TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
การอัพเดท Security Patch เป็นเรื่องที่ควรทำอย่างสม่ำเสมอ IT Admin ควรติดตามข่าวสารและตรวจสอบผลิตภัณฑ์ที่ตนใช้งานอยู่ว่ามี Patch ใหม่อัพเดทหรือไม่ ถ้ามี ควรรีบทำยื่นเรื่องเพื่อเข้ากระบวนการอัพเดท Patch โดยทันที เพื่อป้องกันไม่ให้แฮ็คเกอร์ใช้ช่องโหว่ที่เพิ่งค้นพบในการเจาะระบบเข้ามาได้
อย่างไรก็ตาม ในบางสถานการณ์ IT Admin ไม่สามารถอัพเดท Patch ที่เพิ่งออกมาใหม่ได้ทันที เนื่องจากอาจติดปัญหาเรื่องไม่สามารถหยุดการให้บริการของระบบแอพพลิเคชัน หรือจำเป็นต้องชัทดาวน์ระบบได้ รวมไปถึงถ้าเป็นองค์กรขนาดใหญ่ก็จำเป็นต้องยื่นเรื่องเพื่อเข้ากระบวนการอัพเดทในครั้งถัดไป ทำให้เกิดช่องว่างระหว่างเวลารอการอัพเดท ซึ่งเป็นช่วงเวลาที่เหล่าแฮ็คเกอร์รอคอยในการเจาะระบบเข้าไป
ซอฟต์แวร์ที่หมดอายุ ช่องโหว่ที่รอให้แฮ็คเกอร์โจมตี
ปัญหาที่ใหญ่ที่สุดสำหรับการอัพเดท Patch คือ ซอฟต์แวร์ที่หมดอายุการใช้งาน หรือ End-of-support ไปแล้ว เช่น Windows XP, Windows 8, Internet Explorer เวอร์ชัน 10 หรือต่ำกว่า และ Windows Server 2003 เป็นต้น ความเสี่ยงในการใช้งานซอฟต์แวร์เหล่านี้จะเพิ่มขึ้นแบบทวีคูณทันทีหลังจากที่ไม่สามารถอัพเดท Patch ได้ ไม่ใช่เพียงแค่ช่องโหว่ใหม่ๆ ที่อาจถูกค้นพบหลังจากนั้นเท่านั้น แฮ็คเกอร์ยังสามารถทำ Reverse Engineering บน Patch ที่ออกมาสำหรับซอฟต์แวร์เวอร์ชันใหม่ เพื่อดูว่าเวอร์ชันเก่ายังมีช่องโหว่อะไรหลงเหลืออยู่บ้าง แล้วอาศัยช่องโหว่เหล่านั้นในการเจาะระบบซอฟต์แวร์ที่หมดอายุไปแล้วได้ทันที
แล้วเราจะป้องกันซอฟต์แวร์ที่ไม่สามารถ Patch ได้อย่างไร
คำตอบคือ ในเมื่อ Patch ไม่ได้ ก็ทำให้การ Patch นั้นเป็นสิ่งไม่จำเป็นไปซะ
Palo Alto Trap ระบบ Endpoint Protection ระดับสูงสำหรับป้องกันซอฟต์แวร์ที่ Patch ไม่ได้
วิธีที่สามารถป้องกันซอฟต์แวร์ที่ (ยัง) Patch ไม่ได้นั้น สามารถทำได้โดยบล็อคการโจมตีที่พุ่งเป้ามายังช่องโหว่เหล่านั้นทั้งหมด ซึ่ง Palo Alto Trap ระบบ Advanced Endpoint Protection เข้ามาตอบโจทย์ตรงจุดนี้
ปกติแล้ว แฮ็คเกอร์จะโจมตีช่องโหว่ผ่านการส่ง Malicious Code แฝงเข้ามากับไฟล์ข้อมูลที่ดูไม่มีพิษมีภัยอะไร แต่เมื่อเหยื่อเปิดไฟล์ Malicious Code นั้นจะอาศัยช่องโหว่ในการรันตัวเอง ซึ่งส่วนใหญ่จะส่งผลให้แฮ็คเกอร์สามารถควบคุมอุปกรณ์เครื่องนั้นๆได้
บล็อกเทคนิคการโจมตี ไม่ใช่อ้างอิงจากรายการช่องโหว่ในฐานข้อมูล
จุดเด่นของ Trap คือ ความสามารถในการบล็อกเทคนิคที่เป็นหัวใจสำคัญของการโจมตีช่องโหว่ของแอพพลิเคชัน แทนที่จะใช้แต่การตรวจสอบรูปแบบตามฐานข้อมูลช่องโหว่เพียงอย่างเดียว เนื่องจากการโจมตีช่องโหว่ของแอพพลิเคชันแต่ละรูปแบบมักใช้เทคนิคและแนวคิดคล้ายๆกัน ดังนั้นถ้าบล็อกเทคนิคการโจมตีเหล่านั้นได้อย่างสมบูรณ์ แอพพลิเคชันก็จะไม่มีช่องโหว่อีกต่อไป ต่อให้จะไม่มีการอัพเดท Patch ใหม่ๆก็ตาม รวมไปถึงการโจมตีแบบ Zero-day ด้วยเช่นกัน
หลักการทำงานของ Palo Alto Trap
เมื่อแอพพลิเคชันเริ่มทำงาน Trap Agent จะฝังตัวเองเข้าไปกับ Application Process โดยที่ผู้ใช้ไม่รู้ตัว เมื่อไฟล์ข้อมูลของแฮ็คเกอร์ที่มี Malicious Code แฝงตัวอยู่ถูกเปิด และ Code เริ่มรันตัวเองเพื่อโจมตีแอพพลิคเชันผ่านช่องโหว่ Trap Protection Module จะทำการบล็อกเทคนิคการโจมตีนั้นๆ ทำให้การแฮ็คไร้ผลไป หลังจากนั้น Trap Agent จะจัดการทำลาย Process ทิ้งไป เก็บข้อมูลทั้งหมดสำหรับทำ Data Forensics และรายงานเหตุการณ์ที่เกิดขึ้นแก่ IT Admin
นอกจากนี้ Trap ยังอาศัยเทคนิคอื่นๆ ในการป้องกันการเจาะระบบของอุปกรณ์คอมพิวเตอร์ด้วยเช่นกัน ไม่ว่าจะเป็น Malware Prevention Capabilities, Threat Intelligence Sharing และ Application Execution Control เป็นต้น ซึ่งช่วยให้ Trap สามารถระบุและตรวจจับภัยคุกคามที่อาจส่งผลกระทบต่ออุปกรณ์ได้อย่างรวดเร็วและแม่นยำ
รายละเอียดเพิ่มเติม: https://www.paloaltonetworks.com/resources/whitepapers/traps-advanced-endpoint-protection-wp.html
