Best Practices: เทคนิคการป้องกัน Ransomware สำหรับหน่วยงานรัฐฯ โดย Palo Alto Networks

palo_alto_logo_2

เป็นที่ทราบกันดีว่า Ransomware เป็นหนึ่งในภัยคุกคามที่แพร่กระจายตัวอย่างหนักในปัจจุบัน ทุกหน่วยงาน ทุกอุตสาหกรรมต่างมีสิทธิ์ตกเป็นเหยื่อทั้งสิ้น Palo Alto Networks ผู้ให้บริการโซลูชัน Next-generation Security Platform ชื่อดังจึงได้ออก Best Practices หรือแนวทางปฏิบัติที่ดีที่สุดสำหรับช่วยป้องกันเครือข่ายของหน่วยงานรัฐฯ จาก Ransomware

Credit: Rawpixel.com/ShutterStock
Credit: Rawpixel.com/ShutterStock

Ransomware คืออะไร แพร่กระจายตัวได้อย่างไร

Ransomware หรือมัลแวร์เรียกค่าไถ่ เป็นมัลแวร์ที่เมื่อถูกติดตั้งลงบนอุปกรณ์คอมพิวเตอร์แล้ว จะทำการเข้ารหัสไฟล์ข้อมูลและไฟล์สำคัญบางอย่าง เพื่อให้ผู้ใช้ไม่สามารถเข้าถึงไฟล์หรือระบบปฏิบัติการได้ จนกว่าจะยอมจ่ายค่าไถ่เพื่อแลกกับกุญแจที่ใช้ปลดรหัส

เช่นเดียวกับมัลแวร์ประเภทอื่นๆ ช่องทางหลักที่ Ransomware แพร่กระจายตัวคืออีเมล Phishing ซึ่งหลอกให้ผู้ใช้เปิดไฟล์ และดาวน์โหลดมัลแวร์มาติดตั้งโดยไม่รู้ตัว หรือบางครั้งอาจแฝงตัวอยู่บนเว็บไซต์อันตราย รอให้ผู้ใช้ที่ไม่ทันระวังเผลอเข้ามาแล้วทำการเจาะช่องโหว่เพื่อแพร่กระจายมัลแวร์เข้าสู่อุปกรณ์คอมพิวเตอร์

Best Practices ชุดนี้เป็นแนวทางปฏิบัติที่ครอบคลุม 3 องค์ประกอบหลักด้านความมั่นคงปลอดภัย คือ People, Process และ Technology ดังนี้

People และ Process

  • ปรับหลักสูตรการอบรมและสร้างความตระหนักให้แก่ผู้ใช้ รวมไปถึงพาร์ทเนอร์ที่ร่วมงานด้วย โดยการเพิ่มเรื่องราวเกี่ยวกับ Ransomware วิธีรับมือ และการแจ้งเตือนเมื่อพบสิ่งผิดปกติ ยิ่งการฝึกอบรมมีความสมจริงเท่าไหร่ ยิ่งช่วยป้องกันไม่ให้ Ransomware บุกรุกเข้ามาทำอันตรายได้มากเท่านั้น
  • ใช้ Red Team (ทีมเจาะระบบ) ในการซ้อมให้พนักงานในองค์กรสามารถรับมือกับอีเมล Phishing ได้อย่างมีประสิทธิภาพ
  • สำรองข้อมูลบนระบบที่สำคัญมากๆ ทุกๆ ชั่วโมง และสำรองข้อมูลอื่นๆ ทุกวัน หน่วยงานควรมีแผนสำรองข้อมูลที่เหมาะสมต่อสภาวะแวดล้อการใช้งานของตนเอง เพื่อให้สามารถกู้ข้อมูลกลับมาได้โดยได้รับผลกระทบน้อยที่สุดเมื่อถูก Ransomware โจมตี
  • อัพเดทแพทช์ให้เร็วที่สุดเท่าที่จะทำได้ หน่วยงานรัฐบาลส่วนใหญ่มักมีกระบวนการอัพเดทแพทช์ที่ค่อนข้างกินเวลา ผู้ที่เกี่ยวข้องควรปรับแผนและกระบวนการเพื่อให้สามารถอัพเดทแพทช์ได้เร็วยิ่งขึ้น
  • ยกเลิกการใช้ Flash ถ้าเป็นไปได้
  • จำกัดการแชร์ไฟล์ข้อมูลผ่านเครือข่าย เนื่องจาก Ransomware หลายตัวสามารถค้นหาไฟล์ที่แชร์บนเครือข่ายแล้วเข้ารหัสไฟล์เหล่านั้นทั้งหมด

Technology สำหรับเครือข่าย

  • สร้าง Whitelist รายการของแอพพลิเคชันที่อนุญาตให้ใช้ได้บน Gateway ในกรณีที่ไม่สามารถทำได้ อย่างน้อยควรบล็อกสิ่งเหล่านี้
    • แอพพลิเคชันที่ไม่ทราบ TCP/UDP แน่ชัด
    • แอพพลิเคชันความเสี่ยงสูงที่ไม่จำเป็นต่อการใช้งาน
    • แอพพลิเคชันสำหรับแชร์ไฟล์ทั้งหมด เช่น Dropbox หรือ Box เว้นแต่ว่าคุณจะมีโซลูชัน Aperture (หรือเทียบเท่า) เพื่อให้มั่นใจได้ว่าการแชร์ไฟล์ของหน่วยงานมีความมั่นคงปลอดภัย และเฉพาะผู้ใช้งานที่มีสิทธิ์จริงๆ เท่านั้นที่สามารถเข้าถึงแอพพลิเคชันเหล่านี้ได้
  • สร้าง Whitelist รายการของแอพพลิเคชันบน Data Center เพื่อควบคุมให้เฉพาะแอพพลิเคชันที่จำเป็นเท่านั้น ที่สามารถใช้งานได้
  • บล็อก Known Bad URL (บน Palo Alto Networks Firewall คือ Malware Category)
  • บล็อก Unknown URL หรือเพิ่มหน้า “Continue” เพื่อย้ำเตือนผู้ใช้ว่าเว็บไซต์ที่กำลังเข้าถึงอาจมีอันตราย รวมไปถึงป้องกันการดาวน์โหลดไฟล์เข้าสู่เครื่องโดยอัตโนมัติ
  • เปิดการใช้งานระบบป้องกันภัยคุกคามที่มีอยู่ทั้งหมด ไม่ว่าจะเป็น IPS, Antivirus, Spyware และอื่นๆ รวมไปถึงปรับแต่ง Rule บน IPS ให้สามารถบล็อกไฟล์ JavaScript ที่แนบมากับอีเมลด้วย
  • บล็อกไฟล์บางประเภทที่อาจก่อให้เกิดความเสี่ยงแก่หน่วยงาน เช่น บล็อกไฟล์ PE และไฟล์ประเภทอื่นๆ ที่ไม่ต้องการบน Web/Email
  • บล็อกการดาวน์โหลดไฟล์จาก Unknown URL ทั้งหมด
  • เปิดใช้ SSL Decryption เนื่องจาก Ransomware อาจแฝงมาทางช่องทางที่เข้ารหัสข้อมูลเช่นกัน

Technology สำหรับ Endpoint

  • เปิดการใช้งาน Exploit Protection บนคอมพิวเตอร์และเซิร์ฟเวอร์ที่สำคัญของหน่วยงาน (Palo Alto Networks Traps)
  • ห้ามรันไฟล์ที่ไม่รู้จักโดยเด็ดขาด ในกรณีที่มีโซลูชัน Sandboxing ให้รอจนกว่าจะมั่นใจว่าผลลัพธ์ของการทดสอบเป็นไปในทางที่ดี
  • ห้ามไฟล์ .exe รันบนโพลเดอร์ที่มีความเสี่ยง เช่น ไดเร็คทอรี่ tmp

นอกจากนี้ ควรถือโอกาสที่ Ransomware กำลังถาโถมไปยังทั่วโลก ในการตรวจสอบกรอบการทำงานต่างๆ ของหน่วยงานที่ใช้อยู่ เช่น ISO-2700-Series หรือ NIST Cyber Security Framework เป็นต้น

รายละเอียดเพิ่มเติม: http://researchcenter.paloaltonetworks.com/2016/05/best-practices-preventing-ransomware-in-government-networks/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

จีเอเบิล ชี้ 3 Mega Trend ไอที เปลี่ยนโฉมธุรกิจองค์กรไทย พร้อมเป็น Tech Enabler ขับเคลื่อนองค์กรสู่อนาคต [PR]

ในยุคที่ธุรกิจองค์กรแข่งขันกันด้วยความเร็ว เพื่อให้ได้ผลลัพธ์และผลกำไรที่มากขึ้น การลดต้นทุนและการเพิ่มประสิทธิภาพในการทำงานที่เพิ่มขึ้น เป็นสิ่งที่เจ้าของธุรกิจรวมถึงผู้บริหารระดับสูงในธุรกิจองค์กรต่างๆ กำลังมองหา เพราะการดำเนินธุรกิจองค์กรในสถานการณ์ปัจจุบัน จำเป็นอย่างยิ่งที่จะต้องสร้าง Competitive Advantage เพื่อเป็นฐานในการสร้างการเติบโตอย่างยั่งยืน ซึ่งแน่นอนว่าอาวุธที่เป็นฟันเฟืองสำคัญในการผลักดันให้เกิดการเติบโตอย่างยั่งยืน นอกจากการพัฒนาคนในองค์กรให้เรียนรู้ทักษะด้านเทคโนโลยีอยู่เสมอ การเลือกใช้เทคโนโลยีที่ตรงกับกระแสทิศทางเทรนด์ได้อย่างถูกต้องเหมาะสมและตอบโจทย์ในการสร้างผลกำไรของแต่ละธุรกิจองค์กรในทุกภาคอุตสาหกรรมก็เป็นหัวใจสำคัญไม่แพ้กัน

อาลีบาบา คลาวด์ เปิด ดาต้าเซ็นเตอร์ แห่งที่สองในประเทศไทยมาพร้อมกลุ่มผลิตภัณฑ์หลากหลายเพื่อรองรับ Generative AI และโซลูชันเฉพาะทางสำหรับแต่ละอุตสาหกรรม [PR]

อาลีบาบา คลาวด์ ธุรกิจด้านเทคโนโลยีดิจิทัลและหน่วยงานหลักด้านอินเทลลิเจนซ์ของอาลีบาบา กรุ๊ป ประกาศเปิดตัวดาต้าเซ็นเตอร์แห่งที่สองในประเทศไทย มุ่งเพิ่มสมรรถนะในการตอบสนองความต้องการบริการคลาวด์คอมพิวติ้งที่เพิ่มขึ้นในประเทศไทย โดยเฉพาะเพื่อรองรับแอปพลิเคชัน generative AI และสนับสนุนนโยบายของรัฐบาลไทยที่มุ่งส่งเสริมนวัตกรรมดิจิทัลและการพัฒนาเทคโนโลยีที่นำสู่ความยั่งยืน