09 Jan

Posted at 16:48h in CyberSecurity Hub
0 Likes

การทำธุรกิจในยุคที่ทุกอย่างเชื่อมต่อกับอินเทอร์เน็ต สิ่งที่ผู้ประกอบการต้องเผชิญกับความเสี่ยงอย่างหลีกเลี่ยงไม่ได้ก็คือ “ภัยคุกคามทางไซเบอร์” ทุกองค์กรไม่ว่าจะขนาดเล็กหรือใหญ่ย่อมมีโอกาสที่จะถูกโจมตี หากไม่มีการวางมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งเพียงพอหรือเหมาะสมกับรูปแบบของธุรกิจที่ทำอยู่ โดยเฉพาะธุรกิจรายเล็ก หรือ SMEs ซึ่งมักตกเป็นเป้าหมายของอาชญากรอยู่เสมอ

ในจังหวะที่ธุรกิจอย่าง SMEs เข้าสู่ความเปลี่ยนแปลงมีการใช้เทคโนโลยีออนไลน์เพื่อเข้าถึงลูกค้ากลุ่มใหม่ๆ เพื่อสร้างยอดขายเพิ่มขึ้น ทุกสิ่งดำเนินไปเพื่อความเติบโตอย่างยั่งยืน และเมื่อธุรกิจ SMEs เริ่มมีวิวัฒนาการที่ทันสมัย ภัยคุกคามทางไซเบอร์ก็พุ่งเป้าโจมตีมาอย่างรวดเร็วเช่นกัน เพราะอาชญากรไซเบอร์ไม่ได้กำหนดเป้าหมายเฉพาะองค์กรขนาดใหญ่เท่านั้น ในความเป็นจริงธุรกิจรายเล็กสามารถเป็นเป้าหมายที่ดีกว่าด้วยซ้ำ

สาเหตุของการตกเป็นเหยื่อในการโจมตีทางไซเบอร์

สาเหตุหลักที่ธุรกิจ SMEs ตกเป็นเป้าหมายของอาชญากรไซเบอร์ เนื่องจากตัวบริษัทมักมีงบประมาณที่จำกัด รวมถึงไม่มีเวลาที่จะทุ่มเทให้กับการรักษาความปลอดภัยทางไซเบอร์เหมือนบริษัทขนาดใหญ่ หรือถ้ามีก็เป็นระบบที่ไม่แข็งแรงเพียงพอ ง่ายต่อการเจาะระบบและขโมยข้อมูล ซ้ำร้ายในบางกรณีเรื่องของ Cybersecurity ถูกลำดับความสำคัญไว้หลังๆเพราะมีเรื่องอื่นที่สำคัญกว่าต้องทำ บางองค์กรก็ทิ้งเรื่องดังกล่าวไว้กลางทาง และเข้าใจว่าไม่จำเป็นต้องมีระบบ Cybersecurity ก็ได้ ทั้งๆ ที่ธุรกิจของตนเองมีข้อมูลของลูกค้า พนักงาน ทรัพย์สินทางปัญญา ข้อมูลทางการเงินที่โจรไซเบอร์ต้องการ เมื่อเป็นเช่นนี้แล้วผู้ประกอบการธุรกิจ SMEs ต้องทำอย่างไรถึงจะปกป้องธุรกิจของตนให้มีความปลอดภัยจากการโจมตีทางไซเบอร์ คำตอบง่ายๆ ก็คือ “ความตระหนักรู้” นั่นเอง

Cybersecurity การสร้างความตระหนักรู้กับผู้ประกอบการ

เชื่อว่ายังมีผู้ประกอบธุรกิจ SMEs อีกจำนวนมากที่ไม่รู้ว่า Cybersecurity คืออะไร? วันนี้จึงเป็นโอกาสอันดีที่จะได้เรียนรู้ไปด้วยกัน…

Cybersecurity หรือ “ความมั่นคงปลอดภัยทางไซเบอร์” คือการนำเครื่องมือทางด้านเทคโนโลยีและกระบวนการ รวมถึงวิธีการปฏิบัติที่ถูกออกแบบไว้เพื่อป้องกันและรับมือความเสี่ยงที่อาจจะถูกโจมตีเข้ามายังอุปกรณ์เครือข่าย, โครงสร้างพื้นฐานทางสารสนเทศ, ระบบหรือโปรแกรมที่อาจจะเกิดความเสียหายจากการที่ถูกเข้าถึงโดยบุคคลที่สามที่ไม่ได้รับอนุญาต

ในปัจจุบันหน่วยงานภาครัฐ และภาคเอกชนได้เริ่มให้ความสำคัญในเรื่องของความมั่นคงปลอดภัยทางไซเบอร์มากยิ่งขึ้น เนื่องจากเป้าหมายในการโจมตีมีความหลากหลาย รวมถึงรูปแบบของการโจมตีที่ซับซ้อน และสร้างความเสียหายให้กับองค์กรอย่างมหาศาล

ดังนั้นปัญหาการคุกคามทางไซเบอร์จึงไม่ใช่เรื่องเล็กๆ อีกต่อไป ไม่ใช่การสร้างความเสียหายเฉพาะบุคคล อย่างเช่นการแฮกค์บัญชีธนาคาร หรือการเจาะข้อมูลเข้าไปในอีเมลส่วนบุคคล แต่วันนี้มีตัวอย่างมากมายที่แสดงให้เห็นว่าอาชญากรทางไซเบอร์อันตรายและสามารถสร้างความเสียหายได้รุนแรงกว่าที่คิด เพราะอาชญากรสามารถเจาะระบบความปลอดภัยและขโมยข้อมูลทางการค้าของบริษัทใหญ่ๆ เพื่อนำไปขายให้คู่แข่ง ไปจนถึงการเจาะระบบเข้าไปในหน่วยงานภาครัฐเพื่อสร้างข่าวปลอมทำให้เกิดผลกระทบต่อความมั่นคงและเศรษฐกิจของประเทศ

ผลกระทบเมื่อถูกโจมตีทางไซเบอร์

การโจมตีทางไซเบอร์นั้นสามารถสร้างความเสียหายอย่างมหาศาลให้แก่ธุรกิจ SMEs ทั้งการสูญเสียทางการเงิน เช่น การโจรกรรมข้อมูลเพื่อเรียกค่าไถ่ Ransomware หรือการถูกโจมตีไปที่เว็บไซต์หรือระบบการทำงานให้หยุดชะงักลงด้วย DDoS Attack ซึ่งอาจส่งผลให้การดำเนินธุรกิจต้องสะดุด ทำให้สูญเสียโอกาสในการทำธุรกิจ รวมถึงผลกระทบต่อภาพลักษณ์ขององค์กรและความเชื่อมั่นของผู้บริโภค ซึ่งอาจทำให้สูญเสียฐานลูกค้า และอาจได้รับบทลงโทษทางกฎหมายในกรณีเลวร้ายที่สุด ความสูญเสียอาจมีมูลค่ามากจนทำให้ธุรกิจต้องปิดตัวลงได้อีกด้วย จากการศึกษาภัยคุกคามทางไซเบอร์ต่อธุรกิจขนาดเล็กของ U.S. Securities and Exchange Commission ในสหรัฐฯ พบว่า กว่า 60% ของธุรกิจรายเล็กที่ถูกโจมตีทางไซเบอร์ต้องปิดตัวลงใน 6 เดือนหลังการโจมตี

First Steps ก้าวแรกที่ต้องเดินให้ถูกทาง

เมื่อผู้ประกอบการรู้ความหมายของ Cybersecurity และเข้าใจถึงผลกระทบแล้ว ก้าวต่อไปก็จะเป็นเรื่องของการประเมินความเสี่ยง โดยภาพรวมนั้นการประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์ช่วยให้ธุรกิจและองค์กรเข้าใจ ควบคุม และลดความเสี่ยงทางไซเบอร์ทุกรูปแบบได้ หากไม่มีการประเมินความเสี่ยงอาจส่งผลกระทบต่อข้อมูลและทรัพยากรสำคัญในการดำเนินธุรกิจขององค์กร

ขณะเดียวกันประโยชน์ของการประเมินความเสี่ยงคือการช่วยให้เจ้าของธุรกิจ SMEs เข้าใจองค์กรของตนเองมากขึ้น รู้ว่าข้อมูลและทรัพย์สินที่สำคัญนั้นจัดเก็บอยู่ที่ไหนในโลกดิจิทัล ในคอมพิวเตอร์จัดเก็บอะไรไว้บ้าง อะไรควรได้รับการปกป้อง ทั้งนี้เพื่อให้สามารถจัดลำดับความสำคัญได้อย่างมีประสิทธิภาพ ทราบถึงความน่าจะเป็น และความรุนแรงของความเสี่ยง
อีกทั้งยังสามารถเลือกใช้โซลูชันรักษาความปลอดภัยให้เหมาะสมกับรูปแบบการทำธุรกิจของตนเอง เจ้าของธุรกิจ SMEs ยังสามารถจัดตั้งผู้รับผิดชอบในการจัดการความเสี่ยงที่ถูกประเมิน และการวิเคราะห์ความปลอดภัยอื่นๆ เพิ่มเติมภายในระบบสารสนเทศของธุรกิจหรือองค์กร

เรียนรู้การโจมตีทางไซเบอร์ที่เกิดขึ้นทั่วไป

การทำความเข้าใจเกี่ยวกับภัยคุกคามทางไซเบอร์ที่พบบ่อยที่สุด ซึ่งกำหนดเป้าหมายไปยังธุรกิจ SMEs สามารถช่วยให้ผู้ประกอบการหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีเหล่านี้ได้ ยกตัวอย่างเช่น

  • มัลแวร์คือซอฟต์แวร์หรือรหัสที่เป็นอันตรายซึ่งใช้เพื่อขโมยข้อมูลและสร้างความเสียหายต่ออุปกรณ์ รวมถึงคอมพิวเตอร์ เซิร์ฟเวอร์ และเครือข่ายคอมพิวเตอร์ ตัวอย่างมัลแวร์ที่พบได้บ่อยคือ “ไวรัส” และ “แรนซัมแวร์”
  • ไวรัส คือโปรแกรมรหัสหรือซอฟต์แวร์ที่เป็นอันตราย ซึ่งสามารถจำลองตัวเองเพื่อแพร่กระจายระหว่างคอมพิวเตอร์และอุปกรณ์เชื่อมต่ออื่นๆ โดยปกติแล้วจะถูกส่งผ่านไฟล์แนบอีเมลและอาจทำให้คอมพิวเตอร์และฮาร์ดไดรฟ์เสียหายได้ ไวรัสช่วยให้อาชญากรไซเบอร์เข้าถึงระบบของธุรกิจได้
  • แรนซัมแวร์ – เป็นมัลแวร์รูปแบบหนึ่งที่ออกแบบมาเพื่อโจมตีเครือข่ายคอมพิวเตอร์ของบุคคลหรือองค์กร มันจำกัดการเข้าถึงและเข้ารหัสข้อมูลแล้วจับไว้เป็นตัวประกันจนกว่าจะจ่ายค่าไถ่ แรนซัมแวร์มักจะแพร่กระจายผ่านทางอีเมลและใช้ประโยชน์จากช่องโหว่ที่ไม่ได้แพตช์ในซอฟต์แวร์
  • ฟิชชิง – คือการโจมตีทางไซเบอร์ประเภทหนึ่งที่แอบอ้างเป็นบุคคล เว็บไซต์ หรือองค์กรที่น่าเชื่อถือเพื่อหลอกลวงให้เหยื่อเปิดเผยชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนตัวอื่นๆ ผ่านช่องทาง E-Mail, SMS, เว็บไซต์ หรือ Social Media
    ฟิชชิงมักมาพร้อมกับลิงก์หรือไฟล์แนบอันตราย เมื่อคลิกลิงค์แล้วจะปล่อยมัลแวร์ที่รวบรวมข้อมูลที่สำคัญ เพื่อนำข้อมูลดังกล่าวของเหยื่อไปใช้ในการทำธุรกรรม

 

มาถึงตรงนี้สิ่งที่ต้องคำนึงถึงของธุรกิจ SMEs ก็คือเรื่องของการลงทุนในระบบ Cybersecurity ซึ่งต้องพัฒนาระบบการดูแลความปลอดภัยที่ครอบคลุมทั้งเครือข่าย IT ที่ใช้ในองค์กร เนื่องด้วยรูปแบบของการโจมตีทางไซเบอร์ที่ปรับเปลี่ยนกลวิธีอยู่ตลอดเวลา ทำให้ต้องมีการอัพเดทระบบและมอนิเตอร์ความเสี่ยงในทุกๆ ด้านอยู่เสมอ ซึ่งอาจจะทำให้เกิดข้อจำกัดทางด้านงบประมาณและบุคลากรที่จะดูแลงานด้าน IT

ดังนั้นทางเลือกหนึ่งในการพัฒนาระบบ Cybersecurity ของธุรกิจ SMEs คือการใช้บริการด้าน Cybersecurity จากผู้ให้บริการภายนอก ซึ่งมีความสอดคล้องกับความต้องการของธุรกิจ SMEs อาทิเช่น ค่าใช้จ่ายต่ำ ลดต้นทุนด้านโครงสร้างพื้นฐาน ไม่ต้องมีบุคลากรที่เชี่ยวชาญเฉพาะทางด้านความปลอดภัยประจำอยู่ภายในองค์กร และสามารถรักษาความปลอดภัยได้อย่างมีประสิทธิภาพ

ท้ายที่สุดแล้วการรักษาความปลอดภัยทางไซเบอร์แม้ว่าจะเป็นการเพิ่มต้นทุนในการดำเนินธุรกิจของ SMEs แต่ผู้ประกอบการก็ยากที่จะหลีกเลี่ยงต่อภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นกับองค์กร นั่นเพราะความเสียหายที่จะเกิดขึ้นในทุกวันนี้นั้นรุนแรงมากกว่าเดิมหลายเท่า ถึงขั้นต้องปิดกิจการเพราะไม่สามารถกู้คืนข้อมูลที่สำคัญกลับมาได้ อีกทั้งผลลัพธ์ที่เป็นประโยชน์ในการวางระบบ Cybersecurity ไม่เพียงแต่ทำให้องค์กรและธุรกิจ SMEs มีความปลอดภัยแล้ว หากแต่ยังเป็นการปกป้องลูกค้า คู่ค้า พนักงาน ผู้มีส่วนได้ส่วนเสีย ฯลฯ ให้ปลอดภัยไปพร้อมๆ กันได้อีกด้วย

อาจกล่าวได้ว่าระบบ Cybersecurity นั้น เป็นการลงทุนที่คุ้มค่าเมื่อเทียบกับความเสียหายที่จะเกิดขึ้น อย่ารอให้ภัยคุกคามโจมตีธุรกิจของคุณแล้วค่อยหาทางแก้ไข เพราะความมั่นคงและปลอดภัยทางไซเบอร์เป็นปัจจัยสำคัญที่จะช่วยนำพาธุรกิจ SMEs ให้เติบโตในยุคดิจิทัลได้อย่างปลอดภัยและยั่งยืน

 

ข้อมูลจาก

https://it.nc.gov/resources/cybersecurity-risk-management/cybersecurenc/businesses/threats

https://www.scbeic.com/th/detail/product/8400

https://ict.dmh.go.th/events/events/files/CyberSecurity-Awareness.pdf

https://www.depa.or.th/th/article-view/cyber-risk-assessment-and-cyber-risk-management

https://www.bangkokbanksme.com/en/sme1-cyber-security-smes-must-be-aware

08 Jul

Posted at 18:04h in CyberSecurity Hub
1 Like

คุณมั่นใจหรือ? ว่าการเลือกใช้ Cloud ของผู้ให้บริการชื่อดังจะช่วยให้บริษัทปลอดภัยหายห่วง

นี่เป็นคำถามที่เกิดขึ้นหลังจากนักวิจัยทีม Unit 42 จาก Palo Alto Networks ค้นพบ Newly Observed Hostname (NOH) หรือชื่อของ Hostname ใหม่ซึ่งมี Keyword ที่เกี่ยวข้องกับการระบาดของไวรัส COVID-19 จำนวน 1,200,000 ชื่อ จนพบว่าชื่อโดเมนแบบเต็ม (Fully Qualified Domain Names) กว่า 86,600 โดเมนนั้นสามารถจำแนกแยกแยะได้เป็นโดเมนประเภท “High-risk” หรือ “Malicious” (C2, Malware หรือ Phishing) มีการกระจายไปทั่วภูมิภาคต่างๆ  ไม่ว่าจะเป็นสหรัฐอเมริกาที่มีจำนวน Malicious Domain มากที่สุด (29,007) ตามด้วยอิตาลี (2,877), เยอรมัน (2,564), และรัสเซีย (2,456)

NOH โฮสต์อยู่ที่ไหนบ้าง? ทีมนักวิจัยแห่ง Palo Alto Networks พบว่ากว่า 56,200 ของ NOH นั้นโฮสต์ไว้กับผู้ให้บริการ Cloud รายใหญ่ (Cloud Service Providers) 4 ราย ได้แก่ Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) และ Alibaba แสดงให้เห็นว่าต่อให้คุณเลือกใช้บริการ Cloud จากผู้ให้บริการชื่อดัง ก็ไม่ได้ช่วยให้คุณปลอดภัย อยู่ดี

ในระหว่างการวิจัยยังพบว่าบาง Malicious Domain นั้นแปลงไปเป็น IP ได้แบบ Multiple IP address และบาง IP address นั้น Map กับหลาย Malicious Domain ซึ่งการ Mapping แบบ Many-to-many นี้เกิดขึ้นได้บ่อยใน Cloud Environment ที่มีการใช้งานในลักษณะ Content Delivery Networks (CDNs) โดยจะส่งผลให้ Firewall ที่ทำงานในระดับ IP-based นั้นไร้ประโยชน์ไปโดยปริยาย

ข้อมูลน่าสนใจจากการวิจัย

  • โดยเฉลี่ยจะมี 1,767 High-risk Domain หรือ Malicious Domain Name ที่ใช้ Theme COVID-19 เกิดขึ้นใหม่ทุกวัน
  • จากกว่า 86,600 Domain Names พบว่า 2,829 Domain Names ที่โฮสต์ไว้ใน Public Cloud นั้นเป็น High-risk หรือ Malicious Domain โดยมีรายละเอียดดังนี้
    • 2% in AWS
    • 6% in GCP
    • 9% in Azure
    • 3% in Alibaba
  • ผู้ไม่ประสงค์ดีพยายามแฝง Malicious Activity เช่น Phishing และการส่ง Malware ผ่าน Cloud
  • ราคาที่สูง รวมถึงกระบวนการคัดกรองและตรวจสอบที่เข้มงวดนั้น ทำให้ Malicious Actors ไม่อยากจะโฮสต์ Malicious Domain ไว้ใน Public Cloud

ภัยคุกคามที่โจมตีมาจาก Cloud นั้นยากต่อการป้องกัน เนื่องจากผู้โจมตีสามารถใช้ประโยชน์จาก Resource ของระบบ Cloud นำมาช่วยเพิ่มพลังการโจมตีและหลบหลีกการตรวจจับ นี่จึงทำให้เราได้คำตอบว่า

Secure The Cloud คือสิ่งที่บริษัทต้องทำทันที เพราะผู้ให้บริการ Cloud ยอดนิยมไม่ได้ตอบโจทย์ในเรื่องของความปลอดภัยอีกแล้ว บริษัทควรเลือกใช้ Cloud-Native Security Platform และแอปพลิเคชันบน Firewall ที่รู้เท่าทันภัยคุกคามเช่นนี้ ซึ่ง Palo Alto Networks หมั่นตรวจสอบ Malicious NOH อย่างต่อเนื่อง ด้วยโซลูชั่น Prisma Cloud และ VM-Series ที่ทำให้ Cloud Environment มีความสามารถระดับ Layer-7 Firewall ป้องกัน Malicious Activity ที่เสี่ยงจะก่อให้เกิดอันตรายจาก Malicious Domain

นอกจากนี้ Palo Alto Networks ยังมีการคัดกรอง URL เพื่อให้ระบบของบริษัทปลอดภัยสูงสุดด้วย URL Filtering โดย URL นั้นๆจะถูกจัดว่าเป็นอันตราย (Malicious) หากตรวจพบว่ามีความเสี่ยงที่จะเป็น Malware หรือ Phishing ยิ่งหากก่อนหน้านี้พบว่าเป็น Malicious, โฮสต์บน Bulletproof ISPs, มีการแชร์โดเมนกับ Malicious Site ก็จะถูกระบบตีตราไว้ว่าเป็น High-risk หรือ Malicious ทันที

รู้เท่าทันภัยคุกคามด้วยข้อมูลที่เป็นปัจจุบันอยู่เสมอ ฐานข้อมูลของ Palo Alto Networks ถูกเพิ่มพูนด้วยข้อมูลสำคัญจากการใช้ Palo Alto Networks URL Filtering, AutoFocus, WHOIS Database, และ IP Geolocation เราจึงมั่นใจได้ว่าไม่ว่าจะเป็น NOH หรือ Hostname อื่นๆ Palo Alto Networks ก็จะยังกดความเสี่ยงที่อาจเกิดขึ้นกับระบบให้ต่ำลงได้มากที่สุด

ลูกค้า Palo Alto Networks จะได้รับการคุ้มครองจากภัยคุกคามเหล่านี้ จากโซลูชั่น Prisma Cloud, VM-Series และ Palo Alto Network URL Filtering

ภัยคุกคามทางไซเบอร์พัฒนาขึ้นอย่างรวดเร็ว เราจะเห็นได้ว่าตอนนี้การจู่โจมที่เกิดขึ้นไม่ได้ตั้งเป้าไปที่ผู้ใช้งาน Cloud เพียงอย่างเดียว แต่กลับเป็นภัยคุกคามที่เกิดขึ้นบน Cloud เองด้วยซ้ำ ทุกๆวัน Malicious Domain จำนวนมากมายกำลัง Online อยู่ มันเป็นเรื่องสำคัญมากที่เราจะต้องปกป้อง Endpoint ด้วยโซลูชันที่สามารถปกป้องภัยคุกคามได้อย่างอัตโนมัติ และมีการ Monitor อย่างต่อเนื่อง เพราะแอปพลิเคชันที่อยู่บน Cloud เองก็ถูกภัยคุกคามตัวเดียวกับ Endpoint ที่ไม่ได้ใช้ Cloud โดน ซึ่งปัญหานี้จะยิ่งซับซ้อนมากขึ้นไปอีกหากคุณต้องทำงานบน Multi-cloud Environment เท่านั้นยังไม่พอความซับซ้อนของ Cloud Management ก็ทำให้เกิดการ Config ที่ผิดพลาดโดยตัวผู้ใช้งานเองจนอาจทำให้เกิดปัญหาด้านความปลอดภัย

ดังนั้น Cloud Native Security Platforms (CNSPs) จึงเข้ามาช่วยให้บริษัทดูแลและปกป้องข้อมูลที่ต้องผ่านผู้ให้บริการ Cloud หลายเจ้าได้ อีกทั้งยังช่วยจัดการปัญหาเกี่ยวกับ Workloads และ Hybrid Cloud Environments อีกด้วย

อยากได้ข้อมูลมากกว่านี้? nForce Secure คือผู้เชี่ยวชาญระดับ Value-added ในการให้คำแนะนำและจัดจำหน่าย Palo Alto Networks ที่คอยตอบคำถามของคุณพร้อมรอยยิ้ม ติดต่อได้ที่ Line: @nforcesecure หรือโทร 02 274 0984

คลิกเพื่อดูที่มาข้อมูล

07 Jul

Posted at 15:53h in CyberSecurity Hub
1 Like

ช่วงนี้ถือเป็นช่วงที่ระบบปฏิบัติการ Mac OS ถูกแรนซัมแวร์โจมตีติดๆกันเลยครับ เพราะหลังจากที่โดนถล่มด้วยมัลแวร์ประเภท Adware ไปแล้ว ครั้งนี้ก็ถึงคราวโดนมัลแวร์เรียกค่าไถ่ หรือแรนซัมแวร์โจมตีบ้างครับ
แรนซัมแวร์ที่โจมตี Mac OS นั้นเป็นหนึ่งในแรนซัมแวร์ 3 ตัวที่ถูกค้นพบขึ้นมาใหม่และสามารถดึงดูดความสนใจจากนักวิจัยด้านความปลอดภัยไซเบอร์และนักวิจัยมัลแวร์ ซึ่งแรมซัมแวร์ตัวนี้จะมุ่งเป้าโจมตีไปที่ผู้ใช้เครื่องระบบ Mac โดยเฉพาะ

OSX.EvilQuest, คือชื่อของแม็คแรนซัมแวร์ (Mac Ransomware) ที่แพร่กระจายผ่านทางเว็บ Torrent จากประเทศรัสเซีย และทำการแชร์จากฟอรั่มมาในรูปแบบของ Disk Image File ที่สามารถดาวน์โหลดออกไปได้ ซึ่งไฟล์นั้นจะเป็นเหมือนตัวติดตั้งตัวเล็กๆของ Hosted-based Application Firewall
นักวิจัยบางส่วนรายงานถึงการค้นพบที่เกิดขึ้น ทั้งนี้หนึ่งในนักวิจัยได้ทวิตลงในทวิตเตอร์ของตนถึงตัวอย่างของ OSX. EvilQuest มัลแวร์ที่แอนตี้ไวรัสไม่สามารถตรวจพบได้ (0% Detection Rate) และตัวมันยังแกล้งทำเป็นตัว Google Software Update Program อีกด้วย
แม้มัลแวร์ตัวนี้จะยังมีข้อบกพร่องอยู่บ้าง แต่จากรายงานของ Thomas Reed ผู้อำนวยการบริษัทมัลแวร์ไบท์ ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ได้โพสต์ใน Blog ว่าจากการดาวน์โหลดตัวติดตั้งของแอป Little Snitch ที่เป็นแอปเถื่อนทำให้เห็นได้ชัดว่า มีบางอย่างผิดปกติเกิดขึ้นสำหรับแอป Little Snitch แบบโหลดเถื่อน โดยมันจะมาพร้อมกับ Generic Installer Package ปกติ ซึ่งดูเผินๆเหมือนกับติดตั้งแอป Little Snitch เวอร์ชันจริง แต่ความจริงแล้วมันยังติดตั้งไฟล์ที่มีชื่อว่า Patch เพิ่มเข้ามาด้วย อีกทั้งยังมีสคริปต์หลังจากติดตั้งแอป เป็นสาเหตุที่ทำให้เครื่องๆนั้นติดแรนซัมแวร์
หลังจากนั้นสคริปต์ที่ติดตั้งดังกล่าวจะย้ายไฟล์ที่ชื่อ Patch ไปยังที่ใหม่แล้วเปลี่ยนชื่อใหม่ให้มันเป็น CrashReporter ซึ่งซ่อนอยู่ใน Activity Monitor จึงทำให้ผู้ใช้ไม่เกิดความสงสัย จากนั้นไฟล์ที่ชื่อ Patch จะเริ่มติดตั้งตัวเองไปอีกหลายจุดในเครื่องนั้น แล้วแรนซัมแวร์จะทำการเข้ารหัสการตั้งค่าและไฟล์ข้อมูลต่างๆ บนเครื่อง Mac เหมือนกับไฟล์ Keychain ซึ่งจะส่งผลให้มี Error เกิดขึ้นเมื่อพยายามเข้าถึง iCloud Keychain รวมไปถึง Finder เองก็จะเริ่มทำงานผิดปกติหลังจากติดตั้งเสร็จ ไม่เพียงเท่านั้นส่วนอื่นๆ เช่น Dock และแอปพลิเคชันต่างๆก็จะเริ่มเกิดปัญหาขึ้น
ซึ่งไฟล์ที่ชื่อ Patch นี้ได้กลายมาเป็นตัวที่เข้ารหัสกับ Hard Drive ไฟล์ต่างๆ โดยทั้งหมดนั้นใช้สิทธิ์ของ Root Privileges ในการรันบนเครื่องของเหยื่อ ทั้งนี้มัลแวร์ยังได้แจ้งเตือนเหยื่อผ่านทางข้อความและหน้าต่าง Prompt ซึ่งในตัวอย่างข้อความที่ถูกเปิดเผยพบว่าได้มีการอ้างว่ามีการใช้ AES-256 อัลกอริทึมที่ใช้ในการเข้ารหัสไฟล์ และบอกให้เหยื่อจ่าย 50 ดอลลาร์สหรัฐสำหรับการไถ่ข้อมูลคืนผ่านช่องทางบิตคอยน์(Bitcoin) รวมถึงให้ระยะเวลาในการจ่ายเงินเพื่อไถ่ข้อมูลคืนภายใน 3 วัน ไม่เช่นนั้นจะไม่สามารถเรียกหรือกู้คืนข้อมูลกลับมาได้ และนอกจากการล็อคไฟล์ไว้เรียกค่าไถ่แล้ว มัลแวร์ในเครื่องยังติดตั้ง Keylogger เพื่อเก็บข้อมูลการกดแป้นพิมพ์ของผู้ใช้งานมาอีกด้วย
ช่วงนี้เป็นช่วงที่แรนซัมแวร์ระบาดครับ นอกเหนือจากที่ผมได้ยกตัวอย่างมานั้นก็ยังมีอีกหลายตัวที่มีจุดมุ่งหมายในการโจมตีที่ต่างกันออกไป ยิ่งมีแรนซัมแวร์ที่แอนตี้ไวรัสไม่สามารถตรวจพบได้ ยิ่งทำให้องค์กรต้องหันมาให้ความสำคัญกับการป้องกันระบบในทุกๆส่วน และเลือกใช้โซลูชัน (Solution) ที่สามารถ Integrate กันได้ เพื่อทำให้การคุ้มครองระบบมีช่องโหว่น้อยที่สุดครับ

19 Jun

Posted at 15:17h in CyberSecurity Hub
2 Likes

โลกไซเบอร์ในปัจจุบันนี้ถูกเปลี่ยนไปเยอะนะครับ นอกจากจะมีบริการเพื่อให้ผู้ใช้งานใช้งานได้สะดวกขึ้นแล้ว ยังมีบริการให้แฮกเกอร์โจมตีเหยื่อได้สะดวกขึ้นด้วยเช่นกัน ทุกวันนี้จึงมีแรนซัมแวร์ตัวใหม่ๆเกิดขึ้นมากมาย ไม่ว่าจะเป็น Zeppelin, REvil/Sodinokibi และยังมีแรนซัมแวร์ที่มีการพัฒนาสายพันธุ์ให้มีความรุนแรงและแยบยลในการจู่โจมมากยิ่งขึ้น จนเกิดเป็นรูปแบบของ Ransomware-as-a-Service (RaaS) ซึ่งผู้ที่สร้างมันขึ้นมาได้ให้บริการแรนซัมแวร์ โดยการขายหรือปล่อยให้เช่ากับอาชญากรไซเบอร์ แลกกับส่วนแบ่งกำไรหลังจากที่ก่ออาชญากรรมสำเร็จ
อีเมลยังเป็นอาวุธหลักที่นำมาใช้เปิดการจู่โจม และนิยมมากที่สุดรูปแบบหนึ่งของแรนซัมแวร์ ยิ่งอีเมลถูกนำมาใช้ในรูปแบบ Social Engineering ก็ยิ่งจู่โจมได้แยบยลมากยิ่งขึ้น โดยเป้าหมายส่วนมากจะเน้นไปที่พนักงานทั่วไปในองค์กรมากกว่าจะจู่โจมแบบสุ่มๆเข้ามาในระบบเครือข่ายเหมือนแต่ก่อน นอกจากนี้ช่องโหว่ของระบบที่ไม่ได้มีการอัพเดทแพตช์ และข้อผิดพลาดในการตั้งค่าของระบบ เช่น การใช้ Remote Desktop Connection ที่ไม่ปลอดภัย ก็ทำให้ไม่สามารถหาโซลูชั่นที่จะตอบโจทย์การป้องกันแรนซัมแวร์ได้สมบูรณ์แบบในคราวเดียว
ถึงแม้ว่าจะมี Firewalls, IPS/IDS, Proxies และ Endpoint Protection Platform (EPP) รวมถึง Antivirus ก็ไม่สามารถที่จะหยุดการโจมตีจากแรนซัมแวร์ได้ทั้งหมดอยู่ดี เพราะหากมีการดัดแปลง Signature แล้วก็จะตรวจจับได้ยาก Endpoint Detection and Response (EDR) จึงถือกำเนิดขึ้นเพื่อช่วยป้องกันอีกชั้นนึง ด้วยเทคนิคการตรวจจับของ EDR ที่มีการตรวจจับที่ลึกกว่าเพื่อมองหาสิ่งผิดปกติที่เกิดขึ้นในอุปกรณ์นั้นๆ ถึงแม้ว่า EDR จะไม่สามารถหยุดการจู่โจมได้ทุกอย่างเหมือน EPP ก็ตาม แต่ก็สามารถที่จะขัดขวางการจู่โจมได้เป็นส่วนมาก
แต่นั่นก็ยังไม่สามารถหยุดยั้งแรนซันแวร์ได้ และถึงคราวต้องใช้เทคโนโลยีในการตรวจจับแบบขั้นสูงอย่าง Deception มาช่วยผสานงานในการตรวจจับเพื่อเพิ่มประสิทธิภาพให้ดียิ่งขึ้นไปอีก โดย Advanced Deception Technology นั้นสามารถตรวจจับการเคลื่อนไหวที่เกิดขึ้นภายใน (Lateral Movement) รวมถึงสามารถปกป้องหรือซ่อนเครื่องที่ถูกใช้จริงจากการจู่โจม และส่งแรนซัมแวร์ไปยังเครื่องที่มีการแชร์ไฟล์ปลอมๆเอาไว้ จากนั้นก็หลอกผู้จู่โจมโดยการส่งข้อมูลปลอมไปให้ ซึ่งในระหว่างนั้นระบบ Deception จะแจ้งเตือนไปยังผู้ที่ดูแล และแยกเครื่องที่มีการติดแรนซัมแวร์ออกจากระบบเครือข่ายเพื่อป้องกันการแพร่กระจายอีกด้วย
นี่ถือเป็นเรื่องใหม่ของการป้องกันภัยคุกคามอย่างแรนซัมแวร์ เพราะเมื่อรวมความสามารถทั้งหมดของ EPP, EDR, และ Deception เข้าด้วยกันก็ทำให้เกิดระบบการป้องกันและตรวจจับที่มีประสิทธิภาพสูง และสามารถตรวจสอบหาสาเหตุและช่องโหว่เพื่อที่จะทำการอุดช่องโหว่ ตลอดจนรู้เท่าทันวิธีการต่างๆที่อาชญากรไซเบอร์ใช้ในการจู่โจมครั้งต่อไปได้ ช่วยให้ตอบสนองและแก้ปัญหาได้อย่างรวดเร็ว ลดผลกระทบที่จะเกิดขึ้นให้น้อยที่สุด จนเชื่อว่านี่จะเป็นโซลูชั่นที่ทุกองค์กรต่างต้องการมีไว้ใช้ป้องกันระบบครับ

29 Apr

Posted at 12:15h in CyberSecurity Hub
1 Like

การอัพเดทแพตช์ของสองยักษ์ใหญ่

ทุกโปรแกรมต่อให้เปิดตัวมานานหลายปี มีผู้ใช้งานมากมายเช่นไร ก็ยังต้องหมั่นตรวจสอบหาช่องโหว่ (Vulnerability) และทำการแพตช์ (Patch) ปิดช่องโหว่นั้นอยู่เสมอ เช่นเดียวกันกับเจ้าของระบบปฏิบัติการที่คนทั่วโลกต้องรู้จักอย่างไมโครซอฟท์ และโปรแกรมทำงานด้านรูปภาพและวีดีโออย่าง Adobe

โดยก่อนหน้านี้ไมโครซอฟท์ได้ปล่อยอัพเดทแพตช์เพิ่มความปลอดภัยของโปรแกรมมามากกว่า 100 แพตช์ ในทุกๆวันอังคารเป็นเวลากว่าสองเดือนติดต่อกัน ทั้งนี้มี 3 แพตช์ช่องโหว่สำคัญใหญ่ๆ ซึ่งในภาพรวมจะเห็นว่ามี 113 ช่องโหว่ที่มากับ 19 ปัญหาร้ายแรงที่ต้องอัพเดทแพตช์อย่างเร่งด่วน

ช่องโหว่บางส่วนสามารถพบได้ใน Adobe Font Manager Library ซึ่งเป็นสาเหตุของภัยคุกคามแบบ Remote Code Execution ซึ่งการที่ผู้จู่โจมจะอาศัยช่องโหว่นี้ได้ต้องอาศัยเทคนิคในด้าน Social Engineering เพื่อให้เหยื่อเปิดไฟล์เอกสารที่แฝงภัยคุกคามมาด้วย หรือทำให้เหยื่อเปิดเอกสารนั้นใน Windows Preview Pane

ช่องโหว่บางส่วนถูกพบใน Internet Explorer และพบว่าปัญหาคือการจัดการที่ไม่ถูกต้องภายในโปรแกรม Internet Explorer เอง ในขณะที่ช่องโหว่บางส่วนยังไปเพิ่มระดับของช่องโหว่ใน Windows Kernel ซึ่งถือเป็นช่องโหว่ที่แพร่กระจายไปทั่ว รวมถึงไมโครซอฟได้กำหนดระดับความอันตรายของช่องโหว่นี้ในระดับ “Exploitation More Likely” ซึ่งถือว่าเป็นระดับที่สูงมากอีกด้วย

OneDrive ของไมโครซอฟท์เองก็พบช่องโหว่ที่ทำให้ผู้ไม่หวังดีสามารถทำการรัน Crafted Application เพื่อที่จะทำการควบคุมระบบที่เป็นเป้าหมายได้อีกด้วย

ในส่วนของ Adobe นั้นมีการอัพเดทแพตช์ในเดือนเมษายนนี้ โดยแพตช์จะครอบคลุมสำหรับโปรแกรมของ Adobe ทั้ง 3 โปรแกรมที่มีช่องโหว่ทั้งหมด และช่องโหว่ทั้งหมดนี้ถูกจัดให้เป็นช่องโหว่สำคัญที่ต้องมีการอัพเดทแพตช์อย่างเร่งด่วน

ColdFusion 2016 และ 2018 ซึ่งเป็นโปรแกรมของ Adobe ได้รับแพตช์เช่นกัน ซึ่งเป็นช่องโหว่เกี่ยวกับการ Input Validation ช่องโหว่ในระดับแอปพลิเคชันของ DoS เป็นช่องโหว่เกี่ยวกับ DLL Search-order Hijacking ที่สามารถนำไปสู่การยกระดับสิทธิ์ของผู้ไม่ประสงค์ดี และยังมีช่องโหว่บางส่วนที่เกี่ยวกับการควบคุมการเข้าถึงที่ไม่เหมาะสม ซึ่งนำไปสู่ปัญหาเรื่องโครงสร้างของระบบที่อาจถูกเปิดเผยนั่นเอง

ทั้งไมโครซอฟท์และ Adobe ต่างก็เป็นโปรแกรมที่องค์กรหลายๆแห่งเลือกให้พนักงานใช้ เมื่อทั้งสองโปรแกรมปล่อยอัพเดทแพตช์ออกมา องค์กรควรรีบแจ้งให้พนักงานทุกคนทำการอัพเดท เพื่อไม่ให้เกิด Zero Day Attacks หรือภัยที่เกิดจากช่องโหว่ของโปรแกรมในคอมพิวเตอร์ เพราะในช่วงเวลาที่ทุกคนต้องทำงานที่บ้าน (Work From Home) เช่นนี้ เมื่อเกิดปัญหาจะทำให้การ Support ของผู้ให้บริการเป็นไปอย่างยากลำบาก ซึ่งจะทำให้ผู้ใช้งานได้รับการบริการที่ช้าลงกว่าในช่วงเวลาปกติ จนอาจส่งผลให้ธุรกิจดำเนินไปได้อย่างไม่เต็มประสิทธิภาพ ทั้งนี้ก็ควรให้ความสำคัญกับ Perimeter และ Firewall ที่องค์กรใช้งานเช่นกันครับ