ไทย
English
Privileged Access Management (PAM) ไม่ได้เป็นเพียงเรื่องของบัญชีผู้ดูแลระบบไม่กี่บัญชี แต่คือการควบคุม ติดตาม และปกป้องการใช้สิทธิ์ระดับสูงในองค์กรทั้งหมด ตั้งแต่บัญชีผู้ดูแลระบบ บัญชีฉุกเฉิน บัญชีที่ใช้จัดการแอปพลิเคชัน ไปจนถึง service accounts
5 สัญญาณสำคัญที่บอกว่าองค์กรควรเริ่มวาง roadmap PAM อย่างจริงจัง ได้แก่
1) ไม่รู้ชัดว่ามีบัญชีสิทธิ์สูงอะไรอยู่บ้าง และอยู่ที่ไหน
ถ้าองค์กรยังไม่มี inventory กลางของบัญชีสิทธิ์สูง หรือยังตอบไม่ได้ว่าบัญชีเหล่านี้อยู่ในระบบใด มีเจ้าของเป็นใคร และยังจำเป็นอยู่หรือไม่ นี่คือสัญญาณแรกที่ชัดมาก
ปัญหาคือบัญชีสิทธิ์สูงไม่ได้อยู่แค่ในระบบใดระบบหนึ่ง แต่สามารถกระจายอยู่ได้ทั้งใน network, system และ cloud ดังนั้นถ้ายังมองภาพรวมไม่ออก ก็ยากที่จะควบคุมความเสี่ยงได้อย่างมีประสิทธิภาพ
2) สิทธิ์แอดมินยังเป็นแบบถาวร หรือมีการแชร์กันใช้
อีกหนึ่งสัญญาณสำคัญคือการให้สิทธิ์ระดับสูงแบบถาวร เปิดค้างไว้ตลอด หรือมีการใช้บัญชีร่วมกันในทีม
แนวทางที่ดีควรลดสิทธิ์ถาวรให้เหลือเท่าที่จำเป็น ให้สิทธิ์เฉพาะเมื่อมีความจำเป็นในการใช้งานจริง และหลีกเลี่ยงการใช้ shared accounts เพราะยิ่งมีสิทธิ์คงค้างมากเท่าไร ความเสี่ยงจากการใช้งานผิดวัตถุประสงค์หรือการถูกยึดสิทธิ์ก็ยิ่งสูงขึ้น
3) เวลาเกิด incident หรือ audit แล้วตอบไม่ได้ว่า “ใครทำอะไร เมื่อไร”
หากเวลาเกิดเหตุหรือถึงรอบตรวจสอบแล้วองค์กรยังตอบไม่ได้ว่าใครใช้สิทธิ์ระดับสูงกับระบบใด เมื่อไร และทำอะไรไปบ้าง นั่นสะท้อนว่าการจัดการ privileged access ยังมีช่องว่างสำคัญ
PAM ที่ดีไม่ได้มีไว้เพียงควบคุมสิทธิ์ แต่ต้องช่วยให้องค์กรเห็น audit trail ที่ตรวจสอบย้อนหลังได้จริง รวมถึงสามารถทบทวนสิทธิ์และพฤติกรรมการใช้งานได้อย่างสม่ำเสมอ
4) องค์กรเริ่มมีสภาพแวดล้อมแบบ hybrid หรือมี third-party เข้ามาเกี่ยวข้องมากขึ้น
เมื่อระบบขององค์กรไม่ได้ดูแลโดยทีมภายในเพียงอย่างเดียว ความซับซ้อนของ privileged access จะเพิ่มขึ้นทันที
สิทธิ์ระดับสูงอาจกระจายอยู่ในหลายแพลตฟอร์ม หลายทีม และบางส่วนอาจอยู่ในมือของ vendor หรือ third party ด้วย หากยังไม่มีแนวทางควบคุมที่ชัดเจน ความเสี่ยงก็จะเพิ่มขึ้นตามไปด้วย
5) บัญชีสิทธิ์สูงเริ่มสร้างความเสี่ยงที่กระทบธุรกิจโดยตรง
เมื่อบัญชีสิทธิ์สูงถูกใช้งานอย่างไม่เหมาะสม หรือถูกยึดโดยผู้ไม่หวังดี ผลกระทบมักไม่ได้หยุดอยู่แค่ระดับเทคนิค แต่สามารถลามไปถึงข้อมูลสำคัญ ความพร้อมใช้งานของระบบ การดำเนินงาน และการกำกับดูแลขององค์กรได้โดยตรง นั่นทำให้ PAM ไม่ควรถูกมองเป็นเพียงเรื่องของฝ่าย IT แต่ควรถูกยกระดับเป็นส่วนหนึ่งของการบริหารความเสี่ยงขององค์กร
ควรเริ่มจากตรงไหน
หากองค์กรของคุณตรงหลายข้อพร้อมกัน จุดเริ่มต้นที่ควรทำคือการรวบรวม inventory ของบัญชีสิทธิ์สูงให้ครบ ระบุเจ้าของบัญชีและความจำเป็นของแต่ละสิทธิ์ให้ชัด ลดสิทธิ์ถาวรและหลีกเลี่ยงการใช้บัญชีร่วมกัน พร้อมทั้งทำaudit trail และการทบทวนสิทธิ์อย่างสม่ำเสมอ
หากองค์กรยังไม่รู้ว่ามีใครถือสิทธิ์ระดับสูงอยู่ที่ไหน ใช้อย่างไร และตรวจสอบย้อนหลังไม่ได้ นั่นคือสัญญาณว่าควรเริ่มทำ PAM อย่างจริงจัง
ให้ BMSP ช่วยองค์กรคุณเริ่มต้นวางระบบ PAM ติดต่อเราเพื่อพูดคุยกับผู้เชี่ยวชาญได้ตั้งแต่วันนี้
อ้างอิง
- NIST NCCoE, Privileged Account Management Fact Sheet
- NIST NCCoE, Privileged Account Management for the Financial Services Sector
- NIST SP 800-53 Rev. 5, Security and Privacy Controls for Information Systems and Organizations
- IDManagement.gov, Privileged Identity Playbook
- CISA, Zero Trust Maturity Model
