การเปิดเผยล่าสุดว่าแฮกเกอร์ต่างชาติสามารถเจาะระบบเข้าสู่โรงงานอาวุธนิวเคลียร์ของสหรัฐฯ ผ่านช่องโหว่ของ Microsoft SharePoint ได้จุดประเด็นการถกเถียงอย่างร้อนแรงในชุมชนเทคโนโลยี แม้ตัวเหตุการณ์ด้านความปลอดภัยจะก่อให้เกิดความกังวลอย่างจริงจังเกี่ยวกับการปกป้องโครงสร้างพื้นฐานสำคัญ แต่บทสนทนาที่กว้างขึ้นได้พัฒนาไปสู่การถกเถียงพื้นฐานเกี่ยวกับการครอบงำของ Microsoft ในแวดวงไอทีองค์กร และคำถามว่าการพึ่งพาระบบนิเวศของพวกเขาสร้างความเสี่ยงด้านความปลอดภัยในระดับระบบหรือไม่
 |
|---|
| การจัดแสดงจรวดและขีปนาวุธนี้เป็นสัญลักษณ์ของโครงสร้างพื้นฐานที่สำคัญซึ่งตกอยู่ในความเสี่ยงเนื่องจากช่องโหว่ในระบบนิเวศองค์กรอย่าง Microsoft |
สัญญาณเตือนทางวัฒนธรรมจาก Microsoft Stack
ผู้เชี่ยวชาญเทคโนโลยีหลายคนมองว่าการเลือกใช้ผลิตภัณฑ์ Microsoft ขององค์กรเป็นมากกว่าการตัดสินใจทางเทคนิค – พวกเขาเห็นว่ามันเป็นตัวบ่งชี้ทางวัฒนธรรม ผู้แสดงความคิดเห็นหนึ่งคนสะท้อนความรู้สึกนี้ได้อย่างแม่นยำ ซึ่งสะท้อนไปทั่วทั้งการสนทนา:
หนึ่งในสิ่งแรกที่ฉันทำหลังจากได้รับคำร้องขอจากพนักงานสรรหาหรือการอ้างอิงจากเพื่อน คือการค้นหา MX record ของโดเมนอีเมลบริษัท หากพวกเขาใช้ Microsoft นี่คือสัญญาณเตือนส่วนตัวอย่างมาก Microsoft เป็นที่นิยมมาก ดังนั้นฉันจึงพูดจากประสบการณ์ของฉันเอง แต่ตลอดระยะเวลา 20 ปี ฉันได้เรียนรู้ว่าการใช้ Microsoft IT stack มีความสัมพันธ์สูงกับการที่ฉันเกียววัฒนธรรมวิศวกรรมขององค์กร
มุมมองนี้เผยให้เห็นว่าการถกเถียงระหว่าง Microsoft กับเครื่องมือทางเลือกอื่นๆ มีรากลึกในแวดวงเทคโนโลยีเพียงใด การสนทนาขยายเกินกว่าเรื่องความปลอดภัยไปสู่ความกังวลที่กว้างขึ้นเกี่ยวกับนวัตกรรม ความยืดหยุ่น และปรัชญาการพัฒนาซอฟต์แวร์ นักพัฒนาหลายคนเชื่อมโยงสภาพแวดล้อม Microsoft กับองค์กรที่มีระบบราชการและคล่องตัวน้อยกว่า ในขณะที่มองว่าบริษัทที่ใช้ Mac, Linux หรือ Google Workspace มีแนวโน้มที่จะมีวัฒนธรรมวิศวกรรมที่ก้าวหน้ามากกว่า
ความชอบด้าน Toolchain ของชุมชน:
- สัญญาณเตือน: แล็ปท็อป Windows, ระบบนิเวศของ Microsoft, SharePoint/Teams สำหรับการจัดทำเอกสาร
- สัญญาณดี: แล็ปท็อป Mac, ระบบ Linux, Google Workspace, wikis สำหรับการจัดทำเอกสาร
- การตั้งค่าในอิดีล: มีหลายระบบ (แล็ปท็อป Mac + เดสก์ท็อป Linux) ให้กับวิศวกร
SharePoint: ฝันร้ายด้านความปลอดภัยขององค์กร
ช่องโหว่เฉพาะที่ทำให้สามารถเจาะระบบโรงงานนิวเคลียร์ได้ – นั่นคือ SharePoint – ได้รับการวิจารณ์อย่างหนักจากผู้เชี่ยวชาญด้านไอทีที่ทำงานกับแพลตฟอร์มนี้เป็นประจำ ความคิดเห็นอธิบายว่า SharePoint เป็นหนึ่งในซอฟต์แวร์ที่แย่ที่สุด เต็มไปด้วยบั๊กมากที่สุดที่ฉันเคยทำงานด้วย และรายละเอียดปัญหาความน่าเชื่อถือมากมายที่ยังคงมีอยู่มาหลายปี
ผู้ใช้รายงานพฤติกรรมแปลกๆ เช่น SharePoint แก้ไขข้อมูลเมตาของไฟล์เป็นครั้งคราว ทำให้ไฟล์ออกแบบ SolidWorks เปิดไม่ได้จนกว่าจะมีการแก้ไขด้วยตนเอง บางคนอธิบายว่าระบบนิเวศคลาวด์สตอเรจของ Microsoft เป็นการปะปนที่ยุ่งเหยิง โดยคุณไม่มีทางรู้ว่าคุณจะพบสิ่งที่คุณกำลังมองหาอยู่ที่ไหน หรือมันจะทำงานหรือไม่ ความไม่สม่ำเสมอของแพลตฟอร์ม across เบราว์เซอร์และระบบปฏิบัติการต่างๆ ยังทำให้ปัญหาความน่าเชื่อถือเหล่านี้ทวีความรุนแรงขึ้น โดยผู้ใช้หนึ่งคนระบุว่า Microsoft Word ออนไลน์ ลบข้อความใน Firefox บน Linux มาแล้วอย่างน้อยสองปีโดยไม่มีการแก้ไข
ช่องโหว่สำคัญของ Microsoft SharePoint ที่ถูกโจมตี:
- CVE-2023-53770: ช่องโหว่ด้าน Spoofing ที่ส่งผลกระทบต่อเซิร์ฟเวอร์แบบ on-premises
- CVE-2023-49704: ช่องโหว่ Remote code execution (RCE) ที่ส่งผลกระทบต่อเซิร์ฟเวอร์แบบ on-premises
- วันที่ปล่อยแพตช์: 19 กรกฎาคม 2024
- การโจมตีครั้งแรกที่ตรวจพบ: 18 กรกฎาคม 2024
ข้อเท็จจริงในโลกองค์กร
แม้จะมีการวิจารณ์อย่างกว้างขวาง ผู้แสดงความคิดเห็นบางคนก็ให้บริบทที่สำคัญว่าทำไม Microsoft ถึงครอบงำสภาพแวดล้อมขององค์กร ดังที่ผู้ดูแลระบบที่มีประสบการณ์หนึ่งคนระบุว่า ผลิตภัณฑ์ Microsoft นำเสนอความสามารถในการขยายขนาดที่เหนือชั้น – รองรับองค์กรที่มีตั้งแต่ 15 ถึง 150,000 ผู้ใช้ด้วยซอฟต์แวร์สแต็กเดียวกัน ความเข้ากันได้ย้อนหลังอย่างกว้างขวางที่ทำให้เอกสาร Excel ที่มี Macros จากปี 1997 ยังคงทำงานได้นั้นแสดงถึงข้อได้เปรียบทางธุรกิจครั้งใหญ่ที่ทางเลือกโอเพ่นซอร์สแข่งขันได้ยาก
ความเป็นจริงคือธุรกิจส่วนใหญ่ดำเนินการด้วยระบบ legacy ที่ซับซ้อนซึ่ง Microsoft ทำได้ดีเยี่ยมในการสนับสนุน แม้ว่าโซลูชันโอเพ่นซอร์สอย่าง Postfix และ Dovecot จะสามารถจัดการอีเมลสำหรับผู้ใช้หลายล้านคนได้ แต่พวกเขาขาดความสามารถ groupware แบบบูรณาการที่องค์กรต้องการ สิ่งนี้สร้างสถานการณ์ที่บริษัทเลือก Microsoft ไม่จำเป็นต้องเพราะเป็นโซลูชันที่ดีที่สุด แต่เพราะเป็นทางปฏิบัติที่สุดสำหรับการสนับสนุนกระบวนการทางธุรกิจและ technical debt ที่สะสมมาหลายทศวรรษ
ความปลอดภัยที่เกินกว่าการกั้นอากาศ
การสนทนาเกี่ยวกับการเจาะระบบโรงงานนิวเคลียร์เผยให้เห็นความกังวลที่ลึกยิ่งขึ้นเกี่ยวกับแนวปฏิบัติด้านความปลอดภัยในโครงสร้างพื้นฐานสำคัญ แม้ผู้เชี่ยวชาญจะเสนอว่าระบบการผลิตในสถานที่อย่าง Kansas City National Security Campus น่าจะถูกกั้นอากาศ (air-gapped) แต่ผู้แสดงความคิดเห็นก็เตือนไม่ให้พึ่งพาวิธีการป้องกันนี้มากเกินไป การโจมตี Stuxnet ต่อโครงการนิวเคลียร์ของอิหร่านแสดงให้เห็นว่าแม้แต่ระบบที่กั้นอากาศก็สามารถถูกบุกรุกได้ผ่านวิธีการที่ซับซ้อน
การสนทนาเน้นย้ำถึงความท้าทายในการสร้างสมดุลระหว่างความปลอดภัยกับความปฏิบัติได้ในองค์กรขนาดใหญ่ ดังที่ผู้แสดงความคิดเห็นหนึ่งคนระบุ โรงงานนิวเคลียร์ไม่ใช่แค่สภาพแวดล้อมการผลิต – พวกเขามีบูธยาม พนักงานต้อนรับ และเจ้าหน้าที่บำรุงรักษาที่ต้องการบริการไอทีพื้นฐาน การแยกระบบทุกระบบออกจากอินเทอร์เน็ตโดยสมบูรณ์สร้างความไร้ประสิทธิภาพในการดำเนินงานซึ่งสามารถส่งผลกระทบต่อการจ้างงานและการรักษาพนักงาน ทางออกดูเหมือนจะอยู่ที่การแบ่งส่วนเครือข่ายที่ซับซ้อนและ data diodes แทนที่จะเป็นการแยกตัวโดยสมบูรณ์
การวิเคราะห์การระบุตัวตน:
- Microsoft ระบุว่าการโจมตีมาจากกลุ่มที่เชื่อมโยงกับจีน ได้แก่ Linen Typhoon, Violet Typhoon, Storm-2503
- แหล่งข้อมูลบางแหล่งชี้ว่าอาจมีการมีส่วนร่วมของกลุ่มผู้คุกคามจากรัสเซีย
- นักวิจัยจาก Resecurity สังเกตเห็นกิจกรรมการสแกนจากไทเป, เวียดนาม, เกาหลีใต้ และฮ่องกง
- มีความเป็นไปได้ที่จะถูกโจมตีผ่านการใช้ Microsoft Active Protections Program (MAPP) ในทางที่ผิด
ความจำเป็นเร่งด่วนของ Zero-Trust
การเจาะระบบครั้งนี้ได้เพิ่มความเข้มข้นให้กับการเรียกร้องให้มีสถาปัตยกรรม zero-trust ที่ครอบคลุม ซึ่งขยายเกินกว่าระบบไอทีแบบดั้งเดิมไปสู่เทคโนโลยีการปฏิบัติการ (operational technology) ดังที่ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์หนึ่งคนเน้นย้ำ เราไม่สามารถคิดว่า zero trust เป็นเพียงแนวคิดไอทีอีกต่อไปแล้ว มันต้องขยายไปสู่ระบบทางกายภาพที่รองรับการป้องกันประเทศ เหตุการณ์นี้แสดงให้เห็นว่าช่องโหว่ในระบบธุรกิจอย่าง SharePoint สามารถทำหน้าที่เป็นจุดเข้าไปยังเครือข่ายปฏิบัติการที่สำคัญกว่าผ่านการเคลื่อนที่แบบข้างเคียง (lateral movement)
การตอบสนองของชุมชนเทคโนโลยีต่อการเจาะระบบครั้งนี้เผยให้เห็นความตึงเครียดพื้นฐานในการคำนวณระดับองค์กรสมัยใหม่ แม้ระบบนิเวศของ Microsoft จะนำเสนอข้อได้เปรียบทางปฏิบัติที่ปฏิเสธไม่ได้สำหรับองค์กรขนาดใหญ่ แต่ความกังวลด้านความปลอดภัยและความน่าเชื่อถือที่ผู้เชี่ยวชาญยกมากล่าวถึงชี้ให้เห็นว่าการพึ่งพาผู้ขายเดียวมากเกินไปสร้างความเสี่ยงในระดับระบบ เมื่อโครงสร้างพื้นฐานสำคัญเชื่อมต่อกันมากขึ้น การสนทนาแนะนำว่าองค์กรจำเป็นต้องสร้างสมดุลระหว่างความสะดวกสบายของระบบนิเวศแบบบูรณาการกับประโยชน์ด้านความปลอดภัยของความหลากหลายและการป้องกันแบบหลายชั้น (defense in depth)
การสนทนาชี้ไปสู่อนาคตที่สถาปัตยกรรม zero-trust ต้องครอบคลุมทั้งไอทีและเทคโนโลยีการปฏิบัติการ ซึ่งความหลากหลายของผู้ขายกลายเป็นคุณลักษณะด้านความปลอดภัยแทนที่จะเป็นความไม่สะดวก และซึ่งผลกระทบทางวัฒนธรรมของการเลือกเทคโนโลยีได้รับการพิจารณาไม่น้อยไปกว่าข้อกำหนดทางเทคนิคของพวกมัน
อ้างอิง: Foreign hackers breached a US nuclear weapons plant via SharePoint flaws