การจัดการแพตช์ที่เหมาะสมเป็นองค์ประกอบที่สำคัญของความปลอดภัยในโลกไซเบอร์ หากองค์กรไม่ดำเนินการแก้ไขข้อบกพร่องของซอฟต์แวร์อย่างทันท่วงที พวกเขาก็เสี่ยงที่จะเผชิญกับภัยคุกคามต่างๆ แต่การตะเกียกตะกายเพื่อแก้ไขข้อบกพร่องที่ระบุโดยโปรแกรม Common Vulnerabilities and Exposures (CVE) ไม่ใช่วิธีแก้ปัญหาที่สมบูรณ์ องค์กรจำเป็นต้องดำเนินการมากกว่านี้
โปรแกรม CVE และ CVSS เป็นองค์ประกอบสำคัญของระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ในองค์กรส่วนใหญ่ แต่เห็นได้ชัดว่ามีปัญหาเหล่านี้ โปรแกรม CVE นำเสนอข้อมูลอ้างอิงสำหรับช่องโหว่และความเสี่ยงที่เป็นที่รู้จักในที่สาธารณะ CVSS ให้วิธีการจับลักษณะสำคัญของช่องโหว่และสร้างคะแนนตัวเลขที่สะท้อนถึงความรุนแรง ท่ามกลางความท้าทายมากมายของโปรแกรมเหล่านี้ CVSS ไม่ใช่ตัวบ่งชี้ที่แท้จริงของความเสี่ยงที่ CVE นำเสนอต่อองค์กร นั่นเป็นเพราะมันพยายามที่จะคำนึงถึงสิ่งแวดล้อม แต่ประสบความสำเร็จในวงจำกัดเท่านั้น
จำนวนความเสี่ยงต่อองค์กรขึ้นอยู่กับเงื่อนไขทางธุรกิจทั้งหมด ไม่ใช่คะแนน CVSS นอกจากนี้ แบบจำลองทางคณิตศาสตร์ที่สนับสนุน CVEs ยังมีข้อบกพร่อง ส่วนหนึ่งเป็นเพราะคะแนน CVE ที่ต่ำไม่ได้แสดงในข้อมูล CVE ที่ต่ำอาจเป็นช่องโหว่ที่ส่งผลกระทบต่อบริษัทของคุณ (ดูรายละเอียดเพิ่มเติมเกี่ยวกับปัญหาทางคณิตศาสตร์ได้ที่นี่ที่ Theory of Predictable Software ซึ่งทำวิเคราะห์เชิงลึกของคณิตศาสตร์เบื้องหลัง CVE ให้คะแนนเพื่อ”เข้าใจวิธีการทำงาน สิ่งที่ทำได้ดี และสิ่งที่ไม่ดี”)
นอกจากนี้ยังมี CVE มากกว่า 50 รายการที่เผยแพร่ทุกวัน มันไม่มีเหตุผลที่จะคาดหวังให้ทีมรักษาความปลอดภัยดำเนินการทั้งหมด และแม้ว่าพวกเขาจะทำอย่างนั้น แต่ก็ไม่ใช่ทุก CVE ที่มีข้อมูลทั้งหมดที่ทีมต้องการเพื่อวางแพตช์อย่างมีประสิทธิภาพ ทีมสามารถจัดลำดับความสำคัญของ CVE ที่สำคัญได้ แต่ก็ยังไม่ชัดเจนเสมอไปว่า CVE ใดที่มีความเสี่ยงต่อสภาพแวดล้อมนั้นๆ มากที่สุด พิจารณาปลั๊กอินของบุคคลที่สาม เป็นต้น หากองค์กรใช้แพลตฟอร์มเช่น WordPress การจัดการแพตช์ที่มีประสิทธิภาพและทันท่วงทีควรทำให้แอปพลิเคชันหลักมีความปลอดภัย แต่ด้วย WordPress เช่นเดียวกับแพลตฟอร์มอื่น ๆ ผู้ใช้ส่วนใหญ่พึ่งพาปลั๊กอินและส่วนเสริมเพื่อปรับปรุงแอปพลิเคชันที่พวกเขาสร้างขึ้น ในหลายกรณี ปลั๊กอินเหล่านี้ไม่รวมอยู่ในกระบวนการรายงานที่เป็นทางการ
ดำเนินการตามแนวทางเชิงรุกเพื่อความปลอดภัยที่ครอบคลุม
องค์กรจำเป็นต้องทำงานเชิงรุกมากขึ้น การจัดการแพตช์เชิงโต้ตอบจะมีความสำคัญในกลยุทธ์การรักษาความปลอดภัยที่ครอบคลุมเสมอ แต่ระยะเวลาระหว่างการระบุช่องโหว่และเวลาที่ผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากข้อบกพร่องได้กลับลดลง สิ่งนี้ทำให้การโจมตีพื้นผิวยากเกินไปที่จะจัดการเพียงแค่พยายามติดตามแพตช์เพื่ออุดช่องโหว่ตามที่ตรวจพบ ในความเป็นจริง องค์กรส่วนใหญ่ไม่สามารถจัดการแพตช์ได้ทัน
A แบบสำรวจล่าสุดแสดงให้เห็นว่า 76 เปอร์เซ็นต์ของช่องโหว่ที่กำลังถูกโจมตีเป็นที่รู้จักตั้งแต่ก่อนปี 2020 บริษัทต่างๆ เห็นได้ชัดว่า ท่วมท้นและไม่สามารถแก้ไขช่องโหว่ที่ส่งผลกระทบต่อธุรกิจของตนได้อย่างมีประสิทธิภาพ บริษัทต่างๆ จำเป็นต้องพิจารณาการจัดการแพตช์ในบริบทของโซลูชันการรักษาความปลอดภัยทางไซเบอร์แบบองค์รวม
สิ่งที่องค์กรต่างๆ ต้องการเพื่อรับมือกับความท้าทายด้านความปลอดภัยที่น่ากลัวในปัจจุบันคือการทดสอบการเจาะระบบอย่างต่อเนื่องซึ่งให้การจัดการพื้นผิวการโจมตีภายนอกที่ครอบคลุม (EASM)
โปรแกรม EASM ที่แข็งแกร่งและครอบคลุมตอบคำถามพื้นฐาน 4 ข้อ:
องค์กรมีสินทรัพย์ใดที่เชื่อมต่อกับอินเทอร์เน็ตได้บ้าง ช่องโหว่หรือความผิดปกติใดมี และสิ่งเหล่านี้ส่งผลกระทบต่อสิ่งแวดล้อมที่คุณปกป้องอย่างไร ทีมรักษาความปลอดภัยควรมุ่งความสนใจไปที่ใด ทีมจะแก้ไขช่องโหว่หรือความเสี่ยงที่มีอยู่ได้อย่างไร
ในช่วงหลายปีที่ผ่านมา องค์กรต่าง ๆ ได้เปลี่ยนไปใช้ระบบคลาวด์อย่างรวดเร็ว โดยมีกลุ่มธุรกิจต่าง ๆ เปิดตัวบริการระบบคลาวด์ที่หลากหลายซึ่งไม่ได้รับการจัดการจากส่วนกลางเสมอไป สิ่งนี้สร้างความท้าทายด้านความปลอดภัยเนื่องจากทีมไอทีและความปลอดภัยอาจไม่ได้ตระหนักถึงสินทรัพย์บนคลาวด์ที่อาจเปิดเผยข้อมูลผ่านทางอินเทอร์เน็ต ด้วยเหตุนี้จึงเป็นสิ่งสำคัญสำหรับโปรแกรม EASM ในการค้นหาสินทรัพย์ทั้งหมดก่อนที่ผู้ไม่ประสงค์ดีจะมีโอกาสเรียกใช้เครื่องมืออัตโนมัติเพื่อค้นหาและตรวจสอบพื้นผิวการโจมตีขององค์กร
การค้นพบสินทรัพย์สามารถทำได้โดยการสแกนหาโดเมนย่อยใหม่อย่างต่อเนื่อง เพื่อค้นหาบริการใหม่ๆ เมื่อพร้อมให้บริการ เมื่อค้นพบเนื้อหาดิจิทัลแล้ว ให้สแกนเพื่อค้นหาช่องโหว่และความผิดปกติ กุญแจสำคัญคือการใช้เครื่องมือที่ทำหน้าที่ลาดตระเวนแบบเดียวกับที่อาชญากรไซเบอร์จะใช้โจมตีองค์กร
ขั้นตอนต่อไปคือการจัดลำดับความสำคัญของช่องโหว่และความผิดปกติจากมากไปน้อย ด้วยวิธีนี้ ทีมรักษาความปลอดภัยสามารถมุ่งความสนใจไปที่สิ่งที่ก่อให้เกิดความเสี่ยงมากที่สุดได้ทันที ส่วนหนึ่งของการจัดลำดับความสำคัญ ทีมสามารถจัดกลุ่มเนื้อหาตามเกณฑ์ที่ตั้งไว้ล่วงหน้าจำนวนหนึ่ง ขั้นตอนสุดท้ายคือการแก้ไขช่องโหว่ที่ต้องแก้ไข เนื่องจากหลายองค์กรขาดทรัพยากรหรือความเชี่ยวชาญในการแก้ไข สิ่งสำคัญคือต้องใช้กระบวนการและเครื่องมือที่จะแสดงคำแนะนำที่นำไปปฏิบัติได้เกี่ยวกับวิธีการแก้ไขช่องโหว่ ตัวอย่างเช่น ตรวจสอบให้แน่ใจว่าได้จัดเตรียมข้อมูลให้กับทีม เช่น URL คำขอ เพย์โหลดที่ใช้ในการระบุช่องโหว่ ข้อมูลโค้ด และภาพหน้าจอเมื่อพร้อมใช้งาน
วิธีการค้นหาและแก้ไขช่องโหว่ในปัจจุบัน ขึ้นอยู่กับ CVE และ CVSS มีข้อดี แต่ท้ายที่สุดแล้ว สิ่งเหล่านี้คือโซลูชันที่มีข้อบกพร่องซึ่งไม่สามารถให้ระดับความปลอดภัยที่องค์กรต้องการในปัจจุบันได้ พวกเขาอาจทำให้บริษัทต่าง ๆ ต้องเผชิญกับความเสี่ยงในระดับที่สูงกว่าที่พวกเขาอาจตระหนักได้ บริษัทต่างๆ จำเป็นต้องมีกลยุทธ์และโซลูชันที่มอบความเชี่ยวชาญและระบบอัตโนมัติที่จำเป็น เพื่อช่วยให้ทีมรักษาความปลอดภัยจัดการกับช่องโหว่ด้วยวิธีที่มีประสิทธิภาพมากที่สุดเท่าที่จะเป็นไปได้ เมื่อทำเช่นนี้ องค์กรสามารถดำเนินการในเชิงรุกได้มากขึ้นด้วยการรักษาความปลอดภัย
เครดิตรูปภาพ: Rawpixel /depositphotos.com