รู้จักกับ Microsoft Defender EASM (External Attack Surface Management)

      สวัสดีครับทุกท่าน สำหรับบทความนี้จะเป็นบทความเกี่ยวกับ Product ใหม่ที่อยู่ภายใต้ Microsoft Defender Family ครับ โดย Product นี้มีชื่อว่า "Microsoft Defender EASM (External Attack Surface Management" ซึ่งขอเรียกสั้นๆ ว่า EASM นะครับ ผมเชื่อว่าท่านผู้อ่านหลายท่านน่าจะคุ้นเคยและรู้จักสมาชิกใน Microsoft Defender Family มาบ้าง เช่น Microsoft Defender for Cloud ซึ่งเป็น Product ที่ให้บริการเป็น Service หนึ่งใน Microsoft Azure โดย Microsoft Defender for Cloud จะทำหน้าที่หลักๆ คือ Cloud Security Posture Management (CSPM) และ Cloud Workload Protection Platform (CWPP) เพื่อช่วยป้องกัน IT Environment ขององค์กร โดยครอบคลุมทั้ง Hybrid และ Multi-Cloud สำหรับท่านผู้อ่านท่านใดยังไม่รู้จัก Microsoft Defender for Cloud ผมแนะนำให้ทุกท่านลองย้อนไปหาอ่านบทความก่อนหน้านี้ของผมครับ หรือจะไปที่ช่อง YouTube ของผมก็ได้ครับ, Wisit Thongphoo - YouTube

ก่อนที่จะพาทุกท่านไปทำความรู้จักกับ Microsoft Defender EASM กัน ผมอยากให้ทุกท่านลองนึกภาพตามผมดูนะครับว่า ในช่วงที่ผ่านมาหลายๆ องค์กรรวมถึงองค์กรที่ท่านผู้อ่านทำงานอยู่นั้น ได้มีการนำเอา Cloud Computing Technology เข้ามาประยุกต์ใช้งาน ส่งผลทำให้เกิดความเปลี่ยนแปลงเกิดขึ้นหลายอย่างในองค์กร ตั้งแต่ Infrastructure, Identity, Endpoint, และอื่นๆ การเปลี่ยนแปลงหนึ่งที่เห็นได้ชัดมากที่สุด คือ Resources หรือ Assets ต่างๆ ขององค์มีการกรกระจายอยู่ใน Hybrid หรือ Multi-Cloud Environment และสิ่งหนึ่งที่ทุกๆ องค์กรจะต้องวางแผนและดำเนินการ คือ เรื่องของความปลอดภัยหรือ Security  ตลอดช่วงเวลาที่ผ่านมาหลายองค์กรทำการทุ่มเทและใช้เวลาในการวางแผนเพื่อดำเนินการเรื่องความปลอดภัยให้กับ Resources หรือ Assets ต่างๆ ที่อยู่ภายใน (On-Premise) และภายนอกองค์กร (On Cloud) ซะเป็นส่วนใหญ่ โดยมีวัตถุประสงค์คือ ลดความเสี่ยงที่จะถูกโจมตีจากภัยคุกคามต่างๆ และ Attackers 

แต่การที่เราจะทำการวางแผนเพื่อดำเนินการป้องกัน Resources หรือ Assets ต่างๆ นั้น เราจำเป็นต้องทราบก่อนใช่มั๊ยครับ ว่าสิ่งที่เราหรือองค์กรจะทำการป้องกันคือ อะไรและอยู่ตรงไหนบ้าง เพื่อจะได้ทำการป้องกันได้อย่างถูกต้องและมีประสิทธิภาพ แต่ในความเป็นจริงแล้ว อาจจะยังมีบาง Resources หรือ Assets ที่องค์กรอาจจะยังไม่ทราบและไม่ได้ทำการป้องกัน ยกตัวอย่างเช่น พวก Resources หรือ Assets ที่เรียกว่า "Internet-Facing Assets" ครับ เพราะ Assets ดังกล่าวนี้อาจจะก่อให้เกิดช่องทางหรือช่องโหว่ที่ทำให้เกิดความสุ่มเสี่ยงต่อความไม่ปลอดภัยกับองค์กรครับ จากประเด็นดังกล่าวนี้ ผมอยากจะให้ท่านผู้อ่านทุกท่านเห็นว่า ในแต่ละองค์กรอาจจะมีจุดหรือ Assets ที่เรียกว่า Internet-Facing Assets อยู่ แต่องค์กรอาจจะไม่ทราบ, มองไม่เห็น, หรือทราบก็ได้ครับ แต่เข้าใจว่าไม่น่าจะเกิดความสุ่มเสี่ยงใดๆ แต่ในความเป็นจริงแล้วไม่ได้เป็นเช่นนั้นครับ

เนื่องจาก Internet-Facing Assets เหล่านี้ เช่น Domain Names, SSL Certificates, IP Addresses, Hostnames, และอื่นๆ ในช่วงที่ผ่านมาหลายองค์กรมีการใช้งานเพื่อเป็นช่องทางการติดต่อสื่อสารระหว่างภายในและภายนอกองค์กร แต่ช่องทางของ Internet-Facing Assets เหล่านี้อาจจะมาพร้อมกับช่องทางหรือช่องโหว่ที่ภัยคุกคามหรือ Attackers ใช้ในการ Access เข้ามา (Attack Vectors) ใน Environment ขององค์กรก็เป็นได้ครับ นอกจากนี้แล้วบาง Internet-Facing Assets ถูกบริหารจัดการจากภายนอก (3rd Party Vendors ที่องค์กรใช้บริการอยู่) เพราะฉะนั้นองค์กรจะดำเนินการอย่างไร ที่จะป้องกันและปิดช่องทางหรือช่องโหว่ที่มาจาก Internet-Facing Assets เหล่านี้ เพราะเป็นสิ่งที่อาจจะก่อให้เกิดความสุ่มเสี่ยงต่อความไม่ปลอดภัยกับองค์กร 

EASM จึงเข้ามาช่วยองค์กรในการที่จะจัดการดูแล Internet-Facing Assets ที่อยู่ในองค์กร และช่วยองค์กรในการป้องกันช่องทางหรือช่องโหว่ที่อาจจะเกิดขึ้น ซึ่งจะทำให้เกิดความสุ่มเสี่ยงต่อความปลอดภัยขององค์กรครับ และจากประเด็นนี้เองจึงเป็นที่มาของบทความนี้ที่ผมอยากจะนำเสนอ Microsoft Defender EASM มาให้ทุกท่านรู้จักครับ

Microsoft Defender EASM คืออะไร?

เป็น Service ที่ทาง Microsoft Acquired มาจาก RiskIQ โดย Microsoft Defender EASM จะเข้ามาช่วยองค์กรค้นหา (Discover), จัดทำ Inventory, และป้องกัน Resources หรือ Assets (Internet-Facing) ที่ได้อธิบายไว้ก่อนหน้านี้ครับ โดยเริ่มจากการ Discover และจัดทำ Inventory ของ Internet-Facing Assets ต่างๆ ขององค์กร แล้วทำการตรวจสอบดูว่า Assets ใดที่อาจจะก่อให้เกิดช่องโหว่เพื่อเป็นช่องทางที่ Attackers อาจจะลอบเข้ามา เพื่อทำให้ Security หรือ SOC Teams ขององค์กรมองเห็นภาพรวมของ Resources หรือ Assets (Internet-Facing) และจะได้ดำเนินการป้องกันไม่ให้ภัยคุกคามตลอดจนความเสี่ยงต่างๆ เกิดขึ้นในองค์กร 

โดย Microsoft Defender EASM จะดำเนินการกับ Internet-Facing Assets ดังนี้:

- Domains

- Hostnames

- Web Pages

- IP Addresses

- SSL Certificates

- อื่นๆ

ณ เวลาที่ผมเขียนบทความนี้ Microsoft Defender EASM ยังไม่เปิดให้บริการทุก Azure Regions นะครับ มี Azure Regions ดังต่อไปนี้เท่านั้นครับ

- southcentralus

- eastus

- australiaeast

- westus3

- swedencentral

- eastasia

- japaneast

รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Defender EASM สามารถไปที่ Link นี้ได้เลยครับ, Overview | Microsoft Learn

ดังนั้นถ้าองค์กรได้นำเอา Microsoft Defender EASM มาทำงานร่วมกับ Services อื่นๆ ใน Microsoft Defender Family เช่น Microsoft Defender for Cloud และอื่นๆ ส่งผลทำให้ภาพรวมเรื่องของการป้องกันมีประสิทธิภาพ, ครอบคลุมและปลอดภัยมากขึ้น อีกทั้งยังช่วยให้ Security หรือ SOC Teams มองเห็นและเข้าใจภาพรวมของ Resources หรือ Assets ต่างๆ ที่กระจายอยู่ในองค์กร (Hybrid และ Multi-Cloud Environment) มากขึ้นทำให้เกิดความยืดหยุ่นในการบริหารจัดการดูแลมากขึ้น และทั้งหมดนี้คือภาพรวมของ Microsoft Defender EASM ที่ผมนำมาให้ทุกท่านได้รู้จักครับผม....

Microsoft Cybersecurity ตอนที่ 3 (Zero Trust Model)

     สวัสดีครับทุกท่าน สำหรับบทความนี้ จะเป็นตอนที่ 3 ของ Microsoft Cybersecurity ครับ และสำหรับบทความนี้ผมจะพาทุกท่านมาทำความรู้จักกับอีก 1 Model ที่มีความสำคัญสำหรับ Microsoft Cybersecurity ครับ Model ที่ว่านี้มีชื่อว่า "Zero Trust Model" ครับ และเพื่อไม่ให้เป็นการเสียเวลา เรามาทำความรู้จักกับ Zero Trust กันเลยครับ

Zero Trust Model คืออะไร ?

เป็น Model ที่เราสามารถนำเอาไปใช้ในวางแผนและออกแบบ Cybersecurity ในองค์กรครับ ซึ่ง ณ ปัจจุบันหลายๆ องค์กรได้มีการนำเอา Cloud Computing Technology มาประยุกต์หรือ Adopt ใช้งาน ทำให้เกิดการเปลี่ยนแปลงเกิดขึ้นมากมายในองค์กร เช่น Infrastructure, Endpoint, Identity, และอื่นๆ ตลอดจนการจัดการและควบคุมการเข้าถึง Resources ต่างๆ ขององค์กร ซึ่ง ณ วันนี้ไม่ได้อยู่เพียงแค่ใน On-Premise ที่เดียวอีกต่อไป ดังนั้นสิ่งหนึ่งที่องค์กรจะต้องทำการวางแผนเพื่อเตรียมความพร้อมนั่นก็คือ เรื่องของ Security หรือความปลอดภัยนั่นเองครับ จากประเด็นดังกล่าวนี้ทำให้หลายๆ องค์กร ไม่ทราบว่าจะเริ่มหรือจะดำเนินการอย่างไร เพื่อทำให้ Environment ขององค์กรดังกล่าวนั้นมีความปลอดภัยมากขึ้น และแน่นอนคือลดความเสี่ยงที่จะถูกโจมตีจากภัยคุกคามต่างๆ 

Zero Trust Model ถูกนำมาเกี่ยวข้องกับประเด็นที่ผมได้เกริ่นไว้ข้างต้น เพราะ Zero Trust จะถูกนำเอามาเป็น Security Strategy สำหรับองค์กรที่กำลังวางแผนเพื่อดำเนินการเรื่องของความปลอดภัยครับ และต้องบอกทุกท่านไว้ก่อนเลยครับว่า Zero Trust ไม่ใช่เป็น Product หรือ Service ที่เราซื้อมาติดตั้งใช้งานนะครับ อย่างที่ได้อธิบายไปก่อนหน้านี้ว่า Zero Trust Model ที่จะเข้ามาช่วยกำหนด Security Strategy เพื่อให้ทีม Security หรือ Cybersecurity Team นำเอาไปประยุกต์ใช้ในการ Designing และ Implementing Microsoft Security Solution ครับ

Zero Trust Model Principles

จะมีหลักหรือกฎเกณฑ์อยู่ด้วยกัน 3 ข้อครับ

1. Verify Explicitly, จะต้องมีการดำเนินการในส่วนของ Authentication และ Authorization อีกครั้ง เมื่อมีการเปลี่ยนแปลงเกิดขึ้นกับ User หรือ Device เช่น เมื่อมีการเปลี่ยน Location, Compliance, และอื่นๆ เกิดขึ้น เพราะตัวอย่างดังกล่าวนี้ อาจเป็นสิ่งผิดปรกติที่เกิดจากภัยคุกคามที่จะจู่โจมหรือ Attack เข้ามายังองค์กรก็มีความเป็นไปได้ครับ

2. Use Least Privilege Access, วางแผนและพิจารณาเรื่องของจัดการและควบคุม (Access Control) การเข้าถึง Resources ต่างๆ องค์กร เช่น สิทธิ์ที่ผู้ดูแลระบบหรือผู้เกี่ยวข้องจะทำการ Assign ให้กับผู้ใช้งานองค์กรนั้น ควรจะพิจารณา Assign สิทธิ์เท่าที่จำเป็นต่อการใช้งาน ไม่ควรให้สิทธิ์มากเกินกว่าความจำเป็น ตลอดจนสิทธิ์ที่จะทำการ Assign ให้นั้นจะให้กับผู้ใช้งานแบบถาวรหรือเพียงแค่ช่วงระยะเวลาหนึ่งเท่านั้น เพราะสิ่งเหล่านี้จะเกี่ยวข้องกับการเข้าถึง Applications และ Data ซึ่งถือว่าเป็นสิ่งสำคัญขององค์กรที่จะต้องทำการป้องกัน

3. Assume Breach, วางแผนพิจารณานำเอา Security Strategy และ Solution เข้ามาช่วยในการตรวจสอบ, ค้นหา, ป้องกัน, และอื่นๆ Resources และ Environments (ครอบคลุมทั้ง Hybrid และ Multi-Cloud Environment) ขององค์กร สิ่งหนึ่งที่จะองค์กรจะต้องคิดและตระหนักอยู่เสมอ คือ ระบบต่างๆ ตลอดจน Environment ขององค์กรนั้นๆ มีโอกาสที่จะถูกโจมตีตลอดเวลา ดังนั้นองค์กรจะต้องมีวางแผนและออกแบบ Security Strategy เพื่อที่จะได้ดำเนินการติดตั้ง Security Solution เพื่อมาทำการป้องกันภัยคุกคามต่างๆ

Zero Trust Pillars/Components

ภาพรวมและส่วนประกอบหลักๆ ของ Zero Trust Model  ประกอบไปด้วย 6 ส่วนหรือ Pillars ที่เราจะต้องนำมาวางแผนและออกแบบให้ครอบคลุมครบถ้วน โดยมีรายละเอียดดังนี้ครับ

1. Identity  เป็นส่วนแรกหรือ Pillar แรกนี้ถือว่าเป็นส่วนที่สำคัญสำหรับการวางแผนและออกแบบ Security Strategy และ Solution ครับ เพราะ Identity ถือว่าเป็น เป้าหมายแรกที่ Attackers โฟกัสครับ ยกตัวอย่างของ Identity เช่น User Accounts ใน Active Directory Domain Service (AD DS), User Accounts ใน Azure Active Directory (Azure AD) ดังนั้นองค์กรจะต้องวางแผนและออกแบบว่าจะจัดการและป้องกัน Identity ขององค์กรอย่างไร? 

2. Endpoints เป็นอีกส่วนที่องค์กรจะต้องวางแผนและออกแบบการจัดการ, ควบคุม, และ ป้องกัน Endpoint ซึ่งจะเกี่ยวข้องกับ Devices (Corporate และ BYOD Devices) ต่างๆ ของผู้ใช้งานในองค์กร อีกทั้งยังมีความหลากหลายของ Platforms ต่างๆ ของ Devices ด้วย เช่น Windows, iOS, และอื่นๆ เป็นต้น

3. Applications เป็นส่วนที่เกี่ยวข้องกับช่องทางที่เปิดโอกาสให้ผู้ใช้งานเข้าถึง Resources ต่างๆ ขององค์กร เพราะฉะนั้นองค์กรจะต้องมีการวางแผนจัดการตลอดจนการป้องกัน Applications ด้วย เช่น การป้องกันการเข้าถึง Applications, การนำเอา Applications มาทำงานร่วมกับ Azure Active Directory, เป็นต้น

4. Networks เป็นส่วนที่องค์กรจะต้องวางแผนและออกแบบเพื่อป้องกัน Network (ยกตัวอย่าง เช่น Azure Virtual Networks ใน Microsoft Azure) เพราะจะเป็นส่วนที่เกี่ยวข้องกับการเข้าถึง Resources ต่างๆ ขององค์กร ตัวอย่างของการป้องกัน Azure Virtual Networks เช่น Azure DDos Protection, Azure Firewall, และอื่นๆ 

5. Infrastructure เป็นส่วนที่จะต้องทำการวางแผนและออกแบบเพื่อป้องกัน Infrastructure เพราะเป็นส่วนที่จะมีการ Hosting Resources ต่างๆ เช่น Virtual Machines และ Containers  ยกตัวอย่างการป้องกัน เช่น การ Hardening OS, Bastion Hosts, และอื่นๆ 

6. Data เป็นส่วนที่สำคัญที่สุด ดังนั้นองค์กรจะต้องมีการวางแผนออกแบบการป้องกัน Data หรือข้อมูล ยกตัวอย่าง เช่น Key Management, Data Loss Prevention, และอื่นๆ 

ส่วนประกอบหรือ Pillars ทั้งหมดที่ผมได้อธิบายไปข้างต้น คือ สิ่งที่ท่านผู้อ่านทุกท่านจะต้องทำความเข้าใจเพื่อจะทำการวางแผนและออกแบบ Security Strategy และ Solution เพื่อป้องกันและสร้างความปลอดภัยให้กับองค์กรครับ และต้องบอกกับทุกท่านว่า Zero Trust Model เป็นเพียงแค่ Model หนึ่งเท่านั้นที่เราจะนำเอามาประยุกต์ใช้นะครับ ในการออกแบบจริง จะต้องมีการนำเอาคอนเซปตลอดจน Models อื่นๆ เข้ามาช่วยและประยุกต์ใช้งานร่วมกันครับ

และทั้งหมดนี้ Zero Trust Model ที่ผมนำมาฝากทุกท่านครับผม.....