Skip to main content

จาก WannaCry ถึง Petya คุณพร้อมหรือยังกับ New Normal Threat

By 4 กรกฎาคม 2017ธันวาคม 6th, 2017Good Articles
Petya
petya

เอาอีกแล้ว ransomware ตัวใหม่ Petya โจมตีทั่วโลกอีกครั้ง และก็โดนกับหลายอุตสาหกรรม โดยเริ่มต้น ที่ ยูเครนและรัสเซีย ก่อนจะกระจายไปทั่วโลก ในไม่กี่นาทีก็โดนกันหมดเหมือน WannaCry เมื่อเดือนก่อน

 

Petya รุนแรงกว่า WannaCry?

ประเด็นคือ ตอนนี้ ransomware มันใช้ Technique กระจายตัวไปที่ช่องโหว่หลายตัว ไม่ว่าจะ ที่ OS หรือ Application ซึ่งความรุนแรง คือเข้ามา เข้ารหัสแล้วเรียกค่าไถ่ และเข้าโจมตีถึง Boot Loader ใน MBR เพราะลักษณะการเข้ามาแบบ Hacker นี้จึงน่ากลัวกว่าเดิม

ครั้งที่ สอง แล้วนะในรอบไม่กี่สัปดาห์

หลังจาก WannaCry เข้าโจมตีครั้งก่อนแค่ 6 สัปดาห์ โดนไปเป็นล้านเครื่อง คราวนี้ มีภัยคุกคามแบบเดียวกันออกมาอีก เป็นหลักฐานชัดเจนว่า เราเข้าสู่ยุคของภัยคุกคามแบบใหม่นี้อย่างแน่นอนแล้ว และจะเจอกับมันอย่างต่อเนื่องจนเป็นขาประจำใหม่ สำหรับภัยคุกคามแบบนี้ จึงต้องย้ำเสมอว่าคุณควรต้องคิดเรื่องสำรองข้อมูล เพื่อรักษาให้ข้อมูลคุณปลอดภัย

ฉันจะป้องกันข้อมูลของฉันจาก Ransomware ได้อย่างไร

ก็อย่างที่ต้องทำเป็นอย่างแรกคือ ต้องคอย Update โปรแกรมและ OS ให้เป็น version ล่าสุดเสมอ(งานนี้ไม่สนุกเลย สำหรับองค์กร เพราะทั้ง Bandwidthที่ต้องใช้, Software หลากหลาย, ต้องเลือก Patch ที่ไม่ทำให้โปรแกรมหลักใช้งานไม่ได้) หรือจัดเตรียม Vulnerability Scan & Patch Management Solution ไว้เป็นเครื่องมือ

ใช้ Windows 10 Creators Update

สถิติของไมโครซอฟท์เองระบุว่า 70% ของเครื่องที่ติด Petya อยู่ในยูเครน และเครื่องส่วนใหญ่เป็น Windows 7 ซึ่งไมโครซอฟท์ก็ถือโอกาสโฆษณาว่า Windows 10 Creators Update มีฟีเจอร์ด้านความปลอดภัยสมัยใหม่หลายอย่าง ที่ช่วยคุ้มครองจากมัลแวร์แบบ Petya ได้

ฟีเจอร์ของ Windows 10 ที่ช่วยลดผลกระทบจากมัลแวร์ มีตั้งแต่ Device Guard ที่กำหนดนโยบายการรันแอพของเครื่องนั้น ที่ส่งผลให้มัลแวร์อาจรันไม่ได้เลยถ้าเราตั้งนโยบายเข้มงวดพอ (เช่น Windows 10 S ที่ห้ามรันแอพนอก Store เลย หรือองค์กรที่กำหนดว่าอนุญาตเฉพาะแอพ exe ที่ signed มาแล้วเท่านั้น), Credential Guard ที่ป้องกันไม่ให้มัลแวร์ขโมยข้อมูลการล็อกอินของเราไป, การสุ่มตำแหน่งเคอร์เนลในหน่วยความจำ, UEFI Secure Boot ช่วยป้องกันมัลแวร์เขียนทับ bootloader เป็นต้น

ไมโครซอฟท์บอกว่า Windows 7 ไม่มีฟีเจอร์เหล่านี้ และต้องพึ่งพาฝีมือของแอดมินระบบในการป้องกัน เช่น กำหนดสิทธิห้ามใช้งาน SMB หรือ RemoteAdmin แทน

จากนั้นอย่างที่สองคือ ทำตามที่ โปรแกรม Anti-Virus แนะนำ  แม้ว่า บางที่จะพบว่า ransomware มันหลุดเข้ามาทำงานได้ เพราะว่า

  • Ransomware ส่วนใหญ่ เป็นแบบ zero-day exploits ซึ่งไม่โดนตรวจจับ โดย signature-based anti-virus software.
  • ผู้สร้าง Ransomware ค้นหารูรั่วของ anti-virus solutions เพื่อใช้จุดอ่อนนั้น
  • การกระจายของ Ransomware มักจะเข้ารหัสตัวโปรแกรมเองด้วย ทำให้ตรวจจับไม่ได้ หรือ ไม่มีร่องรอยให้ตรวจจับ

ดังนั้นก็ให้แน่ใจว่า โปรแกรม Anti-Virus ที่คุณใช้อยู่ ไม่ได้มีแค่ Signature Base แต่ควรมีความสามารถอย่าง Behavior Analysis, Sandboxing, AI เพื่อต่อกร กับปัญหาเหล่านี้

ท้ายสุด การสำรองข้อมูลที่ดี เป็นทางเลือกที่สำคัญในการจัดการกับปัญหา ransomware ทั้งหมด แต่หากต้องมา Recover ไฟล์หรือ System ทุกวัน มันก็ไม่ใช้เรื่องสนุก เพราะเรายังคงเสียข้อมูล เป็นระยะเวลาเท่ากับ จากเวลาปัจจุบัน ถึง ณ เวลาที่เราทำสำรองข้อมูลไว้ (อาจเป็น 6 ชั่วโมงหรือ 1 วัน) แถมหาก ไฟล์ Backup ถูกเข้ารหัสไปด้วย ทุกอย่างก็จบ

มีที่ดีกว่าแค่ Backup มั้ย

สำหรับ Acronis มี 2 Features ที่สำคัญที่ backup software อื่นไม่มี คือ  Acronis Active Protection™ ซึ่งให้เราจัดการ หยุด และ Backlist กับ Process อย่าง ransomware ได้แบบ Realtime พร้อมย้อนและมี Acronis Notary ที่ไม่ยอมให้ โปรแกรมหรือ Process ใดๆ มาเปลี่ยนแปลง Configuration หรือ Backup File ได้

มีบริการแบบ Turn Key มั้ย

บริการ Ransomware Managed Service ของ IDIN9 ช่วยลูกค้า หมดปัญหาในการจัดการปรับปรุง Security ในองค์กรข้างต้น เพราะเรามี Tools (ราคา Software ทั้งหมดมาพร้อมในบริการ และเป็นแบบ Subscription – จ่ายเท่าจำนวนและตามระยะเวลาที่ใช้) พร้อมให้บริการ แบบ Cloud Service ของงาน Ransomware Managed Service ทั้งการทำ Vulnerability Scan และ Patch Management, Cloud Anti-Maleware (Cloud Sandbox และ AI Base), Acronis Backup 12.5 with Active Protection โดยมีรายงานสรุป และผลการดำเนินงานรายเดือน บริการนี้มาพร้อมระบบ Remote Helpdesk ที่มีเจ้าหน้าที่ให้บริการในเวลาทำงาน และมีระบบ Ticketing System สำหรับบันทึกและติดตาม ปัญหา

สอบถามข้อมูลเพิ่มเติมที่ [email protected] หรือจะโทรมาคุยกับเราได้เลย 02-744-1245-7

Leave a Reply