ป้องกันและจัดการข้อมูลสำคัญของ Email ให้มีประสิทธิภาพและปลอดภัยจากไซเบอร์ด้วย Proofpoint
สวัสดีค่าา วันนี้นิโนจะมาพูดถึงสิ่งที่ทุกคนใช้และรู้จักกันเป็นอย่างดีนั่นก็คือ “email” นั่นเองค่ะ ในปัจจุบันหลายองค์กรมักใช้ email ในการสื่อสารไม่ว่าจะเป็นเรื่องงาน เรื่องส่วนตัว และเรื่องต่าง ๆ อีกมากมายซึ่งทำให้ภัยคุกคาม (Threat) ในรูปแบบใหม่ ๆ สามารถหลุดรอดเข้ามาภายในองค์กรได้อย่างง่ายดายและมากขึ้นเรื่อยๆ โดยหลายครั้งยังพบว่าองค์กรส่วนใหญ่ยังไม่ได้มีการป้องกันระบบ email gateway แบบ 100% อีกทั้งยังหลงเหลือช่องทางให้แฮกเกอร์เข้ามาโจมตีได้ เช่น Email Fraud, Phishing mail, Spam mail และอื่น ๆ จึงเกิดปัญหาที่สร้างความเดือดร้อนอย่างมากในหลากหลายธุรกิจตั้งแต่ระดับเล็กๆ จนถึงระดับโลกกันเลยทีเดียว
วันนี้นิโนจึงนำ Case Study จาก Colonial Companies มาแชร์ให้กับทุกคน ให้มีความเข้าใจมากขึ้นถึงความท้าทายและผลเสียที่อาจจะเกิดขึ้นขององค์กรที่ไม่ได้มีการป้องกัน email gateway และหลังจากใช้ Solution Proofpoint แล้ว สามารถทำให้การทำงานโดยรวมละการป้องกันข้อมูลสำคัญมีประสิทธิภาพที่ดีมากขึ้นอย่างไรค่ะ
Colonial Companies Case study: ป้องกันข้อมูลและย้ายไปที่ Cloud ด้วย Proofpoint
· ความท้าทาย
- (1) การป้องกันการสูญเสียข้อมูลที่ละเอียดอ่อนจากพนักงานที่ออกจากงาน
ในอุตสาหกรรมบริการทางการเงิน การสื่อสารที่ราบรื่นและปลอดภัยเป็นสิ่งสำคัญ และเป็นรากฐานสำหรับกระบวนการทางธุรกิจที่มีเดิมพันสูง แต่ไม่ใช่ว่าภัยคุกคามทั้งหมดจะมาจากภายนอกองค์กรเท่านั้นนะคะ ดังนั้นทาง บริษัทจึงได้มีการนำ (a) Proofpoint Insider Threat Management (ITM) ที่เป็น Cloud Solution มาใช้ โดย ITM จะช่วยให้องค์กรปกป้องข้อมูลที่ละเอียดอ่อนจากภัยคุกคามภายใน อีกทั้งยังป้องกันการสูญหายของข้อมูลจากเครื่องอุปกรณ์ปลายทาง เช่น คอมพิวเตอร์, Laptop หรืออื่น ๆ ที่พนักงานแต่ละคนใช้งาน กรณีศึกษาหลักของทางบริษัทคือ การที่พนักงานลาออก ซึ่ง ITM จะมีประโยชน์อย่างยิ่งในช่วงเวลาที่บริษัทมีความเปลี่ยนแปลงอย่างรวดเร็ว ช่วยให้องค์กรปกป้องข้อมูลบริษัทที่มีความละเอียดอ่อนในลักษณะที่สอดคล้องกับความต้องการทางธุรกิจของพวกเขา
“ในปีที่ผ่านมา เรามีการเลิกจ้างพนักงานด้วยเหตุผลหลายประการ” Dakota Reynolds นักวิเคราะห์ภัยคุกคามด้านความปลอดภัยข้อมูลที่ Colonial กล่าวว่า “Proofpoint ITM ช่วยให้เราตรวจจับการขโมยข้อมูลและพฤติกรรมเสี่ยงของผู้ที่จะลาออก”
- (2) การย้าย email ไปยังระบบคลาวด์อย่างปลอดภัย
เช่นเดียวกับองค์กรที่ให้บริการทางการเงินอื่นๆ บริษัท Colonial ใช้ email เพื่อขับเคลื่อนแอปพลิเคชันและธุรกรรมทางธุรกิจไปข้างหน้า บริษัทมีการบริหารจัดการ email แบบ Mixed environment ผ่านทั้งทาง On-Cloud และ On-premises โดยบางฉบับผ่าน Microsoft Exchange Cloud และบางส่วนของการจัดการในระบบ server ภายในองค์กร ดังนั้นการปกป้องการดูแล email แบบ hybrid environment จึงเป็นเรื่องที่ท้าทาย โดยเฉพาะอย่างยิ่งเมื่อภัยคุกคามมีการพัฒนาและเปลี่ยนแปลงตลอดเวลา
“สิ่งที่ฉันเห็นส่วนใหญ่จากการรับส่งข้อมูลในแต่ละวันคือการโจมตีทาง email ทางธุรกิจ (BEC) และความพยายามเพื่อขโมยข้อมูลส่วนตัว (phishing)” “ผู้ไม่ประสงค์ดีได้มีการส่ง email จำนวนมากถึงพนักงานของเราพยายาม phishing ข้อมูลประจำตัวของตนเพื่อตั้งหลัก หรือใช้ compromised account เพื่อส่งการโจมตีไปยังผู้อื่นทั้งในและนอกองค์กร และเราสามารถเห็นการโจมตีประเภทนี้ได้มากถึง 40 รายการในแต่ละวัน” Dakota Reynolds กล่าว
โดยจากปัญหาที่กล่าวมานั้น บริษัท Colonial จึงได้มีการมองหา Multilayered solution ที่จัดการง่าย และสามารถปกป้ององค์กรจากภัยคุกคามทางไซเบอร์ล่าสุดได้ นอกจากนี้ยังต้องการจัดการฝึกอบรมแนวทางปฏิบัติที่ดีที่สุดแก่พนักงานเพื่อเสริมสร้างประสิทธิภาพการทำงานโดยรวม
การแก้ไขปัญหา
- (1) ได้รับการมองเห็นพฤติกรรมเสี่ยงที่ชัดเจน
เพื่อช่วยปกป้ององค์กร บริษัทได้ใช้ Proofpoint Solution ที่หลากหลาย เพื่อป้องกันภัยคุกคามจากภายใน Colonial ใช้ Proofpoint ITM เพื่อให้มองเห็นพนักงานที่มีความเสี่ยงที่สุดเพื่อตรวจจับพฤติกรรมที่น่าสงสัยได้อย่างรวดเร็ว แสดงรายละเอียดของพฤติกรรมที่ผิดปกติจากบุคคลากรภายในบริษัทได้ ซึ่งจากการเห็นข้อมูลเหล่านั้น ทางบริษัทจะสามารถระบุการตอบสนองที่ดีที่สุดสำหรับเหตุการณ์นั้น ๆ ได้
“เรามีการแจ้งเตือนที่แตกต่างกัน 35 รายการที่ตั้งค่าไว้ใน Proofpoint ITM สำหรับเงื่อนไขที่แตกต่างกัน เช่น การอัปโหลดไฟล์ไปยังเว็บไซต์ที่มีขนาดใหญ่เกินกำหนด” Reynolds กล่าว “เรายังใช้ ITM สำหรับพนักงานของเราที่อาจลาออกจากองค์กร เมื่อกฎนั้นเริ่มทำงาน กฎเหล่านั้นจะถูกวางไว้ในกลุ่ม Active Directory พิเศษเพื่อการตรวจสอบที่ใกล้ชิดยิ่งขึ้นและความรุนแรงของการแจ้งเตือนก็เพิ่มขึ้น” Reynolds กล่าวเสริม: “Proofpoint ITM นี้ช่วยทำให้มีประสิทธิภาพมากยิ่งขึ้น โดยเฉพาะอย่างยิ่งเมื่อตรวจสอบการแจ้งเตือน”
- (2) การควบคุมโดเมนที่เชื่อถือได้อย่างสมบูรณ์
เพื่อป้องกันภัยคุกคาม การโจมตีทาง email ทางธุรกิจ (BEC) Proofpoint Email Fraud Defense ช่วยให้บริษัทรักษาความปลอดภัยช่องทาง email เพื่อ เพิ่มความไว้วางใจในการสื่อสารทางธุรกิจที่ต้องติดต่อกันทาง email เพื่อลดความเสี่ยงของการโจมตีจากผู้ไม่ประสงค์ดีที่อาจส่ง phishing email หรือ malware ผ่านช่องทางนี้ การใช้ Email Fraud Defense จะช่วยระบุว่าอีเมลที่ส่งมา (inbound email) นั้นมาจากทาง partners หรือ suppliers ที่ติดต่อกันอยู่หรือไม่ จากนั้นจะตรวจสอบบันทึก DMARC และเปิดเผยความเสี่ยงที่เกิดขึ้น
(b) Proofpoint Email Fraud Defense (EFD) ยังช่วยบริษัทให้ง่ายขึ้นในเรื่องการแนะนำกระบวนการทำ DMARC Authentication (Figure 2) ทั้งหมด เพื่อปกป้องแบรนด์ของบริษัท ทาง Colonial เองได้มีการปรับใช้ DMARC policy ที่ตั้งเป็น p=reject นี่จะสั่งให้ผู้รับอีเมลปฏิเสธการยอมรับอีเมลที่ไม่ผ่านการตรวจสอบ DMARC แล้ว “การบังคับใช้ DMARC และการดำเนินการ p=reject เป็นวิธีการหนึ่งสำหรับเราในการป้องกันไม่ให้ผู้คนปลอมแปลงที่อยู่ของเรา และพยายามสร้างความเสียหายต่อชื่อเสียงของบริษัทของเรา” Reynolds กล่าว
มาถึงตรงนี้ บางคนอาจจะมีข้อสงสัยว่าแล้ว DMARC และ p=reject คืออะไร นิโนจะอธิบายแบบสั้นๆให้ได้อ่านและเข้าใจไปพร้อมกันนะคะ
DMARC คืออะไร?
DMARC คือ การตั้งค่าสำหรับผู้ใช้งาน Email Hosting โดยมีวัตถุประสงค์เพื่อลดการปลอมแปลง email องค์กร โดยเป็นค่าที่ถูกกำหนดไว้ในส่วนของ DNS และเป็นตัวกำหนดและประกาศให้ Email Server ปลายทางทราบว่า หากมีผู้ปลอมแปลง เช่น SPF Record ไม่ถูกต้องจะให้ปลายทางทำอย่างไร โดยมี 3 สถานะดังนี้
1. Accept หมายถึงให้ปลายทางรับ Email ไว้
2. Rejected ให้ทำการตีกลับทันทีหากมีการส่งที่ปลอมแปลงมา
3. None หมายถึงไม่ต้องดำเนินการใดๆ
p=reject คือให้ปลายทางตีกลับมาทันทีหากการส่งนี้ไม่ถูกต้องตามนโยบายที่เรากำหนดไว้ หากมิได้ทำการตั้งค่าเป็น p=reject จะหมายความว่าอนุญาตให้รับ email ทั้งหมดถึงแม้ว่า SPF Record (ค่าสำหรับการปลอมแปลง email) จะไม่ถูกต้องก็ตาม ถ้าเข้าใจกันแล้วงั้นเรากลับมาเข้าเรื่องกันต่อเลยนะคะ
นอกจาก Proofpoint ITM และ EFD แล้ว ทางบริษัทเองยังใช้ © Proofpoint Domain Discover ที่เป็นหนึ่งในอีก add-on feature ของ EFD โดยจะช่วยระบุ Domain ที่คล้ายคลึงกับของบริษัทโดยอัตโนมัติซึ่งจะช่วยลดผลกระทบที่มีต่อแบรนด์ได้ และช่วยให้ทีมสามารถดำเนินการกับ Domain พวกนั้นได้อย่างรวดเร็ว
เพื่อเพิ่มการรักษาความปลอดภัย email ให้มากกว่าการพึ่งเทคโนโลยีเพียงอย่างเดียวบริษัท Colonial ยังได้มีการใช้ (d) Proofpoint Security Awareness เพื่อช่วยส่งเสริมวัฒนธรรมการรักษาความปลอดภัยของทั้งองค์กรอีกด้วย
“เราใช้ Proofpoint Security Awareness Pro เพื่อให้พนักงานของเราทุกคนมีการฝึกอบรมที่ครอบคลุมเกี่ยวกับเรื่อง phishing awareness เมื่อพนักงานของเราเข้าร่วมพวกเขาจะได้รับการฝึกอบรมเกี่ยวกับเรื่องนี้โดยเฉพาะ เป็นประจำทุกปี ดังนั้นพวกเขาจึงมีความรู้อย่างดีในการใช้ Proofpoint เพื่อรายงาน email ที่พิจารณาว่าน่าสงสัยจะเป็น phishing หรือ email ที่มีความเสี่ยงให้กับทางทีมที่ดูแล”
หากพนักงานรายงาน email ที่น่าสงสัยนั้นแล้ว email จะถูกส่งไปยัง Closed-Loop Email Analysis and Response (CLEAR) ขององค์กร โดยสิ่งนี้จะช่วยเร่งกระบวนการในการรายงานพนักงานที่มีความเสี่ยงและสามารถตอบสนองต่อการโจมตีแบบฟิชชิ่งและลดความเสี่ยงที่จะเกิดขึ้นต่อบริษัทได้เร็วขึ้น
“สิ่งที่พนักงานของเรารายงานส่วนใหญ่ค่อนข้างแม่นยำ ซึ่งบ่งบอกถึงคุณภาพของการฝึกอบรม Proofpoint Security Awareness ที่เรานำเสนอ”
ผลลัพธ์
- การรักษาความปลอดภัยองค์กรและประหยัดเวลา
เมื่อเร็วๆ นี้ บริษัทได้ย้ายจาก Proofpoint ITM ภายในองค์กรไปเป็น ITM SaaS ซึ่งเป็นส่วนหนึ่งของ Sigma Information Protection platform แทนที่จะคลิกจากหน้าจอหนึ่งไปอีกหน้าจอหนึ่ง ทางผู้ดูแลระบบจะสามารถดูข้อมูลการแจ้งเตือนได้ในมุมมองเดียว
Reynolds มองเห็นคุณค่ามากมายจากการย้ายการทำงานไปที่ Cloud ดังนี้ “Solution ITM SaaS ได้ปรับปรุงการใช้งานทำให้การทำงานดีขึ้นอย่างมาก โดยเฉพาะอย่างยิ่งเมื่อตรวจสอบการแจ้งเตือน Dashboard ที่มีประโยชน์ เนื่องจากมีภาพหน้าจอที่แสดงผลของระบบ ITM ให้ข้อมูลที่เกี่ยวข้องและจำเป็นในการพิจารณาร่วมกัน เพื่อวิเคราะห์จุดประสงค์ของพนักงานโดยเฉพาะผู้ที่มีความเสี่ยง”
เพื่อเสริมศักยภาพ security team ในเชิงรุกที่มากขึ้น บริษัทจึงได้ปรับใช้ (e) Proofpoint Threat Response Auto-Pull (TRAP) แพลตฟอร์มการจัดการภัยคุกคามนี้ช่วยให้ Reynolds และทีมของเขาปรับปรุงกระบวนการตอบสนองต่อเหตุการณ์ได้อย่างมีประสิทธิภาพ เมื่อตรวจพบ email ที่อาจเป็นอันตราย TRAP จะลบ email นั้นออกโดยอัตโนมัติ Solutionนี้ ยังสามารถกักกัน email หลังจากเข้าถึงกล่อง email ของพนักงานแล้ว ซึ่งช่วยให้ทีมรักษาความปลอดภัยหลีกเลี่ยงกระบวนการด้วยตนเองที่ช้าลงและทำซ้ำๆ ได้ รวมถึงสามารถดึง email นั้นจากกล่องจดหมายก่อนที่พนักงานจะเผลอคลิกไปทำอะไรสักอย่าง
อีกหนึ่ง product ของ Proofpoint คือ (f) Proofpoint Targeted Attack Protection (TAP) สามารถช่วยแยก URL ได้ (built-in URL Isolation feature) ตามนโยบายความปลอดภัย ซึ่งหมายความว่าพนักงานสามารถเข้าถึงแต่ละเว็บไซต์จากการกดผ่าน email ได้อย่างมั่นใจ
“หาก email มาจากผู้ส่งภายนอก (inbound email) ทุกลิงก์จะต้องผ่านการแยก URL ดังนั้น หาก Proofpoint ระบุ Domain ที่เป็นอันตราย พนักงานของเราไม่สามารถเข้าไปยุ่งเกี่ยวหรือทำกิจกรรมต่าง ๆ กับ Domain นั้นได้ เนื่องจาก Domain จะถูกบล็อกโดยอัตโนมัติ ซึ่งถือได้ว่าเป็นการรักษาความปลอดภัยอีกชั้นหนึ่งที่มีประโยชน์จริงๆ”
กล่าวโดยสรุปแล้วสำหรับบริษัท Proofpoint security portfolio ที่ครอบคลุมเกี่ยวกับการรักษาความปลอดภัยระบบช่วยให้ทีมรักษาความปลอดภัยมีแนวทางการปกป้ององค์กรที่หลากหลาย ซึ่งจากในบางครั้งที่ทางผู้บริหารมีคำถามเกี่ยวกับ Solution ด้านความปลอดภัยบางอย่าง เช่น URL isolation หรือ Security awareness และอื่น ๆ เราสามารถแจ้งให้พวกเขาทราบว่าเรามีวิธีแก้ปัญหาอยู่แล้ว
ก็หวังว่าทุกคนที่ได้อ่านบทความนี้จะมีความเข้าใจมากขึ้นเกี่ยวกับ Product ของ Proofpoint นะคะ ถ้ามีข้อสงสัยอยากสอบถามเพิ่มเติมเกี่ยวกับเรื่องนี้ สามารถติดต่อ พวกเรา SRS Integration มาได้เลยนะคะ^^ หรือและถ้าสนใจบทความอื่นเพิ่มเติมก็สามารถติดตามได้ที่ https://www.facebook.com/SRSIntegration/
และหากสนใจ อยากรู้จัก SRS Integration ว่า Service ของเรามีอะไรบ้างสามารถคลิกได้ที่ link นี้ค่ะ https://www.srsi.co.th/
หรือสนใจทดสอบการใช้งานซอฟต์แวร์ Proofpoint ติดต่อได้ที่ sales@srsi.co.th ค่ะ^^
Case Story Reference: https://www.proofpoint.com/us/customer-stories/colonial-companies-secure-cloud-migration
