ในยุคที่ภัยคุกคามไซเบอร์มีความซับซ้อนมากขึ้น การป้องกันข้อมูลด้วย DLP แบบดั้งเดิมอาจไม่เพียงพออีกต่อไป จากประสบการณ์กว่า 20 ปีในตำแหน่ง CISO พบว่าการรั่วไหลของข้อมูลในปัจจุบันไม่ได้จำกัดอยู่แค่การส่งอีเมลหรือการโอนไฟล์เท่านั้น ระบบ Data Loss Prevention (DLP) แบบเดิมมักไม่สามารถตอบโจทย์การสืบสวนเหตุการณ์ภายในองค์กรได้อย่างครอบคลุม
สถานการณ์จริงที่เราต้องเผชิญ: เมื่อ DLP "ตัวเดียว" ไม่พอ
กรณีที่ 1: เมื่อความตั้งใจดีกลายเป็นช่องโหว่
มีเหตุการณ์ที่ DLP ตรวจพบการอัปโหลดไฟล์ Excel ขนาด 16 MB ไปยัง คลาวด์ส่วนตัวนอกองค์กร แม้จะมีการป้องกันด้วยรหัสผ่าน การสืบสวนพบว่าพนักงานคนหนึ่งได้อัปโหลดข้อมูลซัพพลายเออร์จากคอมพิวเตอร์ที่ทำงานไปยังคลาวด์ส่วนตัวของตนเอง และได้ "แชร์" ลิงก์และรหัสผ่านผ่าน Messenger
เมื่อสอบถาม พนักงานได้อธิบายว่าทำตามคำสั่งหัวหน้างานที่ต้องเดินทางไปต่างประเทศและต้องการเข้าถึงเอกสารสำคัญเร่งด่วน ปัญหาคือไม่มีบันทึกคำสั่งดังกล่าวอย่างเป็นทางการ หัวหน้างานให้คำสั่งผ่านทางโทรศัพท์ก่อนออกเดินทาง โชคดีที่หัวหน้างานยอมรับว่าทราบดีว่าคำสั่งของเขาละเมิดกฎความปลอดภัยข้อมูล แม้จะเชื่อว่าการป้องกันด้วยรหัสผ่านจะทำให้ข้อมูลปลอดภัยก็ตาม
แม้จะเป็นความตั้งใจที่ดี แต่ข้อมูลก็ได้หลุดออกจากขอบเขตความปลอดภัยของบริษัทไปแล้ว พนักงานได้ลบไฟล์ออกจากคลาวด์ และหัวหน้างานก็ลบออกจากโทรศัพท์ของเขา บริษัทได้จัดอบรม IT Security ซ้ำอีกครั้งสำหรับทีมงาน
บทเรียน: การสืบสวนที่สมบูรณ์ต้องอาศัยข้อมูลจากหลายแหล่ง ไม่ใช่แค่การตรวจจับแบบดิจิทัลเพียงอย่างเดียว
กรณีที่ 2: การปลอมแปลงที่ซับซ้อนกว่าที่คิด
DLP ตรวจพบการใช้โปรแกรมแต่งรูปบ่อยครั้งบนคอมพิวเตอร์ของหัวหน้าแผนกขนส่ง การวิเคราะห์พบว่ามีการแก้ไขใบเสร็จค่าเชื้อเพลิงและค่าบำรุงรักษาเพื่อเพิ่มจำนวนเงินปลอม
เมื่อแจ้งฝ่ายบัญชี พบว่าคำขอเบิกเงินของเขามากกว่าเพื่อนร่วมงานอย่างเห็นได้ชัด การพิสูจน์ผู้ปลอมแปลงใบเสร็จจึงเป็นสิ่งจำเป็น การใช้ กล้องวงจรปิดในสำนักงาน มีประโยชน์อย่างยิ่ง เพราะพบว่าผู้จัดการมักไม่อยู่ที่ทำงานด้วยเหตุผลส่วนตัว และขอให้เพื่อนร่วมงานเปิดคอมพิวเตอร์เพื่อสร้างความประทับใจว่าเขากำลังทำงาน แต่เมื่อถึงเวลาเบิกค่าใช้จ่าย ผู้กระทำผิดก็จะกลับมาที่สำนักงานและปลอมแปลงรายงาน
บทเรียน: การสืบสวนที่สมบูรณ์ต้องอาศัยข้อมูลจากหลายแหล่ง ไม่ใช่แค่การตรวจจับแบบดิจิทัลเพียงอย่างเดียว
กรณีที่ 3: การจัดการอุปกรณ์จัดเก็บข้อมูล
เมื่อ DLP แจ้งเตือนว่ามีการคัดลอกไฟล์ประมาณ 1,000 ไฟล์ไปยัง แฟลชไดรฟ์ รวมถึงความลับทางการค้าและฐานข้อมูลลูกค้า
เหตุการณ์นี้มีความร้ายแรง จึงตอบสนองทันที โดยขอให้พนักงานเสียบแฟลชไดรฟ์ที่เธอใช้ ระบบ DLP ได้ตรวจสอบ หมายเลขซีเรียลของอุปกรณ์ ที่เชื่อมต่อกับคอมพิวเตอร์ ยืนยันว่าตรงกับอุปกรณ์ที่ใช้ในการอัปโหลดไฟล์ จากนั้นใช้การเชื่อมต่อระยะไกลโอนไฟล์จากแฟลชไดรฟ์ไปยัง NAS (Network-Attached Storage) และฟอร์แมตไดรฟ์ เพื่อให้มั่นใจว่าทุกขั้นตอนดำเนินการอย่างโปร่งใสและปลอดภัย
โชคดีที่เหตุการณ์นี้ถูกตรวจพบทันเวลา พนักงานจึงไม่มีโอกาสนำแฟลชไดรฟ์ออกจากบริษัท แม้ DLP จะระบุเหตุการณ์ได้ทันที แต่ก็ต้องการฟังก์ชันเพิ่มเติม เช่น การจัดการอุปกรณ์ที่เชื่อมต่อ และการผสานรวมกับ RDP (Remote Desktop Protocol) เพื่อลดความเสี่ยงได้อย่างปลอดภัยและมีประสิทธิภาพ
บทเรียน: DLP ที่ทันสมัยควรมีความสามารถในการจัดการอุปกรณ์และผสานรวมกับเครื่องมืออื่นๆ เพื่อการตอบสนองต่อเหตุการณ์ที่รวดเร็วและมีประสิทธิภาพ
ทำไม DLP จึงต้องการการสนับสนุนเพิ่มเติม?
คำตอบง่ายๆ คือ การรั่วไหล การฉ้อโกง และการละเมิดกฎระเบียบไม่ได้เกิดขึ้นในรูปแบบดิจิทัลเสมอไป หากต้องการสืบสวนอย่างละเอียด กำหนดรายละเอียด และประเมินความเสี่ยงที่ตามมาของเหตุการณ์ จำเป็นต้องมีเครื่องมือเพิ่มเติม ตัวอย่างเช่น ผู้กระทำผิดในกรณีที่แล้วอาจหลอกลวงโดยใช้ประโยชน์จากระยะทางและ "ส่ง" แฟลชไดรฟ์ผิดตัว ในทำนองเดียวกัน ผู้ฉ้อโกงเช็คอาจโทษเพื่อนร่วมงานได้หากไม่มีการระบุตัวตนเขาด้วยภาพในขณะที่เกิดการละเมิด
ดังนั้น การใช้เครื่องมือควบคุมอย่างครอบคลุม โดยใช้วิธีการและแหล่งข้อมูลเพิ่มเติมจึงเป็นสิ่งสำคัญ การ รวมข้อมูลจากแหล่งเหล่านี้เข้ากับระบบ DLP หรือมองหาระบบที่มีฟังก์ชันนี้ในตัวเป็นสิ่งที่ดีที่สุด ในอุดมคติคือมีคอนโซลเดียวที่สามารถใช้งานฟีเจอร์ทั้งหมดได้ในคลิกเดียว
การปรับปรุงที่เราดำเนินการ: ก้าวสู่ DLP ยุคใหม่
หลังจากประเมินความต้องการแล้ว เราได้เลือกใช้ SearchInform Risk Monitor ด้วยเหตุผลหลักดังนี้:
- การป้องกันแบบเรียลไทม์: ระบบช่วยให้สามารถดูการทำงานบนคอมพิวเตอร์ของพนักงานได้แบบเรียลไทม์ หากผู้ใช้มีพฤติกรรมน่าสงสัย SearchInform Risk Monitor จะรวบรวมหลักฐานที่เป็นประโยชน์สำหรับการสืบสวนย้อนหลัง
- การควบคุม PC โดยตรง: ทีมรักษาความปลอดภัยสามารถเข้าแทรกแซงได้อย่างรวดเร็ว รวมถึงการยุติการใช้งานในกรณีสงสัยการละเมิด
- การระบุตัวผู้บุกรุก: SearchInform Risk Monitor สามารถติดตั้งฟังก์ชันการจดจำใบหน้าด้วย AI เพิ่มเติมได้ โดยระบบจะเปรียบเทียบรูปภาพที่ถ่ายจากเว็บแคมของพนักงานกับภาพอ้างอิง สิ่งนี้ช่วยให้สามารถระบุ "ผู้กระทำ" ของเหตุการณ์ได้อย่างน่าเชื่อถือ
- การป้องกันการรั่วไหลของเสียง: ระบบสามารถระบุการรั่วไหลข้อมูลผ่านข้อความเสียงในแพลตฟอร์มต่างๆ ได้โดยอัตโนมัติ
- การป้องกันแฟลชไดรฟ์: เอกสารบนแฟลชไดรฟ์สามารถเข้าถึงได้เฉพาะบนคอมพิวเตอร์ที่ทำงานซึ่งติดตั้งเอเจนต์ SearchInform Risk Monitor เท่านั้น
- การป้องกันเอกสาร: ระบบมีบริการสร้างรหัสผ่านให้อัตโนมัติ ทำให้พนักงานไม่ต้องใช้เครื่องมืออื่นเพื่อส่งเอกสารสำคัญ ระบบยังวิเคราะห์ประเภทไฟล์ที่อัปโหลดและแจ้งเตือนทีมไอทีทันที ช่วยลดปัญหาแจ้งเตือนผิดพลาดและทำให้การส่งเอกสารปลอดภัยยิ่งขึ้น
- เครื่องมือการผสานรวม: รองรับการเชื่อมต่อกับระบบหลากหลาย เช่น PACS, CRM และระบบเงินเดือน พร้อมนำเข้าข้อมูลจากแหล่งต่าง ๆ ได้แทบทั้งหมด ทั้งไฟล์จากกล้องวงจรปิด, ระบบโทรศัพท์ IP หรือฐานข้อมูลของระบบองค์กรที่พัฒนาเอง อินเทอร์เฟซสามารถปรับแต่งได้เต็มที่ พร้อมเทมเพลตและตัวอย่างการเชื่อมต่อจากผู้พัฒนา ช่วยให้จัดการทุกอย่างได้ง่ายจากศูนย์ควบคุมเดียว
กรณีศึกษา: การป้องกันเชิงรุก
ทีมพัฒนาซอฟต์แวร์ขององค์กรได้รับโทรศัพท์แจ้งเดดไลน์เร่งด่วน จึงตัดสินใจเผยแพร่ซอฟต์แวร์เวอร์ชันที่ยังไม่ผ่านการทดสอบและรับรองความปลอดภัยจากทีม IS เพื่อให้ทันกำหนด แม้รู้ดีว่าอาจสร้างความเสียหายต่อกระบวนการทำงานของทั้งองค์กร
โชคดีที่ ระบบตรวจจับเสียงพูด ของ SearchInform Risk Monitor วิเคราะห์การโทรและแจ้งเตือนเหตุการณ์ได้ทันเวลา พร้อมกันนั้น ระบบ DLP ก็สแกนคอมพิวเตอร์ทั้งบริษัทอย่างรวดเร็ว เพื่อยืนยันว่าไม่มีการติดตั้งหรือใช้งานซอฟต์แวร์เวอร์ชันที่ไม่ได้รับอนุมัติ
DLP ที่ครบครันจะช่วยให้การจัดการเหตุการณ์ง่ายขึ้นและการสืบสวนรวดเร็วขึ้น การใส่ใจในรายละเอียดคือมาตรฐานวิชาชีพสำหรับผู้เชี่ยวชาญด้าน IS การลงทุนใน DLP ที่ครอบคลุมจึงไม่ใช่แค่การป้องกัน แต่เป็นการสร้างความได้เปรียบในการรับมือกับภัยคุกคามยุคใหม่