Posted inNote

“Zero Trust” ที่คุณรู้จัก อาจไม่ใช่ Zero Trust จริงๆ

Posted inNote

“Zero Trust” ที่คุณรู้จัก อาจไม่ใช่ Zero Trust จริงๆ

ในโลกไซเบอร์ปัจจุบัน คำว่า Zero Trust ได้กลายเป็นคำยอดนิยมที่องค์กรต่างๆ พยายามนำมาใช้เพื่อเสริมความแข็งแกร่งด้านความปลอดภัย

ฟังดูดีใช่ไหม? โมเดลที่ไม่มีการเชื่อใจอะไรเลย แม้แต่ภายในเครือข่ายของตัวเอง

แต่ในความเป็นจริง สิ่งที่องค์กรส่วนใหญ่กำลังทำอยู่นั้น อาจไม่ใช่ Zero Trust อย่างแท้จริง

หลายที่กำลังเดินบนเส้นทางที่เรียกว่า “Selective Hardening” หรือการเสริมความแข็งแกร่งแบบเลือกจุดมากกว่า

Zero Trust คืออะไรกันแน่?

ลองจินตนาการถึงป้อมปราการที่ไม่มีประตูหน้าต่าง แต่ทุกการเข้าถึงต้องผ่านการยืนยันตัวตนอย่างเข้มงวดทุกครั้ง

นี่คือแก่นของ Zero Trust ที่เน้นหลักการ “ไม่เชื่อใจอะไรเลย ตรวจสอบเสมอ” (Never Trust, Always Verify)

โมเดลนี้ไม่ได้มองว่าอะไรที่อยู่ภายในเครือข่ายจะปลอดภัยโดยอัตโนมัติ

แต่จะยืนยันตัวตนของผู้ใช้ ตรวจสอบความสมบูรณ์ของอุปกรณ์ และประเมินความเสี่ยงของแอปพลิเคชัน

ทุกการเข้าถึงทรัพยากร ไม่ว่าจะเป็นไฟล์ ระบบ หรือแอปพลิเคชัน จะต้องผ่านกระบวนการยืนยันและให้สิทธิ์ที่เข้มงวดที่สุดเท่าที่จะเป็นไปได้

รวมถึงการใช้ การแบ่งส่วนย่อยเครือข่าย (Micro-segmentation) และหลักการ สิทธิ์การเข้าถึงแบบจำกัด (Least Privilege) เพื่อลดความเสียหายหากเกิดการโจมตี

แล้ว “Selective Hardening” คืออะไร?

ในทางปฏิบัติ องค์กรส่วนใหญ่มักจะมองหาสิ่งที่สำคัญที่สุด

เช่น ระบบ Active Directory, ฐานข้อมูลลูกค้า, ระบบบัญชี หรือแอปพลิเคชันหลักของธุรกิจ

จากนั้นก็ทุ่มเททรัพยากรเพื่อเสริมความปลอดภัยให้กับ สินทรัพย์ที่สำคัญ เหล่านี้เป็นพิเศษ

การทำเช่นนี้เรียกว่า Selective Hardening

เป็นการเลือกที่จะ “เสริมเกราะ” ให้กับจุดที่อ่อนแอและสำคัญที่สุดก่อน

ซึ่งเป็นกลยุทธ์ที่สมเหตุสมผลและสามารถลดความเสี่ยงได้จริง

แต่กระบวนการนี้จะต่างจากการนำแนวคิด Zero Trust ไปใช้กับทุกๆ ส่วนประกอบของโครงสร้างพื้นฐานด้านไอทีอย่างครอบคลุม

ทำไมความเข้าใจผิดนี้ถึงเกิดขึ้น?

การนำ Zero Trust มาใช้จริงนั้นไม่ใช่เรื่องง่ายและใช้ทรัพยากรมหาศาล

ทั้งในแง่ของเทคโนโลยี บุคลากร และงบประมาณ

หลายองค์กรอาจยังไม่มีความพร้อมหรือทรัพยากรเพียงพอที่จะปรับเปลี่ยนระบบทั้งหมด

นอกจากนี้ ผู้จำหน่ายโซลูชันด้านความปลอดภัยจำนวนมากก็มักจะใช้คำว่า Zero Trust ในการทำการตลาด

แม้ว่าผลิตภัณฑ์ของพวกเขาจะเป็นเพียงองค์ประกอบหนึ่งของ Zero Trust เช่น MFA หรือโซลูชันการจัดการข้อมูลประจำตัวก็ตาม

ทำให้เกิดความสับสนว่าแค่มีผลิตภัณฑ์เหล่านั้นก็เท่ากับทำ Zero Trust แล้ว

ความจริงคือ Selective Hardening มักจะเป็นก้าวแรกที่สำคัญและเป็นประโยชน์อย่างมาก

แต่ไม่ควรเข้าใจผิดว่านั่นคือการบรรลุเป้าหมาย Zero Trust ที่สมบูรณ์แบบ

ควรทำอย่างไร? เข้าใจสถานการณ์ที่แท้จริง

สิ่งสำคัญที่สุดคือการที่องค์กรต้องเข้าใจอย่างถ่องแท้ว่ากลยุทธ์ด้านความปลอดภัยของตนนั้นอยู่ในระดับใด

การทำ Selective Hardening เป็นแนวทางที่ชาญฉลาดและจำเป็นอย่างยิ่งในการปกป้องข้อมูลและระบบที่เปราะบางที่สุด

ควรใช้ทรัพยากรที่มีอยู่ไปกับสิ่งที่สร้างผลกระทบต่อความปลอดภัยสูงสุด

แต่ก็ต้องรับรู้ว่านี่เป็นส่วนหนึ่งของกระบวนการ

ไม่ใช่จุดสิ้นสุดของเส้นทางสู่ Zero Trust ที่สมบูรณ์

องค์กรควรพิจารณาสร้างแผนงานระยะยาว

ค่อยๆ ขยายขอบเขตของการรักษาความปลอดภัยแบบ Zero Trust ไปยังส่วนอื่นๆ ของเครือข่ายอย่างต่อเนื่อง

เพื่อลดความเสี่ยงโดยรวมและสร้างภูมิคุ้มกันที่แข็งแกร่งยิ่งขึ้นให้กับระบบในอนาคต

Tags: