วิธีป้องกันการโจมตีจากแรนซัมแวร์

24 ต.ค. 2566

“เราจะป้องกันแรนซัมแวร์ได้อย่างไร”

คำถามนี้ทำให้ฝ่ายที่เกี่ยวข้องกับความปลอดภัยของข้อมูลและปฏิบัติการต้องทำงานดึกดื่น ด้วยเหตุผลที่ดีนะ

สำหรับการป้องกันแรนซัมแวร์นั้น ไม่มีเทคโนโลยีที่เป็น “ทางลัดวิเศษ” หรอก ไม่ว่าคุณจะใช้เทคโนโลยีไหน ก็ไม่สามารถการันตีว่าจะป้องกันได้ 100% อยู่ตลอดเวลา

แต่โชคดีที่ยังมีขั้นตอนบางอย่าง ที่คุณสามารถทำได้ เพื่อป้องกัน และจำกัดหรือหยุดการระบาดของแรนซัมแวร์

มาลองดูวิธีการเหล่านี้กันก่อน
1. ใช้โซลูชันป้องกันสแปมในการควบคุมดูแลอีเมล
การโจมตีด้วยแรนซัมแวร์หรือมัลแวร์อื่นๆ มักเริ่มด้วยอีเมล “ล่อลวง” หรือก็คือ อีเมลที่หลอกล่อให้ผู้อ่านกดลิงก์ หรือเปิดไฟล์แนบ ซึ่งเมื่อดูคร่าวๆ ไฟล์เหล่านี้มักดูไม่มีพิษภัย และมาจากแหล่งที่น่าเชื่อถือ

หากคุณไม่แน่ใจว่าธนาคารที่ใช้อยู่ส่ง “อีเมลแบบนั้น” ให้คุณทำไม คุณอาจลองไปดูที่อยู่อีเมลผู้ส่งที่แท้จริง (ไม่ใช่ดูแค่ชื่อเมลที่เห็น แต่เป็นที่อยู่อีเมล) เพราะปกติแล้ว อีเมลล่อลวงนั้นจะดูผิดปกติ โดยมีส่วนประกอบของตัวเลข หรือตัวอักษรที่ไม่มีความหมาย

หากเนื้อหาในอีเมลดูปกติ แต่คุณก็ยังไม่มั่นใจ ก็ยังไม่ควรเปิดอีเมล แต่ควรติดต่อบุคคลหรือองค์กรที่ส่งเมลมาเพื่อยืนยันเสียก่อน

โซลูชันป้องกันสแปมช่วยจำกัดโอกาสที่อีเมลพวกนี้จะเข้ามาได้ โดยมีการตรวจสอบเนื้อหาของไฟล์แนบในอีเมล และตรวจสอบความถูกต้องของลิงก์ที่แนบมาในนั้น

หากองค์กรของคุณใช้ Office 365 อยู่แล้ว ซอฟต์แวร์ Microsoft Defender จะทำหน้าที่นี้เอง

การใช้โซลูชันป้องกันสแปมช่วยลดโอกาสการเกิดแรนซัมแวร์ผ่านอีเมลของบริษัทได้ แต่อย่างไรก็ตาม...

หากพนักงานสามารถเข้าอีเมลส่วนตัวด้วยแล็ปท็อปของบริษัทได้ แรนซัมแวร์ก็ยังสามารเข้าถึงอุปกรณ์ปลายทางและการแชร์ไฟล์ได้อยู่ดี ผ่านอีเมลส่วนตัวซึ่งควบคุมไม่ได้

(เราไม่ได้หมายความว่า คุณไม่ควรอนุญาตให้พนักงานเข้าอีเมลส่วนตัวในคอมพิวเตอร์ของบริษัท นั่นเป็นสิ่งที่คุณต้องตัดสินใจเองภายใน เราเพียงอยากชี้ให้เห็นว่าการกระทำนั้นอาจเปิดโอกาสให้เกิดแรนซัมแวร์ขึ้นได้อย่างไรบ้าง)
2. ติดตั้งซอฟต์แวร์ป้องกันที่อุปกรณ์ปลายทาง
อุปกรณ์แต่ละเครื่องควรมีซอฟต์แวร์ป้องกัน คุณอาจนึกถึงซอฟต์แวร์ป้องกันไวรัส แต่จริงๆ แล้ว ซอฟต์แวร์ป้องกันอุปกรณ์ปลายทางมีการป้องกันมากกว่าโปรแกรมป้องกันไวรัสทั่วไป

ซอฟต์แวร์ป้องกันอุปกรณ์ปลายทางนี้ควรติดตั้งในอุปกรณ์ทุกเครื่อง ไม่ว่าจะเป็นระบบ Window, Mac หรือ Linux

ตัวอย่างเช่น เราติดตั้งซอฟต์แวร์ป้องกันอุปกรณ์ปลายทางให้กับลูกค้าผู้ใช้บริการช่วยเหลือด้านความปลอดภัยของเราทุกคน แอปพลิเคชันจะควบคุมดูแลไฟล์ต่างๆ เมื่อถูกเปิดและใช้งาน ผู้ใช้สามารถสแกนหาสิ่งอันตรายได้ตามต้องการ และลูกค้าทุกรายสามารถเข้าถึงรายงานด้านความปลอดภัยแบบละเอียดได้ทาง Portal สำหรับลูกค้า

หนึ่งในความท้าทายที่หลายบริษัทต้องเจอจากซอฟต์แวร์ป้องกันอุปกรณ์ปลายทาง คือ การที่ต้องอัพเดตอยู่สมอ เพราะมัลแวร์ก็มีการปรับตัวและเปลี่ยนแปลงอยู่ตลอดเวลา ทำให้ Microsoft, Apple และแอปพลิเคชันอื่นๆ ปล่อยแพตช์และการอัพเดตด้านความปลอดภัยออกมาใหม่อยู่เรื่อยๆ เพื่อให้โปรโตคอลด้านความปลอดภัยของระบบทันสมัยอยู่เสมอ
ดังนั้น การอัพเดตแพตช์ของระบบปฏิบัติการและแอปพลิเคชันของบุคคลที่สามที่ใช้ในอุปกรณ์และเซิร์ฟเวอร์อยู่เสมอจึงเป็นเรื่องสำคัญ การอัพเดตและแพตช์เหล่านี้ช่วยกำจัดข้อด้อยที่ตรวจพบในระบบ อันอาจก่อให้เกิดแรนซัมแวร์และมัลแวร์อื่นๆ ออกไปได้ก่อนนี่จึงเป็นหนึ่งเหตุผลที่หลายบริษัทหันมาใช้บริการด้านไอทีเพิ่มเติมจากผู้ให้บริการภายนอกแทน บริษัทผู้ให้บริการด้านไอทีสามารถช่วยจัดการและทำงานที่กินเวลาแต่จำเป็นต้องทำเกี่ยวกับการอัพเดตเซิร์ฟเวอร์และอุปกรณ์ปลายทางให้แทนได้
3. ให้พนักงานใช้อุปกรณ์ส่วนตัวผ่านเครือข่ายของ “ผู้มาเยี่ยม” เท่านั้น

หลายบริษัทอนุญาตให้พนักงานใช้อุปกรณ์ส่วนตัวได้ หรือที่เรียกกันว่านโยบายนำเครื่องของตัวเองมาใช้ (Bring Your Own Devices: BYOD)

อุปกรณ์ส่วนตัวเหล่านี้ควรมีการจำกัดให้ใช้ได้แค่เครือข่ายของผู้มาเยี่ยมเท่านั้น ไม่ควรใช้เครือข่ายเดียวกับอุปกรณ์และเซิร์ฟเวอร์ของบริษัท และไม่ควรเข้าถึงเซิร์ฟเวอร์เหล่านั้นได้ทั้งหมดด้วยเช่นกัน

คุณสามารถเพิ่มความปลอดภัยให้อุปกรณ์ส่วนตัวได้โดยใช้โซลูชันจัดการอุปกรณ์เคลื่อนที่ (Mobile Device Management: MDM) แต่ผู้ใช้จำเป็นต้องยอมรับนโยบายเงื่อนไขของ MDM ก่อนใช้งาน ซึ่งอาจมีการล็อกหรือลบข้อมูลในเครื่องที่ถูกระบุว่าเป็นภัยคุกคามด้านความปลอดภัย

หากไม่มี MDM อุปกรณ์ส่วนตัวของคุณไม่มีทางปลอดภัยเทียบเท่ากับอุปกรณ์ของบริษัทได้แน่นอน ซึ่งทำให้ตกอยู่ในความเสี่ยง และหากผู้ประสงค์ร้ายเจาะเข้าเครือข่ายบริษัทของคุณได้ อุปกรณ์ของบริษัททั้งหมดก็ตกอยู่ในความเสี่ยงเช่นกัน

ตัวอย่างเช่น:

  • หากแรนซัมแวร์ถูกติดตั้งลงในอุปกรณ์ส่วนตัวในเครือข่ายของคุณเอง ที่มีไดรฟ์เชื่อมโยงไปสู่เซิร์ฟเวอร์ไฟล์หนึ่ง
  • จะทำให้ไฟล์ทั้งหมดในเซิร์ฟเวอร์นั้นถูกแรนซัมแวร์เจาะเข้ารหัสได้ทั้งหมด แม้จะมีซอฟต์แวร์ป้องกันอุปกรณ์ปลายทางก็ตาม

ภัยคุกคามรูปแบบนี้ยังสามารถเกิดขึ้นได้กับอุปกรณ์ส่วนตัวที่เข้าถึงเครือข่ายอย่างเต็มรูปแบบผ่าน VPN อีกด้วย

จึงทำให้เกิดคำถามที่น่าสนใจว่า:

แล้วทำไมซอฟต์แวร์คุ้มครองอุปกรณ์ปลายทางไม่สามารถตรวจจับภัยคุกคามนี้ได้

ซึ่งก็มีหลายเหตุผล แต่หนึ่งในเหตุผลที่พบได้มาก คือ กระบวนการมุ่งร้ายพวกนี้มักเกิดขึ้นกับอุปกรณ์ส่วนตัว ซึ่งเข้ามาครอบงำไฟล์ในเซิร์ฟเวอร์ที่อยู่ภายใต้การอนุมัติของผู้ใช้อุปกรณ์นั้นๆ ในรูปแบบที่ซอฟต์แวร์คุ้มครองไม่ได้ดูแลอยู่ (ผู้ประสงค์ร้ายที่สร้างแรนซัมแวร์ขึ้นมาเป็นผู้ที่มีความคิดสร้างสรรค์มาก และเป็นอาชญากรทางไซเบอร์ที่มีความสามารถ)

ด้วยเหตุผลนี้เอง เราจึงแนะนำว่า หากอุปกรณ์ส่วนตัวไม่ได้ติดตั้ง MDM ก็ควรถูกจำกัดให้ใช้งานแค่เครือข่ายของผู้มาเยี่ยมเท่านั้น รวมถึงจำกัดการใช้ VPN ด้วย

4. ใช้หลักการให้สิทธิขั้นต่ำ (Least Privilege) ในการอนุญาตผู้ใช้และการเข้าถึง

หลักการให้สิทธิขั้นต่ำ (The Principle of Least Privilege) คือการให้สิทธิผู้ใช้เข้าถึงได้แค่สิ่งที่จำเป็นในการทำงานเท่านั้น ไม่ให้มากกว่านั้น

ซึ่งหลักการนี้มักนำมาใช้มากในการแชร์ไฟล์ เซิร์ฟเวอร์ และการเข้าถึงแอปพลิเคชัน แต่สำหรับอุปกรณ์ทำงานกลับไม่ได้นำมาใช้อย่างเข้มงวดขนาดนั้น บางครั้ง ผู้ใช้ก็ได้รับสิทธิบริหารจัดการสำหรับอุปกรณ์ที่ใช้ทำงาน

หมายความว่า ไม่ว่าจะทำอะไรกับอุปกรณ์นั้น เขาก็มีสิทธิบริหารจัดการได้ทั้งหมด และหากแรนซัมแวร์เจาะเข้าเครื่องนั้นได้ ก็หมายความว่าแฮกเกอร์มีสิทธิบริหารจัดการทุกอย่างในอุปกรณ์เครื่องนั้นได้ ซึ่งเป็นการเพิ่มความเสียหายที่อาจเกิดขึ้น

การจำกัดสิทธิเข้าถึงจึงเป็นขั้นตอนสำคัญในการป้องกันอุปกรณ์จากแรนซัมแวร์

แรนซัมแวร์เข้าถึงได้เฉพาะไฟล์ที่เหยื่อมีสิทธิเข้าถึงเท่านั้น ดังนั้น การจำกัดสิทธิจึงเป็นการจำกัดความเสียหายที่อาจเกิดขึ้นได้

ด้วยเหตุนี้เอง เราจึงแนะนำให้ดำเนินการดังนี้:

  • ผู้ใช้งานอุปกรณ์ปลายทางไม่ควรถูกตั้งค่าให้มีสิทธิบริหารจัดการอุปกรณ์ที่ใช้งานอยู่
  • กลุ่ม “ผู้ใช้โดเมน” ไม่ควรอยู่ในกลุ่มผู้บริหารจัดการสำหรับอุปกรณ์และเซิร์ฟเวอร์ในบริษัท เพราะจะทำให้ผู้ใช้ทุกรายกลายเป็นผู้จัดการอุปกรณ์ทุกชิ้นได้ทั้งหมด
  • ควรตั้งค่าและจำกัดสิทธิเข้าถึงเซิร์ฟเวอร์สำหรับแชร์ไฟล์ หรือ SharePoint และแหล่งอื่นๆ ที่ใช้เก็บไฟล์
  • ควรยกเลิกการแชร์เซิร์ฟเวอร์และอุปกรณ์ปลายทางที่ไม่จำเป็น
5. มีโปรแกรมการฝึกอบรมเพื่อการตระหนักรู้ด้านความปลอดภัยที่ดี

องค์กรอาจได้ประโยชน์จากการฝึกอบรมพนักงานเรื่องวิธีการหลีกเลี่ยงการตกเป็นเหยื่อของอีเมลล่อลวงและควรมีการทดสอบพนักงานอยู่เสมอ เช่น จำลองการโจมตีด้วยอีเมลล่อลวง

6. เก็บข้อมูลสำรองไว้ภายนอก

“ข้อมูลสำรองภายนอก” หมายถึง ข้อมูลเหล่านี้ไม่สามารถเข้าถึงได้ด้วยเครือข่ายของบริษัท ซึ่งเป็นสิ่งสำคัญหากแรนซัมแวร์เจาะเข้าเครือข่ายมาได้

ถ้าระบบป้องกันส่วนอื่นใช้งานไม่ได้ คุณก็ยังมีข้อมูลสำรองที่สมบูรณ์และเป็นปัจจุบันให้ดึงกลับมาใช้งานได้อีกครั้ง เพราะคุณก็อาจสูญเสียไฟล์บางส่วนไปได้ แม้จะจำกัดการระบาดนั้นไว้ได้แล้ว การเก็บข้อมูลสำรองไว้ภายนอกจึงช่วยหลีกเลี่ยงความเสี่ยงในการสูญเสียข้อมูลได้

แรนซัมแวร์ลุกลามไปได้อย่างรวดเร็ว มันจะไล่ยึดไฟล์ของคุณ รวมถึงข้อมูลสำรองด้วย เพื่อให้มั่นใจว่าคุณจะยอมจ่ายค่าไถ่เพื่อเอาข้อมูลคืนมา การเก็บข้อมูลสำรองไว้ภายนอกจึงอาจช่วยคุณประหยัดเงินไปได้หลายแสน หรืออาจเป็นหลายล้านเหรียญก็ได้

7. เพิ่มโซลูชันการควบคุมเพื่อป้องกันองค์กรของคุณจากแรนซัมแวร์

โซลูชันการควบคุมเป็นวิธีการใหม่ที่ใช้ป้องกันแรนซัมแวร์ โดยแอปพลิเคชันทำหน้าที่ควบคุมการแชร์ไฟล์ เมื่อใดก็ตามที่ตรวจพบการระบาดของแรนซัมแวร์ แอปพลิเคชันนี้จะแยกอุปกรณ์เครื่องนั้นออกจากเครือข่ายทันที เพื่อจำกัดการระบาด จากนั้น คุณก็แค่ดึงข้อมูลกลับมาจากแหล่งเก็บข้อมูลสำรองภายนอก 

How to prevent ransomware

ที่มา:  RICOH USA   

 


News & Events

Keep up to date