รับมือกับโปรแกรมเรียกค่าไถ่ - Cope with Ransomware

บริหารจัดการปัญหา Ransomware ด้วย แนวคิดแบบ Multi-Layers Protection เพื่อลดโอกาสสูญเสียข้อมูล ด้วยการรับมือ Ransomware แบบครบวงจร

เป็นที่ทราบกันดีว่า ransomware เป็นภัยคุกคามที่ส่งผลกระทบต่อการทำงาน โดยตรง เพราะไฟล์ของผู้ใช้ถูกเข้ารหัสจนไม่สามารถใช้งานได้ โดยเฉพาะในช่วง 2-3 ปีนี้ รูปแบบการโจมตีแบบนี้ เป็นแนวทางพัฒนาหลักของเหล่าผู้พัฒนาไวรัส ทำให้มีสายพันธ์ุของไวรัสชนิดนี้ออกมามากมาย และบางครั้งไม่มีไฟล์ติดที่เครื่องเราด้วยซ้ำ ทำให้ระบบป้องกันแบบ Signature Base ไม่สามารถให้ความคุ้มกันได้อีกต่อไป

จึงต้องมาพัฒนาเรื่องของกระบวณการ คือ หลีกเลี่ยง รู้จุดบกพร่องหรือจุดอ่อนของระบบเรา  (IDENTIFY), เตรียมป้องกัน เครื่องมือพร้อม ( PROTECT), จับให้ทันหากพบว่ามีการทำงาน และหยุดการกระจาย(DETECT&RESPOND), สุดท้ายคือสำรองข้อมูลอย่างถูกต้อง(RECOVER) สอดคล้องกับแนวทาง NIST CSF ที่เราแนะนำ

RANSOMWARE ทำงานอย่างไร – รู้เขา รู้เรา รบร้อยครั้ง ชนะร้อยครา

Ransomware จัดเป็น Malware แบบหนึ่ง กล่าวคือมันเป็นโปรแกรม คอมพิวเตอร์แบบเต็มรูปแบบ ดังนั้น การทำงานโดยพื้นฐานหากเข้ามาทำงานในระบบ Microsoft เราจะเห็นพฤติกรรมของโปรแกรม คือ

  1. โปรแกรมจะต้องทำงานภายใต้ สิทธิของผู้ใช้ใด ผู้ใช้หนึ่งขณะทำงาน
  2. โปรแกรมจะต้องโหลดตัวเองเข้า Memory เพื่อทำงาน
  3. เมื่อทำงานมักจะมีการติดต่อกลับไปยัง โปรแกรมภายนอก C2 (ส่วนใหญ่ใช้ช่องทาง DNS Traffic)

แล้วเราได้ ransomware มาอยู่บนเครื่องเราได้อย่างไรนั้น ค่อนข้างเป็น ศิลปะ กอปรกับ เทคโนโลยี เราทราบดีว่า เครื่องคอมพิวเตอร์ที่เราใช้งานนั้น มีช่องโหว่ทั้งจากความผิดพลาดของเจ้าของผลิตภัณท์หรือจากความตั้งใจของเรา(ใช้ Software เถื่อน, Crack, Jailbreak, ปิดรับ Update จาก vendor) ทำให้ Hacker อาศัย ทั้ง Social Engineering(หลอกล่อต่างๆ นาๆ Email ปลอม, Web ปลอม) และ Vulnerable ของระบบ เอา malware มาใส่เรา แต่การทำงานของมันก็จะต้องทำตามลำดับการทำงานข้างต้น จากนั้นเมื่อโปรแกรมทำงานจะเริ่มเข้ารหัสไฟล์ โดยมากจะเป็นแบบกุญแจคู่ คือจะถอดรหัสได้ด้วยกุญแจที่อยู่ที่ Hacker

Cope with Ransomware using Multi-Layer Protection

จากการทำงานทำให้เรารู้ว่ามีขั้นตอนอย่างไร ในการจัดการลดความเสี่ยงดังกล่าวเราจึงสามารถพิจารณา โซลูชั่นเพื่อเข้ามาจัดการยังส่วนต่างๆ ในระบบเครือข่ายของเราดังภาพ

  1.  จัดการตั้งแต่ภายนอกและให้จบตั้งแต่ภายนอก ในส่วนนี้เราปกป้องผู้ใช้ จาก Email หลอกลวงและไวรัส โดยการกรอง Email ทุกฉบับ ก่อนส่งเข้ามาสู่ Email server ภายใน
    และกรอง DNS Query ว่าเป็น Request ปกติหรือไม่ ไปยัง Domain ปกติที่ไม่ได้อยู่ใน Black list(Realtime update) หรือเปล่า มีการส่งข้อมูลออกผ่านการ Query DNS หรือไม่
  2. ส่วนของ Firewall ก็เป็นส่วนสำคัญ เพราะควบคุมการสื่อสารกับภายนอกโดยตรง ดังนั้นหากมีพฤติกรรมการส่งข้อมูลไม่ปกติ ก็จะช่วยยับยั้งได้ โดยเฉพาะคุณสมบัติด้าน Application Control และ Web Catagories Policy และ Virus Filter ช่วยป้องกันผู้ใช้จากการใช้งานผิดประเภทได้ (อย่างไรก็ตาม Zero-day Threat มักจะเข้ามาได้เสมอ) จึงมีการพัฒนาเทคโนโลยีอย่าง Sand Boxing เข้ามาเสริม
  3. End Point Security จุดนี้เป็นจุดสำคัญที่สุด เพราะเป็นจุดทำงานของ malware ดังนั้น เราไม่สามารถใช้ Endpoint Security ที่ทำงานแบบ Signature Base อย่างเดียวได้อีกต่อไป เพราะจะไม่ทันการ ต้องอาศัย Endpoint Security ที่มีแนวทางป้องกันแบบ Pre-Execute หรือตรวจก่อน Run หรือเป็นไปได้คือ ต้องขอ Authorized ก่อน Run ซึ่งแน่นอนกว่า ต้องมีการเขียน Coding เพิ่ม เช่นบาง Vendor ก็ใช้ AI บ้างก็ใช้ Realtime Cloud Analytic หรือแม้แต่การกำหนด Whitelist / Backlist ของ Process กันเลยทีเดียว โซลูชั่น Event Detect and Respond (EDR) ก็ช่วยติดตาม กิจกรรมที่ผิดปกติเหล่านี้ได้
  4. Identity & Access Management งานกำหนด Permission เพราะเราทราบว่าการ Run Program ใดๆบน เครื่องคอมพิวเตอร์ในระบบ Microsoft หรือ ระบบปฎิบัติการใหม่ๆ จะมี User กำกับ ดังนั้นหาก เราสามารถกำหนด สิทธิผู้ใช้ให้มีระดับเป็นเพียงผู้ใช้เท่านั้นได้ ก็จะลดผลกระทบหากเกิดปัญหาไปได้มาก ตามบทความ Removing admin rights mitigates 97% of critical Microsoft vulnerabilities นอกจากนี้หากเรามีเครื่องมือช่วยตรวจสอบและกำหนดสิทธิการเข้าถึง หรือปลดสิทธิการเข้าถึงทันทีที่เกิดปัญหาก็จะลดปัญหาลงไป
  5. Patch Management และการตรวจหาช่องโหว่ ที่ทำให้ Hacker สามารถใช้งาน หรือ Run Program ได้โดยไม่เป็นไปตาม Policy ดังนั้น การปิดช่องโหว่และใช้ Software ที่ Update Security Patch อยู่เสมอจะช่วยให้ลดความเสี่ยงได้
  6. การสำรองข้อมูลโดยแยกออกจาก Production Environment อย่างสิ้นเชิง ช่วยลดความเสี่ยงโดยตรง เพราะหากเกิดปัญหาใดๆขึ้น เรายังสามารถกลับสู่สถานะปกติได้

จากการจัดการหลายชั้นข้างต้น ช่วยให้ผู้ใช้ปลอดภัยจากภัยคุกคามทั้งหลาย ไม่เพียงแต่ จาก ransomware เท่านั้น และยังช่วยให้ระบบจัดการได้ง่ายขึ้นเป็นมาตรฐานเดียวกัน

ไอดินนายด์ นำเสนอโซลูชั่น พร้อมบริการดูแลให้กับลูกค้าสำหรับแก้ปัญหา threat โดยช่วยปรับปรุงระบบเครือข่ายของลูกค้าให้ มีการปกป้องมากชั้นขึ้น บางส่วนของผลิตภัณท์และบริการของเรา แบ่งกลุ่มตาม NIST Cybersecurity Framework

  1. IDENTIFY – เรามี Cyber Protect Cloud (RMM) ทำ Host vulnerability accessment, Patch management, SW/HW inventory, Remote incident support
  2.  PROTECT- เรามี Cloudflare, Watchguard  +EDR, Cyber Protect Cloud  (Advance Security) ทำ Cloud Security Layer, NGFW, Endpoint Protection with EDR, DLP
  3. DETECT – เรามี EDR,XDR  จาก  Watchguard  และ Cyber Protect Cloud (Advance Security) ที่สามารถวิเคราะห์สาเหตุและส่งต่อไปยัง  SIEM/SOAR ได้
  4. RESPOND – เรามี EDR,XDR  จาก  Watchguard  และ Cyber Protect Cloud (Advance Security) ที่มีคุณสมบัติ Auto script  และ Notification อยู่แล้ว ยังสามารถเชื่อมต่อ API กับ Automatic Workflow tools ต่างๆได้
  5. RECOVER – เรามี Cyber Protect Cloud  (Backup) เพื่อสำรองข้อมูลตาม  Best Practice ของงานสำรองข้อมูล
ติดต่อเราเพื่อรับข้อมูลเพิ่มเติม

Error: Contact form not found.