လက်ပတ်နာရီတို့ ၊ အိမ်က ရေခဲသေတ္တာတို့ ၊ Smart Bulb တို့၊ Smart TV/CCTV တို့က အစ အင်တာနက် က နေ လှမ်း ပြီး Control လုပ်လို့ရနေတဲ့ ဒီနေ့လို ခေတ်ကြီး မှာ ကျတော် တို့ လို Information Security Professional တွေ အတွက် အရင်က သုံးနေတဲ့ Security Onion Model ကို သုံးဖို့ သိပ်အဆင်မပြေ တော့ ပါဘူး။
အဲဒီအတွက် System/ System Group တခုချင်းစီအတွက် Security Artichoke ဆိုတဲ့ Model ကိုသုံးဖို့ လုပ်လာကြရပါတယ်။
သို့ပေမယ့် Security Artichoke Model ဟာ လုံခြုံ တယ်၊ မလုံခြုံ ဘူးဆိုတဲ့ အဖွဲ့ နှစ်ဖွဲ့ ကွဲနေပြန်ပါရော။
ကျတော် က Security Artichoke Model ဟာ မလုံခြုံ ဘူး ဆိုတဲ့ အဖွဲ့ ဖက်ကနေ ဘာလို့ မလုံခြုံ တာလဲ ဆိုတာကို နည်းနည်း ရှင်းပြချင်ပါတယ်။
Security Onion မှာဆိုရင် System အားလုံး အတွက် layered security defense လို့ ခေါ် တဲ့ တလွှာချင်းစီကို လုံခြုံ ရေး အဆင့် ခံ ထားတဲ့ အတွက် Attacker တယောက်အနေနဲ့ Core Data/System ဆီကို ရောက်ဖို့ တဆင့်ချင်းစီကို ထိုးဖောက်ရမှာဖြစ်လို့ပါပဲ။
Security Artichoke မှာကျတော့ Core Data/System ဆီကို ရောက်ဖို့ အတွက် Attacker တယောက်က လုံခြုံ ရေး တလွှာချင်းစီကိုထိုးဖောက်ဖို့ ကြိုးစားစရာမလိုပဲ။ Core Data/System ကို ရောက်နိုင်တဲ့ လုံခြံရေး အလွှာ တခုကို ချိုးဖျက်နိုင်တာနဲ့ ရသွားနိုင်တာဖြစ်နေလို့ပါ။
ဥပမာ အနေနဲ့ Corporate Infra ကို Access လုပ်နိုင်တဲ့ BYOD တခုခုရဲ့ IoT/Bluetooth Gadgets (Wireless Earbud/Smart Tracker လိုဟာမျိုး) ကို Exploit လုပ်နိုင်ရင်ကိုပဲ အဲ့ကနေ တဆင့် Lateral Movement လုပ်သွားပြီး Core Data/System ကို ရောက်နိုင်ဖို့ လွယ်လို့ပါ။
IoT gadgets တွေဟာ ဆိုရင် minimum hardware ပေါ် မှာ သူတို့ Firmware ကို Run နိုင်အောင် လုပ်ထားရလို့ လုံခြုံ ရေး ပိုင်း နဲ့ ပတ်သတ်တာမှန်သမျှ အားလုံးနီးပါး ထည့်သွင်းထားလေ့ မရှိတဲ့ အပြင် Manufacture/Vendor တွေက လဲ Security Fix Update တွေ မထုတ်ကြတာများတဲ့ အတွက် အလွယ်တကူ ချိုးဖောက်နိုင်ကြပါတယ်။
Security Artichoke ဟာ လုံခြုံတယ်ဆိုတဲ့ အဖွဲ့က ပြောတာကတော့ ဒီလိုပါ။
အပေါ် မှာ ဥပမာပြောထားတဲ့ ပြဿနာမျိုးက Security Artichoke ရဲ့ အားနည်းချက်ကြောင့် မဟုတ်ပဲ Implementation လုပ်တဲ့သူတွေ ရဲ့ အားနည်းချက်ကြောင့် ပါတဲ့။
အဲ့လို ပြဿနာမျိုးကို မဖြစ်အောင် လုပ်ရမယ့် နည်းလမ်းတွေ အများကြီး ရှိတဲ့ အထဲက ၃ မျိုးလောက် ကျတော် ပြန်လည် ဝေမျှချင်ပါတယ်။
၁) Zero Trust
Corporate Infra ကို ချိတ်ဆက်မဲ့ ဘယ် အလွှာကပဲ ဖြစ်ဖြစ် No Trust လုပ်ရမှာ ဖြစ်ပြီး Authentication, authorization နဲ့ accounting ကို လုပ်ကိုလုပ်ရမှာပါတဲ့။
၂) Air-Gapping
Core Data/System ရှိတဲ့ အလွှာကို Physically Isolated လုပ်ထားရမှာဖြစ်ပြီး၊ လိုအပ်လို့ Access လုပ်မယ်ဆိုရင်တောင် အဆင့်ဆင့်သော ခွင့်ပြုမိန့် တွေ ရယူဖို့ လိုတဲ့ စနစ်တခု ရှိနေရပါမယ်တဲ့။
၃) Chaos Engineering
ဒါကတော့ Secured Layer တိုင်းဟာ သူတို့ လုပ်သင့်တဲ့ အလုပ်ကို မျှော်လင့်ထားသလို တကယ်လုပ်သလားဆိုတာကို လက်တွေ့ စမ်းသပ်ကြည့်ခြင်းပါတဲ့။
ဥပမာ အနေနဲ့ ပြောရမယ်ဆိုရင် အနည်းဆုံး အပေါ် ကပြထားတဲ့ Zero Trust System တခုကို Disable လုပ်လိုက်ပြီး Core Data/System ကို Red Team/Penetration Tester က ထိုးဖောက်နိုင်လား ဆိုတာကို စမ်းကြည့်တာမျိုးပါ။
Onion ကတော့ ကြက်သွန်နီဥ ဆိုတော့ ကြက်သွန်ဖက် အလွှာလေးတွေ ကို ပြောတာမှန်း သိသာပေမယ့် Artichoke ဆိုတာကို ကျတော်လဲ မြန်မာလို မသိလို့ မရေး ပြတော့ဘူး။
ဂေါ်ဖီ ထုပ်လိုလို၊ ငှက်ပျောဖူးလိုလို ပဲ။ ဒါနဲ့ Artichoke ဆိုတာ မျက်လုံးထဲ မြင်အောင် ပုံလေးပါ ပြထားပါတယ်။
မြန်မာနှစ်သစ်မှာ အားလုံးပဲ ဘေးဘယာဝေးကွာပြီး ကိုယ်စိတ်နှစ်လုံး ရွှင်ပြုံး ကျန်းမာကြပါစေဗျာ။
ပျှော်ရွှင်ပါစေ။
(Be knowledgeable, pass it on then)
No comments :
Post a Comment