top of page

การจัดการพื้นผิวการโจมตี (Attack Surface Management - ASM)

อัปเดตเมื่อ 20 ก.ค.


Attack Surface Management

แม้จะมีความก้าวหน้าหลายประการในช่วงไม่กี่ปีที่ผ่านมา เราเชื่อว่ายังคงมีความท้าทายหลายประการเกี่ยวกับการจัดการพื้นผิวการโจมตีและการจัดการการเปิดเผยข้อมูล: "องค์กรต่างๆ ต้องจัดการกับพื้นผิวการโจมตีที่เพิ่มขึ้น เนื่องจากสภาพแวดล้อมทางเทคโนโลยีมีความซับซ้อนและกระจัดกระจายมากขึ้น ทั้งในองค์กรและบนคลาวด์ แอปพลิเคชัน SaaS และจุดเชื่อมต่อห่วงโซ่อุปทานกำลังขยายพื้นผิวการโจมตี คอนเทนเนอร์และระบบไซเบอร์-กายภาพ เช่น อินเทอร์เน็ตของสรรพสิ่ง (Internet of Things) ก็กำลังนำเสนอพื้นผิวการโจมตีใหม่ๆ เช่นกัน"


ตามรายงาน Gartner® Innovation Insight for Attack Surface Management ปี 2024 กล่าวว่า "โดยทั่วไปแล้ว โซลูชันพื้นผิวการโจมตีมุ่งเน้นไปที่การระบุข้อบกพร่องในสุขอนามัยด้านความปลอดภัยของสินทรัพย์ที่มองเห็นได้จากภายนอกเป็นหลัก โซลูชันเหล่านี้กำลังขยายขอบเขตอย่างรวดเร็วไปไกลกว่าการประเมินแบบดั้งเดิมของเทคโนโลยีที่หันหน้าออกสู่ภายนอกที่ลูกค้าเป็นเจ้าของ โดยมุ่งเน้นไปที่ความเสี่ยงต่อแบรนด์ ความเสี่ยงต่อชื่อเสียง และความเสี่ยงจากระบบ SaaS และบุคคลที่สาม"


เทคโนโลยีและความสามารถของ ASA (Attack Surface Assessment) กำลังได้รับแรงผลักดันในตลาดเกิดใหม่ เช่น CAASM (Cyber Asset Attack Surface Management) และตลาดที่กำลังรวมตัวกัน เช่น VA (Vulnerability Assessment) เทคโนโลยีเหล่านี้ช่วยให้องค์กรสามารถประเมินพื้นผิวการโจมตีได้มากขึ้นอย่างมีประสิทธิภาพ และจัดลำดับความสำคัญของความเสี่ยงที่ส่งผลกระทบต่อสินทรัพย์ดิจิทัลทั้งที่ควบคุมได้และควบคุมไม่ได้


คำแนะนำสำคัญจากรายงานระบุว่า "ผู้นำด้านความปลอดภัยและการจัดการความเสี่ยงที่รับผิดชอบในการจัดการพื้นผิวการโจมตีขององค์กรในฐานะส่วนหนึ่งของฟังก์ชันการปฏิบัติการด้านความปลอดภัย ควรลงทุนในโซลูชันพื้นผิวการโจมตีที่สอดคล้องกับวัตถุประสงค์สำหรับกระบวนการและโปรแกรมการจัดการการเปิดเผยข้อมูลที่กว้างขึ้น เช่น การจัดการการเปิดเผยภัยคุกคามอย่างต่อเนื่อง (Continuous Threat Exposure Management - CTEM)"


การจัดการพื้นผิวการโจมตี (Attack Surface Management) เทียบกับการประเมินพื้นผิวการโจมตี (Attack Surface Assessment)?


CAASM EASM DRPS

มุมมองของ Gartner คือ "แม้จะเป็นที่เข้าใจกันโดยทั่วไป แต่ 'การจัดการพื้นผิวการโจมตี' (Attack Surface Management - ASM) เป็นคำที่ไม่ถูกต้องในการอธิบายเทคโนโลยีและบริการที่ค้นพบ จัดทำรายการ และบริบทของสินทรัพย์ขององค์กรอย่างต่อเนื่อง สินทรัพย์สามารถเป็นได้ทั้งทางกายภาพและดิจิทัล ทั้งภายในและภายนอก และเป็นเจ้าของหรือเป็นส่วนหนึ่งของการสมัครสมาชิก การค้นพบ การจัดทำรายการ และการให้บริบทเป็นกระบวนการประเมินมากกว่าการจัดการ ดังนั้น 'การประเมินพื้นผิวการโจมตี' (Attack Surface Assessment - ASA) จึงเป็นคำที่ถูกต้องมากกว่า" แม้จะมีการชี้แจงนี้ แต่เพื่อความสอดคล้อง เราจะยังคงใช้คำย่อ ASM ที่เป็นที่รู้จักกันอย่างกว้างขวางตลอดบทความนี้


องค์ประกอบหลักของการจัดการพื้นผิวการโจมตี

โซลูชันพื้นผิวการโจมตียังคงเป็นหนึ่งในเสาหลักของภูมิทัศน์การจัดการการเปิดเผยข้อมูลที่กว้างขึ้น เครื่องมือ ASA เหล่านี้แบ่งออกเป็นสามพื้นที่เทคโนโลยีหลัก ได้แก่ การจัดการพื้นผิวการโจมตีของสินทรัพย์ไซเบอร์ (Cyber Asset Attack Surface Management - CAASM) บริการป้องกันความเสี่ยงดิจิทัล (Digital Risk Protection Services - DRPS) และการจัดการพื้นผิวการโจมตีภายนอก (External Attack Surface Management - EASM)


เทคโนโลยี ASA ส่วนใหญ่ให้ความสามารถสองหมวดหมู่

  • การมองเห็น: ขยายขอบเขตของสินทรัพย์ที่ครอบคลุมและสร้างความตระหนักถึงความเสี่ยงทางไซเบอร์ที่การมองเห็นของผู้โจมตีที่เพิ่มขึ้นอาจส่งผลต่อสินทรัพย์เหล่านั้น

  • ความน่าสนใจ: ประเมินความน่าสนใจของสินทรัพย์เฉพาะและความเป็นไปได้ที่อาจถูกเล็งเป้าหมายโดยบุคคลที่สาม


อย่างไรก็ตาม ยังคงมีความสับสนเกี่ยวกับสามสิ่งนี้อยู่บ้าง เนื่องจากการซ้อนทับกันในกรณีการใช้งานบางอย่างที่รองรับ:

  • EASM มีจุดเน้นที่เทคนิคและการปฏิบัติการมากกว่า มันสนับสนุนผู้เชี่ยวชาญด้านการปฏิบัติการความปลอดภัยที่เกี่ยวข้องกับกิจกรรมต่างๆ เช่น VA การทดสอบการเจาะระบบ และการล่าภัยคุกคาม ผู้ให้บริการ EASM บางรายกำลังรวมตัวกับการจำลองการละเมิดและการโจมตี (Breach and Attack Simulation - BAS) เทคโนโลยี VA และผู้ให้บริการเทคโนโลยีความปลอดภัยอื่นๆ ผ่านการเข้าซื้อกิจการ

  • DRPS ในทางตรงกันข้ามกับ EASM สนับสนุนกิจกรรมที่เน้นธุรกิจมากกว่า เช่น การประเมินความเสี่ยงดิจิทัลขององค์กร การปฏิบัติตามกฎระเบียบ และการปกป้องแบรนด์และผู้บริหาร ความแตกต่างที่สำคัญอีกประการระหว่าง EASM และ DRPS คือ DRPS มักจะให้บริการเสริมเพื่อดำเนินฟังก์ชันต่างๆ เช่น การลบข้อมูล

  • CAASM ทำงานแตกต่างออกไป ฟังก์ชันการค้นพบของมันทำงานหลักๆ โดยการรวมกับเครื่องมือ IT ที่มีอยู่ผ่าน API แทนที่จะเป็นการสแกนหรือตรวจสอบระบบโดยไม่ระบุตัวตน เนื่องจาก CAASM มีการเข้าถึงสภาพแวดล้อมภายในมากกว่า จึงให้ข้อมูลที่อุดมสมบูรณ์และน่าเชื่อถือมากกว่า อย่างไรก็ตาม ความสมบูรณ์ของรายการสินทรัพย์ที่ CAASM สร้างขึ้นนั้นขึ้นอยู่กับคุณภาพของแหล่งข้อมูลที่มีอยู่ขององค์กร

ประโยชน์หลักและการใช้งานสำหรับโซลูชันการประเมินพื้นผิวการโจมตี

จุดมุ่งหมายรองของ CAASM คือการให้มุมมองแบบองค์รวมของรายการสินทรัพย์ขององค์กร (CMDB) กระทบยอดข้อมูลที่ซ้ำซ้อนหรือไม่สอดคล้องกัน และเปิดใช้งานขั้นตอนอัตโนมัติบางอย่างเพื่ออัปเดตข้อมูล นอกจากนี้ Gartner ยังเน้นย้ำถึงประโยชน์อื่นๆ ในรายงานเช่น:


  • การปรับปรุงการมองเห็นสินทรัพย์ช่วยให้องค์กรหลีกเลี่ยงจุดบอดและเทคโนโลยีที่ไม่ได้รับการจัดการ (เช่น Shadow IT) ทำให้สถานะความปลอดภัยแข็งแกร่งขึ้นและสนับสนุนการจัดการความเสี่ยงที่ครอบคลุมมากขึ้น

  • ได้รับข้อมูลเชิงลึกที่นำไปปฏิบัติได้และตัวชี้วัดที่มีความหมายจากเทคโนโลยี ASA และสามารถติดตามได้ตลอดเวลา สิ่งเหล่านี้ช่วยแสดงให้เห็นถึงคุณค่าของการทำให้ CTEM เป็นส่วนหนึ่งของโปรแกรมความปลอดภัยทางไซเบอร์

  • การรายงานการปฏิบัติตามการตรวจสอบที่เร็วขึ้นได้รับการเปิดใช้งานโดยรายงานการควบคุมสินทรัพย์และความปลอดภัยที่แม่นยำ ทันสมัย และสมบูรณ์มากขึ้น

  • จัดลำดับความสำคัญของความเสี่ยงการเปิดเผยได้ดีขึ้นในกระบวนการจัดการช่องโหว่และการตรวจสอบการเปิดเผย

  • ASA ลดการต่อต้านการเก็บรวบรวมข้อมูลและช่วยให้เข้าใจองค์กร Shadow IT แอปพลิเคชันที่ติดตั้งของบุคคลที่สาม และแอปพลิเคชันสายธุรกิจที่ IT ขาดการกำกับดูแลและการควบคุมได้กว้างขวางขึ้น จากประสบการณ์ของเรา การมองเห็นแบบ 360 องศานี้เป็นประโยชน์อย่างมากสำหรับทีมรักษาความปลอดภัยที่สามารถป้องกันได้เฉพาะสิ่งที่พวกเขารู้

ดู 174 ครั้ง
bottom of page