การใช้มาตรการ Advanced Authentication เป็นกุญแจสำคัญในการช่วยให้องค์กรจัดการกับจุดอ่อนด้านความปลอดภัยทางไซเบอร์ ซึ่งก็คือผู้ใช้ที่เป็นมนุษย์ การมีการรับรองความถูกต้องแบบ 2 ขั้นตอนเป็นการเริ่มต้นที่ดี แต่หลายองค์กรอาจยังไม่อยู่ในจุดนั้นหรือมีความซับซ้อนของ Authentication ในระดับที่จำเป็นเพื่อปกป้องข้อมูลขององค์กรอย่างเพียงพอ เมื่อปรับใช้ Advanced Authentication องค์กรอาจทำผิดพลาดได้ และจำเป็นอย่างยิ่งที่จะต้องตระหนักถึงข้อผิดพลาดที่อาจเกิดขึ้นเหล่านี้
1. ล้มเหลวในการประเมินความเสี่ยง
การประเมินความเสี่ยงที่ครอบคลุมเป็นขั้นตอนแรกที่สำคัญในการดำเนินใช้ Authentication องค์กรปล่อยให้ตัวเองเปิดรับความเสี่ยงหากล้มเหลวในการประเมินภัยคุกคามและช่องโหว่ ระบบและกระบวนการในปัจจุบัน หรือระดับการป้องกันที่จำเป็นสำหรับแอปพลิเคชันและข้อมูลที่แตกต่างกัน
ไม่ใช่ทุกแอปพลิเคชันที่ต้องการการรักษาความปลอดภัยในระดับเดียวกัน ตัวอย่างเช่น แอปพลิเคชันที่จัดการข้อมูลลูกค้าหรือการเงินที่ละเอียดอ่อนอาจต้องใช้มาตรการตรวจสอบสิทธิ์ที่เข้มงวดกว่าเมื่อเปรียบเทียบกับระบบที่มีความสำคัญน้อยกว่า หากไม่มีการประเมินความเสี่ยง องค์กรต่างๆ จะไม่สามารถจัดหมวดหมู่และจัดลำดับความสำคัญของสิ่งที่จำเป็นต้องมี Authentication เพิ่มเติมได้อย่างมีประสิทธิภาพจึงมีความจำเป็นในการยกระดับความปลอดภัยขององค์กรด้วย Advanced Authentication
ยิ่งไปกว่านั้น ผู้ใช้บางคนไม่จำเป็นต้องเข้าถึงแอปพลิเคชันหรือข้อมูลทั้งหมด ตัวอย่างเช่น ผู้ใช้ในด้านการตลาดไม่จำเป็นต้องเข้าถึงข้อมูล HR ที่ละเอียดอ่อน ด้วยการประเมินหน้าที่ซึ่งเป็นส่วนหนึ่งของการประเมินความเสี่ยง องค์กรต่างๆ สามารถมองหาการใช้การควบคุมการเข้าถึงตามหน้าที่ ซึ่งช่วยให้มั่นใจว่าผู้ใช้ในหน้าที่เฉพาะจะสามารถเข้าถึงข้อมูลและแอปพลิเคชันที่จำเป็นในการทำงานให้เสร็จสิ้นเท่านั้น
2. ไม่ดำเนินการตรวจสอบเพื่อรวมระบบ Authentication เข้ากับระบบปัจจุบัน
การพิจารณาความเข้ากันได้กับระบบที่มีอยู่ โดยเฉพาะอย่างยิ่งระบบเดิม ถือเป็นสิ่งสำคัญเพื่อให้แน่ใจว่ากรอบงานของ Authentication สอดคล้องกันทั่วทั้งโครงสร้างพื้นฐานทั้งหมด การปฏิบัติตามวิธี Authentication ตามมาตรฐานเป็นสิ่งสำคัญ ซึ่งอาจเกี่ยวข้องกับการบันทึกส่วนหน้าของแอปพลิเคชันใหม่เพื่อใช้โฟลว์ OIDC (OpenID Connect) หรือ SAML (Security Assertion Markup Language) ผู้จำหน่ายหลายรายเสนอชุดเครื่องมือที่ทำให้กระบวนการนี้ง่ายขึ้นเพื่อช่วยให้มั่นใจในการบูรณาการที่ราบรื่น
การตรวจสอบสถานะเพื่อให้แน่ใจว่าระบบของคุณมีตัวเลือกการรวมเข้ากับระบบ Authentication จะช่วยลดความซับซ้อนในการใช้งานและเพิ่มความปลอดภัยโดยรวม
3. ต้องการ Authentication Factor เพียงขั้นเดียวเท่านั้น
การจำเป็นต้องมีขั้นตอนการ Authentication อย่างน้อยสองขั้นตอนเป็นสิ่งจำเป็นในแนวความปลอดภัยในปัจจุบัน ขั้นตอนเพิ่มเติมที่แนะนำได้แก่:
- โทเค็นทางกายภาพ: อุปกรณ์เช่นโทเค็น Yubikey หรือ Google Titan สร้างลายเซ็นดิจิทัลที่ให้การรักษาความปลอดภัยข้อมูลประจำตัวอีกชั้นหนึ่ง
- การรับรองความถูกต้องด้วยไบโอเมตริกซ์: ปัจจัยต่างๆ เช่น ลายนิ้วมือหรือการจดจำใบหน้า
- อุปกรณ์ที่เชื่อถือได้: การลงทะเบียนอุปกรณ์หรือการมีอยู่ของใบรับรองที่ออกและตรวจสอบแล้วทำให้มั่นใจได้ว่าผู้ใช้ที่เรารู้จักกำลังใช้อุปกรณ์ที่เชื่อถือได้และสามารถเข้าถึงระบบที่ต้องการได้
- ปัจจัยความน่าเชื่อถือสูง เช่น BankID หรือ Government e-ID
พิจารณาความละเอียดอ่อนของข้อมูลเมื่อเลือกขั้นตอน การ Authentication สำหรับข้อมูลที่ละเอียดอ่อนสูง การรวมกันหลายขั้นตอนสามารถให้ระดับความปลอดภัยที่สูงขึ้นได้ อย่างไรก็ตาม การเข้าถึงข้อมูลที่ละเอียดอ่อนน้อยกว่าอาจทำได้โดยใช้เพียงรหัสผ่านและรหัสแอปตรวจสอบสิทธิ์แบบใช้รหัสผ่านครั้งเดียว (TOTP) ตามเวลาหรือการแจ้งเตือนแบบ PUSH อีกทางเลือกหนึ่งในการสำรวจคือการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน แทนที่จะใช้รหัสผ่าน ตัวเลือกนี้ใช้ประโยชน์จากปัจจัยการตรวจสอบสิทธิ์อื่นๆ เช่น ไบโอเมตริก อุปกรณ์ที่เชื่อถือได้ หรือโทเค็นทางกายภาพเพื่อให้สิทธิ์ในการเข้าถึง การใช้ขั้นตอนการ Authentication เพียงอย่างเดียวไม่เพียงพอที่จะต่อสู้กับภัยคุกคามที่กำลังพัฒนาซึ่งองค์กรต่างๆ เผชิญอยู่ได้อย่างมีประสิทธิภาพ
4. ลืมเกี่ยวกับประสบการณ์การใช้งานของผู้ใช้
หากขั้นตอนการ Authentication ของผู้ใช้ยุ่งยากและวุ่นวายเกินไป ผู้ใช้จะรู้สึกหงุดหงิด การสร้างสมดุลระหว่างการรักษาความปลอดภัยและการเข้าถึงเป็นสิ่งสำคัญสำหรับประสบการณ์ที่ดีของผู้ใช้ เมื่อพิจารณาปัจจัยการ Advanced Authentication ให้จัดลำดับความสำคัญของโซลูชันที่ลดขั้นตอนและลดความวุ่นวาย คำแนะนำที่ชัดเจน อินเทอร์เฟซที่เป็นมิตรต่อผู้ใช้ และตัวเลือกการบริการตนเองช่วยปรับปรุงประสบการณ์ผู้ใช้
5. ไม่ใส่ใจกับ Activities และ Patterns ของ Authentication
หากไม่มีการตรวจสอบหรือข้อมูลเชิงลึกเกี่ยวกับพฤติกรรมของผู้ใช้เป็นประจำ องค์กรต่างๆ จะไม่สามารถประเมินหรือลดความเสี่ยงได้อย่างมีประสิทธิภาพ การตรวจสอบและวิเคราะห์กิจกรรมการ Authentication เป็นประจำถือเป็นสิ่งสำคัญเพื่อให้มั่นใจในความปลอดภัยอย่างต่อเนื่อง
แม้ว่าแพลตฟอร์ม Identity and Access Management (IAM) ส่วนใหญ่จะมีข้อมูลการบันทึกและแดชบอร์ด แต่การแจ้งเตือนแบบเรียลไทม์สำหรับพฤติกรรมที่น่าสงสัยหรือผิดปกติผ่าน SIEM ช่วยให้องค์กรระบุภัยคุกคามและดำเนินการได้อย่างรวดเร็ว การแจ้งเตือนเหล่านี้จะแจ้งให้ผู้ดูแลระบบและทีมรักษาความปลอดภัยทราบถึงความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาตผ่านรูปแบบการเข้าสู่ระบบที่ผิดปกติ
บางองค์กรใช้การตรวจสอบสิทธิ์ตามความเสี่ยง ซึ่งใช้ประโยชน์จากการเรียนรู้ของเครื่องเพื่อพัฒนาโปรไฟล์ของพฤติกรรมการเข้าสู่ระบบในอดีต และปรับมาตรการรักษาความปลอดภัยเพื่อตรวจสอบตัวตนของผู้ใช้แบบเรียลไทม์ การพยายามเข้าสู่ระบบด้วยคะแนนความเสี่ยงที่สูงขึ้นนั้นจำเป็นต้องมีขั้นตอนในการ Authentication เพิ่มเติม หรือถูกปฏิเสธการเข้าถึงทั้งหมด ในขณะที่การเข้าสู่ระบบที่มีความเสี่ยงต่ำกว่าจะได้รับแจ้งโดยมีข้อกำหนดน้อยลงหรือเลี่ยงการ Authentication ทั้งหมด
6. ละเลยการฝึกอบรมและให้ความรู้แก่ผู้ใช้
การฝึกอบรมผู้ใช้ถือเป็นสิ่งสำคัญในการเพิ่มความปลอดภัยโดยรวม มิฉะนั้น ผู้ใช้อาจมีส่วนร่วมในพฤติกรรมเสี่ยงที่ทำให้องค์กรอยู่ในตำแหน่งที่มีความเสี่ยงมากขึ้น
การฝึกอบรมผู้ใช้ปลายทางที่มีประสิทธิภาพโดยการจัดเตรียมข้อมูลที่ชัดเจน เอกสารการตั้งค่าที่ใช้งานง่ายกับผู้ใช้และความใช้งานง่ายของ Advanced Authentication เอกสารนี้ควรมีคำแนะนำทีละขั้นตอน ภาพหน้าจอ และเคล็ดลับในการแก้ปัญหาเพื่อให้เข้าใจง่ายและในการลงทะเบียน นอกจากนี้ การเน้นตัวอย่างในโลกแห่งความเป็นจริงและกรณีศึกษาเกี่ยวกับการละเมิดความปลอดภัยสามารถเพิ่มความตระหนักรู้ถึงผลที่ตามมาที่อาจเกิดขึ้นได้
การส่งเสริมวัฒนธรรมของการตระหนักรู้ด้านความปลอดภัยและการเฝ้าระวังช่วยให้องค์กรปลูกฝังความรู้สึกรับผิดชอบในหมู่ผู้ใช้ และส่งเสริมการมีส่วนร่วมเชิงรุกในการตรวจสอบสิทธิ์
ด้วยการหลีกเลี่ยงข้อผิดพลาดเหล่านี้ องค์กรต่างๆ จึงสามารถปรับปรุงมาตรการรักษาความปลอดภัยได้อย่างมาก ลดความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาตหรือการละเมิดข้อมูล และปกป้องทรัพย์สินอันมีค่าของบริษัทอีกด้วย
Source: https://thehackernews.com/2024/05/6-mistakes-organizations-make-when.html
การใช้มาตรการ Advanced Authentication เป็นกุญแจสำคัญในการช่วยให้องค์กรจัดการกับจุดอ่อนด้านความปลอดภัยทางไซเบอร์ ซึ่งก็คือผู้ใช้ที่เป็นมนุษย์ การมีการรับรองความถูกต้องแบบ 2 ขั้นตอนเป็นการเริ่มต้นที่ดี แต่หลายองค์กรอาจยังไม่อยู่ในจุดนั้นหรือมีความซับซ้อนของ Authentication ในระดับที่จำเป็นเพื่อปกป้องข้อมูลขององค์กรอย่างเพียงพอ เมื่อปรับใช้ Advanced Authentication องค์กรอาจทำผิดพลาดได้ และจำเป็นอย่างยิ่งที่จะต้องตระหนักถึงข้อผิดพลาดที่อาจเกิดขึ้นเหล่านี้
1. ล้มเหลวในการประเมินความเสี่ยง
การประเมินความเสี่ยงที่ครอบคลุมเป็นขั้นตอนแรกที่สำคัญในการดำเนินใช้ Authentication องค์กรปล่อยให้ตัวเองเปิดรับความเสี่ยงหากล้มเหลวในการประเมินภัยคุกคามและช่องโหว่ ระบบและกระบวนการในปัจจุบัน หรือระดับการป้องกันที่จำเป็นสำหรับแอปพลิเคชันและข้อมูลที่แตกต่างกัน
ไม่ใช่ทุกแอปพลิเคชันที่ต้องการการรักษาความปลอดภัยในระดับเดียวกัน ตัวอย่างเช่น แอปพลิเคชันที่จัดการข้อมูลลูกค้าหรือการเงินที่ละเอียดอ่อนอาจต้องใช้มาตรการตรวจสอบสิทธิ์ที่เข้มงวดกว่าเมื่อเปรียบเทียบกับระบบที่มีความสำคัญน้อยกว่า หากไม่มีการประเมินความเสี่ยง องค์กรต่างๆ จะไม่สามารถจัดหมวดหมู่และจัดลำดับความสำคัญของสิ่งที่จำเป็นต้องมี Authentication เพิ่มเติมได้อย่างมีประสิทธิภาพจึงมีความจำเป็นในการยกระดับความปลอดภัยขององค์กรด้วย Advanced Authentication
ยิ่งไปกว่านั้น ผู้ใช้บางคนไม่จำเป็นต้องเข้าถึงแอปพลิเคชันหรือข้อมูลทั้งหมด ตัวอย่างเช่น ผู้ใช้ในด้านการตลาดไม่จำเป็นต้องเข้าถึงข้อมูล HR ที่ละเอียดอ่อน ด้วยการประเมินหน้าที่ซึ่งเป็นส่วนหนึ่งของการประเมินความเสี่ยง องค์กรต่างๆ สามารถมองหาการใช้การควบคุมการเข้าถึงตามหน้าที่ ซึ่งช่วยให้มั่นใจว่าผู้ใช้ในหน้าที่เฉพาะจะสามารถเข้าถึงข้อมูลและแอปพลิเคชันที่จำเป็นในการทำงานให้เสร็จสิ้นเท่านั้น
2. ไม่ดำเนินการตรวจสอบเพื่อรวมระบบ Authentication เข้ากับระบบปัจจุบัน
การพิจารณาความเข้ากันได้กับระบบที่มีอยู่ โดยเฉพาะอย่างยิ่งระบบเดิม ถือเป็นสิ่งสำคัญเพื่อให้แน่ใจว่ากรอบงานของ Authentication สอดคล้องกันทั่วทั้งโครงสร้างพื้นฐานทั้งหมด การปฏิบัติตามวิธี Authentication ตามมาตรฐานเป็นสิ่งสำคัญ ซึ่งอาจเกี่ยวข้องกับการบันทึกส่วนหน้าของแอปพลิเคชันใหม่เพื่อใช้โฟลว์ OIDC (OpenID Connect) หรือ SAML (Security Assertion Markup Language) ผู้จำหน่ายหลายรายเสนอชุดเครื่องมือที่ทำให้กระบวนการนี้ง่ายขึ้นเพื่อช่วยให้มั่นใจในการบูรณาการที่ราบรื่น
การตรวจสอบสถานะเพื่อให้แน่ใจว่าระบบของคุณมีตัวเลือกการรวมเข้ากับระบบ Authentication จะช่วยลดความซับซ้อนในการใช้งานและเพิ่มความปลอดภัยโดยรวม
3. ต้องการ Authentication Factor เพียงขั้นเดียวเท่านั้น
การจำเป็นต้องมีขั้นตอนการ Authentication อย่างน้อยสองขั้นตอนเป็นสิ่งจำเป็นในแนวความปลอดภัยในปัจจุบัน ขั้นตอนเพิ่มเติมที่แนะนำได้แก่:
- โทเค็นทางกายภาพ: อุปกรณ์เช่นโทเค็น Yubikey หรือ Google Titan สร้างลายเซ็นดิจิทัลที่ให้การรักษาความปลอดภัยข้อมูลประจำตัวอีกชั้นหนึ่ง
- การรับรองความถูกต้องด้วยไบโอเมตริกซ์: ปัจจัยต่างๆ เช่น ลายนิ้วมือหรือการจดจำใบหน้า
- อุปกรณ์ที่เชื่อถือได้: การลงทะเบียนอุปกรณ์หรือการมีอยู่ของใบรับรองที่ออกและตรวจสอบแล้วทำให้มั่นใจได้ว่าผู้ใช้ที่เรารู้จักกำลังใช้อุปกรณ์ที่เชื่อถือได้และสามารถเข้าถึงระบบที่ต้องการได้
- ปัจจัยความน่าเชื่อถือสูง เช่น BankID หรือ Government e-ID
พิจารณาความละเอียดอ่อนของข้อมูลเมื่อเลือกขั้นตอน การ Authentication สำหรับข้อมูลที่ละเอียดอ่อนสูง การรวมกันหลายขั้นตอนสามารถให้ระดับความปลอดภัยที่สูงขึ้นได้ อย่างไรก็ตาม การเข้าถึงข้อมูลที่ละเอียดอ่อนน้อยกว่าอาจทำได้โดยใช้เพียงรหัสผ่านและรหัสแอปตรวจสอบสิทธิ์แบบใช้รหัสผ่านครั้งเดียว (TOTP) ตามเวลาหรือการแจ้งเตือนแบบ PUSH อีกทางเลือกหนึ่งในการสำรวจคือการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน แทนที่จะใช้รหัสผ่าน ตัวเลือกนี้ใช้ประโยชน์จากปัจจัยการตรวจสอบสิทธิ์อื่นๆ เช่น ไบโอเมตริก อุปกรณ์ที่เชื่อถือได้ หรือโทเค็นทางกายภาพเพื่อให้สิทธิ์ในการเข้าถึง การใช้ขั้นตอนการ Authentication เพียงอย่างเดียวไม่เพียงพอที่จะต่อสู้กับภัยคุกคามที่กำลังพัฒนาซึ่งองค์กรต่างๆ เผชิญอยู่ได้อย่างมีประสิทธิภาพ
4. ลืมเกี่ยวกับประสบการณ์การใช้งานของผู้ใช้
หากขั้นตอนการ Authentication ของผู้ใช้ยุ่งยากและวุ่นวายเกินไป ผู้ใช้จะรู้สึกหงุดหงิด การสร้างสมดุลระหว่างการรักษาความปลอดภัยและการเข้าถึงเป็นสิ่งสำคัญสำหรับประสบการณ์ที่ดีของผู้ใช้ เมื่อพิจารณาปัจจัยการ Advanced Authentication ให้จัดลำดับความสำคัญของโซลูชันที่ลดขั้นตอนและลดความวุ่นวาย คำแนะนำที่ชัดเจน อินเทอร์เฟซที่เป็นมิตรต่อผู้ใช้ และตัวเลือกการบริการตนเองช่วยปรับปรุงประสบการณ์ผู้ใช้
5. ไม่ใส่ใจกับ Activities และ Patterns ของ Authentication
หากไม่มีการตรวจสอบหรือข้อมูลเชิงลึกเกี่ยวกับพฤติกรรมของผู้ใช้เป็นประจำ องค์กรต่างๆ จะไม่สามารถประเมินหรือลดความเสี่ยงได้อย่างมีประสิทธิภาพ การตรวจสอบและวิเคราะห์กิจกรรมการ Authentication เป็นประจำถือเป็นสิ่งสำคัญเพื่อให้มั่นใจในความปลอดภัยอย่างต่อเนื่อง
แม้ว่าแพลตฟอร์ม Identity and Access Management (IAM) ส่วนใหญ่จะมีข้อมูลการบันทึกและแดชบอร์ด แต่การแจ้งเตือนแบบเรียลไทม์สำหรับพฤติกรรมที่น่าสงสัยหรือผิดปกติผ่าน SIEM ช่วยให้องค์กรระบุภัยคุกคามและดำเนินการได้อย่างรวดเร็ว การแจ้งเตือนเหล่านี้จะแจ้งให้ผู้ดูแลระบบและทีมรักษาความปลอดภัยทราบถึงความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาตผ่านรูปแบบการเข้าสู่ระบบที่ผิดปกติ
บางองค์กรใช้การตรวจสอบสิทธิ์ตามความเสี่ยง ซึ่งใช้ประโยชน์จากการเรียนรู้ของเครื่องเพื่อพัฒนาโปรไฟล์ของพฤติกรรมการเข้าสู่ระบบในอดีต และปรับมาตรการรักษาความปลอดภัยเพื่อตรวจสอบตัวตนของผู้ใช้แบบเรียลไทม์ การพยายามเข้าสู่ระบบด้วยคะแนนความเสี่ยงที่สูงขึ้นนั้นจำเป็นต้องมีขั้นตอนในการ Authentication เพิ่มเติม หรือถูกปฏิเสธการเข้าถึงทั้งหมด ในขณะที่การเข้าสู่ระบบที่มีความเสี่ยงต่ำกว่าจะได้รับแจ้งโดยมีข้อกำหนดน้อยลงหรือเลี่ยงการ Authentication ทั้งหมด
6. ละเลยการฝึกอบรมและให้ความรู้แก่ผู้ใช้
การฝึกอบรมผู้ใช้ถือเป็นสิ่งสำคัญในการเพิ่มความปลอดภัยโดยรวม มิฉะนั้น ผู้ใช้อาจมีส่วนร่วมในพฤติกรรมเสี่ยงที่ทำให้องค์กรอยู่ในตำแหน่งที่มีความเสี่ยงมากขึ้น
การฝึกอบรมผู้ใช้ปลายทางที่มีประสิทธิภาพโดยการจัดเตรียมข้อมูลที่ชัดเจน เอกสารการตั้งค่าที่ใช้งานง่ายกับผู้ใช้และความใช้งานง่ายของ Advanced Authentication เอกสารนี้ควรมีคำแนะนำทีละขั้นตอน ภาพหน้าจอ และเคล็ดลับในการแก้ปัญหาเพื่อให้เข้าใจง่ายและในการลงทะเบียน นอกจากนี้ การเน้นตัวอย่างในโลกแห่งความเป็นจริงและกรณีศึกษาเกี่ยวกับการละเมิดความปลอดภัยสามารถเพิ่มความตระหนักรู้ถึงผลที่ตามมาที่อาจเกิดขึ้นได้
การส่งเสริมวัฒนธรรมของการตระหนักรู้ด้านความปลอดภัยและการเฝ้าระวังช่วยให้องค์กรปลูกฝังความรู้สึกรับผิดชอบในหมู่ผู้ใช้ และส่งเสริมการมีส่วนร่วมเชิงรุกในการตรวจสอบสิทธิ์
ด้วยการหลีกเลี่ยงข้อผิดพลาดเหล่านี้ องค์กรต่างๆ จึงสามารถปรับปรุงมาตรการรักษาความปลอดภัยได้อย่างมาก ลดความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาตหรือการละเมิดข้อมูล และปกป้องทรัพย์สินอันมีค่าของบริษัทอีกด้วย
Source: https://thehackernews.com/2024/05/6-mistakes-organizations-make-when.html
