สุภาษิตไทยกล่าวไว้ว่า หนามยอกต้องเอาหนามบ่ง

โลกไซเบอร์ในปัจจุบันนี้ถูกเปลี่ยนไปเยอะนะครับ นอกจากจะมีบริการเพื่อให้ผู้ใช้งานใช้งานได้สะดวกขึ้นแล้ว ยังมีบริการให้แฮกเกอร์โจมตีเหยื่อได้สะดวกขึ้นด้วยเช่นกัน ทุกวันนี้จึงมีแรนซัมแวร์ตัวใหม่ๆเกิดขึ้นมากมาย ไม่ว่าจะเป็น Zeppelin, REvil/Sodinokibi และยังมีแรนซัมแวร์ที่มีการพัฒนาสายพันธุ์ให้มีความรุนแรงและแยบยลในการจู่โจมมากยิ่งขึ้น จนเกิดเป็นรูปแบบของ Ransomware-as-a-Service (RaaS) ซึ่งผู้ที่สร้างมันขึ้นมาได้ให้บริการแรนซัมแวร์ โดยการขายหรือปล่อยให้เช่ากับอาชญากรไซเบอร์ แลกกับส่วนแบ่งกำไรหลังจากที่ก่ออาชญากรรมสำเร็จ
อีเมลยังเป็นอาวุธหลักที่นำมาใช้เปิดการจู่โจม และนิยมมากที่สุดรูปแบบหนึ่งของแรนซัมแวร์ ยิ่งอีเมลถูกนำมาใช้ในรูปแบบ Social Engineering ก็ยิ่งจู่โจมได้แยบยลมากยิ่งขึ้น โดยเป้าหมายส่วนมากจะเน้นไปที่พนักงานทั่วไปในองค์กรมากกว่าจะจู่โจมแบบสุ่มๆเข้ามาในระบบเครือข่ายเหมือนแต่ก่อน นอกจากนี้ช่องโหว่ของระบบที่ไม่ได้มีการอัพเดทแพตช์ และข้อผิดพลาดในการตั้งค่าของระบบ เช่น การใช้ Remote Desktop Connection ที่ไม่ปลอดภัย ก็ทำให้ไม่สามารถหาโซลูชั่นที่จะตอบโจทย์การป้องกันแรนซัมแวร์ได้สมบูรณ์แบบในคราวเดียว
ถึงแม้ว่าจะมี Firewalls, IPS/IDS, Proxies และ Endpoint Protection Platform (EPP) รวมถึง Antivirus ก็ไม่สามารถที่จะหยุดการโจมตีจากแรนซัมแวร์ได้ทั้งหมดอยู่ดี เพราะหากมีการดัดแปลง Signature แล้วก็จะตรวจจับได้ยาก Endpoint Detection and Response (EDR) จึงถือกำเนิดขึ้นเพื่อช่วยป้องกันอีกชั้นนึง ด้วยเทคนิคการตรวจจับของ EDR ที่มีการตรวจจับที่ลึกกว่าเพื่อมองหาสิ่งผิดปกติที่เกิดขึ้นในอุปกรณ์นั้นๆ ถึงแม้ว่า EDR จะไม่สามารถหยุดการจู่โจมได้ทุกอย่างเหมือน EPP ก็ตาม แต่ก็สามารถที่จะขัดขวางการจู่โจมได้เป็นส่วนมาก
แต่นั่นก็ยังไม่สามารถหยุดยั้งแรนซันแวร์ได้ และถึงคราวต้องใช้เทคโนโลยีในการตรวจจับแบบขั้นสูงอย่าง Deception มาช่วยผสานงานในการตรวจจับเพื่อเพิ่มประสิทธิภาพให้ดียิ่งขึ้นไปอีก โดย Advanced Deception Technology นั้นสามารถตรวจจับการเคลื่อนไหวที่เกิดขึ้นภายใน (Lateral Movement) รวมถึงสามารถปกป้องหรือซ่อนเครื่องที่ถูกใช้จริงจากการจู่โจม และส่งแรนซัมแวร์ไปยังเครื่องที่มีการแชร์ไฟล์ปลอมๆเอาไว้ จากนั้นก็หลอกผู้จู่โจมโดยการส่งข้อมูลปลอมไปให้ ซึ่งในระหว่างนั้นระบบ Deception จะแจ้งเตือนไปยังผู้ที่ดูแล และแยกเครื่องที่มีการติดแรนซัมแวร์ออกจากระบบเครือข่ายเพื่อป้องกันการแพร่กระจายอีกด้วย
นี่ถือเป็นเรื่องใหม่ของการป้องกันภัยคุกคามอย่างแรนซัมแวร์ เพราะเมื่อรวมความสามารถทั้งหมดของ EPP, EDR, และ Deception เข้าด้วยกันก็ทำให้เกิดระบบการป้องกันและตรวจจับที่มีประสิทธิภาพสูง และสามารถตรวจสอบหาสาเหตุและช่องโหว่เพื่อที่จะทำการอุดช่องโหว่ ตลอดจนรู้เท่าทันวิธีการต่างๆที่อาชญากรไซเบอร์ใช้ในการจู่โจมครั้งต่อไปได้ ช่วยให้ตอบสนองและแก้ปัญหาได้อย่างรวดเร็ว ลดผลกระทบที่จะเกิดขึ้นให้น้อยที่สุด จนเชื่อว่านี่จะเป็นโซลูชั่นที่ทุกองค์กรต่างต้องการมีไว้ใช้ป้องกันระบบครับ