[Guest Post] ป้องกัน Ransomware ก่อนการโจมตี

ปัจจุบันเราสามารป้องกัน Ransomware หรือภัยคุกคามได้แบบ Pre – Execution Prevention โดยอาศัยเทคโนโลยี Deep Learning  ด้วยผลิตภัณฑ์ Deep Instinct จะเน้นไปที่การใช้งานระบบที่สามารถแยกแยะภัยคุกคามได้อย่างรวดเร็ว และไม่จำเป็นต้องให้ภัยคุกคามถูก Execute ได้สำเร็จ

ในปัจจุบัน การป้องกัน Ransomware ด้วยการเสริมการใช้งานของ EDR นั้น เป็นการทำงานในรูปแบบ Detection and Response ซึ่งจำเป็นต้องให้มัลแวร์ที่เข้ามาโจมตี ได้เริ่มออกคำสั่งไปก่อน แล้วค่อยตามไปดูความผิดปกติ หรือพฤติกรรมที่ไม่เป็นที่ประสงค์ การทำงานแบบนี้ เรียกว่า Post-Execution Prevention และสร้างความเสี่ยงให้กับระบบได้ จากที่เห็นมาใน Ransomware campaign หลาย ๆ ครั้ง

User จะต้องทำการคลิก หรือรอให้มัลแวร์ execution (วางชุดคำสั่ง) มัลแวร์ สามารถสร้างความเสียหายได้ ภายในเวลาเพีบง 0.016 วินาที

ซึ่งความสามารถของ EDR ในการจัดการกับ Ransomware ส่วนใหญ่จะมีขั้นตอนดังนี้

  • แยกแยะเหตุการณ์ภัยคุกคาม (identify the threats)
  • ติดตาม และบันทึกข้อมูลจากภัยคุกคาม (Track and record the threats)
  • กักกันชุดคำสั่งการทำงาน หรือไฟล์ที่เป็นภัยคุกคามได้บางส่วน (quarantine and contain some threats)
  • กำจัดภัยคุกคามบางส่วน (remove some of the identified threats)
  • Isolate เครื่องที่มีปัญหาออกจาก network
  • ติดตาม และบันทึกข้อมูลของเครื่องที่มีปัญหา
  • ตรวจสอบ และทบทวนเหตุการณ์ timeline ช่วงที่เกิดเหตุการณ์
  • รวบรวมข้อมูลที่เกี่ยวกับภัยคุกคาม

การทำงานในขั้นตอนเหล่านี้ มีตัวแปรที่สำคัญมาก นั้นคือ Dwell Time  ในขณะที่การทำงานแต่ละขั้นตอนของ EDR นั้น เป็นประโยชน์สูง แต่การใช้เวลา หรือการมี Dwell Time สูง ย่อมทำให้มีความเสี่ยงสูงที่จะถูกคุกคามได้โดยมัลแวร์ หรือ Ransomware เหล่านี้

การทำงานของระบบ Deep Instinct จะเน้นไปที่การใช้งานระบบที่สามารถแยกแยะภัยคุกคามได้อย่างรวดเร็ว และไม่จำเป็นต้องให้ภัยคุกคามถูก Execute ได้สำเร็จ สามารถหยุดได้แบบ Pre-Execution Prevention ได้ โดยอาศัยเทคโนโลยีใหม่ล่าสุดที่ชื่อว่า Deep Learning

โดยเทคโนโลยี Deep Learning ของ Deep Instinct ใช้อัลกอรึทึมในการเรียนรู้ข้อมูลจากประเภทของมัลแวร์ที่มีอยู่ทั่วโลก โดยใช้ Raw Data 100% ไม่ต้องทำ feature extraction และเทคโนโลยีนี้สามารถต่อจัดการกับ Unknow Malware ได้แม่นยำถึง 99% และมีอัตราการเกิด False Positive ที่ต่ำมาก ๆ

หากเทียบในมุม Offline Security ในกรณีที่มีขโมยขึ้นบ้าน การป้องกันทรัพย์สินภายในบ้านเป็นเรื่องสำคัญ การป้องกันแบบ Pre-Execution Prevention คือการที่เราป้องกันได้ตั้งแต่ขั้นตอนที่ขโมยเริ่มจะปีนบ้าน เขาไม่สามารถเห็น หรือก่อความเสียหายได้

การป้องกันแบบ Post-Execution Prevention คือการป้องกันหลังจากที่ขโมยได้ปีนกำแพงบ้านเราแล้ว เขาได้เห็นทรัพย์สินในบ้าน เดินไปมา สร้างความเสียหายบางส่วนแล้ว และระหว่างที่ได้ทำความเสียหาย บังเอิญไป trigger sensor บางอย่างทำให้เราสามารถจับเขาได้

ในทั้ง 2 กรณี เราจับได้ในที่สุด แต่แบบ Pre-Execution Prevention ปลอดภัย และป้องกันความเสียหายได้ตั้งแต่ต้นเหตุ

นอกจากความสามารถในการป้องกันมัลแวร์ที่เป็น Unknown ที่มาจากภัยที่ฝังมากับ file หรือเป็นในรูปแบบ file-less attack หลากรูปแบบเช่น

  • Memory based attacks
  • PowerShell Scripting language Remote logins
  • Macro-based Attacks และ ฯลฯ

Deep Instinct ยังสามารถแสดงให้เห็นถึงความสามารถที่เหนือกว่า ด้วยมาตรการป้องกันที่ไว้ใจได้ ไม่ว่า ransomware campaign จะมีความแยบยลและซับซ้อนมาก Deep Instinct ก็ยังสามารถตรวจจับ ป้องกัน และตอบสนองกับทุกขั้นตอนได้

Deep Instinct ถูกออกแบบมาให้สามารถใช้งานร่วมกับระบบอื่น ๆ ได้เป็นอย่างดี และไม่สร้างอุปสรรคการทำงานให้กับระบบ หรือผู้ใช้งาน

การใช้งานร่วม ขึ้นอยู่กับความต้องการขององค์กรที่ใช้งาน องค์กรที่เน้นในเรื่องของความเสถียรภาพ และต้องการลดทรัพยากรในการบริหารจัดการเครื่อง endpoint (Laptop, PC, Servers) ต่าง ๆ สามารถใช้งาน Deep Instinct ตอบโจทย์ได้ในทันที สำหรับบางองค์กรที่ต้องการใช้ทำ investigation เชิงลึก และมีความเชี่ยวชาญ และ resource เพียงพอ ก็สามารถเสริมความปลอดภัยด้วย Deep Instinct ที่เน้นป้องกัน และใช้ EDR หรือ Forensics Tool อื่น ๆ ไปด้วยกันได้และ Deep Instinct ก็ยังสามารถทำงานร่วมกับระบบ Endpoint ที่ท่านใช้งานอยู่ได้ Deep Instinct มีการใช้งานที่ใช้ resource น้อยเป็นอันดับต้น ๆ ของอุตสาหกรรม Endpoint กับ Agent ที่ Footprint เล็กมาก ๆ ด้วยการใช้งานน้อยกว่า 2% CPU โดยเฉลี่ย

สอบถามข้อมูลเพิ่มเติม : บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด

โทร : 02-311-6881 #7156, 7158

Email : cu_mkt@cu.co.th

Website : www.cu.co.th/distributor

Youtube : Computer Union CU


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Distributed Services Switch คืออะไร? Data Center Switch จะเปลี่ยนไปอย่างไรจากการมาของ Data Processing Unit (DPU)?

การมาของ Data Center Switch ชนิดใหม่ที่มีชื่อเรียกว่า Distributed Services Switch นี้เรียกได้ว่ามีโอกาสที่จะเข้ามาพลิกโฉมการออกแบบ Data Center Networking ทั้งภายในองค์กรและภายในบริการ Cloud ไปอย่างสิ้นเชิงในอนาคต จากการนำ Data Processing Unit หรือ DPU มาใช้สร้างความเป็นไปได้ในแนวทางใหม่ๆ และการแก้ไขปัญหาคอขวดภายในระบบเครือข่ายที่น่าสนใจ ในบทความนี้ทีมงาน TechTalkThai จะพาทุกท่านไปรู้จักกับแนวคิดของ Distributed Services Switch กันเพื่อให้เห็นภาพทั้งในเชิงเทคโนโลยี, การออกแบบ และการประยุกต์ใช้งาน เพื่อให้เป็นประโยชน์กับเหล่า Network Engineer ทั่วไทยกันครับ

[Video Webinar] อันตรายที่ซ่อนอยู่จากการเปลี่ยนแปลงของโลกดิจิทัล

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย BSS Webinar เรื่อง “อันตรายที่ซ่อนอยู่จากการเปลี่ยนแปลงของโลกดิจิทัล” พร้อมแนะนำเทคนิคและเครื่องมือเพื่อสร้าง Cyber Resilience ให้ธุรกิจ ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ