แม้จะมีความก้าวหน้าหลายประการในช่วงไม่กี่ปีที่ผ่านมา เราเชื่อว่ายังคงมีความท้าทายหลายประการเกี่ยวกับการจัดการพื้นผิวการโจมตีและการจัดการการเปิดเผยข้อมูล: "องค์กรต่างๆ ต้องจัดการกับพื้นผิวการโจมตีที่เพิ่มขึ้น เนื่องจากสภาพแวดล้อมทางเทคโนโลยีมีความซับซ้อนและกระจัดกระจายมากขึ้น ทั้งในองค์กรและบนคลาวด์ แอปพลิเคชัน SaaS และจุดเชื่อมต่อห่วงโซ่อุปทานกำลังขยายพื้นผิวการโจมตี คอนเทนเนอร์และระบบไซเบอร์-กายภาพ เช่น อินเทอร์เน็ตของสรรพสิ่ง (Internet of Things) ก็กำลังนำเสนอพื้นผิวการโจมตีใหม่ๆ เช่นกัน"
ตามรายงาน Gartner® Innovation Insight for Attack Surface Management ปี 2024 กล่าวว่า "โดยทั่วไปแล้ว โซลูชันพื้นผิวการโจมตีมุ่งเน้นไปที่การระบุข้อบกพร่องในสุขอนามัยด้านความปลอดภัยของสินทรัพย์ที่มองเห็นได้จากภายนอกเป็นหลัก โซลูชันเหล่านี้กำลังขยายขอบเขตอย่างรวดเร็วไปไกลกว่าการประเมินแบบดั้งเดิมของเทคโนโลยีที่หันหน้าออกสู่ภายนอกที่ลูกค้าเป็นเจ้าของ โดยมุ่งเน้นไปที่ความเสี่ยงต่อแบรนด์ ความเสี่ยงต่อชื่อเสียง และความเสี่ยงจากระบบ SaaS และบุคคลที่สาม"
เทคโนโลยีและความสามารถของ ASA (Attack Surface Assessment) กำลังได้รับแรงผลักดันในตลาดเกิดใหม่ เช่น CAASM (Cyber Asset Attack Surface Management) และตลาดที่กำลังรวมตัวกัน เช่น VA (Vulnerability Assessment) เทคโนโลยีเหล่านี้ช่วยให้องค์กรสามารถประเมินพื้นผิวการโจมตีได้มากขึ้นอย่างมีประสิทธิภาพ และจัดลำดับความสำคัญของความเสี่ยงที่ส่งผลกระทบต่อสินทรัพย์ดิจิทัลทั้งที่ควบคุมได้และควบคุมไม่ได้
คำแนะนำสำคัญจากรายงานระบุว่า "ผู้นำด้านความปลอดภัยและการจัดการความเสี่ยงที่รับผิดชอบในการจัดการพื้นผิวการโจมตีขององค์กรในฐานะส่วนหนึ่งของฟังก์ชันการปฏิบัติการด้านความปลอดภัย ควรลงทุนในโซลูชันพื้นผิวการโจมตีที่สอดคล้องกับวัตถุประสงค์สำหรับกระบวนการและโปรแกรมการจัดการการเปิดเผยข้อมูลที่กว้างขึ้น เช่น การจัดการการเปิดเผยภัยคุกคามอย่างต่อเนื่อง (Continuous Threat Exposure Management - CTEM)"
การจัดการพื้นผิวการโจมตี (Attack Surface Management) เทียบกับการประเมินพื้นผิวการโจมตี (Attack Surface Assessment)?
มุมมองของ Gartner คือ "แม้จะเป็นที่เข้าใจกันโดยทั่วไป แต่ 'การจัดการพื้นผิวการโจมตี' (Attack Surface Management - ASM) เป็นคำที่ไม่ถูกต้องในการอธิบายเทคโนโลยีและบริการที่ค้นพบ จัดทำรายการ และบริบทของสินทรัพย์ขององค์กรอย่างต่อเนื่อง สินทรัพย์สามารถเป็นได้ทั้งทางกายภาพและดิจิทัล ทั้งภายในและภายนอก และเป็นเจ้าของหรือเป็นส่วนหนึ่งของการสมัครสมาชิก การค้นพบ การจัดทำรายการ และการให้บริบทเป็นกระบวนการประเมินมากกว่าการจัดการ ดังนั้น 'การประเมินพื้นผิวการโจมตี' (Attack Surface Assessment - ASA) จึงเป็นคำที่ถูกต้องมากกว่า" แม้จะมีการชี้แจงนี้ แต่เพื่อความสอดคล้อง เราจะยังคงใช้คำย่อ ASM ที่เป็นที่รู้จักกันอย่างกว้างขวางตลอดบทความนี้
องค์ประกอบหลักของการจัดการพื้นผิวการโจมตี
โซลูชันพื้นผิวการโจมตียังคงเป็นหนึ่งในเสาหลักของภูมิทัศน์การจัดการการเปิดเผยข้อมูลที่กว้างขึ้น เครื่องมือ ASA เหล่านี้แบ่งออกเป็นสามพื้นที่เทคโนโลยีหลัก ได้แก่ การจัดการพื้นผิวการโจมตีของสินทรัพย์ไซเบอร์ (Cyber Asset Attack Surface Management - CAASM) บริการป้องกันความเสี่ยงดิจิทัล (Digital Risk Protection Services - DRPS) และการจัดการพื้นผิวการโจมตีภายนอก (External Attack Surface Management - EASM)
เทคโนโลยี ASA ส่วนใหญ่ให้ความสามารถสองหมวดหมู่
การมองเห็น: ขยายขอบเขตของสินทรัพย์ที่ครอบคลุมและสร้างความตระหนักถึงความเสี่ยงทางไซเบอร์ที่การมองเห็นของผู้โจมตีที่เพิ่มขึ้นอาจส่งผลต่อสินทรัพย์เหล่านั้น
ความน่าสนใจ: ประเมินความน่าสนใจของสินทรัพย์เฉพาะและความเป็นไปได้ที่อาจถูกเล็งเป้าหมายโดยบุคคลที่สาม
อย่างไรก็ตาม ยังคงมีความสับสนเกี่ยวกับสามสิ่งนี้อยู่บ้าง เนื่องจากการซ้อนทับกันในกรณีการใช้งานบางอย่างที่รองรับ:
EASM มีจุดเน้นที่เทคนิคและการปฏิบัติการมากกว่า มันสนับสนุนผู้เชี่ยวชาญด้านการปฏิบัติการความปลอดภัยที่เกี่ยวข้องกับกิจกรรมต่างๆ เช่น VA การทดสอบการเจาะระบบ และการล่าภัยคุกคาม ผู้ให้บริการ EASM บางรายกำลังรวมตัวกับการจำลองการละเมิดและการโจมตี (Breach and Attack Simulation - BAS) เทคโนโลยี VA และผู้ให้บริการเทคโนโลยีความปลอดภัยอื่นๆ ผ่านการเข้าซื้อกิจการ
DRPS ในทางตรงกันข้ามกับ EASM สนับสนุนกิจกรรมที่เน้นธุรกิจมากกว่า เช่น การประเมินความเสี่ยงดิจิทัลขององค์กร การปฏิบัติตามกฎระเบียบ และการปกป้องแบรนด์และผู้บริหาร ความแตกต่างที่สำคัญอีกประการระหว่าง EASM และ DRPS คือ DRPS มักจะให้บริการเสริมเพื่อดำเนินฟังก์ชันต่างๆ เช่น การลบข้อมูล
CAASM ทำงานแตกต่างออกไป ฟังก์ชันการค้นพบของมันทำงานหลักๆ โดยการรวมกับเครื่องมือ IT ที่มีอยู่ผ่าน API แทนที่จะเป็นการสแกนหรือตรวจสอบระบบโดยไม่ระบุตัวตน เนื่องจาก CAASM มีการเข้าถึงสภาพแวดล้อมภายในมากกว่า จึงให้ข้อมูลที่อุดมสมบูรณ์และน่าเชื่อถือมากกว่า อย่างไรก็ตาม ความสมบูรณ์ของรายการสินทรัพย์ที่ CAASM สร้างขึ้นนั้นขึ้นอยู่กับคุณภาพของแหล่งข้อมูลที่มีอยู่ขององค์กร
ประโยชน์หลักและการใช้งานสำหรับโซลูชันการประเมินพื้นผิวการโจมตี
จุดมุ่งหมายรองของ CAASM คือการให้มุมมองแบบองค์รวมของรายการสินทรัพย์ขององค์กร (CMDB) กระทบยอดข้อมูลที่ซ้ำซ้อนหรือไม่สอดคล้องกัน และเปิดใช้งานขั้นตอนอัตโนมัติบางอย่างเพื่ออัปเดตข้อมูล นอกจากนี้ Gartner ยังเน้นย้ำถึงประโยชน์อื่นๆ ในรายงานเช่น:
การปรับปรุงการมองเห็นสินทรัพย์ช่วยให้องค์กรหลีกเลี่ยงจุดบอดและเทคโนโลยีที่ไม่ได้รับการจัดการ (เช่น Shadow IT) ทำให้สถานะความปลอดภัยแข็งแกร่งขึ้นและสนับสนุนการจัดการความเสี่ยงที่ครอบคลุมมากขึ้น
ได้รับข้อมูลเชิงลึกที่นำไปปฏิบัติได้และตัวชี้วัดที่มีความหมายจากเทคโนโลยี ASA และสามารถติดตามได้ตลอดเวลา สิ่งเหล่านี้ช่วยแสดงให้เห็นถึงคุณค่าของการทำให้ CTEM เป็นส่วนหนึ่งของโปรแกรมความปลอดภัยทางไซเบอร์
การรายงานการปฏิบัติตามการตรวจสอบที่เร็วขึ้นได้รับการเปิดใช้งานโดยรายงานการควบคุมสินทรัพย์และความปลอดภัยที่แม่นยำ ทันสมัย และสมบูรณ์มากขึ้น
จัดลำดับความสำคัญของความเสี่ยงการเปิดเผยได้ดีขึ้นในกระบวนการจัดการช่องโหว่และการตรวจสอบการเปิดเผย
ASA ลดการต่อต้านการเก็บรวบรวมข้อมูลและช่วยให้เข้าใจองค์กร Shadow IT แอปพลิเคชันที่ติดตั้งของบุคคลที่สาม และแอปพลิเคชันสายธุรกิจที่ IT ขาดการกำกับดูแลและการควบคุมได้กว้างขวางขึ้น จากประสบการณ์ของเรา การมองเห็นแบบ 360 องศานี้เป็นประโยชน์อย่างมากสำหรับทีมรักษาความปลอดภัยที่สามารถป้องกันได้เฉพาะสิ่งที่พวกเขารู้