นตอนที่ผ่านมา AdminTee ได้พาทุกท่านไปทำความเข้าใจถึง 3 เสาหลักของแนวคิด Zero Trust กันมาแล้ว ซึ่งหัวใจสำคัญข้อหนึ่งคือการ “ตรวจสอบอย่างชัดเจน” วันนี้เราจะมาเจาะลึกถึงด่านปราการด่านแรกที่สำคัญที่สุดในโลกดิจิทัลปัจจุบัน นั่นคือเรื่องของ “ตัวตน” ที่เข้ามาทำหน้าที่แทนกำแพงเครือข่ายแบบเดิมครับ
1. เกริ่นนำ
หากเปรียบเทียบสมัยก่อนว่าการรักษาความปลอดภัยคือการมีรั้วบ้านที่แข็งแรง ในโลกปัจจุบันที่ข้อมูลของหน่วยงานย้ายไปอยู่บนระบบคลาวด์และเข้าถึงได้จากทุกที่ “รั้วบ้าน” เหล่านั้นแทบไม่มีความหมายอีกต่อไปครับ สิ่งเดียวที่จะยืนยันได้ว่าคนที่กำลังเข้าถึงข้อมูลลับของหน่วยงานคือเจ้าหน้าที่ตัวจริง ไม่ใช่แฮกเกอร์ ก็คือ “ตัวตน” (Identity) ดังนั้น ในยุค Zero Trust เราจึงถือว่า “ตัวตนคือด่านแรกและด่านสุดท้าย” ของการรักษาความปลอดภัยครับ
2. เนื้อหาหลัก
2.1 จุดประสงค์
เพื่อให้บุคลากรเห็นความสำคัญของการพิสูจน์ตัวตนที่เข้มงวด และเข้าใจว่าทำไมการจำเพียงรหัสผ่าน (Password) จึงไม่เพียงพออีกต่อไปต่อการป้องกันภัยคุกคามไซเบอร์ในปัจจุบัน
2.2 ความต้องการ
หน่วยงานต้องการยกระดับมาตรฐานการเข้าถึงระบบสารสนเทศ โดยใช้การตรวจสอบตัวตนหลายปัจจัยร่วมกับบริบทแวดล้อม เพื่อให้มั่นใจว่าการเข้าถึงข้อมูลทุกครั้งมีความปลอดภัยสูงสุดและตรวจสอบย้อนกลับได้
3 ประเด็นสำคัญ
3.1 การใช้ระบบ MFA (Multi-Factor Authentication): การมีเพียง Username และ Password นั้นเสี่ยงเกินไป ระบบที่ปลอดภัยต้องมีการยืนยันตัวตนอย่างน้อย 2 อย่างขึ้นไป เช่น รหัสผ่านร่วมกับรหัส OTP จากมือถือ หรือการสแกนลายนิ้วมือ เพื่อป้องกันกรณีรหัสผ่านรั่วไหล
3.2 การตรวจสอบสุขภาพอุปกรณ์ (Device Health): แม้ตัวตนจะถูกต้อง แต่ถ้าโน้ตบุ๊กที่ใช้ติดไวรัสหรือไม่ได้อัปเดตระบบความปลอดภัย ระบบ Zero Trust จะไม่อนุญาตให้เข้าถึงข้อมูลสำคัญ เพื่อป้องกันไม่ให้อุปกรณ์ที่ “ป่วย” นำเชื้อร้ายเข้าสู่ระบบของหน่วยงาน
3.3 การพิสูจน์ตัวตนตามบริบท (Context-aware): ระบบจะฉลาดพอที่จะตรวจสอบว่า ท่านล็อกอินมาจากที่ไหน (Location) และเวลาใด (Time) เช่น หากท่านเพิ่งล็อกอินจากกรุงเทพฯ แต่ผ่านไป 5 นาทีมีการล็อกอินด้วยบัญชีเดียวกันจากต่างประเทศ ระบบจะระงับการเข้าถึงทันทีเพราะเป็นพฤติกรรมที่ผิดปกติ
4. ตัวอย่างการดำเนินการ
ขอยกตัวอย่างสถานการณ์จริง: เมื่อเจ้าหน้าที่ฝ่ายงบประมาณต้องการเข้าถึงระบบ iShare (กสทจ.สปช.ทร. กำลังพัฒนาขึ้นมา) จากร้านกาแฟ ระบบจะทำการตรวจสอบ 3 ขั้นตอนทันที คือ
- ตรวจสอบรหัสผ่านและรหัสจากแอปพลิเคชันยืนยันตัวตน
- ตรวจสอบว่าคอมพิวเตอร์เครื่องนั้นเป็นเครื่องของหน่วยงานที่มีการเข้ารหัสข้อมูลหรือไม่ และ
- ตรวจสอบว่าพิกัดที่เชื่อมต่อมาเป็นพื้นที่ที่ได้รับอนุญาตหรือไม่ หากผ่านทั้ง 3 เงื่อนไขจึงจะเข้าใช้งานได้
5. สรุปเนื้อหา
เมื่อ “กำแพง” ไม่สามารถป้องกันเราได้อีกต่อไป การบริหารจัดการ “ตัวตน” จึงกลายเป็นความมั่นคงปลอดภัยแนวใหม่ การใช้ MFA ร่วมกับการตรวจสอบอุปกรณ์และบริบทการใช้งาน คือเกราะป้องกันชั้นเลิศที่จะช่วยให้ข้อมูลของหน่วยงานปลอดภัยจากการสวมรอยทุกรูปแบบ
6. เอกสารอ้างอิง
- CISA: Multi-Factor Authentication (MFA) Guide
7. ลิงก์เว็บไซต์ที่เกี่ยวข้อง
- ศูนย์หลักเกณฑ์การเรียนรู้ด้านไซเบอร์ (NCSA Thailand)
- ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล (DOPA – D.DOPA)
- มาตรฐานการจัดการตัวตนและสิทธิ์เข้าถึง (IAM) โดย DGA
8. คำถามเพื่อการมีส่วนร่วม
- ท่านเคยลืมรหัสผ่านหรือเคยโดนแอบอ้างใช้งานบัญชีออนไลน์ส่วนตัวบ้างหรือไม่?
- ท่านมีความสะดวกใจมากน้อยเพียงใด หากต้องใช้สมาร์ทโฟนส่วนตัวในการรับรหัส OTP เพื่อเข้าทำงาน?
- ในความคิดของท่าน “อุปกรณ์ที่ปลอดภัย” ควรมีคุณสมบัติอย่างไรบ้างในเบื้องต้น?
9. ติดตามในตอนต่อไป
หลังจากที่เราตรวจสอบตัวตนกันอย่างเข้มงวดแล้ว ในตอนหน้า AdminTee จะพาไปดูวิธีการกั้นห้องเพื่อลดความเสียหาย หากมีผู้บุกรุกหลุดเข้ามาได้ใน “ตอนที่ 4: การแบ่งส่วนเครือข่ายย่อย (Micro-segmentation)” ติดตามกันให้ได้นะครับ
Talk is cheap. Show me the code.