‘ซอร์สไฟร์’ แนะอัพเกรดความปลอดภัย รับมือยุคภัยไซเบอร์ขยายวง

ผู้บริหาร ซอร์สไฟร์ ประเทศไทย เผยแพร่บทความ เตือนผู้ใช้อินเทอร์เน็ตเตรียมความพร้อมรับมือมัลแวร์ การโจมตีแบบมุ่งเป้า แนะตรวจจับและบล็อกตั้งแต่รอบนอกจนถึงภายในเครือข่าย ประเมินและปกป้องจุดเชื่อมต่อปลายทาง…

ท่ามกลางการโจมตีที่ขยายตัวอย่างต่อเนื่องบนโลกออนไลน์จากการพัฒนาของอาชญากรไซเบอร์ ทำให้บรรดาผู้ใช้อินเทอร์เน็ตต้องเตรียมพร้อมรับมือ และให้ความสำคัญต่อวงจรความปลอดภัยมากขึ้น โดย นายสุธี อัศวสุนทรางกูร ผู้จัดการประจำประเทศไทย และอินโดจีน บริษัท ซอร์สไฟร์ (ประเทศไทย) จำกัด ได้นำเสนอบทความในหัวข้อ “วงจรภัยคุกคามความปลอดภัยบนโลกไซเบอร์ยุคหน้ามาถึงแล้ว คุณพร้อมรับมือหรือยัง?” โดยมีเนื้อหาระบุว่า ไวรัสคอมพิวเตอร์ตัวแรกเกิดขึ้นเมื่อประมาณ 25 ปีที่แล้ว ซึ่งตอนนั้นเรายังไม่ค่อยตระหนักกันว่าสิ่งนี้เป็นเพียงจุดเริ่มต้นของสิ่งที่อาจกลายเป็นกระแสภัยคุกคามที่ถาโถมมาเป็นซีรีย์ในเวลาต่อมา

เกือบ 10 ปีมาแล้วที่ไวรัสยังคงอยู่ยงคงกระพันและถูกใช้เป็นหนึ่งในวิธีหลักเพื่อการโจมตี แต่เมื่อเวลาผ่านไปผู้ทำหน้าที่ป้องกันทั้งหลายก็ได้ใช้ความสามารถพิเศษในการบล็อกและป้องกันไวรัสไว้ได้ โดยผู้โจมตีได้รับแรงกระตุ้นจากความมีชื่อเสียง (ในทางเสื่อมเสีย) และได้ความรู้จากการค้นพบและเผยแพร่ช่องโหว่ใหม่ๆ ทำให้ยังคงคิดค้นนวัตกรรมในการโจมตีขึ้นเรื่อยๆ ผลที่ตามมาที่เห็นชัดเจนคือภัยคุกคามที่เกิดขึ้นเป็นวงจร ประมาณว่าในทุกๆ 5 ปี ผู้โจมตีจะส่งภัยคุกคามแบบใหม่ออกมาและผู้ป้องกันก็จะทำหน้าที่ป้องกันเรื่อยไป จากมาโครไวรัส (ที่มาพร้อมกับไฟล์ประเภท MS office) จนไปถึงไวรัสตัวหนอน สปายแวร์ และรูทคิท (rootkit – การโจมตีโดยการแฝงตัวเองอยู่ในโปรแกรมที่ติดไวรัส) จึงไม่ใช่เรื่องน่าประหลาดใจที่เราสามารถมองภาพวงจรภัยคุกคามเหล่านี้เป็นภาพเดียวกับการเปลี่ยนแปลงของเทคโนโลยีหลักที่เผยให้เห็นการโจมตีด้วยวิธีใหม่ๆ โดยไวรัสรุ่นแรกจะมุ่งเป้าไปที่ระบบปฏิบัติการและแพร่กระจายโดยการแบ่งปันหรือการใช้ทรัพยากรร่วมกันในเครือข่าย ซึ่งมาโครไวรัสจะสบช่องจากการที่ผู้ใช้แชร์ไฟล์กัน ซึ่งภัยคุกคามประเภทตัวหนอนนี้จะเคลื่อนย้ายจากเครื่องหนึ่งไปสู่อีกเครื่องผ่านเครือข่ายองค์กร และการใช้อินเทอร์เน็ตกันในวงกว้าง โดยทั้งสปายแวร์และรูทคิทจะมาพร้อมกับแอพพลิเคชั่นใหม่ อุปกรณ์ใหม่ และทางชุมชนออนไลน์

สิ่งเหล่านี้นำเรามาสู่โลกของปัจจุบัน โลกที่เราต้องต่อสู้กับมัลแวร์ขั้นสูง การโจมตีแบบมุ่งเป้า และภัยคุกคามขั้นสูงที่อาศัยการโจมตีอย่างต่อเนื่อง ซึ่งเหล่านี้เป็นแค่กระแสคลื่นของภัยคุกคามล่าสุดหรือเข้าข่ายสึนามิกันแน่ ด้วยองค์ประกอบต่างๆ ที่มาบรรจบกันอย่างลงตัว ทำให้ภัยคุกคามเหล่านี้สร้างความเสียหายได้มากกว่าประสบการณ์ที่เราเคยพบเจอมาในอดีต องค์ประกอบเหล่านี้ได้แก่

–  การปะทุของการโจมตีในหลายมิติ เมื่อมาถึงยุคแห่งการเคลื่อนที่ หรือ Mobilization การนำอุปกรณ์ส่วนตัวมาใช้ในงาน (BYOD) รวมถึงเวอร์ชวลไลเซชั่น และคลาวด์ยิ่งเป็นแรงโหมกระพือให้มีการขยายการใช้งานอุปกรณ์ ระบบโครงสร้างและเครือข่ายแบบใหม่ในวงกว้าง รวมถึงระบบปฏิบัติการและแอพพลิเคชั่นที่ทำให้เกิดกลไกแบบใหม่ที่มีประสิทธิภาพในการส่งต่อมัลแวร์และก่อให้เกิดการโจมตีขึ้น และในขณะที่โซเชียลมีเดีย แอพพลิเคชั่นโมบาย รวมถึงเว็บไซต์ และแอพพลิเคชั่นที่ใช้งานผ่านเว็บ ต่างสร้างหนทางใหม่ที่ช่วยให้ผู้ใช้งานหลากหลายสามารถเชื่อมต่อถึงกันได้ (ทั้งพนักงานบริษัท คู่ค้าและลูกค้า) นอกจากนี้ยังเป็นการเปิดช่องทางใหม่ให้กับภัยคุกคามความปลอดภัยสามารถเข้าออกผ่านผู้ใช้งานส่วนบุคคลและองค์กรธุรกิจได้ง่ายขึ้นเช่นกัน

–  ความเคลื่อนไหวในตลาด มีการบริหารจัดการเรื่องการแลกเปลี่ยนผลประโยชน์ระหว่างกันซึ่งทำกันเป็นเรื่องเป็นราวจนกลายเป็นผลตอบแทนที่งดงาม การเปิดกว้างของตลาดช่วยกระตุ้นให้เกิดการเปลี่ยนรูปแบบจากความสามารถกลายเป็นความปั่นป่วน จนนำไปสู่การทำลายล้างในที่สุด และเมื่อตระหนักว่าสิ่งนี้สร้างมูลค่าได้ ก็ทำให้งานนี้เริ่มทำกันเป็นมาตรฐานมากขึ้น ในรูปของการค้าและทำกันเป็นกระบวนการ จนกลายเป็นเรื่องปกติสำหรับกลุ่มแฮกเกอร์ที่ใช้วิธีติดตามกระบวนการพัฒนาซอฟต์แวร์ เช่น การทดสอบคุณภาพของผลิตภัณฑ์ หรือทดสอบผลิตภัณฑ์ร่วมกับเทคโนโลยีรักษาความปลอดภัยก่อนที่จะออกสู่ตลาด

–  การโจมตีแบบอำพรางตัว ปัจจุบันการโจมตีแบบอำพรางเกิดขึ้นอย่างมีนัย ในแง่ส่วนแบ่งค่าตอบแทนที่เป็นตัวเงิน และองค์กรจำนวนมากถูกกระตุ้นให้เปิดการโจมตีเพื่อหวังผลด้านเศรษฐกิจหรือการเมือง โดยมีโอกาสอยู่เพียงน้อยนิดที่จะได้รับผลตอบแทนหรือดำเนินการให้สำเร็จลุล่วงได้ วิธีการใหม่ที่ใช้เพื่อหลบหลีกระบบป้องกันคือการใช้เทคนิคอย่างเช่น port hopping, tunneling, droppers และ บ็อทเน็ต ซึ่งช่วยให้แฮกเกอร์เจาะเข้าไปยังระบบได้ง่ายขึ้น เร็วขึ้น และถูกขึ้น และทำให้ผู้ป้องกันยากที่จะมองเห็นและป้องกันสิ่งเหล่านี้ได้ การผสมผสานวิธีการที่สามารถหลบหลีกได้อย่างว่องไวทำให้การโจมตีปรับเปลี่ยนรูปแบบได้อย่างรวดเร็วในเวลาที่เจาะเข้าไปยังองค์กรและหาฐานที่มั่นเพื่อฝังตัวพร้อมขโมยข้อมูลสำคัญได้

ฉะนั้น เราควรเดินเกมอย่างไรเพื่อเอาชนะการโจมตีด้วยวิธีใหม่ๆ เหล่านี้ การมุ่งเน้นที่การตรวจจับและบล็อกเพียงอย่างเดียวนับว่าไม่เพียงพออีกต่อไป เมื่อเกิดการโจมตีขึ้น เราต้องเตรียมตัวเพื่อไม่ให้เกิดผลกระทบจากการโจมตีและหยุดยั้งไม่ให้ระบบกลับมาติดมัลแวร์อีก ในการนี้ ต้องเพิ่มความระมัดระวังด้วยการใช้วิธีที่ทำให้เราสามารถมองเห็นความเป็นไปพร้อมทั้งควบคุมสิ่งที่เกิดขึ้นในองค์กรตลอดระยะเวลาของการโจมตีเต็มรูปแบบอย่างต่อเนื่อง และต่อไปนี้ คือขั้นตอนในการพิจารณาเพื่อพัฒนากลยุทธ์ด้านการรักษาความปลอดภัย

–  ตรวจจับและบล็อกตั้งแต่รอบนอกจนถึงภายในเครือข่าย วิธีปฏิบัติที่ดีคือการรับมือกับภัยคุกคามให้ใกล้กับรอบนอกให้มากที่สุดเท่าที่เป็นไปได้เพื่อป้องกันไม่ให้มัลแวร์เข้ามาในเครือข่ายและแพร่มายังอุปกรณ์ปลายทาง ทั้งนี้ ควรพิจารณาอุปกรณ์ตรวจจับมัลแวร์บนเครือข่ายที่สามารถระบุและป้องกันมัลแวร์ได้โดยที่ไม่ถ่วงประสิทธิภาพระบบ อย่างไรก็ตาม แม้แต่ระบบตรวจจับและบล็อกที่ดีที่สุดก็ยังไม่พอ เพราะทันทีที่มัลแวร์ขั้นสูงเข้ามาในเครือข่ายได้ มันจะพยายามแพร่กระจายตัวไปยังระบบอื่นจนกระทั่งบรรลุเป้าหมายปลายทาง

–  ประเมินและปกป้องจุดเชื่อมต่อปลายทาง การป้องกันตามลำดับชั้นถือเป็นกลยุทธ์ที่ดีที่สุด ซึ่งเอ็นด์พอยท์หรือจุดปลายทางไม่ได้เชื่อมต่อเฉพาะกับเครือข่ายองค์กรเสมอไป ดังนั้น จึงจำเป็นต้องมีการป้องกันด้วยการหาโซลูชั่นปกป้องจุดเชื่อมต่อปลายทางที่ไม่เป็นภาระกับเครื่องและไม่ถ่วงประสิทธิภาพของอุปกรณ์ที่ใช้ช่วยให้มั่นใจได้ว่าระบบดังกล่าวจะไม่ส่งผลกระทบต่อประสบการณ์การใช้งานของผู้ใช้

–  วิเคราะห์ภัยคุกคามจากสภาพแวดล้อมระบบ ภัยคุกคามไม่ได้ถูกสร้างมารูปแบบเดียวกัน เทคโนโลยีที่สามารถมองเห็นและเชื่อมโยงความเป็นไปของข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้นสามารถนำมาใช้ระบุตำแหน่งของอุปกรณ์ที่ไม่ปลอดภัยโดยอิงตามลักษณะพฤติกรรมการใช้งาน การมองเห็นรับรู้ความเคลื่อนไหวของไฟล์เอกสารในองค์กรและติดตามเส้นทางการเคลื่อนที่ไปนอกระบบ ทำให้คุณมองเห็นข้อมูลสำคัญที่หลุดรอดออกไปและเห็นการสื่อสารที่เกิดขึ้นกับเว็บไซต์ประสงค์ร้ายเพื่อที่จะระบุหาระบบที่ตกเป็นเป้าหมายโดยอาจยังไม่ทันได้สังเกต

–  ถอนรากถอนโคนมัลแวร์ และป้องกันการกลับมาแพร่กระจาย ระหว่างหาระบบที่ติดมัลแวร์ การแยกอุปกรณ์ที่ติดมัลแวร์และเอามัลแวร์ออกไปแค่นั้นไม่พอ การจะกำจัดมัลแวร์และป้องกันไม่ให้กลับมาแพร่กระจายอีกต้องใช้เทคโนโลยีที่สามารถติดตามความเคลื่อนไหวของไฟล์ในทุกๆ อุปกรณ์ได้เพื่อที่คุณจะสามารถระบุคนไข้หมายเลขศูนย์ (เหยื่อมัลแวร์รายแรก) รวมถึงวิถีโคจรของมัลแวร์และกรณีทั้งหมดที่เกิดขึ้นในองค์กรได้

–  วิธีแก้ไขการโจมตีด้วยการรักษาความปลอดภัยแบบย้อนหลัง (Retrospective Security) ระบบป้องกันมัลแวร์ขั้นสูงควรจะแจ้งเตือนในกรณีมีไฟล์ซึ่งในเวลาต่อมาถูกระบุว่ามีมัลแวร์เพื่อจะได้ทำการแก้ไขย้อนหลังได้ การบล็อกหรือติดตามอย่างต่อเนื่องและวิเคราะห์ไฟล์ที่น่าสงสัยโดยเทียบกับข้อมูลรู้ทันภัยคุกคามแบบเรียลไทม์ เป็นสิ่งสำคัญโดยเฉพาะอย่างยิ่งในกระแสของภัยคุกคามล่าสุดที่สามารถเปลี่ยนรูปแบบได้ในทันทีที่เจาะเข้าไปยังเครือข่ายได้สำเร็จ และให้จำไว้ว่า ก่อนที่คุณจะถอนใจอย่างโล่งอกหลังจากที่ได้เรียนรู้ 5 ขั้นตอนนี้เรียบร้อยแล้ว คุณต้องมั่นใจว่าได้นำกฎเกณฑ์ต่างๆ มาใช้ร่วมกับเกตเวย์เพื่อการรักษาความปลอดภัยในวงนอก (Security Gateway) และอุปกรณ์รักษาความปลอดภัย  เพื่อปกป้องระบบเครือข่ายภายในและที่จุดเชื่อมต่อปลายทางเพื่อตรวจจับและบล็อกการโจมตีดังกล่าว

วงจรภัยคุกคามล่าสุดไม่เหมือนกับสิ่งที่เราเคยเจอมาก่อน เพียงแต่ในฐานะผู้โจมตีก็ต้องคิดค้นนวัตกรรมใหม่ๆ ขึ้นมาอย่างต่อเนื่องเช่นเดียวกับที่ผู้ทำหน้าที่ปกป้องที่ต้องหาวิธีใหม่ๆ ในการป้องกัน การใช้เทคนิค และเทคโนโลยีล่าสุดจะช่วยให้เราลดความเสียหายจากภัยคุกคามขั้นสูงเหล่านี้ได้ พร้อมทั้งสามารถป้องกันตัวเองจากการโจมตีที่อาจเกิดขึ้นในอนาคตได้.