การตรวจจับและตอบสนองต่อ "มัลแวร์เรียกค่าไถ่"

การตรวจจับและตอบสนองต่อ "มัลแวร์เรียกค่าไถ่"

ข้อมูลนับว่าเป็นสิ่งสำคัญยิ่งในการดำเนินการทางธุรกิจ เป็นแหล่งขุมทรัพย์ในการวางแผนและวิเคราะห์เพื่อตอบสนองต่อธุรกิจและผู้บริโภค จึงต้องมีการควบคุมการเข้าถึงและใช้งานให้มีความมั่นคงปลอดภัย

บทความ : รศ.ดร.พงษ์พิสิฐ วุฒิดิษฐโชติ และ เกียรติศักดิ์ จันทร์ลอย
ภาควิชาการสื่อสารข้อมูลและเครือข่าย คณะเทคโนโลยีสารสนเทศและนวัตกรรมดิจิทัล มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าพระนครเหนือ

ความมั่นคงปลอดภัยข้อมูลมีทั้ง 1.ความลับ (Confidentiality) 2. ความถูกต้องครบถ้วน (Integrity) และ 3. ความพร้อมใช้งาน (Availability) ของข้อมูล และยังต้องเป็นไปตามหลักการคุ้มครองข้อมูลส่วนบุคคลด้วย

ความถูกต้องครบถ้วนของข้อมูล (Data Integrity) ถือเป็นสิ่งหนึ่งที่สำคัญต่อการทำธุรกิจ ซึ่งข้อมูลนั้นมีอยู่ 3 สถานะ คือ 1. ข้อมูลที่จัดเก็บไว้ (Data at Rest) เช่น ในดิสก์, USB, ไฟล์ฐานข้อมูล 2. ข้อมูลที่กำลังใช้งาน (Data in Use) เช่น ข้อมูลที่กำลังเปิดอ่าน กำลังแก้ไข และ 3. ข้อมูลที่กำลังรับส่ง (Data in Transit) เช่น การดาวน์โหลดข้อมูล, การใช้งานอินเทอร์เน็ต การส่งข้อมูลผ่านระบบเครือข่าย เป็นต้น องค์กรต้องปกป้องข้อมูลเหล่านี้จากการแก้ไข หรือลบข้อมูลโดยไม่ได้รับอนุญาต

ในขณะเดียวกัน ภัยคุกคามต่อข้อมูลก็มีสูงขึ้นเรื่อย ๆ เช่น มัลแวร์เรียกค่าไถ่ การลบหรือแก้ไขข้อมูลโดยตั้งใจหรือไม่ตั้งใจ ทำให้องค์กรต้องหาวิธีการจัดการ

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Technology: NIST) จึงได้พัฒนากรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์ (NIST Cybersecurity Framework: CSF) ที่ใช้งานอย่างแพร่หลาย ซึ่งมี 5 ฟังก์ชันหลัก คือ 

อ่านข่าว : ปลอดภัยจากภัยไซเบอร์

1.การระบุ (Identify) และเข้าใจสภาพแวดล้อมของตนเอง ทรัพย์สิน และความเสี่ยงที่มี 
2.การหาแนวทางที่เหมาะสมในการปกป้องทรัพย์สิน (Protect) 
3.มีการตรวจจับ (Detect) และเฝ้าระวังภัยคุกคามที่อาจจะเกิดขึ้น 
4.เมื่อพบภัยคุกคาม สามารถที่จะตอบสนองได้ทันท่วงที (Response) เพื่อลดผลกระทบหรือจำกัดความเสียหายให้อยู่ในวงแคบ 
5.สามารถกู้คืน (Recover) ระบบขึ้นมาให้บริการตามปกติได้อย่างรวดเร็วภายใต้งบประมาณและหลักการบริหารความเสี่ยงขององค์กร

 NIST ได้มอบหมายให้ศูนย์ความเป็นเลิศด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (National Cyber Security Center of Excellence: NCCoE) กำหนดวิธีการตรวจจับและตอบสนองต่อเหตุการณ์ที่มีผลต่อความถูกต้องครบถ้วนของข้อมูล ซึ่ง NCCoE ได้นำ NIST CSF ในส่วนของกระบวนการ Detect และ Response มากำหนดเป็น NIST SPECIAL PUBLICATION 1800-26 แนวทางในการรับมือภัยคุกคามในส่วนของเหตุการณ์ความถูกต้องครบถ้วนของข้อมูล (Data Integrity) ดังนี้

การตรวจจับและตอบสนองต่อ "มัลแวร์เรียกค่าไถ่"
 
 

1.การเฝ้าสังเกตความถูกต้องครบถ้วน (Integrity Monitoring): เป็นกระบวนการเปรียบเทียบสถานะของข้อมูล โดยอาศัยพื้นฐานด้านสารสนเทศ เช่น
    •ตรวจสอบหรือจัดเก็บบันทึก ไฟล์แฮช (Hash File) โดย Hash คือ กระบวนการเข้ารหัส (Cryptography) ประเภทหนึ่ง โดยใช้ชุดตัวเลขและตัวอักษรมาแทนข้อมูลต้นฉบับ สำหรับตรวจสอบเมื่อข้อมูลมีการเปลี่ยนแปลงค่า Hash ก็จะเปลี่ยนแปลงข้อมูลเหล่านั้นตาม และการตรวจสอบความสมบูรณ์ของไฟล์และซอฟต์แวร์ 
    •การเฝ้าสังเกตความสมบูรณ์สำหรับ Active Directory

2.การตรวจจับเหตุการณ์ (Event Detection): กระบวนการตรวจจับเหตุการณ์ที่กำลังเกิดขึ้น เช่น การตรวจจับการบุกรุก การตรวจจับมัลแวร์ การตรวจจับความผิดปกติของผู้ใช้ และอื่น ๆ ขึ้นอยู่กับรูปแบบการคุกคามต่าง ๆ ซึ่ง NCCoE มองภาพในการรับมือและตอบสนองต่อเหตุการณ์ดังนี้
    •การรับข้อมูลเกี่ยวกับภัยคุกคามใหม่
    •การตรวจหาซอฟต์แวร์ที่เป็นอันตรายที่มีรูปแบบการทำงานชัดเจน และที่มีรูปแบบหลากหลาย
    •การตรวจจับไฟล์แนบอีเมลที่เป็นอันตราย
    •การสแกนเครือข่ายเพื่อหาความผิดปกติ
    •การเฝ้าสังเกตพฤติกรรมผิดปกติของผู้ใช้
    •การสแกนไฟล์แนบอีเมลเพื่อหาการละเมิดนโยบายขององค์กร

3.การบันทึก (Logging): การบันทึกและจัดเก็บไฟล์บันทึกทั้งหมดที่สร้างองค์ประกอบภายในต่าง ๆ ตามกระบวนการและเทคโนโลยีที่องค์กรมี ซึ่งองค์กรต้องมีความพร้อมตามกรอบที่ NCCoE วางไว้
    •การตรวจสอบ (Audit) และการบันทึกการตั้งค่าได้ตามนโยบายองค์กร
    •หาความเชื่อมโยงข้อมูลบันทึกของเหตุการณ์ความปลอดภัยทางไซเบอร์ต่าง ๆ เข้าด้วยกันกับข้อมูลผู้ใช้
    •มีระบบอัตโนมัติสำหรับการบันทึกข้อมูลต่าง ๆ 

4.การรายงานผล (Reporting): การรายงานกิจกรรมทั้งหมดภายในองค์กรและภายในสถาปัตยกรรม วิธีการแก้ไข รวมถึงเหตุการณ์ต่าง ๆ ที่เกิดขึ้น 
    •การรับและส่งข่าวสารและการแจ้งเตือนความมั่นคงปลอดภัยตามนโยบายขององค์กร
    •การจัดทำรายงานสถานภาพขององค์กร รายงานที่ดีต้องสามารถระบุเหตุการณ์ ที่มา ผู้โจมตีหรือผู้เกี่ยวข้องและการรับมือและผลกระทบที่เกิดขึ้นได้

5.การแก้ไข บรรเทาและกักกันเหตุการณ์ผิดปกติ (Mitigation and containment): การตอบสนองต่อเหตุการณ์ ต้องมีกระบวนการควบคุมและจำกัดขอบเขตของภัยคุกคามที่อาจส่งผลกระทบต่อองค์กร
    •กระบวนการจำลององค์ประกอบหรือสภาพแวดล้อมเสมือนแทนสภาพแวดล้อมจริงขององค์กรสำหรับควบคุมและกักกันภัยคุกคาม (Sandbox Environment)
    •การบังคับใช้นโยบายความมั่นคงปลอดภัยและอื่น ๆ ด้านสารสนเทศภายในทั้งหมดขององค์กร
    •การกักกันและควบคุมอุปกรณ์ที่ถูกระบุหรือเกี่ยวข้องกับภัยคุกคามที่เกิดขึ้นออกจากระบบสารสนเทศขององค์กร
    •การกำจัดภัยคุกคามผ่านการสร้างไฟล์ใหม่ทดแทนการทำงานเดิม
    •การเปลี่ยนแปลงและกระบวนการย้อนกลับของระบบสารสนเทศและบริการ

6.การพิสูจน์หลักฐานทางนิติวิทยาศาสตร์ / การวิเคราะห์ (Forensics/analytics): การตรวจสอบ/วิเคราะห์บันทึกและเครื่องคอมพิวเตอร์ในองค์กรเพื่อเรียนรู้จากเหตุการณ์ผิดปกติที่เกิดขึ้น
    •องค์กรต้องมีกระบวนการในการพิสูจน์หลักฐานเพื่อติดตามผลกระทบของมัลแวร์ย้อนหลัง
    •การวิเคราะห์ปริมาณการใช้เครือข่ายในช่วงเวลาที่เกิดเหตุการณ์
    •การวิเคราะห์ไฟล์ที่มีส่งผ่านเครือข่าย
    •การวิเคราะห์เพื่อค้นหาความผิดปกติในกิจกรรมขององค์กร
    
    กรอบการทำงานในการตอบสนองเหตุการณ์ผิดปกติและภัยคุกคามเบื้องต้นนี้เป็นสิ่งที่องค์กรต่าง ๆ สามารถนำไปใช้งานได้ โดยใช้กรอบการทำงานนี้เป็นแนวทางเริ่มต้นในการทำหรือปรับปรุงและส่วนต่าง ๆ ทั้งด้านกระบวนการ และเทคโนโลยีขององค์กรที่มีอยู่ และเพื่อเป็นแนวปฏิบัติที่ดี องค์กรควรมีการทดสอบหรือกำหนดสถานการณ์ฉุกเฉินเพื่อเตรียมความพร้อมในการรับมือและตอบสนองต่อภัยคุกคามที่เพิ่มขึ้นมากในปัจจุบัน.