CEO Blog

สุภาษิตไทยกล่าวไว้ว่า 'หนามยอก' ต้องเอา 'หนามบ่ง'

By นักรบ เนียมนามธรรม22 มิ.ย. 2020 เวลา 13:20 น.
สุภาษิตไทยกล่าวไว้ว่า 'หนามยอก' ต้องเอา 'หนามบ่ง'

แรนซัมแวร์มีการพัฒนาสายพันธุ์ให้มีความรุนแรงและแยบยล

โลกไซเบอร์ในปัจจุบันนี้เปลี่ยนไปอย่างมากนะครับ นอกจากจะมีบริการเพื่อให้ผู้ใช้งานใช้งานได้สะดวกขึ้นแล้ว ยังมีบริการให้แฮกเกอร์ "โจมตีเหยื่อได้สะดวกขึ้น" ด้วยเช่นกัน 

ทุกวันนี้จึงมีแรนซัมแวร์ตัวใหม่ๆ เกิดขึ้นมากมาย ไม่ว่าจะเป็น Zeppelin, REvil/Sodinokibi และยังมีแรนซัมแวร์ที่มีการพัฒนาสายพันธุ์ให้มีความรุนแรงและแยบยลในการจู่โจมมากยิ่งขึ้น จนเกิดเป็นรูปแบบของ Ransomware-as-a-Service (RaaS) ซึ่งผู้ที่สร้างมันขึ้นมาได้ให้บริการแรนซัมแวร์ โดยการขายหรือปล่อยให้เช่ากับอาชญากรไซเบอร์ แลกกับส่วนแบ่งกำไรหลังจากที่ก่ออาชญากรรมสำเร็จ

อีเมลยังเป็นอาวุธหลักที่นำมาใช้เปิดการจู่โจม และนิยมมากที่สุดรูปแบบหนึ่งของแรนซัมแวร์ ยิ่งอีเมลถูกนำมาใช้ในรูปแบบ Social Engineering ก็ยิ่งจู่โจมได้แยบยลมากยิ่งขึ้น โดยเป้าหมายส่วนมากจะเน้นไปที่พนักงานทั่วไปในองค์กรมากกว่าจะจู่โจมแบบสุ่มๆ เข้ามาในระบบเครือข่ายเหมือนแต่ก่อน 

นอกจากนี้ช่องโหว่ของระบบที่ไม่ได้มีการอัพเดทแพทช์ และข้อผิดพลาดในการตั้งค่าของระบบ เช่น การใช้ Remote Desktop Connection ที่ไม่ปลอดภัย ก็ทำให้ไม่สามารถหาโซลูชั่นที่จะตอบโจทย์การป้องกันแรนซัมแวร์ได้สมบูรณ์แบบในคราวเดียว

ถึงแม้ว่าจะมี Firewalls, IPS/IDS, Proxies และ Endpoint Protection Platform (EPP) รวมถึงแอนตี้ไวรัสก็ไม่สามารถที่จะหยุดการโจมตีจากแรนซัมแวร์ได้ทั้งหมดอยู่ดี เพราะหากมีการดัดแปลง Signature แล้วก็จะตรวจจับได้ยาก 

ดังนั้น Endpoint Detection and Response (EDR) จึงถือกำเนิดขึ้นเพื่อช่วยป้องกันอีกชั้นนึง ด้วยเทคนิคการตรวจจับของ EDR ที่มีการตรวจจับที่ลึกกว่าเพื่อมองหาสิ่งผิดปกติที่เกิดขึ้นในอุปกรณ์นั้นๆ ถึงแม้ว่า EDR จะไม่สามารถหยุดการจู่โจมได้ทุกอย่างเหมือน EPP ก็ตาม แต่ก็สามารถที่จะขัดขวางการจู่โจมได้เป็นส่วนมาก

แต่นั่นก็ยังไม่สามารถหยุดยั้งแรนซัมแวร์ได้ และถึงคราวต้องใช้เทคโนโลยีในการตรวจจับแบบขั้นสูงอย่าง Deception มาช่วยผสานงานในการตรวจจับเพื่อเพิ่มประสิทธิภาพให้ดียิ่งขึ้นไปอีก โดย Advanced Deception Technology นั้นสามารถตรวจจับการเคลื่อนไหวที่เกิดขึ้นภายใน (Lateral Movement) 

รวมถึงสามารถปกป้องหรือซ่อนเครื่องที่ถูกใช้จริงจากการจู่โจม และส่งแรนซัมแวร์ไปยังเครื่องที่มีการแชร์ไฟล์ปลอมๆ เอาไว้ จากนั้นก็หลอกผู้จู่โจมโดยการส่งข้อมูลปลอมไปให้ ซึ่งในระหว่างนั้นระบบ Deception จะแจ้งเตือนไปยังผู้ที่ดูแล และแยกเครื่องที่มีการติดแรนซัมแวร์ออกจากระบบเครือข่ายเพื่อป้องกันการแพร่กระจายอีกด้วย

นี่ถือเป็นเรื่องใหม่ของการป้องกันภัยคุกคามอย่างแรนซัมแวร์ เพราะเมื่อรวมความสามารถทั้งหมดของ EPP, EDR, และ Deception เข้าด้วยกันก็ทำให้เกิดระบบการป้องกันและตรวจจับที่มีประสิทธิภาพสูงและสามารถตรวจสอบหาสาเหตุและช่องโหว่เพื่อที่จะทำการอุดช่องโหว่ 

ตลอดจนรู้เท่าทันวิธีการต่างๆ ที่อาชญากรไซเบอร์ใช้ในการจู่โจมครั้งต่อไปได้ ช่วยให้ตอบสนองและแก้ปัญหาได้อย่างรวดเร็ว ลดผลกระทบที่จะเกิดขึ้นให้น้อยที่สุด จนเชื่อว่านี่จะเป็นโซลูชั่นที่ทุกองค์กรต่างต้องการมีไว้ใช้ป้องกันระบบครับ