ภาพรวมภัยคุกคามสำหรับโครงสร้างพื้นฐานด้านการสื่อสารมีความเข้มข้นมากขึ้นอย่างมีนัยสำคัญ โดยมีกลุ่มฝ่ายตรงข้าม เช่น ผู้แสดงภัยคุกคามในเครือสาธารณรัฐประชาชนจีน (PRC) มุ่งเป้าไปที่ผู้ให้บริการโทรคมนาคมระดับโลก แคมเปญเหล่านี้เน้นย้ำถึงความจำเป็นในการมองเห็นที่ดีขึ้นและการป้องกันที่แข็งแกร่งต่อการแสวงหาผลประโยชน์
หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) พร้อมด้วยสำนักงานความมั่นคงแห่งชาติ, สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI), ศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งออสเตรเลียของคณะกรรมการสัญญาณแห่งออสเตรเลีย, ศูนย์รักษาความปลอดภัยทางไซเบอร์ของแคนาดา และศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งชาติของนิวซีแลนด์ ,ได้ออกคำแนะนำสำหรับวิศวกรเครือข่ายและผู้ปกป้องโครงสร้างพื้นฐานการสื่อสารอื่น ๆ คำแนะนำนี้รวมถึงแนวทางปฏิบัติที่ดีที่สุดที่ควรใช้เพื่อเพิ่มความสามารถในการมองเห็นและเพิ่มความแข็งแกร่งให้กับอุปกรณ์เครือข่ายจากการแสวงหาผลประโยชน์ที่ประสบความสำเร็จซึ่งดำเนินการโดยผู้ดำเนินการทางไซเบอร์ในเครือ PRC และผู้ดำเนินการทางไซเบอร์ที่เป็นอันตรายอื่นๆ
แนวทางร่วมเป็นการตอบสนองโดยตรงกับของโครงสร้างพื้นฐานโทรคมนาคมที่ดำเนินการโดยกลุ่มแฮ็คที่เชื่อมโยงกับรัฐบาลจีนที่รู้จักกันในชื่อ Salt Typhoon หัวใจสำคัญของคำแนะนำนี้คือมาตรการที่จัดลำดับความสำคัญความเป็นส่วนตัวของผู้ใช้และกลไกการตรวจสอบสิทธิ์ที่มีประสิทธิภาพซึ่งมีความสำคัญอย่างยิ่งในการต่อต้านภัยคุกคามทางไซเบอร์สมัยใหม่
“แม้ว่าจะปรับแต่งมาสำหรับผู้ปกป้องเครือข่ายและวิศวกรโครงสร้างพื้นฐานการสื่อสาร แต่คู่มือนี้อาจนำไปใช้กับองค์กรที่มีอุปกรณ์ระดับองค์กรในองค์กร” คำแนะนำระบุ “หน่วยงานที่จัดทำเอกสารสนับสนุนให้องค์กรโทรคมนาคมและองค์กรโครงสร้างพื้นฐานที่สำคัญอื่นๆ ใช้แนวปฏิบัติที่ดีที่สุดในคู่มือนี้”
“ณ วันที่เผยแพร่นี้” คำแนะนำดังกล่าว “ระบุการแสวงหาผลประโยชน์หรือการประนีประนอมที่เกี่ยวข้องกับกิจกรรมของผู้แสดงภัยคุกคามเหล่านี้ ซึ่งสอดคล้องกับจุดอ่อนที่มีอยู่ที่เกี่ยวข้องกับโครงสร้างพื้นฐานของเหยื่อ ไม่มีการสังเกตกิจกรรมใหม่ การแก้ไขอุปกรณ์และบริการที่มีช่องโหว่ ตลอดจนการรักษาสภาพแวดล้อมโดยทั่วไป จะช่วยลดโอกาสในการบุกรุกและลดกิจกรรมของผู้แสดง”
การมองเห็น ซึ่งเป็นรากฐานสำคัญของการป้องกันเครือข่ายในการติดตาม ตรวจจับ และทำความเข้าใจกิจกรรมภายในโครงสร้างพื้นฐาน เป็นส่วนสำคัญในการระบุภัยคุกคาม ช่องโหว่ และพฤติกรรมที่ผิดปกติที่อาจเกิดขึ้น ก่อนที่จะลุกลามไปสู่เหตุการณ์ด้านความปลอดภัยที่สำคัญ
วิศวกรเครือข่ายได้รับการกระตุ้นให้ตรวจสอบการเปลี่ยนแปลงการกำหนดค่าภายในสภาพแวดล้อมของตนอย่างเข้มงวด การปรับเปลี่ยนอุปกรณ์โดยไม่ได้รับอนุญาต เช่น เราเตอร์ สวิตช์ และไฟร์วอลล์ หากปล่อยทิ้งไว้โดยไม่ตรวจสอบ สามารถทำหน้าที่เป็นจุดเริ่มต้นสำหรับฝ่ายตรงข้ามได้
ควรใช้กลไกการแจ้งเตือนที่ครอบคลุมเพื่อตรวจจับการเปลี่ยนแปลงการกำหนดค่า การอัพเดตเส้นทาง และรายการควบคุมการเข้าถึง (ACL) การจัดเก็บการกำหนดค่าจากส่วนกลางและการตรวจสอบเป็นประจำช่วยให้มั่นใจถึงความสอดคล้องและลดความเสี่ยงของการปลอมแปลง โซลูชันการตรวจสอบการไหลของเครือข่าย ซึ่งวางกลยุทธ์ไว้ที่จุดเข้าและออกหลัก ให้การมองเห็นรูปแบบการรับส่งข้อมูล และช่วยตรวจจับความผิดปกติของการรับส่งข้อมูลระหว่างลูกค้า
เพื่อลดความเสี่ยง การรับส่งข้อมูลการจัดการต้องถูกจำกัดให้อยู่ในเส้นทางเครือข่ายที่ปลอดภัยและกำหนดไว้ โดยควรเข้าถึงผ่านเวิร์กสเตชันการดูแลระบบเฉพาะเท่านั้น การตรวจสอบสิทธิ์ผู้ใช้ควรได้รับการตรวจสอบอย่างต่อเนื่องเพื่อตรวจจับความผิดปกติ เช่น การเข้าสู่ระบบโดยไม่ได้รับอนุญาตหรือการใช้บัญชีที่ไม่ได้ใช้งาน ควรใช้ระบบการบันทึกแบบรวมศูนย์ซึ่งใช้โปรโตคอลการขนส่งที่เข้ารหัส เช่น IPsec หรือ TLS เพื่อจัดเก็บและวิเคราะห์บันทึกอย่างปลอดภัย ระบบเหล่านี้ควรเปิดใช้งานความสัมพันธ์และการวิเคราะห์ข้อมูลแบบเรียลไทม์ เพื่อเพิ่มความสามารถในการตรวจจับภัยคุกคาม
เครื่องมือการจัดการข้อมูลความปลอดภัยและเหตุการณ์ (SIEM) สามารถเพิ่มการมองเห็นได้อย่างมากโดยการรวบรวมข้อมูลจากแหล่งที่หลากหลายเพื่อระบุภัยคุกคามอย่างรวดเร็ว การสร้างพื้นฐานสำหรับพฤติกรรมเครือข่ายปกติจะช่วยกำหนดกฎสำหรับการตรวจจับและแจ้งเตือนกิจกรรมที่ผิดปกติ นอกจากนี้ การบำรุงรักษาอุปกรณ์และเฟิร์มแวร์ให้ทันสมัยช่วยให้มั่นใจถึงความเข้ากันได้และบรรเทาช่องโหว่
แนวทางการป้องกันในเชิงลึกเพื่อเสริมความแข็งแกร่งให้กับสถาปัตยกรรมเครือข่ายและอุปกรณ์จะช่วยลดพื้นผิวการโจมตีและเสริมความแข็งแกร่งให้กับการป้องกันจากการแสวงหาผลประโยชน์ การใช้การกำหนดค่าที่ปลอดภัยและการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดจะจำกัดช่องโหว่ที่อาจเกิดขึ้น
มาตรการเสริมความแข็งแกร่งที่สำคัญ ได้แก่ การใช้เครือข่ายการจัดการนอกแบนด์ ซึ่งแยกทางกายภาพออกจากเครือข่ายข้อมูลการปฏิบัติงาน การแยกนี้ป้องกันการเคลื่อนไหวด้านข้างในกรณีที่มีการละเมิด และรับประกันการจัดการโครงสร้างพื้นฐานเครือข่ายที่ปลอดภัย กลยุทธ์ ACL ที่เข้มงวดและปฏิเสธค่าเริ่มต้น ควบคู่ไปกับการตรวจสอบแพ็กเก็ตและการแบ่งส่วนโดยใช้ VLAN หรือ VLAN ส่วนตัว (PVLAN) จะช่วยเพิ่มความปลอดภัยให้ดียิ่งขึ้น บริการที่ติดต่อกับภายนอก เช่น DNS และเว็บเซิร์ฟเวอร์ ควรแยกออกจากกันภายในโซนปลอดทหารเพื่อป้องกันทรัพยากรภายใน
การกำหนดค่าเกตเวย์เครือข่ายส่วนตัวเสมือน (VPN) ที่ปลอดภัยถือเป็นสิ่งสำคัญ ควรเปิดเผยเฉพาะพอร์ตที่จำเป็นเท่านั้น และควรบังคับใช้โปรโตคอลการเข้ารหัสที่แข็งแกร่งสำหรับการแลกเปลี่ยนคีย์ การรับรองความถูกต้อง และการเข้ารหัส ควรปิดการใช้งานอัลกอริธึมการเข้ารหัสที่ล้าสมัยและคุณสมบัติที่ไม่ได้ใช้เพื่อลดช่องโหว่ Transport Layer Security เวอร์ชัน 1.3 ควรถูกนำมาใช้เพื่อรับรองความถูกต้องสมบูรณ์ของข้อมูลและการรักษาความลับ และใบรับรองที่ใช้โครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ควรแทนที่ใบรับรองที่ลงนามด้วยตนเองสำหรับการตรวจสอบสิทธิ์
กระบวนการรับรองความถูกต้องมีความสำคัญอย่างยิ่งในการรักษาความปลอดภัยเครือข่ายและความเป็นส่วนตัวของผู้ใช้ อุปกรณ์ทั้งหมดควรใช้กลไกการตรวจสอบความถูกต้องที่ปลอดภัยที่สุดที่มีอยู่ การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) โดยเฉพาะวิธีการ MFA ที่ป้องกันการฟิชชิ่ง เช่น การตรวจสอบสิทธิ์ PKI หรือ FIDO ที่ใช้ฮาร์ดแวร์ ควรได้รับคำสั่งสำหรับบัญชีผู้ดูแลระบบและบัญชีผู้ใช้ทั้งหมด MFA รับประกันว่าการเข้าถึงจะมอบให้เฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้น และลดโอกาสที่ข้อมูลประจำตัวที่ถูกบุกรุกจะถูกนำไปใช้ประโยชน์
นโยบายการจัดการเซสชันควรรวมระยะเวลาโทเค็นที่จำกัดและต้องมีการตรวจสอบสิทธิ์อีกครั้งเมื่อหมดอายุ ควรใช้กลยุทธ์การควบคุมการเข้าถึงตามบทบาทเพื่อกำหนดบทบาทเฉพาะให้กับผู้ใช้ เพื่อให้มั่นใจว่าผู้ใช้จะสามารถเข้าถึงทรัพยากรที่จำเป็นสำหรับความรับผิดชอบเท่านั้น การตรวจสอบกิจกรรมบัญชีและการอนุญาตเป็นระยะทำให้มั่นใจได้ว่าสอดคล้องกับหลักการของสิทธิ์ขั้นต่ำ
บัญชีที่ไม่ได้ใช้หรือไม่จำเป็นควรถูกปิดการใช้งานทันที บัญชีท้องถิ่นควรใช้เป็นทางเลือกสุดท้ายเท่านั้น โดยข้อมูลประจำตัวจะเปลี่ยนไปทันทีหลังการใช้งาน การรับรองความถูกต้องแบบรวมศูนย์ การให้สิทธิ์ และเซิร์ฟเวอร์การบัญชีที่รองรับ MFA ควรจัดการการเข้าถึงโครงสร้างพื้นฐานเป็นประจำ
องค์กรต้องใช้นโยบายรหัสผ่านที่เข้มงวด เพื่อให้แน่ใจว่ารหัสผ่านตรงตามข้อกำหนดที่ซับซ้อน และได้รับการจัดเก็บอย่างปลอดภัยโดยใช้อัลกอริธึมแฮชทางเดียว ควรหลีกเลี่ยงเทคนิคการแฮชที่เลิกใช้แล้ว เช่น รหัสผ่าน Type-5 หรือ Type-7 ควรใช้ตัวเลือกที่ปลอดภัย เช่น รหัสผ่าน Type-8 หรือคีย์ TACACS+ ที่เข้ารหัส Type-6 แทนในตำแหน่งที่รองรับ
มาตรฐานการเข้ารหัสจะต้องบังคับใช้อย่างพิถีพิถัน ตัวอย่างเช่น VPN ควรใช้อัลกอริธึมการแลกเปลี่ยนคีย์ที่มีประสิทธิภาพ เช่น Diffie-Hellman Group 16 ที่มี 4096-bit Modular Exponential หรือ Group 20 ที่มี 384-bit Elliptic Curve Group การเข้ารหัสควรใช้ประโยชน์จาก AES-256 โดยมีการแฮชโดยใช้ SHA-384 หรือ SHA-512 สำหรับโปรโตคอล Secure Shell ต้องใช้เวอร์ชัน 2.0 โดยมีคีย์ RSA อย่างน้อย 3072 บิต และขนาดคีย์ Diffie-Hellman 4096 บิต
อีกแง่มุมที่สำคัญของการรักษาความปลอดภัยโครงสร้างพื้นฐานการสื่อสารเกี่ยวข้องกับการจัดเตรียมและตอบสนองต่อเหตุการณ์ ระบบการบันทึกและการตรวจสอบแบบรวมศูนย์ควรมีความสามารถในการเก็บรักษาบันทึกอย่างปลอดภัยนอกสถานที่ เพื่อให้มั่นใจว่าจะไม่ถูกแก้ไขโดยผู้ไม่ประสงค์ดี บันทึกควรได้รับการเข้ารหัสระหว่างการส่งและการจัดเก็บเพื่อรักษาความสมบูรณ์ของข้อมูลและการรักษาความลับ
กรณีมีกิจกรรมน่าสงสัย องค์กรต้องมีช่องทางการรายงานที่ชัดเจน องค์กรในสหรัฐฯ ควรติดต่อศูนย์ร้องเรียนอาชญากรรมทางอินเทอร์เน็ตของ FBI หรือ CISA ในทำนองเดียวกัน หน่วยงานที่เกี่ยวข้องในออสเตรเลีย แคนาดา และนิวซีแลนด์ได้จัดตั้งกลไกการรายงานเพื่อจัดการกับเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
เพื่อปรับปรุงมาตรการรักษาความปลอดภัยโดยรวม ผู้ผลิตซอฟต์แวร์ได้รับการสนับสนุนให้ใช้หลักการรักษาความปลอดภัยโดยการออกแบบ ซึ่งเป็นแนวทางที่รวมมาตรการรักษาความปลอดภัยเข้ากับวงจรการพัฒนา ช่วยลดความจำเป็นของลูกค้าในการใช้มาตรการเสริมความแข็งแกร่งเพิ่มเติมหลังการใช้งาน ลูกค้าควรจัดลำดับความสำคัญในการซื้อซอฟต์แวร์และฮาร์ดแวร์ที่เป็นไปตามมาตรฐานการออกแบบที่ปลอดภัย และต้องการความรับผิดชอบจากผู้ขาย
คำแนะนำที่ระบุไว้ในแนวทางนี้มีจุดมุ่งหมายเพื่อลดความเสี่ยงที่เกิดจากผู้ที่เกี่ยวข้องกับภัยคุกคามทางไซเบอร์และหน่วยงานในเครือของ PRC การมองเห็นที่ดีขึ้นและกลไกการตรวจสอบความถูกต้องที่มีประสิทธิภาพเป็นองค์ประกอบสำคัญของโครงสร้างพื้นฐานการสื่อสารที่ปลอดภัย การนำแนวทางปฏิบัติที่ดีที่สุดเหล่านี้ไปใช้ องค์กรสามารถปกป้องข้อมูลที่ละเอียดอ่อน รับประกันความเป็นส่วนตัวของผู้ใช้ และรักษาความยืดหยุ่นของระบบที่สำคัญได้
หัวข้อบทความ
--------
