วิธีป้องกันการโจมตีจากแรนซัมแวร์
“เราจะป้องกันแรนซัมแวร์ได้อย่างไร”
คำถามนี้ทำให้ฝ่ายที่เกี่ยวข้องกับความปลอดภัยของข้อมูลและปฏิบัติการต้องทำงานดึกดื่น ด้วยเหตุผลที่ดีนะ
สำหรับการป้องกันแรนซัมแวร์นั้น ไม่มีเทคโนโลยีที่เป็น “ทางลัดวิเศษ” หรอก ไม่ว่าคุณจะใช้เทคโนโลยีไหน ก็ไม่สามารถการันตีว่าจะป้องกันได้ 100% อยู่ตลอดเวลา
แต่โชคดีที่ยังมีขั้นตอนบางอย่าง ที่คุณสามารถทำได้ เพื่อป้องกัน และจำกัดหรือหยุดการระบาดของแรนซัมแวร์
มาลองดูวิธีการเหล่านี้กันก่อน
1. ใช้โซลูชันป้องกันสแปมในการควบคุมดูแลอีเมล
การโจมตีด้วยแรนซัมแวร์หรือมัลแวร์อื่นๆ มักเริ่มด้วยอีเมล “ล่อลวง” หรือก็คือ อีเมลที่หลอกล่อให้ผู้อ่านกดลิงก์ หรือเปิดไฟล์แนบ ซึ่งเมื่อดูคร่าวๆ ไฟล์เหล่านี้มักดูไม่มีพิษภัย และมาจากแหล่งที่น่าเชื่อถือหากคุณไม่แน่ใจว่าธนาคารที่ใช้อยู่ส่ง “อีเมลแบบนั้น” ให้คุณทำไม คุณอาจลองไปดูที่อยู่อีเมลผู้ส่งที่แท้จริง (ไม่ใช่ดูแค่ชื่อเมลที่เห็น แต่เป็นที่อยู่อีเมล) เพราะปกติแล้ว อีเมลล่อลวงนั้นจะดูผิดปกติ โดยมีส่วนประกอบของตัวเลข หรือตัวอักษรที่ไม่มีความหมาย
หากเนื้อหาในอีเมลดูปกติ แต่คุณก็ยังไม่มั่นใจ ก็ยังไม่ควรเปิดอีเมล แต่ควรติดต่อบุคคลหรือองค์กรที่ส่งเมลมาเพื่อยืนยันเสียก่อน
โซลูชันป้องกันสแปมช่วยจำกัดโอกาสที่อีเมลพวกนี้จะเข้ามาได้ โดยมีการตรวจสอบเนื้อหาของไฟล์แนบในอีเมล และตรวจสอบความถูกต้องของลิงก์ที่แนบมาในนั้น
หากองค์กรของคุณใช้ Office 365 อยู่แล้ว ซอฟต์แวร์ Microsoft Defender จะทำหน้าที่นี้เอง
การใช้โซลูชันป้องกันสแปมช่วยลดโอกาสการเกิดแรนซัมแวร์ผ่านอีเมลของบริษัทได้ แต่อย่างไรก็ตาม...
หากพนักงานสามารถเข้าอีเมลส่วนตัวด้วยแล็ปท็อปของบริษัทได้ แรนซัมแวร์ก็ยังสามารเข้าถึงอุปกรณ์ปลายทางและการแชร์ไฟล์ได้อยู่ดี ผ่านอีเมลส่วนตัวซึ่งควบคุมไม่ได้
(เราไม่ได้หมายความว่า คุณไม่ควรอนุญาตให้พนักงานเข้าอีเมลส่วนตัวในคอมพิวเตอร์ของบริษัท นั่นเป็นสิ่งที่คุณต้องตัดสินใจเองภายใน เราเพียงอยากชี้ให้เห็นว่าการกระทำนั้นอาจเปิดโอกาสให้เกิดแรนซัมแวร์ขึ้นได้อย่างไรบ้าง)
2. ติดตั้งซอฟต์แวร์ป้องกันที่อุปกรณ์ปลายทาง
อุปกรณ์แต่ละเครื่องควรมีซอฟต์แวร์ป้องกัน คุณอาจนึกถึงซอฟต์แวร์ป้องกันไวรัส แต่จริงๆ แล้ว ซอฟต์แวร์ป้องกันอุปกรณ์ปลายทางมีการป้องกันมากกว่าโปรแกรมป้องกันไวรัสทั่วไปซอฟต์แวร์ป้องกันอุปกรณ์ปลายทางนี้ควรติดตั้งในอุปกรณ์ทุกเครื่อง ไม่ว่าจะเป็นระบบ Window, Mac หรือ Linux
ตัวอย่างเช่น เราติดตั้งซอฟต์แวร์ป้องกันอุปกรณ์ปลายทางให้กับลูกค้าผู้ใช้บริการช่วยเหลือด้านความปลอดภัยของเราทุกคน แอปพลิเคชันจะควบคุมดูแลไฟล์ต่างๆ เมื่อถูกเปิดและใช้งาน ผู้ใช้สามารถสแกนหาสิ่งอันตรายได้ตามต้องการ และลูกค้าทุกรายสามารถเข้าถึงรายงานด้านความปลอดภัยแบบละเอียดได้ทาง Portal สำหรับลูกค้า
หนึ่งในความท้าทายที่หลายบริษัทต้องเจอจากซอฟต์แวร์ป้องกันอุปกรณ์ปลายทาง คือ การที่ต้องอัพเดตอยู่สมอ เพราะมัลแวร์ก็มีการปรับตัวและเปลี่ยนแปลงอยู่ตลอดเวลา ทำให้ Microsoft, Apple และแอปพลิเคชันอื่นๆ ปล่อยแพตช์และการอัพเดตด้านความปลอดภัยออกมาใหม่อยู่เรื่อยๆ เพื่อให้โปรโตคอลด้านความปลอดภัยของระบบทันสมัยอยู่เสมอ
ดังนั้น การอัพเดตแพตช์ของระบบปฏิบัติการและแอปพลิเคชันของบุคคลที่สามที่ใช้ในอุปกรณ์และเซิร์ฟเวอร์อยู่เสมอจึงเป็นเรื่องสำคัญ การอัพเดตและแพตช์เหล่านี้ช่วยกำจัดข้อด้อยที่ตรวจพบในระบบ อันอาจก่อให้เกิดแรนซัมแวร์และมัลแวร์อื่นๆ ออกไปได้ก่อนนี่จึงเป็นหนึ่งเหตุผลที่หลายบริษัทหันมาใช้บริการด้านไอทีเพิ่มเติมจากผู้ให้บริการภายนอกแทน บริษัทผู้ให้บริการด้านไอทีสามารถช่วยจัดการและทำงานที่กินเวลาแต่จำเป็นต้องทำเกี่ยวกับการอัพเดตเซิร์ฟเวอร์และอุปกรณ์ปลายทางให้แทนได้
3. ให้พนักงานใช้อุปกรณ์ส่วนตัวผ่านเครือข่ายของ “ผู้มาเยี่ยม” เท่านั้น
หลายบริษัทอนุญาตให้พนักงานใช้อุปกรณ์ส่วนตัวได้ หรือที่เรียกกันว่านโยบายนำเครื่องของตัวเองมาใช้ (Bring Your Own Devices: BYOD)
อุปกรณ์ส่วนตัวเหล่านี้ควรมีการจำกัดให้ใช้ได้แค่เครือข่ายของผู้มาเยี่ยมเท่านั้น ไม่ควรใช้เครือข่ายเดียวกับอุปกรณ์และเซิร์ฟเวอร์ของบริษัท และไม่ควรเข้าถึงเซิร์ฟเวอร์เหล่านั้นได้ทั้งหมดด้วยเช่นกัน
คุณสามารถเพิ่มความปลอดภัยให้อุปกรณ์ส่วนตัวได้โดยใช้โซลูชันจัดการอุปกรณ์เคลื่อนที่ (Mobile Device Management: MDM) แต่ผู้ใช้จำเป็นต้องยอมรับนโยบายเงื่อนไขของ MDM ก่อนใช้งาน ซึ่งอาจมีการล็อกหรือลบข้อมูลในเครื่องที่ถูกระบุว่าเป็นภัยคุกคามด้านความปลอดภัย
หากไม่มี MDM อุปกรณ์ส่วนตัวของคุณไม่มีทางปลอดภัยเทียบเท่ากับอุปกรณ์ของบริษัทได้แน่นอน ซึ่งทำให้ตกอยู่ในความเสี่ยง และหากผู้ประสงค์ร้ายเจาะเข้าเครือข่ายบริษัทของคุณได้ อุปกรณ์ของบริษัททั้งหมดก็ตกอยู่ในความเสี่ยงเช่นกัน
ตัวอย่างเช่น:
- หากแรนซัมแวร์ถูกติดตั้งลงในอุปกรณ์ส่วนตัวในเครือข่ายของคุณเอง ที่มีไดรฟ์เชื่อมโยงไปสู่เซิร์ฟเวอร์ไฟล์หนึ่ง
- จะทำให้ไฟล์ทั้งหมดในเซิร์ฟเวอร์นั้นถูกแรนซัมแวร์เจาะเข้ารหัสได้ทั้งหมด แม้จะมีซอฟต์แวร์ป้องกันอุปกรณ์ปลายทางก็ตาม
ภัยคุกคามรูปแบบนี้ยังสามารถเกิดขึ้นได้กับอุปกรณ์ส่วนตัวที่เข้าถึงเครือข่ายอย่างเต็มรูปแบบผ่าน VPN อีกด้วย
จึงทำให้เกิดคำถามที่น่าสนใจว่า:
แล้วทำไมซอฟต์แวร์คุ้มครองอุปกรณ์ปลายทางไม่สามารถตรวจจับภัยคุกคามนี้ได้
ซึ่งก็มีหลายเหตุผล แต่หนึ่งในเหตุผลที่พบได้มาก คือ กระบวนการมุ่งร้ายพวกนี้มักเกิดขึ้นกับอุปกรณ์ส่วนตัว ซึ่งเข้ามาครอบงำไฟล์ในเซิร์ฟเวอร์ที่อยู่ภายใต้การอนุมัติของผู้ใช้อุปกรณ์นั้นๆ ในรูปแบบที่ซอฟต์แวร์คุ้มครองไม่ได้ดูแลอยู่ (ผู้ประสงค์ร้ายที่สร้างแรนซัมแวร์ขึ้นมาเป็นผู้ที่มีความคิดสร้างสรรค์มาก และเป็นอาชญากรทางไซเบอร์ที่มีความสามารถ)
ด้วยเหตุผลนี้เอง เราจึงแนะนำว่า หากอุปกรณ์ส่วนตัวไม่ได้ติดตั้ง MDM ก็ควรถูกจำกัดให้ใช้งานแค่เครือข่ายของผู้มาเยี่ยมเท่านั้น รวมถึงจำกัดการใช้ VPN ด้วย
4. ใช้หลักการให้สิทธิขั้นต่ำ (Least Privilege) ในการอนุญาตผู้ใช้และการเข้าถึง
หลักการให้สิทธิขั้นต่ำ (The Principle of Least Privilege) คือการให้สิทธิผู้ใช้เข้าถึงได้แค่สิ่งที่จำเป็นในการทำงานเท่านั้น ไม่ให้มากกว่านั้น
ซึ่งหลักการนี้มักนำมาใช้มากในการแชร์ไฟล์ เซิร์ฟเวอร์ และการเข้าถึงแอปพลิเคชัน แต่สำหรับอุปกรณ์ทำงานกลับไม่ได้นำมาใช้อย่างเข้มงวดขนาดนั้น บางครั้ง ผู้ใช้ก็ได้รับสิทธิบริหารจัดการสำหรับอุปกรณ์ที่ใช้ทำงาน
หมายความว่า ไม่ว่าจะทำอะไรกับอุปกรณ์นั้น เขาก็มีสิทธิบริหารจัดการได้ทั้งหมด และหากแรนซัมแวร์เจาะเข้าเครื่องนั้นได้ ก็หมายความว่าแฮกเกอร์มีสิทธิบริหารจัดการทุกอย่างในอุปกรณ์เครื่องนั้นได้ ซึ่งเป็นการเพิ่มความเสียหายที่อาจเกิดขึ้น
การจำกัดสิทธิเข้าถึงจึงเป็นขั้นตอนสำคัญในการป้องกันอุปกรณ์จากแรนซัมแวร์
แรนซัมแวร์เข้าถึงได้เฉพาะไฟล์ที่เหยื่อมีสิทธิเข้าถึงเท่านั้น ดังนั้น การจำกัดสิทธิจึงเป็นการจำกัดความเสียหายที่อาจเกิดขึ้นได้
ด้วยเหตุนี้เอง เราจึงแนะนำให้ดำเนินการดังนี้:
- ผู้ใช้งานอุปกรณ์ปลายทางไม่ควรถูกตั้งค่าให้มีสิทธิบริหารจัดการอุปกรณ์ที่ใช้งานอยู่
- กลุ่ม “ผู้ใช้โดเมน” ไม่ควรอยู่ในกลุ่มผู้บริหารจัดการสำหรับอุปกรณ์และเซิร์ฟเวอร์ในบริษัท เพราะจะทำให้ผู้ใช้ทุกรายกลายเป็นผู้จัดการอุปกรณ์ทุกชิ้นได้ทั้งหมด
- ควรตั้งค่าและจำกัดสิทธิเข้าถึงเซิร์ฟเวอร์สำหรับแชร์ไฟล์ หรือ SharePoint และแหล่งอื่นๆ ที่ใช้เก็บไฟล์
- ควรยกเลิกการแชร์เซิร์ฟเวอร์และอุปกรณ์ปลายทางที่ไม่จำเป็น
5. มีโปรแกรมการฝึกอบรมเพื่อการตระหนักรู้ด้านความปลอดภัยที่ดี
องค์กรอาจได้ประโยชน์จากการฝึกอบรมพนักงานเรื่องวิธีการหลีกเลี่ยงการตกเป็นเหยื่อของอีเมลล่อลวงและควรมีการทดสอบพนักงานอยู่เสมอ เช่น จำลองการโจมตีด้วยอีเมลล่อลวง
6. เก็บข้อมูลสำรองไว้ภายนอก
“ข้อมูลสำรองภายนอก” หมายถึง ข้อมูลเหล่านี้ไม่สามารถเข้าถึงได้ด้วยเครือข่ายของบริษัท ซึ่งเป็นสิ่งสำคัญหากแรนซัมแวร์เจาะเข้าเครือข่ายมาได้
ถ้าระบบป้องกันส่วนอื่นใช้งานไม่ได้ คุณก็ยังมีข้อมูลสำรองที่สมบูรณ์และเป็นปัจจุบันให้ดึงกลับมาใช้งานได้อีกครั้ง เพราะคุณก็อาจสูญเสียไฟล์บางส่วนไปได้ แม้จะจำกัดการระบาดนั้นไว้ได้แล้ว การเก็บข้อมูลสำรองไว้ภายนอกจึงช่วยหลีกเลี่ยงความเสี่ยงในการสูญเสียข้อมูลได้
แรนซัมแวร์ลุกลามไปได้อย่างรวดเร็ว มันจะไล่ยึดไฟล์ของคุณ รวมถึงข้อมูลสำรองด้วย เพื่อให้มั่นใจว่าคุณจะยอมจ่ายค่าไถ่เพื่อเอาข้อมูลคืนมา การเก็บข้อมูลสำรองไว้ภายนอกจึงอาจช่วยคุณประหยัดเงินไปได้หลายแสน หรืออาจเป็นหลายล้านเหรียญก็ได้
7. เพิ่มโซลูชันการควบคุมเพื่อป้องกันองค์กรของคุณจากแรนซัมแวร์
โซลูชันการควบคุมเป็นวิธีการใหม่ที่ใช้ป้องกันแรนซัมแวร์ โดยแอปพลิเคชันทำหน้าที่ควบคุมการแชร์ไฟล์ เมื่อใดก็ตามที่ตรวจพบการระบาดของแรนซัมแวร์ แอปพลิเคชันนี้จะแยกอุปกรณ์เครื่องนั้นออกจากเครือข่ายทันที เพื่อจำกัดการระบาด จากนั้น คุณก็แค่ดึงข้อมูลกลับมาจากแหล่งเก็บข้อมูลสำรองภายนอก
ที่มา: RICOH USA
News & Events
Keep up to date
- 14พ.ย.
เครื่องพิมพ์มัลติฟังก์ชัน IM C320F จากริโก้คว้ารางวัล Pick Award ประจำปี 2567 จาก Keypoint Intelligence
- 31ต.ค.
ริโก้เผยแพร่เอกสาร Ricoh Group Integrated Report 2024 และ Ricoh Group Environmental Report 2024
- 21ต.ค.
ลงทะเบียนฟรี งานสัมมนาออนไลน์จากริโก้ หัวข้อ “Cyber Transformation & Operations”
- 18ต.ค.
ริโก้เข้าร่วมเป็นสมาชิกสามัญในศูนย์ญี่ปุ่นเพื่อการมีส่วนร่วมและแก้ไขปัญหาทางธุรกิจและสิทธิมนุษยชน