ตัดการเชื่อมต่ออินเทอร์เน็ตเสีย

 (computer.rip)
1 คะแนน โดย GN⁺ 2024-08-02 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • เกิดเหตุที่บริษัทความปลอดภัย "เสมือน" ชื่อ "ClownStrike" ทำให้ฐานการติดตั้ง Windows ส่วนใหญ่หยุดชะงัก จากการอัปเดตคอนเทนต์ที่ทดสอบมาไม่เพียงพอ
  • แม้จะมีคนมากมายให้โทษในสถานการณ์แบบนี้ แต่คนส่วนใหญ่ก็มักพูดซ้ำว่า "ระบบแบบนี้ไม่ควรเชื่อมต่อกับอินเทอร์เน็ต"

ข้อพิจารณาในทางปฏิบัติของการไม่เชื่อมต่ออินเทอร์เน็ต

  • คอมพิวเตอร์สำหรับธุรกิจยุคใหม่แทบทั้งหมดทำหน้าที่เป็นอุปกรณ์สื่อสาร
  • หากไม่มีการเชื่อมต่อถึงกันข้ามองค์กรและข้ามพรมแดนทางภูมิศาสตร์ ก็ยากที่จะสร้างคุณค่าได้
  • ระบบจองและจัดตารางบินของสายการบิน เป็นต้น เป็นระบบสื่อสารโดยเนื้อแท้ จึงไม่สามารถทำงานได้หากไม่มีเครือข่าย

ความสำคัญของการเชื่อมต่อเครือข่ายต่อการบำรุงรักษาและการปฏิบัติการ

  • แม้แต่ระบบที่ไม่ต้องการการสื่อสารแบบเรียลไทม์ การเชื่อมต่อเครือข่ายก็ยังมีประโยชน์มากสำหรับการบำรุงรักษา การมอนิเตอร์ และการรองรับความต้องการทางธุรกิจที่เปลี่ยนแปลงไป

ความหมายที่หลากหลายของการไม่เชื่อมต่ออินเทอร์เน็ต

  • รูปแบบของการไม่เชื่อมต่ออินเทอร์เน็ตมีได้หลายแบบ จึงยากจะถกเถียงกันอย่างจริงจังหากไม่มีคำจำกัดความที่ชัดเจน
  • มีหลายสถานการณ์ ตั้งแต่ไม่มีการเชื่อมต่อเครือข่ายเลยในอุปกรณ์เดี่ยว ไปจนถึงโซลูชัน cross-domain ที่ได้รับการรับรองโดย NSA
  • ยังมีรูปแบบการเชื่อมต่ออินเทอร์เน็ตแบบจำกัดอีกหลายชนิด เช่น เครือข่าย WAN ส่วนตัว, การทำ encrypted tunneling และ AWS Private VPC

ความไม่สะดวกของการใช้งานระบบที่ไม่มีการเชื่อมต่ออินเทอร์เน็ต

  • สภาพแวดล้อมซอฟต์แวร์แทบทั้งหมดถูกออกแบบโดยตั้งสมมติฐานว่ามีการเชื่อมต่ออินเทอร์เน็ต ทำให้ทุกอย่างยากขึ้นในสภาพแวดล้อมออฟไลน์
  • ทั้งการอัปเดต OS, package manager, ใบรับรอง TLS และ cloud licensing ต่างก่อให้เกิดงานและค่าใช้จ่ายเพิ่มเติมในหลายด้าน
  • ยังมีหลายกรณีที่ปฏิสัมพันธ์อันซับซ้อนกับผู้จำหน่ายซอฟต์แวร์ระดับองค์กร ทำให้เวลาและต้นทุนเพิ่มขึ้นอย่างมาก

สภาพแวดล้อมออฟไลน์มีไม่มากนัก

  • สภาพแวดล้อมออฟไลน์แบบเข้มงวดมีจำกัดอยู่ในภาคกลาโหม หน่วยข่าวกรอง และธนาคารบางแห่ง
  • อุตสาหกรรมเหล่านี้มักขึ้นชื่ออยู่แล้วว่ามีต้นทุนและใช้เวลาสูงเกินปกติ
  • แม้แต่รูปแบบที่ไม่เข้มงวดนัก ก็มักพบได้เฉพาะในอุตสาหกรรมที่มีการกำกับดูแลสูงหรือบางบริษัทที่ให้ความสำคัญกับความปลอดภัย

ข้อเสนอเพื่อการปรับปรุง

  • ใช้นโยบายเครือข่ายที่จำกัดให้มากที่สุดเท่าที่ทำได้ (คลาวด์อย่าง AWS ช่วยให้ทำสิ่งนี้ได้ง่ายขึ้น)
  • พัฒนาซอฟต์แวร์โดยคำนึงถึงสภาพแวดล้อมออฟไลน์ (ลดการเชื่อมต่อภายนอกให้เหลือน้อยที่สุด เตรียมทางเลือกสำหรับ endpoint เป็นต้น)
  • ทบทวน TLS และสมมติฐานโดยปริยายอื่น ๆ เช่น การใช้ system trust store และการแก้ไข dependency ณ เวลาปล่อยใช้งาน
  • Docker เป็นตัวอย่างเชิงย้อนแย้งที่ทำให้การจัดการสภาพแวดล้อมออฟไลน์ยากขึ้น

ความเห็นของ GN⁺

  • กรณี CrowdStrike เป็นปัญหาที่ไม่เกี่ยวกับการเชื่อมต่ออินเทอร์เน็ต แม้ในสภาพแวดล้อมออฟไลน์ การอัปเดตความปลอดภัยก็ยังเป็นสิ่งจำเป็น
  • อย่างไรก็ตาม ในทางปฏิบัติการอัปเดตแบบออฟไลน์มักล่าช้าได้ง่าย และบางครั้งกลับช่วยด้านความปลอดภัยด้วย
  • การตัดเครือข่ายออกอาจฟังดูน่าดึงดูดในเชิงแนวคิด แต่การนำไปใช้จริงยากมาก อุตสาหกรรมซอฟต์แวร์จึงจำเป็นต้องเตรียมพร้อมเรื่องนี้ให้ดีกว่าเดิมในอนาคต
  • ขณะเดียวกัน ก็ควรตระหนักถึงข้อจำกัดพื้นฐานของสภาพแวดล้อม IT ยุคใหม่ที่ตั้งอยู่บนสมมติฐานว่ามีอินเทอร์เน็ต และเร่งมองหามาตรการปรับปรุงที่ทำได้จริงก่อน เช่น การเสริมนโยบายเครือข่ายให้เข้มงวดขึ้น
  • สำหรับโครงสร้างพื้นฐานสำคัญ ภาคกลาโหม และพื้นที่ที่ต้องการความปลอดภัยระดับสูงมาก ก็อาจคุ้มค่าที่จะยอมรับความยากลำบากเพื่อพิจารณาการแยกเครือข่ายทางกายภาพ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-08-02
ความเห็นจาก Hacker News

  • ในฐานะคนที่ทำงานด้านความปลอดภัย/ระบบ/ปฏิบัติการ คนส่วนใหญ่ทำงานได้ไม่ดี และทั้งอุตสาหกรรมก็ถูกตั้งค่าให้รองรับสิ่งนี้

    • เมื่อติดตั้ง digital signage ควรอนุญาตการเข้าถึงเครือข่ายเฉพาะ IP address ของเซิร์ฟเวอร์เท่านั้น และควรรับเฉพาะการอัปเดตที่มีลายเซ็นและการเชื่อมต่อแบบ certificate pinning เท่านั้น
    • อุปกรณ์ IoT มีความปลอดภัยอ่อนแอ และมักมีรหัสผ่านเริ่มต้นกับพอร์ตที่เปิดไว้จำนวนมาก
    • บริษัทส่วนใหญ่ทำงานได้ไม่ดี และการทำตาม "best practices" หรือคำแนะนำของ vendor ไม่ได้หมายความว่าทำงานได้ดี

  • ในสวีเดนมีเครือข่ายส่วนตัวชื่อ Sjunet ที่แยกจากอินเทอร์เน็ต และผู้ให้บริการด้านการแพทย์ใช้งานอยู่

    • Sjunet มองได้ว่าเป็นสภาพแวดล้อมแบบ air gap ระดับทั้งอุตสาหกรรม ซึ่งช่วยเพิ่มความปลอดภัยโดยมีต้นทุนไม่สูง

  • ในฐานะวิศวกรควบคุม เครื่องจักรที่ใช้สาย Ethernet ไม่ควรเชื่อมต่อกับอินเทอร์เน็ต

    • ในโรงงานผลิต ระบบ PLC และ HMI ใช้ Ethernet แต่ไม่ได้เปิดรับจากอินเทอร์เน็ต
    • เครื่องจักรเก่าอย่างเครื่องเชื่อมความต้านทานไม่จำเป็นต้องใช้ระบบความปลอดภัยสมัยใหม่

  • ไม่เห็นด้วยกับข้ออ้างที่ว่าระบบไม่ควรถูกทำเป็น air gap

    • ไม่ควรใช้แนวปฏิบัติการพัฒนาที่ยึดอินเทอร์เน็ตเป็นศูนย์กลาง
    • เป็นเรื่องผิดที่เครื่อง MRI จะไปดึง JS dependency จาก NPM

  • เมื่อต้องดูแลเครือข่ายส่วนตัว บริการภายในมักจะไม่ได้ใช้ TLS certificate จาก CA ยอดนิยม

    • ปัญหา trust store ของ JRE อาจทำให้เสียเวลาไปมาก

  • หลังจากลองใช้คีออสก์ของ McDonald's ก็ได้ลองทดสอบอุปกรณ์ในที่อื่นด้วย

    • คีออสก์ใน food court แห่งหนึ่งเข้าถึงอินเทอร์เน็ตได้เต็มรูปแบบ และสามารถดาวน์โหลดมัลแวร์ได้
    • คีออสก์ที่จอดรถไม่ได้ถูก harden
    • จอแสดงผลแบบ interactive ของแบรนด์เบียร์ไม่ได้ก่ออันตรายมากนัก แต่มีการทิ้งข้อความว่า "ดื่มน้ำ"

  • ข้อสรุปหลักไม่ใช่ว่าระบบไม่ควรเชื่อมต่ออินเทอร์เน็ต

    • ระบบไม่ควรอนุญาต network flow ขาออก
    • ผลิตภัณฑ์ซอฟต์แวร์ระดับองค์กรจำนวนมากสามารถปิดการอัปเดตอัตโนมัติได้
    • สามารถ rollout การอัปเดตแบบค่อยเป็นค่อยไปเพื่อลดปัญหาได้

  • Hamnet สามารถทำ internet routing ได้บางส่วน และใช้คลื่นความถี่วิทยุสมัครเล่น

    • ห้ามใช้งานเชิงพาณิชย์

  • ระบบจองของสายการบินจำเป็นต้องเชื่อมต่อเครือข่าย แต่มีอุปกรณ์จำนวนมากที่ไม่จำเป็นต้องออนไลน์

    • มีอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตมากเกินไป เช่น ตู้เย็น กาต้มน้ำ ประตูโรงรถ เป็นต้น
    • มาตรการความปลอดภัยทุกอย่างทำให้ผู้ใช้รู้สึกไม่สะดวก

  • ซอฟต์แวร์บางตัวสูญเสียความนิยมไปแล้วและไม่ก่ออันตรายอีกต่อไป

    • แต่ก็ยังมี black box และซอฟต์แวร์ proprietary จำนวนมากอยู่ และขาดความสามารถในการกู้คืนจากภัยพิบัติ