้อนกลับ (Reverse Engineering) เพื่อวิเคราะห์มัลแวร์ที่เรียกว่า “Ghidra” ถือเป็นหนึ่งในสุดยอดไฮไลท์ของงาน RSA 2019 เลยก็ว่าได้ พัฒนาโดยหน่วยงานด้านความมั่นคงไซเบอร์ของรัฐบาลสหรัฐฯ สามารถแยก Code ของมัลแวร์เป็นส่วนๆ ได้ ใช้เทคนิควิศวกรรมย้อนกลับเพื่อศึกษาศักยภาพของมัลแวร์ เพื่อพัฒนาระบบการป้องกันภัยที่ดีขึ้น โดยเครื่องมือนี้ปล่อยให้ใช้งานฟรี
4. เน้นความสำคัญของการพยากรณ์และสร้างตัวชี้วัดความเสี่ยง
สิ่งที่สำคัญคือ การป้องกันการโจมตี ทั้งยังต้องรู้ว่ด้วยว่าถูกโจมตีโดยภัยชนิดใด ในที่ประชุมชูแนวคิดเรื่องการมีตัวชี้วัดที่ดีพอที่ช่วยให้องค์กรสามารถพยากรณ์ความเสี่ยงด้านความปลอดภัยได้ บริษัทประกันภัยชั้นนำของโลกอย่าง Aetna อธิบายว่าความเสี่ยงด้านความปลอดภัยของแต่ละองค์กรนั้นอาจแตกต่างกัน การเข้าใจความเสี่ยงและภัยคุกคามที่มีแนวโน้มส่งผลกระทบต่อองค์กรจะนำไปสู่ความปลอดภัยที่ดีกว่า โดยมีสำคัญ 5 ขั้นตอน ในการดำเนินการเพื่อระบุความเสี่ยง
- สร้างกระบวนการกำกับดูแลความเสี่ยง
- กำหนดนิยามความเสี่ยงด้านความปลอดภัยทั่วไป
- ระบุปัจจัยเสี่ยงต่าง ๆ
- สร้างตัวชี้วัด
- จัดลำดับความเสี่ยง
5. เน้นลดความเสี่ยงการเกิดภัยมากกว่าการลดจำนวนภัย
พื้นฐานความปลอดภัยทางไซเบอร์ล้วนยึดโยงกับ “ความน่าเชื่อถือ” ในแอพพลิเคชันหรือแบรนด์ของผู้พัฒนาเป็นสำคัญ ประธาน RSA ย้ำว่า หากปราศจากความเชื่อมั่นและกลไกที่ทำให้เกิดความเชื่อมั่นวงการไอทีอาจเดินต่อลำบาก ความเชื่อมั่นไม่ได้เกี่ยวกับเรื่องความปลอดภัยด้านเดียว แต่เป็นเรื่องความสามารถขององค์กรในการทำความเข้าใจและจัดการความเสี่ยงได้การรักษาความปลอดภัยที่ดีควรมุ่งเน้นไปที่การลดผลกระทบมากกว่า และการจัดการความเสี่ยงควรใช้ระบบแบบอัตโนมัติและบูรณาการทำงานแทน
6. ความปลอดภัยบนระบบ Cloud ต้องพึ่งโมเดล Zero Trust
Zero Trust เป็นรูปแบบการรักษาความปลอดภัยไซเบอร์ที่ไม่ไว้ใจใครทั้งนั้น ผู้ใช้ต้องยืนยันตัวตนแบบเข้มงวด รวมถึงการ Verify อุปกรณ์ทุกชิ้นไม่ว่าจะอยู่ภายในหรือภายนอกเครือข่าย แตกต่างจากรูปแบบเดิมซึ่งจะไว้ใจผู้ใช้หรืออุปกรณ์ที่เชื่อมต่อภายในเครือข่ายแล้ว (องค์กรระดับ Google คือ ตัวอย่างองค์กรที่ประสบความสำเร็จในการนำโมเดล Zero Trust ไปใช้ได้จริง) เนื่องจาก Cloud เป็นระบบเปิดและสะดวกในการเข้าถึง จึงหลีกเลี่ยงไม่ได้ ที่ต้องเน้นด้านความปลอดภัยเป็นสำคัญ และ Zero Trust เป็นสิ่งจำเป็นที่ทำให้ Cloud ปลอดภัย
7. นวัตกรรมเพื่อตอบโจทย์พื้นฐานของผู้ใช้มาแรง
ในวันแรกของงานมีการจัด RSA Conference Innovation Sandbox 2019 ซึ่งนำผู้เข้ารอบ 10 รายสุดท้ายมารวมตัวกันเพื่อชิงรางวัลผู้คิดค้นเทคโนโลยีใหม่ โดยมีผู้เข้ารอบสองรายสุดท้าย คือ Duality และ Axonius ซึ่ง Duality ทำธุรกิจด้านการเข้ารหัสข้อมูลและความเป็นส่วนตัว ขณะที่ยังสามารถใช้งานแบบร่วมกันได้หลายคน ส่วน Axonious สร้างเครื่องมือช่วยองค์กรเก็บข้อมูลทรัพย์สินเกี่ยวกับไอทีทั้งหมด ในท้ายที่สุด Axonius เป็นผู้ชนะ เห็นได้ว่าเทคโนโลยีทั้งสองบริษัทที่เข้ารอบก็ไม่ได้ซับซ้อนอะไรมาก แต่กลับมุ่งไปที่การแก้ปัญหาพื้นฐานที่ผู้ใช้งานมักประสบ ถือเป็นนวัตกรรมที่ดีและตอบโจทย์
8. เทคโนโลยีความปลอดภัยที่ดีต้องมาพร้อม API ที่เปืดเชื่อมต่อได้หลากหลาย
น่าจะหมดสมัยแล้วที่องค์กรต้องวิ่งหาเทคโนโลยีมากหน้าหลายตาเพื่อปกป้ององค์กรจากภัยไซเบอร์ ที่ประชุมสนับสนุนแนวคิดการใช้เทคโนโลยีจากผู้ให้บริการน้อยรายที่สามารถเชื่อมต่อกับเทคโนโลยีอื่นได้สะดวก แทนที่จะจัดหาเทคโนโลยีแบบ Standalone ไว้จำนวนมากจากผู้ให้บริการหลายราย วิธีการแบบบูรณาการเช่นนี้สามารถลดปัญหาความซับซ้อนและยุ่งยากในการใช้งาน ไม่เพียงแค่ควรเลือกผู้ให้บริการเพียงรายเดียว แต่ผู้ให้บริการรายนั้นควรมีเทคโนโลยีที่มี API แบบเปิดและอัพเกรดได้ เพื่อให้สามารถใช้งานข้ามเทคโนโลยีได้
9. ความปลอดภัยทางไซเบอร์ที่ดีต้องอาศัยองค์ความรู้ที่เพียงพอ
การพึ่งพาเพียงเครื่องมือและเทคโนโลยีที่ทันสมัยอย่างเดียวโดยไร้ซึ่งองค์ความรู้ที่ดี ย่อมทำให้การรักษาความปลอดภัยทางไซเบอร์ปราศจากประสิทธิภาพที่ดี โดยในการนี้ตัวแทนจากหน่วยงานความมั่นคงทางไซเบอร์ของรัฐบาลสหรัฐฯ ได้ยกระดับความสำคัญของเรื่องดังกล่าว เทียบเท่าวาระแห่งชาติในทศวรรษ 1960 ที่สหรัฐฯ แข่งขันด้านอวกาศกับรัสเซียเลยทีเดียว นอกจากนี้ IBM Security ยังเน้นย้ำถึงความจำเป็นในการพัฒนาด้านการฝึกอบรมและการศึกษาเพื่อสร้างความคล่องตัวด้านไอที ในยุคที่ความปลอดภัยเป็นมากกว่าการพึ่งพาเครื่องมือทางเทคโนโลยีเพียงอย่างเดียวเท่านั้น
10. ความปลอดภัยไซเบอร์เป็นเรื่องซีเรียส
งาน RSA Conference 2019 ปิดฉากลง ด้วยบทสนทนาระหว่างประธาน RSA และ Tina Fey (นักแสดงตลกฮอลลีวู้ด) ซึ่งถูกถามเรื่องความคล้ายคลึงของวงการตลกกับวงการความปลอดภัยไซเบอร์ คำตอบของ Fey นั้นสั้นๆ ง่ายๆ คือ “ไม่เลย” สะท้อนให้เห็นว่า ถึงแม้คนต่างวงการยังมองเห็นว่าความปลอดภัยในโลกไซเบอร์นั้นไม่ใช่เรื่องขำขัน จะมาทำกันเล่นๆ ไม่ได้
อ้างอิงที่มา:
https://www.esecurityplanet.com/network-security/top-takeaways-rsa-conference-2019.html
https://blogs.absolute.com/2019-rsa-conference-takeaways/
https://www.nsa.gov/resources/everyone/ghidra/
https://www.cloudflare.com/learning/security/glossary/what-is-zero-trust/
บทความที่เกี่ยวข้อง