บันทึกแง่คิดจากการทำ Cybersecurity Assessment EP2: 3 สิ่งที่มักหลุดลอดสายตาและก่อปัญหาได้ทุกเมื่อ
ผมต้องขอออกตัวก่อนว่าไม่ใช่ Expert หรือ Engineer ด้าน Security มาจากไหนนะครับ บทความชุด “บันทึกแง่คิดจากการทำ Cyber Security Assessment” เป็นการถ่ายทอดสิ่งที่ได้เรียนรู้ ประสบพบเจอ และเห็นกับตา (มาบ้าง) เป็นประสบการณ์ที่ได้จากงานด้าน Cyber Security Assessment (การประเมินความปลอดภัยด้านไซเบอร์) โดยการใช้ assessment tool ตรวจสอบ infrastructure (บางส่วน) เช่น เครื่องคอมพิวเตอร์, เครื่องเซิร์ฟเวอร์, ระบบยืนยันตัวตนของผู้ใช้งาน, ซอฟต์แวร์ที่ติดตั้งในองค์กร ประวัติการเข้าใช้เว็บไซต์ที่อาจมีความเสี่ยง รวมถึงการจัดการสิทธิ์การเข้าถึงและการแชร์ข้อมูลขององค์กรในแพลตฟอร์มออนไลน์อย่าง Office 365 และ/หรือ SharePoint ร่วมกับการสัมภาษณ์ผู้ดูแลระบบขององค์กรในด้านต่างๆ เช่น แนวทางการดูแลระบบสารสนเทศ การสร้างความตระหนักรู้ (awareness) ด้านภัยไซเบอร์แก่บุคลากรในองค์กร และความพร้อมในการรับมือเมื่อเกิดเหตุการณ์ต่างๆ
ใน EP.2 ผมจะมาแชร์ข้อสังเกตจากประสบการณ์จริงในการสำรวจ ตรวจสอบ และปรับปรุง Cyber Security ขององค์กร โดยเฉพาะในสิ่งที่มักจะหลุดลอดสายตาหรือการควบคุมของผู้ดูแลระบบ และสามารถก่อปัญหาได้ทุกเมื่อ
มาลองดูกันนะครับว่าสิ่งที่ผมได้นำมาเล่าจะมีแง่มุมไหน ประเด็นอะไรบ้าง และหากท่านมีความคิดเห็นที่สอดคล้องหรือแตกต่างอย่างไร สามารถมาแชร์และเสนอแนะได้ในคอมเม้นต์นะครับ ขอขอบคุณล่วงหน้าครับ
1.การทำ Hardening (การเพิ่มความแข็งแกร่ง) ที่ Endpoint
Endpoint ในที่นี้จะหมายรวมถึงทั้งเครื่อง Server และ Client นะครับ ซึ่งการทำ Hardening ในแต่ละองค์กรก็จะมี standard หรือ policy ของตนเองอยู่แล้ว ซึ่งอาจจะอ้างอิงจาก security standard ต่างๆ
แต่จากประสบการณ์ส่วนตัวแล้วหลายๆ องค์กรก็ยังมีสิ่งที่ไม่ “เข้าที่เข้าทาง” เกิดขึ้นได้ ดังตัวอย่างต่อไปนี้
หนึ่งในตัวอย่างที่สามารถเกิดขึ้นได้ด้วยหลายๆ ปัจจัย คือการเปิดใช้ SMB V1 ซึ่งเป็น protocol ในการทำ File sharing หรือออก printer เรื่องของเรื่องก็คือการเปิด SMB V1 ในเครื่อง server ถือเป็นความเสี่ยงมากๆ ประการหนึ่งเพราะ malware หรือ ransomware โดยมากก็พยายามโจมตีช่องทางนี้เหมือนกัน บางครั้งการเปิด SMB V1 ในเครื่อง server เกิดจากความจำเป็นเช่น เครื่องนั้นๆ ยังคงใช้ระบบปฏิบัติการเก่าที่ไม่สามารถเปิดใช้ SMB V2 หรือ V3 ได้ เช่น Windows Server 2003 หรือยังมีการใช้งานแอพพลิเคชันที่ยังคงทำงานได้แค่กับ SMB V1 ว่าง่ายๆ คือระบบ legacy นั่นเอง ซึ่งองค์กรควรพิจารณาการเปลี่ยนผ่านหรืออัพเกรด software เหล่านั้น แม้บางครั้งเมื่อองค์กรได้ดำเนินการอัพเกรดหรือเปลี่ยนผ่านแล้วแต่ไม่ได้ตรวจสอบหรือไล่ปิด SMB V1 ให้หมด ก็ยังอาจพบการเปิดใช้งานได้อยู่
การใช้งาน Remote Desktop ด้วย RDP (Remote Desktop Protocol) เอาจริงๆ RDP ไม่ใช่ต้นตอของปัญหาหรอกครับ แต่ปัญหาอยู่ที่บางครั้งยังมีการใช้งานแบบที่ไม่ใช้ Network Level Authentication (NLA) การทำ NLA จะช่วยให้เกิดการ authentication ก่อนที่จะสร้าง connection ไปที่เครื่องปลายทางของการรีโมท ซึ่งช่วยลดหรือป้องกันการโจมตีแบบ denial-of-service (DOS), man-in-the-middle หรือความพยายามโจมตีของ ransomware บางตัวได้
อีกตัวอย่างคือเรื่องของ PowerShell Execution Policy ในเครื่อง Windows OS ที่อาจถูกตั้งค่าที่ registry key เป็นแบบ Bypass หรือ Unrestricted ซึ่งเปิดโอกาสให้ script บางอย่าง หรือ malware สามารถเข้ามา execute ในเครื่องนั้นๆ ได้ ซึ่งองค์กรควรจะ enforce policy ให้การตั้งค่าเป็น Restricted หรือ Allsigned เพื่อจำกัดสิทธิ์หรืออนุญาตเฉพาะการทำงานของ script ที่ผ่านการตรวจสอบหรือมาจากแหล่งที่น่าเชื่อถือ
2.การตั้งค่าเกี่ยวกับ User ใน Active Directory (AD)
หลายๆ ครั้งในการตรวจสอบ policy หรือการตั้งค่าใน AD ก็มักจะได้เห็นร่องรอยบางอย่างที่ส่งผลต่อ security ของ user หนึ่งในนั้นคือการตั้งค่า User Account Control (UAC)
บางส่วนที่น่าพิจารณาเช่น
Password is not Required = การตั้งค่าใน attribute ชื่อ PASSWD_NOTREQD เอาไว้ ซึ่งก็คือ user ที่ตั้งค่าไว้แบบนี้ password จะเป็น blank (เว้นว่าง) ได้
ลองจินตนาการว่า hacker เริ่มต้นจากการค้นหา account ที่ตั้งค่าไว้แบบนี้ดูสิครับ…จะเป็นอย่างไร
Cannot Change Password = การตั้งค่าใน attribute ชื่อ PASSWD_CANT_CHANGE เอาไว้ ทำให้ user ไม่สามารถเปลี่ยน password เองได้
Password is not going to expire = การตั้งค่าใน attribute ชื่อ DONT_EXPIRE_PASSWD เอาไว้ ทำให้ account นั้นไม่มีวันหมดอายุ
ซึ่งในกรณีของ PASSWD_CANT_CHANGE และ DONT_EXPIRE_PASSWD สามารถส่งผลกระทบต่อการป้องกันหรือแก้ไขในกรณีที่ account ถูกขโมยรหัสได้ โดยเฉพาะในกรณีที่เจ้าของ account ไม่รู้ตัวว่ามีคนอื่นรู้ credential ของเขาและเอาไปใช้ได้แล้ว
และจากประสบการณ์การทำ assessment ผมเคยเจอว่าทั้ง 3 กรณีเกิดขึ้นกับ admin account ด้วยเหมือนกัน
3.การทำ URL Filtering ที่ Firewall หรือ Proxy server
เรียกว่าเป็นท่าไม้ตายสำหรับหลายๆ องค์กรในการป้องกันการเข้าเว็บไซต์ที่มีความเสี่ยงหรือเว็บไซต์ไม่พึงประสงค์ เช่น เว็บพนัน เว็บอนาจาร หรือเว็บไซต์สำหรับค้นหาซอฟต์แวร์ผิดลิขสิทธิ์ ซึ่งจะทำแล้วปลอดภัยหรือป้องกันได้ตามความคาดหวังแค่ไหนก็ขึ้นอยู่กับความครอบคลุมของ category ที่ปิดกั้นการเข้าถึงไว้ ซึ่งหลายๆ องค์กรจะตกหล่นในกลุ่มเว็บแชร์ไฟล์หรือเว็บแปลงไฟล์ (แปลงสกุลไฟล์) ต่างๆ
เว็บแชร์ไฟล์หรือเว็บแปลงไฟล์จะส่งผลต่อความปลอดภัยในมุม Data leakage (ข้อมูลรั่วไหล) ในกรณีการเข้าถึงเว็บแชร์ไฟล์ต่างๆ หากมีการใช้ File Sharing Platform สำหรับองค์กรตัวใดเป็นหลักแล้วควรจำกัดให้ใช้งานได้แต่ platform นั้น การอนุญาตให้บุคลากรใช้ File Sharing Platform แบบส่วนตัวได้อาจเพิ่มโอกาสที่ข้อมูลสำคัญจะรั่วไหลได้ หากองค์กรไม่มีกลไกที่จะติดตามหรือควบคุมการบันทึก คัดลอก หรือส่งต่อเอกสารสำคัญขององค์กร
ในกรณีของเว็บแปลงไฟล์ก็คล้ายๆ กัน บางครั้ง user ใช้งานเว็บไซต์เหล่านี้เพราะสะดวก รวดเร็ว หรือไม่ตระหนักเท่าทันความเสี่ยง อย่าลืมว่าการจะแปลงไฟล์บนเว็บไซต์เหล่านี้ได้ต้องมีการอัพโหลดไฟล์ ซึ่งเราไม่อาจรู้ได้ว่าไฟล์เหล่านั้นจะถูกเก็บอยู่ที่ได้ ได้รับการปกป้องหรือไม่ ผู้ให้บริการเว็บไซต์มีนโยบายในการทำลายไฟล์หลังจากที่ผู้ใช้ได้แปลงไฟล์เสร็จแล้วหรือไม่
หัวข้อข้างต้นเป็นเพียงตัวอย่างบางส่วนที่ประสบการณ์การทำ Cyber Security Assessment ของผมได้พบเจอมาในหลายๆ องค์กร และบางครั้งองค์กรที่ทำ assessment ก็เนื่องมาจากเกิดเหตุการโจมตีทางไซเบอร์หรือข้อมูลรั่วไหลมาแล้ว และต้องการตรวจสอบว่ามีอะไรในองค์กรบ้างที่ทำให้เกิดเหตุการณ์เหล่านั้นได้
ในตอนหน้าผมจะแชร์ในส่วนของ Policy องค์กรว่ามีเรื่องใดบ้างที่ส่งผลต่อการรักษาความปลอดภัยทางไซเบอร์ และส่วนที่เกี่ยวข้องในด้าน Compliance ที่มองข้ามไม่ได้เช่นกัน
