Cybersecurity CUBE
ทำปัญหา (security) ยากๆให้ดูง่ายขึ้น ด้วยหลักคิดแบบ cube cube
บทความที่ผ่านๆมาเราพูดกันไปหลายเรื่องเกี่ยวกับ security ไม่ว่าจะเป็น
- เป้าหมายและหลักการพื้นฐานในการรักษาความปลอดภัย ผ่านสิ่งที่เรียกว่า CIA Triad หรือ
- หลักการจำกัดการเข้าถึงทรัพยากรขององค์กร (AAA Framework)
ในวันนี้เราจะมาพูดถึงอีกเรื่องหนึ่งที่น่าสนใจซึ่งก็คือ McCumber’s Cybersecurity Cube กันครับ … เอาหล่ะไปลุยกันเลย!
คิดมาก? หรือแค่รอบคอบ
ในการรักษาความปลอดภัยปัจจุบันเรามักจะเห็นได้ว่ากระบวนการรักษาความปลอดภัยนั้นมีความซับซ้อน ยุ่งเหยิง จะวางระบบรักษาความปลอดภัยให้องค์กรแต่ละครั้งต้องคำนึงถึงเรื่องหลายเรื่องมากๆ ไม่ว่าจะเป็นเรื่องเทคโนโลยีที่ใช้ เรื่องรูปแบบการโจมตีของแฮกเกอร์ในปัจจุบัน หรือแม้กระทั่งการเทรนคนในองค์กรให้ไม่ตกเป็นเหยื่อของคนร้ายได้โดยง่าย
สาเหตุที่เราต้องคิดมาก หรือคำนึงถึงเรื่องต่างๆรอบด้านขนาดนี้ก็เป็นเพราะว่า
“ในความเป็นจริงเหล่าร้ายไม่เลือกวิธีการ”
ความจริงข้างต้นนี้นำเราไปสู่หลักการในด้าน security ที่เราต้องคำนึงไว้เสมอ ซึ่งก็คือ Principle of Easiest Penetration นั่นเอง
ในหลักการนี้ กล่าวถึงการที่ผู้ออกแบบระบบรักษาความปลอดภัยควรจะมี mindset ที่รู้ว่า … คนร้ายไม่เลือกวิธีการ ไม่ว่าจะถูกจริยธรรมหรือไม่ ขอแค่สามารถบรรลุวัตถุประสงค์ได้ก็จะยินดีทำทุกทาง