เชิญร่วมงานสัมมนา Rethink & Rebuild your Cyber Security Plan โดย AMR Asia

ไขข้อข้องใจ 5 คำถามสำคัญทำไมต้องใช้ Sandboxing

sophos-logo

หลายคนที่ทำงานเกี่ยวข้องกับด้าน IT Security น่าจะเคยได้ยินคำว่า Sandboxing กันมาบ้างแล้ว เป็นหนึ่งในเทคนิคสำคัญสำหรับตรวจจับ Unknown Malware หรือ Advanced Persistent Threats ที่ Vendor ด้าน Security ชื่อดังเกือบทุกเจ้าพร้อมให้บริการ แต่ส่วนใหญ่มักเป็นฟีเจอร์เสริมหรือ Subscription คำถามคือ แล้วองค์กรของเราควรลงทุนใช้ระบบ Sandboxing นี้หรือไม่ ?

Sandboxing คืออะไร

ก่อนอื่นต้องทำความรู้จัก Unknown Malware กับ Advanced Persistent Threats (APT) กันก่อน Unknown Malware ความหมายก็ตรงไปตรง คือ เป็นมัลแวร์ชนิดใหม่หรือมัลแวร์กลายพันธ์ที่ระบบรักษาความมั่นคงปลอดภัยขององค์กรไม่เคยพบมาก่อน กล่าวคือ ไม่มี Signature ในการตรวจจับมัลแวร์ดังกล่าว ส่วน APT คือการบุกรุกโจมตีที่ถูกปรับแต่งมาใช้กับองค์กรที่เป็นเป้าหมายโดยเฉพาะ ซึ่งมักจะมีเทคนิคในการหลบหลีกระบบตรวจจับและแฝงตัวอยู่เป็นระยะเวลานาน ค่อยๆ แทรกซึมเข้าใจจนสามารถขโมยข้อมูลออกมาได้

Infected_laptop_in_sandbox_bug_worm-Sentavio
Credit: Sentavio/ShutterStock

ด้วยเหตุนี้ หลายองค์กรจำเป็นต้องค้นหาโซลูชันด้านความมั่นคงปลอดภัยใหม่ๆ เพื่อรับมือกับการโจมตีทั้ง 2 รูปแบบที่ระบบรักษาความมั่นคงปลอดภัยทั่วไปไม่สามารถตรวจจับได้ หนึ่งในเทคนิคที่นิยมใช้ในปัจจุบันก็คือ Sandboxing ซึ่งเป็นการจำลองสภาวะแวดล้อมให้เหมือนกับระบบคอมพิวเตอร์ทั่วไป แต่แยกขาดออกจากระบบขององค์กรอย่างสิ้นเชิง เพื่อให้สามารถทดสอบรันโปรแกรมต้องสงสัย หรือไฟล์ที่อาจมีมัลแวร์แฝงตัวอยู่เพื่อคอยสังเกตพฤติกรรมและการทำงานของโปรแกรมเหล่านั้น เพื่อให้มั่นใจได้ว่าโปรแกรมหรือไฟล์ดังกล่าวไม่ได้มีมัลแวร์แฝงตัวอยู่

1. เราจำเป็นต้องมีระบบ Sandboxing จริงหรือ ?

องค์กรจำเป็นต้องมีเทคโนโลยีด้านความมั่นคงปลอดภัยเพื่อปกป้องระบบของตนจากทั้ง Known และ Unknown Threats สิ่งที่ Sandbox เข้ามาช่วยตอบโจทย์คือ การสร้างสภาะแวดล้อมจำลองสำหรับวิเคราะห์และตรวจสอบมัลแวร์ที่ระบบรักษาความมั่นคงปลอดภัยทั่วๆ ไปขององค์กรไม่สามารถตรวจจับได้ มัลแวร์รูปแบบใหม่ๆ และมัลแวร์ระดับสูงที่มักมีเทคนิคการหลบหลีก มักจะถูกตรวจจับได้โดยเทคนิค Sandboxing นี้

2. ทำไมระบบรักษาความมั่นคงปลอดภัยทั่วๆ ไปที่ใช้งานอยู่จึงป้องกัน APT ไม่ได้

ระบบทั่วๆ ไปอย่าง Signature-based Antivirus ถือว่ามีการอัพเดทล้าหลังการโจมตีของแฮ็คเกอร์อยู่มาก Security Vendor ส่วนใหญ่มักใช้วิธีอื่นๆ ในการช่วยตรวจจับภัยคุกคาม เช่น การตรวจจับทราฟฟิคแปลกปลอมหรือพฤติกรรมของผู้ใช้ แต่การโจมตีแบบ APT นั้น แฮ็คเกอร์จะศึกษาระบบรักษาความมั่นคงปลอดภัยของคุณ และปรับแต่งมัลแวร์หรือเทคนิคการโจมตีเพื่อหลอกหรือหลีกเลี่ยงไม่ให้ระบบเหล่านั้นสามารถตรวจจับได้

3. ระบบ Sandboxing เหมาะสำหรับใช้กับองค์กรขนาดใหญ่เท่านั้น ?

การโจมตีห้าง Target ทำให้ข้อมูลบัตรเครดิตกว่า 40 ล้านรายการถูกขโมยออกไป Target นับว่าเป็นองค์กรขนาดใหญ่แห่งหึ่งของสหรัฐฯ แต่รู้หรือไม่ว่าแฮ็คเกอร์ไม่ได้โจมตีห้าง Target โดยตรง แต่โจมตีผ่านทาง Contractor ที่ให้บริการระบบ Air Conditioning ซึ่งเป็นเพียง Supplier ขนาดเล็กเท่านั้น ดังนั้นแล้ว ไม่ได้เกี่ยวกับว่าเป็นองค์กรขนาดใหญ่หรือบริษัทขนาดเล็ก ขอเพียงมีช่องให้โจมตีเพื่อขโมยข้อมูลอันแสนล้ำค่า แฮ็คเกอร์ก็ทำทั้งนั้น จากสถิติระบุว่า 60% ของบริษัทขนาดเล็กต้องปิดตัวลงเนื่องจากการถูกเจาะระบบเพื่อขโมยข้อมูลออกไป ดังนั้น ไม่ว่าจะเป็นธุรกิจระดับไหนก็ควรพิจารณาใช้งานเทคโนโลยี Sandboxing ทั้งสิ้น

4. ระบบ Sandboxing น่าจะแพงมากใช่ไหม

ก่อนหน้านี้ โซลูชัน Sandboxing จำเป็นต้องรันบนอุปกรณ์ฮาร์ดแวร์ที่แยกออกมาต่างหาก และมีทีมสำหรับวิเคราะห์โดยเฉพาะ ทำให้ Sandboxing เป็นระบบสำหรับองค์กรขนาดใหญ่หรือห้องแล็บสำหรับวิจัยมัลแวร์ แต่ปัจจุบันนี้ Sandboxing ถูกย้ายไปอยู่บน Cloud ทำให้ช่วยลดต้นทุนด้านฮาร์ดแวร์และสามารถแชร์ Resource ระหว่างลูกค้าได้ นอกจากนี้ คุณยังไม่จำเป็นต้องมีผู้เชี่ยวชาญคอยนั่งเฝ้าระวัง เนื่องจาก Vendor จะช่วยวิเคราะห์จากส่วนกลาง เหล่านี้ช่วยลดต้นทุนของโซลูชัน Sandboxing จนทุกองค์กรสามารถหาใช้ได้

5. ถ้าสนใจ สามารถทดลองติดตั้งหรือใช้งานได้จากไหน

หลาย Vendor มีโซลูชัน Sandboxing บนระบบ Cloud ที่สามารถขอทดลองใช้หรือขอ POC ได้ฟรี ผู้ที่สนใจสามารถติดต่อขอใช้บริการได้ทันที ซึ่ง Sophos ก็เป็นหนึ่งในนั้น สามารถดูรายละเอียดโซลูชัน Sandboxing ของ Sophos ได้ที่ sophos.com/sandstorm

sophos_sandboxing_1

ที่มา: https://blogs.sophos.com/2016/04/13/what-is-a-sandbox-and-why-do-i-need-one-to-defend-against-advanced-threats/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุปงานสัมมนาออนไลน์ Realize the simple to manage your SDDC with VMware vRealize Suite

การบริหารจัดการ Infrastructure ในปัจจุบันมีความซับซ้อนอย่างยิ่ง สาเหตุเพราะองค์กรไม่ได้พึ่งพาแค่ดาต้าเซ็นเตอร์เพียงแห่งเดียวอีกต่อไป ด้วยเหตุนี้ VMware จึงได้จัดสัมมนาขึ้นในวันที่ 27 ตุลาคม 2563 ที่ผ่านมาเพื่อเผยแพร่ความรู้เกี่ยวกับโซลูชัน vRealize Suite ซึ่งจะช่วยเปลี่ยนภาพการบริหารจัดการ Infrastructure …

สรุปงานสัมมนาออนไลน์ VMware vSAN 101: Back to the Future

เมื่อวันศุกร์ที่ 11 กันยายนที่ผ่านทาง VMware ได้จัดสัมมนาออนไลน์ขึ้นในหัวข้อ “VMware vSAN 101: Back to the Future” โดยสำหรับท่านที่พลาดเข้าชมในเวลานั้น ทางทีมงาน TechTalkThai …