Breaking News

ไขข้อข้องใจ 5 คำถามสำคัญทำไมต้องใช้ Sandboxing

sophos-logo

หลายคนที่ทำงานเกี่ยวข้องกับด้าน IT Security น่าจะเคยได้ยินคำว่า Sandboxing กันมาบ้างแล้ว เป็นหนึ่งในเทคนิคสำคัญสำหรับตรวจจับ Unknown Malware หรือ Advanced Persistent Threats ที่ Vendor ด้าน Security ชื่อดังเกือบทุกเจ้าพร้อมให้บริการ แต่ส่วนใหญ่มักเป็นฟีเจอร์เสริมหรือ Subscription คำถามคือ แล้วองค์กรของเราควรลงทุนใช้ระบบ Sandboxing นี้หรือไม่ ?

Sandboxing คืออะไร

ก่อนอื่นต้องทำความรู้จัก Unknown Malware กับ Advanced Persistent Threats (APT) กันก่อน Unknown Malware ความหมายก็ตรงไปตรง คือ เป็นมัลแวร์ชนิดใหม่หรือมัลแวร์กลายพันธ์ที่ระบบรักษาความมั่นคงปลอดภัยขององค์กรไม่เคยพบมาก่อน กล่าวคือ ไม่มี Signature ในการตรวจจับมัลแวร์ดังกล่าว ส่วน APT คือการบุกรุกโจมตีที่ถูกปรับแต่งมาใช้กับองค์กรที่เป็นเป้าหมายโดยเฉพาะ ซึ่งมักจะมีเทคนิคในการหลบหลีกระบบตรวจจับและแฝงตัวอยู่เป็นระยะเวลานาน ค่อยๆ แทรกซึมเข้าใจจนสามารถขโมยข้อมูลออกมาได้

Infected_laptop_in_sandbox_bug_worm-Sentavio
Credit: Sentavio/ShutterStock

ด้วยเหตุนี้ หลายองค์กรจำเป็นต้องค้นหาโซลูชันด้านความมั่นคงปลอดภัยใหม่ๆ เพื่อรับมือกับการโจมตีทั้ง 2 รูปแบบที่ระบบรักษาความมั่นคงปลอดภัยทั่วไปไม่สามารถตรวจจับได้ หนึ่งในเทคนิคที่นิยมใช้ในปัจจุบันก็คือ Sandboxing ซึ่งเป็นการจำลองสภาวะแวดล้อมให้เหมือนกับระบบคอมพิวเตอร์ทั่วไป แต่แยกขาดออกจากระบบขององค์กรอย่างสิ้นเชิง เพื่อให้สามารถทดสอบรันโปรแกรมต้องสงสัย หรือไฟล์ที่อาจมีมัลแวร์แฝงตัวอยู่เพื่อคอยสังเกตพฤติกรรมและการทำงานของโปรแกรมเหล่านั้น เพื่อให้มั่นใจได้ว่าโปรแกรมหรือไฟล์ดังกล่าวไม่ได้มีมัลแวร์แฝงตัวอยู่

1. เราจำเป็นต้องมีระบบ Sandboxing จริงหรือ ?

องค์กรจำเป็นต้องมีเทคโนโลยีด้านความมั่นคงปลอดภัยเพื่อปกป้องระบบของตนจากทั้ง Known และ Unknown Threats สิ่งที่ Sandbox เข้ามาช่วยตอบโจทย์คือ การสร้างสภาะแวดล้อมจำลองสำหรับวิเคราะห์และตรวจสอบมัลแวร์ที่ระบบรักษาความมั่นคงปลอดภัยทั่วๆ ไปขององค์กรไม่สามารถตรวจจับได้ มัลแวร์รูปแบบใหม่ๆ และมัลแวร์ระดับสูงที่มักมีเทคนิคการหลบหลีก มักจะถูกตรวจจับได้โดยเทคนิค Sandboxing นี้

2. ทำไมระบบรักษาความมั่นคงปลอดภัยทั่วๆ ไปที่ใช้งานอยู่จึงป้องกัน APT ไม่ได้

ระบบทั่วๆ ไปอย่าง Signature-based Antivirus ถือว่ามีการอัพเดทล้าหลังการโจมตีของแฮ็คเกอร์อยู่มาก Security Vendor ส่วนใหญ่มักใช้วิธีอื่นๆ ในการช่วยตรวจจับภัยคุกคาม เช่น การตรวจจับทราฟฟิคแปลกปลอมหรือพฤติกรรมของผู้ใช้ แต่การโจมตีแบบ APT นั้น แฮ็คเกอร์จะศึกษาระบบรักษาความมั่นคงปลอดภัยของคุณ และปรับแต่งมัลแวร์หรือเทคนิคการโจมตีเพื่อหลอกหรือหลีกเลี่ยงไม่ให้ระบบเหล่านั้นสามารถตรวจจับได้

3. ระบบ Sandboxing เหมาะสำหรับใช้กับองค์กรขนาดใหญ่เท่านั้น ?

การโจมตีห้าง Target ทำให้ข้อมูลบัตรเครดิตกว่า 40 ล้านรายการถูกขโมยออกไป Target นับว่าเป็นองค์กรขนาดใหญ่แห่งหึ่งของสหรัฐฯ แต่รู้หรือไม่ว่าแฮ็คเกอร์ไม่ได้โจมตีห้าง Target โดยตรง แต่โจมตีผ่านทาง Contractor ที่ให้บริการระบบ Air Conditioning ซึ่งเป็นเพียง Supplier ขนาดเล็กเท่านั้น ดังนั้นแล้ว ไม่ได้เกี่ยวกับว่าเป็นองค์กรขนาดใหญ่หรือบริษัทขนาดเล็ก ขอเพียงมีช่องให้โจมตีเพื่อขโมยข้อมูลอันแสนล้ำค่า แฮ็คเกอร์ก็ทำทั้งนั้น จากสถิติระบุว่า 60% ของบริษัทขนาดเล็กต้องปิดตัวลงเนื่องจากการถูกเจาะระบบเพื่อขโมยข้อมูลออกไป ดังนั้น ไม่ว่าจะเป็นธุรกิจระดับไหนก็ควรพิจารณาใช้งานเทคโนโลยี Sandboxing ทั้งสิ้น

4. ระบบ Sandboxing น่าจะแพงมากใช่ไหม

ก่อนหน้านี้ โซลูชัน Sandboxing จำเป็นต้องรันบนอุปกรณ์ฮาร์ดแวร์ที่แยกออกมาต่างหาก และมีทีมสำหรับวิเคราะห์โดยเฉพาะ ทำให้ Sandboxing เป็นระบบสำหรับองค์กรขนาดใหญ่หรือห้องแล็บสำหรับวิจัยมัลแวร์ แต่ปัจจุบันนี้ Sandboxing ถูกย้ายไปอยู่บน Cloud ทำให้ช่วยลดต้นทุนด้านฮาร์ดแวร์และสามารถแชร์ Resource ระหว่างลูกค้าได้ นอกจากนี้ คุณยังไม่จำเป็นต้องมีผู้เชี่ยวชาญคอยนั่งเฝ้าระวัง เนื่องจาก Vendor จะช่วยวิเคราะห์จากส่วนกลาง เหล่านี้ช่วยลดต้นทุนของโซลูชัน Sandboxing จนทุกองค์กรสามารถหาใช้ได้

5. ถ้าสนใจ สามารถทดลองติดตั้งหรือใช้งานได้จากไหน

หลาย Vendor มีโซลูชัน Sandboxing บนระบบ Cloud ที่สามารถขอทดลองใช้หรือขอ POC ได้ฟรี ผู้ที่สนใจสามารถติดต่อขอใช้บริการได้ทันที ซึ่ง Sophos ก็เป็นหนึ่งในนั้น สามารถดูรายละเอียดโซลูชัน Sandboxing ของ Sophos ได้ที่ sophos.com/sandstorm

sophos_sandboxing_1

ที่มา: https://blogs.sophos.com/2016/04/13/what-is-a-sandbox-and-why-do-i-need-one-to-defend-against-advanced-threats/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Sophos ปล่อยฟรีผลิตภัณฑ์ Sandboxie พร้อมเปิดโอเพ่นซอร์ส

Sandboxie เป็นหนึ่งในผลิตภัณฑ์ส่วน Commercial ของ Sophos ซึ่งเมื่อไม่กี่วันที่แล้วได้มีการตัดสินใจปล่อยให้ดาวน์โหลดได้ฟรี พร้อมประกาศเปิดเป็นโอเพ่นซอร์สในทุกฟีเจอร์แบบไม่มีกั๊ก

AWS เผยบริการ Outposts ที่จะออกปลายปีสามารถรองรับ ECS, EKS, EMR และ Amazon RDS ได้

AWS Outposts หรือบริการ Hardware-as-a-service ที่กำลังจะเข้าสู่สถานะพร้อมใช้งานจริงในเดือนพฤศจิกายนนี้จะสามารถรองรับการใช้งาน Cluster ของ ECS, EKS, EMR และ Amazon RDS ได้