การควบคุมการเข้าถึง จากข้อมูลของAccentureการโจมตีด้านความปลอดภัยได้เพิ่มขึ้น 31% จากปี 2020 เป็น 2021 จำนวนการโจมตีโดยเฉลี่ยต่อบริษัทเพิ่มขึ้นประมาณ 23.7% และCiscoคาดการณ์ว่าต้นทุนสะสมของการรักษาความปลอดภัยทางไซเบอร์จะสูงถึง $10.5 ล้านล้านภายใน
ปี 2025
การละเมิดความปลอดภัยเกิดขึ้นเมื่อผู้ดำเนินการที่ไม่ได้รับอนุญาตหาทางเข้าไปในข้อมูลและระบบที่พวกเขาไม่ควรเข้ามา ในขณะที่ธุรกิจที่แปลงเป็นดิจิทัลผ่านคลาวด์และพื้นที่ออนไลน์ได้ปฏิวัติความสามารถในการเชื่อมต่อผู้คนด้วยข้อมูล แต่ก็ก่อให้เกิดความเสี่ยงชุดใหม่เช่นกัน
การควบคุมการเข้าถึงเป็นสิ่งที่เราทุกคนรู้ดีว่าเราควรทำ – แต่ไม่ค่อยมีการใช้งานอย่างถูกต้อง สิ่งนี้ทำให้ผู้คนและองค์กรเสี่ยงต่อการละเมิดข้อมูลและการประนีประนอมที่อาจเกิดขึ้น IBMกำหนดให้ค่าใช้จ่ายรายวันเฉลี่ยในปัจจุบันของการละเมิดข้อมูลอยู่ที่ 4 ล้านเหรียญสหรัฐ
แล้วช่องโหว่ที่นำไปสู่การโจมตีการควบคุมการเข้าถึงคืออะไร? และทีมของคุณจะบรรเทาปัญหาเหล่านี้ได้อย่างไรก่อนที่จะกลายเป็นประเด็นสำคัญเกี่ยวกับความไว้วางใจของลูกค้า ชื่อเสียงทางธุรกิจ และผลกำไร
Access Control Attack คืออะไร?
ระบบส่วนใหญ่มีรูปแบบการควบคุมการเข้าถึงบางรูปแบบเพื่อจำกัดการเข้าถึงข้อมูลและระบบที่มีความละเอียดอ่อน อย่างไรก็ตามการควบคุมเหล่านี้ไม่ได้ผลเสมอไป และอาจมีช่องโหว่ที่อนุญาตการเข้าถึงโดยไม่ได้รับอนุญาต
การควบคุมการเข้าใช้ที่ออกแบบมาไม่ดีสามารถเลี่ยงผ่านได้ง่าย การใช้งานที่อ่อนแอยังสามารถนำไปสู่การข้ามได้ เช่น เมื่อผู้ดูแลระบบไม่สามารถจำกัดการเข้าถึงไฟล์ที่มีความละเอียดอ่อนได้อย่างเหมาะสม Identity Defined Security Alliance (IDSA) รายงานว่า 94% ขององค์กรประสบปัญหาการละเมิดข้อมูลบางรูปแบบ
การโจมตีเพื่อควบคุมการเข้าใช้มีหลายประเภท แต่ที่พบบ่อยที่สุด ได้แก่:
- ขาดการตรวจสอบสิทธิ์ที่เหมาะสม:กรณีนี้อาจเกิดขึ้นได้เมื่อระบบไม่ต้องการมาตรการตรวจสอบสิทธิ์ที่เข้มงวด เช่น การตรวจสอบสิทธิ์แบบสองปัจจัย Googleอ้างว่าการยืนยันแบบสองขั้นตอนผ่านข้อความ SMS สามารถหยุดการโจมตีอัตโนมัติทั้งหมดได้ 100% และการโจมตีแบบฟิชชิ่งจำนวนมาก
- รหัสผ่านที่อ่อนแอ:ปัญหาทั่วไปอีกประการหนึ่งคือรหัสผ่านที่ไม่รัดกุมซึ่งผู้โจมตีสามารถเดาหรือบังคับอย่างดุร้ายได้ง่าย การละเมิดมากกว่า 80% เกิดจากการขโมยรหัสผ่านหรือรหัสผ่านที่คาดเดาได้ง่าย
- การ อนุญาตไม่เพียงพอ:ช่องโหว่นี้สามารถเกิดขึ้นได้เมื่อการควบคุมการอนุญาตไม่ถูกนำไปใช้อย่างเหมาะสม ในปี 2564 มีการเปิดเผย ข้อมูลมากกว่า 22 พันล้านรายการโดยไม่ได้ตั้งใจเนื่องจากขาดการควบคุมการอนุญาตที่เหมาะสม
- ขาดการตรวจสอบ:หากไม่มีการตรวจสอบที่เหมาะสม การตรวจจับการเข้าถึงหรือกิจกรรมโดยไม่ได้รับอนุญาตอาจเป็นเรื่องยาก World Economic Forumรายงานว่า 95% ของการละเมิดความปลอดภัยทางไซเบอร์เกิดจากความผิดพลาดของมนุษย์ ซึ่งอาจมาในรูปแบบของการตั้งค่าการอนุญาตที่ไม่ถูกต้อง หรือไม่มีกระบวนการอัตโนมัติในการลบข้อมูลประจำตัวที่ไม่ได้ใช้
รายการข้างต้นเป็นเหตุการณ์ทั่วไปและขึ้นอยู่กับการเข้าถึงที่มีสิทธิพิเศษ นี่คือเหตุผลสำคัญที่ต้องทำความเข้าใจการเลื่อนระดับแนวนอนและแนวตั้ง
การยกระดับสิทธิ์ในแนวนอน
การยกระดับสิทธิ์ในแนวนอนเกิดขึ้นเมื่อผู้ใช้เข้าถึงข้อมูลหรือดำเนินการในระดับความปลอดภัยเดียวกันกับสิทธิ์ปัจจุบัน แต่ไม่ควรเข้าถึงข้อมูลนั้น ตัวอย่างเช่น หากผู้ใช้สองคนมีสิทธิ์เข้าถึงไฟล์เดียวกัน แต่ผู้ใช้รายหนึ่งไม่ควรเห็นข้อมูลของผู้ใช้รายอื่น ผู้ใช้จะยกระดับสิทธิ์ของตนในแนวนอน
การยกระดับสิทธิ์ในแนวนอนมักถูกมองว่าเป็นอันตรายมากกว่าการยกระดับสิทธิ์ในแนวตั้ง เนื่องจากการตรวจจับและป้องกันยากกว่า เมื่อผู้ใช้ยกระดับสิทธิ์ในแนวตั้ง โดยทั่วไปจะเห็นได้ชัดเจนเนื่องจากพยายามเข้าถึงข้อมูลที่ไม่ควรเข้าถึง เมื่อผู้ใช้ยกระดับสิทธิ์ในแนวนอน พวกเขามักจะสามารถทำได้โดยไม่ต้องตั้งค่าสถานะสีแดงใดๆ
วิธีหนึ่งที่ใช้บ่อยที่สุดในการยกระดับสิทธิ์ในแนวนอนคือผ่านการโจมตีแบบ “pass-the-hash” ในการโจมตีเหล่านี้ ผู้ใช้ที่เป็นอันตรายสามารถรับแฮชรหัสผ่านของผู้ใช้รายอื่นและใช้เพื่อเข้าสู่ระบบในฐานะผู้ใช้รายนั้น วิธีนี้ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลของผู้ใช้รายอื่นได้โดยไม่ต้องรู้รหัสผ่าน
การยกระดับสิทธิ์ในแนวตั้ง
การยกระดับสิทธิ์เป็นการกระทำของผู้ใช้ที่ยกระดับสิทธิ์ของตนเพื่อเข้าถึงข้อมูลหรือฟังก์ชันที่ปกติแล้วจะไม่สามารถเข้าถึงได้ สิ่งนี้สามารถเกิดขึ้นได้ในแนวตั้งเมื่อผู้ใช้ยกระดับสิทธิ์ของตนให้อยู่ในระดับที่สูงกว่าบทบาทปัจจุบันหรือในแนวนอนเมื่อผู้ใช้ยกระดับสิทธิ์ของตนให้อยู่ในระดับเดียวกับผู้ใช้รายอื่น
การยกระดับสิทธิ์ในแนวตั้งเป็นช่องโหว่ด้านความปลอดภัยที่ร้ายแรง เนื่องจากทำให้ผู้ใช้สามารถเลี่ยงการควบคุมความปลอดภัยและเข้าถึงข้อมูลที่ละเอียดอ่อน หรือดำเนินการที่ไม่ควรทำ ตัวอย่างเช่น ผู้ใช้ที่มีสิทธิ์เข้าถึงฐานข้อมูลระดับต่ำสามารถเพิ่มสิทธิ์ของตนไปยังระดับผู้ดูแลระบบ แล้วลบหรือแก้ไขข้อมูลได้ตามต้องการ การควบคุมการเข้าถึง
มีหลายวิธีที่การยกระดับสิทธิ์ในประเภทธุรกิจอาจเกิดขึ้นได้ ที่พบบ่อยที่สุดคือเมื่อผู้ใช้ได้รับสิทธิ์มากเกินไปหรือเมื่อสิทธิ์ไม่ได้รับการจัดการอย่างเหมาะสม ตัวอย่างเช่น สมมติว่ามีการเพิ่มผู้ใช้ในกลุ่มผู้ดูแลระบบ แต่ไม่เคยลบออกเมื่อออกจากบริษัท ในกรณีดังกล่าว พวกเขาจะยังคงสามารถเข้าถึงข้อมูลและฟังก์ชันที่ละเอียดอ่อนได้ แม้ว่าจะไม่ควรทำอีกต่อไปแล้วก็ตาม อีกวิธีหนึ่งที่การยกระดับสิทธิ์ในแนวตั้งสามารถเกิดขึ้นได้คือการใช้ประโยชน์จากการยกระดับสิทธิ์ ซึ่งผู้ใช้ใช้ประโยชน์จากข้อบกพร่องในระบบเพื่อรับสิทธิ์ที่สูงขึ้น
ตัวอย่างของการโจมตีการควบคุมการเข้าถึงที่ใช้งานไม่ได้ การควบคุมการเข้าถึง
ID ที่ไม่ปลอดภัย
ID ที่ไม่ปลอดภัยเป็นปัญหาสำคัญเมื่อพูดถึงการโจมตีเพื่อควบคุมการเข้าถึง พวกเขาสามารถคาดเดา ขโมย หรือลืมได้ง่าย โดยปล่อยให้ระบบและข้อมูลของคุณเสี่ยงต่อการถูกโจมตี มีขั้นตอนง่ายๆ สองสามขั้นตอนที่คุณสามารถทำได้เพื่อป้องกันไม่ให้สิ่งนี้เกิดขึ้น:
- ใช้ ID ที่แข็งแกร่งและไม่ซ้ำใคร
รหัสควรมีความยาวอย่างน้อย 8 อักขระและประกอบด้วยตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษผสมกัน พวกเขาควรไม่ซ้ำกันสำหรับผู้ใช้แต่ละรายเพื่อไม่ให้บุคคลหนึ่งปลอมตัวเป็นอีกคนหนึ่ง
- อย่าใช้รหัสซ้ำ
หาก ID ถูกบุกรุก ก็ไม่ควรใช้อีก การใช้ ID ซ้ำทำให้ผู้โจมตีสามารถเข้าถึงระบบของคุณได้ง่าย
- อย่าเก็บรหัสเป็นข้อความธรรมดา
ID ควรจัดเก็บในรูปแบบที่เข้ารหัสเพื่อที่ว่าแม้จะถูกขโมยไป แต่ก็ยากที่จะถอดรหัสได้
- ใช้การรับรองความถูกต้องด้วยสองปัจจัย
การตรวจสอบสิทธิ์แบบสองปัจจัยเพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งโดยต้องมีรูปแบบการระบุตัวตนแบบที่สอง เช่น ลายนิ้วมือและ ID สิ่งนี้ทำให้ผู้โจมตีเข้าถึงระบบของคุณได้ยากขึ้นมาก
- ให้ความรู้แก่ผู้ใช้ของคุณ
ตรวจสอบให้แน่ใจว่าผู้ใช้ของคุณทราบเพื่อให้รหัสของพวกเขาปลอดภัย ผู้โจมตีมักใช้ประโยชน์จากรหัสที่อ่อนแอและไม่ปลอดภัยโดยฟิชชิ่งหรือวิศวกรรมสังคม การให้ความรู้แก่ผู้ใช้ของคุณเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดจะช่วยป้องกันไม่ให้พวกเขาตกเป็นเหยื่อการโจมตีเหล่านี้
การแคชฝั่งไคลเอ็นต์ การควบคุมการเข้าถึง
การแคชฝั่งไคลเอ็นต์เป็นการแคชประเภทหนึ่งที่เกิดขึ้นในฝั่งไคลเอ็นต์ ตรงข้ามกับฝั่งเซิร์ฟเวอร์ ซึ่งหมายความว่าเมื่อผู้ใช้ร้องขอหน้า เซิร์ฟเวอร์จะส่งเวอร์ชันแคชของเพจ แทนที่จะเป็นเวอร์ชันล่าสุด นี่อาจเป็นปัญหาได้จากหลายสาเหตุ
การแคชฝั่งไคลเอ็นต์อาจเป็นช่องโหว่ เนื่องจากอาจทำให้การควบคุมการเข้าถึงใช้งานไม่ได้ หากผู้ใช้สามารถเข้าถึงเวอร์ชันแคชของเพจได้ พวกเขาอาจสามารถเห็นข้อมูลที่ไม่ควรเข้าถึงได้
วิธีหนึ่งในการป้องกันการแคชฝั่งไคลเอ็นต์คือการใช้แคชฝั่งเซิร์ฟเวอร์ ซึ่งจะจัดเก็บเพจเวอร์ชันล่าสุดบนเซิร์ฟเวอร์มากกว่าบนไคลเอ็นต์ อีกวิธีหนึ่งคือการใช้แคชฝั่งไคลเอ็นต์ที่ผู้ใช้ไม่สามารถเข้าถึงได้ ซึ่งสามารถทำได้โดยใช้โหมดการท่องเว็บแบบส่วนตัวหรือบริการที่เข้ารหัสแคช
การส่งผ่านไดเรกทอรี การควบคุมการเข้าถึง
Directory Traversal เป็นช่องโหว่ด้านความปลอดภัยประเภทหนึ่งที่ช่วยให้ผู้โจมตีสามารถเข้าถึงไฟล์และไดเร็กทอรีที่พวกเขาไม่ควรเข้าถึง ซึ่งสามารถทำได้โดยจัดการเส้นทางของไฟล์เพื่อให้ผู้โจมตีสามารถ “สำรวจ” ระบบไฟล์เพื่อไปยังพื้นที่จำกัดได้ การข้ามผ่านไดเรกทอรีเป็นปัญหาด้านความปลอดภัยที่ร้ายแรง เนื่องจากสามารถเปิดเผยข้อมูลที่ละเอียดอ่อนและใช้เพื่อเข้าถึงพื้นที่จำกัดของระบบ
มีสองสามวิธีในการป้องกันการโจมตีผ่านไดเรกทอรี วิธีหนึ่งในการป้องกันสิ่งนี้คือทำให้แน่ใจว่าข้อมูลที่ป้อนของผู้ใช้ทั้งหมดได้รับการตรวจสอบก่อนนำไปใช้ โดยผ่านตัวกรองอินพุตและเทคนิคการฆ่าเชื้อตัวละคร
วิธีการควบคุมการอนุญาต
เมื่อโลกเชื่อมต่อกันมากขึ้นและมีการแบ่งปันข้อมูลทางออนไลน์มากขึ้น ความจำเป็นในการตั้งค่าความปลอดภัยตามบริบทจึงมีความสำคัญมากขึ้น การตั้งค่าความปลอดภัยขึ้นอยู่กับบริบทอนุญาตให้ใช้ระดับความปลอดภัยที่แตกต่างกันในสถานการณ์ที่แตกต่างกันตามบริบทเฉพาะที่มีการแบ่งปันข้อมูล
เพื่อป้องกันช่องโหว่ในการยกระดับสิทธิ์ องค์กรควรควบคุมอย่างรอบคอบว่าผู้ใช้รายใดมีสิทธิ์เข้าถึงทรัพยากรใด นอกจากนี้ ผู้ใช้ควรได้รับสิทธิ์ที่จำเป็นต่อการทำงานเท่านั้น ต่อไปนี้คือสี่ประเภทของการควบคุมการเข้าถึงตามบริบท:
- Discretionary access control (DAC)คือการควบคุมการเข้าใช้ทั่วไป ใน DAC การเข้าถึงทรัพยากรจะขึ้นอยู่กับข้อมูลประจำตัวของผู้ใช้และสิทธิ์ที่กำหนดให้กับผู้ใช้รายนั้น ตัวอย่างเช่น ผู้ใช้ที่มีสิทธิ์อ่านอย่างเดียวจะสามารถดูไฟล์ได้แต่แก้ไขหรือลบไม่ได้
- การควบคุมการเข้าใช้บังคับ (MAC ) พบได้น้อยกว่า DAC แต่มักใช้ในสภาพแวดล้อมที่มีความปลอดภัยสูง ใน MAC การเข้าถึงทรัพยากรขึ้นอยู่กับการจัดประเภทของทรัพยากร ตัวอย่างเช่น ทรัพยากรที่จัดเป็นความลับสุดยอดจะเข้าถึงได้เฉพาะผู้ใช้ที่ได้รับอนุญาตให้เข้าถึงทรัพยากรที่เป็นความลับสุดยอดเท่านั้น
- การควบคุมการเข้าถึงตามบทบาท (RBAC)เป็นประเภทของการควบคุมการเข้าถึงที่ใช้บ่อยในองค์กรขนาดใหญ่ ใน RBAC การเข้าถึงทรัพยากรขึ้นอยู่กับบทบาทของผู้ใช้ภายในองค์กร
- ตัวอย่างเช่น ผู้ใช้ที่เป็นสมาชิกของแผนก HR จะมีสิทธิ์ที่แตกต่างจากผู้ใช้ที่เป็นสมาชิกของแผนกการเงิน
- Permission Based Access Control (PBAC)เป็นมาตรการรักษาความปลอดภัยที่สามารถใช้เพื่อป้องกันการยกระดับสิทธิ์ PBAC ทำงานโดยจำกัดการเข้าถึงพื้นที่หรือทรัพยากรบางอย่างตามการอนุญาตของผู้ใช้ ซึ่งหมายความว่าผู้ใช้สามารถเข้าถึงเฉพาะพื้นที่หรือทรัพยากรที่พวกเขาได้รับอนุญาตอย่างชัดแจ้งในการเข้าถึงเท่านั้น
ลดความเสี่ยงของการโจมตีด้วยการควบคุมการเข้าถึงที่ไม่สมบูรณ์ด้วย Polar Security
หากคุณต้องการลดความเสี่ยงของการโจมตีเพื่อควบคุมการเข้าใช้งานที่ใช้งานไม่ได้ Polar Security สามารถช่วยคุณได้ Polar ทำให้กระบวนการค้นหาข้อมูล จำแนกประเภท และการป้องกันเป็นไปโดยอัตโนมัติ เพื่อป้องกันไม่ให้บริษัทของคุณกลายเป็นส่วนหนึ่งของสถิติ
การค้นหาและจัดประเภทข้อมูลที่ละเอียดอ่อนโดยอัตโนมัติและต่อเนื่องช่วยให้คุณมองเห็นและควบคุมสินทรัพย์ข้อมูลของคุณที่ไม่มีใครเทียบได้ ให้อำนาจคุณในการรู้อยู่เสมอว่าข้อมูลของคุณถูกจัดเก็บไว้ที่ใด ใครสามารถเข้าถึงข้อมูลนั้นได้ ไม่ว่าจะเข้ารหัสหรือไม่ก็ตาม และอื่นๆ . ด้วยเหตุนี้ คุณจะลดความเสี่ยงที่จะถูกโจมตีโดยแรนซัมแวร์ได้อย่างมาก
THAI-PDPA เปิดให้คำปรึกษาโดยผู้เชี่ยวชาญแบบครบวงจร ด้วยเทคโนโลยี Data Protection Services ที่แนะนำให้ไปประยุกต์ใช้เพื่อปกป้องข้อมูลพนักงานและลูกค้า
ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ เพราะเป็นราคาที่สุดคุ้มที่สุด
หากท่านมีความสนใจ บทความ หรือ Technology
สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699
สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์ EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9
หรือ E m a i l : c s @ k o . i n . t h สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ เพราะเป็นราคาที่สุด คุ้มที่สุด
Leave A Comment?