แฉกลวิธีหลบเลี่ยง Conditional Access: เมื่อผู้โจมตีทำตัวเป็น ‘ผู้ใช้งานปกติ’
ในยุคดิจิทัลที่ทุกองค์กรพึ่งพาคลาวด์ การรักษาความปลอดภัยของข้อมูลและระบบจึงเป็นเรื่องที่ต้องให้ความสำคัญสูงสุด Conditional Access หรือ CA คือเครื่องมือทรงพลังจาก Microsoft Entra ID (เดิมคือ Azure AD) ที่ช่วยกำหนดเงื่อนไขการเข้าถึงทรัพยากรต่างๆ
ลองนึกภาพ CA เป็นด่านตรวจคนเข้าเมืองสุดไฮเทค ที่จะตรวจสอบตัวตน สถานที่ อุปกรณ์ และความปลอดภัยของผู้ใช้งานก่อนจะอนุญาตให้ผ่านเข้าไปได้
แต่ถึงแม้จะแข็งแกร่งเพียงใด ผู้ไม่หวังดีก็พยายามหาวิธีหลบเลี่ยงด่านนี้อยู่เสมอ เพื่อเข้าถึงระบบโดยไม่ถูกตรวจจับ กลายเป็นภัยเงียบที่องค์กรต้องเฝ้าระวัง
เข้าใจ Conditional Access: ด่านสำคัญของความปลอดภัย
Conditional Access ทำหน้าที่เหมือนผู้พิทักษ์ประตู โดยกำหนดนโยบายที่ซับซ้อนเพื่อตรวจสอบคุณสมบัติของผู้ใช้งานแต่ละคนก่อนอนุญาตให้เข้าถึงแอปพลิเคชันหรือข้อมูลต่างๆ
เช่น หากพนักงานต้องการเข้าถึงระบบจากนอกสถานที่ นโยบายอาจบังคับให้ต้องมีการยืนยันตัวตนแบบ หลายปัจจัย (MFA) หรือต้องใช้อุปกรณ์ที่องค์กรจัดหาให้เท่านั้น
หากไม่ผ่านเงื่อนไข ผู้ใช้งานจะไม่สามารถเข้าถึงทรัพยากรได้ ถือเป็นหัวใจสำคัญในการปกป้องข้อมูลในปัจจุบันเลยทีเดียว
แกะรอยกลวิธีหลบเลี่ยง Conditional Access ของผู้โจมตี
แม้ CA จะมีประสิทธิภาพสูง แต่ผู้โจมตีก็มีวิธีการอันชาญฉลาดในการพยายาม “แกล้งทำเป็น” ผู้ใช้งานที่ถูกต้อง
การขโมยโทเค็นและจี้เซสชัน
นี่คือหนึ่งในกลวิธีที่ร้ายกาจที่สุด
เมื่อผู้ใช้งานเข้าสู่ระบบและผ่านการตรวจสอบของ CA สำเร็จ จะได้รับ โทเค็น (Token) เพื่อยืนยันตัวตนในระหว่างเซสชันนั้นๆ
ผู้โจมตีสามารถขโมยโทเค็นนี้ไปได้ โดยมักใช้วิธี ฟิชชิ่ง (Phishing) ที่หลอกให้ผู้ใช้งานป้อนข้อมูลในหน้าเว็บปลอม
เมื่อได้โทเค็นมา ผู้โจมตีสามารถใช้มันเพื่อเข้าถึงระบบได้เสมือนเป็นผู้ใช้งานตัวจริง โดยไม่ต้องผ่านการตรวจสอบ CA ซ้ำอีก เพราะระบบคิดว่าเป็นเซสชันที่ผ่านการยืนยันแล้ว
การหลอกลวงด้วย Device Code Flow
เทคนิคนี้มักใช้กับการเข้าถึงแอปพลิเคชันที่ต้องเชื่อมต่อกับอุปกรณ์ เช่น Smart TV หรือ IoT
กระบวนการปกติ ผู้ใช้งานจะได้รับ รหัสอุปกรณ์ (Device Code) และนำไปป้อนในหน้าเว็บที่กำหนดเพื่ออนุมัติการเชื่อมต่อ
ผู้โจมตีจะสร้างหน้าเว็บปลอมที่หลอกให้ผู้ใช้งานป้อนรหัสอุปกรณ์ที่ผู้โจมตีสร้างขึ้นมาเอง
เมื่อผู้ใช้งานหลงเชื่อและอนุมัติ ผู้โจมตีก็จะได้สิทธิ์ในการเข้าถึงระบบโดยตรง โดยที่ CA อาจไม่สามารถตรวจจับได้ เพราะดูเหมือนว่าเป็นการอนุมัติที่ถูกต้องจากอุปกรณ์ที่ใช้งานอยู่
การใช้ช่องโหว่จากการตั้งค่านโยบาย
บางครั้ง Conditional Access อาจมีช่องโหว่ที่เกิดจากการตั้งค่าที่ไม่รัดกุม
เช่น องค์กรอาจตั้งค่าให้ยกเว้นการตรวจสอบ CA สำหรับบาง ที่อยู่ IP (IP Address) หรือบางแอปพลิเคชัน โดยหวังว่าจะช่วยอำนวยความสะดวก
ผู้โจมตีจะพยายามหาช่องทางเหล่านี้ เมื่อพบก็จะใช้ ที่อยู่ IP ที่ถูกยกเว้น หรือโจมตีผ่านแอปพลิเคชันที่มีการป้องกันที่หย่อนยาน เพื่อเลี่ยงการตรวจสอบของ CA
การกำหนดนโยบายที่ซับซ้อนและมีข้อยกเว้นมากเกินไป อาจกลายเป็นจุดอ่อนที่ผู้โจมตีใช้ประโยชน์ได้
เสริมเกราะป้องกัน: แนวทางรับมือและการป้องกัน
การป้องกันการหลบเลี่ยง CA ต้องอาศัยความเข้าใจเชิงลึกและการลงมือปฏิบัติอย่างต่อเนื่อง
ควรมีการ ตรวจสอบบันทึกการเข้าสู่ระบบ (Sign-in Logs) และ บันทึกการตรวจสอบ (Audit Logs) อย่างสม่ำเสมอ เพื่อมองหาสัญญาณผิดปกติ เช่น การเข้าถึงจากตำแหน่งที่ไม่เคยปรากฏมาก่อน หรือการใช้งานโทเค็นที่ดูน่าสงสัย
ทบทวนนโยบาย Conditional Access เป็นประจำ เพื่อระบุและอุดช่องโหว่ รวมถึงลดข้อยกเว้นที่ไม่จำเป็น
การให้ความรู้แก่ผู้ใช้งานเกี่ยวกับการ โจมตีแบบฟิชชิ่ง และการตรวจสอบความถูกต้องของ URL ก่อนป้อนข้อมูลใดๆ ก็เป็นสิ่งสำคัญอย่างยิ่ง
การบังคับใช้ MFA ที่แข็งแกร่งกับทุกแอปพลิเคชัน และการใช้ประโยชน์จากคุณสมบัติ Identity Protection ของ Microsoft Entra ID เพื่อตรวจจับความเสี่ยงในการเข้าสู่ระบบ จะช่วยเพิ่มชั้นการป้องกันได้เป็นอย่างดี
ภัยคุกคามทางไซเบอร์มีการพัฒนาอย่างต่อเนื่อง องค์กรจึงจำเป็นต้องปรับตัวและพัฒนากลยุทธ์ความปลอดภัยอยู่เสมอ เพื่อให้มั่นใจว่าข้อมูลและระบบจะปลอดภัยจากการโจมตีของผู้ไม่หวังดี