TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
อย่างที่ทุกท่านทราบดี โรงพยาบาลและหน่วยงานสาธารณสุขในปัจจุบันเริ่มตกเป็นเป้าหมายของ Ransomware มากขึ้นเรื่อยๆ เนื่องจากแฮ็คเกอร์ใช้ชีวิตคนไข้เป็นตัวประกัน ส่งผลให้โรงพยาบาลเหล่านั้นจำเป็นต้องจ่ายค่าไถ่แทบจะทันทีเพื่อแลกกับการปกป้องชีวิตคนไข้ ทาง Palo Alto Networks ผู้ให้บริการโซลูชัน Next-generation Firewall ชั้นนำของโลกจึงได้เสนอเทคนิคสำหรับช่วยลดผลกระทบและป้องกัน Ransomware มาทั้งหมด 8 ข้อ ดังนี้
1. พัฒนาและจัดการแผนสำหรับสร้างความตระหนักรู้ให้แก่ผู้ใช้
ประสิทธิภาพ: สูง
ประเภท: ลดผลกระทบ
- ยิ่งเราทำให้ผู้ใช้ เช่น หมอ พยาบาล พนักงานในโรงพยาบาลมีความรู้ความเข้าใจเกี่ยวกับ Cyber Security มากเท่าไหร่ ยิ่งทำให้เกิดเหตุการณ์ Ransomware โจมตีลดลงได้มากเท่านั้น
- การอบรมอย่างเดียวอาจไม่เพียงพอ ควรทำควบคู่ไปกับการซ้อมรับมือเหตุการณ์จริง เช่น Phishing Exercise ซึ่งจะช่วยให้ผู้ใช้สามารถรับมือกับ Ransomware ได้อย่างเป็นระบบและถูกวิธี
2. ทบทวนและยืนยันกระบวนการสำรองข้อมูล
ประสิทธิภาพ: สูง
ประเภท: ลดผลกระทบ
- บางองค์กรไม่ตระหนักว่าระบบสำรองข้อมูลของตนมีช่องโหว่หรือตั้งค่าไม่เหมาะสมจนสายเกินไป จึงต้องมีการตรวจสอบและทบทวนให้ดี
- เริ่มต้นที่ File Server ที่เป็นศูนย์รวมไฟล์ข้อมูลสำคัญของโรงพยาบาล
- ต้องมั่นใจว่าผู้ใช้ทั่วไปและผู้ป่วยไม่สามารถเข้าถึงข้อมูลสำรองได้ และมีการกำหนดสิทธิ์ในการเข้าถึงเท่าที่จำเป็น
- ทดสอบระบบสำรองข้อมูลเป็นระยะๆ เพื่อตรวจสอบว่าสามารถกู้คืนข้อมูลได้อย่างถูกต้อง
3. ตรวจสอบสิทธิ์การใช้ Network Drive เพื่อลดผลกระทบที่อาจเกิดจากผู้ใช้ให้ได้มากที่สุด
ประสิทธิภาพ: ปานกลาง
ประเภท: ลดผลกระทบ
- ตรวจสอบสิทธิ์ของผู้ใช้ปลายทาง – ประเมินสิทธิ์ที่ผู้ใช้แต่ละคนพึงมีบน Network Drive ภายใต้แนวคิด Least Privilege
- ตรวจสอบสิทธิ์ของผู้ดูแลระบบ – ตรวจสอบสิทธิ์ของผู้ดูแลระบบแต่ละคนให้มีความเหมาะสม รวมถึงแยก Account ที่ใช้งานปกติออกจาก Account ที่มีสิทธิ์สูงสุด และใช้งาน Account ที่มีสิทธิ์สูงเฉพาะงานที่จำเป็นต้องใช้เท่านั้น นอกจากนี้ควรจำกัดสิทธิ์ในการรับอีเมลของ Account ผู้ดูแลระบบ เพื่อป้องกันไม่ให้เผลอเปิดไฟล์ที่มีมัลแวร์แฝงตัวอยู่
4. ยกเลิกการใช้สคริปต์ Macro บน MS Office ผ่านทาง AD Group Policy
ประสิทธิภาพ: สูง
ประเภท: ป้องกัน
- Microsoft ระบุว่า 98% ของภัยคุกคามที่โจมตีออฟฟิสจะมาทาง Macro การยกเลิกการใช้สคริปต์ Macro บน MS Office ช่วยหยุด Ransomware บางชนิด เช่น Locky ได้
- ส่วนใหญ่แล้ว Macro ไม่จำเป็นต่อการใช้งานบน PC ของโรงพยาบาล ให้เลือกใช้งาน Macro เฉพาะบางแผนกหรือบางคนเท่านั้น
5. ทบทวนกระบวนการบริหารจากการแพทช์
ประสิทธิภาพ: สูง
ประเภท: ป้องกัน
- หลายโรงพยาบาลมีปัญหากับการอัพเดทแพทช์ล่าสุดในระยะเวลา 30 วัน โดยเฉพาะจาก Microsoft Patch Tuesday
- ทบทวนกระบวนการอัพเดทแพทช์ และจัดการกับสิ่งกีดขวางที่ทำให้กระบวนการอัพเดทเป็นไปได้อย่างล่าช้า
- พิจารณาการติดตั้ง Advanced Endpoint Protection ที่ช่วยป้องกันการเจาะระบบผ่านช่องโหว่ที่ยังไม่ได้แพทช์
6. ประเมินระบบป้องกันมัลแวร์และสแปม
ประสิทธิภาพ: ปานกลาง
ประเภท: ป้องกัน
ตรวจสอบให้มั่นใจว่ามีการบล็อกอีเมลตามคำแนะนำของ Vendor เช่น บล็อก Executable ในไฟล์แนบ เป็นต้น
7. ติดตั้ง Next-generation Firewall เพื่อปกป้องระบบเครือข่ายของโรงพยาบาล
ประสิทธิภาพ: สูง
ประเภท: ป้องกัน
- ตั้งค่าให้ Firewall บล็อกภัยคุกคามตามฐานข้อมูลที่มีการอัพเดทล่าสุดอย่างสม่ำเสมอ
- ตรวจสอบว่า Firewall มีคุณสมบัติการทำ Sandboxing เพื่อช่วยตรวจับ Unknown Threats ก่อนที่ภัยคุกคามนั้นจะเข้าถึงเครื่องปลายทาง
- ตั้งค่า Firewall/Proxy ให้สอบถามผู้ใช้เพื่อยืนยันการเข้าถึงเว็บไซต์ที่ไม่ถูกจัดหมวดหมู่ (Uncategorized Websites) เช่น กดปุ่ม Proceed ก่อน จึงจะเข้าถึงเว็บไซต์ได้ เนื่องจากเว็บไซต์ที่ไม่ถูกจัดหมวดหมู่เหล่านี้มักจะเป็นเว็บ Phishing สำหรับใช้กระจายมัลแวร์
8. ติดตั้งระบบ Advanced Endpoint Protection เพื่อปกป้องเครื่องปลายทาง
ประสิทธิภาพ: สูง
ประเภท: ป้องกัน
- โปรแกรม Antivirus ทั่วไปไม่สามารถป้องกัน Advanced Malware เช่น Ransomware ได้ จำเป็นต้องหาโซลูชัน Endpoint Protection แบบใหม่ ที่มีความสามารถในการหยุดยั้งกระบวนการโจมตี (Cyber Kill Chain) แทนที่จะตรวจสอบเฉพาะ Signature เพียงอย่างเดียว
- Whitelisting เป็นหนึ่งในวิธีที่เหมาะสำหรับรับมือกับภัยคุกคาม แต่โรงพยาบาลส่วนใหญ่จำเป็นต้องอนุญาตให้ใช้งานหลายร้อยแอพพลิเคชัน จึงอาจเป็นเรื่องยากสำหรับฝ่าย IT ในการบริหารจัดการ Whitelist ที่มีอยู่ ระบบตรวจจับมัลแวร์แบบ Behavior-based อาจเป็นวิธีที่มีประสิทธิภาพมากกว่า รวมทั้งยังไม่กินทรัพยากรเครื่องปลายทางมากนัก
เทคนิคในการป้องกัน Ransomware เหล่านี้มีตั้งแต่เทคนิคทั่วไป จนไปถึงเทคนิคระดับสูง บางเทคนิคจำเป็นต้องอาศัยฮาร์ดแวร์หรือซอฟต์แวร์ที่มีราคาแพง แต่ทุกเทคนิคต่างแนะนำให้โรงพยาบาลและหน่วยงานสาธารณสุขนำไปใช้ ยิ่งสามารถปฏิบัติตามเทคนิคเหล่านี้ได้มากเท่าไหร่ ย่อมลดความเสี่ยงในการถูก Ransomware โจมตีมากขึ้นเท่านั้น
