Best Practices: เทคนิคการป้องกัน Ransomware สำหรับหน่วยงานรัฐฯ โดย Palo Alto Networks

palo_alto_logo_2

เป็นที่ทราบกันดีว่า Ransomware เป็นหนึ่งในภัยคุกคามที่แพร่กระจายตัวอย่างหนักในปัจจุบัน ทุกหน่วยงาน ทุกอุตสาหกรรมต่างมีสิทธิ์ตกเป็นเหยื่อทั้งสิ้น Palo Alto Networks ผู้ให้บริการโซลูชัน Next-generation Security Platform ชื่อดังจึงได้ออก Best Practices หรือแนวทางปฏิบัติที่ดีที่สุดสำหรับช่วยป้องกันเครือข่ายของหน่วยงานรัฐฯ จาก Ransomware

Credit: Rawpixel.com/ShutterStock
Credit: Rawpixel.com/ShutterStock

Ransomware คืออะไร แพร่กระจายตัวได้อย่างไร

Ransomware หรือมัลแวร์เรียกค่าไถ่ เป็นมัลแวร์ที่เมื่อถูกติดตั้งลงบนอุปกรณ์คอมพิวเตอร์แล้ว จะทำการเข้ารหัสไฟล์ข้อมูลและไฟล์สำคัญบางอย่าง เพื่อให้ผู้ใช้ไม่สามารถเข้าถึงไฟล์หรือระบบปฏิบัติการได้ จนกว่าจะยอมจ่ายค่าไถ่เพื่อแลกกับกุญแจที่ใช้ปลดรหัส

เช่นเดียวกับมัลแวร์ประเภทอื่นๆ ช่องทางหลักที่ Ransomware แพร่กระจายตัวคืออีเมล Phishing ซึ่งหลอกให้ผู้ใช้เปิดไฟล์ และดาวน์โหลดมัลแวร์มาติดตั้งโดยไม่รู้ตัว หรือบางครั้งอาจแฝงตัวอยู่บนเว็บไซต์อันตราย รอให้ผู้ใช้ที่ไม่ทันระวังเผลอเข้ามาแล้วทำการเจาะช่องโหว่เพื่อแพร่กระจายมัลแวร์เข้าสู่อุปกรณ์คอมพิวเตอร์

Best Practices ชุดนี้เป็นแนวทางปฏิบัติที่ครอบคลุม 3 องค์ประกอบหลักด้านความมั่นคงปลอดภัย คือ People, Process และ Technology ดังนี้

People และ Process

  • ปรับหลักสูตรการอบรมและสร้างความตระหนักให้แก่ผู้ใช้ รวมไปถึงพาร์ทเนอร์ที่ร่วมงานด้วย โดยการเพิ่มเรื่องราวเกี่ยวกับ Ransomware วิธีรับมือ และการแจ้งเตือนเมื่อพบสิ่งผิดปกติ ยิ่งการฝึกอบรมมีความสมจริงเท่าไหร่ ยิ่งช่วยป้องกันไม่ให้ Ransomware บุกรุกเข้ามาทำอันตรายได้มากเท่านั้น
  • ใช้ Red Team (ทีมเจาะระบบ) ในการซ้อมให้พนักงานในองค์กรสามารถรับมือกับอีเมล Phishing ได้อย่างมีประสิทธิภาพ
  • สำรองข้อมูลบนระบบที่สำคัญมากๆ ทุกๆ ชั่วโมง และสำรองข้อมูลอื่นๆ ทุกวัน หน่วยงานควรมีแผนสำรองข้อมูลที่เหมาะสมต่อสภาวะแวดล้อการใช้งานของตนเอง เพื่อให้สามารถกู้ข้อมูลกลับมาได้โดยได้รับผลกระทบน้อยที่สุดเมื่อถูก Ransomware โจมตี
  • อัพเดทแพทช์ให้เร็วที่สุดเท่าที่จะทำได้ หน่วยงานรัฐบาลส่วนใหญ่มักมีกระบวนการอัพเดทแพทช์ที่ค่อนข้างกินเวลา ผู้ที่เกี่ยวข้องควรปรับแผนและกระบวนการเพื่อให้สามารถอัพเดทแพทช์ได้เร็วยิ่งขึ้น
  • ยกเลิกการใช้ Flash ถ้าเป็นไปได้
  • จำกัดการแชร์ไฟล์ข้อมูลผ่านเครือข่าย เนื่องจาก Ransomware หลายตัวสามารถค้นหาไฟล์ที่แชร์บนเครือข่ายแล้วเข้ารหัสไฟล์เหล่านั้นทั้งหมด

Technology สำหรับเครือข่าย

  • สร้าง Whitelist รายการของแอพพลิเคชันที่อนุญาตให้ใช้ได้บน Gateway ในกรณีที่ไม่สามารถทำได้ อย่างน้อยควรบล็อกสิ่งเหล่านี้
    • แอพพลิเคชันที่ไม่ทราบ TCP/UDP แน่ชัด
    • แอพพลิเคชันความเสี่ยงสูงที่ไม่จำเป็นต่อการใช้งาน
    • แอพพลิเคชันสำหรับแชร์ไฟล์ทั้งหมด เช่น Dropbox หรือ Box เว้นแต่ว่าคุณจะมีโซลูชัน Aperture (หรือเทียบเท่า) เพื่อให้มั่นใจได้ว่าการแชร์ไฟล์ของหน่วยงานมีความมั่นคงปลอดภัย และเฉพาะผู้ใช้งานที่มีสิทธิ์จริงๆ เท่านั้นที่สามารถเข้าถึงแอพพลิเคชันเหล่านี้ได้
  • สร้าง Whitelist รายการของแอพพลิเคชันบน Data Center เพื่อควบคุมให้เฉพาะแอพพลิเคชันที่จำเป็นเท่านั้น ที่สามารถใช้งานได้
  • บล็อก Known Bad URL (บน Palo Alto Networks Firewall คือ Malware Category)
  • บล็อก Unknown URL หรือเพิ่มหน้า “Continue” เพื่อย้ำเตือนผู้ใช้ว่าเว็บไซต์ที่กำลังเข้าถึงอาจมีอันตราย รวมไปถึงป้องกันการดาวน์โหลดไฟล์เข้าสู่เครื่องโดยอัตโนมัติ
  • เปิดการใช้งานระบบป้องกันภัยคุกคามที่มีอยู่ทั้งหมด ไม่ว่าจะเป็น IPS, Antivirus, Spyware และอื่นๆ รวมไปถึงปรับแต่ง Rule บน IPS ให้สามารถบล็อกไฟล์ JavaScript ที่แนบมากับอีเมลด้วย
  • บล็อกไฟล์บางประเภทที่อาจก่อให้เกิดความเสี่ยงแก่หน่วยงาน เช่น บล็อกไฟล์ PE และไฟล์ประเภทอื่นๆ ที่ไม่ต้องการบน Web/Email
  • บล็อกการดาวน์โหลดไฟล์จาก Unknown URL ทั้งหมด
  • เปิดใช้ SSL Decryption เนื่องจาก Ransomware อาจแฝงมาทางช่องทางที่เข้ารหัสข้อมูลเช่นกัน

Technology สำหรับ Endpoint

  • เปิดการใช้งาน Exploit Protection บนคอมพิวเตอร์และเซิร์ฟเวอร์ที่สำคัญของหน่วยงาน (Palo Alto Networks Traps)
  • ห้ามรันไฟล์ที่ไม่รู้จักโดยเด็ดขาด ในกรณีที่มีโซลูชัน Sandboxing ให้รอจนกว่าจะมั่นใจว่าผลลัพธ์ของการทดสอบเป็นไปในทางที่ดี
  • ห้ามไฟล์ .exe รันบนโพลเดอร์ที่มีความเสี่ยง เช่น ไดเร็คทอรี่ tmp

นอกจากนี้ ควรถือโอกาสที่ Ransomware กำลังถาโถมไปยังทั่วโลก ในการตรวจสอบกรอบการทำงานต่างๆ ของหน่วยงานที่ใช้อยู่ เช่น ISO-2700-Series หรือ NIST Cyber Security Framework เป็นต้น

รายละเอียดเพิ่มเติม: http://researchcenter.paloaltonetworks.com/2016/05/best-practices-preventing-ransomware-in-government-networks/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google แบนบางเว็บเบราว์เซอร์บน Linux ฐานไม่มั่นคงปลอดภัย

Google เริ่มแบนเว็บเบราว์เซอร์บนระบบปฏิบัติการ Linux หลายรายการ ได้แก่ Konqueror, Falkon และ Qutebrowser ไม่ให้เข้าใช้บริการของตน อ้างเหตุผลว่าเว็บเบราว์เซอร์เหล่านี้ไม่มั่นคงปลอดภัย

ฮิตาชิ แวนทารา พลิกวงการระบบจัดเก็บข้อมูลองค์กรด้วย Hitachi Virtual Storage Platform 5000 Series และซอฟต์แวร์บริหารจัดการ Hitachi Ops Center ขุมพลังแห่งระบบ AI

ฮิตาชิ แวนทารา (Hitachi Vantara) ในเครือบริษัท ฮิตาชิ จำกัด (TSE: 6501) ประกาศเปิดตัวโซลูชันเก็บข้อมูลยุคใหม่พร้อมโครงสร้างพื้นฐานอันทรงพลัง ด้วยสถาปัตยกรรมใหม่ที่สามารถปรับขยายและยกระดับให้รองรับปริมาณงานทุกสเกล โซลูชันดังกล่าวประกอบด้วยแพลตฟอร์ม Hitachi Virtual Storage Platform (VSP) 5000 Series ซึ่งเป็นระบบจัดเก็บข้อมูลระดับองค์กรใหม่ล่าสุดและเร็วที่สุดในโลก [1] พร้อมด้วยซอฟต์แวร์บริหารจัดการใหม่ล่าสุด Hitachi Ops Center และระบบปฏิบัติการอัปเดตใหม่ Hitachi Storage Virtualization Operating System เมื่อผนวกรวมกันแล้ว เทคโนโลยีเหล่านี้จะเข้ามาเร่งการทำงานในศูนย์ข้อมูลและส่งมอบระบบ IT ที่รองรับอนาคต ด้วยสถาปัตยกรรมใหม่สุดล้ำที่เป็นรากฐานในการยกระดับสภาพแวดล้อมด้านศูนย์ข้อมูล ระบบคลาวด์ และ DataOps ให้ทันสมัยยิ่งขึ้น