เจาะไอเดีย ‘Zero-Trust’ กลยุทธ์สยบภัยไซเบอร์
“Zero Trust” จัดเป็นกลยุทธ์ลดความเสี่ยงที่สำคัญที่สุดขององค์กรธุรกิจ แต่มีองค์กรเพียงไม่กี่แห่งเท่านั้นที่ดำเนินการ ได้สำเร็จ
การ์ทเนอร์ อิงค์ คาดการณ์ว่า จากปัจจุบันที่องค์กรมีโปรแกรม Zero-Trust ที่ใช้ได้อย่างสมบูรณ์และวัดผลได้ไม่ถึง 1% ภายในปี 2569 จะเพิ่มขึ้นไปถึงประมาณ 10% ขององค์กรขนาดใหญ่
Zero Trust คือ แนวคิดของการปกป้องแบบไม่เชื่อใจใครเลย
โดย การ์ทเนอร์ให้คำจำกัดความของ Zero Trust ว่า เป็นกระบวนการด้านความปลอดภัยที่สามารถระบุผู้ใช้และอุปกรณ์ได้อย่างชัดเจน พร้อมยังให้สิทธิ์การเข้าถึงในขอบเขตที่เหมาะสม เพื่อให้ธุรกิจสามารถดำเนินการได้โดยลดแรงเสียดทานให้น้อยที่สุดและมีความเสี่ยงต่างๆ ลดลง
สร้างสมดุล ‘ความปลอดภัย’
จอห์น วัตส์ รองประธานฝ่ายวิจัย การ์ทเนอร์ กล่าวว่า หลายองค์กรติดตั้งโครงสร้างพื้นฐานด้วยโมเดลความปลอดภัยที่คลุมเครือแทนที่จะเลือกใช้โมเดลที่มีความชัดเจน เพื่อให้การเข้าถึงและการดำเนินงานสำหรับพนักงานและตัวงานได้ง่าย ซึ่งแฮกเกอร์จะใช้จุดนี้เพื่อติดตั้งมัลแวร์ จากนั้นขยายวงการโจมตีให้กว้างขึ้นเพื่อให้บรรลุเป้าหมายที่วางไว้
Zero-Trust คือการเปลี่ยนแปลงแนวคิดสำหรับจัดการกับภัยคุกคามเหล่านี้ โดยอาศัยการประเมินอย่างต่อเนื่อง การคำนวณที่ชัดเจน และการกำหนดระดับความไว้วางใจที่ปรับเปลี่ยนได้ (Adaptive Trust) ระหว่างผู้ใช้ อุปกรณ์ และทรัพยากร
ดังนั้น ผู้บริหารด้านความปลอดภัยข้อมูล หรือ CISO และผู้นำด้านการบริหารความเสี่ยงจำเป็นอย่างยิ่งต้องเริ่มพัฒนากลยุทธ์ Zero-Trust ที่มีประสิทธิภาพ
พร้อมสร้างสมดุลระหว่างความต้องการด้านความปลอดภัยกับความจำเป็นการดำเนินธุรกิจเพื่อช่วยให้องค์กรดำเนินการตามขอบเขตการใช้งาน Zero-Trust ได้อย่างสมบูรณ์แบบ
'Zero-Trust' ยังไม่ใช่ทั้งหมด
ดังที่กล่าวว่าหมายถึงการเริ่มต้นด้วยการสร้างกลยุทธ์ขององค์กร พร้อมกำหนดขอบเขตของโปรแกรม Zero-Trust เมื่อมีการกำหนดกลยุทธ์ดังกล่าวพร้อมแล้ว
โดย ผู้บริหาร CISO และผู้นำด้านการบริหารความเสี่ยงขององค์กรจะต้องเริ่มด้วยการระบุตัวตน ซึ่งเป็นพื้นฐานของ Zero-Trust และนอกเหนือจากการปรับปรุงทางด้านเทคโนโลยีแล้ว ยังหมายรวมถึงด้านบุคลากรและกระบวนการในการสร้างโปรแกรมการจัดการข้อมูลประจำตัวเหล่านั้นด้วย
อย่างไรก็ตาม ผู้บริหาร CISO และผู้นำด้านการบริหารความเสี่ยง ไม่ควรคิดไปเองว่า Zero-Trust จะช่วยขจัดภัยคุกคามทางไซเบอร์ให้หมดสิ้นไป แต่ Zero-Trust ช่วยลดความเสี่ยงและจำกัดวงผลกระทบของการโจมตีได้
นักวิเคราะห์ของการ์ทเนอร์ คาดการณ์ว่า จนถึงปี 2569 การโจมตีทางไซเบอร์มากกว่าครึ่งจะมุ่งไปยังเป้าหมายที่มาตรการรักษาความปลอดภัย Zero-Trust ยังไม่ครอบคลุมและเข้าไปช่วยบรรเทาความเสี่ยงไม่ได้
'สินทรัพย์-ช่องโหว่' เป้าหมายหลัก
เจเรมี่ เดอฮูน รองประธานฝ่ายวิจัยของการ์ทเนอร์ กล่าวว่า พื้นที่การถูกโจมตีขององค์กรกำลังขยายตัวอย่างรวดเร็ว และมุ่งไปที่สินทรัพย์และช่องโหว่ที่อยู่นอกขอบเขตของสถาปัตยกรรม Zero-Trust (ZTAs) สามารถมาในรูปแบบของงานสแกนและใช้ประโยชน์จากช่องทางการพัฒนา APIs ที่เปิดแบบสาธารณะหรือการพุ่งเป้าไปยังพนักงาน
โดยผ่านเทคนิคการหลอกลวงให้เหยื่อเปิดเผยข้อมูล (Social Engineering) การกลั่นแกล้งหรือใช้ประโยชน์จากข้อบกพร่องเนื่องจาก “ช่องทางลัด” ที่พนักงานเป็นผู้สร้างเอง เพื่อหลบเลี่ยงมาตรการความปลอดภัยของ Zero-Trust ที่เข้มงวด
การ์ทเนอร์ได้แนะนำองค์กรธุรกิจให้หันมาปรับใช้แนวทาง Zero-Trust เพื่อลดความเสี่ยงในสินทรัพย์ที่มีความเปราะบางเป็นลำดับแรก เนื่องจากเป็นจุดสำคัญสุดที่จะเกิดความเสี่ยง
อย่างไรก็ตามแนวทาง Zero Trust ไม่ได้ช่วยแก้ปัญหาความต้องการด้านความปลอดภัยทั้งหมด ผู้บริหารและผู้นำด้านการบริหารความเสี่ยงยังต้องใช้โปรแกรม Continuous Threat Exposure Management (CTEM) เพื่อปรับปรุงรายการทรัพย์สิน พร้อมปรับระดับการเปิดช่องให้การคุกคามใดๆ ที่อยู่นอกขอบเขต