Subscribe to receive notifications of new posts:

การใช้ Cloudflare สำหรับการป้องกันข้อมูลสูญหาย (Data Loss Prevention)

03/24/2021

1 min read

การขโมยข้อมูลหรือการสูญหายของข้อมูลอาจเป็นการทดสอบที่ใช้เวลานานและมีราคาแพง ซึ่งทำให้เกิดการสูญเสียทางการเงิน การเชื่อมโยงแบรนด์เชิงลบ และบทลงโทษจากกฎหมายที่เน้นความเป็นส่วนตัว ยกตัวอย่าง เหตุการณ์ที่สมาร์ทกริดที่มีความละเอียดอ่อนและวัดข้อมูลความรู้ด้านการวิจัยและพัฒนาจากระบบควบคุมอุตสาหกรรมของยูทิลิตี้ไฟฟ้าในอเมริกาเหนือถูกกรองผ่านการโจมตีที่สงสัยว่ามีต้นตอมาจากภายในเครือข่าย การเข้าถึงข้อมูลจากบริษัทสาธารณูปโภคโดยไม่ได้รับอนุญาตอาจส่งผลให้สมาร์ทกริดหรือไฟฟ้าดับได้

ในอีกตัวอย่างหนึ่ง นักวิจัยด้านความปลอดภัยพบ API endpoints ที่เปิดเผยและไม่รู้จัก (ไม่มีเอกสาร) สำหรับเกตเวย์สำรองของเทสลาที่สามารถใช้เพื่อส่งออกข้อมูลหรือทำการเปลี่ยนแปลงโดยไม่ได้รับอนุญาต สิ่งนี้จะมีผลกระทบทางกายภาพอย่างแท้จริงหากผู้โจมตีใช้ API endpoint ที่ไม่ผ่านการตรวจสอบสิทธิ์เพื่อสร้างความเสียหายให้กับแบตเตอรี่หรือกริดไฟฟ้าที่เชื่อมต่อ

ที่มา: รายงานการตรวจสอบการละเมิดข้อมูล Verizon 2020
ที่มา: รายงานการตรวจสอบการละเมิดข้อมูล Verizon 2020

ตัวอย่างทั้งสองนี้เน้นย้ำถึงความสำคัญของการพิจารณาภัยคุกคามภายในและภายนอกเมื่อคิดถึงวิธีป้องกันเครือข่ายจากการขโมยข้อมูล ภัยคุกคามจากข้อมูลภายในไม่จำเป็นว่าผู้ใช้จะจงใจสร้างความเสียหาย: ตามรายงานภัยคุกคามจากภายในปี 2019 ของ Fortinet จากองค์กรที่สำรวจ 71% มีความกังวลเกี่ยวกับผู้ใช้ที่ประมาททำให้เกิดการละเมิดโดยไม่ได้ตั้งใจ และ 65% กังวลเกี่ยวกับผู้ใช้ที่เพิกเฉยต่อนโยบายแต่ไม่มุ่งร้าย ผู้โจมตีที่ดำเนินการสำเร็จแฮ็ค Twitter ในปี 2020เพื่อเข้าถึงบัญชีที่โดดเด่นที่เริ่มต้นด้วยการโจมตีทางวิศวกรรมสังคมต่อพนักงาน จากนั้นผู้โจมตีได้เปลี่ยนไปใช้เครื่องมือการดูแลระบบภายในเพื่อเปลี่ยนการตั้งค่าบัญชีลูกค้า รวมถึงการโพสต์ในนามของพวกเขาหรือแก้ไขอีเมลและ 2FA

บนพื้นผิวอาจดูเหมือนเป็นเพียงการหลอกลวง Bitcoin แต่ผู้โจมตีก็เช่นกันดาวน์โหลดและดึงข้อมูลออกจากบัญชีเจ็ดบัญชีหากบัญชีของผู้ใช้ภายในถูกบุกรุกได้สำเร็จผ่านการพยายาม vishing(วิชชิ่ง)(รูปแบบหนึ่งของการโจมตีทางวิศวกรรมสังคมที่ใช้ฟิชชิ่งด้วยเสียง) การเพิ่มฮาร์ดคีย์หรือการใช้สิทธิ์บัญชีแบบละเอียดกับเครื่องมือการดูแลระบบอาจขัดขวางการเข้าถึงของผู้โจมตี ต่อมาในสัปดาห์ความปลอดภัย เราจะอธิบายการแฮ็ก Twitter จากมุมของการโจมตีเพื่อเข้าครอบครองบัญชีและวิธีที่จะสามารถบรรเทาได้

การขโมยข้อมูลไม่จำเป็นต้องใช้เทคนิคที่ซับซ้อนหรือเครื่องมือที่คลุมเครือ ผู้ใช้ที่ถูกฟิชชิ่งร่วมกับนโยบายที่อนุญาตเกินบนปลายทาง แทนที่จะใช้บัญชี สามารถให้ผู้โจมตีเข้าถึงที่จำเป็นสำหรับการกรองข้อมูล การบล็อกโดเมนที่เป็นอันตรายในโซลูชันการป้องกันอีเมลของคุณเป็นขั้นตอนที่ทีมรักษาความปลอดภัยจำนวนมากพึ่งพาเพื่อตอบสนองต่อการโจมตีทางวิศวกรรมสังคม แต่จะเกิดอะไรขึ้นถ้าทรัพยากรที่เป็นอันตรายถูกแบ่งปันจากด้านข้างและไม่ใช่จากแหล่งภายนอกไปยังแหล่งภายใน โดเมนที่เป็นอันตรายสามารถแชร์ระหว่างพนักงานในการแชทหรือผ่านรูปแบบการสื่อสารอื่นที่ไม่ใช่อีเมล สิ่งนี้ทำให้เกิดช่องว่างที่ทำให้ทีมรักษาความปลอดภัยเสียเปรียบในการปกป้องผู้ใช้และข้อมูลภายใน

เราให้ความสำคัญกับแนวทางการป้องกันและติดตามแบบหลายชั้นเสมอมา สำหรับเครื่องมือภายในของเรา เรามีการควบคุมการเข้าถึงตามบทบาทและตามความเสี่ยง เราวางแอปพลิเคชันของเราไว้ด้านหลัง Access เพื่อเพิ่มชั้นการอนุญาตที่ด้านบนของการรับรองความถูกต้อง การเพิ่มแอปพลิเคชัน SaaS เบื้องหลัง Access ช่วยให้เราเชื่อมต่อผู้ใช้กับสิ่งที่พวกเขาต้องการได้อย่างปลอดภัย ไม่ว่าจะเป็นในสถานที่หรือในระบบคลาวด์ ด้วยพนักงานจากระยะไกล Access ช่วยให้เรากำหนดค่านโยบายตามสถานที่ ประเภทอุปกรณ์ ตำแหน่งอุปกรณ์ และวิธีการ MFA เมื่อเราก้าวไปสู่สภาพแวดล้อมที่ไม่ใช้ VPN Access จะทำหน้าที่เป็นอุโมงค์ที่ปลอดภัย ทีมตรวจจับและตอบสนองของเราจะตรวจสอบทั้งบันทึกการเข้าถึงและบันทึกแอปพลิเคชัน SaaS เพื่อหาความผิดปกติ ในไม่ช้า เราจะเพิ่มการบันทึกการเข้าใช้ภายในแอปพลิเคชัน SaaS ซึ่งจะทำให้บันทึกสมบูรณ์ยิ่งขึ้นและปรับบริบทให้เหมาะสม

การปกป้องปลายทางโดยใช้ Cloudflare ยังรวมถึงไคลเอ็นต์ที่ใช้ในการบังคับใช้นโยบายด้วย กฎไฟร์วอลล์ของเกตเวย์สามารถใช้กับ Access เพื่อใช้แนวทางแบบองค์รวมมากขึ้นที่เลเยอร์ L4 (เครือข่าย) และ L7 (HTTP) เราใช้ตำแหน่งเกตเวย์เพื่อจำกัดการสืบค้น DNS ให้กับโดเมนที่เป็นอันตราย

เนื่องจากพนักงานทำงานจากระยะไกล บริษัทต่างๆ จะไม่สามารถบังคับใช้นโยบายเครือข่ายที่จุดออกของสำนักงานของบริษัทได้ ด้วยการใช้ไคลเอนต์เดสก์ท็อป WARP ของเราร่วมกับเกตเวย์บนจุดปลายผู้ใช้ของเรา ทีมรักษาความปลอดภัยสามารถมองเห็นบันทึก DNS พร้อมความสามารถในการบังคับใช้นโยบายที่ครั้งหนึ่งเคยสามารถใช้ได้ในสำนักงานของบริษัทในขณะที่รักษาความเป็นส่วนตัว เกตเวย์ทำหน้าที่เป็นตัวแก้ไข DNS บนอุปกรณ์ขององค์กร ซึ่งไม่เพียงแต่ช่วยให้ทีมตอบสนองต่อเหตุการณ์และระบุสาเหตุได้อย่างมีประสิทธิภาพมากขึ้น แต่ยังช่วยป้องกันด้วยการระบุเครื่องที่ถูกบุกรุกซึ่งเยี่ยมชมโดเมนที่เป็นอันตราย WARP ช่วยให้มั่นใจได้ว่าการรับส่งข้อมูล DNS ได้รับการเข้ารหัส ดังนั้นจึงเป็นการปกป้องความเป็นส่วนตัวของผู้ใช้

เครื่องมือแยกเบราว์เซอร์ของเราให้การป้องกันในชั้นที่ใกล้กับผู้ใช้มากที่สุดและเป็นที่ที่พวกเขาอาจใช้เวลาส่วนใหญ่ในการเข้าถึงแอปพลิเคชันบนคลาวด์ มันมีประโยชน์ทั้งการป้องกันและการตอบสนอง มันสามารถใช้เพื่อลบการเข้าถึงบางแอป SaaS ป้องกันไม่ให้ผู้ใช้คัดลอก/วาง จำกัดการพิมพ์ และบล็อกการดาวน์โหลดไฟล์ กล่าวอีกนัยหนึ่ง ข้อมูลที่โฮสต์ในบริการคลาวด์สามารถป้องกันได้ในหลายจุดที่สำคัญ ซึ่งจะทำให้ยากต่อการกรองข้อมูล ผ่านนโยบาย การแยกเบราว์เซอร์สามารถกำหนดค่าสำหรับแต่ละโดเมน ผู้ใช้ และหรือหมวดหมู่กว้างๆ ของเว็บไซต์ การแยกเบราว์เซอร์ยังช่วยให้ผู้ตอบสนองสามารถระบุจุดปลายที่อาจถูกบุกรุกโดยการจับโดเมนที่เป็นอันตรายที่รู้จักหรือดาวน์โหลดไฟล์บางไฟล์ผ่านเบราว์เซอร์ได้อย่างรวดเร็ว

นี่คือจุดเริ่มต้นของโมเดล Zero Trust หากคุณไม่เคยได้ยินเรื่องนี้มาก่อน นี่เป็นการแนะนำข้อเสนอที่ดี Cloudflare Access เป็นส่วนสำคัญของชุดเครื่องมือของ Cloudflare One ที่ช่วยให้องค์กรต่างๆ ใช้โมเดล Zero Trust บนเครือข่ายของพวกเขา เราใช้ Cloudflare Access เพื่อจัดการแนวทางนโยบายที่เป็นหนึ่งเดียวกันสำหรับทรัพยากรภายใน ในฐานะวิศวกรความปลอดภัยในทีมตรวจจับและตอบสนองที่ตอบสนองต่อเหตุการณ์ที่เราต้องทำการเปลี่ยนแปลงการเข้าถึงทั่วทั้งบริษัท Cloudflare Access และ Cloudflare Access สำหรับแอปพลิเคชัน SaaS ทำให้เราอยู่ในฐานะที่จะผลักดันนโยบายอย่างมีประสิทธิภาพและมุ่งเน้นไปที่รายการที่มีลำดับความสำคัญสูงกว่า โดยไม่ต้องกังวลเกี่ยวกับการเปลี่ยนแปลงระดับแอปพลิเคชัน การจัดการการเข้าถึงที่จุดศูนย์กลางสำหรับแอปพลิเคชันที่มิฉะนั้นจะต้องได้รับการจัดการทีละรายการจะช่วยปรับปรุงเวลาในการตอบสนองของเราได้อย่างมาก

การย้ายไปยังเลเยอร์ API นั้น API Shield ของ Cloudflare ทำหน้าที่เป็นจุดหลักในการจัดการการควบคุมความปลอดภัยของ API ลองนึกถึงอุปกรณ์ IoT ที่เปิดเผยผ่าน API จำนวนมาก เช่น เกตเวย์ของเทสลา API Shield ให้แนวทางแบบหลายชั้นเพื่อจำกัดการเปิดเผยข้อมูลโดยไม่ได้ตั้งใจ ตัวอย่างเช่น สคีมาสามารถตรวจสอบได้เพื่อลดโอกาสที่ระบบดาวน์สตรีมจะถูกบุกรุกโดยอินพุตที่ไม่คาดคิด คำขอไปยังปลายทางสามารถจำกัดได้เฉพาะไคลเอ็นต์ที่มีใบรับรอง SSL/TLS ของไคลเอ็นต์ที่ถูกต้อง และสัญญาณรบกวนที่มาจากแหล่งที่มา เช่น พร็อกซี Open SOCKS สามารถกรองออกได้ พร้อมกับคำขอที่มาจากอุปกรณ์หรือภูมิภาคที่ API ไม่ควรสื่อสารด้วย การประกาศในวันนี้รวมถึงความสามารถในการสร้างความสับสนของข้อมูล และในปลายสัปดาห์นี้ เราจะประกาศวิธีการค้นพบ API "เงา" ที่ทีมรักษาความปลอดภัยของคุณอาจไม่ทราบ และตรวจพบกิจกรรมการโทรที่ผิดปกติ

ในฐานะวิศวกรการตรวจจับและการตอบสนอง มีหลายเหตุการณ์ที่ปัญหาด้านความปลอดภัยต้องการให้เราเข้าใจว่าการเข้าถึงระบบเหล่านี้ทำงานอย่างไรในทันที ระบบที่แตกต่างกันได้รับการจัดการที่แตกต่างกัน และบทบาทไม่ได้ถูกกำหนดอย่างเหมือนกันเสมอไป สิ่งนี้ทำให้การตอบกลับในขณะนั้นทำได้ยากมากและบ่อยครั้งกว่านั้น ทำให้เราต้องสนทนากับเจ้าของระบบเพื่อทำความเข้าใจการเข้าถึงให้ดียิ่งขึ้น การใช้การป้องกันแบบหลายชั้นที่ Cloudflare One, Browser Isolation และ API Shield มีให้ ทีมรักษาความปลอดภัยอยู่ในตำแหน่งที่พวกเขาสามารถมุ่งเน้นไปที่การป้องกันแทนที่จะตอบสนอง

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
Security Week (TH)Cloudflare One (TH)Data Loss Prevention (TH)

Follow on X

Misha Yalavarthy|@Mushhuuu
Cloudflare|@cloudflare

Related posts