สมัครเพื่อรับการแจ้งเตือนเมื่อมีโพสต์ใหม่:สมัครรับข้อมูล

การใช้ Cloudflare สำหรับการป้องกันข้อมูลสูญหาย (Data Loss Prevention)

2021-03-24

อ่านเมื่อ 5 นาทีก่อน
โพสต์นี้ยังแสดงเป็นภาษาEnglish, 日本語, 한국어, Español, Indonesia และ简体中文ด้วย

การขโมยข้อมูลหรือการสูญหายของข้อมูลอาจเป็นการทดสอบที่ใช้เวลานานและมีราคาแพง ซึ่งทำให้เกิดการสูญเสียทางการเงิน การเชื่อมโยงแบรนด์เชิงลบ และบทลงโทษจากกฎหมายที่เน้นความเป็นส่วนตัว ยกตัวอย่าง เหตุการณ์ที่สมาร์ทกริดที่มีความละเอียดอ่อนและวัดข้อมูลความรู้ด้านการวิจัยและพัฒนาจากระบบควบคุมอุตสาหกรรมของยูทิลิตี้ไฟฟ้าในอเมริกาเหนือถูกกรองผ่านการโจมตีที่สงสัยว่ามีต้นตอมาจากภายในเครือข่าย การเข้าถึงข้อมูลจากบริษัทสาธารณูปโภคโดยไม่ได้รับอนุญาตอาจส่งผลให้สมาร์ทกริดหรือไฟฟ้าดับได้

ในอีกตัวอย่างหนึ่ง นักวิจัยด้านความปลอดภัยพบ API endpoints ที่เปิดเผยและไม่รู้จัก (ไม่มีเอกสาร) สำหรับเกตเวย์สำรองของเทสลาที่สามารถใช้เพื่อส่งออกข้อมูลหรือทำการเปลี่ยนแปลงโดยไม่ได้รับอนุญาต สิ่งนี้จะมีผลกระทบทางกายภาพอย่างแท้จริงหากผู้โจมตีใช้ API endpoint ที่ไม่ผ่านการตรวจสอบสิทธิ์เพื่อสร้างความเสียหายให้กับแบตเตอรี่หรือกริดไฟฟ้าที่เชื่อมต่อ

ที่มา: รายงานการตรวจสอบการละเมิดข้อมูล Verizon 2020

Source: Verizon 2020 Data Breach Investigations Report

ตัวอย่างทั้งสองนี้เน้นย้ำถึงความสำคัญของการพิจารณาภัยคุกคามภายในและภายนอกเมื่อคิดถึงวิธีป้องกันเครือข่ายจากการขโมยข้อมูล ภัยคุกคามจากข้อมูลภายในไม่จำเป็นว่าผู้ใช้จะจงใจสร้างความเสียหาย: ตามรายงานภัยคุกคามจากภายในปี 2019 ของ Fortinet จากองค์กรที่สำรวจ 71% มีความกังวลเกี่ยวกับผู้ใช้ที่ประมาททำให้เกิดการละเมิดโดยไม่ได้ตั้งใจ และ 65% กังวลเกี่ยวกับผู้ใช้ที่เพิกเฉยต่อนโยบายแต่ไม่มุ่งร้าย ผู้โจมตีที่ดำเนินการสำเร็จแฮ็ค Twitter ในปี 2020เพื่อเข้าถึงบัญชีที่โดดเด่นที่เริ่มต้นด้วยการโจมตีทางวิศวกรรมสังคมต่อพนักงาน จากนั้นผู้โจมตีได้เปลี่ยนไปใช้เครื่องมือการดูแลระบบภายในเพื่อเปลี่ยนการตั้งค่าบัญชีลูกค้า รวมถึงการโพสต์ในนามของพวกเขาหรือแก้ไขอีเมลและ 2FA

บนพื้นผิวอาจดูเหมือนเป็นเพียงการหลอกลวง Bitcoin แต่ผู้โจมตีก็เช่นกันดาวน์โหลดและดึงข้อมูลออกจากบัญชีเจ็ดบัญชีหากบัญชีของผู้ใช้ภายในถูกบุกรุกได้สำเร็จผ่านการพยายาม vishing(วิชชิ่ง)(รูปแบบหนึ่งของการโจมตีทางวิศวกรรมสังคมที่ใช้ฟิชชิ่งด้วยเสียง) การเพิ่มฮาร์ดคีย์หรือการใช้สิทธิ์บัญชีแบบละเอียดกับเครื่องมือการดูแลระบบอาจขัดขวางการเข้าถึงของผู้โจมตี ต่อมาในสัปดาห์ความปลอดภัย เราจะอธิบายการแฮ็ก Twitter จากมุมของการโจมตีเพื่อเข้าครอบครองบัญชีและวิธีที่จะสามารถบรรเทาได้

การขโมยข้อมูลไม่จำเป็นต้องใช้เทคนิคที่ซับซ้อนหรือเครื่องมือที่คลุมเครือ ผู้ใช้ที่ถูกฟิชชิ่งร่วมกับนโยบายที่อนุญาตเกินบนปลายทาง แทนที่จะใช้บัญชี สามารถให้ผู้โจมตีเข้าถึงที่จำเป็นสำหรับการกรองข้อมูล การบล็อกโดเมนที่เป็นอันตรายในโซลูชันการป้องกันอีเมลของคุณเป็นขั้นตอนที่ทีมรักษาความปลอดภัยจำนวนมากพึ่งพาเพื่อตอบสนองต่อการโจมตีทางวิศวกรรมสังคม แต่จะเกิดอะไรขึ้นถ้าทรัพยากรที่เป็นอันตรายถูกแบ่งปันจากด้านข้างและไม่ใช่จากแหล่งภายนอกไปยังแหล่งภายใน โดเมนที่เป็นอันตรายสามารถแชร์ระหว่างพนักงานในการแชทหรือผ่านรูปแบบการสื่อสารอื่นที่ไม่ใช่อีเมล สิ่งนี้ทำให้เกิดช่องว่างที่ทำให้ทีมรักษาความปลอดภัยเสียเปรียบในการปกป้องผู้ใช้และข้อมูลภายใน

เราให้ความสำคัญกับแนวทางการป้องกันและติดตามแบบหลายชั้นเสมอมา สำหรับเครื่องมือภายในของเรา เรามีการควบคุมการเข้าถึงตามบทบาทและตามความเสี่ยง เราวางแอปพลิเคชันของเราไว้ด้านหลัง Access เพื่อเพิ่มชั้นการอนุญาตที่ด้านบนของการรับรองความถูกต้อง การเพิ่มแอปพลิเคชัน SaaS เบื้องหลัง Access ช่วยให้เราเชื่อมต่อผู้ใช้กับสิ่งที่พวกเขาต้องการได้อย่างปลอดภัย ไม่ว่าจะเป็นในสถานที่หรือในระบบคลาวด์ ด้วยพนักงานจากระยะไกล Access ช่วยให้เรากำหนดค่านโยบายตามสถานที่ ประเภทอุปกรณ์ ตำแหน่งอุปกรณ์ และวิธีการ MFA เมื่อเราก้าวไปสู่สภาพแวดล้อมที่ไม่ใช้ VPN Access จะทำหน้าที่เป็นอุโมงค์ที่ปลอดภัย ทีมตรวจจับและตอบสนองของเราจะตรวจสอบทั้งบันทึกการเข้าถึงและบันทึกแอปพลิเคชัน SaaS เพื่อหาความผิดปกติ ในไม่ช้า เราจะเพิ่มการบันทึกการเข้าใช้ภายในแอปพลิเคชัน SaaS ซึ่งจะทำให้บันทึกสมบูรณ์ยิ่งขึ้นและปรับบริบทให้เหมาะสม

การปกป้องปลายทางโดยใช้ Cloudflare ยังรวมถึงไคลเอ็นต์ที่ใช้ในการบังคับใช้นโยบายด้วย กฎไฟร์วอลล์ของเกตเวย์สามารถใช้กับ Access เพื่อใช้แนวทางแบบองค์รวมมากขึ้นที่เลเยอร์ L4 (เครือข่าย) และ L7 (HTTP) เราใช้ตำแหน่งเกตเวย์เพื่อจำกัดการสืบค้น DNS ให้กับโดเมนที่เป็นอันตราย

เนื่องจากพนักงานทำงานจากระยะไกล บริษัทต่างๆ จะไม่สามารถบังคับใช้นโยบายเครือข่ายที่จุดออกของสำนักงานของบริษัทได้ ด้วยการใช้ไคลเอนต์เดสก์ท็อป WARP ของเราร่วมกับเกตเวย์บนจุดปลายผู้ใช้ของเรา ทีมรักษาความปลอดภัยสามารถมองเห็นบันทึก DNS พร้อมความสามารถในการบังคับใช้นโยบายที่ครั้งหนึ่งเคยสามารถใช้ได้ในสำนักงานของบริษัทในขณะที่รักษาความเป็นส่วนตัว เกตเวย์ทำหน้าที่เป็นตัวแก้ไข DNS บนอุปกรณ์ขององค์กร ซึ่งไม่เพียงแต่ช่วยให้ทีมตอบสนองต่อเหตุการณ์และระบุสาเหตุได้อย่างมีประสิทธิภาพมากขึ้น แต่ยังช่วยป้องกันด้วยการระบุเครื่องที่ถูกบุกรุกซึ่งเยี่ยมชมโดเมนที่เป็นอันตราย WARP ช่วยให้มั่นใจได้ว่าการรับส่งข้อมูล DNS ได้รับการเข้ารหัส ดังนั้นจึงเป็นการปกป้องความเป็นส่วนตัวของผู้ใช้

เครื่องมือแยกเบราว์เซอร์ของเราให้การป้องกันในชั้นที่ใกล้กับผู้ใช้มากที่สุดและเป็นที่ที่พวกเขาอาจใช้เวลาส่วนใหญ่ในการเข้าถึงแอปพลิเคชันบนคลาวด์ มันมีประโยชน์ทั้งการป้องกันและการตอบสนอง มันสามารถใช้เพื่อลบการเข้าถึงบางแอป SaaS ป้องกันไม่ให้ผู้ใช้คัดลอก/วาง จำกัดการพิมพ์ และบล็อกการดาวน์โหลดไฟล์ กล่าวอีกนัยหนึ่ง ข้อมูลที่โฮสต์ในบริการคลาวด์สามารถป้องกันได้ในหลายจุดที่สำคัญ ซึ่งจะทำให้ยากต่อการกรองข้อมูล ผ่านนโยบาย การแยกเบราว์เซอร์สามารถกำหนดค่าสำหรับแต่ละโดเมน ผู้ใช้ และหรือหมวดหมู่กว้างๆ ของเว็บไซต์ การแยกเบราว์เซอร์ยังช่วยให้ผู้ตอบสนองสามารถระบุจุดปลายที่อาจถูกบุกรุกโดยการจับโดเมนที่เป็นอันตรายที่รู้จักหรือดาวน์โหลดไฟล์บางไฟล์ผ่านเบราว์เซอร์ได้อย่างรวดเร็ว

นี่คือจุดเริ่มต้นของโมเดล Zero Trust หากคุณไม่เคยได้ยินเรื่องนี้มาก่อน นี่เป็นการแนะนำข้อเสนอที่ดี Cloudflare Access เป็นส่วนสำคัญของชุดเครื่องมือของ Cloudflare One ที่ช่วยให้องค์กรต่างๆ ใช้โมเดล Zero Trust บนเครือข่ายของพวกเขา เราใช้ Cloudflare Access เพื่อจัดการแนวทางนโยบายที่เป็นหนึ่งเดียวกันสำหรับทรัพยากรภายใน ในฐานะวิศวกรความปลอดภัยในทีมตรวจจับและตอบสนองที่ตอบสนองต่อเหตุการณ์ที่เราต้องทำการเปลี่ยนแปลงการเข้าถึงทั่วทั้งบริษัท Cloudflare Access และ Cloudflare Access สำหรับแอปพลิเคชัน SaaS ทำให้เราอยู่ในฐานะที่จะผลักดันนโยบายอย่างมีประสิทธิภาพและมุ่งเน้นไปที่รายการที่มีลำดับความสำคัญสูงกว่า โดยไม่ต้องกังวลเกี่ยวกับการเปลี่ยนแปลงระดับแอปพลิเคชัน การจัดการการเข้าถึงที่จุดศูนย์กลางสำหรับแอปพลิเคชันที่มิฉะนั้นจะต้องได้รับการจัดการทีละรายการจะช่วยปรับปรุงเวลาในการตอบสนองของเราได้อย่างมาก

การย้ายไปยังเลเยอร์ API นั้น API Shield ของ Cloudflare ทำหน้าที่เป็นจุดหลักในการจัดการการควบคุมความปลอดภัยของ API ลองนึกถึงอุปกรณ์ IoT ที่เปิดเผยผ่าน API จำนวนมาก เช่น เกตเวย์ของเทสลา API Shield ให้แนวทางแบบหลายชั้นเพื่อจำกัดการเปิดเผยข้อมูลโดยไม่ได้ตั้งใจ ตัวอย่างเช่น สคีมาสามารถตรวจสอบได้เพื่อลดโอกาสที่ระบบดาวน์สตรีมจะถูกบุกรุกโดยอินพุตที่ไม่คาดคิด คำขอไปยังปลายทางสามารถจำกัดได้เฉพาะไคลเอ็นต์ที่มีใบรับรอง SSL/TLS ของไคลเอ็นต์ที่ถูกต้อง และสัญญาณรบกวนที่มาจากแหล่งที่มา เช่น พร็อกซี Open SOCKS สามารถกรองออกได้ พร้อมกับคำขอที่มาจากอุปกรณ์หรือภูมิภาคที่ API ไม่ควรสื่อสารด้วย การประกาศในวันนี้รวมถึงความสามารถในการสร้างความสับสนของข้อมูล และในปลายสัปดาห์นี้ เราจะประกาศวิธีการค้นพบ API "เงา" ที่ทีมรักษาความปลอดภัยของคุณอาจไม่ทราบ และตรวจพบกิจกรรมการโทรที่ผิดปกติ

ในฐานะวิศวกรการตรวจจับและการตอบสนอง มีหลายเหตุการณ์ที่ปัญหาด้านความปลอดภัยต้องการให้เราเข้าใจว่าการเข้าถึงระบบเหล่านี้ทำงานอย่างไรในทันที ระบบที่แตกต่างกันได้รับการจัดการที่แตกต่างกัน และบทบาทไม่ได้ถูกกำหนดอย่างเหมือนกันเสมอไป สิ่งนี้ทำให้การตอบกลับในขณะนั้นทำได้ยากมากและบ่อยครั้งกว่านั้น ทำให้เราต้องสนทนากับเจ้าของระบบเพื่อทำความเข้าใจการเข้าถึงให้ดียิ่งขึ้น การใช้การป้องกันแบบหลายชั้นที่ Cloudflare One, Browser Isolation และ API Shield มีให้ ทีมรักษาความปลอดภัยอยู่ในตำแหน่งที่พวกเขาสามารถมุ่งเน้นไปที่การป้องกันแทนที่จะตอบสนอง

เราปกป้องเครือข่ายของทั้งองค์กร โดยช่วยลูกค้าสร้างแอปพลิเคชันรองรับผู้ใช้อินเทอร์เน็ตทั่วโลกได้อย่างมีประสิทธิภาพ เพิ่มความรวดเร็วของการใช้เว็บไซต์หรือแอปพลิเคชันอินเทอร์เน็ต จัดการการโจมตีแบบ–DDoS ป้องปรามบรรดาแฮกเกอร์ และช่วยเหลือคุณตลอดเส้นทางสู่ Zero Trust

เข้าไปที่ 1.1.1.1 จากอุปกรณ์ใดก็ได้เพื่อลองใช้แอปฟรีของเราที่จะช่วยให้อินเทอร์เน็ตของคุณเร็วขึ้นและปลอดภัยขึ้น

หากต้องการศึกษาข้อมูลเพิ่มเติมเกี่ยวกับภารกิจของเราเพื่อปรับปรุงการใช้งานอินเทอร์เน็ต เริ่มได้จากที่นี่ หากคุณกำลังมองหางานในสายงานใหม่ ลองดูตำแหน่งที่เราเปิดรับ
Security WeekCloudflare OneData Loss Prevention

ติดตามบน X

Misha Yalavarthy|@Mushhuuu
Cloudflare|@cloudflare

โพสต์ที่เกี่ยวข้อง

23 ตุลาคม 2567 เวลา 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

08 ตุลาคม 2567 เวลา 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

24 กันยายน 2567 เวลา 13:00

A safer Internet with Cloudflare: free threat intelligence, analytics, and new threat detections

Today, we are taking some big steps forward in our mission to help build a better Internet. Cloudflare is giving everyone free access to 10+ different website and network security products and features....