ที่ห้องวิจัยของ ESET พวกเรากำลังวิเคราะห์และเรียนรู้วิธีที่อาชญากรไซเบอร์ใช้แพร่พันธุ์ไวรัสไปทั่วโลก เราพบหลากหลายชนิดของโค้ดอันตรายซึ่งถูกสร้างขึ้นมาด้วยจุดประสงค์ที่หลากหลาย บางตัวมุ่งเป้าไปที่ผู้ใช้ในบ้าน บางตัวเน้นโจมตีโลกธุรกิจ
มองย้อนไปที่แนวโน้มที่ผ่านๆมา เราพบวิวัฒนาการและการเปลี่ยนแปลงที่องค์กรต้องประสบพบเจอ และปัญหาภัยคุกคามซึ่งไม่ได้พบได้แค่ที่บ้าน แต่พบได้ในที่ทำงาน
จากมุมมองขององค์กร ความปลอดภัยคือกระบวนการที่ใช้การจัดการและการช่วยเหลือเป็นกุญแจสำคัญ ความท้าทายนี้ไม่มีที่สิ้นสุดเพราะทีมรักษาความปลอดภัยต้องเผชิญกับโค้ดอันตรายที่พยายามเข้าฝังตัวอยู่ในเครือข่าย โดยที่เราต้องพึ่งพาเทคโนโลยี Proactive และความรู้ที่ดีเป็นการป้องกัน
ถ้าคำนึงถึงความจริงว่าองค์กรนั้นมีทรัพยากรอยู่อย่างจำกัด และพนักงาน IT มีส่วนรับผิดชอบกับความปลอดภัยของข้อมูล และอื่นๆ นี่จึงเป็นสิ่งสำคัญที่จะสร้างความชัดเจนของสิ่งที่พวกเขาต้องรับผิดชอบ
สิ่งที่เราจะนำเสนอต่อไปนี้เป็นภัยทั่วๆไปที่องค์กรประสบพบเจอ ผลกระทบ และตัวอย่างประกอบ
#1 อีเมล์อันตราย
ทุกวันนี้อีเมล์ถือว่าเป็นจุดศูนย์กลางขององค์กรเลยทีเดียว ทั้งสร้างบทสนทนากับลูกค้า เป็นผู้จัดหาการบริการ และอื่นๆ และทำให้พนักงานสามารถติดต่อสื่อสารแลกเปลี่ยนกันในองค์กร โดยบัญชีในองค์กรนั้นเป็นหนึ่งในช่องทางหลักในการรับโค้ดอันตราย และพวกเราได้ตรวจสอบวิธีที่การแพร่กระจายของภัยคุกคามหลากหลายชนิดผ่านการติดต่อสื่อสารรูปแบบนี้
หนึ่งในภัยคุกคามบนอีเมล์ล่าสุดคือ Win32/Bayrob ที่แพร่กระจายมาหลายรอบ โดยปลอมตัวเป็นคูปองของเว็บไซต์ Amazon ในเวลาน้อยกว่าหนึ่งเดือนไวรัสชนิดนี้ได้กลายเป็นภัยที่พบได้มากในประเทศ อาร์เจนติน่า ชิลี โคลัมเบีย และเม็กซิโก
โดยทางเข้าของมัลแวร์คือการใช้ผ่านไฟล์ที่แนบมาในอีเมล์ซึ่งเป็นปัญหาใหญ่ อย่างที่พวกเราเคยเห็นในกรณีของ CTB-Locker ในปีที่ผ่านมา ที่มีการโจมตีหลายระลอก โทรจันที่ ESET จับได้คือ Win32/TrojanDownloader.Elenoocka.A. ซึ่งติดตั้ง “โปรแกรมเรียกค่าไถ่” เพื่อเข้ารหัสไฟล์ของเหยื่อ และเรียกเงินเป็นการแลกเปลี่ยนกับการปลดล็อค
เพื่อที่จะป้องกันอีเมล์ภายในบริษัท พวกเราไม่ได้ต้องการแค่ “เครื่องมือแก้ปัญหาปลายทาง” ที่คอบจับไฟล์แนบที่เป็นอันตราย แต่เราต้องป้องกันไปถึงอีเมล์เซอฟเวอร์ ซึ่งเป็นตัวคัดกรองก่อนที่จะมาถึงกล่องจดหมาย คำแนะนำของเราคือใช้เครื่องมือนี้รายงานว่าภัยคุกคามไหนที่เข้ามาผ่านอีเมล์ และใช้วิธีนั้นจัดการแก้ปัญหาที่เกิดขึ้น
#2 อุปกรณ์เชื่อมต่อภายนอกสามารถทำให้ไฟล์หาย
การใช้แฟลชไดร์ฟและการเชื่อมต่ออื่นๆ เป็นปัจจัยหลักที่ทำให้โค้ดอันตรายแพร่กระจาย โดยเฉพาะในละตินอเมริกา ที่มีผู้ตกเป็นเหยื่อเป็นจำนวนมากและสร้างความวุ่นวายให้กับทุกคน
วิธีการหลักของการแพร่เชื้อนี้คือการเชื่อมต่อโดยตรงผ่านสาย USB กับเครื่องคอมพิวเตอร์ที่ติดไวรัส จากนั้นไฟล์ทั้งหมดจะหายไปและถูกแทนที่ด้วยลิงก์ และหากนำอุปกรณ์นี้ไปเชื่อมต่อกับคอมพิวเตอร์เครื่องอื่นและเปิดใช้งานลิงก์นี้คอมพิวเตอร์ก็จะติดเชื้อโดยทันทีโดยที่ผู้ใช้ไม่รู้ตัว
สายพันธุ์ของมัลแวร์นิยมใช้เทคนิคนี้ในการแพร่กระจาย เช่น Win32/Dorkbot Python/Liberpy.A JS/Bondat และสายพันธุ์ Win32/IRCBot
นี่จึงเป็นสิ่งสำคัญขององค์กรที่จะออกนโยบายเกี่ยวกับอุปกรณ์เชื่อมต่อภายนอก เพราะนี่เปรียบเสมือนการปูทางในการขโมยข้อมูลขององค์กร ซึ่งขึ้นอยู่กับการตัดสินใจขององค์กรว่าจะแก้ไขสถานการณ์นี้อย่างไร
#3 การแสวงหาผลประโยชน์
การแสวงหาผลประโยชน์จากช่องโหว่ของซอฟต์แวร์เป็นอีกทางหนึ่งของการแพร่กระจายของโค้ดอันตราย โดยผ่านแอปพลิเคชั่น บราวเซอร์ และเว็บไซต์ ความท้าทายอยู่ที่จุดบอดของแอปพลิเคชั่น หรือบราวเซอร์ หากผู้ใช้ลืมอัพเดตเวอร์ชั่นของแอปพลิเคชั่นเพื่อแก้ไข หรือตัวแก้ไขยังไม่เสร็จ องค์กรอาจจะต้องประสบกับภัยคุกคาม
ในไม่กี่วันที่ผ่านมา พวกเราแชร์ “study on vulnerabilities reported in Microsoft operating systems” ซึ่งรายงานว่าโปรแกรม Internet Explorer นั้นเป็นหนึ่งในโปรแกรมที่ตกเป็นเหยื่อมากที่สุด ความเสี่ยงของการตกเป็นเหยื่อคือการติดตั้งโค้ดอันตราย ซึ่งอนุญาตให้แฮคเกอร์ทำการบังคับระยะไกล หรือรีโมทคอนโทรลได้
แต่การกระทำแบบนี้ไม่มีผลหากอุปกรณ์ไม่ได้เชื่อมต่ออินเตอร์เน็ต การต่อกรกับภัยเหล่านี้พวกเราจำเป็นต้องใช้ระบบความปลอดภัยแบบ Proactive ซึ่งมีอยู่ใน ESET Exploit Blocker ที่ช่วยป้องกันไม่ให้เปิดเจ้า Exploit หรือโค้ดอันตราย และยังสามารถช่วยป้องกันภัยคุกคามรูปแบบเดียวกันได้ และสำหรับแพลตฟอร์มอื่นก็แนะนำให้ทำแบบเดียวกัน คือหาโปรแกรมรักษาความปลอดภัย เพื่อป้องกันเหตุการณ์แบบนี้ไม่ให้เกิดขึ้นอีก
#4 โปรแกรมเรียกค่าไถ่
โปรแกรมเรียกค่าไถ่เป็นสิ่งที่ธุรกิจน้อยใหญ่ทั่วโลกกำลังหวาดผวา ความน่ากลัวของโค้ดอันตรายนี้สามารถเปิดโปงช่องโหว่ของธุรกิจได้ ไม่ว่าองค์กรจะมีการป้องกันที่แน่นหนา หรือศึกษาข้อมูลมามากแค่ไหน การโจมตีนี้จะสร้างความกดดันให้กับองค์กร มากน้อยขึ้นอยู่กับข้อมูลที่ถูกขโมยไป
หลายองค์กรดำเนินการออกนโยบายเพื่อป้องกันและหลีกเลี่ยงทุกความเสี่ยงในการตกเป็นเหยื่อ แต่เมื่อเหตุการณ์แบบนี้เกิดขึ้น เครื่องมือที่ช่วยลดความเสียหายเป็นสิ่งที่สำคัญ ก่อนที่โปรแกรมเรียกค่าไถ่จะเข้ายึดเครื่องของคุณ สิ่งที่จำเป็นที่สุดคือการสำรองข้อมูลเพื่อลดความเสียหายให้ได้มากที่สุดและทำให้องค์กรสามารถเดินหน้าต่อได้
#5 โทรศัพท์มือถือที่ไม่มีการป้องกัน
อีกปัจจัยที่น่าเป็นห่วงสำหรับองค์กรคืออุปกรณ์สื่อสารอย่างโทรศัพท์มือถือ ปีที่ผ่านมา ESET มีรายงานมาว่ามีเพียง 1 ใน 10 ขององค์กรในละตินอเมริกาเท่านั้น ที่มีโปรแกรมรักษาความปลอดภัยบนโทรศัพท์มือถือ ถ้าเราคิดถึงอุปกรณ์เหล่านั้น มีหลายครั้งที่มีการติดต่อกับคอมพิวเตอร์ของบริษัทที่ไม่มีการป้องกัน ซึ่งนั่นหมายถึงความเสี่ยงที่มากขึ้น
การปกป้องโทรศัพท์มือถือและอุปกรณ์อื่นๆ ไม่เพียงแต่เป็นการป้องกันตัวเองจากโค้ดอันตราย แต่ยังช่วยปกป้องเครือข่ายภายในองค์กรอีกด้วย เมื่ออุปกรณ์เหล่านี้ทำการเชื่อมต่อกับเครือข่าย มันสามารถควบคุมคอนโซลหรือหน้าจอได้
เป็นไปได้ที่องค์กรสามารถออกนโยบายที่ชัดเจนเกี่ยวกับการใช้สมาร์ทโฟนและอุปกรณ์สื่อสาร
พวกเราจะทำอะไรได้บ้าง?
ความท้าทายของฝ่ายรักษาความปลอดภัยคือการปกป้ององค์กร จงทำให้แน่ใจว่าอุปกรณ์ทุกชิ้นในบริษัทไม่ติดไวรัส และในกรณีที่มีการติดเชื้อเกิดขึ้น พวกเขาจะสามารถลดความเสี่ยงที่จะเกิดขึ้นกับธุรกิจได้อย่างรวดเร็วและมีประสิทธิภาพ ถึงจะเป็นเรื่องที่ยากแต่มันก็เป็นไปได้หากเราตัดสินใจแก้ปัญหาได้อย่างเป็นมืออาชีพ
ในการทำแบบนี้ ความรู้ความเข้าใจเกี่ยวกับภัยคุกคามและวิธีการรับมือนั้นเป็นสิ่งจำเป็น และต้องใช้เวลา การทำความเข้าใจกับไวรัสที่ถูกตรวจจับได้ในแต่ละวันก็เป็นกิจกรรมที่ช่วยให้การออกนโยบายความปลอดภัยขององค์กรมีความเป็นไปได้มากขึ้น และสร้างความปลอดภัยให้กับองค์กร
WeLiveSecurity Thai Edition's 
Pingback: บทวิเคราะห์ความปลอดภัย: ความปลอดภัยเป็นเรื่อง “ง่าย” ลองถามใครสักคนที่ RSA – Welivesecurity Thai Edition's
Pingback: บทวิเคราะห์ความปลอดภัย: ความปลอดภัยเป็นเรื่อง “ง่าย” ลองถามใครสักคนที่ RSA – Welivesecurity Thai Edition's