การบริหารจัดการเเพตช์อย่างมืออาชีพ ตอนที่ 3

วิธีในการรับมือกับระบบหรืออุปกรณ์ที่ไม่สามารถติดตั้งแพตช์ได้

ต่อเนื่องจากบทความที่แล้ว “การบริหารจัดการเเพตช์อย่างมืออาชีพ ตอนที่ 2: แนวปฏิบัติสู่การบริหารจัดการเเพตช์อย่างมีประสิทธิภาพและปลอดภัย (ต่อ)” ทางทีม Cybersecurity ของ PwC ประเทศไทย ได้นำเสนอภาพรวมของกระบวนการบริหารจัดการแพตช์ว่ามีขั้นตอนอะไรบ้าง ซึ่งรวมถึง
การเตรียมความพร้อมก่อนการติดตั้งแพตช์เพื่อลดโอกาสที่จะเกิดปัญหาหรือผลกระทบต่อการทำงานของระบบ นอกจากนี้ยังครอบคลุมถึงการควบคุมดูแลที่ดีระหว่างการติดตั้งแพตช์และการตรวจสอบหลังจากการติดตั้ง เพื่อให้มั่นใจว่าการติดตั้งถูกต้อง สมบูรณ์ และไม่ก่อให้เกิดปัญหาในระบบที่อาจเกิดขึ้น สำหรับบทความสุดท้ายของซีรีส์นี้ เราจะมาหาคำตอบกันต่อว่า ควรทำอย่างไรหากระบบหรืออุปกรณ์ในองค์กรไม่สามารถติดตั้งแพตช์ได้

ในบางระบบอาจมีข้อจำกัดที่ทำให้ไม่สามารถติดตั้งแพตช์ได้ ซึ่งมาจากหลากหลายสาเหตุ เช่น ผลิตภัณฑ์สิ้นสุดอายุการใช้งาน (end-of-life) หรือสิ้นสุดการสนับสนุนจากผู้ให้บริการ (end-of-support) หรือแพตช์ที่ต้องติดตั้งส่งผลกระทบต่อการทำงานของระบบงานหลัก เป็นต้น แล้วองค์กรควรทำอย่างไรหากรู้ว่ามีช่องโหว่แต่ไม่สามารถติดตั้งแพตช์ได้?

เพื่อรับมือกับปัญหาเบื้องต้นและลดความเสี่ยงที่เกี่ยวข้องกับข้อจำกัดเหล่านี้ได้อย่างยั่งยืน องค์กรสามารถพิจารณาวิธีการต่อไปนี้

ในระยะสั้น

• การประเมินความเสี่ยง (risk assessment): วิธีการที่องค์กรสามารถพิจารณาดำเนินการได้อย่างรวดเร็วและทันที คือ การประเมินความเสี่ยงเพื่อขอยกเว้นการติดตั้งแพตช์ โดยการวิเคราะห์ผลกระทบและโอกาสที่จะเกิดเหตุการณ์สุดวิสัย ควบคู่ไปกับการควบคุมทดแทนอื่น ๆ (compensating controls) ทั้งนี้ ผลการประเมินความเสี่ยงดังกล่าวต้องได้รับการลงนามอนุมัติจากผู้มีอำนาจ และมีการทบทวนเป็นประจำ
• การควบคุมทดแทน: ในกรณีที่องค์กรไม่สามารถติดตั้งแพตช์ได้ สามารถใช้มาตรการควบคุมดังต่อไปนี้:
  • จำกัดการเข้าถึงระบบหรือซอฟต์แวร์ที่มีช่องโหว่ โดยการปิดพอร์ต (port) ที่ไม่จำเป็น หรือแบ่งส่วนเครือข่าย (network segmentation) เพื่อแยกระบบงานนั้นออกจากระบบเครือข่ายหลัก
  • เพิ่มระบบป้องกันหลายชั้น (Defense in Depth) ซึ่งคล้ายกับการสร้างกำแพงหลายชั้นเพื่อป้องกันการเข้าถึงโปรแกรมและข้อมูลที่สำคัญ เช่น WAF (Web Application Firewall), IDS (Intrusion Detection System), EDR (Endpoint Detection and Response) เป็นต้น
  • ติดตั้งแพตช์เสมือนจริง (virtual patching) ซึ่งเป็นกลยุทธ์การป้องกันชั่วคราวในระดับเครือข่าย (network layer)
  • เพิ่มความถี่ในการวิเคราะห์บันทึกเหตุการณ์ (log analysis frequency) เพื่อวิเคราะห์การเข้าถึงที่ไม่ได้รับอนุญาตให้เข้มข้นขึ้น
  • จำกัดการแก้ไขเปลี่ยนแปลงสำหรับระบบที่สิ้นสุดการสนับสนุนจากผู้ให้บริการ เป็นต้น

ในระยะยาว

• องค์กรควรดำเนินการอัปเกรดหรือจัดหาระบบ/อุปกรณ์ที่สามารถติดตั้งแพตช์ได้ เพื่อปิดช่องโหว่และป้องกันความเสี่ยงจากการถูกโจมตีทางไซเบอร์จากผู้ที่ไม่ประสงค์ดี พร้อมทั้งกำหนดแนวทางเพื่อคอยสอบทานว่าจะมีระบบ/อุปกรณ์ใดที่ใกล้จะสิ้นสุดอายุการใช้งาน หรือสิ้นสุดการสนับสนุนจากผู้ให้บริการ เพื่อที่จะได้วางแผนในการจัดการระบบ/อุปกรณ์ดังกล่าวล่วงหน้า

บทสรุป

ในบทความตอนสุดท้ายของซีรีส์ “การบริหารจัดการแพตช์อย่างมืออาชีพ” เราได้นำเสนอวิธีการรับมือกับข้อจำกัดในการติดตั้งแพตช์ ที่มักเป็นอุปสรรคสำหรับหลายองค์กรในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งหากองค์กรเผชิญกับปัญหาดังกล่าวที่ไม่สามารถติดตั้งแพตช์ได้ และไม่ดำเนินการใด ๆ ความเสี่ยงก็จะยังคงอยู่ ดังนั้น เพื่อลดผลกระทบที่อาจตามมา องค์กรจึงควรตระหนักถึงการพิจารณาลดความเสี่ยงเหล่านี้ ซึ่งสามารถนำวิธีการรับมือที่เรานำเสนอในบทความนี้ไปประยุกต์ใช้ในองค์กรตนเอง

ในการลดความเสี่ยง องค์กรควรเริ่มต้นด้วยการประเมินความเสี่ยง ซึ่งจะช่วยให้องค์กรสามารถกำหนดระดับความเสี่ยงที่จำเป็นต้องจัดการเพื่อให้บรรลุระดับที่องค์กรยอมรับได้ นอกจากนี้ การวางแผนล่วงหน้าเพื่อจัดหาทดแทนอุปกรณ์หรือระบบที่ใกล้สิ้นสุดการสนับสนุน เป็นวิธีลดความเสี่ยงรูปแบบหนึ่งที่จะช่วยให้องค์กรสามารถจัดการกับความเสี่ยงได้อย่างมีประสิทธิภาพในระยะยาว รวมถึงการพิจารณาเพิ่มการควบคุมทดแทนอื่น ๆ หรือกระบวนการอื่น ๆ ก็สามารถช่วยลดความเสี่ยงขององค์กรได้เช่นกัน สิ่งสำคัญอีกประการหนึ่ง คือ การเตรียมพร้อมและปรับตัวเพื่อเผชิญกับความท้าทายของโลกดิจิทัลที่มีการเปลี่ยนแปลงอย่างรวดเร็ว พร้อมทั้งยกระดับการรักษาความปลอดภัยทางไซเบอร์ให้สามารถรับมือกับความท้าทายที่เกิดขึ้นได้