กลยุทธ์รับมือมัลแวร์เรียกค่าไถ่

910

ในยุคของ Zero Trust การควบคุมความปลอดภัยของข้อมูลเป็นไปอย่างใกล้ชิดที่สุดเท่าที่จะเป็นไปได้

ภัยคุกคามจากอาชญากรรมทางไซเบอร์ ยังคงเกิดขึ้นอย่างต่อเนื่อง ทั้งในช่วงสถานการณ์ปกติและในช่วงที่เกิดวิกฤต  อย่างไรก็ดีหน่วยงานไซเบอร์ซีเคียวริตี้ของอังกฤษและสหรัฐฯ ได้ร่วมมือกันเพื่อออกแถลงการณ์ร่วม ซึ่งเป็นกรณีที่ไม่เคยเกิดขึ้นมาก่อน กล่าวคือเมื่อต้นเดือนเมษายนที่ผ่านมา ศูนย์ไซเบอร์ซีเคียวริตี้ภายใต้การดูแลของหน่วยงานข่าวกรองของอังกฤษ (GCHQ) และหน่วยงานไซเบอร์ซีเคียวริตี้และโครงสร้างพื้นฐานของสหรัฐฯ ได้ออกคำเตือนเกี่ยวกับอาชญากรรมที่มีแนวโน้มเพิ่มสูงขึ้น โดยเฉพาะอย่างยิ่งการโจมตีด้วยมัลแวร์และมัลแวร์เรียกค่าไถ่ (Ransomware) ในช่วงสัปดาห์แรกๆ ที่บังคับใช้มาตรการล็อคดาวน์เพื่อสกัดกั้นการแพร่ระบาดของไวรัสโควิด-19

มัลแวร์เรียกค่าไถ่คือภัยคุกคามที่สำคัญต่อองค์กรและผู้ใช้ทั่วไป

มัลแวร์เรียกค่าไถ่กำลังขยายตัวอย่างต่อเนื่อง โดยมุ่งโจมตีระบบโครงสร้างพื้นฐานสำคัญๆ รวมไปถึงระบบแบ็คอัพและอุปกรณ์ลูกข่าย มัลแวร์เรียกค่าไถ่มีจุดมุ่งหมายที่จะเข้าควบคุมข้อมูลสำคัญๆและทำให้ธุรกิจทั่วโลกต้องหยุดชะงัก  มัลแวร์ดังกล่าวเป็นผลงานการพัฒนาขององค์กรอาชญากรรม และคนร้ายมุ่งที่จะโจมตีผู้ใช้โดยไม่ได้คำนึงถึงหลักจริยธรรมใดๆ  มัลแวร์เรียกค่าไถ่ใช้เทคโนโลยีการเข้ารหัสในการสร้างซอฟต์แวร์ที่เป็นอันตราย โดยจะทำการเข้ารหัสข้อมูลด้วยคีย์ลับที่ใช้งานร่วมกัน (การเข้ารหัสแบบคีย์สมมาตร หรือ Symmetric Key Encryption) หรือชุดคีย์ (การเข้ารหัสแบบคีย์อสมมาตร หรือ Asymmetric Key Encryption)  หนึ่งในคีย์ดังกล่าวเป็นคีย์สาธารณะที่พร้อมใช้งานอย่างกว้างขวาง และคีย์อีกอันหนึ่งเป็นคีย์ส่วนตัวที่ไม่ได้รับการเปิดเผย  มัลแวร์นี้สามารถใช้การเข้ารหัสทั้งแบบคีย์สมมาตรและอสมมาตร เพื่อล็อคข้อมูลของเหยื่อ และเรียกร้องค่าไถ่เพื่อแลกกับคีย์ที่ใช้ในการถอดรหัสข้อมูล

ธุรกิจบริการด้านการเงินครองสัดส่วน 62% ของข้อมูลทั้งหมดที่มีความเสี่ยงในช่วงปี 2562 แต่คิดเป็นสัดส่วนเพียง 6.5 % ของปัญหาข้อมูลรั่วไหล ตามรายงานของ Bitglass  เมื่อเทียบกับกลุ่มอุตสาหกรรมต่างๆ แล้ว พบว่าธุรกิจบริการด้านการเงินมีค่าใช้จ่ายต่อการละเมิดด้านข้อมูลสูงสุดเป็นอันดับที่สอง ตามหลังธุรกิจด้านการดูแลสุขภาพ  โดยมีค่าใช้จ่ายโดยที่เกิดจากการละเมิดอยู่ที่ 210 ดอลลาร์ต่อบันทึกข้อมูลหนึ่งชุด ขณะที่การละเมิดครั้งใหญ่ หรือ “mega breach” ดังเช่นที่เกิดขึ้นกับ Capital One เมื่อการโจมตีส่งผลกระทบต่อลูกค้าราว 106 ล้านราย อาจก่อให้เกิดค่าใช้จ่ายสูงถึง 388 ดอลลาร์ต่อบันทึกข้อมูลหนึ่งชุดเลยทีเดียว

ด้วยเหตุนี้ หลายฝ่ายจึงเกิดความกังวลใจ โดยเฉพาะอย่างยิ่งในสถานการณ์ปัจจุบัน ซึ่งผู้คนทำงานจากที่บ้านกันมากขึ้น และนำเอาข้อมูลสำคัญของบริษัทและลูกค้าออกไปนอกอาณาเขตขององค์กร  ดังนั้นถ้าหากไม่มีมาตรการป้องกันที่เพียงพอ พนักงานที่ทำงานอยู่ที่บ้านก็อาจตกเป็นเป้านิ่งของคนร้าย  ที่จริงแล้ว ธนาคาร บริษัทประกัน และสถาบันการเงินอื่นๆ ยังไม่พร้อมที่จะรองรับการทำงานจากที่บ้าน ด้วยไม่ใช่ธรรมเนียมปฏิบัติที่คุ้นเคย และโดยมากแล้วมักจะขาดความเหมาะสมในทางปฏิบัติ  อย่างไรก็ตาม องค์กรเหล่านี้เริ่มตระหนักว่าสถานการณ์โควิด-19 ส่งผลให้จำเป็นที่จะต้องปรับใช้นโยบายการทำงานจากที่บ้าน โดยเป็นส่วนหนึ่งของการวางแผนสำหรับการดำเนินงานอย่างต่อเนื่อง

นอกเหนือไปจากตัวเลขมากมายที่ปรากฏในรายงานข่าวแล้ว องค์กรต่างๆ จำเป็นต้องปฏิบัติตามหลักการที่สำคัญ และเหนือสิ่งอื่นใด การจัดการข้อมูลอย่างมีประสิทธิภาพถือเป็นเงื่อนไขสำคัญที่จะช่วยให้องค์กรสามารถบริหารจัดการระบบรักษาความปลอดภัยได้อย่างเหมาะสม  ตลอดทุกขั้นตอนของการรักษาความปลอดภัย ตั้งแต่การป้องกันไปจนถึงการตรวจจับและตอบสนอง จำเป็นอย่างยิ่งที่จะต้องรู้ว่าข้อมูลของคุณถูกเก็บไว้ที่ใด ถูกเรียกใช้งานอย่างไร และทำงานร่วมกันอย่างไรบ้างทั้งในและนอกอาณาเขตขององค์กร ทั้งนี้เพื่อให้คุณสามารถปกป้องข้อมูลสำคัญของคุณและของลูกค้าได้อย่างสมบูรณ์แบบ

แล้วควรใช้กลยุทธ์อะไรในการรับมือกับมัลแวร์เรียกค่าไถ่?

การฟื้นฟูระบบจากการโจมตีด้วยมัลแวร์เรียกค่าไถ่โดยให้ระบบมีเวลาหยุดทำงาน (Downtime) น้อยที่สุดจะเป็นไปได้ก็ต่อเมื่อมีการปรับใช้แผนการกู้คืนระบบเชิงรุก  การที่องค์กรสามารถกู้คืนระบบหลังจากที่ถูกโจมตีนับเป็นเรื่องดี แต่ถ้าสามารถป้องกันการโจมตีได้ด้วยก็ยิ่งเป็นเรื่องที่ดียิ่งขึ้นไปอีก  แม้ว่าจะมีปราการด่านหน้ามากมายที่จะต้องตรวจสอบและเสริมสร้างความแข็งแกร่งเพื่อป้องกันการโจมตี แต่องค์ประกอบหลักที่สามารถป้องกันการโจมตีหรือกู้คืนระบบภายหลังการโจมตีก็คือ ดาต้าเซ็นเตอร์  คุณจะต้องเข้าใจว่าข้อมูลของคุณถูกเก็บไว้ที่ใด และจะต้องควบคุมการเข้าถึงข้อมูลนั้น และด้วยเหตุนี้การปกป้องข้อมูลในเลเยอร์ของการจัดเก็บจึงถือว่ามีความสำคัญอย่างมาก

“ถ้าข้อมูลคือเลือดที่หล่อเลี้ยงธุรกิจของคุณ แน่นอนว่าคุณจำเป็นที่จะต้องปกป้องข้อมูลให้ปลอดภัยอยู่เสมอ”
วิธีการดำเนินธุรกิจอย่างต่อเนื่องโดยไม่จ่ายค่าไถ่

ดีไซน์ของดาต้าเซ็นเตอร์และคุณสมบัติในการคุ้มครองเครือข่าย ระบบประมวลผลและอุปกรณ์จัดเก็บข้อมูลมีบทบาทสำคัญอย่างมากต่อการสร้างสภาพแวดล้อมที่รองรับการดำเนินงานในแต่ละวันได้อย่างเหมาะสม

เน็ตแอพ ปรับใช้แนวทางที่ใช้ข้อมูลเป็นศูนย์กลางในการรักษาความปลอดภัย

จะว่าไปแล้ว ข้อมูลคือสินทรัพย์ที่มีค่ามากที่สุดสำหรับคุณ และข้อมูลคือหัวใจสำคัญของแนวทาง Zero Trust ซึ่งทดแทนหลักการรักษาความปลอดภัยที่ว่า ‘ไว้ใจหลังจากที่ตรวจสอบยืนยัน’ โดยเปลี่ยนไปใช้กฎเหล็กที่ว่า ‘ตรวจสอบยืนยัน แต่ก็ยังไม่ไว้ใจ’  ในภาคอุตสาหกรรมต่างๆ เช่น ธุรกิจบริการด้านการเงิน บุคคลภายนอกหลายกรณี กลายเป็นคนใน ที่ทำงานไม่ใช่แค่ส่วนรอบนอกของเครือข่าย หรือจากภายนอก แนวทาง Zero Trust จะถือว่าการรักษาความปลอดภัยในบริเวณอาณาเขตขององค์กร (Perimeter Security) เป็นเรื่องล้าสมัย  ทั้งนี้ บริษัทที่ยึดถือแนวทาง Zero Trust รวมถึงเน็ตแอพ ยอมรับว่าส่วนควบคุมความปลอดภัยควรอยู่ใกล้กับข้อมูลให้มากที่สุดเท่าที่จะเป็นไปได้

เงื่อนไขที่จำเป็น 3 ข้อ: การเข้ารหัส ตำแหน่งที่ตั้ง และสิทธิ์การเข้าถึง

ข้อแรก โซลูชั่นที่ยืดหยุ่นสำหรับการเข้ารหัสและการจัดการคีย์จะช่วยปกป้องข้อมูลสำคัญที่เก็บไว้ภายในองค์กร ข้อมูลบนระบบคลาวด์ และข้อมูลที่อยู่ระหว่างการรับ-ส่ง  กล่าวอีกอย่างหนึ่งก็คือ การเข้ารหัสจะมีประสิทธิภาพอย่างแท้จริงก็ต่อเมื่อสามารถทำงานได้อย่างราบรื่น ไม่ว่าจะอยู่บนโครงสร้างพื้นฐานใดก็ตาม และจะเห็นผลได้อย่างเป็นรูปธรรมก็ต่อเมื่อมีการทำงานทั้งในขณะที่ข้อมูลถูกรับ-ส่งและถูกจัดเก็บไว้ที่ใดที่หนึ่ง

เงื่อนไขข้อที่สอง ตำแหน่งที่ตั้ง  ถ้าหากคุณรู้ว่าข้อมูลของคุณอยู่ที่ใด คุณก็จะสามารถเลือกได้ว่าควรจะเก็บรักษาข้อมูลใดบ้าง ควรจำแนกประเภทข้อมูลอย่างไร และควรให้สิทธิ์การเข้าถึงในลักษณะใด  ในทางกลับกัน การจำแนกประเภทนับเป็นจุดเริ่มต้นสำหรับการปฏิบัติตามกฎระเบียบ  และด้วยการระบุว่าข้อมูลใดคือข้อมูลสำคัญที่สุดสำหรับคุณ ในลักษณะที่สัมพันธ์กับกฎระเบียบต่างๆ เช่น Payment Card Industry Data Security Standard (PCI-DSS) และ General Data Protection Regulation (GDPR) ของสหภาพยุโรป คุณก็จะสามารถกำหนดมาตรการป้องกันที่เหมาะสม  ในยุคที่มีความต้องการเพิ่มมากขึ้นสำหรับการใช้ระบบคลาวด์เพื่อรองรับบริการด้านการเงิน ตำแหน่งที่ตั้งจะเป็นองค์ประกอบที่สำคัญอย่างยิ่งสำหรับแนวทางการจัดการความเสี่ยง โดยเฉพาะอย่างยิ่งในส่วนที่เกี่ยวกับการบังคับใช้กฎระเบียบ

เงื่อนไขข้อสุดท้าย สิทธิ์การเข้าถึง  ถึงแม้ว่าผู้ใช้จะมีสิทธิ์การเข้าถึง แต่ก็ไม่ได้หมายความว่าจะน่าเชื่อถือเสมอไป  ที่จริงแล้วเราจะต้องปรับใช้หลักการเรื่องการให้สิทธิ์แก่ผู้ใช้น้อยที่สุด (Least Privilege) โดยจะให้สิทธิ์การเข้าถึงข้อมูลเฉพาะที่จำเป็นต่อการทำงานอย่างใดอย่างหนึ่งเท่านั้น

ในยุคสมัยของเทคโนโลยีปัญญาประดิษฐ์ (AI) และแมชชีน เลิร์นนิ่ง (Machine Learning) สถาบันการเงินหลายแห่งพยายามที่จะปรับปรุงการดำเนินการด้านไซเบอร์ซีเคียวริตี้ โดยองค์กรที่ชาญฉลาดมีการปรับใช้เครื่องมือสำหรับการวิเคราะห์ข้อมูลจากเหตุการณ์ด้านไซเบอร์หลายล้านกรณี และใช้ข้อมูลนั้นในการระบุภัยคุกคามที่อาจเกิดขึ้น และกำหนดกลยุทธ์การป้องกันที่เหมาะสม  ด้วยเหตุนี้ในการปรับใช้เทคโนโลยีดังกล่าว บริษัทต่างๆ จำเป็นที่จะต้องมุ่งเน้นการสร้างสถาปัตยกรรมข้อมูลที่ปราศจากข้อกำจัดที่มักจะเป็นคอขวดในการทำงาน และเพิ่มความสะดวกรวดเร็วในการเริ่มรอบโมเดลใหม่  นอกจากนี้ในการออกแบบสถาปัตยกรรมข้อมูล จะต้องพิจารณาอย่างรอบด้านเกี่ยวกับเส้นทางของข้อมูล ตั้งแต่การนำเข้าข้อมูล การวิเคราะห์ข้อมูลที่ส่วน Edge ของเครือข่าย ไปจนถึงการจัดเตรียมข้อมูล เพื่อการสอนระบบคอมพิวเตอร์ให้อยู่ในดาต้าเซ็นเตอร์หลัก และการจัดเก็บข้อมูลระยะยาวไว้ในระบบคลาวด์  ทั้งนี้จำเป็นที่จะต้องเข้าใจข้อกำหนดเรื่องประสิทธิภาพ ชุดข้อมูล และบริการด้านข้อมูลที่จำเป็น

บทความโดย: เน็ตแอพ (ประเทศไทย)