Security Configuration Management (SCM) : สร้างรากฐานด้านความปลอดภัยที่มั่นคง
ภัยคุกคาม Zero-Day อาจเกิดขึ้นได้ทุกเมื่อ ดังนั้นคุณควรเตรียมพร้อมด้วยรากฐานด้านความปลอดภัยที่มั่นคง โดยตรวจสอบให้แน่ใจว่ามีการกำหนดและรักษา Security Configuration ที่เหมาะสมบน Endpoint ของคุณ เพื่อให้องค์กรไม่สะดุดจากช่องโหว่เพียงจุดเดียว
Security Configuration Management คือกระบวนการตรวจจับ Configuration Drift และ Misconfiguration อย่างต่อเนื่องในองค์ประกอบต่างๆ บน Endpoint ของคุณ และปรับให้กลับมาอยู่ในสถานะที่สอดคล้องกัน
ในบทความนี้ คุณจะได้เรียนรู้ว่า Vulnerability Manager Plus ซึ่งเป็น Threat and Vulnerability Management Solution แบบครบวงจร ช่วยอำนวยความสะดวกให้กับวงจรทั้งหมดของ Security Configuration Management ได้อย่างไร ตั้งแต่การตรวจจับ Misconfiguration การจัดหมวดหมู่และทำ Profiling การแก้ไขด้วย Remediation ที่มีมาให้ในตัว ไปจนถึงการรายงาน Configuration Posture สุดท้าย ทั้งหมดนี้จาก Interface เดียว
เสริมความพร้อมให้ทีมของคุณด้วย Dashboard สำหรับ Security Configuration Management ของ Vulnerability Manager Plus ที่ออกแบบมาโดยเฉพาะเพื่อติดตามและจัดการ Misconfiguration - ทดลองใช้ฟรีได้เลย!
ทำไม Security Configuration Management จึงสำคัญ?
ความปลอดภัยของ Endpoint ไม่ได้สิ้นสุดแค่ Vulnerability Assessment หากช่องโหว่คือประตูสู่เครือข่าย Misconfiguration ที่ถูกมองข้ามก็คือสิ่งที่ผู้โจมตีใช้เพื่อเคลื่อนที่ภายในเครือข่ายและโจมตีเครื่องอื่นต่อได้ โดยพื้นฐานแล้ว การเปลี่ยนแปลง configuration ที่ไม่มีการจัดทำเอกสารอย่างเหมาะสม การใช้ค่าตั้งต้น หรือปัญหาทางเทคนิคในองค์ประกอบใดก็ตามบน Endpoint ของคุณ ล้วนสามารถนำไปสู่ Misconfiguration ได้ แต่คำถามคือ คุณพร้อมรับมือกับ Configuration Drift เหล่านี้มากแค่ไหน?
ตัวอย่างเช่น ลองถามตัวเองด้วยคำถามต่อไปนี้ มีผู้ใช้ในเครือข่ายของคุณกี่รายที่ยังคงใช้รหัสผ่านเริ่มต้น? พนักงานของคุณมีสิทธิ์ระดับผู้ดูแลระบบโดยค่าเริ่มต้นหรือไม่? คุณได้จำกัดการสื่อสาร TLS/SSL ไม่ให้ใช้ Cipher Suite ที่อ่อนแอและไม่ปลอดภัยแล้วหรือยัง? คอมพิวเตอร์ใหม่ที่ถูกนำเข้ามาในเครือข่ายยังคงใช้ configuration แบบ Default และ protocol ที่ไม่ปลอดภัยอยู่หรือไม่? คุณรับรู้ Misconfiguration ด้านความปลอดภัยเหล่านี้และอื่นๆ มากน้อยเพียงใด?
ข้อผิดพลาดง่ายๆ อย่างรหัสผ่าน Default หรือ Open Share สามารถถูกผู้โจมตีนำไปใช้เพื่อทำลายความพยายามด้านความปลอดภัยขององค์กรได้ ผู้โจมตีอาจใช้ Malware และ Ransomware เพื่อโจมตีผ่าน Legacy Protocol และ Open Share ดังเช่นที่เกิดขึ้นในการโจมตี WannaCry ทั่วโลกในปี 2017 ประเด็นทั้งหมดนี้ตอกย้ำถึงความจำเป็นในการมีเครื่องมือ Security Configuration Management ที่ครอบคลุม เพื่อให้สามารถตรวจสอบและควบคุม Configuration Posture ของ Endpoint ได้อย่างมีประสิทธิภาพและมั่นใจในความปลอดภัย
Security Configuration Management (SCM) เป็นเรื่องง่ายด้วย Vulnerability Manager Plus
ความผิดพลาดเป็นเรื่องที่เกิดขึ้นได้ แต่การตรวจจับ Misconfiguration และปรับให้กลับมาสอดคล้องกับ compliance คือหน้าที่ของ Vulnerability Manager Plus ด้วยคลัง Security Configuration Baseline ที่กำหนดไว้ล่วงหน้าซึ่งอ้างอิงจากมาตรฐานอุตสาหกรรมและ Best Practices ระบบจะตรวจจับระบบที่ไม่สอดคล้องกันอย่างต่อเนื่องโดยไม่ต้องรอให้ผู้ใช้เริ่มดำเนินการ และรายงานผลบนคอนโซล คุณสามารถดูรายละเอียดต่างๆ ได้ เช่น หมวดหมู่ของ Misconfiguration จำนวนระบบที่ได้รับผลกระทบ และระดับความรุนแรง
เมื่อคุณเลือกรายการจากลิสต์ ระบบจะเปิด Flyout Panel พร้อมคำอธิบายโดยละเอียดและแนวทางแก้ไข คุณสามารถ push การแก้ไขจากตรงนั้นไปยังเครื่องที่ได้รับผลกระทบทั้งหมด และปิดวงจร SCM ได้ทันที Panel นี้ยังแสดงด้วยว่า Attribute ของ Component ใดมีการตั้งค่าผิดใน Domain GPO หรือไม่ ในกรณีนั้น ระบบจะแสดงลิงก์ไปยังบทความใน Knowledge Base ที่มีขั้นตอนการแก้ไขอย่างละเอียดแทนส่วน Resolution เพื่อพาผู้ใช้ไปปรับ Security Configuration ใน GPO ได้อย่างถูกต้อง Vulnerability Manager Plus ยังสามารถคาดการณ์ปัญหาที่อาจเกิดขึ้นกับเครือข่ายในอนาคตจากการเปลี่ยนแปลง configuration ได้อีกด้วย ซึ่งช่วยให้คุณปรับ configuration ได้อย่างปลอดภัยโดยไม่กระทบต่อการดำเนินธุรกิจที่สำคัญ
ท้ายที่สุด คุณสามารถสร้างรายงานสำหรับผู้บริหารเพื่อติดตามความคืบหน้าและแจ้งให้ผู้มีอำนาจรับทราบถึง Configuration Posture ด้านความปลอดภัยขององค์กรได้ นอกจากนี้ยังควรทราบด้วยว่า Security Configuration Management ไม่เพียงช่วยเพิ่ม Cyber Resilience เท่านั้น แต่ยังช่วยเพิ่มประสิทธิภาพการดำเนินงานอีกด้วย
แม้ว่าฟีเจอร์นี้จะครอบคลุม Security Setting ได้หลากหลายบนองค์ประกอบต่างๆ ของระบบ OS และapplicationของคุณ แต่เราจะพาไปดูตัวอย่างส่วนสำคัญที่มักเป็นประเด็นที่ต้องให้ความสำคัญอยู่เสมอ
การตรวจสอบ Firewall
Firewall ที่ตั้งค่าผิดอาจไม่สามารถป้องกัน traffic ที่ไม่ปลอดภัยไม่ให้เข้าถึง Endpoint ในเครือข่ายของคุณได้ ด้วย Security Configuration Management คุณสามารถตรวจสอบได้ว่าเปิดใช้งาน Windows Firewall ที่มีมาในระบบอยู่หรือมี Firewall จาก Third-Party ติดตั้งอยู่หรือไม่ นอกจากนี้ยังสามารถตรวจสอบให้แน่ใจได้ว่ามีการบล็อกการเชื่อมต่อใน Firewall ไปยังชุด NetBIOS ทั้งสาม พอร์ต 445 ซึ่งเป็นพอร์ตที่เกี่ยวข้องกับ WannaCry และพอร์ตเสี่ยงอื่นๆ ที่อาจเปิดทางให้เกิดการกระทำที่ไม่ได้รับอนุญาตหรือไม่ตั้งใจ
นโยบายรหัสผ่าน
รหัสผ่านที่ไม่รัดกุมเป็น security Misconfiguration ที่พบได้บ่อยที่สุดในองค์กร แนวคิดที่ว่า "ยิ่งรหัสผ่านยาว ก็ยิ่งปลอดภัย" ไม่เพียงพออีกต่อไป ผู้โจมตีกำลังพัฒนากลยุทธ์ใหม่ๆ อย่างต่อเนื่อง เช่น การซื้อ credential จากเหตุข้อมูลรั่วไหลในอดีตเพื่อนำมาใช้ในการโจมตีแบบ Password-Based Brute Force และ Dictionary Attack นอกจากนี้ ผู้ใช้ 62% ยอมรับว่าใช้รหัสผ่านซ้ำนอกเหนือจากการบังคับใช้รหัสผ่านที่ยาวแล้ว คุณยังสามารถกำหนดให้ผู้ใช้ปฏิบัติตามนโยบายรหัสผ่านที่กำหนดไว้ล่วงหน้าได้ เช่น ความซับซ้อนของรหัสผ่าน อายุขั้นต่ำของรหัสผ่าน อายุสูงสุดของรหัสผ่าน และจำนวนรหัสผ่านที่ไม่ซ้ำกันที่ต้องใช้ก่อนจะสามารถนำรหัสผ่านเดิมกลับมาใช้ใหม่ได้
ความปลอดภัยของ Microsoft Office
ตรวจสอบให้แน่ใจว่าได้ปิดฟีเจอร์และเนื้อหาที่อาจไม่ปลอดภัย และเปิดใช้การควบคุมด้านความปลอดภัยที่เหมาะสมใน Microsoft Office Application ซึ่งอาจรวมถึงการเปิดใช้การแจ้งเตือน Trustbar วิธีการเข้ารหัสที่ปลอดภัยสำหรับไฟล์และ Metadata ที่applicationใช้งาน การป้องกันไฟล์ด้วยรหัสผ่าน การตั้งค่า Automation Security และอื่นๆ อีกมากมาย
BitLocker Encryption
การไม่ปกป้อง Disk Volume ของคุณอาจนำไปสู่การรั่วไหลของข้อมูลได้ คุณสามารถตรวจสอบให้แน่ใจว่าได้เปิดใช้ BitLocker Encryption เพื่อเข้ารหัส Disk Volume ทั้งหมดและป้องกันการเข้าถึงดิสก์โดยไม่ได้รับอนุญาต รวมถึงการนำข้อมูลออกไป
Secure Remote Desktop Sharing
การรักษาความปลอดภัยของการเชื่อมต่อ Remote Desktop ด้วยรหัสผ่านที่รัดกุม และป้องกันไม่ให้Serverรับฟังบนพอร์ต Default จะช่วยขัดขวางความพยายามของผู้ไม่หวังดีในการสร้างการเชื่อมต่อระยะไกลโดยไม่ได้รับอนุญาต
จัดการ Network Share
การตรวจสอบและควบคุมสิ่งที่คุณแชร์ภายในเครือข่ายเป็นเรื่องสำคัญ Ransomware และ Malware ประเภทอื่นสามารถตรวจพบและแพร่กระจายไปยังคอมพิวเตอร์ที่มีโฟลเดอร์แชร์พร้อมสิทธิ์เขียนจากเครื่องที่ถูกโจมตีได้อย่างง่ายดาย การทราบรายละเอียดว่าเปิดใช้ Folder Share ใดและ Default Admin Share ใดอยู่บ้าง จะช่วยให้คุณกำจัด Misconfiguration ของ Network Share ได้
ความปลอดภัยของ Lockout และ Logon
Security Configuration Management ช่วยให้คุณตรวจสอบได้ว่าเปิดใช้ Secure Logon แล้ว และไม่มีการแสดงข้อมูลสำคัญบนหน้าจอ Lock Screen ซึ่งช่วยให้คุณบังคับใช้นโยบายเกี่ยวกับ Account Lockout Duration, Account Lockout Threshold และ Reset Lockout Counter After ได้จากศูนย์กลาง เพื่อป้องกันการโจมตีแบบ Brute-Force
จัดการสิทธิ์และ Privilege ของผู้ใช้
การถอดสิทธิ์ผู้ดูแลระบบของผู้ใช้อาจช่วยแก้ปัญหาช่องโหว่ร้ายแรงของ Microsoft ได้ถึง 94 เปอร์เซ็นต์ ตามการศึกษาล่าสุด Security Configuration Management ช่วยให้คุณเพิกถอนสิทธิ์ของผู้ใช้จากผู้ใช้ที่ไม่ควรได้รับสิทธิ์ บังคับใช้หลัก Least Privilege และตรวจสอบให้แน่ใจว่าไม่มีการแสดงบัญชีผู้ดูแลระบบระหว่างการยกระดับสิทธิ์ ซึ่งช่วยเสริมความปลอดภัยของ Endpoint
การจัดการบัญชีผู้ใช้
ระบุและปิดใช้งานบัญชี built-in แบบ Default เช่น guest, Built-In Administrator และบัญชี local admin อื่นๆ ที่เป็นเป้าหมายง่ายสำหรับการโจมตีแบบ Brute-Force
User Account control.
User Account Control (UAC) ช่วยป้องกันการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตบนคอมพิวเตอร์ของคุณ โดยแสดง Elevation Prompt ในโหมด Secure Desktop ขอการยินยอมจากผู้ดูแลระบบ เปิดใช้ Admin Approval Mode สำหรับบัญชี Built-In Administrator ขอข้อมูลรับรองผู้ดูแลระบบจากผู้ใช้ทั่วไปบน Secure Desktop และอื่นๆ อีกมากมาย
OS Security Hardening
OS Security Hardening ครอบคลุมชุดการควบคุมด้านความปลอดภัยที่หลากหลาย เช่น การปิดใช้งาน autoplay สำหรับอุปกรณ์ และการจำกัดคำสั่ง autorun คุณควรตรวจสอบให้แน่ใจว่ามีการตั้งค่า Memory Protection, การตั้งค่า Logon Authentication, Structured Exception Handling Overwrite Protection (SEHOP), Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR) และ Security Setting อื่นๆ ได้รับการกำหนดอย่างเหมาะสมสำหรับ OS
ป้องกันการโจมตีผ่าน Browser
Browser Misconfiguration บางประเภท เช่น Firewall Traversal จาก Remote Host, Geolocation Tracking, การอนุญาตให้ใช้ Plugin ที่ไม่ปลอดภัย และการอนุญาตให้ผู้ใช้ข้ามคำเตือน SmartScreen อาจนำไปสู่การโจมตีผ่าน Browser ได้ ด้วย Vulnerability Manager Plus คุณสามารถกำจัด Browser Misconfiguration ได้โดยเปิดใช้ Safe Browsing จำกัด Plugin ที่ไม่ปลอดภัย Deploy Browser Update และใช้ Security Setting อื่นๆ สำหรับ Browser ได้อย่างรวดเร็วและมีประสิทธิภาพ
TLS/ SSL Security
เพื่อให้มั่นใจในความลับและความสมบูรณ์ของข้อมูลที่ส่งระหว่างServerและ Client นั้น Security Configuration Management จะปิดใช้งาน TLS/SSL Encryption Protocol ที่ไม่ปลอดภัยในเชิงการเข้ารหัส และเปิดใช้ TLSv1.2 ที่ใหม่กว่าและปลอดภัยกว่า นอกจากนี้ยังจำกัดการสื่อสารที่เข้ารหัสด้วย TLS ไม่ให้ใช้ Cipher Suite และ Algorithm แบบ Default, NULL หรือรูปแบบอื่นที่ไม่ปลอดภัย
ปิดใช้งาน Legacy Protocol
Legacy Protocol เช่น Telnet, SMB (Server Message Block), SNMP (Simple Network Management Protocol), TFTP (Trivial File Transfer Protocol) และ Protocol รุ่นเก่าอื่นๆ อาจเปิดเผยข้อมูล configuration ของระบบ เปิดช่องให้แฮกเกอร์จากระยะไกลเข้าถึงโดยไม่ตั้งใจ และปูทางไปสู่การโจมตีแบบ Denial of Service ได้ คุณสามารถค้นหาอุปกรณ์ที่เปิดใช้ Protocol เหล่านี้อยู่ และจัดการได้อย่างรวดเร็ว
ดูรายการ Security Misconfiguration ที่ Vulnerability Manager Plus ตรวจพบ พร้อมแนวทางแก้ไข ตำแหน่ง GPO และข้อควรพิจารณาด้านความปลอดภัย
การดำเนินการเชิงรุกเพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีทางไซเบอร์เป็นสิ่งสำคัญอย่างยิ่ง ดาวน์โหลดทดลองใช้ฟรี 30 วัน ของ Vulnerability Manager Plus ได้แล้ววันนี้ เพื่อสร้างรากฐานด้านความปลอดภัยที่มั่นคงและหยุดยั้งผู้ไม่หวังดี