เทคนิคการป้องกัน Ransomware สำหรับโรงพยาบาลและหน่วยงานสาธารณสุข

palo_alto_logo_2

อย่างที่ทุกท่านทราบดี โรงพยาบาลและหน่วยงานสาธารณสุขในปัจจุบันเริ่มตกเป็นเป้าหมายของ Ransomware มากขึ้นเรื่อยๆ เนื่องจากแฮ็คเกอร์ใช้ชีวิตคนไข้เป็นตัวประกัน ส่งผลให้โรงพยาบาลเหล่านั้นจำเป็นต้องจ่ายค่าไถ่แทบจะทันทีเพื่อแลกกับการปกป้องชีวิตคนไข้ ทาง Palo Alto Networks ผู้ให้บริการโซลูชัน Next-generation Firewall ชั้นนำของโลกจึงได้เสนอเทคนิคสำหรับช่วยลดผลกระทบและป้องกัน Ransomware มาทั้งหมด 8 ข้อ ดังนี้

Credit: everything possible/ShutterStock
Credit: everything possible/ShutterStock

1. พัฒนาและจัดการแผนสำหรับสร้างความตระหนักรู้ให้แก่ผู้ใช้

ประสิทธิภาพ: สูง
ประเภท: ลดผลกระทบ

  • ยิ่งเราทำให้ผู้ใช้ เช่น หมอ พยาบาล พนักงานในโรงพยาบาลมีความรู้ความเข้าใจเกี่ยวกับ Cyber Security มากเท่าไหร่ ยิ่งทำให้เกิดเหตุการณ์ Ransomware โจมตีลดลงได้มากเท่านั้น
  • การอบรมอย่างเดียวอาจไม่เพียงพอ ควรทำควบคู่ไปกับการซ้อมรับมือเหตุการณ์จริง เช่น Phishing Exercise ซึ่งจะช่วยให้ผู้ใช้สามารถรับมือกับ Ransomware ได้อย่างเป็นระบบและถูกวิธี

2. ทบทวนและยืนยันกระบวนการสำรองข้อมูล

ประสิทธิภาพ: สูง
ประเภท: ลดผลกระทบ

  • บางองค์กรไม่ตระหนักว่าระบบสำรองข้อมูลของตนมีช่องโหว่หรือตั้งค่าไม่เหมาะสมจนสายเกินไป จึงต้องมีการตรวจสอบและทบทวนให้ดี
  • เริ่มต้นที่ File Server ที่เป็นศูนย์รวมไฟล์ข้อมูลสำคัญของโรงพยาบาล
  • ต้องมั่นใจว่าผู้ใช้ทั่วไปและผู้ป่วยไม่สามารถเข้าถึงข้อมูลสำรองได้ และมีการกำหนดสิทธิ์ในการเข้าถึงเท่าที่จำเป็น
  • ทดสอบระบบสำรองข้อมูลเป็นระยะๆ เพื่อตรวจสอบว่าสามารถกู้คืนข้อมูลได้อย่างถูกต้อง

3. ตรวจสอบสิทธิ์การใช้ Network Drive เพื่อลดผลกระทบที่อาจเกิดจากผู้ใช้ให้ได้มากที่สุด

ประสิทธิภาพ: ปานกลาง
ประเภท: ลดผลกระทบ

  • ตรวจสอบสิทธิ์ของผู้ใช้ปลายทาง – ประเมินสิทธิ์ที่ผู้ใช้แต่ละคนพึงมีบน Network Drive ภายใต้แนวคิด Least Privilege
  • ตรวจสอบสิทธิ์ของผู้ดูแลระบบ – ตรวจสอบสิทธิ์ของผู้ดูแลระบบแต่ละคนให้มีความเหมาะสม รวมถึงแยก Account ที่ใช้งานปกติออกจาก Account ที่มีสิทธิ์สูงสุด และใช้งาน Account ที่มีสิทธิ์สูงเฉพาะงานที่จำเป็นต้องใช้เท่านั้น นอกจากนี้ควรจำกัดสิทธิ์ในการรับอีเมลของ Account ผู้ดูแลระบบ เพื่อป้องกันไม่ให้เผลอเปิดไฟล์ที่มีมัลแวร์แฝงตัวอยู่

4. ยกเลิกการใช้สคริปต์ Macro บน MS Office ผ่านทาง AD Group Policy

ประสิทธิภาพ: สูง
ประเภท: ป้องกัน

  • Microsoft ระบุว่า 98% ของภัยคุกคามที่โจมตีออฟฟิสจะมาทาง Macro การยกเลิกการใช้สคริปต์ Macro บน MS Office ช่วยหยุด Ransomware บางชนิด เช่น Locky ได้
  • ส่วนใหญ่แล้ว Macro ไม่จำเป็นต่อการใช้งานบน PC ของโรงพยาบาล ให้เลือกใช้งาน Macro เฉพาะบางแผนกหรือบางคนเท่านั้น

5. ทบทวนกระบวนการบริหารจากการแพทช์

ประสิทธิภาพ: สูง
ประเภท: ป้องกัน

  • หลายโรงพยาบาลมีปัญหากับการอัพเดทแพทช์ล่าสุดในระยะเวลา 30 วัน โดยเฉพาะจาก Microsoft Patch Tuesday
  • ทบทวนกระบวนการอัพเดทแพทช์ และจัดการกับสิ่งกีดขวางที่ทำให้กระบวนการอัพเดทเป็นไปได้อย่างล่าช้า
  • พิจารณาการติดตั้ง Advanced Endpoint Protection ที่ช่วยป้องกันการเจาะระบบผ่านช่องโหว่ที่ยังไม่ได้แพทช์

6. ประเมินระบบป้องกันมัลแวร์และสแปม

ประสิทธิภาพ: ปานกลาง
ประเภท: ป้องกัน

ตรวจสอบให้มั่นใจว่ามีการบล็อกอีเมลตามคำแนะนำของ Vendor เช่น บล็อก Executable ในไฟล์แนบ เป็นต้น

7. ติดตั้ง Next-generation Firewall เพื่อปกป้องระบบเครือข่ายของโรงพยาบาล

ประสิทธิภาพ: สูง
ประเภท: ป้องกัน

  • ตั้งค่าให้ Firewall บล็อกภัยคุกคามตามฐานข้อมูลที่มีการอัพเดทล่าสุดอย่างสม่ำเสมอ
  • ตรวจสอบว่า Firewall มีคุณสมบัติการทำ Sandboxing เพื่อช่วยตรวจับ Unknown Threats ก่อนที่ภัยคุกคามนั้นจะเข้าถึงเครื่องปลายทาง
  • ตั้งค่า Firewall/Proxy ให้สอบถามผู้ใช้เพื่อยืนยันการเข้าถึงเว็บไซต์ที่ไม่ถูกจัดหมวดหมู่ (Uncategorized Websites) เช่น กดปุ่ม Proceed ก่อน จึงจะเข้าถึงเว็บไซต์ได้ เนื่องจากเว็บไซต์ที่ไม่ถูกจัดหมวดหมู่เหล่านี้มักจะเป็นเว็บ Phishing สำหรับใช้กระจายมัลแวร์

8. ติดตั้งระบบ Advanced Endpoint Protection เพื่อปกป้องเครื่องปลายทาง

ประสิทธิภาพ: สูง
ประเภท: ป้องกัน

  • โปรแกรม Antivirus ทั่วไปไม่สามารถป้องกัน Advanced Malware เช่น Ransomware ได้ จำเป็นต้องหาโซลูชัน Endpoint Protection แบบใหม่ ที่มีความสามารถในการหยุดยั้งกระบวนการโจมตี (Cyber Kill Chain) แทนที่จะตรวจสอบเฉพาะ Signature เพียงอย่างเดียว
  • Whitelisting เป็นหนึ่งในวิธีที่เหมาะสำหรับรับมือกับภัยคุกคาม แต่โรงพยาบาลส่วนใหญ่จำเป็นต้องอนุญาตให้ใช้งานหลายร้อยแอพพลิเคชัน จึงอาจเป็นเรื่องยากสำหรับฝ่าย IT ในการบริหารจัดการ Whitelist ที่มีอยู่ ระบบตรวจจับมัลแวร์แบบ Behavior-based อาจเป็นวิธีที่มีประสิทธิภาพมากกว่า รวมทั้งยังไม่กินทรัพยากรเครื่องปลายทางมากนัก

เทคนิคในการป้องกัน Ransomware เหล่านี้มีตั้งแต่เทคนิคทั่วไป จนไปถึงเทคนิคระดับสูง บางเทคนิคจำเป็นต้องอาศัยฮาร์ดแวร์หรือซอฟต์แวร์ที่มีราคาแพง แต่ทุกเทคนิคต่างแนะนำให้โรงพยาบาลและหน่วยงานสาธารณสุขนำไปใช้ ยิ่งสามารถปฏิบัติตามเทคนิคเหล่านี้ได้มากเท่าไหร่ ย่อมลดความเสี่ยงในการถูก Ransomware โจมตีมากขึ้นเท่านั้น

ที่มา: http://researchcenter.paloaltonetworks.com/2016/05/tips-to-prevent-ransomware-in-healthcare-environments/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ใน Kubernetes ที่อาจถูกใช้ยึดควบคุม Windows Node

พบช่องโหว่ใน Kubernetes ที่อาจถูกใช้ยึดควบคุม Windows Node ทั้งหมดในคลัสเตอร์

SonicWall เตือนช่องโหว่ Zero-day ใน SMA 1000 ให้ผู้ใช้อัปเดตด่วน!

พบการโจมตีในโซลูชัน SonicWall SMA 1000 Appliance Management Console (AMC) และ Central Management Console (CMC) ที่เป็นโซลูชันสำหรับรวมศูนย์การบริหารจัดการ โดยช่องโหว่มีความร้ายแรงที่ …