ภัยคุกคามอย่าง Ransomware นั้นนับวันจะยิ่งทวีความรุนแรงและความเสียหายมากขึ้นเรื่อยๆ การเฝ้าระวัง, ตรวจสอบ และปกป้องระบบ IT และข้อมูลสำคัญทางธุรกิจนั้นจึงกลายเป็นภารกิจสำคัญที่ทุกธุรกิจมิอาจมองข้ามได้อีกต่อไป
อย่างไรก็ดี การมาของ Ransomware รูปแบบใหม่ๆ, เทคนิคการโจมตีใหม่ๆ และเทคโนโลยีใหม่ๆ ในธุรกิจนั้น ก็ทำให้องค์กรไม่อาจปกป้องระบบและข้อมูลของตนเองได้อย่างครอบคลุมดีนัก และในบทความนี้เราจะเล่าถึง
5 ประเด็นสำคัญที่องค์กรมักละเลยในการปกป้อง Ransomware ไปนั่นเอง
5 สิ่งที่องค์กรมักละเลยในการป้องกัน Ransomware สำหรับปี 2021
1. ข้อมูลที่ Backup เอาไว้ในองค์กรนั้นก็ตกเป็นเป้าของ Ransomware แล้ว
เมื่อการ Backup ข้อมูลนั้นได้กลายเป็นแนวทางหลักที่ธุรกิจองค์กรใช้ในการรับมือ Ransomware เหล่าผู้พัฒนา Ransomware ก็ปรับตัวรับมือต่อแนวทางเหล่านี้ด้วยการโจมตีข้อมูล Backup โดยตรงกันมากขึ้นเรื่อยๆ เพื่อให้การโจมตีด้วย Ransomware นั้นยังสัมฤทธิ์ผลมากที่สุด
การโจมตีเหล่านี้อาจเกิดขึ้นกับระบบ Backup โดยตรง หรือเกิดขึ้นกับอุปกรณ์ Endpoint ที่ Ransomware สามารถโจมตีได้สำเร็จ และพยายามมองหาช่องทางในการโจมตีต่อเนื่องไปยังระบบ Backup ในภายหลัง ซึ่งข้อมูล Backup ขององค์กรบางแห่งนั้นก็อาจมีปริมาณมากถึง 80% ของข้อมูลที่มีอยู่ทั้งหมดในองค์กรเลยทีเดียว ทำให้หากข้อมูล Backup ถูกโจมตีได้สำเร็จ ความเสียหายที่จะเกิดขึ้นกับธุรกิจนั้นก็จะสูงมากขึ้นไปอย่างมหาศาล
Cohesity ได้แนะนำถึงแนวทางในการรับมือกับการโจมตีรูปแบบนี้เอาไว้ด้วยการปกป้องข้อมูลในแบบ Multi-Layered ดังนี้
ปกป้องการทำ Backup ให้อยู่ในรูปแบบ Immutable ซึ่งไม่สามารถถูกแก้ไขเปลี่ยนแปลงได้
กำหนดสิทธิ์และตั้งค่าระบบเพื่อไม่ให้มีการเข้าถึงข้อมูลที่ Backup เอาไว้ได้โดยตรง เช่น ห้ามไม่ให้มีการ Mount Volume ที่จัดเก็บข้อมูล Backup ไปยังระบบอื่นๆ ที่ไม่เกี่ยวข้อง
เปิดใช้ความสามารถ Write Once Read Many (WORM) เพื่อไม่ให้ข้อมูลที่ถูกสำรองเอาไว้ถูกแก้ไขได้
เปิดใช้งาน Multi-Factor Authentication (MFA) เพื่อไม่ให้บุคคลภายนอกเข้าถึงระบบ Backup ได้โดยง่าย
2. ช่องโหว่ที่หลากหลายมากขึ้นและข้อมูลที่กระจัดกระจายตัวมากขึ้น ก็เป็นอีกจุดสำคัญที่ทำให้ Ransomware โจมตีได้สำเร็จ
ด้วยปริมาณข้อมูลที่เติบโตอย่างรวดเร็วในทุกองค์กร และการทำงานจากทุกที่ทุกเวลาท่ามกลางวิกฤต COVID-19 นี้ ได้ทำให้ข้อมูลของธุรกิจนั้นกระจัดกระจายอย่างมาก และมีการเปิดใช้งานเทคโนโลยีใหม่ๆ มากขึ้นอย่างไม่เคยเป็นมาก่อน ปัจจัยเหล่านี้ได้ทำให้เกิดแนวทางและช่องโหว่ใหม่ๆ สำหรับการโจมตีเจาะระบบเพิ่มมากขึ้น ทำให้ Ransomware นั้นสามารถโจมตีด้วยวิธีการที่หลากหลายอันคาดไม่ถึงมากขึ้นตามไปด้วย
Cohesity ระบุว่าการรับมือกับโจทย์นี้คือการวางกลยุทธ์ระบบ IT และการจัดการข้อมูลขององค์กรเสียใหม่ โดยมีระบบส่วนกลางที่ช่วยลดการกระจัดกระจายของข้อมูลเหล่านี้ลง และมีระบบสำหรับบริหารจัดการระบบโครงสร้างพื้นฐานและข้อมูลขององค์กรจากศูนย์กลาง เพื่อให้สามารถปกป้องระบบและข้อมูลทั้งหมดได้อย่างครบถ้วน ลด Attack Surface ภายในธุรกิจให้เหลือน้อยลง
3. การตรวจสอบการเปลี่ยนแปลงในข้อมูลที่ Backup เอาไว้ในแบบเดิมๆ ไม่เพียงพอต่อการตรวจจับ Ransomware อีกต่อไป
โซลูชันระบบ Backup หรือ Data Management ทุกวันนี้มักจะมีระบบตรวจสอบ Ransomware เบื้องต้นด้วยการตรวจว่าปริมาณข้อมูลที่ถูกเปลี่ยนแปลงไปเมื่อเทียบกับการ Backup ครั้งก่อนหน้ามีมากผิดปกติไหม และหากพบว่ามีมากผิดปกติ ก็อาจเป็นสัญญาณของ Ransomware ได้
โชคร้ายที่แนวทางนี้นอกจากจะไม่แม่นยำเพียงพอแล้ว การตรวจสอบด้วยวิธีการดังกล่าวนี้ก็อาจตรวจพบเมื่อสายเกินแก้ได้ ซึ่งทาง Cohesity ก็ได้แนะนำอีกแนวทางที่ได้ผลมากกว่านั้นก็คือการตรวจสอบในระดับของ File และ Audit Log เพิ่มเติม ซึ่งจะช่วยให้ตรวจพบภัยคุกคามรูปแบบต่างๆ ได้รวดเร็วยิ่งขึ้น แม่นยำยิ่งขึ้น และช่วยปกป้องข้อมูลได้แทบจะ Real-Time เลยทีเดียว
4. Public Cloud ตกเป็นอีกเป้าสำคัญในการโจมตีของ Ransomware
การใช้งาน Cloud มากขึ้นท่ามกลางวิกฤต COVID-19 นี้ก็ทำให้หลายๆ องค์กรมีความเสี่ยงเพิ่มขึ้นเช่นกัน โดยหากอ้างอิงจากรายงานของ IDC นั้นจะพบว่า 80% ของธุรกิจนั้นเคยมีประสบการณ์ข้อมูลรั่วไหลบนระบบ Cloud และกว่า 43% ของภาคธุรกิจเคยประสบเหตุข้อมูลรั่วไหลนี้มาแล้ว 10 ครั้งหรือมากกว่า
ข้อมูลเหล่านี้ได้ชี้ให้เห็นว่าถึงแม้ Cloud จะเป็นเทคโนโลยีที่มีความมั่นคงปลอดภัย แต่ในการใช้งานจริงนั้นหลายองค์กรกลับไม่ได้ใช้งานอย่างมั่นคงปลอดภัยสูงสุด และทำให้เกิดเหตุข้อมูลรั่วไหลหรือตกเป็นเหยื่อของ Ransomware ได้ ซึ่งทาง Cohesity ก็ได้ชี้ถึงแนวทางการรับมือกับประเด็นเหล่านี้ว่าองค์กรควรจะมีระบบสำหรับตรวจสอบและติดตามการ Backup และ Recovery ข้อมูลแบบรวมศูนย์ ที่สามารถติดตามการจัดการข้อมูลได้ทั้งบน Cloud และภายใน Data Center ขององค์กรเอง เพื่อให้สามารถจัดการกับประเด็นปัญหาต่างๆ ที่เกิดขึ้นได้อย่างทันท่วงที พร้อมแก้ไขช่องโหว่หรือการตั้งค่าที่ไม่มั่นคงปลอดภัยได้ก่อนที่จะเกิดเหตุไม่คาดฝันขึ้น
5. ระบบ Backup และ Recovery ที่ช้า อาจสร้างความเสียหายเพิ่มเติมให้กับธุรกิจได้อย่างไม่คาดคิด
ประเด็นสุดท้ายที่มักพบเจอนั้นก็คือการที่ถึงแม้องค์กรจะมีการลงทุนในระบบ Backup และ Recovery ครอบคลุมในทุกๆ IT Infrastructure ที่มีการใช้งาน แต่โซลูชันเหล่านี้อาจยังเป็นเทคโนโลยีเก่าที่สามารถ Backup หรือ Recover ข้อมูลได้ช้า ดังนั้นเมื่อเกิดเหตุการณ์ถูก Ransomware โจมตึขึ้นมาจริงๆ การกู้คืนข้อมูลและระบบต่างๆ จึงช้าตามไปด้วย หรือในบางกรณีก็อาจกู้คืนข้อมูลมาได้ไม่หมดเพราะยัง Backup ไม่สำเร็จนั่นเอง
ปัญหานี้ไม่ได้เพียงแต่สร้างความเสียหายโดยตรงต่อธุรกิจที่ต้องหยุดชะงักเท่านั้น แต่ความล่าช้าในการดำเนินการเหล่านี้อาจส่งผลต่อภาพลักษณ์ขององค์กรด้วย และความเสียหายที่มีต่อภาพลักษณ์นี้ก็อาจมีมูลค่าสูงกว่าความเสียหายที่เกิดเบื้องต้นได้ 10-15 เท่าเลยทีเดียว
ด้วยเหตุนี้ Cohesity จึงแนะนำว่าการเลือกลงทุนในโซลูชัน Backup สมัยใหม่จึงต้องคำนึงถึงประเด็นด้านความเร็วให้ดี และควรมีความยืดหยุ่นในการกู้คืนข้อมูลหรือระบบไปยัง IT Infrastructure ได้หลากหลาย เพื่อที่ว่าในกรณีที่เกิดเหตุการณ์ถูกโจมตีด้วย Ransomware ขึ้นมาจริงๆ นั้น องค์กรจะได้มีทางเลือกที่หลากหลายในการจัดการแก้ไขปัญหา และสามารถกู้คืนระบบหรือข้อมูลสำคัญขึ้นมาได้อย่างคล่องแคล่วว่องไวที่สุดนั่นเอง
————————————————————————————————————————————————————————–
ที่มา : TechTalkThai / วันที่เผยแพร่ 10 ก.ย.2564
Link : https://www.techtalkthai.com/5-things-that-orgs-often-underestimated-about-ransomware-by-cohesity/
