ในช่วงหลายปีหลังมานี้ ทุกท่านจะได้รับรู้เกี่ยวกับความเสียหายจากภัยทางอินเตอร์เน็ตทางสื่อต่างๆ มากขึ้นเรื่อยๆ ซึ่งภัยต่างๆ นั้นมาจากหลายรูปแบบ ซี่งความเสียภายนั้นนอกจากจะเกิดขึ้นกับองค์กรขนาดใหญ่แล้ว ปัจจุบันยังลามมาถึงความเสียหายส่วนบุคคล เช่นการ แฮ็กอินเตอร์เน็ต Banking
ทั้งผู้เชี่ยวชาญทางคอมพิวเตอร์ เจ้าของกิจการ รวมไปถึงนักการเมืองหรือผู้บริหารประเทศในปัจจุบันต่างแสดงความกังวลต่อภัยทางอินเตอร์เน็ตดังกล่าว เช่นภัยทาง Smartphone ซึ่งเมื่อผู้ใช้งานอินเตอร์เน็ตส่วนใหญ่นั้นมีการเชื่อมต่อกับอินเตอร์เน็ตตลอดเวลาเช่นปัจจุบัน ความเสี่ยงที่จะได้รับภัยทางอินเตอร์เน็ตจะมาจากหลายๆ รูปแบบเช่น อีเมล SMS หรือว่า Link ทางเว็บและ Social Media
วันนี้เราจะมาพูดถึงสิ่งที่เรียกว่า Persistent threat ซึ่งคือ Ransomware เพราะปัจจุบันยังคงเป็นสิ่งที่สร้างความเสียหายให้กับภาคธุรกิจเป็นอย่างมาก โดยมีการคาดการจากผู้เชี่ยวชาญกว่า ในปี 2021 นั้นมีความเสียหายเกิดขึ้นถึง 2 หมื่นล้านเหรียญสหรัฐ และมีการคาดการว่าความเสียหายจะกระโดดขึ้นมาเป็น 265 แสนล้านเหรียญสหรัฐ ภายในปี 2031 จากตัวเลชดังกล่าวท่านจะเห็นว่า ในแต่ละปีนั้นความเสียเกิดขึ้นอย่างก้าวกระโดดเพียงใด สำหรับ ransomware นั้นเป็นภัยที่เข้ามาในระบบคอมพิวเตอร์เราแล้วจะทำการเข้ารหัสไฟล์แล้ว ตัว ransomware จะทำการสร้าง text file ให้กับท่านอ่าน วิธีการถอดรหัส ซึ่งท่านจะต้องจ่ายเงินเรียกค่าไถ่ ก่อนที่จะได้รับโปรแกรมถอดรหัส และ ที่แย่ยิ่งกว่านั้น ถึงแม้ว่าจะมีผู้ที่จ่ายเงิน แต่เกินกว่า 80% ไม่ได้โปรแกรมถอดรหัสหลังจากจ่ายเงินเรียบร้อยแล้ว เพราะฉะนั้นการที่ท่านจะเสียเงินไปนั้น ย่อมเป็นทางเลือกที่ไม่ดีเลย ซึ่งทำให้เราเหลือทางเลือกในการปกป้องต้นเองเพียงอย่างเดียวคือ การปกป้องระบบตนเอง และ จำกัดความเสียที่จะเกิดขึ้น กรณีที่มีผู้ใช้งาน ransomware เข้าสู่ระบบ
รูปที่ 1 แสดงการติด ransomware
ทุกท่านจะต้องไม่ลืมว่า ransomware นั้นเป็นแค่เพียงหนึ่งใน cyberthreat หลายต่อหลายตัวที่มีอยู่ในปัจจุบัน แต่เนื่องจาก ransomware นั้นสร้างความเสียหายอย่างมาก เราจึงต้องนำเสนอเรื่องนี้ก่อน พร้อมวิธีการป้องกัน
สำหรับวิธีการป้องกันนั้น เราจะต้องเรียกว่า จะต้องใช้เทคนิคแบบองค์รวม หรือ comprehensive protection approach เพราะการเข้ามาถึง ransomware นั้นอาจจะเข้ามาจากหลายๆ ทาง การป้องกันจึงจะต้องอาศัยความรู้จากหลายๆ ศาสตร์เข้าด้วยกัน ซึ่งแน่นอนว่า สิ่งที่เราแนะนำเหล่านี้อาจจะไม่ครอบคลุมได้ แต่เราคิดว่าคงจะมีประโยชน์บ้างไม่มากก็น้อยในการปกป้องตนเอง และ ระบบของท่านให้ห่างไกลจาก ransomware
- ในเรื่องการอัพเดทระบบ เช่น ครั้งหนึ่งเคยมีช่องโหว่เกิดขึ้นใน RDP Protocol ซึ่งทำให้ ransomware จู่โจมได้ เพราะฉะนั้น การอัพเดทระบบปฏิบัติการนั้น เป็นสิ่งสำคัญอันดับแรกเลยที่ท่านจะต้องทำอย่างสม่ำเสมอ ไม่ว่าท่านจะใช้ระบบปฏิบัติการ Linux หรือ Server
รูปที่ 2 แสดงการตั้งค่าให้ Windows Server ทำการติดตั้ง ในเวลาที่กำหนด และ แจ้งเตือน
ส่วนผู้ที่ใช้ Linux เช่น Ubuntu ท่านสามารถทำการตั้งค่าการติดตั้งอัพเดทอัตโนมัติโดยใช้คำสั่ง
sudo dpkg-reconfigure -plow unattended-upgrades
2. บริหารการเข้าถึงและการใช้งานสิทธิ์ระดับผู้บริหารระบบ ทั้งนี้เพราะการใช้ username ในระดับ Administrator ในสภาพแวดล้อมแบบ Windows หรือ root สำหรับ Linux นั้น ย่อมหมายถึงโปรแกรมใดๆ ก็ตามที่ทำงานขึ้นมานั้น สามารถทำทุกอย่างได้ในระบบ ดังนั้นให้ท่านจิตนาการว่า เมื่อท่านใช้สิทธิ์ของ Administrator ทำการไปดับเบิ้ลคลิ้กที่เป็น ransomware ที่ติดมากับอีเมล์ หรือว่า คลิ้กไฟล์ประเภท crack file เพื่อจะทำการ crack โปรแกรม แต่ว่าโปรแกรมดังกล่าวนั้นฝัง ransomware มา เมื่อ ransomware ทำงานด้วยสิทธิ์ของ Administrator มันจะทำการเข้าถึงทุกเครื่องในระบบ และ ทำการ encrypt file ทั้งหมด นั่นหมายความว่า ก่อนการใช้สิทธิ์ของ Administrator ดับเบิ้ลคลิ้กโปรแกรมใดๆ ท่านจะต้องมั่นใจอย่างมากว่า ไฟล์นั้นมาจากแหล่งที่เชื่อถือได้เท่านั้น หรือหากไม่แน่ใจ ให้ท่านทำในสภาพแวดล้อมที่ isolated
3. ออกแบบระบบ Backup ให้อิสระจากระบบหลัก (Production) เช่นในการติดตั้งระบบ Backup ท่านจะต้องไม่ให้ Backup Server ทำการ Join Domain (Active Directory) เด็ดขาด เพราะเมื่อใดก็ตามที่ ระบบ Windows Active Directory ติด ransomware ทั้งระบบแล้ว ransomware จะทำการเข้ารหัส Backup Server ด้วย เพราะฉะนั้นท่านจะต้อง ทำการติดตั้ง ระบบ Backup ที่อิสระ และ ไม่สามารถใช้ Single Sign-On (SSO) ของ Windows Active Directory ได้ แต่ทั้งนี้ ก็ขึ้นอยู่กับ Backup Solution ที่ท่านใช้ แต่ถ้าท่านใช้ Backup Software ที่รันบน Linux เช่น Nakivo , Vinchin ซึ่งอิสระอยู่แล้วท่านก็จะปลอดภัย แต่ถ้าท่านใช้ Veeam ซึ่งรันบน Windows Based ท่านก็จะต้องไม่เอา Veeam Backup Server ไป join Domain
4. ท่านจะต้องใช้เทคโนโลยีใหม่ ๆ ที่มี มาช่วยป้องกันไฟล์ที่อาจจะถูกเปลี่ยนแปลงได้ เช่น Immutable Backup ใน Veeam ซึ่งเป็น Feature ที่ทำมาเพื่อป้องกัน ransomware โดยเฉพาะ โดย ฟีเจอร์ดังกล่าว จะช่วยบล็อกไม่ให้โปรแกรมหรือโปรเซสใดๆ ทำการเปลี่ยนแปลงไฟล์ในเวลาที่เรากำหนด (Hardened Repository)
5. พิจารณาการใช้ฟีเจอร์ Backup Vault ใน Cloud Service Provider เพื่อสำรองข้อมูลไปยัง Cloud และล็อกการเขียนหรือเปลี่ยนแปลงไฟล์ ซึ่งไม่ว่า Azure, Amazon หรือ Google Cloud ก็ล้วนมีฟีเจอร์ดังกล่าวทั้งสิ้น
6. ท่านจะต้องไม่ทำการคลิ้กไฟล์ จาก Link ในอีเมล์ SMS หรือ จากทุกสื่อจากช่องทางที่ไม่น่าเชื่อถือ โดยเฉพาะในอีเมล์ ที่มีการพยายามหลอกลวงท่าน ด้วยข้อความที่แอบอ้างในรูปแบบต่างๆ เช่น อ้างเป็นลูกค้า อ้างเป็นเพื่อน อ้างเพื่อขอความช่วยเหลือ อ้างเพื่อเสนอเงินหรือสิ่งตอบแทน
สรุป : ทั้ง 6 ข้อข้างต้น ถึงแม้จะเป็นครอบคลุมถึงการป้องกันส่วนใหญ่แล้ว แต่ก็ไม่ได้ 100% ซึ่งต้องอาศัยการปกป้องแบบองค์รวม หากท่านไม่มั่นใจ หรือ ต้องการปรึกษา เรายินดีอย่างยิ่งที่จะช่วยให้ระบบของท่านปลอดภัย จากภัยใน ไซเบอร์จากทุกรูปแบบ