10 ความเข้าใจผิดในการป้องกันภัยคุกคามทางไซเบอร์

 กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ

10 ความเข้าใจผิดในการป้องกันภัยคุกคามทางไซเบอร์ 

เอกสาร

 เผยเเพร่: 2021-06-01  |   ข่าววันที่: 2021-06-01 |  อ่าน: 180 ครั้ง
 

Sophos ได้สรุป 10 ประเด็นความเข้าใจผิดในการป้องกันภัยคุกคามทางไซเบอร์จากเรื่องราวประสบการณ์ของตนที่ได้ออกไปช่วยเหลือลูกค้ามากมายในรอบ 1 ปีที่ผ่านมา ซึ่งเราเห็นว่าน่าจะเป็นกรณีศึกษาที่เกิดประโยชน์แก่องค์กร จึงได้สรุปมาให้ได้ติดตามกันครับ

1.) องค์กรเล็กไม่ใช่เป้าหมายของการโจมตีเพราะไม่ได้สินทรัพย์มีค่า

การโจมตีส่วนใหญ่ไม่ได้มากจากคนร้ายระดับชาติด้วยซ้ำ ดังนั้นเหยื่อที่ปล่อยปละละเลยในการป้องกันย่อมเป็นเป้าหมายได้เสมอ ตราบใดที่บริษัทของคุณยังใช้งานระบบดิจิทัล

2.) ไม่ได้ต้องการเทคโนโลยี Security ขั้นสูง

หลายองค์กรยังเข้าใช้ผิดว่าซอฟต์แวร์ Endpoint Security เพียงพอกับการใช้ป้องกันขององค์กร หรือไม่มีต้องมีอะไรป้องกันเซิร์ฟเวอร์เลยก็ได้ ประสบการณ์ทีมงานของ Sophos Rapid Response บอกได้เลยว่าผิดมหันต์ เพราะเซิร์ฟเวอร์นี่แหละมักตกเป็นเป้าหมายอันดับหนึ่ง ในที่สุดแล้วคนร้ายก็จะหาทางเข้ามาได้ ไม่ว่าจากเทคนิคซับซ้อนหรือ Social Engineering ซึ่งการป้องกันอย่างสมบูรณ์เป็นเรื่องยากมาก แต่สิ่งที่ต้องทำคือการตรวจจับพฤติกรรมให้ได้ ซึ่งต้องพึ่งพาเทคโนโลยีขั้นสูงอย่าง AI และเครื่องมือตรวจจับพฤติกรรม หรือทีม SOC แบบ 24/7

3.) มีนโยบายด้าน Security แข็งแกร่งมาก

การมีนโยบายด้าน Security บังคับใช้กับแอปพลิเคชันหรือ User เป็นเรื่องที่ดีแล้ว หากแต่มีการอัปเดตตามฟังก์ชันตามความเก่งของอุปกรณ์หรือจำนวนอุปกรณ์ที่เพิ่มขึ้นบ้างหรือไม่ นอกจากนี้ควรมีการตรวจสอบภาคปฏิบัติด้วยการทดลองเจาะระบบ, ทำ Tabletop เพื่อหาวิธีป้องกัน หรือลองจำลองแผน DR

4.) บล็อกไอพีจากภูมิภาคที่มีความเสี่ยงทำให้รอดจากภัยคุกคามฝั่งนั้นแล้ว

มีผู้ดูแลระบบหลายคนคิดว่าการแบนไอพีจากประเทศที่มีชื่อเสียงน่ากลัวทางไซเบอร์แล้วจะรอดเช่น จีน รัสเซีย เกาหลีเหนือ แม้ว่าไม่ใช่เรื่องผิดอะไร แต่ไม่ควรคิดว่าคุณปลอดภัยแล้ว เพราะบอกได้เลยว่าปกติคนร้ายมักมีเครื่องปฏิบัติการที่ตั้งอยู่ในประเทศอื่นอย่าง อเมริกา และในทวีปยุโรป

5.) เปลี่ยนพอร์ตการใช้งาน RDP ช่วยป้องกันการโจมตีได้

พอร์ตเป็นตัวบ่งบอกบริการที่เปิดอยู่ แต่ไม่ว่าจะพยายามเปลี่ยนหนียังไงก็ไม่พ้นความสามารถของเครื่องมือสแกนของคนร้ายอยู่ดี ดังนั้นถึงจะหนีไปใช้พอร์ตอื่นก็ลดความเสี่ยงไปได้น้อยมาก รวมไปถึงควรอนุญาต RDP จากภายในองค์กรเท่านั้น ( VPN เข้ามาก่อน) อย่างไรก็ดีกลยุทธ์นี้อาจไม่ได้ผลหากเครือข่ายมีรูรั่วอยู่แล้ว ด้วยเหตุนี้เองอีกมาตรการที่ดีคือเรื่องของ MFA แต่ก็ต้องถูกบังคับใช้ไปกับพนักงานทุกคนและอุปกรณ์ด้วย มิเช่นนั้นก็คงไม่เกิดประโยชน์อะไร

6.) มี Backup แล้วคงไม่ได้รับผลกระทบจาก Ransomware

การทำ Backup นั้นเป็นเรื่องจำเป็นอยู่แล้ว อย่างไรก็ดีการทำ Backup ขององค์กรนั้นเป็นไปทางที่ถูกต้องหรือไม่ ยิ่งถ้าหากเครื่อง Backup นั้นเชื่อมต่อกับระบบเครือข่ายอยู่นั่นก็แปลว่าคนร้ายก็เข้าไปโจมตีได้อยู่ดี อีกหนึ่งมาตรการอย่างจำกัดผู้เข้าถึง Backup นั้นเป็นเรื่องที่ดี แต่ก็ไม่ได้เสริมสร้างความมั่นคงปลอดภัยได้ขนาดนั้น เพราะคนร้ายอาจจะเฝ้าดูผู้ที่ได้รับอนุญาตอยู่ ด้วยเหตุนี้เองมาตรการ 3-2-1 อย่างการ Backup 3 ชุด เก็บไว้ใน 2 ระบบที่แยกจากกันและ Offline ไว้ 1 ชุดจึงเป็นเรื่องที่เหมาะสม

สำหรับผู้ที่ backup ไว้บนคลาวด์ซึ่งดูเหมือนจะปลอดภัย แต่ทีมงาน Sophos เคยพบเคสที่ว่าคนร้ายแฮ็กบัญชีแอดมินได้และอีเมลไปแจ้งผู้ให้บริการคลาวด์ช่วยลบข้อมูล backup ทั้งหมดออก แล้วได้ผลด้วยเนื่องจากผู้ให้บริการปฏิบัติตาม อย่างไรก็ดีสุดท้ายแล้วแม้จะลดผลกระทบลงได้ แต่ทั้งหมดก็ไม่ได้ช่วยอะไรจากการถูกข่มขู่เปิดเผยข้อมูลที่ขโมยออกไปได้

7.) พนักงานเข้าใจดีเรื่อง Security

จากรายงานพบว่าองค์กรกว่า 22% ประเมินตนเองแล้วว่าในอนาคต 12 เดือนข้างหน้าอาจจะถูก Ransomware โจมตี ด้วยสาเหตุเพราะไม่สามารถป้องกันพนักงานของตัวเองได้ อันที่จริงเรื่องเหล่านี้ไม่ง่ายเลยเพราะกลเม็ดใหม่ที่คนร้ายสร้างนั้น ล่อลวงด้วยข้อมูลแม่นยำอย่างน่าสนใจเพื่อเจาะจงเป้าหมายง โดยเฉพาะอีเมล Phishing ที่นับวันจะดูยากขึ้นมาก

8.) คิดว่าทีม Incident Response สามารถกู้คืนข้อมูลได้

การโจมตีสมัยใหม่นั้นน้อยครั้งมากที่แฮ็กเกอร์จะเหลือความผิดพลาดเอาไว้ พูดกันตรงๆคืออย่าง Ransomware แทบจะไม่มีหวังในการกู้ข้อมูลเลย เพราะอัลกอริทึมการเข้ารหัสก็พัฒนาขึ้นมาก Windows Volume Shadow Copies ที่คอย backup อัตโนมัติก็โดนลบ บางทีมีการเขียนทับข้อมูลในดิสก์อีก

9.) จ่ายเงินเรียกค่าไถ่แล้วจะได้ข้อมูลคืน

หลายองค์กรคิดว่าจ่ายเงินค่าไถ่ได้ข้อมูลคืนมาแล้วเรื่องจะจบ แต่อันที่จริงแล้วยังมีค่าใช้จ่ายแฝงอยู่แม้ได้ข้อมูลคืนแต่หลายเหตุการณ์ที่ Ransomware นั้นสร้างความเสียหายต่อคอมพิวเตอร์และ ซอฟต์แวร์ กระทั่งว่าต้องไปเริ่มต้นเซ็ตอัปกันใหม่แล้วค่อยนำข้อมูลมาใส่ นอกจากนี้ยังไม่นับเรื่องจ่ายไปแล้วไม่ได้ข้อมูลกลับมาหรือได้กลับมาไม่ครบ

10.) รอดจากการปล่อนแรนซัมแวร์ได้คือจบงาน

ขั้นตอนการโจมตีด้วยแรนซัมแวร์คือเมื่อคนร้ายพร้อมประกาศให้องค์กรรู้แล้วว่าต้องการอะไร แต่คนร้ายอาจเข้ามาได้ก่อนหน้านั้นนานเท่าไหร่ไม่มีใครรู้ได้ จนกระทั่งคนร้ายเสร็จปฏิบัติการค้นหา ตรวจสอบ และลบร่องรอยตัวเอง หรือฝังรากลึกไปที่ไหนสักแห่งที่รอคอยวันกลับมาหากองค์กรกำจัดไปได้ไม่หมด

ที่มา : https://news.sophos.com/.../top-10-security-misperceptions/

 Tags

  •  Hits 10 อันดับ
  • วันฉัตรมงคล.. (1,331)  พระเจ้าวรวงศ์เธอ พระองค์เจ้าโสมสวลี กรมหมื่นสุทธนารีนาถ.. (1,139) วันคล้ายวันสวรรคตพระบาทสมเด็จพระบรมชนกาธิเบศร มหาภูมิพลอดุลยเดชมหาราช บรมนาถบพิตร.. (912) “โครงการพัฒนาอาชีพและเสริมสร้างความเข้มแข็งของชุมชนประมงพื้นบ้าน ครั้งที่ ๑/๒๕๖๓".. (880) วันที่ 3 มิถุนายน ของทุกปี ซึ่งเป็นวันเฉลิมพระชนมพรรษา สมเด็จพระนางเจ้าสุทิดา พัชรสุธาพิมลลักษณ พระบรมราชินี เป็นวันหยุดราชการประจำปี .. (803) วันจักรี (Chakri Memorial Day).. (771) วันพืชมงคล ปี ๒๕๖๓.. (750) วันคล้ายวันพระราชสมภพ สมเด็จพระกนิษฐาธิราชเจ้า กรมสมเด็จพระเทพรัตนราชสุดาฯ สยามบรมราชกุมารี 65 พรรษา .. (749) กรมประมง...เปิดบ้านจัดงาน“ชาตินิยมกะพงไทย” (Seabass Fair) .. (687) 12 สิงหาคม 2563 วันแม่แห่งชาติ.. (679)

    สงวนลิขสิทธิ์ พ.ศ.2565 กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ

     กรมประมง 50 ถนน พหลโยธิน ถนน พหลโยธิน แขวง ลาดยาว เขตจตุจักร กรุงเทพมหานคร