Breaking News

Best Practices: เทคนิคการป้องกัน Ransomware สำหรับหน่วยงานรัฐฯ โดย Palo Alto Networks

palo_alto_logo_2

เป็นที่ทราบกันดีว่า Ransomware เป็นหนึ่งในภัยคุกคามที่แพร่กระจายตัวอย่างหนักในปัจจุบัน ทุกหน่วยงาน ทุกอุตสาหกรรมต่างมีสิทธิ์ตกเป็นเหยื่อทั้งสิ้น Palo Alto Networks ผู้ให้บริการโซลูชัน Next-generation Security Platform ชื่อดังจึงได้ออก Best Practices หรือแนวทางปฏิบัติที่ดีที่สุดสำหรับช่วยป้องกันเครือข่ายของหน่วยงานรัฐฯ จาก Ransomware

Credit: Rawpixel.com/ShutterStock
Credit: Rawpixel.com/ShutterStock

Ransomware คืออะไร แพร่กระจายตัวได้อย่างไร

Ransomware หรือมัลแวร์เรียกค่าไถ่ เป็นมัลแวร์ที่เมื่อถูกติดตั้งลงบนอุปกรณ์คอมพิวเตอร์แล้ว จะทำการเข้ารหัสไฟล์ข้อมูลและไฟล์สำคัญบางอย่าง เพื่อให้ผู้ใช้ไม่สามารถเข้าถึงไฟล์หรือระบบปฏิบัติการได้ จนกว่าจะยอมจ่ายค่าไถ่เพื่อแลกกับกุญแจที่ใช้ปลดรหัส

เช่นเดียวกับมัลแวร์ประเภทอื่นๆ ช่องทางหลักที่ Ransomware แพร่กระจายตัวคืออีเมล Phishing ซึ่งหลอกให้ผู้ใช้เปิดไฟล์ และดาวน์โหลดมัลแวร์มาติดตั้งโดยไม่รู้ตัว หรือบางครั้งอาจแฝงตัวอยู่บนเว็บไซต์อันตราย รอให้ผู้ใช้ที่ไม่ทันระวังเผลอเข้ามาแล้วทำการเจาะช่องโหว่เพื่อแพร่กระจายมัลแวร์เข้าสู่อุปกรณ์คอมพิวเตอร์

Best Practices ชุดนี้เป็นแนวทางปฏิบัติที่ครอบคลุม 3 องค์ประกอบหลักด้านความมั่นคงปลอดภัย คือ People, Process และ Technology ดังนี้

People และ Process

  • ปรับหลักสูตรการอบรมและสร้างความตระหนักให้แก่ผู้ใช้ รวมไปถึงพาร์ทเนอร์ที่ร่วมงานด้วย โดยการเพิ่มเรื่องราวเกี่ยวกับ Ransomware วิธีรับมือ และการแจ้งเตือนเมื่อพบสิ่งผิดปกติ ยิ่งการฝึกอบรมมีความสมจริงเท่าไหร่ ยิ่งช่วยป้องกันไม่ให้ Ransomware บุกรุกเข้ามาทำอันตรายได้มากเท่านั้น
  • ใช้ Red Team (ทีมเจาะระบบ) ในการซ้อมให้พนักงานในองค์กรสามารถรับมือกับอีเมล Phishing ได้อย่างมีประสิทธิภาพ
  • สำรองข้อมูลบนระบบที่สำคัญมากๆ ทุกๆ ชั่วโมง และสำรองข้อมูลอื่นๆ ทุกวัน หน่วยงานควรมีแผนสำรองข้อมูลที่เหมาะสมต่อสภาวะแวดล้อการใช้งานของตนเอง เพื่อให้สามารถกู้ข้อมูลกลับมาได้โดยได้รับผลกระทบน้อยที่สุดเมื่อถูก Ransomware โจมตี
  • อัพเดทแพทช์ให้เร็วที่สุดเท่าที่จะทำได้ หน่วยงานรัฐบาลส่วนใหญ่มักมีกระบวนการอัพเดทแพทช์ที่ค่อนข้างกินเวลา ผู้ที่เกี่ยวข้องควรปรับแผนและกระบวนการเพื่อให้สามารถอัพเดทแพทช์ได้เร็วยิ่งขึ้น
  • ยกเลิกการใช้ Flash ถ้าเป็นไปได้
  • จำกัดการแชร์ไฟล์ข้อมูลผ่านเครือข่าย เนื่องจาก Ransomware หลายตัวสามารถค้นหาไฟล์ที่แชร์บนเครือข่ายแล้วเข้ารหัสไฟล์เหล่านั้นทั้งหมด

Technology สำหรับเครือข่าย

  • สร้าง Whitelist รายการของแอพพลิเคชันที่อนุญาตให้ใช้ได้บน Gateway ในกรณีที่ไม่สามารถทำได้ อย่างน้อยควรบล็อกสิ่งเหล่านี้
    • แอพพลิเคชันที่ไม่ทราบ TCP/UDP แน่ชัด
    • แอพพลิเคชันความเสี่ยงสูงที่ไม่จำเป็นต่อการใช้งาน
    • แอพพลิเคชันสำหรับแชร์ไฟล์ทั้งหมด เช่น Dropbox หรือ Box เว้นแต่ว่าคุณจะมีโซลูชัน Aperture (หรือเทียบเท่า) เพื่อให้มั่นใจได้ว่าการแชร์ไฟล์ของหน่วยงานมีความมั่นคงปลอดภัย และเฉพาะผู้ใช้งานที่มีสิทธิ์จริงๆ เท่านั้นที่สามารถเข้าถึงแอพพลิเคชันเหล่านี้ได้
  • สร้าง Whitelist รายการของแอพพลิเคชันบน Data Center เพื่อควบคุมให้เฉพาะแอพพลิเคชันที่จำเป็นเท่านั้น ที่สามารถใช้งานได้
  • บล็อก Known Bad URL (บน Palo Alto Networks Firewall คือ Malware Category)
  • บล็อก Unknown URL หรือเพิ่มหน้า “Continue” เพื่อย้ำเตือนผู้ใช้ว่าเว็บไซต์ที่กำลังเข้าถึงอาจมีอันตราย รวมไปถึงป้องกันการดาวน์โหลดไฟล์เข้าสู่เครื่องโดยอัตโนมัติ
  • เปิดการใช้งานระบบป้องกันภัยคุกคามที่มีอยู่ทั้งหมด ไม่ว่าจะเป็น IPS, Antivirus, Spyware และอื่นๆ รวมไปถึงปรับแต่ง Rule บน IPS ให้สามารถบล็อกไฟล์ JavaScript ที่แนบมากับอีเมลด้วย
  • บล็อกไฟล์บางประเภทที่อาจก่อให้เกิดความเสี่ยงแก่หน่วยงาน เช่น บล็อกไฟล์ PE และไฟล์ประเภทอื่นๆ ที่ไม่ต้องการบน Web/Email
  • บล็อกการดาวน์โหลดไฟล์จาก Unknown URL ทั้งหมด
  • เปิดใช้ SSL Decryption เนื่องจาก Ransomware อาจแฝงมาทางช่องทางที่เข้ารหัสข้อมูลเช่นกัน

Technology สำหรับ Endpoint

  • เปิดการใช้งาน Exploit Protection บนคอมพิวเตอร์และเซิร์ฟเวอร์ที่สำคัญของหน่วยงาน (Palo Alto Networks Traps)
  • ห้ามรันไฟล์ที่ไม่รู้จักโดยเด็ดขาด ในกรณีที่มีโซลูชัน Sandboxing ให้รอจนกว่าจะมั่นใจว่าผลลัพธ์ของการทดสอบเป็นไปในทางที่ดี
  • ห้ามไฟล์ .exe รันบนโพลเดอร์ที่มีความเสี่ยง เช่น ไดเร็คทอรี่ tmp

นอกจากนี้ ควรถือโอกาสที่ Ransomware กำลังถาโถมไปยังทั่วโลก ในการตรวจสอบกรอบการทำงานต่างๆ ของหน่วยงานที่ใช้อยู่ เช่น ISO-2700-Series หรือ NIST Cyber Security Framework เป็นต้น

รายละเอียดเพิ่มเติม: http://researchcenter.paloaltonetworks.com/2016/05/best-practices-preventing-ransomware-in-government-networks/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

การเลือกใช้สาย LAN แบบ 28 AWG Patch Cord จะช่วยตอบโจทย์กลยุทธ์ของระบบ IT ในระยะยาวได้อย่างไร?

ท่ามกลางโลกของเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็วจนทำให้กลยุทธ์ของทุกองค์กรต้องกลายเป็นการปรับตัวรับความเปลี่ยนแปลงที่จะเกิดขึ้นให้ได้อยู่ตลอดนั้น ระบบ IT Infrastructure ที่ยืดหยุ่นจึงกลายเป็นปัจจัยสำคัญของธุรกิจที่จะทำให้เกิดความคุ้มค่าในระยะยาวและสามารถเปิดรับต่อเทคโนโลยีใหม่ๆ ได้อย่างต่อเนื่อง และแน่นอนว่าสาย LAN เองก็ถือเป็นหนึ่งใน IT Infrastructure ที่มีความสำคัญไม่แพ้เทคโนโลยีอื่นๆ ในบทความนี้เราจึงขอแนะนำสาย LAN ขนาด 28 AWG ที่จะมาช่วยเพิ่มความยืดหยุ่นให้กับระบบเครือข่าย และโซลูชันจาก Panduit ที่จะมาช่วยตอบโจทย์การเดินสายที่มีคุณภาพให้ทุกท่านได้รู้จักกันครับ

[Guest Post] เปิดตัว Lenovo ThinkStation P620: เวิร์คสเตชั่น AMD Ryzen™ Threadripper™ PRO ตัวแรกของโลก

กรุงเทพฯ, ประเทศไทย – 15 กรกฎาคม 2563 – เลอโนโว (HKSE: 992) (ADR: LNVGY) บริษัทผู้นำด้านคอมพิวเตอร์และสมาร์ทดีไวซ์ระดับโลก เปิดตัว Lenovo …