Ransomware Managed Service

บริหารจัดการปัญหา Ransomware ด้วย แนวคิดแบบ Multi-Layers Protection เพื่อลดโอกาสสูญเสียข้อมูล ด้วยบริการจัดการ Ransomware แบบครบวงจร

เป็นที่ทราบกันดีว่า ransomware เป็นภัยคุกคามที่ส่งผลกระทบต่อการทำงาน โดยตรง เพราะไฟล์ของผู้ใช้ถูกเข้ารหัสจนไม่สามารถใช้งานได้ โดยเฉพาะในช่วง 2-3 ปีนี้ รูปแบบการโจมตีแบบนี้ เป็นแนวทางพัฒนาหลักของเหล่าผู้พัฒนาไวรัส ทำให้มีสายพันธ์ุของไวรัสชนิดนี้ออกมามากมาย จนระบบป้องกันแบบ Signature Base ไม่สามารถให้ความคุ้มกันได้อีกต่อไป

ดังนั้นการจัดการจึงต้องมาพัฒนาเรื่องของกระบวณการ คือ หลีกเลี่ยง ถ้าเป็นไปได้, จับให้ทันหากพบว่ามีการทำงาน และหยุดการกระจาย, สุดท้ายคือสำรองข้อมูลอย่างถูกต้อง

RANSOMWARE ทำงานอย่างไร – รู้เขา รู้เรา รบร้อยครั้ง ชนะร้อยครา

Ransomware จัดเป็น WORM แบบหนึ่ง กล่าวคือมันเป็นโปรแกรม คอมพิวเตอร์แบบเต็มรูปแบบ ดังนั้น การทำงานโดยพื้นฐานในระบบ Microsoft เราจึงทราบว่าพฤติกรรมของโปรแกรม คือ

1. โปรแกรมจะต้องทำงานภายใต้ สิทธิของผู้ใช้ใด ผู้ใช้หนึ่งขณะทำงาน
2. โปรแกรมจะต้องโหลดตัวเองเข้า Memory เพื่อทำงาน
3. เมื่อทำงานจะมีการติดต่อกับ โปรแกรมภายนอก C2 (ส่วนใหญ่ใช้ช่องทาง DNS)

แล้วเราได้ ransomware มาอยู่บนเครื่องเราได้อย่างไรนั้น ค่อนข้างเป็น ศิลปะ กอปรกับ เทคโนโลยี เราทราบดีว่า เครื่องคอมพิวเตอร์ที่เราใช้งานนั้น มีช่องโหว่ทั้งจากความผิดพลาดของเจ้าของผลิตภัณท์หรือจากความตั้งใจของเรา(ใช้ Software เถื่อน, Crack, Jailbreak, ปิดรับ Update จาก vendor) ทำให้ Hacker อาศัย ทั้ง Social Engineering(หลอกล่อต่างๆ นาๆ Email ปลอม, Web ปลอม) และ Vulnerable ของระบบ เอา malware มาใส่เรา แต่การทำงานของมันก็จะต้องทำตามลำดับการทำงานข้างต้น จากนั้นเมื่อโปรแกรมทำงานจะเริ่มเข้ารหัสไฟล์ โดยมากจะเป็นแบบกุญแจคู่ คือจะถอดรหัสได้ด้วยกุญแจที่อยู่ที่ Hacker

จากนั้นก็จะเป็นขั้นตอนเรียกค่าไถ่ โดยทิ้งวิธีการไว้และให้ชำระค่าไถ่ผ่าน ช่องทาง Secure ที่ไม่ระบุตัวตน

Multi-Layer Ransomware Management ทำอะไรบ้าง

จากการทำงานทำให้เรารู้ว่ามีขั้นตอนอย่างไร ในการจัดการลดความเสี่ยงดังกล่าวเราจึงสามารถพิจารณา โซลูชั่นเพื่อเข้ามาจัดการยังส่วนต่างๆ ในระบบเครือข่ายของเราดังภาพ

1.  จัดการตั้งแต่ภายนอกและให้จบตั้งแต่ภายนอก ในส่วนนี้เราปกป้องผู้ใช้ จาก Email หลอกลวงและไวรัส โดยการกรอง Email ทุกฉบับ ก่อนส่งเข้ามาสู่ Email server ภายใน
   และกรอง DNS Query ว่าเป็น Request ปกติหรือไม่ ไปยัง Domain ปกติที่ไม่ได้อยู่ใน Black list(Realtime update) หรือเปล่า มีการส่งข้อมูลออกผ่านการ Query DNS หรือไม่
2. ส่วนของ Firewall ก็เป็นส่วนสำคัญ เพราะควบคุมการสื่อสารกับภายนอกโดยตรง ดังนั้นหากมีพฤติกรรมการส่งข้อมูลไม่ปกติ ก็จะช่วยยับยั้งได้ โดยเฉพาะคุณสมบัติด้าน Application Control และ Web Catagories Policy และ Virus Filter ช่วยป้องกันผู้ใช้จากการใช้งานผิดประเภทได้ (อย่างไรก็ตาม Zero-day Threat มักจะเข้ามาได้เสมอ) จึงมีการพัฒนาเทคโนโลยีอย่าง Sand Boxing เข้ามาเสริม
3. End Point Security จุดนี้เป็นจุดสำคัญที่สุด เพราะเป็นจุดทำงานของ malware ดังนั้น เราไม่สามารถใช้ Endpoint Security ที่ทำงานแบบ Signature Base อย่างเดียวได้อีกต่อไป เพราะจะไม่ทันการ ต้องอาศัย Endpoint Security ที่มีแนวทางป้องกันแบบ Pre-Execute หรือตรวจก่อน Run หรือเป็นไปได้คือ ต้องขอ Authorized ก่อน Run ซึ่งแน่นอนกว่า ต้องมีการเขียน Coding เพิ่ม เช่นบาง Vendor ก็ใช้ AI บ้างก็ใช้ Realtime Cloud Analytic หรือแม้แต่การกำหนด Whitelist / Backlist ของ Process กันเลยทีเดียว โซลูชั่น Event Detect and Respond (EDR) ก็ช่วยติดตาม กิจกรรมที่ผิดปกติเหล่านี้ได้
4. Identity & Access Management งานกำหนด Permission เพราะเราทราบว่าการ Run Program ใดๆบน เครื่องคอมพิวเตอร์ในระบบ Microsoft หรือ ระบบปฎิบัติการใหม่ๆ จะมี User กำกับ ดังนั้นหาก เราสามารถกำหนด สิทธิผู้ใช้ให้มีระดับเป็นเพียงผู้ใช้เท่านั้นได้ ก็จะลดผลกระทบหากเกิดปัญหาไปได้มาก ตามบทความ Removing admin rights mitigates 97% of critical Microsoft vulnerabilities นอกจากนี้หากเรามีเครื่องมือช่วยตรวจสอบและกำหนดสิทธิการเข้าถึง หรือปลดสิทธิการเข้าถึงทันทีที่เกิดปัญหาก็จะลดปัญหาลงไป
5. Patch Management และการตรวจหาช่องโหว่ ที่ทำให้ Hacker สามารถใช้งาน หรือ Run Program ได้โดยไม่เป็นไปตาม Policy ดังนั้น การปิดช่องโหว่และใช้ Software ที่ Update Security Patch อยู่เสมอจะช่วยให้ลดความเสี่ยงได้
6. การสำรองข้อมูลโดยแยกออกจาก Production Environment อย่างสิ้นเชิง ช่วยลดความเสี่ยงโดยตรง เพราะหากเกิดปัญหาใดๆขึ้น เรายังสามารถกลับสู่สถานะปกติได้

จากการจัดการหลายชั้นข้างต้น ช่วยให้ผู้ใช้ปลอดภัยจากภัยคุกคามทั้งหลาย ไม่เพียงแต่ จาก ransomware เท่านั้น และยังช่วยให้ระบบจัดการได้ง่ายขึ้นเป็นมาตรฐานเดียวกัน

ไอดินนายด์ นำเสนอโซลูชั่น พร้อมบริการดูแลให้กับลูกค้าสำหรับแก้ปัญหา threat โดยช่วยปรับปรุงระบบเครือข่ายของลูกค้าให้ มีการปกป้องมากชั้นขึ้น ทั้งนี้บริการและด้วยผลิตภัณท์และโซลูชั่นของเรา จะช่วยสำหรับทุกๆ Layer ตัวอย่างเช่น CyberCloud Protect with Advance Security+EDR with Advance Management
ที่มี Active Protection Feature.

หากท่านสนใจหรือมีข้อส่งสัยในบริการนี้ สามารถติดต่อเจ้าหน้าที่เพื่อรับข้อมูลเพิ่มเติม