Microsoft Azure by Ingram Micro (Thailand)

อัปเดตสถานการณ์ด้านความมั่นคงปลอดภัยของไทยหลังเหตุการณ์ WannaCry โดย ดร. ภูมิ ภูมิรัตน จาก G-ABLE

บทความนี้เป็นบทสัมภาษณ์สุดพิเศษจาก ดร. ภูมิ ภูมิรัตน ที่ปรึกษาอาวุโสด้านความมั่นคงปลอดภัยจาก G-ABLE เกี่ยวกับสถานการณ์ด้านความมั่นคงปลอดภัยของอุตสาหกรรมต่างๆ ในประเทศไทย รวมไปถึงธุรกิจ Startup และ SME หลังเกิดเหตุการณ์แพร่ระบาดของ WannaCry Ransomware เมื่อกลางเดือนพฤษภาคมที่ผ่านมา

1. ช่วยสรุปเหตุการณ์ WannaCry Ransomware สั้นๆ สักหน่อยได้ไหมครับ

ผมคิดแล้วว่าต้องโดนถามคำถามนี้ … สั้นๆ นะครับ … WannaCry เป็น Ransomware หรือมัลแวร์เรียกค่าไถ่ ที่ต่างจากชาวบ้านตรงที่ไม่ได้แพร่กระจายตัวผ่านทางอีเมลหรือเว็บ Phishing ครับ แต่กลับใช้วิธีเจาะระบบผ่านช่องโหว่ที่เรียก EternalBlue บนระบบปฏิบัติการ Windows และฝัง Backdoor ที่ชื่อว่า DoublePulsar ลงไปแทน ซึ่งทั้งสองอย่างนี้เป็นเครื่องมือแฮ็คของ NSA ที่กลุ่มแฮ็คเกอร์นามว่า Shadow Broker ขโมยมาแล้วปล่อยสู่สาธารณะเมื่อเดือนเมษายนที่ผ่านมา

ที่ Ransomware ตัวนี้ก่อให้เกิดความโกลาหลไปทั่วโลกคือ WannaCry มีคุณสมบัติของ “Worm” ซึ่งหลังจากที่แพร่กระจายเข้าสู่คอมพิวเตอร์เครื่องหนึ่งได้แล้ว มันจะสแกนหมายเลข IP เพื่อค้นหาเป้าหมายที่มีช่องโหว่ และกระจายตัวสู่คอมพิวเตอร์เป้าหมายนั้นๆ ส่งผลให้เกิดการติดมัลแวร์เป็นทอดๆ สร้างความโกลาหลไปทั่วโลก มีคอมพิวเตอร์ติด WannaCry มากกว่า 200,000 เครื่อง ทั้งๆ ที่ Ransomware นี้เพิ่งเริ่มแพร่ระบาดเพียงแค่ 48 ชั่วโมงเท่านั้น

2. คิดว่าสาเหตุสำคัญอันดับหนึ่งที่องค์กรในไทยติด WannaCry คืออะไร

จริงๆ ช่องโหว่ EternalBlue ที่ WannaCry ใช้เจาะเข้าคอมพิวเตอร์ เป็นช่องโหว่เก่าที่ Microsoft เคยออกแพทช์ (MS17-010) อุดมาแล้วตั้งแต่กลางเดือนมีนาคม แต่แฮ็คเกอร์อาศัยจุดอ่อนที่ว่า คนทั่วไปส่วนใหญ่ไม่ยอมอัปเดตแพทช์ด้านความมั่นคงปลอดภัยของคอมพิวเตอร์ตัวเอง คงต้องบอกว่าสำหรับองค์กรในไทยแล้ว ต้นตนของปัญหาคือ “การมีกระบวนการทำ Patch Management ไม่ดีเพียงพอ”

ผมมองว่าความท้าทายด้าน Patch Management สำหรับองค์กรมีด้วยกัน 3 ประการ คือ

  1. องค์กรมีกระบวนการแพทช์ไม่ดีเพียงพอ – องค์กรโดยส่วนใหญ่ยังไม่มีกระบวนการอัปเดตแพทช์ด้านความมั่นคงปลอดภัยที่ชัดเจน หรือถ้ามีก็ทำประมาณ 3 – 6 เดือนครั้ง หรือบางองค์กรก็อัปเดตพร้อมกับ Cycle Patch ซึ่งแก้ปัญหาด้านประสิทธิภาพปีละครั้ง ซึ่งไม่ทันกาล
  2. Resource ไม่เพียงพอ – การอัปเดตแพทช์ทุกครั้งมีความเสี่ยง องค์กรจำเป็นต้องทดสอบแพทช์ก่อนติดตั้งจริงบนระบบ Production อย่างไรก็ตาม เนื่องจากข้อจำกัดด้านเครื่องมือที่ใช้ทดสอบ บุคลากร และเวลา ทำให้ไม่สามารถทดสอบแพทช์ได้ ส่งผลให้การอัปเดตแพทช์ยืดเยื้อ
  3. องค์กรอัปเดตแพทช์ไม่ทัน – อุปกรณ์มีจำนวนมาก ต้องใช้เวลาในการทยอยอัปเดตแพทช์ไปเรื่อยๆ

3. ช่วยแนะนำวิธีป้องกันและรับมือกับ WannaCry Ransomware หน่อยได้ไหมครับ

วิธีป้องกันและรับมือกับ WannaCry มี 2 วิธีหลักๆ คือ การอัปเดตแพทช์ล่าสุดเสมอ และการสำรองข้อมูลครับ

เอาเรื่องแรกก่อน การอัปเดตแพทช์ … การทำ Patch Management ที่ดีสิ่งแรกที่ควรทำคือการทำ Asset Management เพื่อให้เราทราบว่า คอมพิวเตอร์เครื่องไหนมีความสำคัญ ที่ส่งผลกระทบต่อธุรกิจ จะได้ให้ความสนใจและดูแลได้ถูก จากนั้นก็สร้างกระบวนการอัปเดตแพทช์ หลักๆ คือต้องแบ่งออกเป็นระบบสำหรับทดสอบ และระบบ Production เมื่อทดสอบแพทช์บนระบบสำหรับทดสอบเรียบร้อยแล้ว ก็ค่อยอัปเดตบน Production แล้วทำการเฝ้าระวัง เพื่อให้มั่นใจว่าหลังอัปเดตแพทช์ไปแล้วระบบปฏิบัติการต่างๆ ยังคงทำงานได้ตามปกติ สิ่งหนึ่งที่ช่วยให้กระบวนการอัปเดตแพทช์มีความง่ายขึ้น คือ ซอฟต์แวร์สำหรับทำ Patch Management

ส่วนเรื่องการสำรองข้อมูล ประเด็นสำคัญอยู่ที่การทำให้ผู้ใช้ไม่สามารถเขียนข้อมูลลงบนอุปกรณ์สำรองได้โดยตรง เนื่องจากถ้าจังหวะที่มีการเชื่อมต่อกับอุปกรณ์สำรอง (เช่น ฮาร์ดดิสก์ภายนอก) เกิดถูก Ransomware โจมตีกระทันหัน นั่นหมายความว่าอุปกรณ์สำรองก็จะติด Ransomware ไปด้วย นอกจากนี้ ถ้าระบบสำรองสามารถทำ Versioning ได้ก็จะช่วยให้กู้คืนไฟล์ข้อมูลกลับมาเป็นเวอร์ชันก่อนที่ติด Ransomware ได้ง่ายยิ่งขึ้น นอกจากนี้ ปัญหาใหญ่ที่หลายๆ องค์กรมักประสบคือ การกู้ไฟล์ข้อมูลกลับคืนมาแล้วเจ๊ง ดังนั้นแต่ละองค์กรควรพัฒนากระบวนการกู้ไฟล์ข้อมูลกลับคืนมา เช่น ระบบที่เป็น Mission Critical ควรดึงบางส่วนมาทดสอบสัปดาห์ละครั้ง และมีการทดสอบใหญ่ทุก 3 เดือน เป็นต้น

สำหรับแนวทางปฏิบัติที่แนะนำสำหรับองค์กรและบุคคลทั่วไปคือ “กลยุทธ์ 123” หนึ่งคือมีการสำรองข้อมูลไปยังที่อื่น (ที่ไม่ใช่ Data Center) อย่างน้อย 1 แห่ง เช่น DR หรือ Cloud สองคือต้องใช้อย่างน้อย 2 เทคโนโลยีในการสำรองข้อมูล เช่น HDD + Cloud หรือ HDD + Tape และสามคือต้องสำรองข้อมูลอย่างน้อย 3 ชุด (บนคอมพิวเตอร์ 1 ชุด และบนระบบสำรองอีก 2 ชุด) ถ้าทำแบบนี้ได้ก็ค่อนข้างมั่นใจแล้วว่าข้อมูลจะไม่สูญหายแน่นอน

4. คิดว่าสถานการณ์ด้านความมั่นคงปลอดภัยในไทยเป็นอย่างไรหลังเกิดเหตุ WannaCry Ransomware

ผมคิดว่าเมื่อเข้าสู่ยุค Thailand 4.0 องค์กรต่างๆ ในไทยเริ่มมีความตระหนักถึงความมั่นคงปลอดภัยมากขึ้น หลายองค์กรเริ่มจัดอันดับความมั่นคงปลอดภัยเป็นประเด็นสำคัญในการดำเนินธุรกิจ ยิ่งพอเจอ WannaCry เข้าไปก็ยิ่งเป็นเหมือนยาแรงที่ทำให้ทั้งประเทศตระหนักถึงความสำคัญของความมั่นคงปลอดภัย อย่างไรก็ตาม แนะนำว่าองค์กรอย่าเพิ่งตื่นตระหนกเรื่องภัยคุกคามไซเบอร์มากเกินไป จนไม่กล้าเผชิญหน้ากับความเสี่ยง ถึงอาจทำให้พลาดโอกาสทางธุรกิจใหม่ๆ ไปได้

ถึงแม้ว่าแต่ละองค์กรให้ความสำคัญด้านความมั่นคงปลอดภัยมากขึ้น แต่เราจำเป็นต้องเปลี่ยนแนวคิดของผู้บริหารส่วนใหญ่เสียใหม่ หลายคนยังเข้าใจว่าความมั่นคงปลอดภัยเป็นเรื่องที่ลงทุนทีเดียวแล้วจบ องค์กรพร้อมรับมือกับภัยคุกคามไซเบอร์แล้ว แต่อันที่จริงแล้วไม่ใช่ ภัยคุกคามไซเบอร์เป็นความเสี่ยงที่มีความผันแปรตลอดเวลา ลองเปรียบเทียบกับการดำรงชีวิตสิ ทำไมเราถึงต้องจ้างยาม ทำไมต้องทำประกัน ทำไมเราถึงต้องไปหาหมอ ก็เพราะเราต้องการให้ชีวิตของเราปลอดภัย องค์กรก็เช่นกัน การที่เราต้องคอยประเมินความเสี่ยง คอยวางมาตรการควบคุมก็เพื่อให้ธุรกิจขององค์กรมีความมั่นคงปลอดภัยมากที่สุด

5. ช่วยให้คำแนะนำธุรกิจ Startup และ SME ที่มีทรัพยากรบุคคลด้าน IT จำกัดหน่อยครับ

สิ่งแรกที่ Startup และ SME ควรระลึกไว้ คือ อย่าคิดว่าตัวเองจะไม่ตกเป็นเป้าหมายของอาชญากรรมไซเบอร์ ถึงแม้ว่าภัยคุกคามที่น่ากลัวอย่าง Advanced Persistent Threats (APTs) จะพุ่งเป้าที่องค์กรขนาดใหญ่ เช่น สถาบันการเงิน แต่ภัยคุกคามไซเบอร์ทั่วๆ ไปอย่าง Ransomware เขาไม่สนเป้าหมายหรอก เขาสนแค่ว่าคุณน่าโจมตีไหม คุณมีช่องโหว่ไหม ดังนั้นทุกธุรกิจ ทุกองค์กรควรตระหนักไว้เสมอว่า ตัวเองสามารถตกเป็นเหยื่อของอาชญากรรมไซเบอร์ได้ทั้งสิ้น ที่สำคัญคือ เมื่อเกิดเหตุ ธุรกิจของคุณไม่ได้หยุดชะงักเพียงอย่างเดียว แต่มันจะยังส่งผลกระทบต่อชื่อเสียงและความเชื่อมั่นของลูกค้าอีกด้วย ซึ่งสิ่งเหล่านี้กู้คืนกลับมาได้ยากมาก

คำแนะนำสำหรับธุรกิจ Startup และ SME คือ “จงทำทุกอย่างเหมือนอย่างที่สถาบันการเงินทำ แต่ในสเกลที่เหมาะสมกับธุรกิจของคุณ” ไม่ว่าจะเป็นการทำ Software Development Life Cycle (SDLC), Business Continuity Management (BCM) และการมี Security Operation ที่ดี เช่น Patch, Backup, Incident Response, VA/Pen Test และ Security Monitoring เมื่อคุณขยายธุรกิจเข้าสู่ระดับองค์กร ระบบรักษาความมั่นคงปลอดภัยของคุณจะได้พร้อมใช้งานโดยไม่จำเป็นต้องลงทุนใหม่ทั้งหมดทีเดียว ซึ่งจะมีค่าใช้จ่ายสูงมากจนทำให้หลายองค์กรเพิกเฉยไป

6. รัฐบาลควรเข้ามามีส่วนให้การสนับสนุนภาคเอกชนอย่างไร

เรื่องนี้คงมีประมาณ 2 – 3 อย่าง อย่างแรกเลยรัฐบาลต้องเข้าใจก่อนว่า การทำ SOC ระดับชาติมันไม่เวิร์ค เนื่องจากภัยคุกคามไซเบอร์แต่ละอุตสาหกรรมมีความแตกต่างกัน แต่อย่างน้อยที่สุดรัฐบาลก็ควรจะต้องปกป้องตัวเองไม่ให้ถูกแฮ็คเกอร์หรือต่างชาติรุกล้ำอธิปไตยได้ อย่างที่สองคือเรื่องการศึกษา รัฐบาลควรให้การสนับสนุนด้านการศึกษาตั้งแต่ระดับประถม ปวช. ปวส. ไปจนถึงระดับอุดมศึกษา รวมไปถึงสนับสนุนการอบรม จัดทำแคมเปญต่างๆ เพื่อสร้างความตระหนักด้านความมั่นคงปลอดภัยแก่ประชาชนทุกคน อย่างที่สามคือการสนับสนุนภาคเอกชน ยกตัวอย่าง สิงคโปร์หรือฮ่องกง รัฐบาลมีการสนับสนุนเงินลงทุนให้เอกชนนำไปวิจัยเพื่อพัฒนาด้านความมั่นคงปลอดภัยสำหรับประเทศของพวกเขาโดยเฉพาะ

สุดท้าย ก็ต้องบอกว่าอย่าหวังรอพึ่งแต่รัฐบาลอย่างเดียว องค์กรควรกันงบประมาณส่วนหนึ่งไว้พัฒนาบุคลากร กระบวนการ และเทคโนโลยีที่เกี่ยวข้องกับความมั่นคงปลอดภัยด้วย

7. ความคิดเห็นเกี่ยวกับ ThaiCERT และคำแนะนำด้าน Threat Intelligence

ผมว่า ThaiCERT เป็นแนวคิดที่ดีนะ แต่ควรทำหน้าที่ Advisory เป็นหลัก โดยต้องเน้นที่ความถูกต้อง แม่นยำ และลงรายละเอียดเชิงเทคนิค เพื่อให้ผู้เชี่ยวชาญหรือทีมงานด้าน IT Security ของแต่ละองค์กรสามารถนำข้อมูลไปใช้เพื่อปกป้องตนเองจากภัยคุกคามได้ อย่างไรก็ตาม อาจเป็นเพราะบุคลากรมีจำนวนจำกัด ทำให้ ThaiCERT บ้านเราเน้นที่การสื่อสารกับประชาชนแทน ซึ่งจริงๆ ควรเน้นที่การสื่อสารกับหน่วยงานรัฐ และอุตสาหกรรมต่างๆ มากกว่า

นอกจากนี้ ThaiCERT เพียงอย่างเดียวคงไม่เพียงพอ อย่างที่บอกไป แต่ละอุตสาหกรรมประสบกับภัยคุกคามไซเบอร์รูปแบบที่ไม่เหมือนกัน แต่ละอุตสาหกรรมควรมี CERT เป็นของตัวเองเพื่อแชร์ Threat Intelligence ระหว่างกัน เช่น สมาคมธนาคาร บริษัทประกัน หรือกลุ่มพลังงาน ซึ่งตรงนี้เอง รัฐบาลควรเข้าไปสนับสนุนให้ CERT เหล่านี้เกิดขึ้นมาได้

8. คิดว่าองค์กรทั่วไปควรดำเนินการตามมาตรฐานด้านความมั่นคงปลอดภัย เช่น ISO 27001 หรือไม่

ขึ้นอยู่กับแต่ละองค์กรนะ ถ้าคิดว่าทำแล้วเป็นประโยชน์ต่อธุรกิจ ก็ควรจะทำ เช่น บางองค์กรจำเป็นต้องผ่านมาตรฐานเนื่องด้วยมีกฎหมายหรือข้อกำหนดบังคับ หรือบางองค์กรที่ต้องการสร้างความเชื่อมั่นให้กับลูกค้า แต่ต้องเข้าใจไว้ก่อนเลยว่า การผ่านมาตรฐานไม่ได้หมายความว่าระบบขององค์กรมีความมั่นคงปลอดภัย ไม่ถูกแฮ็ค มันขึ้นกับปัจจัยอื่นๆ อีก ทั้ง People, Process และ Technology ส่วนถ้าเป็นแนวทางปฏิบัติ อย่าง NIST Cybersecurity Framework อันนี้แนะนำให้ทำ เพราะเป็น Guideline สำหรับปกป้ององค์กรจากภัยคุกคามไซเบอร์

9. มุมมองด้านบุคลากร คิดว่าองค์กรควรสนับสนุนการอบรมและการสอบใบรับรองหรือไม่

ผมไม่เน้นเรื่องการสอบใบรับรองนะ ถ้าองค์กรจำเป็นต้องมีบุคลากรที่มีใบรับรองเพื่อให้ผ่านมาตรฐานหรือข้อบังคับต่างๆ ก็ควรสนับสนุน แต่ผมคิดว่าควรส่งไปอบรมดีกว่า ได้ความรู้แน่นอน อย่างไรก็ตาม องค์กรก็ต้องเลือกอบรมคนให้ถูกเรื่อง เช่น โปรแกรมเมอร์ก็ให้ไปอบรมการทำ Secure Coding เป็นต้น

การพัฒนาบุคลากรนับว่าเป็นปัญหาใหญ่ของทั้งเมืองไทยและทั่วโลก ทราบหรือไม่ว่าปัจจุบันบุคลากรด้าน IT Security ขาดแคลนเป็นอย่างมาก ใครทำงานสายนี้บอกเลยว่าไม่ตกงานแน่นอน ดังนั้น ไม่ใช่แค่ภาคเอกชนที่ควรสนับสนุนพนักงานให้ไปอบรม พัฒนาขีดความสามารถ แต่หน่วยงานรัฐก็ควรเข้ามาสนับสนุนด้วย ไม่ว่าจะเป็นการศึกษา การจัดอบรมฟรีโดยทางภาครัฐเอง หรือร่วมมือกับสถาบันที่มีชื่อเสียงต่างๆ จัดอมรมเพื่อพัฒนาบุคลากรไทยให้มีศักยภาพไม่แพ้ต่างชาติ

เกี่ยวกับ ดร. ภูมิ ภูมิรัตน

ดร.ภูมิ ภูมิรัตน สำเร็จการศึกษาระดับปริญญาตรี สาขาไฟฟ้าและวิศวกรรมคอมพิวเตอร์ และปริญญาเอกด้านซอฟต์แวร์ระบบความมั่นคงปลอดภัยคอมพิวเตอร์ มหาวิทยาลัยเดวิส (University of California, Davis) สหรัฐอเมริกา ปัจจุบันดำรงตำแหน่งที่ปรึกษาอาวุโสด้านความมั่นคงปลอดภัยของบริษัท G-ABLE

เกี่ยวกับ G-ABLE

G-ABLE เป็นผู้นำด้าน Digital Transformation Agent ชื่อดัง ซึ่งนอกจากนี้จะให้บริการโซลูชัน IT ระดับ Enterprise-class แบบครบวงจรตั้งแต่ IT Infrastructure, Big Data Analytics และ Cloud Computing มายาวนานกว่า 28 ปีแล้ว G-ABLE ยังให้คำปรึกษาและแนะนำองค์กรให้สามารถนำเทคโนโลยีเข้ามาสนับสนุนธุรกิจได้อย่างถูกต้องและเหมาะสม พร้อมทั้งสร้างมูลค่าและผลกำไรจากการใช้นวัตกรรมใหม่ๆ ตามนโยบาย Thailand 4.0

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ผสาน Automation และ Intelligence เข้าไปยังความสามารถของงานด้านการผลิต โดย Infor

การนำเทคโนโลยีใหม่ๆเข้ามาใช้งานในธุรกิจนั้นไม่ใช่เรื่องง่าย และแต่ละอุตสาหกรรมก็มีความท้าทายเฉพาะตัวที่ต้องเผชิญหน้า ในอุตสาหกรรมการผลิตเองก็เช่นกันที่ได้รับผลกระทบจากการเปลี่ยนแปลงของเทคโนโลยี ความต้องการของลูกค้า Supply Chain และอื่นๆ 

Cisco ปิดดีลเข้าซื้อ Splunk มูลค่า 1 ล้านล้านบาท

หลังจากผ่านการตรวจสอบอย่างเข้มข้นจนได้รับอนุมัติเรียบร้อย ล่าสุดทาง Cisco ได้ประกาศถึงความสำเร็จในการเข้าซื้อกิจการของ Splunk ที่มูลค่า 28,000 ล้านเหรียญหรือราวๆ 1 ล้านล้านบาทอย่างเป็นทางการแล้ว