เมื่อ “ผ่าน” ไม่ได้แปลว่า “ปลอดภัย”: เรื่องจริงของการเจาะระบบที่มองไม่เห็น

เมื่อ “ผ่าน” ไม่ได้แปลว่า “ปลอดภัย”: เรื่องจริงของการเจาะระบบที่มองไม่เห็น

หลายองค์กรมักจะรู้สึกอุ่นใจเมื่อผลการประเมินความปลอดภัยครั้งแรกออกมาว่า “ผ่าน” ไม่มีช่องโหว่ร้ายแรงที่ตรวจพบได้ แต่บ่อยครั้งนั่นเป็นเพียงยอดของภูเขาน้ำแข็ง เพราะภัยคุกคามในโลกไซเบอร์นั้นซับซ้อนกว่าที่เราคิด การประเมินแบบผิวเผินอาจทำให้เรามองข้ามความเสี่ยงที่แท้จริงไปได้ง่ายๆ

เมื่อ “ผ่าน” ไม่ได้แปลว่า “ปลอดภัย”

ลองนึกภาพองค์กรด้าน FinTech ที่ลงทุนกับการประเมินความปลอดภัยอย่างสม่ำเสมอ

แต่ถึงแม้ผลจะออกมาว่า ระบบปลอดภัย และ ไร้ช่องโหว่ ตามมาตรฐานของการทดสอบเจาะระบบ (penetration test) ทว่าความกังวลยังคงอยู่

ผู้บริหารเข้าใจดีว่าผู้โจมตีตัวจริงไม่ได้ทำงานภายใต้กรอบข้อจำกัดเดียวกับการทดสอบปกติ จึงตัดสินใจจ้างทีมผู้เชี่ยวชาญด้าน Red Team เพื่อจำลองสถานการณ์การโจมตีที่สมจริงยิ่งขึ้น

เป้าหมายคือการหาช่องทางเข้าถึงระบบให้ลึกที่สุด ราวกับเป็นผู้โจมตีที่มุ่งร้ายจริงๆ

เส้นทางของผู้โจมตี: จากจุดเริ่มต้นสู่ใจกลางระบบ

ทีม Red Team เริ่มต้นภารกิจด้วยการหาช่องทางเข้าสู่ระบบจากภายนอก

พวกเขาพบ ช่องโหว่ Remote Code Execution (RCE) ที่ร้ายแรงในแอปพลิเคชันหนึ่ง ซึ่งเปิดโอกาสให้สามารถรันโค้ดจากระยะไกลได้โดยไม่ต้องมีการพิสูจน์ตัวตนเลย นี่คือ จุดเริ่มต้นการเข้าถึง ที่สมบูรณ์แบบ

เมื่อเข้าสู่ระบบได้สำเร็จ ขั้นตอนต่อไปคือการสร้าง ความคงทน (persistence) พวกเขาใช้สคริปต์ PowerShell เพื่อให้มั่นใจว่าการเข้าถึงยังคงอยู่ได้แม้ระบบจะรีสตาร์ท

จากนั้น ก็เริ่มปฏิบัติการ เคลื่อนที่ภายใน (lateral movement) และ ยกระดับสิทธิ์ (privilege escalation) อย่างต่อเนื่อง

ทีม Red Team ค้นพบ ข้อมูลล็อกอินที่ถูกฝังไว้ (hardcoded credentials) ในไฟล์กำหนดค่าของแอปพลิเคชัน ทำให้ได้สิทธิ์บัญชีผู้ใช้ระดับสูงในโดเมน

ข้อมูลชุดนี้ถูกนำไปใช้เพื่อเข้าถึง Azure AD Connect ซึ่งเป็นแหล่งเก็บ ความลับของ Service Principal ที่สำคัญต่อการเข้าถึงทรัพยากรใน Azure

พวกเขาเจาะเข้าไปใน Azure Key Vaults และดึงข้อมูลความลับออกมาได้

ไม่เพียงเท่านั้น ยังมีการใช้เทคนิค SQL Server impersonation และ SQL Agent jobs เพื่อรันคำสั่งบน Domain Controller โดยตรง

ท้ายที่สุด ทีม Red Team สามารถแสดงให้เห็นถึงการเข้าถึง ระดับผู้ดูแลโดเมน (Domain Administrator) ได้อย่างเต็มรูปแบบ และยังสามารถ ขโมยข้อมูลสำคัญ (data exfiltration) ออกจากฐานข้อมูลภายในได้สำเร็จ

บทเรียนที่ได้: การประเมินความปลอดภัยเชิงรุก

เรื่องราวนี้ตอกย้ำให้เห็นว่าการประเมินความปลอดภัยเบื้องต้นอาจไม่เพียงพอ

การลงทุนในการประเมินที่ลึกซึ้งยิ่งขึ้น เช่น การฝึก Red Team คือสิ่งจำเป็นอย่างยิ่ง

เพราะมันช่วยเปิดเผยช่องโหว่ที่ซ่อนอยู่ และแสดงให้เห็นถึงความเสี่ยงที่แท้จริงจากการโจมตีที่ซับซ้อน

สิ่งสำคัญคือการเข้าใจว่าผู้โจมตีคิดและปฏิบัติการอย่างไร

องค์กรควรให้ความสำคัญกับการยกระดับความปลอดภัยอย่างต่อเนื่อง เริ่มตั้งแต่การบังคับใช้ MFA (Multi-Factor Authentication) สำหรับทุกบัญชี การ อัปเดตแพตช์ ระบบอย่างสม่ำเสมอ การ แบ่งส่วนเครือข่าย (network segmentation) ให้รัดกุม

รวมถึงการติดตั้งโซลูชัน EDR/XDR เพื่อตรวจจับและตอบสนองต่อภัยคุกคาม และการ ฝึกอบรมความตระหนักด้านความปลอดภัย ให้กับพนักงานเป็นประจำ

การประเมินความปลอดภัยเชิงรุกและการทดสอบอย่างละเอียดเท่านั้นที่จะช่วยให้องค์กรเข้าใจสถานะความปลอดภัยที่แท้จริง และเตรียมพร้อมรับมือกับการโจมตีในโลกดิจิทัลได้อย่างมีประสิทธิภาพ