3 หัวใจหลักต้าน Insider Threat (จบ)
เริ่มต้นด้วยการจัดการความเสี่ยงของผู้ใช้ตามบริบท สภาพแวดล้อม และสถานการณ์
จากบทความแรกที่ผมเขียนในสัปดาห์ที่แล้วถึง 2 หัวใจหลักของแนวคิดที่เรียกว่า Insider Threat Management Programs (ITMPs) นั่นก็คือ พนักงาน และ กระบวนการ บทความนี้เราจะมาพูดถึงหัวใจหลักสุดท้ายคือ เทคโนโลยี กันต่อครับ
เทคโนโลยี ที่เรากำลังจะพูดถึงนี้จะต้องทำงานอย่างชาญฉลาดและเพิ่มประสิทธิภาพการทำงานได้อีกด้วย ทั้งหมดนี้เกิดจากโมเดลการรักษาความปลอดภัยที่ยึดผู้คนเป็นศูนย์กลาง (People-Centric Security Model) มุ่งเน้นไปที่กิจกรรมของผู้ใช้ที่เราต้องรับรู้ว่าพวกเขาใช้งานหรือเข้าไปเกี่ยวข้องกับข้อมูลและสินทรัพย์ที่มีความอ่อนไหวขององค์กร (Sensitive Data and Asset) อย่างไร มากกว่าที่จะเป็นการตรวจสอบเทคโนโลยีหรือขอบเขตของระบบเครือข่ายโดยรวม
โมเดลการรักษาความปลอดภัยที่ยึดผู้คนเป็นศูนย์กลาง (People-Centric Security Model) หมายถึง การมองเห็นภาพรวมที่สมบูรณ์ และมองเห็นบริบทว่าบุคคลภายในใช้งานข้อมูลและทรัพย์สินขององค์กรอย่างไร
รวมถึงความกังวลที่เกี่ยวกับกฎหมายและการปฏิบัติตามข้อกำหนดต่างๆ ที่อาจเกิดขึ้นอย่างหลีกเลี่ยงไม่ได้เมื่อต้องใช้แนวคิด ITMPs เพราะแนวคิดนี้ต้องการให้บริษัทเพิ่มการกำกับดูแลกิจกรรมภายใน ซึ่งถ้ามองในมุมมองเรื่องความเป็นส่วนตัว ITMPs จะต้องดำเนินไปภายใต้การปฏิบัติตามกฎหมายที่เกี่ยวข้อง เป็นไปตามวัฒนธรรมองค์กร และก่อให้เกิดความโปร่งใสทั่วทั้งองค์กรอีกด้วย
ใจความสำคัญของโปรแกรมการจัดการภัยคุกคามที่เกิดจากบุคคลภายในองค์กรคือ การใช้เทคโนโลยีที่เกี่ยวข้องกับด้านนี้โฟกัสไปที่ภายในองค์กร ไม่ใช่ภายนอกองค์กร อย่างที่โซลูชั่นการรักษาความปลอดภัยจำนวนมากในตลาดกำลังทำ ซึ่งโซลูชั่นการจัดการ Insider Threat สามารถช่วยเสริมโซลูชั่นแบบดั้งเดิมให้มีประสิทธิภาพดีขึ้น และในบางกรณียังสามารถรองรับวิธีการตรวจจับและจัดการภัยคุกคามภายในได้ด้วยตัวมันเองโดยไม่ต้องพึ่งระบบอื่นๆ
แนวทางการยึดผู้คนเป็นศูนย์กลางของ Insider Threat Management (ITM) เริ่มต้นด้วยการจัดการความเสี่ยงของผู้ใช้ตามบริบท สภาพแวดล้อม และสถานการณ์ ที่จะช่วยให้มองเห็นความต้องการของผู้ใช้ ซึ่งเป็นองค์ประกอบสำคัญในการป้องกัน และตรวจสอบเหตุการณ์ภายใน ซึ่งการจัดการความเสี่ยงของผู้ใช้ตามบริบทมีองค์ประกอบหลักสามประการด้วยกัน ได้แก่
1. โปรไฟล์ของผู้ใช้ที่มีความเสี่ยง (User Risk Profiling) ต้องระบุและจัดการตามความเสี่ยงของผู้ใช้งานแต่ละคนเพื่อเพิ่มประสิทธิภาพ จำกัดการเข้าถึงข้อมูล ตรวจสอบความต้องการในการเข้าถึงต่างๆ ให้เป็นสัดส่วน
2. การมองเห็นช่องทางต่างๆ (Cross-Channel Visibility) สร้างมุมมองหลักที่สามารถเชื่อมต่อการมองเห็นจากหลายๆช่องทางที่ผู้ใช้ทำงานกับข้อมูล ไม่ว่าจะเป็นบนอุปกรณ์ปลายทาง (Endpoint) แอปพลิเคชันบน Cloud โซเชียลมีเดีย ผู้ให้บริการแชร์ไฟล์ต่างๆ และอีเมล
3. ประวัติกิจกรรม (Activity Timelines) ทำความเข้าใจและมองให้เห็นภาพการทำงานของผู้ใช้ ให้รู้ว่าบริบทใดที่ทำให้เกิดความเสี่ยง เพื่อให้เกิดการตัดสินใจที่มาจากการมีข้อมูลที่ครบถ้วน และสามารถดำเนินการต่อได้
การสร้าง ITMPs ต้องอาศัยการทำความเข้าใจบริบทวิธีการทำงานของพนักงานแต่ละฝ่าย มองเห็นว่าองค์กรยังมีจุดไหนที่อาจเป็นช่องโหว่ให้ภัยคุกคามโจมตี และนำเทคโนโลยีมาป้องกันจุดนั้น
การจะเอาชนะ Insider Threat จะต้องให้ความสำคัญกับการทำงานของพนักงานในองค์กรให้มาก เพราะต่อให้มีเครื่องมือที่เก่งกาจแค่ไหนมาปกป้ององค์กร แต่ปกป้องไม่ถูกจุด Insider Threat ก็ยังเกิดขึ้นได้ครับ