[BHAsia 2021] แนวทางการรับมือกับแรนซัมแวร์สำหรับองค์กรในปัจจุบัน

แรนซัมแวร์เป็นภัยคุกคามร้ายแรงสำหรับองค์กรมาหลายปีแล้ว แต่ดูเหมือนว่าคนร้ายก็ยังหาวิธีการใหม่ๆ มาเล่นงานองค์กรอยู่เสมอ ที่งาน Black Hat Asia 2021 มีหัวข้อหนึ่งที่เชิญผู้เชี่ยวชาญมานั่งคุยกันว่า ปัจจุบันนี้แรนซัมแวร์มีพัฒนาการมาแล้วอย่างไรและจะเป็นอย่างไรต่อไปอนาคตอันใกล้ ทั้งนี้ยังได้แนะแนวเกี่ยวกับการรับมือกับแรนซัมแวร์สำหรับองค์กรในปัจจุบัน

พัฒนาการของแรนซัมแวร์จากปี 2020 สู่ปี 2021

ผู้เชี่ยวชาญทั้งสองท่านเห็นมีความเห็นตรงกันว่า โดยรวมแล้วกลุ่มคนร้ายแรนซัมแวร์ไม่ได้ปรับเปลี่ยนจุดประสงค์ที่มุ่งหวังเรื่องเงิน แต่มีแนวทางเจาะจงเหยื่อมากขึ้น เช่นกลุ่ม Healthcare โรงเรียน หรือ ระบบสาธารณะ รวมถึงมีการข่มขู่ว่าจะปล่อยข้อมูลสำคัญควบคู่กัน อย่างไรก็ดีแนวคิดทั้งสองเราก็เห็นกันมาระยะหนึ่งแล้ว

ในส่วนของเชิงเทคนิคคนร้ายได้พัฒนาเทคนิคที่ซัมซ้อนขึ้นมากกว่าเดิม เพื่อหลีกเลี่ยงการตรวจจับของโซลูชันป้องกันขององค์กรและต่อต้านการเก็บหลักฐานของฝั่งป้องกัน โดยมีการยกตัวอย่างถึงแรนซัมแวร์อันโด่งดังอย่างยุคของ WannaCry ที่เข้าเล่นงานเหยื่อด้วยช่องโหว่ SMB แต่ปัจจุบันผู้เชี่ยวชาญพบแรนซัมแวร์มีเทคนิคที่ซับซ้อนขึ้นในการโจมตี

จ่ายหรือไม่จ่าย?

แม้ว่าผู้เชี่ยวชาญมากมาย หรือหน่วยงานด้านความมั่นคงต่างชูแนวคิดที่รณรงค์ไม่ให้องค์กรจ่ายเงินให้คนร้าย แต่จากวิทยากรทั้งสองท่านในวันนี้ มีไอเดียปลายเปิดว่าแล้วแต่นโยบายของทางบริษัท โดยฝั่งของคุณ Daniel Wood แนะนำให้พิจารณากันภายในแต่สิ่งที่ต้องทำคือ ผู้บริหารระดับสูง และทีมกฏหมายต้องมาพูดคุยกัน รวมถึงประเมินและยอมรับความเสี่ยงที่อาจเกิดขึ้น แต่เขาเองก็ไม่ได้สนับสนุนทางเลือกนี้ กลับกันหากไม่อยากจ่ายต้องคิดถึงการติดต่อผู้มีอำนาจที่เกี่ยวข้องเอาไว้

ในฝั่งของ Gal Shpantzer เผยว่าเขานั้นไม่ห้ามที่บริษัทจะจ่ายเงิน เพราะสิ่งเหล่านั้นถูกกำหนดด้วยความเดือดร้อนของบริษัท เช่นในกรณีที่ความเสียหายถึงขั้นชีวิต หรือระบบที่มิอาจยอมรับได้ ซึ่งหากตัดสินใจที่ใช้ทางลัด (มีความเสี่ยง) มีสิ่งที่ต้องคำนึงถึงดังนี้

• จะหา Cryptocurrecy ในสกุลค่าไถ่นั้นมาจากไหน ต้องไปซื้อที่ใครมีขั้นตอนอย่างไร หรือต้องติดต่อเจ้าหน้าที่ทางกฏหมายไหม หรือใครที่มีถือเอาไว้ เพราะค่าไถ่มักจะถูกกำหนดเวลาไม่นาน
• หาวิธีการต่อรองเพื่ออาจจะยื้อเวลาเพื่อทำอะไรสักอย่างในการบรรเทาความเสียหาย หรือขอลดค่าไถ่ แต่ในมุมนี้บริษัทควรจะมีนักเจรจามืออาชีพเข้าช่วย ซึ่ง Gal เห็นว่าจริงๆแล้วก็อยู่ที่การพูดคุยต่อรองด้วย
• ขอหลักฐานเพื่อพิสูจน์ว่าคนร้ายมีสิ่งที่อ้างจริงๆ เช่น ขอกุญแจถอดรหัสเครื่องบางส่วน ซึ่งองค์กรอาจจะโชคดีพบว่าแรนซัมแวร์ตัวนั้นมีกลไกบกพร่องอยู่ก็เป็นได้

อย่างไรก็ดีทั้งสองได้ชี้ถึงความเสี่ยงที่แม้ว่าอาจจะจ่ายเงินไปแล้ว ก็ไม่มีอะไรรับประกันในสัญญานั้นว่าปัญหาจะได้รับการแก้ไข มิหนำซ้ำคนร้ายอาจถือโอกาสเรียกค่าไถ่เพิ่ม

แนวทางการป้องกันที่แท้จริง

โดยสรุปแล้วแนวคิดในการป้องกันไม่ได้ต่างอะไรมากนักทั้งสองนั้นมุ่งเน้นย้ำไปถึงการป้องกันระดับพื้นฐานดังนี้

• ฝึกให้เจ้าหน้าที่ไอทีมีแนวทางปฏิบัติงานให้รัดกุมเช่น การไม่ใช้รหัสผ่านเดียวกันในทุกระบบซึ่งหากถูกขโมยได้แรนซัมแวร์ก็สามารถเข้าไปถึงทั้งองค์กร นั่นหมายถึงองค์กรต้องมีการทำ Segmentation ที่ดีประกอบกัน นอกจากนี้ยังรวมไปถึงการจัดทำระบบ Backup ให้กระจายอยู่หลายแห่งตาม Best Practice ด้วย
• จัดทำ Threat Model ให้องค์กรทราบถึงระบบของตัวเองว่าใช้งานระบบอะไรอยู่ ส่วนใดสำคัญมากน้อย และประเมินความเสี่ยงว่าแต่ละระบบมีความเสี่ยงอะไรบ้าง
• แรนซัมแวร์อาจบุกเข้ามาทาง Phishing ซึ่ง Email เป็นช่องทางที่สำคัญอย่างมาก ดังนั้นสำรวจดูให้ดีว่ามีโซลูชัน เทคนิค หรือกระบวนการใดในการป้องกันหรือยัง เช่น มีการตรวจสอบโดเมนผู้ส่งและ Filter โดเมนภายนอกออกโดยอัตโนมัติไหม มีการตรวจสอบมัลแวร์ในไฟล์ที่แนบของอีเมลก่อนผู้ส่งเปิดหรือยัง 
• ให้ความรู้กับพนักงานถึงการแยกแยะการโจมตี หรือรูปแบบของภัยคุกคามเบื้องต้น
• สร้างแผน Incident Respond และทดสอบแผนนั้นด้วยว่าหากเกิดเหตุขึ้นจริง ส่วนประสานงานต่อยังไง นโยบายที่วางไว้เป็นอย่างไร จะจ่ายเงินหรือไม่ รวมไปถึงควรมีแบบฟอร์ม PR เพื่อแจ้งต่อสาธารณะ โดยฟอร์มนั้นต้องพร้อมปรับแต่งและร่อนออกไปโดยเร็วเมื่อเกิดเหตุการณ์
• Transfer Risk ด้วยการทำประกันทางไซเบอร์ แต่องค์กรต้องมีมาตรการป้องกันเบื้องต้นเต็มที่ก่อนอย่างที่กล่าวมาข้างต้น รวมถึงศึกษาเงื่อนไขให้ดีว่าครอบคลุมถึงเรื่องแรนซัมแวร์ไหม ถึงแม้จะลดความเสี่ยงเรื่องเงิน แต่นั่นไม่ได้หมายความว่าจะกู้คืนความเสียหายของข้อมูลที่รั่วไหลหรือที่ติดอยู่ได้

สุดท้ายนี้ Daniel เชื่อว่าแรนซัมแวร์คือทางทำมาหากินของคนร้าย ถ้ายังได้เงินอยู่คนร้ายก็คอยที่จะหาแนวทางใหม่ๆ มาโจมตีองค์กรอยู่ดี ดังนั้นองค์กรต้องเตรียมการพื้นฐานให้ดีเสมอ ในขณะที่ Gal ได้ชี้ให้เห็นว่าปัจจุบันการทำงานของระบบไอทีเปลี่ยนไป เพราะแต่ละคนทำงานจากที่บ้านซึ่งเชื่อมต่อกับแอปบนคลาวด์ผ่าน API ดังนั้นเมื่อถูกแรนซัมแวร์โจมตี มีแนวโน้มว่าต่อไปความเสียหายอาจจะไม่มากเท่าเมื่อก่อนที่เชื่อมต่อกันในเครือข่ายใหญ่ รวมถึงบนคลาวด์เองก็มีแนวทางการสำรองข้อมูลที่ดี