ผู้ตรวจเงินแผ่นดินอิสราเอลเผยความล้มเหลวด้านความปลอดภัยการทำงานระยะไกลของหน่วยงานรัฐ
รายงานจากผู้ตรวจเงินแผ่นดินอิสราเอลเปิดเผยความล้มเหลวด้านความปลอดภัย VPN สำหรับการทำงานระยะไกลอย่างร้ายแรงในหลายกระทรวงและหน่วยงานฉุกเฉิน ผลการตรวจสอบเผยให้เห็นภาพที่น่ากังวล: ระบบการยืนยันตัวตนที่กระจัดกระจาย ข้อมูลสำคัญที่อยู่ในไดรฟ์แชร์ที่มีความปลอดภัยต่ำ และการตั้งค่าการเข้าถึงระยะไกลที่ทำให้โครงสร้างพื้นฐานสำคัญถูกเปิดเผยต่อผู้โจมตี โดยเฉพาะกลุ่มที่เกี่ยวข้องกับรัฐอิหร่าน แม้ว่ารายงานนี้จะเฉพาะเจาะจงกับอิสราเอล แต่ช่องโหว่ที่ระบุนั้นไม่ใช่เรื่องเฉพาะของประเทศหรือองค์กรใดเพียงแห่งเดียว
รายงานของผู้ตรวจเงินแผ่นดินอิสราเอลพบอะไรบ้าง
การตรวจสอบของผู้ตรวจเงินแผ่นดินระบุถึงความล้มเหลวสามประเภทหลัก ประการแรก ระบบการยืนยันตัวตนในหน่วยงานต่าง ๆ กระจัดกระจาย หมายความว่ากระทรวงต่าง ๆ ใช้วิธีการตรวจสอบตัวตนผู้ใช้ที่ไม่สอดคล้องหรือเข้ากันไม่ได้ การปะติดปะต่อแบบนี้ก่อให้เกิดช่องว่างที่ผู้โจมตีสามารถใช้ประโยชน์เพื่อเคลื่อนที่ในแนวราบข้ามระบบได้เมื่อสามารถเจาะระบบเข้ามาได้ในขั้นต้น
ประการที่สอง การตั้งค่าการทำงานระยะไกลถูกพบว่าเปราะบางอย่างอันตราย ในขณะที่รัฐบาลทั่วโลกขยายการเข้าถึงระยะไกลอย่างรวดเร็วในช่วงและหลังการระบาดใหญ่ หลายหน่วยงานดำเนินการโดยไม่ใช้มาตรฐานความปลอดภัยที่สอดคล้องกัน รายงานของอิสราเอลสะท้อนสิ่งที่นักวิจัยด้านความปลอดภัยได้บันทึกไว้อย่างกว้างขวาง: แรงกดดันในการเปิดใช้งานประสิทธิภาพการทำงานระยะไกลมักแซงหน้าการนำมาตรการควบคุมความปลอดภัยที่เหมาะสมมาใช้
ประการที่สาม ข้อมูลสำคัญถูกพบว่าจัดเก็บอยู่บนไดรฟ์แชร์โดยไม่มีการควบคุมการเข้าถึงที่เพียงพอ เมื่อไฟล์ที่มีข้อมูลของรัฐหรือข้อมูลปฏิบัติการถูกเข้าถึงได้โดยกลุ่มผู้ใช้กว้าง ๆ โดยมีการกำกับดูแลน้อยที่สุด บัญชีที่ถูกบุกรุกเพียงบัญชีเดียวก็อาจทำให้ข้อมูลปริมาณมหาศาลถูกเปิดเผยได้
เหตุใดการยืนยันตัวตนที่กระจัดกระจายและไดรฟ์แชร์จึงเป็นภัยคุกคามสากล
ความล้มเหลวที่ระบุในรายงานนี้ไม่ใช่ปัญหาเฉพาะของอิสราเอล แต่สะท้อนรูปแบบที่พบในองค์กรต่าง ๆ ในทุกภาคส่วน การยืนยันตัวตนที่กระจัดกระจายพบได้บ่อยในสถาบันขนาดใหญ่ที่เติบโตผ่านการควบรวมกิจการ วงจรงบประมาณ หรือการขยายตัวอย่างรวดเร็ว แต่ละแผนกนำเครื่องมือมาใช้อย่างอิสระ และไม่เคยมีการกำหนดชั้นการจัดการตัวตนที่เป็นเอกภาพทั่วทั้งองค์กร
เรื่องนี้มีความสำคัญเพราะการยืนยันตัวตนคือด่านแรกของการป้องกัน เมื่อพนักงานใช้รหัสผ่านที่อ่อนแอหรือใช้ซ้ำในระบบต่าง ๆ หรือเมื่อการยืนยันตัวตนแบบหลายปัจจัยถูกนำมาใช้อย่างไม่สอดคล้องกัน ความแข็งแกร่งของเครือข่ายทั้งหมดก็จะเท่ากับจุดอ่อนที่สุดของข้อมูลประจำตัวนั้น การรั่วไหลของข้อมูลประจำตัวในวงกว้างนั้นน่าตกใจ การรั่วไหล RockYou2024 ซึ่งเปิดเผยรหัสผ่านที่ถูกบุกรุกกว่า 19 พันล้านรายการ แสดงให้เห็นถึงขนาดของคลังข้อมูลประจำตัวที่ใช้โจมตีได้มหาศาลที่ผู้ไม่หวังดีมีอยู่ องค์กรใดก็ตามที่พึ่งพารหัสผ่านเพียงอย่างเดียวโดยปราศจากการยืนยันตัวตนแบบหลายชั้นกำลังพนันกับข้อมูลที่สำคัญที่สุดของตน
ไดรฟ์แชร์ยิ่งเพิ่มความเสี่ยงนี้อย่างมาก แม้จะมีการรักษาความปลอดภัยภายนอกที่ดี ผู้ใช้ที่มีสิทธิ์เข้าถึงโฟลเดอร์แชร์ที่มีไฟล์สำคัญอย่างถูกต้องก็จะกลายเป็นเวกเตอร์การโจมตีโดยไม่รู้ตัวทันทีที่ข้อมูลประจำตัวของพวกเขาถูกบุกรุก
การตั้งค่าการทำงานระยะไกลที่เปราะบางทำให้ข้อมูลสำคัญตกอยู่ในความเสี่ยงได้อย่างไร
การทำงานระยะไกลนั้นเปลี่ยนแปลงโมเดลภัยคุกคามขององค์กรใด ๆ อย่างสิ้นเชิง ในสภาพแวดล้อมของสำนักงาน โดยปกติทราฟฟิกจะไหลผ่านเครือข่ายที่จัดการจากส่วนกลางซึ่งทีมรักษาความปลอดภัยสามารถมองเห็นได้ พนักงานที่ทำงานระยะไกลเชื่อมต่อจากเครือข่ายภายในบ้าน อุปกรณ์ส่วนตัว และบางครั้ง Wi-Fi สาธารณะ ซึ่งทั้งหมดนี้ทำให้เกิดตัวแปรที่ควบคุมได้ยากในวงกว้าง
เมื่อการเข้าถึงระยะไกลถูกตั้งค่าโดยไม่มีอุโมงค์ VPN ที่ปลอดภัย ทราฟฟิกระหว่างพนักงานและระบบภายในอาจถูกดักฟังหรือสังเกตการณ์ได้ ที่สำคัญยิ่งกว่านั้น หากการเข้าถึง VPN ไม่ได้ถูกใช้ร่วมกับการยืนยันตัวตนที่แข็งแกร่ง ข้อมูลประจำตัวที่ถูกขโมยก็เพียงพอให้ผู้โจมตีแสดงตนเป็นผู้ใช้ที่ถูกต้องภายในเครือข่าย
รายงานของอิสราเอลเน้นย้ำว่าแม้แต่หน่วยงานรัฐ ซึ่งในทางทฤษฎีมีทรัพยากรด้านความปลอดภัยไซเบอร์และข้อบังคับด้านกฎระเบียบ ก็ยังประสบปัญหาในการนำการรักษาความปลอดภัยการเข้าถึงระยะไกลที่สอดคล้องกันมาใช้ สำหรับองค์กรเอกชนที่มีทรัพยากรน้อยกว่า ความท้าทายก็ยิ่งใหญ่กว่า ช่องว่างระหว่างการมี VPN ที่ติดตั้งใช้งานแล้วกับการกำหนดค่าและบังคับใช้อย่างถูกต้องกับผู้ใช้ระยะไกลทุกคนคือจุดที่หลายองค์กรกำลังตกอยู่ในความเสี่ยง
สถาปัตยกรรม Zero-Trust และ VPN: บทเรียนที่ใช้ได้จริงสำหรับผู้ทำงานระยะไกล
การตรวจสอบของอิสราเอลชี้ให้เห็นโดยนัยถึงชุดหลักการที่ผู้เชี่ยวชาญด้านความปลอดภัยได้สนับสนุนมานานหลายปีภายใต้แนวคิดสถาปัตยกรรมแบบ Zero-Trust แนวคิดหลักนั้นเรียบง่าย: อย่าไว้ใจผู้ใช้หรืออุปกรณ์ใด ๆ โดยอัตโนมัติ แม้แต่สิ่งที่อยู่ภายในเครือข่าย ทุกคำขอเข้าถึงควรได้รับการตรวจสอบ ทุกการเชื่อมต่อควรถูกบันทึก และการเข้าถึงควรถูกจำกัดเฉพาะสิ่งที่จำเป็นสำหรับบทบาทนั้น ๆ เท่านั้น
สำหรับผู้ทำงานระยะไกลและองค์กรที่สนับสนุนพวกเขา แนวคิดนี้แปรเป็นแนวทางปฏิบัติที่เป็นรูปธรรมไม่กี่ข้อ VPN ยังคงเป็นชั้นพื้นฐานสำหรับการเข้ารหัสทราฟฟิกระหว่างอุปกรณ์ปลายทางระยะไกลกับระบบภายใน แต่ไม่ควรมองว่าเป็นโซลูชันที่สมบูรณ์ในตัวเอง จำเป็นต้องใช้ร่วมกับการยืนยันตัวตนแบบหลายปัจจัย การตรวจสอบสุขภาพอุปกรณ์ และการควบคุมการเข้าถึงแบบละเอียดที่ป้องกันไม่ให้บัญชีที่ถูกบุกรุกเพียงบัญชีเดียวเข้าถึงทุกสิ่ง
ควรมีการตรวจสอบไดรฟ์แชร์อย่างสม่ำเสมอ โดยจำกัดการเข้าถึงตามความจำเป็นต้องรู้ ไฟล์สำคัญไม่ควรถูกเข้าถึงโดยค่าเริ่มต้นของทุกคนในองค์กรเพียงเพราะพวกเขาทำงานที่นั่น
สิ่งนี้มีความหมายต่อคุณอย่างไร
ผลการตรวจสอบของผู้ตรวจเงินแผ่นดินอิสราเอลทำหน้าที่เป็นรายการตรวจสอบที่ใช้ได้จริงสำหรับองค์กรหรือผู้ทำงานระยะไกลที่กำลังประเมินระดับความปลอดภัยของตนเอง หากการตั้งค่าการเข้าถึงระยะไกลของคุณพึ่งพารหัสผ่านโดยไม่มีปัจจัยยืนยันตัวตนที่สอง นั่นคือช่องโหว่ที่ทราบกันดี หากทีมของคุณจัดเก็บเอกสารสำคัญไว้ในโฟลเดอร์แชร์ที่เข้าถึงได้กว้างขวาง การเปิดเผยข้อมูลนั้นก็มีอยู่จริง
เริ่มต้นด้วยการตรวจสอบแนวทางปฏิบัติการยืนยันตัวตนของคุณเอง ข้อมูลประจำตัวที่อ่อนแอยังคงเป็นหนึ่งในจุดเริ่มต้นที่พบบ่อยที่สุดสำหรับผู้โจมตี และการทิ้งข้อมูลประจำตัวอย่าง RockYou2024 หมายความว่ารหัสผ่านที่ใช้ซ้ำจากการรั่วไหลครั้งอื่น ๆ นั้นอยู่ในมือของผู้ไม่หวังดีแล้ว เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัยทุกที่ที่มีให้บริการ ใช้ VPN ที่มีชื่อเสียงสำหรับการเชื่อมต่อระยะไกลไปยังระบบงานทั้งหมด และผลักดันให้มีการทบทวนว่าใครมีสิทธิ์เข้าถึงไฟล์แชร์สำคัญในองค์กรของคุณบ้าง
ความล้มเหลวในระดับรัฐเป็นเครื่องเตือนใจว่าไม่มีสถาบันใดใหญ่โตหรือเป็นทางการเกินกว่าที่จะพลาดจากช่องว่างด้านความปลอดภัยพื้นฐาน ข่าวดีก็คือแนวทางการลดความเสี่ยงนั้นเป็นที่เข้าใจกันดี ส่วนการลงมือปฏิบัติตามนั้นคือส่วนที่ต้องใช้ความตั้งใจอย่างแน่วแน่
