Zero Trust model

เคยสงสัยมั้ยครับว่า Standard อะไรหรือ Framework อะไรที่ควรทำ หรือควร comply ดี ทำแล้วเหนื่อยน้อย ทำแล้วมั่นคงปลอดภัย จากการสังเกตมักจะมีเหตุผลประมาณ

1. จำเป็นต้องทำเพราะต้องทำตามมาตรฐาน
2. ทำเพราะว่าเกิด audit issues คือมี auditor มาตรวจแล้วเป็นประเด็น
3. โดน attacker เล่นงาน จึงอยากปรับปรุง
4. ทำตามมาตรฐานแล้วส่งผลต่อยอดกับ core business ของบริษัท หรือผู้บริหารสั่งมา

สังเกตมั้ยครับที่อยากทำเพราะเหตุผลส่วนใหญ่เป็นแนว fear factor (ประหวั่นพรั่นพรึง จึงอยากปรับปรุง) ลองพิจารณาพวก Standard หรือ Framework ที่แต่ละองค์กรพยายามทำกันก็มีหลากหลายไม่ว่าจะเป็น ISO27001, NIST CSF, Cyber Resilience Assessment Framework, CIS Controls, 3LoD หรือรวมไปถึง Standard ของ Industry Sector นั้น ๆ (ยังมีอีกเยอะ)

วันนี้เลยมานำแนะนำอีก Model ให้ผู้อ่านทุกคนได้รู้จักคือ Zero Trust Model ที่มี concept ง่าย ๆ คือให้คิดอยู่เสมอว่า ทุก ๆ จุดมีความเป็นไปได้ที่จะถูกโจมตีทั้งหมด ไม่ว่าจะเป็น internal zone หรือ secure zone ก็ตามหรือแม้แต่เครื่อง server ใน DC ขององค์กร จงคิดอยู่เสมอว่า traffic ที่วิ่งเข้ามาหา asset ของเรามาจากจุดที่มีโอกาสถูกโจมตีเสมอ (assume breach) เมื่อเราพิจารณาดังนั้นแล้ว concept ของ Zero Trust Model = "never trust, always verify" สามารถอ่านเพิ่มเติมได้จาก Zero Trust Deployment Center ที่ทาง Microsoft จัดเตรียมข้อมูลให้ได้ลองนำ model ดังกล่าวไปใช้ได้ที่ https://docs.microsoft.com/en-us/security/zero-trust/

ลองตอบคำถามตัวเองหรือตอบคำถามองค์กรของผู้อ่านทุกท่านกันดูนะครับว่า เราต้องการทำให้ Security ในภาพรวมขององค์กรดีขึ้นด้วยเหตุผลอะไร แล้วจะได้เลือก Standard, Guideline หรือ Framework ได้ถูกต้องครับว่าอยากจะเดินไปในทิศทางไหน แต่ถ้ายังไม่รู้จะเลือกอะไรดี ก็ขอให้เลือกบริการจาก Incognito Lab กันก่อนนะครับ

EMOJI

Security(Happiness) is a journey not a destination.