ไขข้อข้องใจ 5 คำถามสำคัญทำไมต้องใช้ Sandboxing

sophos-logo

หลายคนที่ทำงานเกี่ยวข้องกับด้าน IT Security น่าจะเคยได้ยินคำว่า Sandboxing กันมาบ้างแล้ว เป็นหนึ่งในเทคนิคสำคัญสำหรับตรวจจับ Unknown Malware หรือ Advanced Persistent Threats ที่ Vendor ด้าน Security ชื่อดังเกือบทุกเจ้าพร้อมให้บริการ แต่ส่วนใหญ่มักเป็นฟีเจอร์เสริมหรือ Subscription คำถามคือ แล้วองค์กรของเราควรลงทุนใช้ระบบ Sandboxing นี้หรือไม่ ?

Sandboxing คืออะไร

ก่อนอื่นต้องทำความรู้จัก Unknown Malware กับ Advanced Persistent Threats (APT) กันก่อน Unknown Malware ความหมายก็ตรงไปตรง คือ เป็นมัลแวร์ชนิดใหม่หรือมัลแวร์กลายพันธ์ที่ระบบรักษาความมั่นคงปลอดภัยขององค์กรไม่เคยพบมาก่อน กล่าวคือ ไม่มี Signature ในการตรวจจับมัลแวร์ดังกล่าว ส่วน APT คือการบุกรุกโจมตีที่ถูกปรับแต่งมาใช้กับองค์กรที่เป็นเป้าหมายโดยเฉพาะ ซึ่งมักจะมีเทคนิคในการหลบหลีกระบบตรวจจับและแฝงตัวอยู่เป็นระยะเวลานาน ค่อยๆ แทรกซึมเข้าใจจนสามารถขโมยข้อมูลออกมาได้

Infected_laptop_in_sandbox_bug_worm-Sentavio
Credit: Sentavio/ShutterStock

ด้วยเหตุนี้ หลายองค์กรจำเป็นต้องค้นหาโซลูชันด้านความมั่นคงปลอดภัยใหม่ๆ เพื่อรับมือกับการโจมตีทั้ง 2 รูปแบบที่ระบบรักษาความมั่นคงปลอดภัยทั่วไปไม่สามารถตรวจจับได้ หนึ่งในเทคนิคที่นิยมใช้ในปัจจุบันก็คือ Sandboxing ซึ่งเป็นการจำลองสภาวะแวดล้อมให้เหมือนกับระบบคอมพิวเตอร์ทั่วไป แต่แยกขาดออกจากระบบขององค์กรอย่างสิ้นเชิง เพื่อให้สามารถทดสอบรันโปรแกรมต้องสงสัย หรือไฟล์ที่อาจมีมัลแวร์แฝงตัวอยู่เพื่อคอยสังเกตพฤติกรรมและการทำงานของโปรแกรมเหล่านั้น เพื่อให้มั่นใจได้ว่าโปรแกรมหรือไฟล์ดังกล่าวไม่ได้มีมัลแวร์แฝงตัวอยู่

1. เราจำเป็นต้องมีระบบ Sandboxing จริงหรือ ?

องค์กรจำเป็นต้องมีเทคโนโลยีด้านความมั่นคงปลอดภัยเพื่อปกป้องระบบของตนจากทั้ง Known และ Unknown Threats สิ่งที่ Sandbox เข้ามาช่วยตอบโจทย์คือ การสร้างสภาะแวดล้อมจำลองสำหรับวิเคราะห์และตรวจสอบมัลแวร์ที่ระบบรักษาความมั่นคงปลอดภัยทั่วๆ ไปขององค์กรไม่สามารถตรวจจับได้ มัลแวร์รูปแบบใหม่ๆ และมัลแวร์ระดับสูงที่มักมีเทคนิคการหลบหลีก มักจะถูกตรวจจับได้โดยเทคนิค Sandboxing นี้

2. ทำไมระบบรักษาความมั่นคงปลอดภัยทั่วๆ ไปที่ใช้งานอยู่จึงป้องกัน APT ไม่ได้

ระบบทั่วๆ ไปอย่าง Signature-based Antivirus ถือว่ามีการอัพเดทล้าหลังการโจมตีของแฮ็คเกอร์อยู่มาก Security Vendor ส่วนใหญ่มักใช้วิธีอื่นๆ ในการช่วยตรวจจับภัยคุกคาม เช่น การตรวจจับทราฟฟิคแปลกปลอมหรือพฤติกรรมของผู้ใช้ แต่การโจมตีแบบ APT นั้น แฮ็คเกอร์จะศึกษาระบบรักษาความมั่นคงปลอดภัยของคุณ และปรับแต่งมัลแวร์หรือเทคนิคการโจมตีเพื่อหลอกหรือหลีกเลี่ยงไม่ให้ระบบเหล่านั้นสามารถตรวจจับได้

3. ระบบ Sandboxing เหมาะสำหรับใช้กับองค์กรขนาดใหญ่เท่านั้น ?

การโจมตีห้าง Target ทำให้ข้อมูลบัตรเครดิตกว่า 40 ล้านรายการถูกขโมยออกไป Target นับว่าเป็นองค์กรขนาดใหญ่แห่งหึ่งของสหรัฐฯ แต่รู้หรือไม่ว่าแฮ็คเกอร์ไม่ได้โจมตีห้าง Target โดยตรง แต่โจมตีผ่านทาง Contractor ที่ให้บริการระบบ Air Conditioning ซึ่งเป็นเพียง Supplier ขนาดเล็กเท่านั้น ดังนั้นแล้ว ไม่ได้เกี่ยวกับว่าเป็นองค์กรขนาดใหญ่หรือบริษัทขนาดเล็ก ขอเพียงมีช่องให้โจมตีเพื่อขโมยข้อมูลอันแสนล้ำค่า แฮ็คเกอร์ก็ทำทั้งนั้น จากสถิติระบุว่า 60% ของบริษัทขนาดเล็กต้องปิดตัวลงเนื่องจากการถูกเจาะระบบเพื่อขโมยข้อมูลออกไป ดังนั้น ไม่ว่าจะเป็นธุรกิจระดับไหนก็ควรพิจารณาใช้งานเทคโนโลยี Sandboxing ทั้งสิ้น

4. ระบบ Sandboxing น่าจะแพงมากใช่ไหม

ก่อนหน้านี้ โซลูชัน Sandboxing จำเป็นต้องรันบนอุปกรณ์ฮาร์ดแวร์ที่แยกออกมาต่างหาก และมีทีมสำหรับวิเคราะห์โดยเฉพาะ ทำให้ Sandboxing เป็นระบบสำหรับองค์กรขนาดใหญ่หรือห้องแล็บสำหรับวิจัยมัลแวร์ แต่ปัจจุบันนี้ Sandboxing ถูกย้ายไปอยู่บน Cloud ทำให้ช่วยลดต้นทุนด้านฮาร์ดแวร์และสามารถแชร์ Resource ระหว่างลูกค้าได้ นอกจากนี้ คุณยังไม่จำเป็นต้องมีผู้เชี่ยวชาญคอยนั่งเฝ้าระวัง เนื่องจาก Vendor จะช่วยวิเคราะห์จากส่วนกลาง เหล่านี้ช่วยลดต้นทุนของโซลูชัน Sandboxing จนทุกองค์กรสามารถหาใช้ได้

5. ถ้าสนใจ สามารถทดลองติดตั้งหรือใช้งานได้จากไหน

หลาย Vendor มีโซลูชัน Sandboxing บนระบบ Cloud ที่สามารถขอทดลองใช้หรือขอ POC ได้ฟรี ผู้ที่สนใจสามารถติดต่อขอใช้บริการได้ทันที ซึ่ง Sophos ก็เป็นหนึ่งในนั้น สามารถดูรายละเอียดโซลูชัน Sandboxing ของ Sophos ได้ที่ sophos.com/sandstorm

sophos_sandboxing_1

ที่มา: https://blogs.sophos.com/2016/04/13/what-is-a-sandbox-and-why-do-i-need-one-to-defend-against-advanced-threats/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

SOSECURE เปิดคอร์สอบรม How to be a Cyber Threat Hunter 24 – 26 ก.ค. 2019

SOSECURE ขอเรียนเชิญ Threat Intelligence Engineer, Security Analyst, Cybersecurity Engineer และผู้ที่ทำงานในวงการ IT ที่สนใจ เข้าร่วมเรียนในคอร์ส "How to be a Cyber Threat Hunter โดย SoSecure" เพื่อเรียนรู้เทคนิคและเครื่องมือสำหรับการทำงานในสาย Security แบบมืออาชีพสำหรับธุรกิจองค์กร ในวันที่ 24 - 26 กรกฎาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมเรียนดังนี้

เปิดตัว HPE Primera อุปกรณ์ Storage ล่าสุด ชูจุดเด่น 100% Available Guarantee และอัปเกรดได้เรื่อยๆ ไม่ตกรุ่น

HPE ได้ออกมาประกาศเปิดตัวผลิตภัณฑ์ตระกูลใหม่ล่าสุด HPE Primera ซึ่งเป็น All Flash Storage รุ่นใหม่ที่รองรับ NVMe และ Storage-Class Memory (SCM) เป็นหลัก พร้อมสนับสนุนการใช้งานและเพิ่มความทนทานด้วย AI อีกทั้งยังมาพร้อมกับ 100% Available Guarantee และความสามารถในการอัปเกรดระบบได้เรื่อยๆ โดยไม่มีวันตกรุ่น