ผู้ใช้งานระบบปฏิบัติการ Mac OS อาจคิดว่าระบบนี้จะช่วยให้ท่านใช้งานได้อย่างปลอดภัยมากยิ่งขึ้น แต่หลายปีที่ผ่านมาเราจะพบว่ามีมัลแวร์เข้ามาโจมตีในระบบมากขึ้น อันเป็นผลมาจากในสมัยก่อนมีผู้ใช้งานระบบนี้น้อย ส่วนใหญ่จะใช้ระบบปฏิบัติการ Windows แต่ปัจจุบันเราจะเห็นได้ว่ามีผู้ใช้งานระบบ Mac OS เพิ่มขึ้นมา ไม่ว่าจะใช้ในด้านการศึกษาและการทำงาน จนเป็นสาเหตุที่ทำให้เหล่าแฮกเกอร์หันมาโจมตีผู้ใช้งานระบบ Mac OS อย่างเช่นเรื่องที่ผมจะเล่าให้ฟังต่อจากนี้ครับ

 

เมื่อไม่นานมานี้นักวิจัยค้นพบมัลแวร์สายพันธุ์ใหม่ที่พัฒนามาจากมัลแวร์ที่ชื่อว่า “Shlayer” บนเครื่อง Mac ซึ่งสามารถผ่านระบบป้องกันของ Apple มาได้ และแพร่กระจายผ่าน Search Engine (เว็บไซต์เพื่อการค้นหาข้อมูล) ชื่อดังเจ้าหนึ่ง

Shlayer นั้นโดยปกติถูกใช้เพื่อแพร่กระจายโปรแกรมจำพวก Adware (ซอฟต์แวร์สนับสนุนการโฆษณา) หรือโปรแกรมที่ไม่เป็นที่ต้องการต่างๆ โดยที่มัลแวร์เวอร์ชันใหม่ล่าสุดนี้ได้อาศัย .dmg ไฟล์ โดยหลอกว่าเป็นตัวติดตั้งจากทาง Adobe Flash Player

ผู้ใช้อุปกรณ์ macOS ที่ค้นหาข้อมูลผ่าน Search Engine เจ้านั้นอาจจะตกเป็นเหยื่อได้ เพราะอาชญากรไซเบอร์ได้ใช้เทคนิค Search Poisoning มาพัฒนาการจู่โจมให้แยบยลขึ้น ซึ่งผู้ใช้งานที่คลิกลิงก์ผ่าน Search Engine เจ้านั้นจะถูกส่งไปยังไซต์ที่อ้างว่าพบปัญหาเกี่ยวกับ Flash Player ที่เป็นรุ่นเก่าเกินไปจนทำให้แสดงผลไม่ได้ จากนั้นจึงหลอกให้เหยื่อดาวน์โหลดและติดตั้งเพื่อใช้งานต่อ ซึ่งไฟล์นั้นก็คือไฟล์ที่เป็นนามสกุล .dmg ตามที่กล่าวมาข้างต้นนั่นเอง

ทั้งนี้ในขณะที่ทำการติดตั้งก็จะแสดงไอคอนของ Flash Player ซึ่งดูเหมือนกับว่าเป็นแอปพลิเคชันสำหรับเครื่อง Mac ปกติ ซึ่งแน่นอนว่าจริงๆแล้วมันคือ Bash Shell Script ที่ได้มีการเปิดและรันตัวมันเองทาง Terminal appซึ่งหลังจาก Mac App ถูกเปิดขึ้นมา มันจะทำเสมือนว่าเป็น Adobe ของแท้โดยแสดงสัญลักษณ์ของ Adobe Flash Player ขณะที่ทำการติดตั้ง แต่จริงๆแล้วมีการแฝงความสามารถในการดาวน์โหลดมัลแวร์หรือ Adware เข้ามาพร้อมกันด้วย ซึ่งการใช้ Bash Shell Script ถือเป็นแนวคิดใหม่ในการต่อกรและพยายามหลบเลี่ยงการตรวจจับของ Antivirus นอกจากนี้ในระหว่างขั้นตอนของการติดตั้ง ผู้ใช้งานจะถูกหลอกให้ทำการคลิกขวาบนการติดตั้ง Flash Installer ของปลอมและทำการเลือก “Open” Command ต่อไป

เทคนิคการเลือกคลิกขวานั้นเป็นเทคนิคในการแนะนำผู้ใช้งานเพื่อหลีกเลี่ยงการ Double-clicking ไปที่ตัวติดตั้งของปลอม ซึ่งหลังจากคลิกแล้วก็จะมี Dialog Box แสดงขึ้นมาเตือนว่าผู้พัฒนาแอปรายนี้ไม่ได้รับการยืนยัน แต่ก็ยังคงมีทางเลือกให้ผู้ใช้งานคลิก Open the App เป็นทางเลือก

ในกรณีนี้ผู้ที่สร้างมัลแวร์ขึ้นมาก็ได้แต่ลุ้นให้ผู้ใช้งานไม่สนใจคำเตือนจาก Dialog Box แล้วทำตามคำแนะนำจากอาชญกรไซเบอร์แทน

ผมขอแนะนำทุกท่านให้หมั่นอัพเดทแพตช์ของ Mac OS ให้เป็นปัจจุบันอยู่เสมอ ทั้งนี้ควรจะมีการติดตั้ง Endpoint Security ไว้ที่ตัวเครื่องด้วยอีกชั้นหนึ่ง จะช่วยให้ปลอดภัยได้มากขึ้นครับ ในตอนนี้นั้นไม่มีระบบใดจะปลอดภัย 100% เราที่เป็นผู้ใช้งานจะต้องหมั่นอัพเดทข้อมูล ดูแลเครื่องของเราให้ปลอดภัย เมื่อต้องการดาวน์โหลดสิ่งใดขอให้ตรวจสอบจนมั่นใจก่อน เพราะยุคนี้เป็นยุคที่ข้อมูลคือเป้าหมายหลักในการจู่โจมครับ

 

โลกไซเบอร์ในปัจจุบันนี้ถูกเปลี่ยนไปเยอะนะครับ นอกจากจะมีบริการเพื่อให้ผู้ใช้งานใช้งานได้สะดวกขึ้นแล้ว ยังมีบริการให้แฮกเกอร์โจมตีเหยื่อได้สะดวกขึ้นด้วยเช่นกัน ทุกวันนี้จึงมีแรนซัมแวร์ตัวใหม่ๆเกิดขึ้นมากมาย ไม่ว่าจะเป็น Zeppelin, REvil/Sodinokibi และยังมีแรนซัมแวร์ที่มีการพัฒนาสายพันธุ์ให้มีความรุนแรงและแยบยลในการจู่โจมมากยิ่งขึ้น จนเกิดเป็นรูปแบบของ Ransomware-as-a-Service (RaaS) ซึ่งผู้ที่สร้างมันขึ้นมาได้ให้บริการแรนซัมแวร์ โดยการขายหรือปล่อยให้เช่ากับอาชญากรไซเบอร์ แลกกับส่วนแบ่งกำไรหลังจากที่ก่ออาชญากรรมสำเร็จ
อีเมลยังเป็นอาวุธหลักที่นำมาใช้เปิดการจู่โจม และนิยมมากที่สุดรูปแบบหนึ่งของแรนซัมแวร์ ยิ่งอีเมลถูกนำมาใช้ในรูปแบบ Social Engineering ก็ยิ่งจู่โจมได้แยบยลมากยิ่งขึ้น โดยเป้าหมายส่วนมากจะเน้นไปที่พนักงานทั่วไปในองค์กรมากกว่าจะจู่โจมแบบสุ่มๆเข้ามาในระบบเครือข่ายเหมือนแต่ก่อน นอกจากนี้ช่องโหว่ของระบบที่ไม่ได้มีการอัพเดทแพตช์ และข้อผิดพลาดในการตั้งค่าของระบบ เช่น การใช้ Remote Desktop Connection ที่ไม่ปลอดภัย ก็ทำให้ไม่สามารถหาโซลูชั่นที่จะตอบโจทย์การป้องกันแรนซัมแวร์ได้สมบูรณ์แบบในคราวเดียว
ถึงแม้ว่าจะมี Firewalls, IPS/IDS, Proxies และ Endpoint Protection Platform (EPP) รวมถึง Antivirus ก็ไม่สามารถที่จะหยุดการโจมตีจากแรนซัมแวร์ได้ทั้งหมดอยู่ดี เพราะหากมีการดัดแปลง Signature แล้วก็จะตรวจจับได้ยาก Endpoint Detection and Response (EDR) จึงถือกำเนิดขึ้นเพื่อช่วยป้องกันอีกชั้นนึง ด้วยเทคนิคการตรวจจับของ EDR ที่มีการตรวจจับที่ลึกกว่าเพื่อมองหาสิ่งผิดปกติที่เกิดขึ้นในอุปกรณ์นั้นๆ ถึงแม้ว่า EDR จะไม่สามารถหยุดการจู่โจมได้ทุกอย่างเหมือน EPP ก็ตาม แต่ก็สามารถที่จะขัดขวางการจู่โจมได้เป็นส่วนมาก
แต่นั่นก็ยังไม่สามารถหยุดยั้งแรนซันแวร์ได้ และถึงคราวต้องใช้เทคโนโลยีในการตรวจจับแบบขั้นสูงอย่าง Deception มาช่วยผสานงานในการตรวจจับเพื่อเพิ่มประสิทธิภาพให้ดียิ่งขึ้นไปอีก โดย Advanced Deception Technology นั้นสามารถตรวจจับการเคลื่อนไหวที่เกิดขึ้นภายใน (Lateral Movement) รวมถึงสามารถปกป้องหรือซ่อนเครื่องที่ถูกใช้จริงจากการจู่โจม และส่งแรนซัมแวร์ไปยังเครื่องที่มีการแชร์ไฟล์ปลอมๆเอาไว้ จากนั้นก็หลอกผู้จู่โจมโดยการส่งข้อมูลปลอมไปให้ ซึ่งในระหว่างนั้นระบบ Deception จะแจ้งเตือนไปยังผู้ที่ดูแล และแยกเครื่องที่มีการติดแรนซัมแวร์ออกจากระบบเครือข่ายเพื่อป้องกันการแพร่กระจายอีกด้วย
นี่ถือเป็นเรื่องใหม่ของการป้องกันภัยคุกคามอย่างแรนซัมแวร์ เพราะเมื่อรวมความสามารถทั้งหมดของ EPP, EDR, และ Deception เข้าด้วยกันก็ทำให้เกิดระบบการป้องกันและตรวจจับที่มีประสิทธิภาพสูง และสามารถตรวจสอบหาสาเหตุและช่องโหว่เพื่อที่จะทำการอุดช่องโหว่ ตลอดจนรู้เท่าทันวิธีการต่างๆที่อาชญากรไซเบอร์ใช้ในการจู่โจมครั้งต่อไปได้ ช่วยให้ตอบสนองและแก้ปัญหาได้อย่างรวดเร็ว ลดผลกระทบที่จะเกิดขึ้นให้น้อยที่สุด จนเชื่อว่านี่จะเป็นโซลูชั่นที่ทุกองค์กรต่างต้องการมีไว้ใช้ป้องกันระบบครับ

ข้อมูลใดในโลกจะมีค่าเท่าข้อมูลที่เป็นของผู้ทรงอิทธิพลและมีชื่อเสียง เพราะเขาเหล่านั้นเป็นผู้ที่ได้เข้าถึงข้อมูลที่สามารถส่งผลกระทบได้กับคนจำนวนมาก หรือแม้กระทั่งในส่วนของภาคธุรกิจ ผู้บริหารเองก็มีข้อมูลทางการเงิน แผนการตลาด ข้อมูลวิธีและกระบวนการผลิตสินค้าอันเป็นความลับ ที่คู่แข่งทั้งเจ้าเก่าเจ้าใหม่ ต่างก็อยากได้มาเพื่อหาจุดอ่อนในการโค่นบัลลังก์

 

เมื่อมีความต้องการเกิดขึ้น แน่นอนว่าก็ต้องมีกลุ่มคนหัวใสเปิดบริษัทมาเพื่อรองรับความต้องการที่แปลกใหม่ เพื่อบริการลูกค้าที่พร้อมจ่ายค่าตอบแทนงามๆมาให้ อย่างเช่นที่ทีมนักวิจัยทางด้านไซเบอร์ซิเคียวริตี้ได้มีการออกมาเปิดเผยว่าบริษัททางด้านไอทีของอินเดียบริษัทหนึ่งมีการให้บริการรับจ้างเจาะข้อมูลเป็นงานๆไป รวมถึงมีการให้บริการทางด้านขโมยข้อมูลแบบครบวงจร โดยส่วนมากจะรับทั้งกลุ่มเป้าหมายที่เป็นข้อมูลส่วนบุคคล แต่ก็ยังมีการรับงานที่กลุ่มเป้าหมายเป็นองค์กรต่างๆในหลายทวีปกว่าเจ็ดปีที่ผ่านมา

 

บริการรับจ้างขโมยข้อมูลที่กล่าวมานั้นไม่ได้มีการสนับสนุนจากทางภาครัฐเหมือนที่บริษัทอื่นๆเคยถูกเปิดเผยมาก่อน แต่เป็นบริการรับจ้างขโมยข้อมูลในเชิงพานิชย์ ซึ่งรับจ้างขโมยข้อมูลจากเป้าหมายที่ผู้ว่าจ้างระบุมาให้

จากรายงานของผู้เชี่ยวชาญพบว่า กลุ่มแฮกเกอร์นี้มุ่งเป้าไปที่นักการเมืองที่มีชื่อเสียง กลุ่มพนักงานภาครัฐ กลุ่มผู้บริหารระดับสูง นักข่าว และกลุ่มนักปกป้องสิทธิมนุษยชน ซึ่งกลุ่มแฮกเกอร์นี้น่าจะอยู่เบื้องหลังการโจรกรรมข้อมูลต่างๆหลายเหตุการณ์ ทั้งในเหตุการณ์ทางการเงิน เหตุการณ์ความไม่สงบต่างๆ

 

นักวิจัยพบว่าการจู่โจมนั้นใช้การย่อยลิงก์ (URL Shortener) เพื่อปลอมแปลงและหลอกลวงเหยื่อ โดยในลิงก์ URL นั้นมีลิงก์ฟิชชิ่ง (Phishing) อยู่ในนั้นอีกกว่า 27,591 ลิงก์ ส่งไปยังอีเมลของเป้าหมายต่างๆ เมื่อตรวจสอบดูทางนักวิจัยจึงได้ทราบว่ากลุ่มแฮกเกอร์นี้น่าจะเป็นกลุ่มที่ได้รับการว่าจ้างจากภาคเอกชน

นอกจากนี้ยังมีข้อมูลที่น่าสนใจคือ เจ้าของบริษัทที่รับจ้างเจาะข้อมูลรายนี้เคยถูกฟ้องร้องในรัฐแคลิฟอร์เนียในปี 2015 ว่ามีส่วนเกี่ยวข้องในการรับจ้างขโมยข้อมูล กับนักลงทุนสองรายซึ่งมีข้อตกลงในการจ่ายเงินให้เพื่อทำการล้วงข้อมูลของนักการตลาดระดับสูง โดยในการเจาะข้อมูลนั้นได้มีการทิ้งร่องรอยของรหัสต้นฉบับ (Source Code) ของเครื่องมือในการทำฟิชชิ่งในโลกออนไลน์ รวมถึง Log file ต่างๆ ที่มีการติดต่อกับหน้าเว็บไซต์หลอกลวง รวมถึงทุกกิจกรรมที่ถูกดำเนินการ

คุณจะเห็นได้ว่ามีการรับจ้างเจาะข้อมูลออกมาขาย แต่กลับไม่มีการรับจ้างรักษาความปลอดภัยของข้อมูล เพราะการรักษาปกป้องข้อมูลนั้นต้องเกิดจากตัวเจ้าของข้อมูลหรือบริษัทเป็นผู้กระทำการเอง ดังนั้นทั้งในภาคบุคคลและภาคธุรกิจจะต้องเริ่มพัฒนาที่ตัวเองก่อน ศึกษาหาความรู้ในการปกป้องตัวเองจากภัยคุกคาม ในขณะเดียวกันก็ต้องเลือกที่จะแบ่งสันปันส่วนในเรื่องของงบประมาณของแผนกไอที ที่นอกจากจะต้องใช้งบเพื่อเพิ่มประสิทธิภาพในการทำงานแล้ว การเพิ่มประสิทธิภาพการรักษาความปลอดภัยให้ระบบภายในของบริษัทก็เป็นเรื่องที่ต้องให้ความสำคัญเช่นกันครับ

การทำงานที่บ้าน (Work From Home) ไม่ได้ทำให้ชีวิตส่วนตัวและการทำงานของเราปะปนกันเท่านั้นนะครับ ในอีกมุมที่หลายคนอาจยังคิดไม่ถึงคือการที่พนักงานเริ่มเสียกระบวนการ จนนำไปสู่การสร้างพฤติกรรมที่ทำให้เกิดความเสี่ยงกับระบบของบริษัท บทความนี้ผมนำผลสำรวจของบริษัทผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์มาเล่าให้ฟังครับ

เริ่มกันที่กลุ่มที่นำอุปกรณ์ของบริษัทกลับไปใช้ทำงานที่บ้านก่อนครับ พบว่า 29% ของพนักงานที่ทำการสำรวจ ยอมให้คนในครอบครัวใช้คอมพิวเตอร์ของบริษัททำกิจกรรมส่วนตัว ไม่ว่าจะเป็นการดูหนัง หรือเล่นเกมออนไลน์

ในขณะที่ 77% พบว่าเป็นกลุ่มพนักงานที่เลือกใช้คอมพิวเตอร์ส่วนตัวมาทำงานให้บริษัท หรือที่เรียกว่า BYOD (Bring Your Own Device) ซึ่งอุปกรณ์ดังกล่าวนั้นไม่ปลอดภัย เพียงพอที่จะนำมาใช้ทำงานให้บริษัท

เมื่อพนักงานทำงานที่บ้านก็เกิดการประชุมทางไกล หรือ Conference Call โดย 2 ใน 3 ของพนักงานที่บริษัทนี้สำรวจเลือกใช้ Zoom และ Microsoft Teams ทั้งที่ก่อนหน้านี้ก็มีการประกาศออกมาแล้วว่าทั้ง 2 โปรแกรมอาจเป็นประตูเปิดให้ผู้ไม่หวังดีเข้ามาจู่โจม ทำให้ข้อมูลขององค์กรรั่วไหลได้

ถึงแม้ว่าจะมีการใช้ Password ในการเข้าใช้งาน แต่ก็ยังมีความเสี่ยงอยู่ดีเมื่อ 37% ของพนักงานเลือกบันทึก Password ของตัวเองไว้ที่ Browser ที่ใช้ในคอมพิวเตอร์ของบริษัท และอีก 93% เลือกใช้ Password ที่ตัวเองเคยใช้ นำมาใช้อีกครั้ง

ความท้าทายเลยตกไปอยู่ที่ผู้ที่บริหารจัดการระบบของบริษัท ที่ต้องทำให้การทำงานจากที่บ้านเกิดความสมดุล ทั้งในเรื่องของวิธีการทำงาน และความปลอดภัยของระบบบริษัท ในขณะที่พนักงานเองก็ต้องแยกเรื่องงานกับเรื่องส่วนตัวออกจากกัน เมื่อการทำงานที่บ้านเป็น “ความจำเป็นใหม่” บริษัทเองก็ต้องมีนโยบายใหม่ที่ตอบรับกับการทำงานเช่นนี้ด้วยครับ

เราไปดูผลสำรวจจากบริษัทผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์เจ้าเดิม ที่ทำการสำรวจในฝั่งของแผนกไอทีบ้างครับว่าพวกเขามีความมั่นใจอย่างไรกับการรับมือความจำเป็นใหม่ในยุคนี้

94 % ของทีมไอทีมีความมั่นใจว่าจะสามารถบริหารจัดการ ในเรื่องของความปลอดภัยจากการทำงานจากที่บ้านได้ และอีก 40% จะยังคง ไม่เพิ่มมาตรการความปลอดภัย ถึงแม้ว่าจะมีการเปลี่ยนแปลงรูปแบบในการทำงานของพนักงานก็ตาม นั่นรวมไปถึงแม้ว่าจะมีการใช้งาน Application หรือเครื่องมือใหม่ๆ เพื่อใช้ในการติดต่อและเข้าถึงระบบของบริษัท

ซึ่งในเรื่องนี้แผนกไอทีให้เหตุผลไว้ว่า การใช้ Application และบริการใหม่ๆ เพื่อตอบสนองกับรูปแบบการทำงานที่บ้านที่จะต้องมีช่องทางในการติดต่อเพื่อเข้ามาทำงานกับระบบในองค์กรเพิ่มขึ้น ยังเป็นสิ่งที่พนักงานจำเป็นต้องใช้อยู่ ถึงบางช่องทางจะยังไม่ปลอดภัยก็ตาม

จะทำอย่างไรเมื่อความจำเป็นนี้มาพร้อมกับความเสี่ยง นี่เป็นบททดสอบใหม่ของคนทำงานและแผนกไอทีในยุคที่ในโลกความเป็นจริงทุกอย่างหนีไวรัสอย่าง COVID-19 ย้ายขึ้นมาอยู่บนโลกไซเบอร์มากขึ้น ในขณะที่โลกไซเบอร์ก็มีมัลแวร์ และภัยคุกคามอีกมากที่กำลังรอวันโจมตีบริษัทอยู่

การปรับตัว การหาความรู้เพิ่มเติม และการวางโซลูชันรักษาความปลอดภัย จึงน่าจะเป็น 3 ปัจจัยหลักที่จะช่วยให้เราผ่านไปได้ครับ

ในบทความก่อนหน้านี้ ผมได้พูดถึงปัญหาและขบวนการทั้งหมดของภัยที่เกิดจากโจรในคราบพนักงานไปแล้ว บทความนี้ผมจะขอพูดถึงวิธีการที่องค์กรควรทำเพื่อให้สามารถป้องกันภัยคุกคามจากบุคคลภายในองค์กร (Insider Threat) แทนครับ

ก่อนอื่นบริษัทควรมีการเฝ้าระวังพฤติกรรมของพนักงาน โดยตรวจสอบการเข้าใช้งานก่อนเสมอ และมอบสิทธิ์การเข้าใช้งานต่างๆให้เหมาะสมกับเนื้องานและตำแหน่งหน้าที่ในการทำงานของพนักงานแต่ละคน ด้วยโซลูชั่นที่ช่วยตรวจสอบพฤติกรรมการเข้าใช้งานภายในองค์กร รวมถึงควบคุมนโยบายการใช้งานของผู้ใช้ว่ามีการนำ Account เหล่านี้ไปใช้งานอะไรบ้าง ทั้งนี้ต้องเก็บ Log ไว้เช่นกันเพื่อให้ง่ายแก่การตรวจสอบย้อนหลัง

ในเรื่องของสภาพแวดล้อมการติดตั้งกล้องวงจรปิดสำหรับห้อง Data Center ที่มีความสำคัญ และจดบันทึกการเข้าออกก็จะทำให้ปลอดภัยมากขึ้น ในเรื่องของการอนุมัติก็ควรใช้ระบบเข้ามาช่วยให้เกิดเป็นขั้นตอน เช่น ต้องได้รับการอนุมัติจากผู้ที่มีสิทธิ์สูงกว่าก่อนจึงจะสามารถเข้าใช้งานได้ ซึ่งปัจจุบันมีโซลูชั่น Privileged Account Management (PAM) เข้ามารองรับการใช้งาน Account ของ Admin, Super user หรือ Root ร่วมกัน

ทั้งนี้ก่อนที่จะมีการลงชื่อเข้าใช้งาน Account ของพนักงานแต่ละคน องค์กรก็ควรนำโซลูชั่น Multifactor Authentication มาช่วยยืนยันตัวตนเจ้าของ Account ว่าเป็นตัวจริงหรือไม่ เพื่อทำให้การเข้าใช้งานระบบมีความปลอดภัย ยิ่งไฟล์ใดที่มีความลับสำคัญซ่อนอยู่ก็ควรนำโซลูชั่น File Encryption มาทำการเข้ารหัสไฟล์หรือโฟลเดอร์สำคัญๆที่เป็นข้อมูลลับของบริษัท ทำให้แม้พนักงานภายในที่มีสิทธิ์ในการเข้าถึงจะเข้าถึงได้ ข้อมูลก็ยังคงปลอดภัยอยู่เพราะจะไม่มีสิทธิ์ในการนำข้อมูลเหล่านั้นออกไป

นอกจากนี้ยังมีโซลูชั่นที่นิยมใช้ในองค์กรส่วนใหญ่ก็คือ DLP (Data Loss Prevention) ที่เข้ามากำหนดควบคุมเอกสารสำคัญต่างๆไม่ให้รั่วไหลออกไป เสริมพลังด้วย IPS (Intrusion Prevention System) หรือ NDR (Network Detection and Response) ที่สามารถวิเคราะห์พฤติกรรมทางด้าน Network ในองค์กร ช่วยให้องค์กรได้เห็นภาพรวมของพฤติกรรมการใช้งานของบุคคลภายในองค์กร จากอุปกรณ์ต่างๆได้ดียิ่งขึ้นว่าอุปกรณ์หรือผู้ใช้งานนั้นๆมีพฤติกรรมอะไรบ้างที่ผิดปกติไปจากเดิม

จะเห็นได้ว่าการควบคุมหรือเฝ้าระวังพฤติกรรมของพนักงานในองค์กรนั้น ไม่สามารถที่จะใช้แค่โซลูชั่นเดียวมาตอบโจทย์ในเรื่องของความปลอดภัยได้ทั้งหมด ต้องมีการนำทั้งเครื่องมือ (Tool) ต่างๆที่กล่าวมาข้างต้น รวมไปถึงการวางขั้นตอนการทำงาน (Process) ให้มีความปลอดภัยร่วมด้วย และสุดท้ายในเรื่องของคน (People) ก็จะต้องมีการส่งเสริมให้พนักงานเข้าใจในเรื่องของความตระหนักถึง (Awareness) การรักษาความปลอดภัยในการทำงานและกฎระเบียบข้อบังคับ รวมไปถึงบทลงโทษต่างๆจากทั้งองค์กรเองและบทลงโทษทางกฎหมายของประเทศนั้นๆ เพื่อที่จะสามารถควบคุมพนักงานที่มีความคิดที่จะหางานเสริมจากการรับจ้างขโมยข้อมูลจากองค์กรออกไปขายให้แก่แฮกเกอร์ ให้ตระหนักคิดหรือพิจารณาว่าการกระทำที่ผิดกฎหมายเหล่านี้มีบทลงโทษทั้งทางแพ่งและอาญา ที่ต้องเสี่ยงถูกลงโทษเมื่อกระทำการใดๆลงไป

ทุกความปลอดภัยจะเกิดขึ้นได้เมื่อเราศึกษาและเตรียมพร้อม ทั้งในด้านของเครื่องมือรักษาความปลอดภัยไซเบอร์ และการสร้างจิตสำนึกให้กับบุคคลที่ทำงานในองค์กรครับ

ชั่วโมงนี้คงไม่มีใครไม่รู้จัก Dark Web (เว็บมืด) เว็บไซต์ใต้ดินที่ไม่สามารถเข้าถึงได้ด้วยเบราว์เซอร์ทั่วไป เป็นเว็บไซต์ที่รวมทุกการกระทำนอกกฎหมายของแฮกเกอร์ ไม่ว่าจะเป็นการซื้อขายเครื่องมือในการเจาะระบบ การขายข้อมูลที่ขโมยมา เช่น เลขบัตรเครดิต, เลขบัตรประชาชน , User name และ Password ฯลฯ

ล่าสุดมีบริการใหม่เปิดให้ใช้งานใน Dark Web นั่นก็คือบริการว่าจ้างพนักงานทั่วไปที่ทำงานกับองค์กรต่างๆให้ขโมยข้อมูลขององค์กรนั้นๆออกมา เรียกได้ว่าเป็นงานฝิ่น (งานที่นอกเหนือจากงานประจำ) ของพนักงานที่ต้องการรายได้เสริม

โดยอาชญากรไซเบอร์เหล่านี้จะมุ่งเป้าไปที่การจ้างงานพนักงานขององค์กรที่เป็นเป้าหมาย เนื่องจากพนักงานเหล่านั้นสามารถเข้าถึงระบบหรือทรัพยากร รวมถึงข้อมูลที่เหล่าแฮกเกอร์นั้นต้องการได้โดยง่าย และถึงแม้ว่าพนักงานคนนั้นอาจไม่มีสิทธิ์ในการเข้าถึงระบบหรือข้อมูลเหล่านั้นก็ตาม แฮกเกอร์ก็ยังสามารถจ้างให้พนักงานคนนั้นเอามัลแวร์ หรือโทรจันต่างๆไปติดตั้งในระบบภายในขององค์กรได้โดยปราศจากการตรวจสอบ และถึงแม้จะตรวจสอบก็เป็นการยากที่จะตรวจพบ ทำให้รูปแบบการโจมตีเหล่านี้เป็นที่นิยมมากขึ้นในปัจจุบัน

ในส่วนของขั้นตอนการจ้างงานนั้นก็ไม่ต่างจากขั้นตอนการจ้างงานแบบปกติ ไม่ว่าจะเป็นการประกาศรับสมัครงาน โดยให้ผู้สมัครส่งประวัติ และต่อด้วยการสัมภาษณ์งาน ถึงแม้ว่าชื่อที่เอามาสมัครงานนั้นจะเป็นชื่อปลอม เบอร์ติดต่อชั่วคราว และการสัมภาษณ์งานที่ปราศจากการเปิดเผยหน้าตาที่บางครั้งก็มีการปลอมแปลงเสียงด้วย ซึ่งเมื่อผ่านการสัมภาษณ์ก็จะมีช่วงทดลองงานเหมือนการจ้างงานแบบปกติเช่นกัน

แม้ว่าจะเป็นการจ้างให้ทำสิ่งที่ผิดกฎหมายและศีลธรรม แต่เคยมีการเปิดเผยว่ามีงานๆหนึ่งใน Dark Web เสนอเงินราวๆ 370,000 รูเบิล (ประมาณ 173,000 บาท) ต่อเดือนให้พนักงานของธนาคารแห่งหนึ่ง สำหรับการทำงานบางอย่างแค่ 1 ชม.ต่อสัปดาห์ นอกจากนี้ยังมีรายงานอีกว่ารายได้เฉลี่ยของการจ้างงานแบบนี้ในประเทศรัสเซียสูงกว่าค่าเฉลี่ยงานทั่วไปถึง 8 เท่าเทียบกับรายได้เฉลี่ยจากงานปกติในประเทศรัสเซีย นั่นจึงเป็นเหตุผลที่พนักงานทั่วไปตัดสินใจรับงานเช่นนี้ นอกจากนี้ในบางประเทศข้อกฎหมายก็มีช่องโหว่ ทำให้เป็นการยากถ้าต้องการฟ้องร้อง

องค์กรสามารถทำอะไรได้บ้างในกรณีนี้ นี่คงเป็นสิ่งที่ทุกท่านสงสัย… แม้ว่าส่วนมากพนักงานจะใช้คอมพิวเตอร์ และโทรศัพท์ส่วนตัวในการติดต่อกับอาชญากรไซเบอร์ ทำให้องค์กรไม่สามารถเฝ้าระวังพฤติกรรมเหล่านี้ได้เลย แต่ในระหว่างที่พนักงานเหล่านี้กระทำการในบริษัท ไม่ว่าจะเป็นการเข้าถึงระบบต่างๆภายในองค์กรนั้นเป็นสิ่งที่สังเกตเห็นได้ถ้ามีการเฝ้าระวังที่ดีและละเอียดพอ ไม่ว่าจะเป็นการสังเกตพฤติกรรมการทำงานที่ต่างไปจากปกติ หรือการตรวจสอบว่าทำไมพนักงานจึงอัพโหลดไฟล์ไปยัง IP Address ที่อยู่นอกองค์กร หรือมีการติดตั้งแอปพลิเคชันสั่งการจากระยะไกล (Remote-control Application) ซึ่งไม่ได้เกี่ยวข้องกับการทำงานของพนักงานคนนั้น รวมไปถึงเรื่องของการเข้าถึงข้อมูลหรือทรัพยากรต่างๆในบริษัทก็ต้องมีการเฝ้าระวัง โดยคำนึงถึงเรื่องความเป็นส่วนตัวประกอบกันไปด้วย

ในส่วนของโซลูชันที่จะมาช่วยในเรื่องนี้ พบกันในบทความต่อไปครับ

ทุกระบบปฏิบัติการย่อมมีช่องโหว่ (Vulnerability) ไม่มากก็น้อย สิ่งสำคัญคือผู้ใช้งานอย่างเราต้องหมั่นอัพเดทแพตช์ (Patch) ที่ออกมาปิดช่องโหว่ให้ทันท่วงทีเสมอ แต่จะเป็นอย่างไรถ้ามีช่องโหว่แล้ว แต่แพตช์กลับยังไม่ถูกปล่อยออกมาจากเจ้าของระบบปฏิบัติการ? แค่ลองคิดดูก็เสี่ยงอยู่เหมือนกันนะครับ เพราะเท่ากับว่าเรารู้ตัวว่ามีช่องโหว่ แต่ไม่สามารถทำอะไรได้เลย

นี่จึงเป็นที่มาของการสำรวจที่จะเปิดเผยว่าระหว่าง Microsoft Windows และ Mac OS ระบบใดจะสามารถปล่อยแพตช์ออกมาปิดจุดอ่อนของตนเองได้ไวกว่ากัน และระบบใดมีช่องโหว่มากกว่ากัน

สถาบัน Cyentia องค์กรทางด้านการบริหารจัดการช่องโหว่ได้ทำการวิเคราะห์ข้อมูลจาก 450 องค์กรและทรัพย์สิน 9 ล้านเครื่อง และเปิดเผยว่าอุปกรณ์ที่มีช่องโหว่จำนวนน้อยมีการอุดช่องโหว่จากทางผู้ผลิตช้ากว่าอุปกรณ์ที่มีช่องโหว่จำนวนมากกว่า ยกตัวอย่างเช่นเครื่องที่เป็นระบบ Microsoft Windows นั้นถูกพบว่าค่าเฉลี่ยของช่องโหว่มีประมาณ 119 ช่องโหว่ต่อเดือน มากกว่าที่พบในระบบ Mac OS X(32) และมากกว่าอุปกรณ์เน็ตเวิร์คถึง 30 เท่า แต่ทว่าช่องโหว่ที่พบบน Microsoft Windows นั้นถูกแพตช์อุดช่องโหว่อย่างรวดเร็วในระยะเวลา 36 วันโดยเฉลี่ย ขณะที่อุปกรณ์ทางด้านเน็ตเวิร์คเช่น Routers, Printers หรืออุปกรณ์ IOT กลับต้องใช้เวลาประมาณ 369 วัน

นอกจากนี้ยังพบว่าอุปกรณ์ของ Apple ใช้เวลาประมาณ 70 วันในการปล่อยแพตช์เพื่ออุดช่องโหว่สำหรับอุปกรณ์ Mac OS X ซึ่งถือว่าใช้เวลาเป็นสองเท่าของระบบของ Microsoft ส่วนอุปกรณ์ Linux และ Unix ใช้เวลาประมาณ 254 วัน

Microsoft นั้นพบว่ามีช่องโหว่ระดับร้ายแรงประมาณ 83% ขณะที่ Mac OS X นั้นตามมาเป็นลำดับสองที่ 79% ต่อด้วยอุปกรณ์ทางด้านเน็ตเวิร์ค 64% และท้ายสุดที่ Linux 63%

ทั้งนี้นักวิจัยพบ 215 ล้านช่องโหว่บนอุปกรณ์ที่ใช้ระบบปฏิบัติการ Microsoft และถึงแม้ว่า 179 ล้านช่องโหว่จะถูกอุดช่องโหว่แล้ว แต่ที่เหลืออีก 36 ล้านช่องโหว่นั้นยังคงมีจำนวนมากกว่าผลรวมของอุปกรณ์ที่อุดช่องโหว่แล้ว และที่ยังไม่อุดช่องโหว่ของอุปกรณ์ Mac, Linux, Unix และอุปกรณ์เครือข่ายทั้งหมดนำมารวมกัน

จากผลสำรวจของ Kenna Security ยังพบว่าช่องโหว่ที่ถูกพบบนระบบปฏิบัติการของ Microsoft Windows นั้นมีมากกว่าระบบ Mac OS X ถึง 4 เท่า แต่ระบบปฏิบัติการ Window นั้นมีข้อดีคือสามารถอุดช่องโหว่ของระบบ ได้รวดเร็วกว่า เพราะ Microsoft จะมีการอัพเดทช่องโหว่ของระบบทุกๆวันอังคาร จึงทำให้สามารถแก้ไขช่องโหว่ที่ร้ายแรงได้อย่างรวดเร็ว แต่ก็ยังคงมีช่องโหว่อีกเป็นจำนวนมากที่ยังไม่ถูกอุด ในส่วนของอุปกรณ์ทางด้านระบบเน็ตเวิร์คอย่าง Routers และ Printers นั้นมีความเสี่ยงสูงกว่าเนื่องจากมีวงจรชีวิตของตัวผลิตภัณฑ์ที่นานกว่า ดังนั้นผู้ผลิตจำเป็นต้องมีการลดความเสี่ยงโดยการบริหารจัดการความสามารถในการอุดช่องโหว่ให้ดียิ่งขึ้น

จากผลสำรวจทั้งหมดนี้น่าจะทำให้หลายๆท่านสามารถตัดสินใจได้ง่ายขึ้นเมื่อต้องเลือกระบบปฏิบัติการที่จะใช้ในอนาคต ยิ่งในส่วนขององค์กรที่ต้องซื้ออุปกรณ์มาคราวละมากๆและใช้เป็นระยะเวลานานๆ เมื่อเลือกใช้ระบบปฏิบัติการใดแล้ว ก็อย่าลืมปลูกฝังนิสัยของผู้ใช้งานให้หมั่นสำรวจว่ามีแพตช์ใหม่อัพเดทออกมาหรือไม่ หากมีก็ควรอัพเดทแพตช์ให้เร็วที่สุด เพื่อความปลอดภัยของตัวท่านเองและองค์กรครับ

การอัพเดทแพตช์ของสองยักษ์ใหญ่

ทุกโปรแกรมต่อให้เปิดตัวมานานหลายปี มีผู้ใช้งานมากมายเช่นไร ก็ยังต้องหมั่นตรวจสอบหาช่องโหว่ (Vulnerability) และทำการแพตช์ (Patch) ปิดช่องโหว่นั้นอยู่เสมอ เช่นเดียวกันกับเจ้าของระบบปฏิบัติการที่คนทั่วโลกต้องรู้จักอย่างไมโครซอฟท์ และโปรแกรมทำงานด้านรูปภาพและวีดีโออย่าง Adobe

โดยก่อนหน้านี้ไมโครซอฟท์ได้ปล่อยอัพเดทแพตช์เพิ่มความปลอดภัยของโปรแกรมมามากกว่า 100 แพตช์ ในทุกๆวันอังคารเป็นเวลากว่าสองเดือนติดต่อกัน ทั้งนี้มี 3 แพตช์ช่องโหว่สำคัญใหญ่ๆ ซึ่งในภาพรวมจะเห็นว่ามี 113 ช่องโหว่ที่มากับ 19 ปัญหาร้ายแรงที่ต้องอัพเดทแพตช์อย่างเร่งด่วน

ช่องโหว่บางส่วนสามารถพบได้ใน Adobe Font Manager Library ซึ่งเป็นสาเหตุของภัยคุกคามแบบ Remote Code Execution ซึ่งการที่ผู้จู่โจมจะอาศัยช่องโหว่นี้ได้ต้องอาศัยเทคนิคในด้าน Social Engineering เพื่อให้เหยื่อเปิดไฟล์เอกสารที่แฝงภัยคุกคามมาด้วย หรือทำให้เหยื่อเปิดเอกสารนั้นใน Windows Preview Pane

ช่องโหว่บางส่วนถูกพบใน Internet Explorer และพบว่าปัญหาคือการจัดการที่ไม่ถูกต้องภายในโปรแกรม Internet Explorer เอง ในขณะที่ช่องโหว่บางส่วนยังไปเพิ่มระดับของช่องโหว่ใน Windows Kernel ซึ่งถือเป็นช่องโหว่ที่แพร่กระจายไปทั่ว รวมถึงไมโครซอฟได้กำหนดระดับความอันตรายของช่องโหว่นี้ในระดับ “Exploitation More Likely” ซึ่งถือว่าเป็นระดับที่สูงมากอีกด้วย

OneDrive ของไมโครซอฟท์เองก็พบช่องโหว่ที่ทำให้ผู้ไม่หวังดีสามารถทำการรัน Crafted Application เพื่อที่จะทำการควบคุมระบบที่เป็นเป้าหมายได้อีกด้วย

ในส่วนของ Adobe นั้นมีการอัพเดทแพตช์ในเดือนเมษายนนี้ โดยแพตช์จะครอบคลุมสำหรับโปรแกรมของ Adobe ทั้ง 3 โปรแกรมที่มีช่องโหว่ทั้งหมด และช่องโหว่ทั้งหมดนี้ถูกจัดให้เป็นช่องโหว่สำคัญที่ต้องมีการอัพเดทแพตช์อย่างเร่งด่วน

ColdFusion 2016 และ 2018 ซึ่งเป็นโปรแกรมของ Adobe ได้รับแพตช์เช่นกัน ซึ่งเป็นช่องโหว่เกี่ยวกับการ Input Validation ช่องโหว่ในระดับแอปพลิเคชันของ DoS เป็นช่องโหว่เกี่ยวกับ DLL Search-order Hijacking ที่สามารถนำไปสู่การยกระดับสิทธิ์ของผู้ไม่ประสงค์ดี และยังมีช่องโหว่บางส่วนที่เกี่ยวกับการควบคุมการเข้าถึงที่ไม่เหมาะสม ซึ่งนำไปสู่ปัญหาเรื่องโครงสร้างของระบบที่อาจถูกเปิดเผยนั่นเอง

ทั้งไมโครซอฟท์และ Adobe ต่างก็เป็นโปรแกรมที่องค์กรหลายๆแห่งเลือกให้พนักงานใช้ เมื่อทั้งสองโปรแกรมปล่อยอัพเดทแพตช์ออกมา องค์กรควรรีบแจ้งให้พนักงานทุกคนทำการอัพเดท เพื่อไม่ให้เกิด Zero Day Attacks หรือภัยที่เกิดจากช่องโหว่ของโปรแกรมในคอมพิวเตอร์ เพราะในช่วงเวลาที่ทุกคนต้องทำงานที่บ้าน (Work From Home) เช่นนี้ เมื่อเกิดปัญหาจะทำให้การ Support ของผู้ให้บริการเป็นไปอย่างยากลำบาก ซึ่งจะทำให้ผู้ใช้งานได้รับการบริการที่ช้าลงกว่าในช่วงเวลาปกติ จนอาจส่งผลให้ธุรกิจดำเนินไปได้อย่างไม่เต็มประสิทธิภาพ ทั้งนี้ก็ควรให้ความสำคัญกับ Perimeter และ Firewall ที่องค์กรใช้งานเช่นกันครับ

เมื่อ “ธรรมะ” ถูกขาย

อาหารที่อร่อย ย่อมเกิดจากสูตรลับที่ไม่เผยให้ใครรู้ เปรียบเสมือนกับโปรแกรม หรือมัลแวร์ ที่มีรหัสต้นฉบับ (Source Code) เป็นความลับสูงสุดที่ต้องถูกเก็บงำไว้

เมื่อไม่นานมานี้รายงานจากแหล่งข่าวนิรนามได้กล่าวว่า มีการซื้อขายรหัสต้นฉบับของแรนซัมแวร์ “ธรรมะ (Dharma)” บนเว็บไซต์ของแฮกเกอร์ชาวรัสเซียมากกว่า 2 เว็บ โดยนำไปวางขายในตลาดใต้ดิน

ซึ่งถือเป็นการติดอาวุธเพิ่มให้กับอาชญากรไซเบอร์ โดยราคาสำหรับการเริ่มเจรจาต่อรอง ซื้อขายรหัสต้นฉบับของแรนซัมแวร์ตัวนี้อยู่ที่ 2,000 ดอลลาร์สหรัฐ ถือว่าเป็นราคาที่ไม่แพงเลยเมื่อเทียบกับสิ่งที่จะเอาไปต่อยอดในการสร้างแรนซัมแวร์เพื่อหาผลประโยชน์จากเหยื่อต่อไป

ไม่มีใครตั้งคำถามเลยว่ารหัสต้นฉบับนี้เป็นของจริงหรือไม่ ยิ่งไปกว่านั้นคือไม่มีใครสงสัยเลยว่า ผู้ที่นำรหัสต้นฉบับนี้มาขาย เบื้องหลังอาจเป็นคนในกลุ่ม Dharma/Phobos แรนซัมแวร์เองหรือไม่ นั่นคงเป็นเพราะว่าถ้ารหัสต้นฉบับนี้มาจากเวอร์ชั่นเก่า ก็มีจะคีย์ที่สามารถนำมาถอดรหัสกับธรรมะได้ ซึ่งกลุ่มที่อยู่เบื้องหลังของแรนซัวแวร์ธรรมะนั้นขึ้นชื่อในเรื่องการอัพเดทรหัสต้นฉบับ รวมไปถึงการแก้ไขช่องโหว่ต่างๆของมันอยู่เสมอ จนทำให้ธรรมะแข็งแกร่งและรอดพ้นจากการถูกถอดรหัสได้ดีอีกด้วย

ส่วนมากแล้วธรรมะจะถูกใช้ในการแพร่กระจายด้วยวิธีการส่งสแปมอีเมล์ พร้อมแฝงซอฟท์แวร์ติดตั้งโทรจันเข้าไป  โดยจะติดตั้งผ่านช่องทางรีโมท (RDP Connection) หลังจากนั้นจะมีการติดตั้งโดยใช้ Credential ของผู้ใช้ที่ถูกแฮกมาทำการติดตั้ง โดยจะมุ่งเป้าไปที่หน่วยงานภาคสาธารณสุขของสหรัฐอเมริกา ซึ่งตัวผู้พัฒนาแรนซัมแวร์ตัวนี้ได้พัฒนาและอัพเดทตัวมันอย่างต่อเนื่อง เพื่อที่จะส่งแรนซัมแวร์ไปทำการเข้ารหัสไฟล์ด้วยสกุลไฟล์ที่หลากหลาย บางครั้งตัวแรนซัมแวร์จะถอนซอฟต์แวร์ที่ป้องกันความปลอดภัยออกจากเครื่องของเหยื่อได้อีกด้วย ถือเป็นการโจมตีของตัวแรนซัมแวร์ชนิดนี้รูปแบบหนึ่ง

จากรายงานของทาง FBI “ธรรมะ” ถือว่าเป็นแรนซัมแวร์ที่อยู่ในอันดับ 2 ในการทำเงินที่ผ่านมา โดยทำเงินไปกว่า 24.48 ล้านตั้งแต่ปี 2016 ถึง 2019 เป็นรองจากแรนซัมแวร์ “ Ryuk” เท่านั้น รวมถึงทิ้งอันดับ 3 อย่าง “BitPaymer” ด้วยยอดทำเงินมากกว่าถึง 3 เท่า

หากรหัสต้นฉบับของแรนซัมแวร์ “ธรรมะ”ถูกนำไปขายหรือแพร่กระจายไปยังมือของอาชญกรไซเบอร์รายอื่นๆ ก็อาจจะเป็นจุดเริ่มต้นของการพัฒนาสายพันธุ์ของแรนซัมแวร์ตัวนี้ให้หลากหลายและแข็งแกร่งยิ่งขึ้น เหมือนกับเหตุการณ์ที่เคยเกิดขึ้นมาแล้วกับมิราอิ (Mirai Botnet) ที่ผมเคยกล่าวไปแล้ว ที่ในครั้งนั้นถูกนำมาเผยแพร่ใน Opensource เมื่อปี 2016 จนทำให้เกิดการแพร่กระจายไปทั่วโลก

ทั้งนี้หากเรามองในแง่ดี เรื่องนี้อาจทำให้นักวิจัยแรนซัมแวร์สามารถเข้าถึงรหัสต้นฉบับของแรนซัมแวร์ตัวนี้ได้  และทำการพัฒนากุญแจใหม่ๆมาทำการถอดรหัสแรนซัมแวร์ตัวนี้ก็ได้นะครับ ทุกภัยไซเบอร์สามารถป้องกันได้ด้วยการรู้เท่าทันและการวางแผนป้องกันระบบที่รัดกุมทั้งในด้านของโซลูชั่นและบุคคล ผมหวังว่าบทความที่ผ่านมาและในอนาคตของผมจะเป็นประโยชน์กับทุกท่านครับ

Checklist ขององค์กรเมื่อพนักงานทำงานที่บ้าน

 

วิกฤต COVID-19 ส่งผลกระทบให้กับหลายๆองค์กร ที่ต้องเปลี่ยนวิธีการทำงานจากที่ออฟฟิศไปสู่การทำงานจากที่บ้าน (Work From Home) เป็นผลให้เกิดความโกลาหลเป็นอย่างมากสำหรับฝ่ายที่ต้องวางแผนรับมือกับภัยทางไซเบอร์ที่อาจเข้ามาคุกคามองค์กรในช่วงเวลาเช่นนี้

 

ถึงแม้ว่าบางองค์กรจะมีระบบและมาตรการที่ได้ทำเป็นประจำอยู่แล้ว แต่โปรดอย่างนิ่งนอนใจ เนื่องจากเวลาที่ทำงานที่ออฟฟิศ กับเวลาที่ทำงานจากที่บ้าน กิจกรรมการใช้งานระบบและโลกไซเบอร์ของทุกคนนั้นแตกต่างกันอย่างสิ้นเชิง ข้อมูลที่ไม่เคยต้องอัพโหลดขึ้น Cloud ก็ต้องอัพโหลด เว็บภายในบริษัท เช่น เว็บสำหรับลงเวลาเข้า-ออกงาน เว็บสำหรับการทำงานภายในอื่นๆ ก็จะมีความสำคัญ และถูกใช้งานบ่อยครั้งขึ้น

เป็นที่ทราบกันดีว่าวิกฤต COVID-19 เป็นเรื่องที่เกิดขึ้นอย่างฉุกเฉิน ดังนั้นผู้จัดจำหน่าย หรือที่ปรึกษาด้านระบบ อุปกรณ์ที่ใช้ในการรักษาความปลอดภัยไซเบอร์ที่องค์กรใช้อยู่เดิม อาจไม่พร้อมสำหรับการเปลี่ยนแปลงอย่างกระทันหันในครั้งนี้

วันนี้ผมจึงนำ Checklist ที่คุณต้องตรวจสอบเพื่อให้องค์กรของคุณปลอดภัยจากภัยไซเบอร์ที่อาจเป็นผลพวงมากับ วิกฤต COVID-19  ทั้งนี้การที่จะปฏิบัติตามแต่ละขั้นตอนนั้นสามารถทำได้หลายวิธีและขึ้นอยู่กับนโยบายภายในของแต่ละองค์กรด้วยนะครับ

 

5 สิ่งสำคัญที่ต้องตรวจสอบเมื่อพนักงาน Work From Home

 

  1. เทคโนโลยีด้านความปลอดภัย – ตรวจสอบว่าเครื่องมือรักษาความปลอดภัยที่องค์กรมีอยู่เพียงพอหรือไม่ และเครื่องมือที่ติดตั้งแล้วมีการตั้งค่าที่เหมาะสมกับมาตรการทำงานจากที่บ้านแล้วหรือยัง

 

  1. ทีมงานด้านความปลอดภัย – ทุกทีม ไม่ว่าจะเป็นทีมขนาดเล็กหรือใหญ่ ต้องมีขั้นตอนในการจัดการและวิธีการปฏิบัติงานอย่างเหมาะสม ซึ่งขั้นตอนเหล่านั้นต้องมีการอัพเดทอยู่ตลอด รวมถึงมีการปรับปรุงแก้ไขให้เหมาะกับสถานการณ์ที่เกิดขึ้นในปัจจุบันและใช้ได้จริง
  2. พนักงานทั่วไป – เราทราบกันดีว่า คน หรือ บุคลากร นั้นเป็นจุดอ่อนในการโจมตีมากกว่าอุปกรณ์ต่างๆเสียอีก ยิ่งในช่วงวิกฤต COVID-19 ที่มีการรณรงค์ให้เกิด Social Distancing แล้วยิ่งเป็นการเปิดช่องโหว่จากการใช้เครือข่ายทางสังคม (Social Engineering) ที่พนักงานทั่วไปอาจถูกโจมตีอีกด้วย สิ่งที่ต้องทำคือเพิ่มความตระหนักรู้ การให้ความรู้เรื่องความปลอดภัยเพื่อเพิ่มทักษะในการต่อสู้กับภัยคุกคามที่อาจเข้ามาผ่านช่องทางนี้

 

  1. ผู้ให้บริการต่างๆ – ไม่ว่าองค์กรของคุณจะดำเนินการในเรื่องความปลอดภัยด้วยตัวเองหรือไม่ก็ตาม ตอนนี้ถึงเวลาแล้วที่เราต้องคิดถึงผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์โดยเฉพาะ เนื่องจากเป็นสถานการณ์ที่เกิดขึ้นอย่างเร่งด่วน เราจึงจำเป็นต้องอาศัยทักษะความชำนาญจากผู้ให้บริการต่างๆที่มีทักษะและความรู้ที่พร้อมรับกับสถานการณ์ปัจจุบันมากกว่า

 

  1. มุมมองจากระดับบริหาร – ผู้บริหารองค์กรต้องมีมุมมองที่สามารถมองเห็นในทุกมิติ ฝ่ายที่ดูแลเรื่องความปลอดภัยไซเบอร์ขององค์กรต้องมีการรายงานผลให้ทางผู้บริหารเห็นถึงข้อมูลและข้อเท็จจริงจากสถานการณ์นี้ได้อย่างชัดเจนที่สุด หากระบบหรือเครื่องมือที่ใช้มีความพร้อมไม่เพียงพอจะต้องมีการแก้ไขอย่างเร่งด่วน

 

หวังว่า Checklist ง่ายๆ 5 ข้อนี้จะเป็นประโยชน์กับทุกท่าน หากสามารถทำได้ทั้ง 5 ข้อนี้ เชื่อว่าเราทุกคนจะผ่านวิกฤต COVID-19 นี้ไปได้โดยไม่ต้องเสี่ยงถูกคุกคามทางไซเบอร์ครับ