CDIC 2023

จัดการสแปมอีเมลที่คุกคามองค์กรด้วย Spam Experts โดย Ready IDC

อีเมลคือช่องทางการติดต่อของธุรกิจที่ทุกองค์กรต้องมี ขณะเดียวกันหลายปีที่ผ่านมาการโจมตีผ่านช่องทางอีเมลก็ยังเพิ่มขึ้นเรื่อยๆ และมีโน้มโน้มว่าจะไม่ลดลงง่ายๆ เพราะคนร้ายนั้นทราบดีว่าช่องทางธรรมดาๆนี้หวังผลได้จริง พิสูจน์ได้จากเหตุการณ์โจมตีมากมายที่เริ่มต้นจากเพียงแค่ความผิดพลาดเล็กๆของเหยื่อ

ด้วยเหตุนี้เองการมีโซลูชันที่ถูกออกแบบมาเฉพาะ สำหรับทำหน้าที่ปกป้องภัยจากช่องทางอีเมลจึงถือเป็นเรื่องจำเป็น เพราะไม่ว่าท่านจะมีการป้องกันที่ดีอย่างไร สุดท้ายแล้วด้วยรอยร้าวเพียงจุดเดียวก็อาจนำไปสู่ความหายนะทั้งในด้านชื่อเสียงและเงินทองอย่างคาดคิดไม่ถึง วันนี้เราจะขอพาทุกท่านไปรู้จักกับ Spam Experts โซลูชันป้องกันอีเมลใหม่จาก Ready IDC ที่เปิดให้บริการแล้ว

สแปมคืออะไร?

สแปมคือการสื่อสารไม่พึงประสงค์ที่ถูกส่งออกมาจำนวนมาก โดยอาจเกิดขึ้นได้หลายช่องทางเช่น ข้อความโทรศัพท์ บริการโทรศัพท์ โซเชียลมีเดีย และที่ส่งผลร้ายต่อธุรกิจอย่างต่อเนื่องมายาวนานมากก็คืออีเมลนั่นเอง แต่สุดท้ายแล้วจุดประสงค์ของคนร้ายก็เพื่อ การโฆษณาสินค้า หรืออาจเป็นการรับมัลแวร์เข้ามา ซึ่งกลเม็ดของเนื้อหาสามารถแยกย่อยไปตามพฤติกรรมการโจมตีได้อีกเช่น หลอกลวงขโมยข้อมูลสำคัญ ปลอมตัวเป็นผู้อื่นเพื่อหวังผลทางการเงิน หรืออื่นๆ

ฟังดูเผินๆอีเมลสแปมอาจดูเหมือป้องกันได้ แต่ขอเพียงมีเหยื่อแค่ 1 ในล้านหลงเชื่อหรือเหยื่อประมาทเพียงเล็กน้อย ก็ถือว่าประสบความสำเร็จแล้ว เพราะต้นทุนของการปฏิบัติงานต่ำมาก นอกจากนี้คนร้ายยังมักใช้เครือข่ายของ Botnet จำนวนมากเพื่อช่วยอำพรางต้นทางของตนทำให้ตามจับได้ยาก ในฝั่งขอองค์กรเองอีเมลก็ไม่สามารถถูกปิดกั้นได้เพราะต้องใช้ติดต่อธุรกิจ ดังนั้นทางเลือกเดียวคือหาวิธีการหรือโซลูชันที่มีประสิทธิภาพเข้ามาช่วยป้องกันเท่านั้น

การป้องกันในทางทฤษฏี

หลักการในการป้องกันสแปมมีดังนี้

  • Whitelist – ทำลิสต์รายชื่อผู้ติดต่อที่ตรวจสอบแล้วว่าเป็นมนุษย์ หรือผู้เกี่ยวข้องจริง อย่างไรก็ดีวิธีการตรวจสอบก็อาจจะกินประสิทธิภาพและไม่ได้ผล 100% เช่น การใช้บอทเพื่อพิสูจน์ความเป็นมนุษย์อาจจะถูกบล็อกจากระบบได้
  • Blacklist – หมายหัวผู้ที่มั่นใจแล้วว่าเป็นคนร้ายไว้ในลิสต์ไม่ควรสื่อสารกับอีเมลขององค์กรได้ อย่างไรก็ดีฐานข้อมูลนี้อาจมีขนาดใหญ่เกินไป รวมถึงปัญหาของ False Positive ที่เข้าใจผิดคิดว่าคนดีเป็นคนร้าย
  • Machine Learning/AI – ในระบบสมัยใหม่จะมีการเรียนรู้รูปแบบของอีเมลไม่พึงประสงค์จากคุณสมบัติต่างๆ อาจจะเป็นรูปแบบของการจัดทำคะแนนเพื่ออ้างอิงความปกติ

ในฐานะของผู้ใช้งานอีเมล ผู้อ่านอีเมลสามารถวิเคราะห์ความผิดปกติของอีเมลจากคุณสมบัติดังนี้

1.) โดเมนของที่อยู่อีเมลตรงกับเนื้อหาที่มาจากบริษัทหรือไม่ เช่น พูดคุยทางธุรกิจแต่ใช้โดเมนแปลกๆ เช่น xxx@1234.com
2.) ความถูกต้องของข้อมูล เช่น เนื้อหาอ้างตัวเป็นบริการที่เราใช้บริการแต่กลับรู้ข้อมูลเราแค่บางส่วน
3.) เนื้อหาอีเมลมีลิงก์ให้คลิกเพื่อทำบางอย่าง ทางที่ดีควรเช็คกับผู้ส่งตัวจริงก่อนว่าอีเมลถูกต้องหรือไม่
4.) ลักษณะภาษาดูไม่เป็นทางการ เขียนผิดๆถูกๆ
5.) เนื้อหานำเสนอบางอย่างที่ดูดีเกินจริง
6.) มีไฟล์แนบร่วมมาด้วย ซึ่งควรจะตรวจสอบให้ถี่ถ้วนก่อนจะเปิดเอกสารเหล่านี้

ทั้งหมดนี้คือสิ่งที่ต้องบูรณาการระหว่างโซลูชันและผู้ปฏิบัติงาน อย่างไรก็ดีเครื่องมือป้องกันการโจมตีทางอีเมลที่ออกแบบมาโดยเฉพาะ ควรสามารถช่วยผู้ดูแลระบบขององค์กรลดทอนการโจมตีจากช่องทางนี้ได้อย่างมีนัยสำคัญ หลงเหลือภัยคุกคามน้อยที่สุด วิธีการใช้งานเครื่องมือต้องใช้ได้ง่าย รวมถึงรองรับการโจมตีในปริมาณมหาศาลได้ ด้วยเหตุนี้เอง Spam Experts จาก Ready IDC จึงเป็นตัวเลือกที่เหมาะกับการป้องกันอีเมลให้องค์กรของทุกท่าน

Spam Experts คือใคร?

Spam Experts โซลูชันจาก n-able ที่ถูกเข้าซื้อกิจการโดย SolarWinds ผู้ให้บริการเครื่องมือ Monitoring ระดับโลกในปี 2017 โดยทาง Ready IDC ได้นำโซลูชันเข้ามา Implement ในคลาวด์ของตนเองเพื่อนำเสนอแก่ลูกค้าในประเทศไทยซึ่งมีประโยชน์หลายประการ ประการแรกแต่เดิมโซลูชันการป้องกันอีเมลส่วนใหญ่จะต้องมีการส่งออกอีเมลไปยังต่างประเทศ แต่การทำเช่นนี้จะช่วยลดระยะทางของอีเมลได้อย่างมีนัยะสำคัญ พร้อมกับลดค่าใช้จ่ายท่อเครือข่ายออกต่างประเทศ

ประการที่สอง ด้วยความที่เป็นคลาวด์ทำให้ศักยภาพในการรองรับปริมาณของอีเมลจึงพร้อมกับการโจมตีประเภท DDoS Attack ที่อาจจะเกิดขึ้น ประการที่สาม การใช้โซลูชันป้องกันขวางกั้นระหว่างโลกภายนอกกับอีเมลเซิร์ฟเวอร์ยังช่วยลดการเปิดเผยเซิร์ฟเวอร์ต่อการโจมตีลงได้ และประการสุดท้ายวิธีเริ่มต้นใช้งานนั้นก็ง่ายดาย เพียงแค่ลูกค้าเปลี่ยน MX Record ของตนให้ชี้มายังบริการ Spam Experts เท่านั้น

ความสามารถของ Spam Experts

ในหัวข้อนี้ทีมงาน TechTalkThai จะขอพาทุกท่านไปรู้จักความสามารถของ Spam Experts กันว่า ฟีเจอร์ต่างๆจะตอบโจทย์การป้องกันอีเมลของท่านได้อย่างไร

1.) เริ่มต้นไว ใช้งานง่าย ทำงานได้ทันที

ความง่ายและฉับไวคือหัวใจสำคัญของทุกเครื่องมือ โดยเพียงแค่ท่านเปลี่ยน MX Record ขององค์กรให้ชี้ไปยัง Spam Experts ก็สามารถเริ่มต้นใช้งานได้ทันที เมื่อเข้ามาดูโฉมหน้าเริ่มต้นจะเป็นไปดังภาพด้านล่าง

เมนูในหน้า Dashboard นี่จะครอบคลุมถึงฟังก์ชันหลักๆ ที่จำเป็น โดยการทำงานจะแบ่งแยกเป็น 2 ฝั่งขึ้น ฝั่งขาเข้าอีเมล (Incoming) และ ฝั่งขาออกอีเมล (Outgoing) ซึ่งความสำคัญก็คือฝั่งขาเข้านั้นจะป้องกันผู้รุกรานภายนอกกับผู้ใช้งานภายในองค์กร ไอเดียก็คือต้องช่วยลดทอนความเสี่ยงให้ได้มากที่สุด ฝั่งขาออกเป็นการช่วยป้องกันไม่ให้ชื่อเสียงหรือโดเมนขององค์กรถูก Blacklist จากคู่ค้า เช่น องค์กรมีคนติดมัลแวร์และพยายามส่งอีเมลอันตรายออกไป ก็ควรจะต้องป้องกันได้ เพราะหากติด Blacklist แล้วอีเมลจากองค์กรของเราอาจโดนบล็อกและไม่สามารถนำส่งสารทางธุรกิจกับปลายทาง

ในแต่ละกรอบจะมีการจัดกลุ่มให้อย่างชัดเจน เช่น Incoming หรือ Outgoing จะเกี่ยวข้องกับกิจกรรมปกติ, Log, ส่วนจัดการผู้ใช้, ส่วนจัดการอีเมลที่ถูกกักกัน แต่หากจะพูดถึงเรื่อง Policy และ Security จะตกอยู่ในกลุ่มของ Protection Settings นอกจากนี้ยังมีกิจกรรมรายงาน การซิงค์โครไนซ์ผู้ใช้และเซิร์ฟเวอร์อีเมล หรือหากเกิดปัญหากับเซิร์ฟเวอร์อีเมลคงค้างจะและการแก้ปัญหาที่ตามมาจะตกอยู่ในช่องของ Continuity เป็นต้น เรียกได้ว่าหากองค์กรได้เครื่องมือที่หน้าตา UI ดีงานของแอดมินก็ง่ายไปกว่าครึ่งแล้วครับ

2.) ผสานการทำงานแบบ Manual และ Machine Learning ไว้ด้วยกัน

Spam Experts คือผู้เชี่ยวชาญด้าน Email Security มากอย่างยาวนาน เช่นเดียวกันกับเครื่องมือด้าน Security ที่จะต้องมีความแข็งแกร่งจากประสบการณ์ ซึ่งในยุคสมัยนี้การใช้งาน Machine Learning เข้ามาช่วยตรวจจับเนื้อหาอีเมลหรือคุณสมบัติต่างๆ จะช่วยคัดกรองความเสี่ยงออกไปได้อย่างมีนัยสำคัญ ในส่วนของ Classification ผู้ใช้งานจะสามารถเรียกดู Tag ของการ Classification ในเครื่องมือได้ ดังภาพตัวอย่างด้านล่าง

ทั้งนี้การทำงานของ Machine Learning เปรียบเสมือนกับฐานข้อมูลกลางที่ทั่วโลกมีร่วมกัน แต่การปรับจูนให้เครื่องมือนั้นสามารถทำงานได้ดีเหมาะกับสถานการณ์ขององค์กรอย่างแท้จริง ก็คือความรู้จากผู้ดูแลระบบเอง ที่สามารถยกเว้นหรือเพิ่มการปิดกั้นอีเมลในส่วนของ Protection Settings ได้ เพื่อประสานการทำงานทั้ง AI และการทำงานแบบ Manual เสริมกัน

3.) ครบเครื่องเรื่องการป้องกัน

ฟีเจอร์พื้นฐานของการบล็อกอีเมลอันตรายก็คือตัวบุคคลหรือโดเมน ซึ่งในส่วนของการป้องกันขาเข้า Spam Experts มีทางเลือกให้ทั้ง ผู้ส่งอีเมล(Sender) ผู้รับอีเมลภายในองค์กร (Recipient) ทั้งในรูปแบบของอนุญาต (Allow) และไม่อนุญาต (Block) โดยผู้ใช้งานสามารถนำออก นำเข้ารายการผ่าน .CSV หรือจะเพิ่มข้อมูลด้วยตัวเองก็ได้ โดยในกรณีที่มีรายการจำนวนมากเครื่องมือ Query Rules คือสิ่งที่จะช่วยค้นหา Rule ที่ต้องการออกมาแสดง ขณะที่ฝั่งขาออกจะบล็อกผู้ส่งได้เท่านั้น นอกจากนี้แอดมินยังสามารถสร้าง Template รายการผู้รับส่งอีเมลเป็น Baseline เพื่อบังคับใช้ทั่วทั้งองค์กรได้ที่ Tab > Recommended

ในกรณีของการที่ต้องการใช้ค่าบล็อกหรือนุญาตนอกเหนือกว่าแค่ผู้รับผู้ส่ง หากเรามีความรู้เกี่ยวกับเนื้อหาในแคมเปญของสแปมหรือรายละเอียดต่างๆ เครื่องมือที่ดีต้องสามารถเปิดโอกาศให้ผู้ใช้งานปรับแต่งได้ ซึ่ง Spam Experts มีเครื่องมือ Filtering ที่ผู้ใช้งานสามารถเพิ่ม Rule แบบพื้นฐานหรือกรณีที่แอดมินมีความเชี่ยวชาญพิเศษ โปรแกรมยังมีโหมด Advance เพื่อสร้างการคัดกรองด้วย Regular Expression กับคุณสมบัติต่างๆ โดยผู้ใช้งานสามารถเข้าไปเลือกเปิดได้จาก User Profile เช่นกันผู้ใช้งานยังสามารถบริหารจัดการเลเวลของ Rule เพื่อบังคับใช้ได้ตามความเหมาะสมตาม Domain, Admin, Default และ Global

ไฟล์ต้องสงสัยเป็นสิ่งที่มองข้ามไม่ได้เสมอ ด้วยเหตุนี้เองการจำกัดไฟล์ที่แนบเข้ามาจึงเป็นสิ่งสำคัญ เพื่อช่วยป้องกันความเสี่ยงจากไฟล์มัลแวร์ต่างๆ โดย Spam Experts ได้ให้ความสามารถเกี่ยวกับไฟล์แนบมากมายทั้งเรื่องบล็อกไฟล์ (ตามภาพประกอบ) หรือจะเพิ่มนามสกุลของไฟล์เองก็ได้ รวมถึงยังสามารถสร้างลิสต์ของไฟล์ที่อนุญาตใช้งานภายในได้ด้วย โดยการบล็อกสามารถเลือกได้ตั้งแต่บล็อกไฟล์ที่มีรหัสผ่าน Macro หรือ Executable และการตั้งค่าขนาดไฟล์แนบสูงสุด เป็นต้น

4.) เครื่องมือสำหรับแก้ปัญหา กรณีเซิร์ฟเวอร์เกิดความผิดพลาด

กรณีที่ข้อความไม่สามารถส่งถึงผู้รับได้ เพราะปัญหาเซิร์ฟเวอร์ไม่พร้อมหรือผิดพลาด ตามข้อกำหนดของ SMTP RFC 5321 ระบุว่าเซิร์ฟเวอร์ผู้ส่งจะต้องทำการจัดคิวข้อความที่ไม่สามารถส่งถึงในกรณีที่เกิดความล้มเหลวชั่วคราว ซึ่ง Spam Experts ได้มีฟีเจอร์ดังกล่าวเอาไว้แล้ว เพื่อให้ผู้ดูแลสามารถบริหารจัดการอีเมลคงค้างได้พร้อมสำหรับการกลับมาของปลายทาง

นอกจากนี้ยังมีเครื่องมือสำหรับช่วย Troubleshooting และ สามารถสร้างอีเมลเพื่อส่งไปแจ้งปัญหาได้ด้วยฟีเจอร์ Compose Email

5.) การจัดทำรายงาน

ผู้ใช้งานสามารถดูสถิติการของอีเมลที่เข้ามาใน inbox ขององค์กรได้ โดยสามารถคัดกรองช่วงวันเวลาที่ต้องการแสดง ที่จะได้เป็นข้อมูลสรุปตามภาพประกอบ

6.) การบริการจัดการ Log

หนึ่งในเรื่องที่ขาดไม่ได้สำหรับเครื่องมือต่างๆ ก็คือการเก็บ Log ซึ่งผู้ดูแลมักจะใช้เพื่อการตรวจสอบปัญหาหรือทบทวนประสิทธิภาพการทำงานของระบบ นอกจากนั้น Spam Experts ยังได้เปิดช่องทางให้สามารถนำออก Log ในรูปแบบของ .CSV ได้อีกด้วย 

ในกรณีที่เกิด False Positive สำหรับอีเมลต้องสงสัยที่ถูกกักกันเอาไว้ ผู้ดูแลสามารถใช้ส่วนของ Quarantine Log เข้ามาแก้ไขต่างๆได้เช่น ดูเนื้อความว่าทำไมถึงถูกบล็อก จากนั้นก็พิจารณาปลดปล่อย ลบ บล็อกผู้ส่งหรือผู้รับ และกิจกรรมอื่นๆตามสมควรได้ 

7.) ซิงค์โครไนซ์ข้อมูลผู้ใช้ได้ทันที

เพื่อความสะดวกสบายในการบริหารจัดการ ซึ่งองค์กรส่วนใหญ่มักจะมี Authentication Server ของตัวเองอยู่แล้ว โดย Spam Experts ก็มีช่องทางให้องค์กรสามารถนำ LDAP Server ต่อเข้ามายังโปรแกรมได้เลย เพื่อให้ระบบได้รู้จักกับผู้ใช้ในองค์กร นำไปใช้ในการบริหารจัดการอีเมล หรือการเข้าใช้งานเครื่องมือของแอดมินในระดับที่แตกต่างกัน

จะเห็นได้ว่า Spam Experts ได้ให้ความสามาถในการป้องกันอีเมลระดับองค์กรมาอย่างครบครัน ไม่ว่าจะเป็นความสามารถทั้ง Blacklist, Whitelist, AI, Log, รายงาน ความสามารถในจัดการได้อย่างยืดหยุ่น ทั้งเครื่องมือที่ให้เลเวลของการทำ Policy, Advance Filtering นอกจากนี้ยังมีความสามารถในรายละเอียดอีกมากมายที่เราไม่สามารถครอบคลุมได้ทั้งหมดเช่น การป้องกันการสวมรอยอีเมลขององค์กร (BEC) ด้วย SPF และ DKIM ไปจนถึงเรื่องของ API ต่างๆ 

ท่านใดสนใจเริ่มต้นกับ Spam Experts สามารถศึกษารายละเอียดเพิ่มเติมได้ที่ https://www.readyidc.com/ หรือติดต่อทีมงานขายและดูแลของบริษัทได้ที่ https://www.facebook.com/ReadyIdc หรือ Line : https://page.line.me/?accountId=readyidc

ข้อมูลประกอบเนื้อหา :

  1. https://www.n-able.com/blog/security-why-does-a-business-need-a-third-party-email-security-offering
  2.  https://www.malwarebytes.com/spam
  3. https://www.professormesser.com/security-plus/sy0-401/spam-2/
  4. https://www.spamexperts.com/spam-detection
  5. https://documentation.n-able.com/spamexperts/userguide/
  6. https://gomainspring.com/business-strategy/6-reasons-you-should-consider-an-additional-spam-filter-for-your-email/
  7. https://practical365.com/how-to-ensure-your-third-party-filtering-gateway-is-secure/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ยกระดับบริการขององค์กรอย่างมั่นใจด้วย HPE Aruba Networking SASE โดย ยิบอินซอย

HPE Aruba Networking นำเสนอ Unified SASE ที่รวมเอาความสามารถของเทคโนโลยี SD-WAN และ SSE เข้าไว้ด้วยกัน เพื่อความง่ายดายในการบริหารจัดการ SD-WAN, Routing, WAN Optimization ตลอดจนการบังคับใช้นโยบายความปลอดภัยได้แบบ end-to-end เพื่อให้การทำงานของแอปพลิเคชันมีประสิทธิภาพสูงขึ้น มั่นคงปลอดภัย ลดต้นทุน และพร้อมให้บริการเสมอ

Microsoft แพตช์แก้ไขช่องโหว่เร่งด่วน 2 รายการให้ Edge, Teams และ Skype

Microsoft ได้แก้ไขช่องโหว่ Heap Buffer Overflow 2 รายการอย่างเร่งด่วนในไลบรารีที่ผลิตภัณฑ์ของตนเกี่ยวข้อง ทั้งนี้มีรายงานพบว่าช่องโหว่ได้ถูกนำไปใช้โจมตีจริงแล้ว