TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Sophos ได้สรุป 10 ประเด็นความเข้าใจผิดในการป้องกันภัยคุกคามทางไซเบอร์จากเรื่องราวประสบการณ์ของตนที่ได้ออกไปช่วยเหลือลูกค้ามากมายในรอบ 1 ปีที่ผ่านมา ซึ่งเราเห็นว่าน่าจะเป็นกรณีศึกษาที่เกิดประโยชน์แก่องค์กร จึงได้สรุปมาให้ได้ติดตามกันครับ
1.) องค์กรเล็กไม่ใช่เป้าหมายของการโจมตีเพราะไม่ได้สินทรัพย์มีค่า
การโจมตีส่วนใหญ่ไม่ได้มากจากคนร้ายระดับชาติด้วยซ้ำ ดังนั้นเหยื่อที่ปล่อยปละละเลยในการป้องกันย่อมเป็นเป้าหมายได้เสมอ ตราบใดที่บริษัทของคุณยังใช้งานระบบดิจิทัล
2.) ไม่ได้ต้องการเทคโนโลยี Security ขั้นสูง
หลายองค์กรยังเข้าใช้ผิดว่าซอฟต์แวร์ Endpoint Security เพียงพอกับการใช้ป้องกันขององค์กร หรือไม่มีต้องมีอะไรป้องกันเซิร์ฟเวอร์เลยก็ได้ ประสบการณ์ทีมงานของ Sophos Rapid Response บอกได้เลยว่าผิดมหันต์ เพราะเซิร์ฟเวอร์นี่แหละมักตกเป็นเป้าหมายอันดับหนึ่ง ในที่สุดแล้วคนร้ายก็จะหาทางเข้ามาได้ ไม่ว่าจากเทคนิคซับซ้อนหรือ Social Engineering ซึ่งการป้องกันอย่างสมบูรณ์เป็นเรื่องยากมาก แต่สิ่งที่ต้องทำคือการตรวจจับพฤติกรรมให้ได้ ซึ่งต้องพึ่งพาเทคโนโลยีขั้นสูงอย่าง AI และเครื่องมือตรวจจับพฤติกรรม หรือทีม SOC แบบ 24/7
3.) มีนโยบายด้าน Security แข็งแกร่งมาก
การมีนโยบายด้าน Security บังคับใช้กับแอปพลิเคชันหรือ User เป็นเรื่องที่ดีแล้ว หากแต่มีการอัปเดตตามฟังก์ชันตามความเก่งของอุปกรณ์หรือจำนวนอุปกรณ์ที่เพิ่มขึ้นบ้างหรือไม่ นอกจากนี้ควรมีการตรวจสอบภาคปฏิบัติด้วยการทดลองเจาะระบบ, ทำ Tabletop เพื่อหาวิธีป้องกัน หรือลองจำลองแผน DR
4.) บล็อกไอพีจากภูมิภาคที่มีความเสี่ยงทำให้รอดจากภัยคุกคามฝั่งนั้นแล้ว
มีผู้ดูแลระบบหลายคนคิดว่าการแบนไอพีจากประเทศที่มีชื่อเสียงน่ากลัวทางไซเบอร์แล้วจะรอดเช่น จีน รัสเซีย เกาหลีเหนือ แม้ว่าไม่ใช่เรื่องผิดอะไร แต่ไม่ควรคิดว่าคุณปลอดภัยแล้ว เพราะบอกได้เลยว่าปกติคนร้ายมักมีเครื่องปฏิบัติการที่ตั้งอยู่ในประเทศอื่นอย่าง อเมริกา และในทวีปยุโรป
5.) เปลี่ยนพอร์ตการใช้งาน RDP ช่วยป้องกันการโจมตีได้
พอร์ตเป็นตัวบ่งบอกบริการที่เปิดอยู่ แต่ไม่ว่าจะพยายามเปลี่ยนหนียังไงก็ไม่พ้นความสามารถของเครื่องมือสแกนของคนร้ายอยู่ดี ดังนั้นถึงจะหนีไปใช้พอร์ตอื่นก็ลดความเสี่ยงไปได้น้อยมาก รวมไปถึงควรอนุญาต RDP จากภายในองค์กรเท่านั้น ( VPN เข้ามาก่อน) อย่างไรก็ดีกลยุทธ์นี้อาจไม่ได้ผลหากเครือข่ายมีรูรั่วอยู่แล้ว ด้วยเหตุนี้เองอีกมาตรการที่ดีคือเรื่องของ MFA แต่ก็ต้องถูกบังคับใช้ไปกับพนักงานทุกคนและอุปกรณ์ด้วย มิเช่นนั้นก็คงไม่เกิดประโยชน์อะไร
6.) มี Backup แล้วคงไม่ได้รับผลกระทบจาก Ransomware
การทำ Backup นั้นเป็นเรื่องจำเป็นอยู่แล้ว อย่างไรก็ดีการทำ Backup ขององค์กรนั้นเป็นไปทางที่ถูกต้องหรือไม่ ยิ่งถ้าหากเครื่อง Backup นั้นเชื่อมต่อกับระบบเครือข่ายอยู่นั่นก็แปลว่าคนร้ายก็เข้าไปโจมตีได้อยู่ดี อีกหนึ่งมาตรการอย่างจำกัดผู้เข้าถึง Backup นั้นเป็นเรื่องที่ดี แต่ก็ไม่ได้เสริมสร้างความมั่นคงปลอดภัยได้ขนาดนั้น เพราะคนร้ายอาจจะเฝ้าดูผู้ที่ได้รับอนุญาตอยู่ ด้วยเหตุนี้เองมาตรการ 3-2-1 อย่างการ Backup 3 ชุด เก็บไว้ใน 2 ระบบที่แยกจากกันและ Offline ไว้ 1 ชุดจึงเป็นเรื่องที่เหมาะสม
สำหรับผู้ที่ backup ไว้บนคลาวด์ซึ่งดูเหมือนจะปลอดภัย แต่ทีมงาน Sophos เคยพบเคสที่ว่าคนร้ายแฮ็กบัญชีแอดมินได้และอีเมลไปแจ้งผู้ให้บริการคลาวด์ช่วยลบข้อมูล backup ทั้งหมดออก แล้วได้ผลด้วยเนื่องจากผู้ให้บริการปฏิบัติตาม อย่างไรก็ดีสุดท้ายแล้วแม้จะลดผลกระทบลงได้ แต่ทั้งหมดก็ไม่ได้ช่วยอะไรจากการถูกข่มขู่เปิดเผยข้อมูลที่ขโมยออกไปได้
7.) พนักงานเข้าใจดีเรื่อง Security
จากรายงานพบว่าองค์กรกว่า 22% ประเมินตนเองแล้วว่าในอนาคต 12 เดือนข้างหน้าอาจจะถูก Ransomware โจมตี ด้วยสาเหตุเพราะไม่สามารถป้องกันพนักงานของตัวเองได้ อันที่จริงเรื่องเหล่านี้ไม่ง่ายเลยเพราะกลเม็ดใหม่ที่คนร้ายสร้างนั้น ล่อลวงด้วยข้อมูลแม่นยำอย่างน่าสนใจเพื่อเจาะจงเป้าหมายง โดยเฉพาะอีเมล Phishing ที่นับวันจะดูยากขึ้นมาก
8.) คิดว่าทีม Incident Response สามารถกู้คืนข้อมูลได้
การโจมตีสมัยใหม่นั้นน้อยครั้งมากที่แฮ็กเกอร์จะเหลือความผิดพลาดเอาไว้ พูดกันตรงๆคืออย่าง Ransomware แทบจะไม่มีหวังในการกู้ข้อมูลเลย เพราะอัลกอริทึมการเข้ารหัสก็พัฒนาขึ้นมาก Windows Volume Shadow Copies ที่คอย backup อัตโนมัติก็โดนลบ บางทีมีการเขียนทับข้อมูลในดิสก์อีก
9.) จ่ายเงินเรียกค่าไถ่แล้วจะได้ข้อมูลคืน
หลายองค์กรคิดว่าจ่ายเงินค่าไถ่ได้ข้อมูลคืนมาแล้วเรื่องจะจบ แต่อันที่จริงแล้วยังมีค่าใช้จ่ายแฝงอยู่แม้ได้ข้อมูลคืนแต่หลายเหตุการณ์ที่ Ransomware นั้นสร้างความเสียหายต่อคอมพิวเตอร์และ ซอฟต์แวร์ กระทั่งว่าต้องไปเริ่มต้นเซ็ตอัปกันใหม่แล้วค่อยนำข้อมูลมาใส่ นอกจากนี้ยังไม่นับเรื่องจ่ายไปแล้วไม่ได้ข้อมูลกลับมาหรือได้กลับมาไม่ครบ
10.) รอดจากการปล่อนแรนซัมแวร์ได้คือจบงาน
ขั้นตอนการโจมตีด้วยแรนซัมแวร์คือเมื่อคนร้ายพร้อมประกาศให้องค์กรรู้แล้วว่าต้องการอะไร แต่คนร้ายอาจเข้ามาได้ก่อนหน้านั้นนานเท่าไหร่ไม่มีใครรู้ได้ จนกระทั่งคนร้ายเสร็จปฏิบัติการค้นหา ตรวจสอบ และลบร่องรอยตัวเอง หรือฝังรากลึกไปที่ไหนสักแห่งที่รอคอยวันกลับมาหากองค์กรกำจัดไปได้ไม่หมด
ที่มา : https://news.sophos.com/en-us/2021/05/27/top-10-security-misperceptions/
