ការកំណត់អាទិភាពចំណុចខ្សោយសន្តិសុខ និងយុទ្ធសាស្ត្រសំខាន់ៗសម្រាប់គ្រប់គ្រងហានិភ័យ

១.ព័ត៌មានទូទៅ

ការកំណត់អាទិភាពចំណុចខ្សោយសន្តិសុខ (vulnerability prioritization) គឺជាដំណើរការវាយតម្លៃចំណុចខ្សោយសន្តិសុខ កំណត់អត្តសញ្ញាណការគំរាមកំហែងដែលមានភាពធ្ងន់ធ្ងរជាងគេ និងរៀបចំលំដាប់អាទិភាពដោយផ្អែកលើកម្រិតហានិភ័យ លទ្ធភាពត្រូវបានប្រើប្រាស់ (exploitability) និងសារៈសំខាន់នៃធនធានដែលស្ថិតក្រោមហានិភ័យ។ ដំណើរការនេះប្រើប្រាស់ពិន្ទុ CVSS ព័ត៌មានគំរាមកំហែង (threat intelligence) និងបរិបទអាជីវកម្ម ដើម្បីកំណត់ថាចំណុចខ្សោយណាខ្លះត្រូវជួសជុលជាមុន។

ឧទាហរណ៍ថា ស្ថាប័នមានចំណុចខ្សោយមួយដែលអាចបង្កការរំខានតិចតួចដល់អ្នកប្រើប្រាស់ផ្ទៃក្នុង។ ចំណុចខ្សោយនេះគួរត្រូវបានជួសជុល ប៉ុន្តែវាមានអាទិភាពទាបជាងចំណុចខ្សោយធ្ងន់ធ្ងរមួយ ដែលអាចនាំឱ្យមានការវាយប្រហារដោយមេរោគ និងបង្កការរំខានសេវាកម្មទូលំទូលាយ។

២. ធាតុសំខាន់ៗដែលត្រូវពិចារណា នៅពេលកំណត់អាទិភាពចំណុចខ្សោយសន្តិសុខ

មានកត្តាចម្បងមួយចំនួនដែលគួរពិចារណា នៅពេលកំណត់អាទិភាព៖

• តម្លៃធនធាន (asset value)៖ ប្រសិនបើចំណុចខ្សោយប៉ះពាល់ដល់កម្មវិធី ឬប្រព័ន្ធសំខាន់ៗ វាគួរត្រូវបានជួសជុលមុន។ ប៉ុន្តែប្រសិនបើវាប៉ះពាល់តែទៅកាន់កម្មវិធីនៅក្នុងមជ្ឈដ្ឋានសាកល្បង (test environment) ឬឧបករណ៍ដែលមិនភ្ជាប់ទៅនឹងទិន្នន័យសំខាន់ វាអាចមានអាទិភាពទាបជាង។
• លទ្ធភាពត្រូវបានប្រើប្រាស់(exploitability)៖ ចំណុចខ្សោយជាច្រើនត្រូវការកូដវាយប្រហារ (exploit code) ដែលអាចមិនទាន់មានផ្សព្វផ្សាយជាសាធារណៈ ឬត្រូវការការកំណត់រចនាសម្ព័ន្ធជាក់លាក់ណាមួយ។ ប៉ុន្តែ ចំណុចខ្សោយមួយចំនួនអាចត្រូវបានវាយប្រហារពីចម្ងាយបានយ៉ាងងាយស្រួល ដូច្នេះគួរត្រូវបានជួសជុលឱ្យបានឆាប់រហ័ស។
• ផលប៉ះពាល់អាជីវកម្ម (business impact)៖ គួរពិចារណាកម្រិតធ្ងន់ធ្ងរ និងករណីអាក្រក់បំផុត (worst-case scenario) ដែលអាចកើតមាន។ ចំណុចខ្សោយដែលអាចនាំឱ្យមានការលេចធ្លាយទិន្នន័យ ការវាយប្រហារដោយមេរោគ ឬការបំពានប្រព័ន្ធសំខាន់ៗ គួរត្រូវបានផ្តល់អាទិភាពខ្ពស់ ព្រោះវាអាចបង្កការខូចខាតដែលពិបាកស្តារឡើងវិញ។
• ការជួសជុល (Remediation)៖ ប្រសិនបើចំណុចខ្សោយអាចត្រូវបានជួសជុលដោយការធ្វើបច្ចុប្បន្នភាពឆាប់រហ័ស វាគួរត្រូវបានអនុវត្តភ្លាមៗ។ វាអាចជួយកាត់បន្ថយចំនួនហានិភ័យសរុបដែលអង្គភាពប្រឈម ព្រមទាំងអនុញ្ញាតឱ្យក្រុមបច្ចេកទេស ផ្តោតលើការគំរាមកំហែងដែលមានអាទិភាពខ្ពស់ជាង។

៣. ជំហានសំខាន់ៗសម្រាប់ការកំណត់អាទិភាពចំណុចខ្សោយសន្តិសុខ

ដំណើរការកំណត់អាទិភាពចំណុចខ្សោយសន្តិសុខអាចបែងចែកជា ៥ជំហានសំខាន់ៗដូចខាងក្រោម៖

• វាយតម្លៃកម្រិតធ្ងន់ធ្ងររបស់ចំណុចខ្សោយ (evaluate the severity of vulnerabilities) : កំណត់កម្រិតធ្ងន់ធ្ងរ និងហានិភ័យសក្តានុពលនៃចំណុចខ្សោយនីមួយៗ។ ការវាយតម្លៃនេះអាចធ្វើទៅបានតាមរយៈការប្រើប្រាស់ក្របខណ្ឌ Common Vulnerability Scoring System (CVSS), ការវាយតម្លៃមធ្យោបាយដែលអាចប្រើសម្រាប់ការវាយប្រហារ និងកំណត់ថាអ្នកវាយប្រហារអាចទទួលបានកម្រិតសិទ្ធិចូលប្រើប៉ុណ្ណាដោយប្រើប្រាស់ចំណុចខ្សោយនោះ។
• ដោះស្រាយ ឬកាត់បន្ថយហានិភ័យចំពោះចំណុចខ្សោយធ្ងន់ធ្ងរ (address or mitigate critical vulnerabilities) : ចំណុចខ្សោយដែលមានភាពធ្ងន់ធ្ងរខ្ពស់គួរត្រូវបានជួសជុលជាមុន។ ជាញឹកញាប់ ការជួសជុលអាចធ្វើទៅបានតាមរយៈការធ្វើបច្ចុប្បន្នភាព។ អ្នកអាចប្រើប្រាស់ប្រព័ន្ធគ្រប់គ្រងបច្ចុប្បន្នភាព (patch management solution) ដើម្បីដំឡើង សាកល្បង និងដាក់ឱ្យប្រើបច្ចុប្បន្នភាពលើឧបករណ៍ប្រើប្រាស់ដោយស្វ័យប្រវត្តិ។ ប្រសិនបើចំណុចខ្សោយមិនទាន់មានបច្ចុប្បន្នភាពជួសជុល អ្នកអាចប្រើយុទ្ធសាស្ត្រកាត់បន្ថយហានិភ័យផ្សេងទៀតដូចជា ការកម្រិតសិទ្ធិចូលប្រើ ឬការបែងចែកបណ្តាញ (network segmentation) រហូតដល់បច្ចុប្បន្នភាពជួសជុលត្រូវបានចេញផ្សាយ។
• កំណត់ថេរវេលាច្បាស់លាស់សម្រាប់ការជួសជុលចំណុចខ្សោយ (establish defined timelines for vulnerability remediation) : ការកំណត់ថេរវេលាសម្រាប់ការជួសជុលជួយធានាថាចំណុចខ្សោយទាំងអស់ត្រូវបានជួសជុលតាមផែនការ។ ជំហ៊ាននេះជួយអង្គភាពរក្សាអនុលោមភាពតាមបទប្បញ្ញត្តិ និងលើកកម្ពស់កម្រិតសន្តិសុខសាយប័ររបស់ខ្លួន។
• ធានាអនុលោមភាពតាមតម្រូវការបទប្បញ្ញត្តិ (ensure compliance with regulatory requirements) : វិស័យនានាមានតម្រូវការសន្តិសុខជាក់លាក់ដែលត្រូវអនុលោមតាមដូចជា PCI, GDPR ឬ HIPAA ជាដើម។ ជាទូទៅ តម្រូវការសន្តិសុខទាំងនេះបញ្ជាក់ដោយតឹងរឹងនូវការគ្រប់គ្រងចំណុចខ្សោយ និងការដំឡើងបច្ចុប្បន្នភាពជួសជុល។ ការមិនអនុលោមតាមថេរវេលាជួសជុលអាចបង្កហានិភ័យដល់បណ្តាញ និងឧបករណ៍ បណ្តាលឱ្យមានហានិភ័យផ្នែកច្បាប់ រងពិន័យហិរញ្ញវត្ថុ និងបាត់បង់ទំនុកចិត្ត។
• ពិនិត្យឡើងវិញ និងកែសម្រួលយុទ្ធសាស្ត្រកំណត់អាទិភាព (review and adjust your vulnerability prioritization strategy) : ការពិនិត្យឡើងវិញនូវយុទ្ធសាស្ត្រជានិរន្តរ៍ និងកែសម្រួលឱ្យស្របតាមគោលបំណងអាជីវកម្ម និងធនធានសំខាន់ៗមានសារៈសំខាន់ដោយជួយបង្កើនប្រសិទ្ធភាព និងពង្រឹងសន្តិសុខរបស់អង្គភាព។

៤. វិធីសាស្ត្រល្អបំផុតសម្រាប់ការកំណត់អាទិភាពការជួសជុលចំណុចខ្សោយសន្តិសុខ

ការកំណត់អាទិភាពចំណុចខ្សោយសន្តិសុខអាចអនុវត្តបានប្រកបដោយប្រសិទ្ធភាព តាមរយៈវិធីសាស្ត្រល្អៗមួយចំនួនដូចខាងក្រោម៖

• ប្រើប្រាស់ប្រព័ន្ធវាយតម្លៃពិន្ទុ (use scoring systems)៖ អ្នកអាចបង្កើតប្រព័ន្ធវាយតម្លៃពិន្ទុដែលប្រើទិន្នន័យពីប្រភពផ្សេងៗ ដូចជា CVSS ដើម្បីយល់ដឹងពីកម្រិតហានិភ័យ និងភាពធ្ងន់ធ្ងរដែលចំណុចខ្សោយនីមួយៗអាចបង្កឡើង។
• ផ្តោតលើហានិភ័យ (focus on risks)៖ គួរពិចារណាហានិភ័យដែលចំណុចខ្សោយនីមួយៗអាចបង្កឡើងដល់អង្គភាព រួមមានកម្រិតភាពសម្ងាត់នៃទិន្នន័យដែលស្ថិតក្រោមហានិភ័យ ផលប៉ះពាល់ដែលអាចកើតមានលើប្រព័ន្ធសំខាន់ៗ និងលទ្ធភាពដែលចំណុចខ្សោយអាចត្រូវបានប្រើសម្រាប់ការវាយប្រហារ។ វាជួយឱ្យអង្គភាពអាចកំណត់ការគំរាមកំហែងដែលមានអាទិភាពខ្ពស់ជាងគេ។
• វាយតម្លៃផលប៉ះពាល់ (assess the impact)៖ ការវាយតម្លៃផលប៉ះពាល់ដែលចំណុចខ្សោយអាចបង្កឡើងដល់អាជីវកម្ម ជួយឱ្យអង្គភាពអាចផ្តល់អាទិភាពចំពោះចំណុចខ្សោយដែលប៉ះពាល់ដល់ប្រព័ន្ធសំខាន់ៗ និងមុខងារអាជីវកម្ម។
• គ្រប់គ្រងបច្ចុប្បន្នភាពជួសជុលដោយលក្ខណៈប្រព័ន្ធ (streamline patch management)៖ ដំណើរការគ្រប់គ្រងបច្ចុប្បន្នភាពដែលមានលក្ខណៈសាមញ្ញ និងស្វ័យប្រវត្តិ អាចជួយធានាថាការជួសជុលចំណុចខ្សោយត្រូវបានអនុវត្តដោយឆាប់រហ័ស និងទាន់ពេលវេលា។ ដំណើរការបែបនេះធ្វើឱ្យមានភាពងាយស្រួលក្នុងការរកឃើញ សាកល្បង និងដាក់ឱ្យប្រើបច្ចុប្បន្នភាពនៅទូទាំងមជ្ឈដ្ឋានប្រព័ន្ធ ដោយមិនចាំបាច់ឱ្យក្រុមបច្ចេកទេសធ្វើបច្ចុប្បន្នភាពលើឧបករណ៍នីមួយៗដោយដៃ។
• ការតាមដានជានិរន្តរ៍ (continuous monitoring)៖ ការតាមដានជានិរន្តរ៍មានសារៈសំខាន់សម្រាប់ការរកឃើញហានិភ័យ និងចំណុចខ្សោយថ្មីៗនៅពេលវាកើតឡើង។ ការប្រើប្រាស់សេវាកម្មព័ត៌មានគំរាមកំហែង (threat intelligence solutions) អាចជួយកំណត់អត្តសញ្ញាណការវាយប្រហារដែលកំពុងកើតមាន និងការវាយប្រហារថ្មីៗ ដើម្បីអាចកែសម្រួលយុទ្ធសាស្ត្រកំណត់អាទិភាពឱ្យស្របតាមការគំរាមកំហែងថ្មី។
• ការវាយតម្លៃជាប្រចាំ (regular assessments)៖ ការធ្វើការវាយតម្លៃចំណុចខ្សោយជាប្រចាំជួយឱ្យអង្គភាពអាចកំណត់ការគំរាមកំហែងថ្មីៗបានយ៉ាងឆាប់រហ័ស។ វាធានាថា នៅពេលមានចំណុចខ្សោយថ្មីកើតឡើង អង្គភាពអាចរកឃើញវា វាយតម្លៃផលប៉ះពាល់របស់វា និងកំណត់អាទិភាពសម្រាប់ការជួសជុលបានត្រឹមត្រូវ។

៥. ឯកសារពាក់ព័ន្ធ

• https://www.splashtop.com/blog/vulnerability-prioritization