ไทย
ค้นหา

คลังความรู้

Zero Trust

Zero Trust Architecture (ZTA) ได้เป็นหัวข้อที่ปัจจุบันคนพูดถึงกันเป็นอย่างมาก 

ดังนั้น "Zero Trust Architecture" หรือ ZTA เป็นวิธีการออกแบบโครงสร้างพื้นฐานความปลอดภัยทางไซเบอร์ของเครือข่ายขององค์กรตามรูปแบบความปลอดภัย ที่ว่าไม่มีความเชื่อถือที่มอบให้กับส่วนใดส่วนหนึ่งของเครือข่าย หากไม่มีการตรวจสอบ ไม่ว่าคำขอนั้นจะมาจากภายในหรือภายนอกก็ตาม การเปลี่ยนแปลงในกลยุทธ์การป้องกันนี้เป็นการตอบสนองต่อแนวโน้มการออกแบบเครือข่ายสมัยใหม่และข้อกำหนดด้านความปลอดภัยที่รวมถึงผู้ใช้ระยะไกล นำอุปกรณ์ของคุณเอง (BYOD) มาเอง และบริการและอุปกรณ์บนคลาวด์ เน้นย้ำถึงความจำเป็นในการประเมินความเสี่ยงของสถาปัตยกรรมความปลอดภัยขององค์กร

การปรับเปลี่ยนแนวคิดนี้ มาจากสาเหตุที่ภัยคุกคามมีเป็นจำนวนมากทั้งที่เป็นคนนอกหรือ Insider Threats ถ้าสนใจการให้คำปรึกษาสามารถติดต่อทาง PROUD เพื่อให้ข้อมูลเพิ่มเติมได้เลยนะครับ

Security Culture
การสร้าง Security Culture เป็นสิ่งสำคัญแต่ส่วนใหญ่จะถูกข้ามไป เนื่องจากองค์กรแม้จะลงทุนกับโซลูชันมากเพียงใด แต่การโจมตีทางไซเบอร์มากมายก็พิสูจน์จุดอ่อนที่สุด ก็คือ Human ware นั่นเอง 
 
 
 
ดังนั้นการให้ความรู้จึงเป็นสิ่งที่สำคัญอย่างยิ่งควบคู่กันไป โดยพยายามสร้างให้องค์กรมี Security Culture องค์กรหลาย ๆ แห่งเริ่มทำด้วยตนเอง แต่การใช้งานที่ปรึกษาจะเป็นการ Shortcut ได้ง่ายขึ้น
PROUD เป็นผู้เชี่ยวชาญการสร้าง Security Awareness ให้องค์กรต่างๆทั่วโลก จึงขออาสาที่จะแนะนำวิธีการสร้าง Security Culture เพื่อนำไปปรับใช้ให้องค์กรเพิ่มความพร้อมให้แก่พนักงาน 
สนใจบริการด้านนี้สามารถต่อต่อ PROUD
email: sales@proud-consulting.com
Mobile: 092-474-7877
ข้อมูลรั่วไหลจาก Cloud Application

การที่เรามีการนำข้อมูลขึ้น Cloud หรือใช้ Application บนนั้นอาจจะมีความเสี่ยงได้

จากที่เราทราบตอนนี้หลาย ๆ องค์กรเริ่ม Implement ระบบงานบน Cloud นั้นในรูปแบบ IaaS, SaaS หรือ PaaS ซึ่งมีการใช้งานทั้ง Private หรือ Public อย่างไรก็ตามองค์กรก็ต้องประเมินความเสี่ยงหรือมีการตรวจสอบระบบงานดังกล่าวอย่างสม่ำเสมอ

เมื่อเร็ว ๆ นี้ มีการประกาศจาก Application บน Cloud รายหนึ่งได้เปิดเผยเหตุการณ์ที่องค์กรตกเป็นเหยื่อของ Phishing จากเครื่องพนักงาน จนทำให้ Repository สามารถทำให้ผู้ประสงค์ดีเข้ามาขโมยข้อมูลได้

โดยเหตุการณ์นี้เป็นแค่ตัวอย่างที่องค์กรต้องระมัดระวังในการโดน Phishing ซึ่งก็เป็นเหตุซ้ำ ๆ ดังนั้นเราจึงควรฝึกซ้อม Cyber exercise อย่างเป็นประจำ ในรูปแบบแตกต่างกันไปตามความเสี่ยงที่เกิดขึ้นในองค์กรของท่าน เพื่อเตรียมรับมือภัยคุกคามที่มีอยู่ตลอดเวลา

มาตรการด้าน Email Security

การหลอกลวงหรือปลอมแปลงทาง Email ที่น่าเชื่อถือนั้นมีความเสียหายอย่างมากในหลาย ๆ ปีที่ผ่านมา

ซึ่งจริง ๆ แล้วเราสามารถมีทางเลือกสำหรับการป้องกันที่เรียกว่า DMARC และ BIMI

Domain-based Message Authentication, Reporting and Conformance หรือ DMARC เป็นโปรโตคอลที่เป็นเรื่องการพิสูจน์ตัวตน ซึ่งมีมานานมากแล้วตั้งแต่ปี 2015 โดยทำให้ผู้รับสามารถพิสูจน์ที่มาของ email ได้ตามข้อกำหนดของเจ้าของโดเมน 

Brand Indicators for Message Identification หรือ BIMI เป็นการยกระดับอีกขั้นจาก DMARC แต่ก่อน ด้วยการแสดงโลโก้แบรนด์ใน client email 

กระบวนการนี้ควรจะถูกใช้ในองค์กรเพื่อลดการตกเป็นเหยื่อในการโจมตี ดังนั้นองค์กรของท่านจึงควรเลือก implement ตามความเหมาะสม เพราะภัยร้ายมีอยู่ตลอดเวลารอบตัวเรา

เตรียมความพร้อมสำหรับมาตรฐาน ISO 27002 เวอร์ชันใหม่

มาตรฐาน ISO/IEC 27001:2013 เป็นมาตรฐานด้านบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

องค์กรที่ได้รับการรับรองมาตรฐาน ISO/IEC 27001:2013 ในประเทศไทยอาจจะมีมากกว่า 400 องค์กร เนื่องจากหลายหน่วยงานกำกับในประเทศไทยได้นำมาตรฐานฉบับนี้ไปเป็นส่วนหนึ่งของประกาศด้านความมั่นคงปลอดภัยสารสนเทศ และมีการกำหนดให้องค์กรภายใต้การกำกับดูแล

เมื่อไม่นานมานี้ ทราบมาว่ามาตรฐาน ISO/IEC 27001:2013 อยู่ในช่วงการปรับปรุงเนื้อหามาตรฐาน ซึ่งปกติแล้วมาตรฐานจะมีการปรับปรุงทุก ๆ 8 ปีขึ้นไปตามเทคโนโลยีที่เปลี่ยนแปลงไป จากการคาดการณ์ มาตรฐานฉบับนี้จะถูกปรับปรุงแล้วเสร็จและประกาศใช้อย่างเป็นทางการภายในปี 2022 หลังจากที่ทาง ISO ได้มีการประกาศ ISO/IEC 27002:2022 อย่างเป็นทางการเมื่อวันที่ 15 กุมภาพันธ์ 2022 ที่ผ่านมา ซึ่งเอกสารฉบับนี้เป็นเอกสารที่ถูกใช้งานคู่กับเอกสาร ISO/IEC 27001 ซึ่งเป็นเอกสาร “Requirements”  ส่วนเอกสาร ISO/IEC 27002 เป็นเอกสาร “Code of practice for information security controls” ซึ่งเป็นเอกสารที่อธิบายแนวทางการนำมาตรการควบคุมด้านความมั่นคงปลอดภัยไปปรับใช้ภายในองค์กร ควบคู่กับการบริหารจัดการความเสี่ยงด้านความมั่นคงปลดภัยสารสนเทศ โดยเนื้อหาขยายความจาก Annex A (Reference control objectives and controls)

ในรายละเอียดของมาตรการควบคุม เวอร์ชัน 2013 มีทั้งหมด 114 มาตรการควบคุม ส่วนเวอร์ชัน 2022 มีทั้งหมด 93 มาตรการควบคุม อย่างไรก็ตาม มาตรฐานเวอร์ชันใหม่ฉบับนี้ก็มีบางส่วนที่มีความซับซ้อน อาจทำให้การเลือกใช้มาตรการควบคุมเป็นไปได้ลำบากกว่าเดิม เดี๋ยวต้องลองดูต่อไปว่าเป็นอย่างไรในอนาคต

รายงานของ "แคสเปอร์สกี้" เกี่ยวกับ RANSOMWARE

แคสเปอร์สกี้ บริษัทชั้นนำในด้านรักษาความปลอดภัยทางไซเบอร์ระดับโลก ได้มีการทำรายงานสำรวจผู้ตอบแบบสอบถามทั่วอเมริกาเหนือ อเมริกาใต้ แอฟริกา รัสเซีย ยุโรป และเอเชียแปซิฟิก

โดยเป็นผู้บริหารระดับสูงที่เป็น Non-IT เจ้าของธุรกิจและหุ้นส่วนในบริษัทที่มีพนักงานประมาณ 1,000 คน ในส่วนผู้ตอบแบบสอบถามที่ระบุว่าตกเป็นเหยื่อแรนซัมแวร์และข้อมูลถูกเข้ารหัสโดยอาชญากรไซเบอร์ ในจำนวน 34% ของผูตอบแบบสอบถามได้เจอการโจมตีด้วยแรนซัมแวร์ไม่ใช่ครั้งเดียวแต่หลายครั้ง ผู้ตอบแบบสอบถามที่เหลือ บอกว่าเคยเจอเหตุการณ์ดังกล่าวเพียงครั้งเดียว

อีกข้อมูลที่น่าสนใจ คือเหยื่อแรนซัมแวร์เกือบทั้งหมด (82.1%) เลือกจ่ายค่าไถ่อย่างเร็วที่สุด และมีผู้ตอบแบบสอบถามจำนวนเกือบหนึ่งในสี่ (23.9%) พยายามกู้คืนข้อมูลผ่านการสำรองหรือถอดรหัสแต่ล้มเหลว และจ่ายค่าไถ่ภายในสองวัน ในขณะที่ผู้ตอบแบบสอบถามที่เหลือใช้เวลาหนึ่งสัปดาห์ก่อนที่จะจ่ายเงิน

แคสเปอร์สกี้ได้ร่วมก่อตั้งโครงการระดับโลกชื่อ “No More Ransom Initiative” ซึ่งได้แบ่งปันเครื่องมือถอดรหัสโดยครอบคลุมแรนซัมแวร์มากกว่า 150 ตระกูล ซึ่งเป็นบทความที่ PROUD เคยได้ Post ไปก่อนหน้านี้

ข้อมูลรั่วไหลบริษัทยักษ์ใหญ่

มีเหตุการณ์กลุ่มแฮ็กเกอร์ชื่อว่า RansomHouse ได้ออกประกาศว่ามีข้อมูลรั่วไหลจากผู้ผลิตชิปรายใหญ่

เมื่อกลางปีที่ผ่านมากลุ่มคนร้าย RansomHouse ได้ประกาศขายข้อมูลบริษัททผ่านเทเลแกรม โดยอ้างว่ามีข้อมูลขนาด 450 GB อย่างไรก็ตาม RansomHouse ยังปฏิเสธว่าไม่ได้มีการใช้แรนซัมแวร์กับบริษัทดังกล่าวและไม่ประสงค์ที่จะติดต่อเรียกค่าไถ่แต่อย่างใด โดยคนร้ายอ้างว่าข้อมูลครอบคลุมถึงงานวิจัยและการเงิน แต่ก็ไม่ยอมแชร์หลักฐานใดๆเพิ่ม

ไม่จ่ายก็ได้ไฟล์คืนได้

หลายปีที่ผ่านมา ทุกท่านน่าจะคุ้นเคยกับ RANSOMWARE เป็นอย่างดี

บางองค์กรอาจจะเคยเจอปัญหานี้ หรือบางท่านอาจจะพบเจอเองส่วนตัว ซึ่งส่วนใหญ่การแก้ปัญหาคือจ่ายค่าไถ่ แต่ก็ไม่ได้การันตีว่าจะได้ไฟล์คืน ดังนั้นจึงเป็นที่มาของ No More Ransom เป็นโครงการริเริ่มการต่อต้านแรนซัมแวร์ ของหน่วยงานบังคับใช้กฏหมายของสหภาพยุโรป เปิดตัวครั้งแรกในปี 2016 โดย Europol สำนักงานตำรวจแห่งชาติดัตช์ และบริษัทรักษาความปลอดภัยทางไซเบอร์ รวมไปถึงบริษัทไอทีจำนวนหนึ่งที่มีเครื่องมือถอดรหัสที่พร้อมใช้งาน

 
พันธกิจของ No More Ransom – “ให้การช่วยเหลือเพื่อปลดล็อกข้อมูลโดยไม่ต้องเสียค่าใช้จ่ายให้กับผู้โจมตี”
ซึ่งปัจจุบันโครงการนี้มีการทำงานร่วมกับพันธมิตรกว่า 150 รายจากภาคเอกชน ภาครัฐ สถาบันการศึกษา และอื่นๆ ที่เข้ามามีส่วนร่วมในโครงการนี้ และปัจจุบันยังคงจัดหาเครื่องมือถอดรหัสใหม่อย่างต่อเนื่อง เพื่อช่วยเหลือผู้ที่ตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์จากทั่วโลก โดยท่านสามารถเข้าสู่คีย์และแอพพลิเคชั่นที่ใช้ในการแก้ปัญหารันซัมแวร์ได้ ซึ่งอยู่ในเว็บ https://www.nomoreransom.org/en/index.html
รายงาน Data Breach 2022 จาก IBM

IBM มีการทำรายงานเหตุการณ์ Data Breach ในปัจจุบัน ซึ่งมีจำนวนมากกว่าเมื่อก่อนมาก

IBM Security ออกรายงาน 2022 Cost of a Data Breach Report โดยเป็นการเก็บรวบรวมข้อมูลในด้านการรั่วไหลของข้อมูลหรือ Data Breach จากองค์กรทั่วโลก พบว่าค่าใช้จ่ายที่เกิดจากความเสียหายนั้นสูงแตะระดับที่ไม่เคยมีมาก่อน โดยมีค่าเสียหายเฉลี่ยอยู่ที่ 4.35 ล้านเหรียญสหรัฐ หรือกว่า 159 ล้านบาท

การขโมย Credential ยังคงเป็นสาเหตุสูงสุดที่ทำให้เกิด Data Breach ซึ่งมีสัดส่วนอยู่ที่ 19% ถัดมาจะเป็น Phishing มีสัดส่วน 16% ซึ่งมีค่าความเสียหายเฉลี่ย 4.91 ล้านเหรียญ นอกจากนี้ยังพบว่าธุรกิจ Healthcare มีรายงานค่าความเสียหายเกิน 10 ล้านเหรียญอีกด้วย

ที่มา: https://siliconangle.com/2022/07/27/ibm-security-report-finds-data-breaches-costlier-ever/

MICRO Leasing: ISO/IEC 27001:2013 Certification

ขอขอบพระคุณทางบริษัท​ ไมโคร​ ลิสซิ่ง​ จำกัด​ (มหาชน)​ ที่ให้ความไว้วางใจบริษัท​ พราวด์​ คอนซัลติ้ง​ จำกัด

ในการให้คำปรึกษาเพื่อขอการรับรองมาตรฐาน​ ISO/IEC27001:2013 ไปเมื่อวันที่ 19 พฤษภาคม 2565 ที่ผ่านมา แสดงถึงวิสัยทัศน์องค์กรที่ให้ความสำคัญด้านความมั่นคงปลอดภัย​สารสนเทศซึ่งเป็นสิ่งสำคัญในการดำเนินธุรกิจและสร้างความน่าเชื่อถือแก่ผู้ใช้บริการ