10 ความเข้าใจผิดในการป้องกันภัยคุกคามทางไซเบอร์

 Sophos ได้สรุป 10 ประเด็นความเข้าใจผิดในการป้องกันภัยคุกคามทางไซเบอร์จากเรื่องราวประสบการณ์ของตนที่ได้ออกไปช่วยเหลือลูกค้ามากมายในรอบ 1 ปีที่ผ่านมา ซึ่งเราเห็นว่าน่าจะเป็นกรณีศึกษาที่เกิดประโยชน์แก่องค์กร จึงได้สรุปมาให้ได้ติดตามกันครับ

1.) องค์กรเล็กไม่ใช่เป้าหมายของการโจมตีเพราะไม่ได้สินทรัพย์มีค่า

การโจมตีส่วนใหญ่ไม่ได้มากจากคนร้ายระดับชาติด้วยซ้ำ ดังนั้นเหยื่อที่ปล่อยปละละเลยในการป้องกันย่อมเป็นเป้าหมายได้เสมอ ตราบใดที่บริษัทของคุณยังใช้งานระบบดิจิทัล 

2.) ไม่ได้ต้องการเทคโนโลยี Security ขั้นสูง

หลายองค์กรยังเข้าใช้ผิดว่าซอฟต์แวร์ Endpoint Security เพียงพอกับการใช้ป้องกันขององค์กร หรือไม่มีต้องมีอะไรป้องกันเซิร์ฟเวอร์เลยก็ได้ ประสบการณ์ทีมงานของ Sophos Rapid Response บอกได้เลยว่าผิดมหันต์ เพราะเซิร์ฟเวอร์นี่แหละมักตกเป็นเป้าหมายอันดับหนึ่ง ในที่สุดแล้วคนร้ายก็จะหาทางเข้ามาได้ ไม่ว่าจากเทคนิคซับซ้อนหรือ Social Engineering ซึ่งการป้องกันอย่างสมบูรณ์เป็นเรื่องยากมาก แต่สิ่งที่ต้องทำคือการตรวจจับพฤติกรรมให้ได้ ซึ่งต้องพึ่งพาเทคโนโลยีขั้นสูงอย่าง AI และเครื่องมือตรวจจับพฤติกรรม หรือทีม SOC แบบ 24/7

3.) มีนโยบายด้าน Security แข็งแกร่งมาก

การมีนโยบายด้าน Security บังคับใช้กับแอปพลิเคชันหรือ User เป็นเรื่องที่ดีแล้ว หากแต่มีการอัปเดตตามฟังก์ชันตามความเก่งของอุปกรณ์หรือจำนวนอุปกรณ์ที่เพิ่มขึ้นบ้างหรือไม่ นอกจากนี้ควรมีการตรวจสอบภาคปฏิบัติด้วยการทดลองเจาะระบบ, ทำ Tabletop เพื่อหาวิธีป้องกัน หรือลองจำลองแผน DR

4.) บล็อกไอพีจากภูมิภาคที่มีความเสี่ยงทำให้รอดจากภัยคุกคามฝั่งนั้นแล้ว

มีผู้ดูแลระบบหลายคนคิดว่าการแบนไอพีจากประเทศที่มีชื่อเสียงน่ากลัวทางไซเบอร์แล้วจะรอดเช่น จีน รัสเซีย เกาหลีเหนือ แม้ว่าไม่ใช่เรื่องผิดอะไร แต่ไม่ควรคิดว่าคุณปลอดภัยแล้ว เพราะบอกได้เลยว่าปกติคนร้ายมักมีเครื่องปฏิบัติการที่ตั้งอยู่ในประเทศอื่นอย่าง อเมริกา และในทวีปยุโรป

5.) เปลี่ยนพอร์ตการใช้งาน RDP ช่วยป้องกันการโจมตีได้

พอร์ตเป็นตัวบ่งบอกบริการที่เปิดอยู่ แต่ไม่ว่าจะพยายามเปลี่ยนหนียังไงก็ไม่พ้นความสามารถของเครื่องมือสแกนของคนร้ายอยู่ดี ดังนั้นถึงจะหนีไปใช้พอร์ตอื่นก็ลดความเสี่ยงไปได้น้อยมาก รวมไปถึงควรอนุญาต RDP จากภายในองค์กรเท่านั้น ( VPN เข้ามาก่อน) อย่างไรก็ดีกลยุทธ์นี้อาจไม่ได้ผลหากเครือข่ายมีรูรั่วอยู่แล้ว ด้วยเหตุนี้เองอีกมาตรการที่ดีคือเรื่องของ MFA แต่ก็ต้องถูกบังคับใช้ไปกับพนักงานทุกคนและอุปกรณ์ด้วย มิเช่นนั้นก็คงไม่เกิดประโยชน์อะไร

6.) มี Backup แล้วคงไม่ได้รับผลกระทบจาก Ransomware

การทำ Backup นั้นเป็นเรื่องจำเป็นอยู่แล้ว อย่างไรก็ดีการทำ Backup ขององค์กรนั้นเป็นไปทางที่ถูกต้องหรือไม่ ยิ่งถ้าหากเครื่อง Backup นั้นเชื่อมต่อกับระบบเครือข่ายอยู่นั่นก็แปลว่าคนร้ายก็เข้าไปโจมตีได้อยู่ดี อีกหนึ่งมาตรการอย่างจำกัดผู้เข้าถึง Backup นั้นเป็นเรื่องที่ดี แต่ก็ไม่ได้เสริมสร้างความมั่นคงปลอดภัยได้ขนาดนั้น เพราะคนร้ายอาจจะเฝ้าดูผู้ที่ได้รับอนุญาตอยู่ ด้วยเหตุนี้เองมาตรการ 3-2-1 อย่างการ Backup 3 ชุด เก็บไว้ใน 2 ระบบที่แยกจากกันและ Offline ไว้ 1 ชุดจึงเป็นเรื่องที่เหมาะสม 

สำหรับผู้ที่ backup ไว้บนคลาวด์ซึ่งดูเหมือนจะปลอดภัย แต่ทีมงาน Sophos เคยพบเคสที่ว่าคนร้ายแฮ็กบัญชีแอดมินได้และอีเมลไปแจ้งผู้ให้บริการคลาวด์ช่วยลบข้อมูล backup ทั้งหมดออก แล้วได้ผลด้วยเนื่องจากผู้ให้บริการปฏิบัติตาม อย่างไรก็ดีสุดท้ายแล้วแม้จะลดผลกระทบลงได้ แต่ทั้งหมดก็ไม่ได้ช่วยอะไรจากการถูกข่มขู่เปิดเผยข้อมูลที่ขโมยออกไปได้

7.) พนักงานเข้าใจดีเรื่อง Security

จากรายงานพบว่าองค์กรกว่า 22% ประเมินตนเองแล้วว่าในอนาคต 12 เดือนข้างหน้าอาจจะถูก Ransomware โจมตี ด้วยสาเหตุเพราะไม่สามารถป้องกันพนักงานของตัวเองได้ อันที่จริงเรื่องเหล่านี้ไม่ง่ายเลยเพราะกลเม็ดใหม่ที่คนร้ายสร้างนั้น ล่อลวงด้วยข้อมูลแม่นยำอย่างน่าสนใจเพื่อเจาะจงเป้าหมายง โดยเฉพาะอีเมล Phishing ที่นับวันจะดูยากขึ้นมาก

8.) คิดว่าทีม Incident Response สามารถกู้คืนข้อมูลได้

การโจมตีสมัยใหม่นั้นน้อยครั้งมากที่แฮ็กเกอร์จะเหลือความผิดพลาดเอาไว้ พูดกันตรงๆคืออย่าง Ransomware แทบจะไม่มีหวังในการกู้ข้อมูลเลย เพราะอัลกอริทึมการเข้ารหัสก็พัฒนาขึ้นมาก Windows Volume Shadow Copies ที่คอย backup อัตโนมัติก็โดนลบ บางทีมีการเขียนทับข้อมูลในดิสก์อีก 

9.) จ่ายเงินเรียกค่าไถ่แล้วจะได้ข้อมูลคืน

หลายองค์กรคิดว่าจ่ายเงินค่าไถ่ได้ข้อมูลคืนมาแล้วเรื่องจะจบ แต่อันที่จริงแล้วยังมีค่าใช้จ่ายแฝงอยู่แม้ได้ข้อมูลคืนแต่หลายเหตุการณ์ที่ Ransomware นั้นสร้างความเสียหายต่อคอมพิวเตอร์และ ซอฟต์แวร์ กระทั่งว่าต้องไปเริ่มต้นเซ็ตอัปกันใหม่แล้วค่อยนำข้อมูลมาใส่ นอกจากนี้ยังไม่นับเรื่องจ่ายไปแล้วไม่ได้ข้อมูลกลับมาหรือได้กลับมาไม่ครบ

10.) รอดจากการปล่อนแรนซัมแวร์ได้คือจบงาน

ขั้นตอนการโจมตีด้วยแรนซัมแวร์คือเมื่อคนร้ายพร้อมประกาศให้องค์กรรู้แล้วว่าต้องการอะไร แต่คนร้ายอาจเข้ามาได้ก่อนหน้านั้นนานเท่าไหร่ไม่มีใครรู้ได้ จนกระทั่งคนร้ายเสร็จปฏิบัติการค้นหา ตรวจสอบ และลบร่องรอยตัวเอง หรือฝังรากลึกไปที่ไหนสักแห่งที่รอคอยวันกลับมาหากองค์กรกำจัดไปได้ไม่หมด

ที่มา : https://news.sophos.com/en-us/2021/05/27/top-10-security-misperceptions/


Comments

Post a Comment

Popular posts from this blog

นักวิจัยปล่อยโค้ดที่ทำให้เกิดจอฟ้ากับเครื่อง Windows จำนวนมากบน GitHub

Image
ผู้เชี่ยวชาญด้านฮาร์ดแวร์ชาวโรมาเนียได้ปล่อยโค้ด PoC ที่สามารถทำให้คอมพิวเตอร์ส่วนใหญ่ที่ใช้งาน Windows เกิดจอฟ้า แม้ว่าจะล็อกเครื่องอยู่ก็ตาม โดยโค้ดที่เผยแพร่นั้นได้อาศัยช่องโหว่จากการจัดการ image ของ Filesystem แบบ NTFS ซึ่งถูกค้นพบโดย Marius Tivadar นักวิจัยด้านความมั่นคงปลอดภัยจาก Bitdefender การใช้งานโค้ดดังกล่าวทำได้ผ่านการเสียบ Thumb Drive ในช่อง USB เพียงไม่กี่วินาทีเท่านั้นก็จะทำให้ Windows เกิดอาการทำงานผิดพลาดจนแสดงผลจอฟ้า อย่างไรก็ตามแม้ว่าคอมพิวเตอร์จะปิดการเล่นอัตโนมัติหรือ Autoplay ไว้แต่ก็สามารถใช้โค้ดนี้ได้เช่นกันหาก Windows Defender หรือเครื่องมืออื่นๆ เข้ามาสแกนอ่านใน Thumb Drive ในกรณีของเครื่องคอมพิวเตอร์ที่ล็อกเครื่องเอาไว้แล้วยังสามารถใช้โค้ด PoC ได้ผลนั้น นักวิจัยได้ให้ความเห็นว่าพฤติกรรมของ OS ที่ควรเปลี่ยนคือ “ ไม่ควรอนุญาตให้เครื่องที่ล็อกอยู่สามารถโหลด Driver หรือ Execute โค้ดจากอุปกรณ์ภายนอกที่เสียบเข้ามาได้ ” อย่างไรก็ตามทาง Microsoft ไม่ได้แก้ไข Bug นี้แม้ว่านักวิจัยจะได้รายงานเข้าไปแล้วตั้งแต่ กรกฎาคม 2017 และลดระดับความสำคัญของ Bug ลงเนื่องจากคิดว่...
Read more

ผู้เชี่ยวชาญพบมัลแวร์ใช้ Windows BITS เพื่อติดต่อเซิร์ฟเวอร์ควบคุม

Image
ผู้เชี่ยวชาญจาก ESET ได้ออกมาเปิดเผยเรื่องราวของมัลแวร์ใช้ Windows BITS เพื่อลอบติดต่อกับเซิร์ฟเวอร์ควบคุม โดยคาดว่าจะเป็นกลุ่มของแฮ็กเกอร์ที่มีนามแฝงว่า Stealth Falcon Background Intelligence Transfer Service ( BITS ) เป็นส่วนประกอบหนึ่งใน Windows ที่ถูกใช้เพื่อนำส่งการอัปเดตต่างๆ สู่ผู้ใช้งานเมื่อไม่ได้ใช้งานเครือข่าย เช่น Windows Update, Microsoft Update, Server Update และ System Center Configuration Update เป็นต้น รวมถึง Windows Defender ก็ใช้ช่องทางนี้เพื่ออัปเดต Signature ด้วย ทั้งนี้แอปพลิเคชันอื่นก็มีความเป็นไปได้ที่จะเข้ามาใช้ช่องทางนี้ อย่างตอนนี้ที่ Mozilla กำลังพยายามพัฒนาให้ Firefox สามารถใช้ BITS เพื่ออัปเดตได้ อย่างไรก็ตามดูเหมือนว่าเหรียญย่อมมีสองด้านเสมอเพราะหลายปีที่ผ่านมา BITS เคยถูกใช้ในแคมเปญการโจมตีมาแล้วหลายครั้ง ซึ่งมีแนวโน้มว่าจะพบเห็นได้บ่อยขึ้นด้วย โดยล่าสุด ESET ก็ได้เผยถึงกลุ่ม Stealth Falcon ที่ได้ใช้ช่องทางนี้กับ Backdoor ของตนเพื่อลอบติดต่อกับเซิร์ฟเวอร์ ที่คาดว่าหลายองค์กรไม่ค่อยใส่ใจกับทราฟฟิคทางของ BITS เท่าไหร่นัก สำหรับ Stealth Falcon นั้นเป็...
Read more

รู้สาเหตุแล้ว ประเทศในแถบเอเชียตะวันออกเฉียงใต้เน็ตช้าเพราะสายเคเบิลใต้ทะเลขาด

Image
หลายประเทศในเขตเอเชียตะวันออกเฉียงใต้ต้องประสบปัญหาจากการใช้อินเทอร์เน็ตในช่วงไม่กี่วันมานี้ จากการตรวจสอบล่าสุดพบว่ามีสาเหตุมาจากสายเคเบิลใต้ทะเลที่เชื่อมต่อระหว่างเอเชียและประเทศต่างๆ ถูกตัดขาดหลายจุดอันเนื่องมาจากพายุไต้ฝุ่น ส่งผลให้อินเทอร์เน็ตของ ISP หลายรายในเขตเอเชียตะวันออกเฉียงใต้ทำงานได้ช้าลงหรือหยุดทำงาน แหล่งข่าวหลายแห่งออกมาระบุว่า สายเคเบิลใต้ทะเลที่เป็นเกตเวย์ออกอินเทอร์เน็ตที่ได้รับ ความเสียหายในช่วงสัปดาห์ที่ผ่านมาประกอบด้วย 4 สาย ได้แก่ Asia-American Gateway (AAG) – สายเคเบิลที่เชื่อมระหว่างเอเชียตะวันออกเฉียงใต้และสหรัฐฯ ระยะทางกว่า 20,000 กิโลเมตร ได้รับความเสียหาย 2 จุดห่างจากสถานีปลายทางที่ฮ่องกง 66 กิโลเมตร และ 85 กิโลเมตร Intra-Asia (IA) – สายเคเบิลของเครือข่าย Tata Global Network (TGN) ที่เชื่อมสิงคโปร์ เวียดนาม ฟิลิปปินส์ ฮ่องกง ญี่ปุ่น และสหรัฐฯ เข้าด้วยกัน ได้รับความเสียหายห่างจากฮ่องกง 54 กิโลเมตร ASE (Asia Submarine-cable Express) – สายเคเบิลของ NTT, PLDT, Telekom Malaysia และ Starhub ที่เชื่อมญี่ปุ่น ฮ่องกง ฟิลิปปินส์ มาเลเซีย และสิงคโปร์ ได้รับค...
Read more