เมื่อโลกไซเบอร์ยังไม่ปลอดภัยจากการคุกคามของเหล่าอาชญากรไซเบอร์

ภาพหน้าจอ Petya Ransomware จาก AIN.UA

หลังจากที่สถานการณ์ของ WannaCry ดูเหมือนจะดีขึ้น ปัญหาทุกอย่างดูเหมือนจะบรรเทาเบาบางลง เหมือนกับว่าทุกคนจะสามารถรับมือกับมันได้แล้ว แต่มันก็เป็นเพียงช่วงเวลาสั้นๆ ที่เราคิดกันไปเองว่าพวกเรานั้นปลอดภัย จนเมื่อมีสถานการณ์ของการระบาดของ Ransomware ตัวใหม่เกิดขึ้น ช่วงเวลาไม่ถึง 72 ชั่วโมง มีผู้เคราะห์ร้ายแล้วมากกว่า 300,000 ราย ที่ตกเป็นเหยื่อของ Petya Ransomware รูปแบบการทำงานจะแตกต่างกับ WannaCry ตรงที่มันไม่ได้ทำการเข้ารหัสที่ตัวไฟล์ แต่จะพยายามทำให้เครื่องคอมพิวเตอร์ของเหยื่อไม่สามารถ Boot OS ได้ โดยการเปลี่ยนแปลง MBR หรือ Master Boot Record

ช่องทางการแพร่กระจายของ Ransomware ตัวนี้นั้นถูกพัฒนาให้ใช้ช่องทางเดียวกันกับ WannaCry คือ SMBv1 ในส่วนนี้มีข้อสังเกตุว่า เมื่อเป็นช่องทางเดียวกัน หลายๆ องค์กร น่าจะได้ทำการแก้ไข และหาทางรับมือได้เป็นที่เรียบร้อยแล้ว คำถามคือ ทำไมยังพบผู้ตกเป็นเหยื่อจำนวนมากมาย และยังพบว่ามีการโอน Bitcoin เพื่อจ่ายค่าไถ่แลกกับการกู้คืนระบบ การที่มีเหยื่อหลายรายยอมจ่ายค่าไถ่นั้นมีเหตุผลหลายประการ ไม่ว่าจะเป็นมูลค่าของ Bitcoin นั้นสูงขึ้นมาก อาจเป็นเพราะการเก็งกำไร หรือ ความต้องการของ Bitcoin ในช่วงนั้นๆ ทำให้มูลค่าสูงขึ้นทุกวัน หรือ การที่เหยื่อต้องการให้ระบบกลับมาใช้งานได้ดังเดิม ด้วยสถานการณ์ที่บีบคั้น และกดดันเช่นนี้ ทำให้หลายคนยินยอมที่จะจ่าย

จากเหตุการณ์ที่ได้เกิดขึ้นเราพอจะสรุปได้ว่า ปัญหาที่เกิดขึ้นไม่ได้มาจากเทคโนโลยีซะทีเดียว แต่เป็นเรื่องของการขาด awareness หรือ ความตระหนักถึงภัยคุกคามที่เกิดขึ้นรวมไปถึงผลกระทบของมัน ความละเลยจะนำพาเอาความเสียหายที่ประเมินค่าไม่ได้ตามมา awareness เป็นเรื่องสำคัญในการวางมาตรการด้านความมั่นคงและปลอดภัยของระบบคอมพิวเตอร์ Ransomware ไม่ใช่ภัยคุกคามที่ไม่สามารถแก้ไขได้ และสามารถป้องกันได้ ถ้ามีการเตรียมตัวที่ดีพอ ไม่ละเลยในรายละเอียดในการวางมาตรการในการป้องกัน รวมไปถึงการรับมือสถานการณ์ที่เลวร้ายที่สุด ในกรณีที่แนวป้องกันที่วางไว้ทั้งหมดล้มเหลว

แนวทางในการรับมือภัยคุกคามต่างๆ เบื้องต้นเราจะต้องนึกเสมอว่า เราอาจจะป้องกันทุกอย่างที่เกิดขึ้นไม่ได้ 100% หากเกิดความเสียหายขึ้นจะต้องควบคุมความเสียหายที่เกิดขึ้นไม่ให้ลุกลามไปในวงกว้าง และจะต้องมีการกำหนดมาตรการสำหรับเหตุการณ์ที่เลวร้ายที่สุดไว้เสมอ

แนวทางในการวางรากฐานของการป้องกันอย่างยั่งยืนนั้น

  1. วิเคราะห์ว่าอะไรคือแรงจูงใจในการถูกโจมตี จากลักษณะของธุรกิจของแต่ละองค์กร ส่วนนี้จะช่วยให้เราสามารถวางแนวป้องกันให้กับหัวใจของระบบได้
  2. การทำ assessment จะทำให้เรารู้ถึงระดับความสำคัญของ asset ที่มีอยู่ในระบบคอมพิวเตอร์ขององค์กร ซึ่งจะช่วยให้สามารถกำหนด security policy ได้อย่างถูกต้อง
  3. การทำ Data Classification และทำ zoning สำหรับ Network Segment พร้อมกำหนด ACL สำหรับการเข้าถึง Resource ในแต่ละส่วน
  4. ให้ความรู้กับพนักงาน เพื่อให้สามารถปฏิบัติตัวได้ถูกต้อง เมื่อตกเป็นเหยื่อของ Ransomware
  5. ทำการสำรองข้อมูล หรือ Backup ข้อมูล อย่างสม่ำเสมอ สำหรับในสถานการณ์ที่เลวร้ายที่สุดเราจะยังสามารถกู้คืนข้อมูล หรือ ระบบกลับมาให้เป็นปกติได้จากการ Backup-Recovery
  6. ทำการ update security patch ในส่วนของอุปกรณ์ security (Firewall, IDS/IPS, Web Gateway, Email Gateway) รวมไปถึง antimalware/endpoint และ OS patch โดยสามารถทำตามคำแนะนำของ Microsoft
  7. สำหรับ Ransomware WannaCry และ Petya ให้ทำการ Disable SMBv1 โดยสามารถทำตามคำแนะนำของ Microsoft
  8. จำกัดสิทธิ์ในการเข้าใช้งานของ Guest User สำหรับการเชื่อมต่อผ่าน WiFi โดยควรมีระบบยืนยันตัวตนก่อนเข้าใช้งาน และ Block การใช้งาน SMBv1 รวมไปถึงการกำหนด security policy สำหรับการ Block การใช้งาน SMBv1 บน Network Firewall
  9. ติดตามข่าวสารเรื่องความมั่นคงปลอดภัยของระบบคอมพิวเตอร์อย่างสม่ำเสมอ

หากท่านมีข้อสงสัยสามารถสอบถามทีม Security Solutions ของเราได้ที่ TH-SecuritySolution@ingrammicro.com

อ้างอิง:

การติดตั้ง Patch สำหรับแก้ไขช่องโหว่ SMBv1
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

การปิดการใช้งาน SMBv1 สำหรับ platform ที่ไม่รองรับการติดตั้ง Patch
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows

บทความโดย พรสิทธิ์ ปาลิไลยก์ — Technical Services Manager, Ingram Micro (Thailand)

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.