แฮ็กเกอร์ต่างหันมาใช้แรนซั่มแวร์กันมากขึ้นในฐานะเครื่องมือก่อกวนธุรกิจต่างๆ รวมทั้งสร้างรายได้จากการโจมตีได้อย่างมีประสิทธิภาพ
โดยจากผลการวิเคราะห์ล่าสุดของกลุ่มด้านความปลอดภัยทางไซเบอร์ Group-IB เผยให้เห็นว่า มีการโจมตีด้วยแรนซั่มแวร์ในปี 2020 เพิ่มจากเดิมถึงสองเท่า นอกจากนี้ทาง Cybersecurity Ventures ยังออกมาทำนายด้วยว่า จะมีการโจมตีด้วยแรนซั่มแวร์เกิดขึ้นทุกๆ 11 วินาทีในปี 2021
ธุรกิจทั้งหลายจึงจำเป็นต้องเตรียมพร้อมรับมือกับความเสี่ยงที่จะโดนแรนซั่มแวร์โจมตี ทั้งส่วนของข้อมูล, บริการ, หรือแม้แต่ความต่อเนื่องทางธุรกิจ แต่ถ้าโดนเล่นงานไปแล้ว เราก็สามารถเร่งกู้คืนระบบกลับมาได้ด้วยขั้นตอนดังต่อไปนี้
• แยกส่วน จำกัดบริเวณระบบที่โดนโจมตี และปิดการทำงานของระบบที่สำคัญ
• ทำตามแผนสำรองที่วางไว้เพื่อยังรักษาความต่อเนื่องทางธุรกิจเอาไว้ได้
• รายงานเหตุการณ์โจมตีทางไซเบอร์แก่ฝ่ายที่เกี่ยวข้อง
• กู้คือระบบจากที่เคยสำรองข้อมูลเอาไว้
• แก้ไขปัญหา ติดตั้งแพ็ตช์ และเฝ้าตรวจติดตาม
01 การแยกส่วน และปิดการทำงานของระบบที่สำคัญ
สิ่งแรกที่ควรทำก่อนเลยคือการแยกส่วนและปิดการทำงานของระบบที่สำคัญทางธุรกิจ เนื่องจากยังเป็นไปได้ที่แรนซั่มแวร์ยังไม่ได้ลุกลามไปทั่วทุกระบบหรือข้อมูลทุกส่วน ดังนั้นการปิดระบบและแยกส่วนระบบที่ติดเชื้อกับระบบที่ยังปลอดภัยออกจากกันจะช่วยจำกัดการทำงานของโค้ดอันตรายได้
โดยเมื่อพบร่องรอยของแรนซั่มแวร์บนเครือข่ายครั้งแรก ก็ควรรีบจำกัดบริเวณก่อนเลย การจำกัดและแยกส่วนนี้ทำได้ทั้งการแยกระบบดังกล่าวออกจากเครือข่าย หรือตัดไฟที่เลี้ยงระบบทั้งหมดก็ได้
02 เริ่มแผนการรักษาความต่อเนื่องทางธุรกิจ
แผนสำรองเพื่อให้ธุรกิจยังดำเนินต่อไปได้ รวมทั้งปัจจัยที่ใช้ในการกู้คืนระบบจากวิกฤตินั้นถือเป็นสิ่งจำเป็นอย่างมากในการรักษาการปฏิบัติงานอย่างต่อเนื่องของธุรกิจในระดับหนึ่ง
แผนรักษาความต่อเนื่องทางธุรกิจในที่นี้คือรายละเอียดแต่ละขั้นตอนที่ช่วยให้ทุกฝ่ายเข้าใจวิธีการดำเนินธุรกิจต่อไปในเวลาที่เกิดวิกฤติ หรือสถานการณ์ที่กระทบต่อการดำเนินธุรกิจตามปกติ ส่วนองค์ประกอบต่างๆ ในการกู้คืนจากวิกฤตินั้นเป็นรายละเอียดเกี่ยวกับวิธีการกู้คืนข้อมูลและระบบที่สำคัญเพื่อกลับมาออนไลน์ได้อีกครั้ง
03 รายงานเหตุการณ์โจมตีทางไซเบอร์
หลายบริษัทมักลังเลที่จะทำขั้นตอนนี้ แต่การรายงานการโจมตีให้ทั้งลูกค้า ผู้ที่เกี่ยวข้อง และหน่วยงานบังคับใช้กฎหมายทราบนั้นก็ถือเป็นสิ่งจำเป็น โดยเฉพาะหน่วยงานภาครัฐที่อาจเปิดให้เข้าถึงแหล่งข้อมูลที่ปกติไม่สามารถเข้าถึงได้
นอกจากนี้เรายังต้องพิจารณาถึงการปฏิบัติตามกฎหมายที่เกี่ยวข้องด้วย อย่างเช่น GDPR ที่กำหนดให้ธุรกิจมีเวลาแค่ 72 ชั่วโมงในการเปิดเผยเหตุข้อมูลรั่วไหลที่กระทบกับข้อมูลส่วนตัวของลูกค้า
04 กู้ระบบที่สำรองไว้
มาตรการเชิงป้องกันที่ดีที่สุดก็คือ การมีข้อมูลสำรองเอาไว้เสมอ อย่างไรก็ดี การกู้คืนข้อมูลขนาดใหญ่มักใช้เวลาค่อนข้างนาน ทำให้ธุรกิจยังต้องหยุดชะงักต่อเนื่องไปอีกระยะหนึ่ง
นี่จึงเป็นสาเหตุว่าทำไมเราจึงจำเป็นต้องค้นพบและจำกัดบริเวณที่มีการติดเชื้อแรนซั่มแวร์ให้เร็วที่สุดเท่าที่เป็นไปได้ เพื่อลดปริมาณข้อมูลที่จำเป็นต้องกู้คืน
05 การแก้ไข ติดตั้งแพ็ตช์ และเฝ้าตรวจติดตาม
ในช่วงท้ายของการฟื้นฟูจากการโจมตีของแรนซั่มแวร์นั้น จะเป็นการแก้ไขการติดเชื้อแรนซั่มแวร์ที่เกิดขึ้น ติดตั้งแพ็ตช์อุดช่องโหว่ที่อาจเป็นเหตุเปิดช่องให้แรนซั่มแวร์ดังกล่าวโจมตี รวมทั้งเฝ้าตรวจติดตามสภาพแวดล้อมการทำงานเที่เกี่ยวข้องอย่างใกล้ชิดว่ามีกิจกรรมที่ดูเป็นอันตรายเพิ่มเติมอีกหรือไม่
ทั้งนี้เพราะที่ผ่านมามักจะยังมีความเคลื่อนไหวที่เป็นอันตรายเกิดขึ้นต่อ แม้จะมีการจ่ายค่าไถ่ หรือกู้คืนระบบที่โดนติดเชื้อไปแล้ว ยิ่งถ้ายังมีช่องโหว่เดิมที่เคยเปิดทางให้โดนโจมตีอยุ่ ระบบก็ยังเสี่ยงที่จะโดนเล่นงานอีกครั้งเสมอ
บทสรุป
เวลาที่บริษัทต้องการปกป้องระบบของตัวเองจากทั้งแรนซั่มแวร์และอันตรายแบบอื่นๆ นั้น จำเป็นอย่างยิ่งที่ต้องตรวจดูจุดที่อาจเปิดช่องต้อนรับการโจมตีเหล่านั้นได้ การโจมตีทางไซเบอร์มักใช้กลยุทธ์แบบฟิชชิ่งในการดูดจารกรรมรหัสผ่านเพื่อนำไปใช้ในการโจมตีของแรนซั่มแวร์ หรือแม้แต่เข้าถึงระบบเหยื่อโดยตรง
ธุรกิจทั้งหลายต้องระมัดระวังอย่างยิ่งในการรักษาความปลอดภัยของรหัสผ่าน โดยเฉพาะกับบัญชีผู้ใช้ของ Active Directory โชคไม่ดีที่ตัว Active Directory เองไม่ได้มีทูลด้านความปลอดภัยที่ดีมาด้วยพร้อมกันในการปกป้องรหัสผ่านให้สอดคล้องกับแนวทางนโยบายการรักษาความปลอดภัยรหัสผ่านที่ควรจะเป็นในปัจจุบัน
ทูลอย่าง Specops Password Policy สามารถเข้ามาช่วยป้องกันการหลุดรั่วของรหัสผ่าน ป้องกันการเปิดเผยรายการรหัสผ่าน มาพร้อมกับฟีเจอร์ทรงพลังด้านความปลอดภัยอีกมากมายที่ช่วยปกป้องระบบของคุณได้ ด้วยการนำโพลิซีด้านรหัสผ่านขั้นพื้นฐานที่มีอยู่ใน Active Directory มาผสานตามหลักการปัจจุบันที่ควรจะเป็นจากทั้ง NIST และหน่วยงานด้านความปลอดภัยทางไซเบอร์อีกหลายแห่ง
สามารถศึกษาเพิ่มเติม หรือดาวน์โหลดตัวทดลองใช้ได้จาก Specops Password Policy เพื่อปกป้องระบบของคุณจากช่องโหว่ของรหัสผ่านขอบคุณ
