เมื่อองค์กรพูดถึง "ความปลอดภัยขององค์กร" มักฟังดูเป็นนามธรรม เช่น แดชบอร์ด นโยบาย และรายการตรวจสอบการปฏิบัติตามข้อกำหนด แต่สำหรับ Vishnu Gatla มันเป็นสิ่งที่จับต้องได้มากกว่านั้น ในช่วงทศวรรษที่ผ่านมา เขาได้อยู่ในห้องที่มีการตัดสินใจสำคัญ ทำงานร่วมกับธนาคาร มหาวิทยาลัย และผู้ให้บริการโครงสร้างพื้นฐานสำคัญเพื่อรักษาความปลอดภัยและความราบรื่นของการดำเนินงานดิจิทัลของพวกเขา ในฐานะที่ปรึกษาอาวุโสด้านโครงสร้างพื้นฐานและความปลอดภัยของแอปพลิเคชันที่เชี่ยวชาญใน F5 BIG-IP และระบบอัตโนมัติของไฟร์วอลล์แอปพลิเคชันเว็บ Gatla ได้สร้างอาชีพจากการเปลี่ยนเครื่องมือรักษาความปลอดภัยที่ทรงพลังแต่ซับซ้อนให้กลายเป็นการป้องกันที่ใช้ได้จริงในโลกแห่งความเป็นจริง
ในการสัมภาษณ์กับ TechBullion นี้ เขาได้สะท้อนถึงการรักษาความปลอดภัยระบบที่มีความสำคัญต่อภารกิจเป็นอย่างไร ทีมที่มีประสบการณ์คิดเกี่ยวกับความเสี่ยงและความยืดหยุ่นอย่างไร และเหตุใดความปลอดภัยของแอปพลิเคชันที่มีประสิทธิภาพจึงเกี่ยวกับคนและกระบวนการมากพอๆ กับเทคโนโลยี
คุณช่วยเล่าเพิ่มเติมเกี่ยวกับตัวคุณเองและผลกระทบที่คุณสร้างขึ้นในความเชี่ยวชาญของคุณได้ไหม?
ผมชื่อ Vishnu Gatla ผมเป็นที่ปรึกษาบริการมืออาชีพอาวุโสที่เชี่ยวชาญด้านความปลอดภัยของแอปพลิเคชันองค์กรและโครงสร้างพื้นฐาน โดยมีประสบการณ์มากกว่าทศวรรษในการสนับสนุนองค์กรที่มีการควบคุมอย่างเข้มงวดในสหรัฐอเมริกา รวมถึงสถาบันการเงินขนาดใหญ่ มหาวิทยาลัย และสภาพแวดล้อมของโครงสร้างพื้นฐานสำคัญ
งานของผมมุ่งเน้นหลักไปที่กลยุทธ์ไฟร์วอลล์แอปพลิเคชันเว็บ (WAF) ระบบอัตโนมัติด้านความปลอดภัยของแอปพลิเคชัน และการส่งมอบแอปพลิเคชันที่มีความยืดหยุ่น โดยเฉพาะในสภาพแวดล้อมที่มีการควบคุมความปลอดภัยอยู่แล้วแต่ล้มเหลวในการทำงานอย่างเชื่อถือได้ภายใต้สภาวะการผลิตจริง ผมช่วยองค์กรให้ก้าวพ้นการใช้งานที่ขับเคลื่อนด้วยการปฏิบัติตามข้อกำหนดโดยแปลการควบคุมความปลอดภัยให้เป็นการป้องกันที่มีประสิทธิภาพในการดำเนินงานและวัดผลได้ผ่านการตรวจสอบ ระบบอัตโนมัติ และการตัดสินใจตามความเสี่ยง
ผลกระทบของงานของผมสะท้อนให้เห็นในการลดเหตุการณ์ในการผลิต การปรับปรุงความพร้อมใช้งานของแอปพลิเคชันในระหว่างเหตุการณ์ด้านความปลอดภัย และการดำเนินงานด้านความปลอดภัยที่คาดการณ์ได้มากขึ้นในสภาพแวดล้อมที่มีความสำคัญต่อภารกิจซึ่งการหยุดทำงานหรือการกำหนดค่าผิดพลาดมีความเสี่ยงสูง
จากการทำงานหนึ่งทศวรรษของคุณในภาคที่มีการควบคุมอย่างเข้มงวด ตัวบ่งชี้ที่เป็นจริงอะไรที่เผยให้เห็นว่าโปรแกรมความปลอดภัยของแอปพลิเคชันขององค์กรถูกขับเคลื่อนด้วยการปฏิบัติตามข้อกำหนดมากกว่าการจัดการความเสี่ยงที่แท้จริง?
โปรแกรมที่ขับเคลื่อนด้วยการปฏิบัติตามข้อกำหนดมักระบุได้จากการพึ่งพาตัวบ่งชี้คงที่มากกว่าผลลัพธ์ในการดำเนินงาน สัญญาณทั่วไปรวมถึงการควบคุมความปลอดภัยที่ถูกนำไปใช้ในเชิงเทคนิคแต่ไม่ค่อยได้รับการทดสอบภายใต้สภาวะการรับส่งข้อมูลจริง นโยบายที่ยังคงอยู่ในโหมดการเรียนรู้หรือการติดตามอย่างไม่มีกำหนด และเกณฑ์การวัดความสำเร็จที่ผูกกับการตรวจสอบมากกว่าการลดเหตุการณ์
ตัวบ่งชี้อีกอย่างหนึ่งคือการตัดสินใจที่ให้ความสำคัญกับเอกสารมากกว่าการตรวจสอบ เมื่อทีมไม่สามารถอธิบายได้อย่างชัดเจนว่าภัยคุกคามใดได้รับการบรรเทาอย่างจริงจัง หรือเมื่อการควบคุมถูกข้ามเป็นประจำเพื่อรักษาเวลาทำงานโดยไม่มีการประเมินความเสี่ยงที่มีโครงสร้าง มันบ่งบอกว่าโปรแกรมได้รับการออกแบบมาเพื่อตอบสนองรายการตรวจสอบด้านกฎระเบียบมากกว่าการจัดการความเสี่ยงที่แท้จริง
เมื่อการควบคุมความปลอดภัยรบกวนบริการที่มีความสำคัญต่อภารกิจ ทีมที่มีประสบการณ์กำหนดอย่างไรว่าจะปรับอะไร จะย้อนกลับอะไร และอะไรต้องคงไว้?
ทีมที่เป็นผู้ใหญ่แยกแยะระหว่าง ความล้มเหลวของการควบคุม และ แรงเสียดทานของการควบคุม ขั้นตอนแรกคือการแยกว่าการหยุดชะงักเกิดจากสมมติฐานที่ไม่ถูกต้อง การกำหนดเส้นฐานที่ไม่สมบูรณ์ หรือความขัดแย้งที่แท้จริงระหว่างการป้องกันและพฤติกรรมของแอปพลิเคชัน
การควบคุมที่จัดการกับภัยคุกคามที่รู้จักและมีผลกระทบสูงไม่ค่อยถูกลบออกไปโดยสิ้นเชิง แต่ทีมที่มีประสบการณ์จะปรับขอบเขต เกณฑ์การบังคับใช้ หรือตรรกะอัตโนมัติในขณะที่รักษาการป้องกันพื้นฐาน การย้อนกลับสงวนไว้สำหรับการเปลี่ยนแปลงที่นำมาซึ่งความไม่มั่นคงเชิงระบบ ไม่ใช่สำหรับการควบคุมที่เพียงแค่ต้องการการปรับปรุง
แนวทางนี้ต้องการความมั่นใจในการวัดผลทางไกล ประวัติการเปลี่ยนแปลง และการมองเห็นการรับส่งข้อมูล หากไม่มีสิ่งเหล่านั้น ทีมมักจะแก้ไขมากเกินไปและทำให้ความปลอดภัยอ่อนแอลงโดยไม่จำเป็น
ความเสี่ยงด้านความยืดหยุ่นที่มักถูกประเมินต่ำที่สุดคืออะไรเมื่อองค์กรดำเนินการแพลตฟอร์ม WAF ในสภาพแวดล้อมแบบไฮบริดทั้งในสถานที่และบนคลาวด์?
หนึ่งในความเสี่ยงที่ถูกประเมินต่ำที่สุดคือการเบี่ยงเบนของการกำหนดค่าข้ามสภาพแวดล้อม นโยบายที่ทำงานได้อย่างถูกต้องในสถานที่อาจมีประสิทธิภาพแตกต่างกันอย่างมากในการปรับใช้บนคลาวด์เนื่องจากความแตกต่างในรูปแบบการรับส่งข้อมูล พฤติกรรมการปรับขนาด และการผสานรวมต้นน้ำ
ความเสี่ยงอีกอย่างคือความเป็นเจ้าของที่แยกส่วน เมื่อทีมคลาวด์และในสถานที่ทำงานอย่างอิสระ ความสม่ำเสมอในการบังคับใช้และการประสานงานการตอบสนองต่อเหตุการณ์จะได้รับผลกระทบ การแยกส่วนนี้มักจะมองเห็นได้เฉพาะในระหว่างการหยุดทำงานหรือการโจมตีที่เกิดขึ้น เมื่อเส้นทางการตอบสนองไม่ชัดเจน
สุดท้าย ระบบอัตโนมัติที่ไม่ตระหนักถึงสภาพแวดล้อมสามารถขยายความล้มเหลวในระดับใหญ่ เปลี่ยนการกำหนดค่าผิดพลาดเล็กๆ น้อยๆ ให้กลายเป็นการหยุดชะงักอย่างกว้างขวาง
ในธนาคารขนาดใหญ่และมหาวิทยาลัย อุปสรรคด้านการกำกับดูแลใดที่มักขัดขวางการปรับใช้และการแก้ไข WAF ที่มีประสิทธิภาพมากที่สุด?
อุปสรรคที่พบบ่อยที่สุดคือความรับผิดชอบที่ไม่ชัดเจน แพลตฟอร์ม WAF มักอยู่ระหว่างทีมโครงสร้างพื้นฐาน แอปพลิเคชัน และความปลอดภัย โดยไม่มีกลุ่มเดียวที่เป็นเจ้าของผลลัพธ์ สิ่งนี้นำไปสู่การแก้ไขที่ช้าและการกำหนดค่าแบบอนุรักษ์นิยมที่ให้ความสำคัญกับความมั่นคงมากกว่าการป้องกัน
การกำกับดูแลการเปลี่ยนแปลงเป็นความท้าทายอีกประการหนึ่ง กระบวนการอนุมัติที่ยาวนานทำให้ไม่อยากอัปเดตนโยบายทันเวลา แม้ว่าความเสี่ยงจะเข้าใจกันดีแล้วก็ตาม เมื่อเวลาผ่านไป สิ่งนี้ส่งผลให้การป้องกันล้าสมัยที่ไม่สอดคล้องกับพฤติกรรมของแอปพลิเคชันที่พัฒนาขึ้นหรือแบบจำลองภัยคุกคามอีกต่อไป
โปรแกรมที่มีประสิทธิภาพจัดการกับสิ่งนี้โดยการจัดความเป็นเจ้าของให้สอดคล้องกับผลลัพธ์และฝังการตัดสินใจด้านความปลอดภัยเข้ากับขั้นตอนการทำงานในการดำเนินงานแทนที่จะปฏิบัติต่อพวกเขาเป็นข้อยกเว้น
คุณแนะนำองค์กรอย่างไรจากการตอบสนองต่อเหตุการณ์แบบรับมือไปสู่การป้องกันแอปพลิเคชันเชิงรุกโดยไม่สร้างแรงเสียดทานในการดำเนินงาน?
การเปลี่ยนผ่านเริ่มต้นด้วยการเปลี่ยนโฟกัสจากการบล็อกเหตุการณ์ไปสู่การทำความเข้าใจรูปแบบ แทนที่จะตอบสนองต่อการแจ้งเตือนแต่ละรายการ ทีมได้รับประโยชน์จากการระบุพฤติกรรมที่เกิดซ้ำ เส้นทางการโจมตี และความไวของแอปพลิเคชัน
ระบบอัตโนมัติมีบทบาท แต่เฉพาะเมื่อมีพื้นฐานจากสมมติฐานที่ได้รับการตรวจสอบแล้ว การป้องกันเชิงรุกทำได้โดยการบังคับใช้การป้องกันทีละน้อย วัดผลกระทบอย่างต่อเนื่อง และปรับการควบคุมตามผลลัพธ์ที่สังเกตได้มากกว่าความเสี่ยงทางทฤษฎี
สิ่งที่สำคัญเท่าเทียมกันคือความร่วมมือ ทีมความปลอดภัยต้องนำเสนอการควบคุมเป็นตัวเปิดใช้งานความพร้อมใช้งานมากกว่าอุปสรรคเพื่อให้ได้รับการยอมรับอย่างยั่งยืน
สัญญาณที่วัดได้ที่คุณพึ่งพาคืออะไรเพื่อกำหนดว่าระบบอัตโนมัติ WAF กำลังลดเหตุการณ์ในโลกจริงจริงๆ หรือไม่?
สัญญาณที่มีความหมายรวมถึงการลดลงของประเภทเหตุการณ์ซ้ำ การลดลงของการแทรกแซงด้วยตนเองในระหว่างการโจมตี และการปรับปรุงเวลาเฉลี่ยในการแก้ปัญหาโดยไม่เพิ่มผลบวกปลอม
ตัวบ่งชี้ที่สำคัญอีกอย่างคือความสามารถในการคาดการณ์ เมื่อการควบคุมอัตโนมัติทำงานอย่างสม่ำเสมอในทุกการเปิดตัวและการเปลี่ยนแปลงการรับส่งข้อมูล ความมั่นใจในการดำเนินงานจะเพิ่มขึ้น ในทางกลับกัน ระบบอัตโนมัติที่นำความผันผวนหรือพฤติกรรมที่อธิบายไม่ได้มักบ่งบอกถึงการตรวจสอบที่ไม่เพียงพอ
เมตริกที่ผูกกับปริมาณการแจ้งเตือนเพียงอย่างเดียวไม่เพียงพอ ควรมุ่งเน้นที่ผลกระทบของเหตุการณ์และความมั่นคงในการดำเนินงาน
เมื่อปกป้องแอปพลิเคชันเดิมด้วยความสามารถ WAF สมัยใหม่ คุณมักจะเจรจาประนีประนอมอะไรกับทีมแอปพลิเคชันและแพลตฟอร์ม?
การประนีประนอมหลักเกี่ยวข้องกับการยอมรับการบังคับใช้บางส่วนเพื่อแลกกับการปรับปรุงในระยะยาว แอปพลิเคชันเดิมมักไม่สามารถทนต่อโปรไฟล์ความปลอดภัยที่เข้มงวดได้ทันที ดังนั้นการป้องกันจึงถูกนำมาใช้แบบค่อยเป็นค่อยไป
ทีมอาจตกลงที่จะปกป้องเวกเตอร์การโจมตีที่สำคัญก่อนในขณะที่ให้เวลาในการแก้ไขพฤติกรรมของแอปพลิเคชันที่ทำให้เกิดผลบวกปลอม กุญแจสำคัญคือการตรวจสอบให้แน่ใจว่าการบังคับใช้ที่ลดลงเป็นการชั่วคราวและวัดได้ ไม่ใช่ข้อยกเว้นถาวร
กำหนดเวลาที่ชัดเจนและความรับผิดชอบที่ใช้ร่วมกันช่วยป้องกันไม่ให้ข้อจำกัดของระบบเดิมกลายเป็นช่องว่างด้านความปลอดภัยถาวร
จากประสบการณ์ของคุณในสภาพแวดล้อมโครงสร้างพื้นฐานสำคัญ การเปลี่ยนแปลงทางวัฒนธรรมใดที่สำคัญกว่าเทคโนโลยีในการปรับปรุงผลลัพธ์ด้านความปลอดภัย?
การเปลี่ยนแปลงทางวัฒนธรรมที่มีผลกระทบมากที่สุดคือการเปลี่ยนจากการหลีกเลี่ยงการกล่าวโทษไปสู่ความรับผิดชอบร่วมกัน เมื่อทีมมองเหตุการณ์ด้านความปลอดภัยเป็นความล้มเหลวของระบบมากกว่าความผิดพลาดของบุคคล สาเหตุหลักจะได้รับการจัดการอย่างมีประสิทธิภาพมากขึ้น
การเปลี่ยนแปลงที่สำคัญอีกอย่างคือการให้คุณค่ากับคำติชมจากการดำเนินงานมากกว่าสมมติฐาน ทีมที่ตรวจสอบการควบคุมกับการรับส่งข้อมูลจริงและเหตุการณ์จริงอย่างสม่ำเสมอมีผลงานที่ดีกว่าทีมที่พึ่งพาเฉพาะโมเดลเวลาออกแบบ
ในท้ายที่สุด วัฒนธรรมกำหนดว่าเทคโนโลยีถูกใช้เป็นมาตรการป้องกันแบบคงที่หรือการป้องกันที่ปรับปรุงอย่างต่อเนื่อง
เมื่อมองไปข้างหน้า การเปลี่ยนแปลงในสถาปัตยกรรมคลาวด์หรือแอปพลิเคชันใดจะท้าทายแบบจำลองความปลอดภัยองค์กรแบบดั้งเดิมมากที่สุด และทำไม?
การนามธรรมของโครงสร้างพื้นฐานที่เพิ่มขึ้นผ่านบริการที่มีการจัดการ แพลตฟอร์มแบบเซิร์ฟเวอร์เลส และสถาปัตยกรรมแอปพลิเคชันแบบกระจายจะท้าทายแบบจำลองความปลอดภัยที่สร้างขึ้นรอบๆ จุดควบคุมแบบรวมศูนย์
เมื่อการบังคับใช้เคลื่อนเข้าใกล้แอปพลิเคชันมากขึ้นและกลายเป็นแบบไดนามิกมากขึ้น แนวทางแบบเน้นขอบเขตแบบดั้งเดิมจะสูญเสียประสิทธิภาพ องค์กรจะต้องปรับตัวโดยเน้นการมองเห็น ระบบอัตโนมัติ และนโยบายตามเจตนามากกว่าชุดกฎคงที่
ทีมความปลอดภัยที่ล้มเหลวในการพัฒนาควบคู่ไปกับสถาปัตยกรรมแอปพลิเคชันสมัยใหม่มีความเสี่ยงที่จะสูญเสียความเกี่ยวข้อง แม้ว่าเครื่องมือของพวกเขาจะยังคงมีความซับซ้อนในเชิงเทคนิคก็ตาม
