7 จุดสังเกต Cloud Misconfigurations และวิธีป้องกันเบื้องต้น

20 พฤศจิกายน 2023

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

เมื่อไม่นานมานี้ทาง Amazon ได้ทำข้อมูลเกี่ยวกับพฤติกรรมการรับชมวิดีโอของ Amazon Prime หลุดออกสาธารณะชนไม่ได้ตั้งใจ และยังมีบริษัทข่าวและสื่อของ Thomson Reuters ยอมรับว่าเซิร์ฟเวอร์ของตนโดนบุกรุก ทำให้ข้อมูล ElasticSearch ขนาด 3TB หลุดออกสาธารณะ ซึ่งข่าวเหล่านี้เป็นข่าวประเภทที่มักเกิดขึ้นและเห็นได้ในหน้าแรกของฟอรัมความปลอดภัยทางไซเบอร์ แต่ถ้าเจาะลึกลงไปอีกเล็กน้อย ก็จะพบว่าการที่ข้อมูลมีการรั่วไหลเหล่านี้เกิดจากการกำหนดค่าที่ไม่ถูกต้อง (Cloud Misconfigurations) ไม่ใช่การโจมตีทางไซเบอร์แต่อย่างใด

โดยมีสถิติตั้งแต่ปี 2017 ถึง 2021 การกำหนดค่า Cloud ที่ไม่ถูกต้อง (Cloud Misconfigurations) ได้ขึ้นมาอยู่ที่อันดับที่ 5 ในรายการของ OWASP Top 10 อีกสาเหตุหนึ่งเป็นเพราะการใช้บริการคลาวด์ในปริมาณมากขึ้นด้วยเช่นกัน ตัวอย่างของผลกระทบของการกำหนดค่าบริการคลาวด์ที่ไม่ถูกต้อง เช่น อาจทำให้เกิดความเสี่ยงทางไซเบอร์ และการรั่วไหลของข้อมูล ซึ่งส่งผลเสียต่อชื่อเสียงขององค์กรในท้ายที่สุด อีกทั้งการวิจัยด้านความปลอดภัยของ McAfee แสดงให้เห็นว่าองค์กรทั่วไป ประสบปัญหาการตั้งค่าที่ผิดพลาด (Misconfiguration) บนระบบ Cloud ประมาณ 3,500 เหตุการณ์ต่อเดือน จากการศึกษาพบว่า 90% ของธุรกิจ รายงานว่าพวกเขาประสบปัญหาด้านความปลอดภัย 

จึงเห็นได้ว่าการย้ายไปใช้ระบบ Cloud นั้นนอกจากการเพิ่มประสิทธิภาพและความสะดวกในการใช้งานแล้ว ควรจะต้องระมัดระวังเรื่องความปลอดภัยด้วย เพราะการตั้งค่าผิดพลาดบนระบบ Cloud อาจส่งผลเสียมากกว่าผลดี 

ดังนั้นเมื่อบริษัทและพนักงานจำเป็นต้องใช้งานระบบ Cloud ในทุก ๆ วัน การใส่ใจเรื่องการตั้งค่าต่าง ๆ ที่อาจจะที่ผิดพลาดหรือหละหลวม เช่น การกำหนดตั้งค่าต่าง ๆ การกำหนดสิทธิ์เข้าถึงไฟล์ ข้อกำหนดนโยบายด้าน Cybersecurity รวมไปถึงการขาดการตรวจสอบดูแลระบบอย่างต่อเนื่อง จึงเป็นเรื่องที่ไม่ควรมองข้าม และเพื่อไม่ให้เกิดเป็นช่องโหว่สำหรับการถูกล่วงละเมิดข้อมูลจากเหล่าอาชญากรทางไซเบอร์ จึงควรทำความเข้าใจเรื่องนี้ไปพร้อมกันได้ในบทความนี้

7 ข้อผิดพลาด บน Cloud ที่พบได้ทั่วไป

 1.การไม่จำกัดพอร์ตขาเข้า และ ขาออก (Unrestricted Inbound and Outbound Ports) 

พอร์ตบน Server ทั้งหมดที่เปิดสู่อินเทอร์เน็ตแม้มีเพื่อให้บริการ Services ต่าง ๆ แต่อาจทำให้เกิดปัญหาได้ บริการ Cloud ส่วนใหญ่ใช้พอร์ต UDP หรือ TCP อย่างจำกัด เพื่อลดความเสี่ยงในการเข้าถึง แต่แฮกเกอร์ก็ยังคงสามารถดักจับพวกมันได้ เมื่อต้องการย้ายไปยัง Cloud Platform ต้องตรวจสอบให้แน่ใจว่าคุณทราบว่าพอร์ตที่เปิดอยู่มีอะไรบ้างอย่างครบถ้วน และปิด พอร์ตที่ไม่ได้ใช้ และ ไม่ควรละเลยพอร์ตขาออกด้วย เพราะพอร์ตขาออก เสี่ยงต่อความปลอดภัยของระบบเป็นอย่างมาก เช่น การโดนขโมยข้อมูล หรือ การสแกนเครือข่ายภายในเมื่อมีช่องโหว่ของระบบ และการให้สิทธิ์การเข้าถึง RDP หรือ SSH ขาออก ตัวอย่างเช่น แอปพลิเคชันเซิร์ฟเวอร์แทบจะไม่ต้องใช้ SSH ไปยังเซิร์ฟเวอร์เครือข่ายอื่น ดังนั้นจึงไม่จำเป็นต้องใช้พอร์ตขาออกแบบเปิดสำหรับ SSH เป็นต้น

สำหรับเรื่องการเปิด Port ทิ้งไว้ถือเป็นการกำหนดค่าระบบ Cloud ที่ผิดพลาดที่พบได้บ่อยและไม่ควรละเลย ดังนั้นจึงต้องตรวจสอบให้แน่ใจว่าคุณจำกัดการเข้าถึงพอร์ตขาเข้า และ ขาออก อย่างดีพอแล้วหรือยัง

2. การจัดการความลับ (Secrets Management) 

ปัญหาการกำหนดค่าความปลอดภัยของข้อมูลให้เป็นความลับ ปัญหานี้อาจสร้างความเสียหายให้กับองค์กรของคุณได้ หากคุณตั้งค่าเปิดเผยข้อมูลเหล่านี้ผ่านทางเซิร์ฟเวอร์ เช่น คีย์ API, รหัสผ่าน, คีย์การเข้ารหัส และข้อมูลประจำตัวของผู้ดูแลระบบ ซึ่งถือว่าเป็นสิ่งสำคัญ แต่บริษัทส่วนใหญ่มักเปิดเผยข้อมูลเหล่านี้ผ่านทางเซิร์ฟเวอร์ที่ถูกบุกรุก ไม่ว่าจะเป็นการกำหนดค่าบัคเก็ตบนคลาวด์ที่ไม่ดี รวมถึงโค้ด HTML และ GitHub เป็นความเสี่ยงพอ ๆ กับการเอากุญแจล็อคบ้านติดไว้ที่ประตูหน้าบ้านเลยทีเดียว

วิธีป้องกันสามรถทำได้ด้วยการเก็บรักษาความลับของบริษัททั้งหมดไว้อย่างเป็นระบบ และประเมินวิธีการรักษาความปลอดภัยเป็นประจำ มิฉะนั้น ผู้ไม่หวังดีจะทำการคุกคามและอาจจะละเมิดระบบเพื่อเข้าถึงข้อมูลของคุณและองค์กรได้

3.  การปิดใช้งานการตรวจสอบและการบันทึก (Disabled Monitoring and Logging)

องค์กรส่วนใหญ่มักจะไม่ได้ตั้งค่า หรือตั้งค่าผิดพลาด รวมถึงไม่ได้เปิดใช้งานการเก็บ Log บนคลาวด์สาธารณะ ซึ่งที่กล่าวมามันอาจจะยากและซับซ้อนเกินไป การมีผู้รับผิดชอบในการตรวจสอบเป็นประจำและทำแจ้งเตือนเฉพาะเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยจะช่วยได้มาก อีกทั้งจำเป็นต้องตรวจสอบเป็นประจำ

การแจ้งเตือนเรื่องการบำรุงรักษาและหมั่นตามข่าวการอัปเดตนั้นจะช่วยให้องค์กรปลอดภัยขึ้นด้วยเช่นกัน

4. การเปิด ICMP ทิ้งไว้ (ICMP Left Open)

ICMP (Internet Control Message Protocol)  คือโปรโตคอล Network Layer ที่ใช้โดยอุปกรณ์เครือข่ายเพื่อวินิจฉัยปัญหาการสื่อสาร จะใช้เพื่อกำหนดว่าข้อมูลไปถึงปลายทางที่ตั้งใจไว้หรือไม่ แต่อาจถูกนำมาใช้ในการโจมตีจากเหล่าอาชญากรไซเบอร์ สิ่งนี้เกิดขึ้นเพราะในขณะที่โปรโตคอลสามารถแสดงได้ว่าเซิร์ฟเวอร์ของคุณตอบสนองและออนไลน์อยู่หรือไม่ อาชญากรไซเบอร์ก็สามารถใช้เพื่อระบุการโจมตีได้เช่นกัน นอกจากนี้ยังเป็นเวกเตอร์การโจมตีสำหรับการปฏิเสธการบริการ (DDoS) และมัลแวร์หลายประเภท การ Ping Flood หรือ Ping Sweep อาจทำให้เซิร์ฟเวอร์ของคุณเต็มไปด้วยข้อความ ICMP

แม้ว่าจะเป็นการโจมตีที่ล้าสมัยไปแล้ว แต่ก็ยังมีประสิทธิภาพอยู่ ดังนั้นตรวจสอบให้แน่ใจว่าคุณได้กำหนดค่าคลาวด์ของคุณให้บล็อก ICMP ไว้แล้ว

5.  การสำรองข้อมูลอัตโนมัติที่ไม่ปลอดภัย (Insecure Automated Backups) 

ภัยคุกคามจากระบบภายในของคลาวด์ถือเป็นความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่เกิดขึ้นตลอดเวลา จากข้อมูลของ McAfee องค์กรธุรกิจประมาณ 92% ถูกขายข้อมูลประจำตัวของพนักงานบน Darknet ซึ่งจริง ๆ แล้วข้อมูลอาจไม่ได้รั่วไหลจากช่องโหว่ของแอปพลิเคชัน แต่ เกิดจากการสำรองข้อมูลแต่ไม่มีความปลอดภัยในการเก็บรักษาและเข้ารหัสที่ดีพอ

ดังนั้น เมื่อต้องการย้ายไปยังระบบคลาวด์ ควรตรวจสอบให้แน่ใจว่าข้อมูลสำรองของคุณได้รับการเข้ารหัสหรือไม่ จำเป็นต้องตรวจสอบสิทธิ์และจำกัดการเข้าถึงข้อมูลที่สำรองไว้ด้วย 

6. ซับโดเมนเนมถูกขโมย (Subdomain Hijacking, AKA Dangling DNS )

สาเหตุทั่วไปของการโจมตีทางไซเบอร์ประเภทนี้คือเมื่อองค์กรลบ Sub Domain (โดเมนย่อย) ออกจากโฮสต์เสมือน (เช่น AWS, Azure, Github เป็นต้น) แต่ลืมลบบันทึกที่เกี่ยวข้องออกจาก Domain Name System (DNS) เมื่อเหล่าแฮกเกอร์ค้นพบ Sub Domain ที่ไม่ได้ใช้ พวกเขาสามารถลงทะเบียนใหม่ผ่านแพลตฟอร์มโฮสติ้งและกำหนดเส้นทางผู้ใช้ไปยังหน้าเว็บที่เป็นอันตรายของมันได้ ซึ่งการ Hijacking นี้อาจส่งผลให้เกิดการแทรกมัลแวร์หรือการโจมตีแบบฟิชชิ่งต่อผู้ใช้ และอาจสร้างความเสียหายต่อชื่อเสียงอย่างร้ายแรงต่อเจ้าของ Sub Domain เดิม

เพื่อหลีกเลี่ยงการขโมยโดเมน องค์กรควรจำไว้เสมอว่าต้องลบระเบียน DNS สำหรับโดเมนหลักและโดเมนย่อยทั้งหมดที่ไม่ได้ใช้งานแล้วออกไป

 7. การเข้าถึง Virtual Machines, Containers และ Hosts ที่มากเกินไป 

การจะเชื่อมต่อเซิร์ฟเวอร์เสมือนหรือเซิร์ฟเวอร์จริงในศูนย์ข้อมูลเข้ากับอินเทอร์เน็ตโดยตรงไม่ผ่านการป้องกันโดยใช้ไฟร์วอลล์หรือตัวกรอง แม้ว่าจะดูเหมือนว่าคงไม่มีใครทำแบบนี้ แต่จริง ๆ แล้วอาจเป็นเรื่องที่มองข้ามไปว่าจะส่งผลกระทบร้ายแรงอะไร ดังเช่น

  • เปิด FTP Server บน Server 
  • เปิด rexec, rsh และ telnet บนเครื่อง Server แล้วนำไปไว้บน cloud
  • เปิด Port 2379 (etcd) ของ Kubernetes cluster ให้ Internet เข้าถึงได้

โดยสามารถหลีกเลี่ยงข้อผิดพลาดในการกำหนดค่าระบบคลาวด์นี้ได้โดยปิด Port และ ปิดใช้งานโปรโตคอลที่เก่าและไม่แนะนำให้ใช้บนระบบ Cloud

วิธีปกป้องข้อมูลของคุณจากการตั้งค่าผิดพลาดบนคลาวด์เบื้องต้น (Cloud Misconfiguration)

หากทุกคนองค์กรสามารถปฏิบัติตามวิธีดังต่อไปนี้ได้ก็จะช่วยให้องค์กรของคุณกำหนดการตั้งค่าคลาวด์ได้อย่างปลอดภัยและสามารถรักษาระบบความปลอดภัยให้กับข้อมูลและองค์กรให้ห่างไกลจากอาชญากรไซเบอร์

  • ตรวจสอบความปลอดภัยและการกำหนดค่าอัตโนมัติ
    หมั่นตรวจสอบให้แน่ใจว่าคุณตรวจสอบโครงสร้างพื้นฐานและแอปพลิเคชันที่ทำงานอยู่ของคุณดีแล้วหรือไม่ เพื่อความปลอดภัยและการปฏิบัติตามข้อกำหนดในการใช้คลาวด์  
  • การเปิดใช้งานสิทธิ์การเข้าถึงคลาวด์มากเกินไป 

ประโยชน์หลักของ Cloud Computing คือความง่ายในการปรับขนาด อย่างไรก็ตามไม่ได้ดีเสมอไป เมื่อสภาพแวดล้อมระบบคลาวด์มีขนาดใหญ่ขึ้นและซับซ้อนขึ้น ผู้ดูแลระบบก็จะดูแลยากขึ้นด้วยจนบางครั้งเลือกที่จะตั้งค่าการอนุญาตเริ่มต้นให้สําหรับผู้ใช้ทั้งหมด เพื่อไม่ต้องรับมือกับการคําขอเข้าถึงที่มาจาก User จำนวนมาก

  • ดำเนินการประเมินความเสี่ยง 

การประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์ช่วยให้คุณระบุภัยคุกคามที่อาจ เกิดขึ้นในพื้นที่เก็บข้อมูลบนคลาวด์และส่วนโครงสร้างพื้นฐานอื่น ๆ เมื่อย้ายข้อมูลและ การดำเนินงานของคุณไปยังคลาวด์

ดังนั้นเพื่อความปลอดภัยในการใช้งานระบบ Cloud การตั้งค่าความปลอดภัยจึงเป็นเรื่องสำคัญ หลังจากการเรียนรู้และหลีกเลี่ยงการตั้งค่าที่ผิดพลาด (Misconfiguration) บนระบบ Cloud ไม่ให้ผิดพลาดแล้ว แต่ก็อาจจะป้องกันได้ไม่ครอบคลุม หรืออาจเกิดเหตุการไม่คาดคิดขึ้น จนบางครั้งร้ายแรงจนข้อมูลและระบบเสียหาย สำหรับองค์กรหรือหน่วยงานที่ต้องการความปลอดภัยขั้นสูง การเลือกใช้บริการเฝ้าระวังภัยคุกคามทางด้านไซเบอร์ ก็สามารถช่วยเพิ่มความมั่นใจได้ NT cyfence มีบริการ Cybersecurity Monitoring ที่เป็นบริการบริการเฝ้าระวังภัยคุกคามทางด้านไซเบอร์ และความปลอดภัยของระบบเทคโนโลยีสารสนเทศผ่านศูนย์ปฏิบัติการ Cybersecurity Operations Center (CSOC) โดยมีผู้เชี่ยวชาญที่มีประสบการณ์ (Security Analyst) ในการวิเคราะห์ภัยคุกคามทางด้านไซเบอร์ แจ้งเตือนเหตุการณ์ภัยคุกคาม รวมถึงแนวทางในการจัดการ จึงเป็นอีกตัวช่วยหนึ่งสำหรับองค์กรหรือหน่วยงานที่ต้องการความปลอดภัยที่มากขึ้น

สำหรับผู้ที่สนใจบริการ Cybersecurity Monitoring สามารถติดต่อ NT cyfence เพื่อขอทราบข้อมูลเพิ่มเติมได้ที่ https://www.cyfence.com/contact-us/  หรือโทร 1888 เรามีทีมงานผู้เชี่ยวชาญพร้อมให้คำแนะนำ และเป็นที่ปรึกษาด้านความปลอดภัยด้านสารสนเทศอย่างครบวงจรให้กับคุณ

ที่มา: cyfence , spectralop , upguard

บทความที่เกี่ยวข้อง

  • 21 มิถุนายน 2024

    ความปลอดภัยของเว็บและแอปพลิเคชันเป็นสิ่งสำคัญสำหรับทุกธุรกิจ! ไม่ใช่แค่เรื่องของการปกป้องข้อมูล แต่ยังเกี่ยวข้องกับความเชื่อมั่นของลูกค้าและความเสถียรภาพของธุรกิจเองด้วย เลือกใช้และปรับแต่ง WAF ที่เหมาะสมสำหรับธุรกิจของคุณเพื่อป้องกันการโจมตีทางไซเบอร์และลดความเสี่ยงจากผลกระทบที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ

  • 18 มิถุนายน 2024

    ระบบ IT ในโรงพยาบาลก็เป็นอีกหนึ่งหัวใจที่สำคัญ และจำเป็นต้องมีการปกป้องภัยคุกคามไซเบอร์ โดยเฉพาะอย่างยิ่ง Ransomware ซึ่งจำเป็นจะต้องให้เป็นไปตาม มาตรฐานความเสี่ยง 3 ระดับ โดยในบทความนี้ มีการสรุปมาตรฐานความเสี่ยง ที่โรงพยาบาลควรตระหนัก เพื่อที่จะได้ป้องกันภัยไซเบอร์ได้อย่างทันท่วงที

  • 6 มีนาคม 2024

    ศูนย์ปฏิบัติการ Cybersecurity Operations Center (CSOC) ได้สรุปสถิติภัยคุกคามการโจมตีในปี 2023 ที่ผ่านมา มีอะไรบ้างที่ควรรู้และในปีถัดไปควรระวังเรื่องใด