หลังจากที่เราได้เรียนรู้เรื่องการ “กั้นห้อง” หรือการแบ่งส่วนเครือข่ายย่อย (Micro-segmentation) ในตอนที่แล้ว เพื่อจำกัดพื้นที่ความเสียหายเหมือนประตูกั้นน้ำในเรือสำราญ วันนี้ AdminTee จะพาไปดูวิธีการมอบ “กุญแจ” สำหรับเปิดประตูเหล่านั้นครับ ว่าเราควรให้กุญแจใคร และให้ในลักษณะใด เพื่อให้มั่นใจว่าข้อมูลสำคัญของหน่วยงานจะไม่ถูกเปิดเผยเกินความจำเป็น
1. เกริ่นนำ
ในระบบความปลอดภัยแบบเดิม เรามักจะมอบสิทธิ์การเข้าถึงข้อมูลให้พนักงานแบบกว้าง ๆ เช่น “พนักงานไอทีเข้าได้ทุกระบบ” หรือ “หัวหน้ากองเห็นข้อมูลได้ทุกอย่าง” ซึ่งความใจดีนี้เองที่กลายเป็นช่องโหว่ร้ายแรงครับ เพราะหากบัญชีของผู้ที่มีสิทธิ์สูงถูกแฮกเกอร์ขโมยไป แฮกเกอร์ก็จะได้ “กุญแจผี” ที่เปิดได้ทุกประตูทันที แนวคิด Zero Trust จึงเสนอหลักการที่ว่า “การให้สิทธิ์เท่าที่จำเป็น” เพื่อลดความเสี่ยงที่อาจเกิดขึ้นครับ
2. เนื้อหาหลัก
จุดประสงค์ เพื่อให้บุคลากรเข้าใจหลักการมอบสิทธิ์เข้าถึงข้อมูลและระบบสารสนเทศตามความรับผิดชอบจริง (Need-to-Know Basis) และลดโอกาสที่บัญชีผู้ใช้งานจะถูกนำไปใช้สร้างความเสียหายเป็นวงกว้างหากเกิดการรั่วไหล
ความต้องการ หน่วยงานต้องการเปลี่ยนจากการให้สิทธิ์แบบถาวร (Permanent Access) มาเป็นการให้สิทธิ์ที่สอดคล้องกับภารกิจ ณ ช่วงเวลาหนึ่ง เพื่อควบคุมและตรวจสอบการเข้าใช้งานข้อมูลสำคัญได้อย่างแม่นยำ
3. รายละเอียด
- รู้เท่าที่จำเป็น (Just-Enough-Access: JEA): เป็นการมอบสิทธิ์ให้ทำได้ “เฉพาะเรื่อง” เช่น เจ้าหน้าที่ซ่อมบำรุงอาจมีสิทธิ์เข้าไปดูสถานะเครื่องเซิร์ฟเวอร์ได้ แต่ไม่จำเป็นต้องมีสิทธิ์เข้าไปเปิดดูไฟล์เงินเดือนพนักงาน การจำกัดหน้าที่ให้แคบที่สุดจะช่วยป้องกันความลับรั่วไหลได้ดีที่สุดครับ
- ให้สิทธิ์เฉพาะเวลา (Just-in-Time: JIT): สิทธิ์ที่สูงหรือสิทธิ์พิเศษไม่ควรอยู่กับตัวเราตลอด 24 ชั่วโมงครับ แต่ควรเป็นการขอใช้สิทธิ์ “เมื่อถึงเวลาต้องทำ” เช่น เมื่อต้องมีการปรับปรุงระบบ เจ้าหน้าที่จึงจะขอเปิดสิทธิ์แอดมินเป็นเวลา 2 ชั่วโมง เมื่อทำงานเสร็จสิทธิ์นั้นจะถูกตัดออกทันที เพื่อป้องกันแฮกเกอร์นำบัญชีไปใช้ต่อในภายหลัง
- การควบคุมความเสียหาย: เมื่อบัญชีหนึ่งมีสิทธิ์จำกัดเพียงห้องเดียว หากบัญชีนั้นถูกขโมยไป แฮกเกอร์ก็จะติดอยู่แค่ในห้องนั้น ไม่สามารถข้ามไปทำลายระบบอื่น ๆ ของหน่วยงานได้
4. ตัวอย่างการดำเนินการ หน่วยงานสามารถเริ่มปรับใช้ได้ดังนี้:
- การจัดการบัญชีแอดมิน: ยกเลิกการใช้บัญชีแอดมินกลางร่วมกัน แต่ให้ใช้บัญชีส่วนตัวขอรับสิทธิ์ชั่วคราวเมื่อมีภารกิจ
- ระบบไฟล์แชร์ริง: กำหนดให้โฟลเดอร์โครงการเข้าถึงได้เฉพาะรายชื่อผู้ร่วมโครงการเท่านั้น เมื่อจบโครงการให้ยกเลิกสิทธิ์เข้าถึงทั้งหมด
- การทำงานนอกเวลา: กำหนดให้สิทธิ์การเข้าถึงระบบสำคัญทำงานได้เฉพาะในช่วงเวลาปฏิบัติราชการ หากต้องทำนอกเวลาต้องมีการขออนุมัติเป็นรายกรณี
5. สรุปเนื้อหา
หลักการ Least Privilege คือการยึดถือคติ “รู้เท่าที่จำเป็น ทำเท่าที่ได้รับอนุญาต” การให้สิทธิ์แบบ JIT และ JEA ไม่ใช่การไม่ไว้วางใจกัน แต่เป็นการสร้างระบบความปลอดภัยเพื่อปกป้องทั้งข้อมูลของหน่วยงานและตัวผู้ปฏิบัติงานเอง ไม่ให้กลายเป็นต้นเหตุของความเสียหายขนาดใหญ่โดยไม่ตั้งใจครับ
6. ติดตามในตอนต่อไป
เมื่อเรากั้นห้องและจำกัดกุญแจแล้ว สิ่งสุดท้ายที่เราต้องทำคือ “การเฝ้ามอง” ครับ ในตอนหน้าพบกับ “ตอนที่ 6: การตรวจสอบและเฝ้าระวังแบบ Real-time (Visibility & Analytics)” เพื่อดูว่าใครแอบทำอะไรผิดปกติในระบบเราบ้าง ติดตามกันนะครับ!
7. เอกสารอ้างอิง
- CISA: Principle of Least Privilege (PoLP) Overview
8. ลิงก์เว็บไซต์ที่เกี่ยวข้อง
- สำนักงานปลัดบัญชีทหารเรือ (สปช.ทร.) – ส่วนบริหารทรัพยากรสารสนเทศ
- มาตรฐานความมั่นคงปลอดภัยระบบสารสนเทศ (ISO/IEC 27001)
- สถาบันส่งเสริมการวิเคราะห์และบริหารข้อมูลขนาดใหญ่ (BDi)
9. คำถามเพื่อการมีส่วนร่วม
- ท่านคิดว่าพนักงานในกอง/ฝ่ายของท่าน มีใครบ้างที่มีสิทธิ์เข้าถึงข้อมูลที่ “เกินความจำเป็น” หรือไม่?
- หากต้องทำเรื่องขออนุมัติสิทธิ์เข้าใช้งานระบบทุกครั้งที่มีภารกิจพิเศษ ท่านมองว่าเป็นเรื่องยุ่งยากหรือเป็นการสร้างความมั่นใจ?
- ท่านเคยพบกรณีที่เพื่อนร่วมงานที่ลาออกไปแล้ว แต่ยังสามารถเข้าถึงระบบหรือไฟล์กลุ่มของหน่วยงานได้อยู่หรือไม่?
Talk is cheap. Show me the code.