หลังจากทั้งโลกได้ทรานส์ฟอร์มเข้าสู่ยุคดิจิทัลมากขึ้นเรื่อย ๆ ความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) ก็ได้กลายเป็นหนึ่งในเรื่องที่ทุกองค์กรต้องพิจารณาและให้ความสำคัญอย่างต่อเนื่อง เพราะถ้าหากเกิดเหตุภัยคุกคามไม่ว่าจะเป็นการถูกละเมิดข้อมูล (Data Breach) ข้อมูลถูกทำลาย หรือเอาไปขายใน Dark Web แล้วเรียกค่าไถ่ สิ่งต่าง ๆ อาจผลกระทบรุนแรงจนทำให้ธุรกิจจำต้องหยุดชะงักลงได้
เมื่อวานนี้ ทีมงาน TechTalk Thai ได้มีโอกาสสัมภาษณ์พูดคุยกับคุณพลสุธี ธเนศนิรัตศัย ผู้อำนวยการแห่ง Bluebik Titans และคุณรชต ถาวรเศรษฐ รองผู้อำนวยการแห่ง Bluebik Titans ซึ่งทั้งสองท่านได้แนะนำวิธีการปกป้ององค์กรขั้นต้น ที่ทุกองค์กรควรต้องดำเนินการเป็นอย่างน้อย เพื่อปกป้องไม่ให้ผู้ไม่ประสงค์ดีมาโจมตีหรือขโมยข้อมูลองค์กรเอาไปขายใน Dark Web ได้อย่างง่ายดายจนเกินไป
เว็บไซต์บนโลก มีมากกว่าที่เห็น
ปัจจุบันที่ทุกคนท่องเว็บไซต์อยู่บนโลกอินเทอร์เน็ตนั้น ถือว่าเป็นเพียงแค่ 5% ของเว็บทั้งหมดบนโลกเท่านั้น เพราะว่าเว็บไซต์บนโลก แบ่งออกเป็น 3 ประเภทใหญ่ ๆ ได้แก่
-Surface Web คือเว็บไซต์สาธารณะทั่ว ๆ ไปที่เราเข้ากันผ่านเบราวเซอร์ปกติ ซึ่ง Search Engine เข้าถึงและดึงไปทำดัชนี (Index) ได้ เช่น เว็บที่ลงท้ายด้วย .com, .net โดยเว็บไซต์ประเภทนี้เปรียบเหมือนเป็นส่วนยอดของภูเขาน้ำแข็ง ที่มีสัดส่วนเพียงแค่ 5% เท่านั้น
-Deep Web คือเว็บไซต์ที่ Search Engine ไม่สามารถเข้าถึงได้ เพราะเป็นหน้าเว็บไซต์ที่ถูกปกป้องด้วยระบบ Security อย่างพาสเวิร์ดหรือว่าต้องยืนยันตัวตนก่อน เช่น หน้าภายในระบบอีเมล หรือ SaaS ต่าง ๆ เป็นต้น ซึ่งหน้าเว็บไซต์ประเภทนี้มีจำนวนสัดส่วนมากที่สุดถึง 90% เปรียบเสมือนส่วนภูเขาน้ำแข็งจริง ๆ ที่อยู่ใต้มหาสมุทร
-Dark Web คือเว็บไซต์ที่มีลักษณะเช่นเดียวกับ Deep Web แต่จะเข้าถึงได้ผ่าน Tor Network เพียงเท่านั้น (คำเตือน โปรดหลีกเลี่ยงหากไม่จำเป็น) ซึ่งมักจะเป็นเว็บไซต์ที่ใช้ในเรื่องที่ผิดกฎหมาย หรือบางเรื่องที่ต้องปิดบังตัวตน โดยเว็บไซต์ประเภทนี้มีสัดส่วนราว 5%
ที่มาของ Tor Network
Tor Network เป็นแนวคิดที่ต่อยอดมาจากงานวิจัยของคุณ Ian Clarke ที่ต้องการสร้าง Freenet หรือเครือข่ายที่ไม่มีใครควบคุมได้ กล่าวคือเน็ตเวิร์กที่สามารถสื่อสารกันได้โดยไม่ต้องเปิดเผยชื่อ ไม่จำเป็นต้องรู้ว่าต้นทางอยู่ที่ไหน ปลายทางอยู่ที่ไหน แต่ก็แลกเปลี่ยนข้อมูลกันได้โดยที่ไม่ต้องรู้ตัวตนซึ่งกันและกัน
หลักการแนวคิดนี้เองที่ได้ถูกพัฒนาจนกลายมาเป็น “Tor (The Onion Router)” ที่เบื้องหลังจะมีการส่งต่อข้อมูลกันผ่าน “ตัวแทน (Hop)” คุยกันไปมาภายในเน็ตเวิร์กซ้อนกันหลาย ๆ ชั้น เหมือนลักษณะของหัวหอม ซึ่งการเข้ารหัสหลายชั้นจึงทำให้สามารถปิดการติดตาม Cookies สอดแนมได้ และไม่รู้ว่าใครเป็นคน Request ใคร Response กลับมา จนทำให้สามารถปิดบังตัวตนได้ในที่สุด หากแต่ภายในโลกที่ปิดบังตัวตนได้อย่างยอดเยี่ยมนี้เองก็มีภัยอันตรายหรือความมืดมิดที่ซ่อนอยู่ภายในมากมาย โดยเฉพาะ “Dark Web”
ลักษณะของ Dark Web
Dark Web นั้นคือเว็บไซต์ที่อยู่ภายใน Tor Network ซึ่ง URL ที่เปรียบเสมือนที่อยู่ของเว็บไซต์นั้นจะมีลักษณะเป็นเส้นอักขระยาว ๆ แล้วลงท้ายด้วย “.onion” อย่างเช่น เว็บไซต์ facebook.com ก็จะกลายเป็น facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion แทน เป็นต้น
แม้ว่า Dark Web จะมีประโยชน์อยู่ในบางกรณี เช่น การมีช่องทางให้คนสามารถแชร์ข้อมูลความลับให้สำนักข่าวบางแห่งโดยที่ไม่ต้องเปิดเผยตัวตน จึงทำให้ไม่สามารถติดตามชื่อที่อยู่ของคนให้ข้อมูลนั้น ๆ ได้เพื่อความปลอดภัย แต่ภายในก็มีความ “ดาร์ก” ที่ควรหลีกเลี่ยงอย่างยิ่ง เช่น เป็นแหล่งขายยาเสพย์ติด ขายอาวุธ วีดีโออันสยดสยอง หรือแหล่งที่ขายข้อมูล ซึ่งหากผู้ที่เข้าไปแล้วเกิดพลาดท่า ก็อาจจะเจอกับแรนซัมแวร์ (Ransomware) หรือมัลแวร์ (Malware) เข้ามาที่เครื่องเป็นของแถมจนถูกโจมตีเสียหายก็เป็นได้
ช่องโหว่พุ่ง Ransomware ผงาด ส่งผลกระทบธุรกิจหยุดชะงัก
จากแผนภาพที่แสดงจำนวนช่องโหว่ตามที่ NIST พบต่อปีด้านล่างนี้ จะเห็นได้ว่าช่วงปีหลัง ๆ นั้นมีจำนวนช่องโหว่เพิ่มสูงขึ้นแบบก้าวกระโดด โดยเฉลี่ยปีละประมาณ 15% ซึ่งดูจากแนวโน้มแล้วก็ยังมีโอกาสเพิ่มสูงขึ้นไปเรื่อย ๆ ด้วย และหนึ่งในตัวที่กำลังแพร่ระบาดมากขึ้นเรื่อย ๆ ในช่วงนี้คือ “Ransomware”
โดยคุณพลสุธีเผยว่าในช่วง 2-3 สัปดาห์ที่ผ่านมานี้ได้มีองค์กรจำนวนมากทั้งขนาดใหญ่กลางเล็กที่ตกเป็นเหยื่อของ Ransomware แล้วแจ้งมาทาง Bluebik Titans เพื่อขอคำแนะนำ มีทั้งเรื่องถูกแฮกระบบลบข้อมูลทิ้ง ทำให้ระบบต่าง ๆ ไม่สามารถให้บริการได้ รวมทั้งยังเอาข้อมูลไปเรียกค่าไถ่ผ่าน Dark Web อีก สิ่งที่เกิดขึ้นได้ส่งผลให้บางองค์กรธุรกิจก็จำต้องหยุดชะงัก และต้องยอมเสียค่าไถ่เพื่อให้ได้ข้อมูลกลับมาทำให้ธุรกิจเดินหน้าต่อไปได้ แม้ว่าจะไม่มีอะไรการันตีด้วยว่าแฮกเกอร์จะไม่เผยแพร่ที่ขโมยไปรวมทั้งผู้เชี่ยวชาญก็แนะนำบอกว่าไม่ควรจ่ายเงินค่าไถ่ก็ตาม
นอกจากเรื่องข้อมูลสูญหายแล้ว ตามสถิติจาก Unit42 และ Gartner ยังชี้ให้เห็นด้วยว่าองค์กรที่ถูก Ransomware โจมตีไปหนึ่งครั้งนั้นจะส่งผลให้ธุรกิจต้องหยุดชะงักไปถึง 20 วันเลยทีเดียว รวมทั้งผู้บริหารที่รับผิดชอบจะต้องออกจากตำแหน่งหลังถูกโจมตีไปถึง 32% อีกด้วย
อย่างไรก็ดี รายงานยังชี้ว่าค่าเฉลี่ยจำนวนเงินเรียกค่าไถ่นั้นอยู่ที่ 250,000 ดอลลาร์สหรัฐ ใน Q3 2022 ที่ผ่านมา หากแต่คาดว่าตัวเลขในปีนี้และต่อ ๆ ไปน่าจะลดลงแล้ว เนื่องจากองค์กรใหญ่เสริมรั้วป้องกันไว้แข็งแกร่งมากขึ้นแล้วแต่ทว่าองค์กรขนาดกลางและเล็กที่ยังไม่ได้มีภูมิคุ้มกันที่เพียงพอจะกลายเป็นเป้าหมายถูกโจมตีมากขึ้นแทนในอนาคตอันใกล้ ซึ่งถ้าหากเป็นเช่นนั้นจริง แปลว่าภัยคุกคามครั้งใหญ่กำลังจะแพร่กระจายในวงกว้างมากขึ้นอีกในเร็ว ๆ นี้แล้ว
แนะ “ปกป้องหลายชั้น”, “Backup สูตร 321” พร้อม “Incident Response Plan”
หากแต่ด้วยเหตุการณ์ภัยคุกคามที่เกิดขึ้นมากจน Bluebik Titans ไม่สามารถช่วยเหลือได้ทุกองค์กร ทาง Bluebik Titans จึงอยากจะแนะนำให้องค์กรเตรียมการสิ่งเหล่านี้เป็นขั้นต่ำ และเพิ่มความรู้เท่าทันเหตุการณ์ต่าง ๆ ก่อนที่จะเป็นเหยื่อได้ง่าย ๆ ดังต่อไปนี้
แบ่ง Security Control เป็นหลายชั้น Update Patch สม่ำเสมอ
แน่นอนว่าในยุคดิจิทัลนั้น ภายในองค์กรอาจจะมีระบบที่ต้องดูแลเป็นหลักร้อยระบบ แต่ทุกระบบที่เปิดใช้งานนั้นถือได้ว่ามีโอกาสที่จะถูกโจมตีได้ทั้งสิ้น ดังนั้น องค์กรจึงควรจะต้องหาวิธีจัดการดูแลทุกเครื่องให้ได้ และควบคุม Security Control เป็นหลาย ๆ ชั้น ปกป้องให้ได้มากที่สุดเท่าที่จะทำได้ เพราะ “ยิ่งมีชั้นปกป้องยิ่งมากก็จะยิ่งทำให้ปลอดภัยขึ้น”
ส่วนแรกขั้นต่ำที่ควรดูและเป็นอย่างแรกเลยคือ ส่วนใน Frontline Controls ต่าง ๆ ไม่ว่าจะเป็นการปรับใช้ Secure Authentication เช่น การเปิดใช้ Multi-Factor Authentication ผ่าน OTP การเสริม Endpoint Security, Email Security ให้มีการสแกนไฟล์แนบก่อนว่าเป็น Malware หรือไม่ เป็นต้น รวมทั้งการ “Update Patch ระบบต่าง ๆ ให้เป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอ” โดยเฉพาะ Security Patch ที่ไม่ควรหลีกเลี่ยงอย่างยิ่ง ซึ่งการละเลยกระบวนการดังกล่าวจะทำให้มีช่องโหว่ที่ทำให้ Ransomware หรือ Malware นั้นสามารถเจาะเข้ามาได้อย่างง่ายดาย ดังนั้น “ถ้ามี Patch ให้รีบ Update ให้เร็วที่สุด”
Backup สูตร 321 แล้ว Restore ทดสอบเป็นระยะ
การสำรอง (Backup) ข้อมูลนั้นคือสิ่งที่ทุกองค์กร “จำเป็นต้องทำ” อย่างยิ่ง และการสำรองข้อมูลไว้ในฮาร์ดดิสก์หรืออีกเครื่องหนึ่งที่อยู่ในภายในเน็ตเวิร์กเดียวกันเท่านั้นก็ยังไม่เพียงพออีกด้วย เพราะว่า Ransomware สามารถวิ่งไปโจมตี และจัดการข้อมูล Backup ให้หายไปได้อย่างรวดเร็ว
Bluebik Titans จึงแนะว่าทุกองค์กรควรทำ Backup ตาม “สูตร 321” คือ “สร้างข้อมูล Backup ไว้ 3 ชุด เก็บไว้ใน 2 สื่อบันทึกข้อมูล พร้อม 1 Offsite ไซต์แยกที่ไม่ได้ต่อเน็ตเวิร์กกันอยู่ตลอดเวลา” เช่น การเก็บ Backup 3 ชุดไว้ที่เครื่อง Backup Server, External HDD และอีกไซต์ที่อาจเปิด Backup ข้อมูลเป็นช่วงเวลา เป็นต้น ซึ่งนอกจาก Backup ไว้ดีแล้ว ก็ควรจะต้องมีการกระบวนการนำ Backup มาทดลอง Restore อย่างสม่ำเสมอ เพื่อทดสอบว่าข้อมูล Backup ยังปกติดีอยู่นั่นเอง
Incident Response Plan ทำแผนตอบสนองหากเกิดภัย
การทำแผนตอบสนองต่อภัยคุกคามที่เกิดขึ้นนั้นสามารถจัดเตรียมได้ล่วงหน้าก่อนที่จะเกิดเหตุการณ์โจมตีขึ้นจริง เพื่อที่หากเกิดเหตุการณ์ขึ้นแล้วก็สามารถดำเนินการตามขั้นตอนที่ตกลงไว้ได้ทันที ซึ่งภายในแผนนั้นควรจะต้องระบุชื่อบุคคลผู้รับผิดชอบและหน้าที่ความรับผิดชอบทั้งภายในองค์กรและภายนอกองค์กรไว้อย่างชัดเจน พร้อมขั้นตอนต่าง ๆ ว่าเมื่อเกิดเหตุการณ์ในกรณีต่าง ๆ แล้วจะต้องทำขั้นตอนอะไรบ้าง ส่งต่อไปที่ไหนอย่างไร และเมื่อจัดเตรียมแผนเสร็จสิ้นแล้วก็ควรจะต้องมีการซักซ้อมเป็นระยะ เสมือนการซ้อมหนีไฟที่จำเป็นจะต้องดำเนินการอย่างน้อยปีละครั้ง
บทส่งท้าย
สุดท้ายนี้ การตรวจสุขภาพระบบดิจิทัลขององค์กรอย่างสม่ำเสมอคืออีกส่วนหนึ่งที่สำคัญ เพราะถ้าหากว่ามีการดำเนินการตรวจสอบอย่างสม่ำเสมอว่าทั้งองค์กรและทีมงานมีความพร้อมรับมือกับภัยคุกคามที่อาจเกิดขึ้นได้ทุกเมื่อมากน้อยเพียงใด ความมั่นใจที่จะให้บริการกับลูกค้าและเวลาที่จะขับเคลื่อนองค์กรไปข้างหน้าก็จะมีมากขึ้นเท่านั้น
การปกป้องด้วย Security Control หลาย ๆ ชั้น พร้อม Backup สูตร 321 และจัดทำ Incident Response Plan คือการปกป้องในขั้นต้นเท่านั้นที่ทุกองค์กรสามารถนำไปปรับใช้กันได้ในวันนี้ และถ้าหากองค์กรธุรกิจใด ๆ ต้องการการปกป้องในระดับที่สูงขึ้น มั่นใจมากขึ้น สามารถติดต่อ Bluebik Titans โดยสามารถติดต่อเข้าไปที่ Linktr.ee/bluebiktitans หรือติดต่อผ่านทางอีเมลได้ที่ titans@bluebik.com
บทความโดย CHATCHAI
————————————————————————————————————————-
ที่มา : techtalkthai / วันที่เผยแพร่ 28 เม.ย. 2566
Link : https://www.techtalkthai.com/bluebik-titans-suggests-procedures-to-protect-your-organization-before-being-attacked/
