การยืนยันตัวตนด้วย Identity ทุกครั้งเท่านั้น ที่จะทำให้องค์กรปลอดภัย
แอดให้นึกภาพว่าพนักงานคนหนึ่งของคุณตื่นขึ้นมาในตอนเช้า เขาเช็คอีเมลงานผ่านมือถือส่วนตัวบนเครือข่าย WiFi บ้าน ระหว่างทางมาออฟฟิสเขาเปิด VPN บน laptop เพื่อเข้าประชุม video call กับทีมก่อนผ่าน 4G พอถึงออฟฟิศก็เข้า network ของที่ออฟฟิสเพื่อทำงานต่อ กลางวันออกไปนั่งทำงานต่อที่ co-working space ใช้ WiFi สาธารณะ เย็นกลับบ้านเปิดเครื่องส่วนตัวเข้า cloud application ของบริษัทเพื่อทำงาน ทั้งหมดนี้เกิดขึ้นภายในวันเดียว จากหลายอุปกรณ์ หลาย location และหลาย network
คำถามคือ... เราจะรู้ได้อย่างไรว่าทุกครั้งที่มีคนล็อกอินเข้ามา นั่นคือพนักงานจริงๆ ของคุณ?
ยิ่งไปกว่านั้น องค์กรสมัยนี้ไม่ได้มีแค่พนักงาน ยังมี contractor, partner, vendor, service outsources, API keys, และ bot ต่างๆ ที่ต้องเข้าถึงระบบ แต่ละอย่างมี identity ที่มีสิทธิ์การเข้าถึงที่แตกต่างกัน เชื่อมต่อกับระบบต่างๆ และกระจัดกระจายอยู่ทั่ว cloud, on-premise และ SaaS หลายสิบหรือหลายร้อย platform ความซับซ้อนนี้ไม่ได้ทำให้การจัดการยากขึ้นเท่านั้น แต่ยังสร้างช่องโหว่ที่มองไม่เห็นนับไม่ถ้วน
ในอดีต Security คือการสร้าง “ปราสาทที่มีคูน้ำล้อมรอบ” (Castle-and-Moat) ใครข้ามคูน้ำมาได้คือปลอดภัย แต่ในปัจจุบัน Security คือการจัดการ “สิทธิ์การเข้าถึงรายบุคคล” (Identity-Centric)
Identity จึงไม่ได้เป็นแค่การระบุตัวตน แต่มันคือ “แนวป้องกันด่านแรกและด่านเดียว” ที่ติดตามตัวพนักงานไปทุกที่ครับ เมื่อก่อนการระบุตัวตนบนโลกออนไลน์ทำได้ง่ายมาก แค่ดู IP Address ก็รู้แล้วว่าใครเข้ามาจากไหน เหมือนกับบ้านเลขที่ที่บอกได้ชัดเจนว่าผู้ใช้งานอยู่ตรงไหน ทุกอย่างอยู่ภายในวงที่มองเห็นได้ชัดเจน มี Firewall คอยเฝ้าประตู มี Network Segmentation แบ่งแยกพื้นที่ และทุกอย่างก็ดูจะปลอดภัยดี
แต่วันนี้ภาพทั้งหลายเหล่านั้นกำลังเปลี่ยนแปลงไป
เมื่อการโจมตีไม่ต้องเจาะระบบ แค่ล็อกอินเข้าไปก็พอ
ลองคิดดูว่าถ้าคุณเป็นแฮกเกอร์ คุณจะเลือกวิธีไหน? ระหว่างพยายามเจาะ Firewall ที่มีทีม Security คอยเฝ้าตลอด 24 ชั่วโมง หรือจะหาทางขโมย username และ password ของพนักงานสักคนมาล็อกอินเข้าไปตามปกติ? ซึ่งหาได้จาก darkweb หรือ Social Engineering อื่นๆ คำตอบพบว่าในหลายๆ เคส วิธีหลังง่ายกว่าและปลอดภัยสำหรับผู้โจมตีมากกว่า
ข้อมูลจาก IBM’s Cost of a Data Breach Report 2025 เผยภาพให้เห็นว่าการทำ phishing ซึ่งเป็นวิธีขโมย credential เป็นวิธีที่พบได้บ่อยที่สุด เป็นช่องทางเริ่มต้นของการโจมตีถึง 16% และที่น่ากลัวกว่านั้นคือ เมื่อ credential ถูกขโมยไป องค์กรใช้เวลาเฉลี่ยถึง 186 วัน หรือมากกว่าครึ่งปี กว่าจะรู้ตัว
ลองนึกภาพดูว่า 6 เดือนที่กว่าจะรู้ตัว แฮกเกอร์ที่ปลอมตัวเป็นพนักงานของคุณสามารถทำอะไรได้บ้าง? การเข้าถึงข้อมูลลูกค้า ดาวน์โหลดเอกสารสำคัญ ย้ายข้อมูลออกไปเรื่อยๆ ทีละนิด ทีละหน่อยโดยที่ไม่มีใครสงสัย หรือเลวร้ายกว่านั้นคือขายสิทธิ์การเข้าถึงให้กลุ่ม ransomware ต่อ ซึ่งทั้งหมดนี้เกิดขึ้นได้เพราะในสายตาของระบบ การกระทำเหล่านี้มาจาก “user ที่ถูกต้อง” ที่มี “สิทธิ์ที่ถูกต้อง” ทำ “สิ่งที่ดูเหมือนปกติ”
ตัวเลขนี้ยังสะท้อนให้เห็นว่าองค์กรส่วนใหญ่ยังมองไม่เห็นว่า credential ของตัวเองถูกใช้อย่างไร ยังขาดระบบ visibility รวมถึงยังไม่มี behavioral analytics อีกทั้งยังไม่สามารถแยกแยะได้ว่าการ login ครั้งไหน ปกติ อันไหนไม่ปกติ และนั่นจึงเป็นสิ่งจำเป็นที่องค์กรต้องต้องเสริมการควบคุมด้วย “identity” เพื่อสร้างความแข็งแกร่งขึ้นเร่งด่วนป้องกันภัยทางไซเบอร์ที่อาจเกิดขึ้นได้ เมื่อระบบมีช่องโหว่
Identity กลายเป็น perimeter แนวคิดใหม่ เนื่องจากมีหลายปัจจัยที่เกิดขึ้นพร้อมกัน การทำงานระบบ remote และ hybrid ที่กลายเป็นเรื่องปกติหลัง COVID การใช้ SaaS และ cloud services ที่เพิ่มขึ้นอย่างต่อเนื่อง ทำให้ข้อมูลและ application กระจายอยู่นอกองค์กร การมีอุปกรณ์ที่หลากหลายมากขึ้นจากการ digital transformation ตั้งแต่ laptop, tablet, smartphone, IoT devices ไปจนถึง smart watch รวมถึงความซับซ้อนของ federated identity ที่มี provider และกลไกการเข้าถึงหลายรูปแบบ ทั้ง SAML, OAuth, OpenID Connect ซึ่งทำให้ยากต่อการจัดการและสามารถถูกแฮกเกอร์ใช้ประโยชน์ได้ง่าย
อาชญากรไซเบอร์รู้ดีว่าองค์กรส่วนใหญ่ยังจัดการและรักษาความปลอดภัย digital identity ได้ไม่ดีพอ และการโจมตีผ่าน identity ให้ผลต่อการโจมตีสูงมาก ไม่ว่าจะเป็นการขโมย credential ผ่าน phishing, credential stuffing จาก database ที่รั่วไหล, privilege escalation เพื่อยกระดับสิทธิ์ หรือการเคลื่อนย้ายภายในระบบ (lateral movement) หลังจากเข้าสู่ระบบได้แล้ว ล้วนเป็นวิธีที่ง่ายที่สุด ใช้เวลาน้อยที่สุด และเสี่ยงต่ำที่สุดในการเข้าถึงระบบ
6 จุดอ่อนของ Identity ที่พบบ่อยที่สุด
1. บัญชีผู้ใช้ที่ไม่อัพเดท หรือไม่ได้ใช้งานแล้ว
ตัวอย่างนี้คือประตูที่แฮกเกอร์ชื่นชอบที่สุด เมื่อพนักงานลาออก ย้ายแผนก หรือเปลี่ยนตำแหน่งงาน บัญชีเก่าของเขามักจะถูกทิ้งไว้โดยไม่มีใครดูแล บัญชีเหล่านี้ยังคงมีสิทธิ์การเข้าถึงเหมือนเดิม แต่ไม่มีใครใช้งานหรือตรวจสอบ ทำให้เป็นเป้าหมายที่ง่ายสำหรับการถูกโจมตี บางองค์กรมี orphaned accounts หลายร้อยหรือหลายพัน account โดยที่ไม่รู้ตัว และแต่ละ account ก็คือช่องโหว่ที่รอให้ถูกโจมตี
2. Default Password รวมไปถึง Credential ที่ใช้ร่วมกัน
Default Password อย่าง “admin/admins” หรือ “password123” ยังคงพบได้ในหลายระบบ โดยเฉพาะอุปกรณ์ IoT หรือระบบที่เพิ่งติดตั้งใหม่ รวมไปถึงการใช้ credential ร่วมกันในทีม เช่น ใช้ user เดียวกันหลายคน ทำให้ไม่สามารถตรวจสอบได้ว่าใครทำอะไร และที่น่ากังวลที่สุดคือข้อมูล credential ที่รั่วไหลไปอยู่บน dark web จากการ data breach ของบริษัทอื่นๆ แฮกเกอร์นำ credential เหล่านี้มาลอง (credential stuffing) เพราะผู้ใช้มักใช้ password เดียวกันหลาย service
3. Identity ที่มีสิทธิ์เกินความจำเป็น (Over-provisioned)
ปัญหาที่พบบ่อยอีกอย่างในองค์กร คือการให้สิทธิ์ที่มากเกินไป แบบ “เผื่อๆไว้” หรือให้เพราะง่ายกว่าที่จะคิดว่าควรให้สิทธิ์ใครทำอะไรจริงๆ พนักงานที่ควรเข้าถึงได้แค่ข้อมูลแผนกตัวเอง กลับสามารถเข้าถึงข้อมูลทั้งบริษัทได้ หรือมี admin rights บนเครื่องตัวเองโดยไม่จำเป็น หลักการ least privilege (ให้สิทธิ์เท่าที่จำเป็นเท่านั้น) ถูกละเลยและมองข้ามไป ยิ่ง account มีสิทธิ์มาก ยิ่งเสี่ยงมากเมื่อถูกแฮก
4. Multi-Factor Authentication (MFA) ที่อ่อนแอหรือไม่มีเลย
แม้ MFA จะเป็นมาตรการรักษาความปลอดภัยพื้นฐานที่มีประสิทธิภาพสูง แต่ยังมีองค์กรจำนวนมากที่ยังไม่ได้นำมาใช้ โดยเฉพาะกับ account ที่มีสิทธิ์สูงอย่าง root หรือ admin accounts บาง account ใช้ MFA แบบ SMS ที่สามารถถูก SIM swapping หรือ phishing ได้ หรือใช้ security questions ที่หาคำตอบได้ง่ายจาก social media การไม่มี MFA หรือใช้ MFA ที่อ่อนแอ เท่ากับเปิดประตูให้แฮกเกอร์เข้ามาได้ง่ายๆ หาก password รั่วไหล
5. Hidden Identity ที่ถูกสร้างขึ้นนอกสายตาของแผนก IT
นี่คือปัญหา Shadow IT ที่น่ากังวล เมื่อพนักงานสร้าง account บน cloud services ต่างๆ ด้วยตัวเอง เพื่อความสะดวกในการทำงาน โดยไม่ผ่านแผนก IT Account เหล่านี้ไม่อยู่ในระบบการจัดการ ไม่มี policy ควบคุม ไม่มี monitoring และมักใช้ personal email ในการสมัคร ทำให้เมื่อพนักงานลาออก องค์กรไม่รู้ด้วยซ้ำว่ามี account อะไรบ้างที่ต้องปิด หรือมีข้อมูลองค์กรอะไรบ้างที่อยู่ใน service เหล่านั้น
6. Permission ที่ตั้งค่าผิดพลาด สร้างช่องทางลับสำหรับ Privilege Escalation
นี่คือจุดอ่อนที่ซับซ้อนและมองเห็นยากที่สุด การตั้งค่า permission ที่ไม่ถูกต้องอาจสร้าง attack path ที่แฮกเกอร์สามารถใช้ยกระดับสิทธิ์ของตัวเองได้ เช่น user ธรรมดาที่สามารถแก้ไข group membership ของตัวเอง หรือมีสิทธิ์ในบาง service account ที่เชื่อมต่อกับระบบอื่นที่มีสิทธิ์สูงกว่า การ misconfiguration เหล่านี้มักเกิดจากความซับซ้อนของระบบที่มีหลาย layer และการเปลี่ยนแปลงที่สะสมมาเรื่อยๆ โดยไม่มีการ audit ให้รอบคอบ
สมดุลระหว่างความปลอดภัยกับประสบการณ์ผู้ใช้
นั่นคือเหตุผลที่องค์กรต้องการโซลูชันที่ผสมผสานความปลอดภัยเข้ากับความสะดวกใช้งาน เช่น MFA ที่คล่องตัว (push notification, QR code, one-time password), Single Sign-On (SSO) และการจัดการแบบ cloud ที่ทำให้ใช้งานง่ายขึ้น ยังไม่หมดแต่เพียงเท่านี้ แต่จะมีอะไรบ้าง ลองยกหูมาคุยกันกับทีมงานของเรา ออพติมุส (optimus) ตัวแทนจำหน่าย WatchGuard ในประเทศไทย ติดต่อทีมขายของออพติมุส
Tel : 02-2479898 ต่อ 87
Email : [email protected]
สินค้าที่เกี่ยวข้อง
เรียบเรียงเป็นภาษาไทยโดย : คุณ วุฒิชัย ปริญญานุสรณ์
