เมื่อวันที่ 2 มีนาคม 2021 Microsoft เผยแพร่ข้อมูลเกี่ยวกับช่องโหว่ร้ายแรง 4 รายการในซอฟต์แวร์เซิร์ฟเวอร์อีเมล Exchange ที่ใช้กันอย่างแพร่หลาย ซึ่งกำลังถูกโจมตีอย่างหนัก นอกจากนี้ยังออกการอัปเดตด้านความปลอดภัยสำหรับ Exchange ทุกรุ่นย้อนหลังไปถึงปี 2010 Microsoft ได้แจ้งผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ Brian Krebs ว่าได้รับแจ้งเกี่ยวกับช่องโหว่ใน “ต้นเดือนมกราคม” Australian Cyber Security Center ได้ออกประกาศเกี่ยวกับช่องโหว่ดัง กล่าวด้วย
สถานการณ์ดังกล่าวได้รับการรายงานอย่างกว้างขวางในสื่อทั่วไป
เช่นเดียวกับเว็บไซต์ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ แต่บ่อยครั้งก็ไม่ถูกต้อง แต่สถานการณ์ยังเน้นให้เห็นถึงความขัดแย้งในนโยบายความปลอดภัยทางไซเบอร์ของรัฐบาล
เมื่อรัฐบาลพบข้อบกพร่องในซอฟต์แวร์ที่ใช้กันอย่างแพร่หลาย พวกเขาอาจไม่เผยแพร่รายละเอียดเพื่อสร้างความสามารถในการรักษาความปลอดภัยทางไซเบอร์ที่ไม่เหมาะสม เช่น ความสามารถในการกำหนดเป้าหมายคอมพิวเตอร์และเครือข่ายเพื่อสอดแนม จัดการ และขัดขวาง การดำเนินการเช่นนี้มักจะอาศัยการใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์เชิงพาณิชย์ ซึ่งทำให้พลเมืองของตนเสี่ยงต่อการถูกโจมตีตามมา
ช่องโหว่เหล่านี้สามารถสร้างความเสียหายได้อย่างมากสำหรับใครก็ตามที่ใช้เซิร์ฟเวอร์อีเมล Exchange ของตนเอง ผู้โจมตีสามารถรันโค้ดใดๆ บนเซิร์ฟเวอร์และบุกรุกอีเมลของธุรกิจได้อย่างเต็มที่ ทำให้พวกเขาสามารถปลอมตัวเป็นใครก็ได้ในธุรกิจ นอกจากนี้ยังสามารถอ่านอีเมลทั้งหมดที่จัดเก็บไว้ในเซิร์ฟเวอร์และอาจบุกรุกระบบเพิ่มเติมภายในเครือข่ายของธุรกิจ
ใครได้รับผลกระทบ?
สิ่งสำคัญคือต้องระบุให้ชัดเจนว่าใครบ้างที่ได้รับผลกระทบช่องโหว่: ใครก็ตามที่ใช้งานอินสแตนซ์ของ Exchange ของตนเอง และความเสี่ยงจะสูงขึ้นหากเปิดการเข้าถึงเว็บ
ผู้ที่ได้รับผลกระทบทั้งหมดดูเหมือนว่าจะเรียกใช้ไคลเอ็นต์อีเมล Outlook เวอร์ชันบนเว็บและโฮสต์ไว้ในเครื่องของตนเอง แทนที่จะพึ่งพาผู้ให้บริการระบบคลาวด์
แต่การใช้ Exchange เวอร์ชันที่โฮสต์บนคลาวด์อาจไม่จำเป็นต้องแก้ปัญหา เนื่องจากช่องโหว่ยังคงมีอยู่ ยิ่งไปกว่านั้น องค์กรขนาดใหญ่มักจะยังคงเลือกหรือถูกบังคับโดยกฎระเบียบให้เรียกใช้เซิร์ฟเวอร์
Exchange ภายในที่สามารถใช้ประโยชน์ได้ในลักษณะเดียวกัน
ปัญหาเปิดอีกประการหนึ่งของการย้ายเซิร์ฟเวอร์อีเมลไปยังระบบคลาวด์คือการให้สิทธิ์การเข้าถึงแก่ผู้ให้บริการในการเข้าถึงอีเมลที่ไม่ได้เข้ารหัสทั้งหมดตามค่าเริ่มต้น การเข้ารหัสจากต้นทางถึงปลายทางจะเพิ่มความปลอดภัย แต่นี่ไม่ใช่วิธีปฏิบัติมาตรฐานในปัจจุบัน
คำถามสำหรับ Microsoft
เนื่องจากมีช่องโหว่ในเวอร์ชันของซอฟต์แวร์ที่ออกเมื่อนานมาแล้วจนถึงปี 2010 เราจึงสามารถสันนิษฐานได้ว่าผู้โจมตีที่มีทักษะสูงกว่าได้ใช้งานช่องโหว่เหล่านั้นไปแล้ว สิ่งนี้ทำให้เกิดคำถามพื้นฐานเกี่ยวกับคุณภาพของซอฟต์แวร์ ซึ่ง Microsoft ได้พัฒนามาตั้งแต่ปี 1996 เหตุใด Microsoft จึงไม่พบช่องโหว่เหล่านี้ก่อนหน้านี้
อีกคำถาม: หาก Microsoft ทราบเกี่ยวกับช่องโหว่ในช่วงต้นเดือนมกราคม เหตุใดจึงใช้เวลาสองเดือนในการแจ้งเตือนลูกค้า
คำถามสำหรับนโยบายความปลอดภัยทางไซเบอร์
เรายังจำเป็นต้องพิจารณาภาพรวมของวิธีการจัดการกับช่องโหว่ในซอฟต์แวร์ที่สร้างกระดูกสันหลังของคอมพิวเตอร์และโครงสร้างพื้นฐานเครือข่ายของเรา เห็นได้ชัดว่าช่องโหว่เหล่านี้จะเป็นเครื่องมือรักษาความปลอดภัยทางไซเบอร์ที่น่ารังเกียจสำหรับนักแสดงจำนวนมาก
มีความขัดแย้งพื้นฐานระหว่างการสร้างความสามารถในการรักษาความปลอดภัยทางไซเบอร์ที่น่ารังเกียจและการปกป้องธุรกิจและพลเมืองของเรา
จินตนาการว่าคุณได้รับมอบหมายให้สร้างความสามารถในการรักษาความปลอดภัยทางไซเบอร์ที่น่ารังเกียจ คุณค้นพบช่องโหว่เหล่านี้ใน Microsoft Exchange คุณจะแจ้งเตือนผู้จำหน่าย Microsoft ในกรณีนี้หรือไม่ เพื่อให้แน่ใจว่าพวกเขาได้รับการแก้ไขโดยเร็วที่สุด หรือคุณจะเก็บเป็นความลับเพื่อไม่ให้อาวุธไซเบอร์ใหม่ที่ยอดเยี่ยมของคุณสูญหาย การเข้าถึงอีเมลขององค์กรอย่างลับๆ อาจมีประโยชน์มากสำหรับการบังคับใช้กฎหมายหรือหน่วยงานข่าวกรอง
เพิ่มเติม: การแฮ็ค SolarWinds เป็นสิ่งที่หลีกเลี่ยงไม่ได้ – เหตุใดการป้องกันทางไซเบอร์ของชาติจึงเป็นปัญหาที่ ‘ชั่วร้าย’ และสิ่งที่สามารถทำได้เกี่ยวกับเรื่องนี้
กลยุทธ์ความปลอดภัยทางไซเบอร์ของออสเตรเลียปี 2020ไม่ได้กล่าวถึงความขัดแย้งระหว่างการสร้างความสามารถในการรักษาความปลอดภัยทางไซเบอร์ที่ไม่เหมาะสมและการปกป้องชาวออสเตรเลียจากช่องโหว่ด้านความปลอดภัยทางไซเบอร์
มีการกล่าวถึงการจัดตั้งความสามารถในการรักษาความปลอดภัยทางไซเบอร์เชิงรุกอย่างชัดเจนในกลยุทธ์ ในทางตรงกันข้าม การตรวจจับช่องโหว่โดยมีเป้าหมายในการบรรเทานั้นไม่ใช่เป้าหมายที่ชัดเจน
และการเปิดกว้างเกี่ยวกับช่องโหว่ที่มีอยู่ — ซึ่งจะช่วยให้พลเมืองออสเตรเลียตอบสนองต่อช่องโหว่เหล่านั้น — เป็นส่วนหนึ่งของกลยุทธ์ ออสเตรเลียมีความเชี่ยวชาญในภาครัฐ ภาคเอกชน และภาคประชาสังคมในการหารือที่สำคัญเกี่ยวกับวิธีการปกป้องพลเมืองและธุรกิจของออสเตรเลียอย่างดีที่สุด
