ด้วยโซลูชั่น ZTNA และ EDR ปกป้องการเชื่อมต่อและโต้ตอบภัยคุกคามให้เครือข่าย OT และ WFH ที่มีการเชื่อมต่อจากภายนอกให้ปลอดภัยสูงสุด
สถาปัตยกรรมการรักษาความปลอดภัยเครือข่ายแบบดั้งเดิมเรียกว่าโมเดลประเภท “ปราสาทและคูน้ำ” (Castle-and-moat) ซึ่งคิดว่าเครือข่ายเป็นปราสาทและผู้ใช้ที่ได้รับอนุญาตจะข้ามคูน้ำเพื่อเข้าไปในปราสาท องค์กรมักใช้ไฟร์วอลล์เป็นกำแพงป้องกันภัยคุกคามจากภายนอก แต่ยังไม่สามารถจัดการกับภัยคุกคามที่มีอยู่แล้วภายในเครือข่ายได้อย่างครอบคลุม
จอห์น คินเดอร์เวคแห่ง Forrester Research ได้กล่าวถึงคำว่า “Zero Trust” หรือโมเดลความเชื่อถือเป็นศูนย์ครั้งแรกในบทความที่ตีพิมพ์ในปีค.ศ. 2010 โดยเห็นว่า โมเดลการรักษาความปลอดภัยเครือข่ายแบบเดิมไม่สามารถให้การป้องกันที่เพียงพอได้เนื่องจากผู้ดูแลระบบต้องไว้วางใจบุคคลและอุปกรณ์ในจุดต่างๆ ภายในเครือข่าย หากความเชื่อถือนี้ในจุดใดถูกละเมิด เครือข่ายทั้งหมดจะตกอยู่ในความเสี่ยง และเขาได้แนะนำให้ติดตั้งเกตเวย์สำหรับการแบ่งส่วน (Segmentation Gateway) ไว้ในเครือข่าย ซึ่งจะทำให้การป้องกันแบบผสมผสานต่างๆ และมีเอ็นจิ้นทำหน้าที่ส่งแพ็กเก็ตไปป้องกันจุดที่จำเป็นต่างๆ ในเครือข่ายเป็นการแก้ปัญหานี้
เครือข่ายประเภทเทคโนโลยีเชิงปฏิบัติงาน (Operational Technology: OT) อันเป็นโครงสร้างพื้นฐานหลักที่สำคัญๆ ต่อความปลอดภัยและคุณภาพชีวิตที่ดีของประชาชน อาทิ โรงไฟฟ้า ระบบสาธารณูปโภค ด้านสาธารณสุข การคมนาคมขนส่งและอื่นๆ นั้น มีระบบที่มีความละเอียดอ่อนและอาจเป็นอันตรายได้ เช่น ระบบจัดการเครื่องจักรจึงเป็นระบบปิด แต่ด้วยความไว้วางใจแบบเดิมๆ เมื่อผู้ใช้งานเข้ามาในระบบได้แล้วจะสามารถข้ามระหว่างระบบและทรัพยากรภายในได้อย่างอิสระ สามารถย้ายเวิร์กโฟลว์และแอปพลิเคชันไปมาระหว่างโซนแม้จะอยู่ระหว่างระบบนิเวศที่แตกต่างกันได้ เช่น ระหว่างศูนย์ข้อมูลและระบบคลาวด์ ซึ่งด้วยความไว้วางใจเช่นนี้ทำให้อาชญากรไซเบอร์และมัลแวร์ขั้นสูงเมื่อเข้ามาได้แล้วสามารถรอดพ้นเรดาร์ด้านความปลอดภัยไปได้ ดังตัวอย่างภัยที่สร้างความตระหนกและความเสียหายให้อุตสาหกรรมต่างๆ มากมายหลายครั้ง รวมถึงล่าสุดเมื่อเดือนกุมภาพันธ์ที่ผ่านมา ที่พบคำขู่จะวางสารพิษในแหล่งน้ำในรัฐฟลอริด้าเป็นต้น
นอกจากนี้ เครือข่ายที่มีการเชื่อมโยงมากจากภายนอกที่มีความเสี่ยงสูงรวมถึงวิธีการทำงานจากที่บ้าน ซึ่งพนักงานจำเป็นต้องเข้าถึงทรัพยากรที่สำคัญจากภายนอกเพื่อทำงานของตนและส่วนใหญ่ใช้เชื่อมต่อแบบวีพีเอ็น พบว่าอาชญากรไซเบอร์กลับหาช่องทางใช้ประโยชน์จากช่องโหว่ในระบบเครือข่ายภายในบ้านและใช้วีพีเอ็นย้อนกลับเข้าไปคุกคามเครือข่ายได้สำเร็จอย่างมากมาย โดยพบการโจมตีแรนซัมแวร์เพิ่มขึ้นถึง 7 เท่าในช่วงครึ่งหลังของปีค.ศ. 2020
โมเดล Zero Trust จึงกลายเป็นกลยุทธ์สำคัญที่จะช่วยพลิกให้เครือข่ายมีความปลอดภัยที่แข็งแกร่งมากขึ้น โดยจะตั้งค่าเริ่มต้นสำหรับทุกคนและทุกอย่างด้วยการปฏิเสธ ดังนั้น เมื่อผู้ใช้หรืออุปกรณ์ร้องขอเข้าถึงทรัพยากรจากภายนอก พวกเขาจะต้องได้รับการตรวจสอบก่อนที่จะให้สิทธิ์การเข้าถึง
การตรวจสอบดังกล่าวขึ้นอยู่กับข้อมูลประจำตัวของผู้ใช้ เช่น บทบาทหรือสิทธิ์ที่ได้รับมอบหมาย และข้อมูลของอุปกรณ์ เช่น ประเภทของอุปกรณ์ เป็นทรัพย์สินส่วนบุคคลหรือขององค์กร รวมถึงบริบทอื่นๆ เช่น เวลาและวันที่ สถานที่ที่เข้าใช้งาน แม้กระทั่งสถานะด้านความปลอดภัยของอุปกรณ์ เช่น การติดตั้งแพตช์ล่าสุดหรือไม่ และแม้ว่าอุปกรณ์และผู้ใช้จะได้รับการตรวจสอบแล้ว แต่จะได้รับความไว้วางใจหรือสิทธิ์การใช้งานที่เหมาะสมขั้นต่ำเท่านั้น เช่น หากผู้ใช้ขอเข้าถึงแอปพลิเคชันของฝ่ายการเงินและผ่านการตรวจสอบแล้ว พวกเขาจะได้รับสิทธิ์เข้าถึงเฉพาะแอปพลิเคชันนั้นสำหรับการทำงานตามนโยบายเท่านั้น และไม่สามารถใช้งานอื่นใดได้อีก
ดังนั้น ศักยภาพในการมองเห็นและควบคุมจึงเป็นหัวใจในการสร้างกลยุทธ์ Zero Trust มากเพื่อให้รู้และควบคุมว่าใครและอะไรอยู่ในเครือข่าย และต้องสามารถจัดการสิ่งที่อยู่บนเครือข่าย อาทิ อุปกรณ์ที่เชื่อมต่อกับเครือข่ายไม่ว่าจะเป็นแล็ปท็อป แท็บเล็ต อุปกรณ์อัจฉริยะ รวมถึงอุปกรณ์ IoT ที่อาจจะเป็นเครื่องพิมพ์ ระบบทำความร้อนและระบายอากาศ ระบบควบคุมสินค้าคงคลัง หรือ Industrial IoT ซึ่งส่วนใหญ่จะเป็นประเภท “Headless” ไม่มีชื่อผู้ใช้และรหัสผ่านเพื่อระบุตัวตน ซึ่งองค์กรจึงต้องการโซลูชันการควบคุมการเข้าถึงเครือข่ายที่เรียกว่า Network Access Control (NAC) และใช้หลักการความไว้วางใจเป็นศูนย์ ให้การเข้าถึงอุปกรณ์น้อยที่สุด ให้สิทธิ์การเข้าถึงเครือข่ายที่เพียงพอเพื่อดำเนินการตามบทบาทเท่านั้น
เมื่อการทำงานในปัจจุบันต้องอาศัยแอปพลิเคชันต่างๆ มากขึ้นเรื่อยๆ จึงส่งให้โซลูชั่น Zero-Trust Network Access (ZTNA) เป็นที่นิยมมากขึ้น เนื่องจาก ZTNA จะทำที่เป็นแพลทฟอร์มรองรับให้การเข้าถึงแอปพลิเคชันได้ปลอดภัย ไม่ว่าผู้ใช้หรือแอปพลิเคชันจะอยู่ที่ใด พนักงานอาจอยู่ในเครือข่ายขององค์กรหรือทำงานจากที่บ้านหรือที่อื่น และแอปพลิเคชันอาจอาศัยอยู่ในศูนย์ข้อมูลขององค์กรหรือในระบบคลาวด์ส่วนตัวหรือบนอินเทอร์เน็ตสาธารณะก็ตาม
ZTNA จะช่วยให้การเชื่อมต่อพนักงานระยะไกลและการเชื่อมโยงวีพีเอ็นปลอดภัยมากขึ้น ซึ่งจะช่วยกำจัดภัยที่ใช้ประโยชน์จากช่องโหว่ในเครือข่ายภายในบ้านของพนักงาน แฝงตัวกลับเข้ามาคุกคามในเครือข่ายที่เคยเกิดขึ้นดังกล่าว
ในการเริ่มต้นสร้างโมเดลความปลอดภัยแบบ Zero Trust นี้ ฟอร์ติเน็ตแนะนำให้องค์กรเร่งระบุความเสี่ยงขององค์กรเพื่อให้ทราบถึงสิ่งที่ต้องการการป้องกันตามตัวย่อ DAAS อันได้แก่ Data สำรวจว่าข้อมูลใดที่ต้องปกป้อง Applications แอปพลิเคชันใดมีข้อมูลที่ละเอียดอ่อน Assets สินทรัพย์ใดที่ละเอียดอ่อนที่สุด และ Services บริการใดที่ผู้ประสงค์ร้ายอาจแอบใช้ประโยชน์ในการเข้ามาขัดขวางการทำงานปกติของไอทีได้
- นอกจากนี้ องค์กรควรพิจารณาสร้างเกตเวย์สำหรับแต่ละส่วนในเครือข่าย (Segmentation Gateway) ที่ระดับ Microperimeter เพื่อตรวจสอบการก้าวเข้ามาของบุคคลและข้อมูล ใช้ไฟร์วอลล์ระดับ Layer 7 และวิธีการ Kipling ตรวจสอบผู้ใช้และข้อมูลอย่างละเอียดก่อนที่จะให้สิทธิ์การเข้าถึง
- ใช้การตรวจยืนยันตัวตนแบบหลายปัจจัย (Multi-factor Authentication: MFA) ซึ่งจะเพิ่มจำนวนข้อมูลเฉพาะผู้ใช้ที่จำเป็นต้องแสดงในการเข้าถึง 2-3-4 ด้านหรือมากกว่านั้น รวมถึงแสดงการใช้อุปกรณ์ OTP พร้อมกับรหัสผ่าน จึงช่วยให้เครือข่าย Zero Trust แข็งแกร่งมากขึ้น
- การยืนยันปลายทาง (Endpoint Verification) Zero Trust กำหนดให้ทั้งผู้ใช้และอุปกรณ์ปลายทางต้องแสดงข้อมูลประจำตัวต่อเครือข่าย ซึ่งที่ปลายทางแต่ละจุดมีชั้นของการตรวจสอบสิทธิ์ของตัวเอง ระบบจะส่งการยืนยันไปยังปลายทาง ผู้ใช้จำเป็นต้องตอบสนองผ่านอุปกรณ์ ทั้งนี้ระบบจะใช้ข้อมูลที่ส่งจากปลายทางนั้นในการตรวจสอบความถูกต้องและจะทำให้อุปกรณ์มีสถานะเป็น “น่าเชื่อถือ” ต่อไป
- ใช้วิธีการบริหารจัดการปลายทางแบบรวม (Unified Endpoint Management: UEM) ช่วยผู้ดูแลระบบรวมศูนย์วิธีจัดการโครงสร้างพื้นฐานไอทีได้เป็นหนึ่งเดียว สามารถตรวจสอบอุปกรณ์ปลายทางประเภท Multiple endpoints ได้ ทั้งนี้ องค์กรควรใช้โซลูชั่นการตรวจจับภัยคุกคามที่อุปกรณ์ปลาย Castle-and-moat ทาง (Endpoint Detection and Response: EDR) โดยจะสแกนอุปกรณ์ปลายทาง ระบุภัยคุกคามชั้นสูง เช่น Fileless malware และแรนซมแวร์ได้ และดำเนินการตามขั้นตอนในการตอบสนองภัยคุกคามเพื่อปกป้องปลายทางรวมถึงส่วนที่เหลือของเครือข่ายอีกด้วย
- การแบ่งองค์ประกอบออกเป็นสัดส่วน (Microsegmentation) ในการสร้างโซนภายในเครือข่าย เพื่อแยกและรักษาความปลอดภัยองค์ประกอบของเครือข่ายที่อาจมีข้อมูลที่ละเอียดอ่อนหรือสามารถให้การเข้าถึงแก่ผู้ประสงค์ร้ายได้ ทั้งนี้ เมื่อพื้นที่ปลอดภัยได้รับการแบ่งเป็นสัดส่วนแล้ว ไฟร์วอลล์หรือฟิลเตอร์ที่สร้างกำแพงกั้นรอบๆ โซนเหล่านั้นจะช่วยกักภัยไม่ให้ออกจากโซน ซึ่งเป็นการปกป้องเครือข่ายที่เหลือให้ปลอดภัยต่อไป
- จัดการสิทธิ์เข้าถึงทรัพยากรให้น้อยที่สุด (Least-Privilege Access) เป็นการอนุญาตให้ผู้ใช้และอุปกรณ์เข้าถึงเฉพาะทรัพยากรที่จำเป็นต่อการปฏิบัติหน้าที่เท่านั้น การเข้าถึงสิทธิ์น้อยที่สุดนี้จะช่วยลดจำนวนอุปกรณ์ที่จะเข้าถึงทรัพยากรต่างๆ ลง ช่วยประหยัดเวลาและทรัพยากรได้
ฟอร์ติเน็ตมีโซลูชั่นช่วยองค์กรสร้างเครือข่าย Zero Trust โดยเฉพาะอย่างยิ่งหากองค์กรใช้ไฟร์วอลล์ FortiGate และประเภทเวอร์ชวล VM FortiGate หรือบริการแซสซี (Secure Access Service Edge: SASE) อยู่แล้ว ซอฟต์แวร์ FortiOS และ FortiClient สามารถที่จะช่วยองค์กรให้มีการเข้าถึงเครือข่ายที่ปลอดภัย (ZTNA) ในทันที นอกจากนี้ ซอฟต์แวร์ FortiNAC จะช่วยควบคุมและบริหารการเข้าใช้งานเครือข่ายอย่างอัจฉริยะรวมถึงจากอุปกรณ์ประเภท IoT อีกด้วย และเมื่อองค์กรเลือกใช้โซลูชั่น FortiAuthenticator และ FortiToken องค์กรจะมีการบริหารจัดการฐานข้อมูลสำหรับการยืนยันตัวตนที่มีความน่าเชื่อถือสูง เหมาะสำหรับการใช้งาน OT และ WFH เป็นอย่างยิ่ง