Take the Zero Trust maturity assessment to see where you stand
(English Content Below)
ก่อนจะเริ่มดำเนินการระบบรักษาความมั่นคงปลอดภัยแบบ Zero Trust สิ่งสำคัญลำดับแรกคือต้องประเมินมาตรฐานระบบความปลอดภัยขององค์กรในขณะนั้นเสียก่อนว่าอยู่ในจุดไหน และยังต้องยกระดับระบบความปลอดภัยในส่วนไหนบ้าง ดังนั้น ไมโครซอฟท์จึงได้พัฒนา Zero Trust Maturity Model ขึ้น เพื่อใช้ประเมินความสามารถขององค์กรในการปกป้องระบบ ข้อมูล และผู้ใช้ ภายใต้หลักการของ Zero Trust โมเดลนี้ แบ่งองค์กรออกเป็น 3 ระดับหลักๆ ตามความพร้อม ได้แก่
- ขั้นดั้งเดิม (Traditional): องค์กรส่วนใหญ่มักจะอยู่ในระยะนี้ หากพวกเขายังไม่ได้เริ่มต้นการเดินทางตามแนวทาง Zero Trust องค์กรกลุ่มนี้ยังคงบริหารจัดการเรื่องความปลอดภัยไซเบอร์ด้วยโลกทัศน์แบบเดิมว่า การแบ่งแยกโซน Internet และ Intranet ออกจากกันนั้นเพียงพอแล้วที่จะสร้างความปลอดภัย ยังไม่มีการป้องกันในเรื่องของตัวตนผู้ใช้และข้อมูลอย่างเพียงพอ รวมถึงยังไม่รองรับการใช้งานอุปกรณ์ที่หลากหลาย โดยเฉพาะในสถานการณ์ Work From Home บางองค์กรมีการยืนยันตัวตนผู้ใช้ด้วยระบบภายในองค์กรเท่านั้น ไม่ใช้คลาวด์เข้ามารองรับ และมีกฎการเข้าใช้งานที่ตายตัว ไม่ปรับเปลี่ยนตามสถานการณ์จริง และอาจเริ่มใช้ระบบ Single sign-on (SSO) เพื่อให้ผู้ใช้สามารถเข้าถึงหลายระบบในองค์กรด้วยชื่อผู้ใช้และรหัสผ่านเพียงชื่อเดียว ส่วนในด้านการเฝ้าระวังนั้น อาจมีข้อมูลไม่มากนักในการดูแลความปลอดภัยที่อุปกรณ์ปลายทาง ระบบคลาวด์ หรือผู้ใช้ที่เชื่อมต่อเข้ามา ซึ่งองค์กรในประเทศไทยส่วนใหญ่จัดอยู่ในระดับนี้ทั้งสิ้น
- ขั้นสูง (Advanced): ในขั้นนี้องค์กรต่างๆ ได้เริ่มต้นดำเนินนโยบายภายใต้แนวคิด Zero Trust บ้างแล้วและมีความคืบหน้าในประเด็นสำคัญบางประการ กล่าวคือ ออกแบบระบบความปลอดภัยที่เน้นไปที่การยืนยันตัวตนของผู้ใช้ การบริหารจัดการอุปกรณ์ที่ยืดหยุ่น และควบคุมการเข้าถึงข้อมูลอย่างเหมาะสม ตัวอย่างเช่น มีการใช้ระบบยืนยันตัวตนแบบผสมที่นำคลาวด์เข้ามารองรับ และมีการปรับแนวทางการเข้าใช้งานข้อมูล แอป และเครือข่ายให้เหมาะสมกับสภาพการใช้งานจริง ส่วนอุปกรณ์ที่เชื่อมต่อเข้ามาก็ได้รับการลงทะเบียนและขึ้นตรงต่อนโยบายความปลอดภัยด้านไอทีเรียบร้อยแล้ว รวมถึงมีระบบป้องกันภัยคุกคามบนคลาวด์ นอกจากนี้ยังเริ่มมีการใช้ระบบวิเคราะห์ข้อมูล (Analytics) เพื่อประเมินพฤติกรรมของผู้ใช้และการระบุภัยคุกคามในเชิงรุกอีกด้วย
- ขั้นสมบูรณ์ (Optimal): องค์กรที่อยู่ในระดับนี้ ถือได้ว่ามีการปรับปรุงระบบความปลอดภัยได้อย่างเหมาะสม และต่อยอดไปสู่การทำงานแบบอัตโนมัติมากขึ้น ลดภาระงานที่ต้องใช้คนเข้าไปบริหารจัดการ จึงลดความเสี่ยงที่จะเกิดความผิดพลาดจากมนุษย์ ตัวอย่างเช่น มีการใช้คลาวด์ยืนยันตัวตนผู้ใช้เพื่อให้ยืนยันข้อมูลจากทุกภาคส่วนได้ครบถ้วนที่สุด พร้อมด้วยระบบวิเคราะห์แบบเรียลไทม์ที่อาจเปิดหรือปิดกั้นการเข้าใช้งานได้ตามความเสี่ยงที่ตรวจพบ ขณะที่นโยบายการเข้าถึงและแชร์ข้อมูลในองค์กรก็มีนโยบายและกฎเกณฑ์ชัดเจนที่บังคับใช้ผ่านคลาวด์ พร้อมทำการเข้ารหัสและติดตามการเคลื่อนย้ายข้อมูลอย่างทั่วถึงในทุกก้าว นอกจากนี้ ระบบยังปฏิเสธที่จะเชื่อหรือยกผลประโยชน์ให้กับผู้ใช้โดยอัตโนมัติ และจะต้องทำการตรวจสอบข้อมูลโดยละเอียดทุกครั้ง รวมถึงแบ่งเขตการเข้าใช้งานระบบในองค์กรให้ชัดเจน เพื่อความมั่นใจว่าผู้ใช้ที่เข้ามาเป็นตัวจริง และลดความเสียหายที่อาจเกิดขึ้นหากเป็นผู้ประสงค์ร้ายแทรกซึมเข้ามา ส่วนการตรวจจับภัยคุกคามก็ดำเนินไปได้โดยอัตโนมัติเต็มรูปแบบ รวมถึงในขั้นตอนการตอบสนองกับการจู่โจมด้วย
ดังนั้นเราจึงขอแนะนำให้คุณทำทดสอบประเมินนี้ เพื่อจะได้วัดระดับ Zero Trust ของคุณ ก่อนที่จะแนะนำแนวทางที่เหมาะสม
Take the Zero Trust maturity assessment to see where you stand
เชิญทำแบบทดสอบเพื่อปร
Zero Trust security protects people, devices, apps, and data wherever they’re located. Instead of assuming everything behind the corporate firewall is safe, the Zero Trust model assumes breach and verifies each request as though it originates from an open network. Regardless of where the request originates or what resource it accesses, Zero Trust teaches us to “never trust, always verify.”
The Zero Trust maturity assessment will help you determine where you are in your journey across your identities, devices, apps, infrastructure, network, and data. Find out what Zero Trust maturity stage your organization has reached – Traditional, Advanced, or Optimal – and get recommendations on how to progress to the next stage.
