ในบทความที่แล้ว ผมได้พูดถึงงานด้าน Cyber Security แบ่งการทำงานออกเป็น 2 ทีม คือ ทีมสายบุก (Offensive) ที่เน้นงานทดสอบการโจมตีหรือ Red Team และทีมสายรับ (Defensive) ที่เน้นงานตรวจสอบและป้องกันการโจมตีหรือ Blue Team
แต่ในบทความนี้เราจะมาลงรายละเอียดของการทำงานของทั้ง 2 ทีมนี้กันครับ
Red Team คือ Attacker ที่ไม่ใช่ Attacker
Red Team เป็นสายงานของผู้เชี่ยวชาญด้านความปลอดภัยที่มีหน้าที่เป็น Hacker ที่มีจริยธรรมคอยหาวิธีในการเอาชนะระบบรักษาความปลอดภัยบนโลก Cyber โดยจะใช้เทคนิคที่มีอยู่ทั้งหมดเพื่อค้นหาจุดอ่อนของผู้ใช้ (People), ช่องโหว่ในกระบวนการต่างๆ (Process) และเทคโนโลยีอื่นๆ (Technology) ในการเข้าถึงข้อมูลสำคัญหรือสินทรัพย์ต่างๆ โดยไม่ได้รับอนุญาต ตัวอย่างเช่น…
- การโจมตีไปที่ค่าเริ่มต้นของระบบเครือข่ายและเครื่อง Server เพราะส่วนใหญ่ Attacker มักจะรู้จุดอ่อนของค่าเริ่มต้นเหล่านั้นอยู่แล้ว หากเครือข่ายเป้าหมายไม่มีการแก้ไขค่าใดๆ ให้มีความปลอดภัยมากขึ้น ก็มีความเสี่ยงต่อการถูกโจมตีได้
- การปล่อยไวรัสหรือมัลแวร์เข้าไปแอบฝังอยู่ในเครื่อง Server เป้าหมายเพื่อทำการยึดเครื่องเหล่านั้นในภายหลัง โดยมีจุดประสงค์เพื่อเรียกค่าไถ่หรือเรียกรับผลประโยชน์ตามที่ต้องการ
- การพยายามถอดรหัสผ่านของระบบสำคัญ เพื่อสิทธิ์ในการเข้าถึงข้อมูลและเปลี่ยนแปลงค่าการทำงานต่างๆ ที่สำคัญของระบบเป้าหมาย
- การดักจับข้อมูลหรือการหลอกลวงเพื่อให้ได้ข้อมูลลับของเครื่องเป้าหมาย เพื่อใช้ในการเรียกร้องผลประโยชน์ต่างๆ
- การ Hacking ในระดับฮาร์ดแวร์ เช่น การโคลนบัตรรักษาความปลอดภัยของพนักงานคนสำคัญ เพื่อให้ได้สิทธิ์ในการเข้าถึงพื้นที่ต่างๆ โดยไม่จำกัด เช่น ห้อง Server หรือโกดังสินค้า เป็นต้น
โดยส่วนใหญ่ก่อนที่ Red Team จะเริ่มทดสอบการโจมตีจะต้องมีการวางแผนงานก่อน ซึ่งในหลายครั้งมักจะใช้เวลาในการวางแผนมากกว่าการโจมตี เพราะการทำงานของ Red Team แม้จะใช้วิธีการและพฤติกรรมเดียวกับ Attacker ที่จะโจมตีระบบโดยไม่มีการแจ้งเตือนใดๆ ให้กับทางฝั่ง Blue Team ทราบมาก่อน เพื่อให้การทดสอบช่องโหว่ต่างๆ มีความสมจริง แต่ก็ยังต้องมีการควบคุมความเสี่ยงที่จะเกิดขึ้น เพื่อไม่ให้เกิดผลกระทบต่อระบบงานจริงมากเกินความจำเป็น เพราะจะสร้างความเสียหายเกินกว่าที่จะควบคุมได้ ดังนั้นก่อนการทำงานใดๆ Red Team จึงต้องมีความรอบคอบและใช้ระยะเวลาในการวางแผนและเตรียมการที่ค่อนข้างนานนั่นเอง
Blue Team ผู้ปกป้องระบบเครือข่ายให้ปลอดภัย
Blue Team คือ ผู้เชี่ยวชาญด้านความปลอดภัยของระบบเครือข่าย ที่มีหน้าที่ในการตรวจสอบและป้องกันภัยคุกคามต่างๆ โดยจะรวบรวมข้อมูล จัดทำเอกสารที่ชี้ให้เห็นถึงส่วนต่างๆ ที่ต้องได้รับการปกป้อง รวมถึงทำหน้าที่ในการประเมินความเสี่ยงที่อาจเกิดขึ้น ผ่านการกำหนดนโยบายและกำหนดแผนงานต่างๆ เพื่อให้ผู้ใช้นำไปปฏิบัติตามมาตรฐานการรักษาความปลอดภัย
งานส่วนใหญ่ของ Blue Team จึงเน้นไปที่การตรวจสอบส่วนต่างๆ ที่สำคัญของระบบให้มีความปลอดภัย ปราศจากช่องโหว่ที่อาจเกิดขึ้น เช่น การสแกนหาจุดอ่อนของเครือข่ายภายในและภายนอก รวมไปถึง Services ต่างๆ ที่ให้บริการบนเครื่อง Server โดยจะมีการประเมินความเสี่ยงและจัดลำดับความสำคัญเพื่อใช้ในการปฏิบัติงานในการลดความเสี่ยงต่อการถูกโจมตี เช่น เมื่อตรวจสอบและประเมินความเสี่ยงแล้วพบว่า เครือข่ายของลูกค้ามีความเสี่ยงต่อการถูกโจมตี DDoS ทีมงานจะคำนวณค่าความสูญเสียที่เกิดขึ้นเมื่อระบบถูกโจมตีเข้ามาจริงๆ เพื่อให้ลูกค้าสามารถวิเคราะห์ต้นทุนและค่าใช้จ่ายต่างๆ ว่าคุ้มค่ากับการป้องกันหรือไม่
ในส่วนงานของการป้องกัน Blue Team ใช้เครื่องมือหลายส่วนในการปฏิบัติงาน เพื่อให้ระบบเครือข่ายที่ดูแลมีความปลอดภัย ทั้งจากการใช้ฮาร์ดแวร์และซอฟต์แวร์ เช่น…
- ติดตั้ง Firewall, IPS (Intrusion Detection) และกำหนด Policy เพื่อตรวจจับและบล็อกการโจมตีจาก Attacker ได้
- ตรวจสอบช่องโหว่ของ Services ต่างๆ ที่ให้บริการบนเครื่อง Server เช่น ช่องโหว่ของ DNS Server ที่ทำให้เกิดการแปลงชื่อเป็น IP ไม่ถูกต้อง หรือการเข้าถึงสิทธิ์ Admin ของ Web Server ทำให้ถูกยึด Website ที่สำคัญไปได้ เมื่อตรวจพบความเสี่ยงที่อาจถูกโจมตี ก็จะทำการ Update เพื่อปิดช่องโหว่ของ Services เหล่านั้นทันที
- ติดตั้งโปรแกรมหรือซอฟต์แวร์ด้านความปลอดภัย เช่น โปรแกรมสแกนไวรัสหรือระบบ SIEM (Security Information and Event Management) เพื่อช่วยในการตรวจสอบและป้องกันการโจมตีจากภัยคุกคามหรือไวรัสต่างๆ
- การตรวจสอบโครงสร้างของระบบเครือข่ายว่ามีการแยกส่วนหรือจัดระเบียบการทำงานให้มีความปลอดภัยหรือไม่ เช่น แยกส่วนของการเข้าถึงเครือข่ายที่สำคัญออกจากเครือข่ายภายในอื่นๆ เพื่อไม่ให้บุคคลที่ไม่ได้รับอนุญาตแอบดักจับข้อมูลที่เป็นความลับทางธุรกิจของฝั่งผู้บริหาร
- นำ Log และการใช้งานหน่วยความจำหลักมาวิเคราะห์เพื่อหาพฤติกรรมการโจมตีหรือเหตุการณ์ที่ผิดปกติในระบบ
ความสามารถที่ต้องมีของ Red Team และ Blue Team
ในส่วนของการทำงานทั้งฝั่ง Red Team และ Blue Team จะมีการทำงานและวางแผนงานร่วมกัน โดยมักจะมีการแลกเปลี่ยนความรู้ของแต่ละฝั่งให้กันเสมอ เพื่อให้การทำงานเป็นไปอย่างราบรื่นและได้ผลลัพธ์ที่ดีที่สุด ดังนั้นในส่วนของความสามารถของผู้ที่จะก้าวเข้าสู่สายงานด้าน Cyber Security ทั้งฝั่ง Red และ Blue Team ก็จะมีส่วนที่คล้ายกันพอสมควร แต่อาจจะแตกต่างกันในรายละเอียดปลีกย่อยต่างๆ เช่น…
- ทั้ง 2 ทีมควรต้องมีทักษะและความสามารถที่ใกล้เคียงกัน เพื่อให้ได้ผลลัพธ์ที่ดีที่สุดและสามารถนำผลทดสอบไปใช้งานได้จริง แม้ว่าเป้าหมายหลักของการทำงานทั้ง Red และ Blue จะแตกต่างกัน แต่หากความสามารถต่างกันเกินไป ก็อาจทำให้ Red Team โจมตีได้ง่ายเกินไป หรือ Blue Team ป้องกันได้ดีเกินความเป็นจริง ผลทดสอบที่ได้ก็อาจคลาดเคลื่อนจนไม่น่าเชื่อถือนั่นเอง
- ทั้งฝั่ง Red และ Blue จะต้องมีความสามารถที่หลากหลายทั้งในเรื่องของ Security, Network และ System ซึ่งอาจรวมถึง Programming อีกด้วย โดยเฉพาะพื้นฐานในเชิงลึกที่สำคัญของแต่ละด้าน เพียงแต่ Red Team จะเน้นไปทางการหาวิธีโจมตี เช่น ฝั่ง Red ต้องหาช่องโหว่เพื่อโจมตีระบบเครือข่าย ในขณะที่ฝั่ง Blue ต้องหาวิธีป้องกันเครือข่าย ซึ่งทั้งคู่ต้องมีความรู้ด้าน Network เหมือนกัน แต่ศึกษากันคนละจุดประสงค์
- ควรมีพื้นฐานและความรู้ด้าน Hardware เพราะการโจมตีหรือช่องโหว่ที่เกิดขึ้นในบางกรณี เกิดจาก Hardware ที่ใช้ เช่น การ Hack อุปกรณ์ Router หรือ Firewall บางยี่ห้อที่มีช่องโหว่จากการอัปเดต Firmware
- มีไหวพริบและทักษะการแก้ปัญหาในระดับดีพอสมควร เพราะงานของ Red Team ที่สำคัญคือต้องหาช่องโหว่ที่ต้องการเจาะระบบเข้าไปให้ได้ ด้วยแนวคิดที่ว่าไม่มีระบบความปลอดภัยใดๆ ที่ป้องกันได้ 100% เพราะฉะนั้น Red Team ที่มีฝีมือต้องหาช่องทางการโจมตีให้ได้อย่างน้อย 1 วิธี ซึ่งอาจเป็นช่องโหว่ในระดับใดก็ได้ หรือ Blue Team ที่ต้องหาวิธีป้องกันการโจมตีและกำหนดนโยบายด้านความปลอดภัยที่รอบคอบ อุดช่องโหว่ต่างๆ ได้อย่างมีประสิทธิภาพ ทำให้ไม่ถูกโจมตีได้ง่ายเกินไป
- ติดตามข้อมูลข่าวสารที่เกี่ยวข้องกับงานด้าน Cyber Security อย่างสม่ำเสมอ ความรู้ในสายงานด้านนี้บางเรื่องมีการเปลี่ยนแปลงเพียงข้ามคืนหรือวันต่อวัน หากเป็นคนที่ไม่ชอบการติดตามและอัปเดตความรู้ใหม่อยู่ตลอดเวลา อาจไม่เหมาะกับสายงานด้านนี้ เพราะความรู้ที่มีหากไม่มีการเรียนรู้ใหม่ จะเก่าและล้าสมัยไปอย่างรวดเร็ว
