5 แนวทางการป้องกัน Ransomware เพื่อช่วยให้หน่วยงานไม่ถูกเรียกค่าไถ่อีกต่อไป

บทความนี้เขียนขึ้นโดยนำประสบการณ์จากการทำงานและการอยู่หน้างานจริงเพื่อมาเป็นแนวทางปฏิบัติให้กับหน่วยงานที่ต้องการประหยัดงบประมาณในการลงทุน สามารถทำงานและสามารถป้องกันภัยคุกคามในโลกยุคใหม่นี้ได้จริง

1. Cybersecurity Awareness ทุกหน่วยงานที่มีพนักงาน ควรให้ความสำคัญในการสร้างความตระหนักรู้ความปลอดภัยข้อมูลให้กับพนักงานในองค์กร ฝึกทักษะให้พนักงานทุกการระมัดระวังตัวในการใช้งานข้อมูล
   มีพฤติกรรมการใช้งานระบบสารสนเทศ ให้มีความตระหนักรู้ การแชร์ไฟล์ การเปิดอีเมล การส่งข้อมูล การตั้งค่าการเข้าถึงข้อมูล และรู้เท่าทันภัยคุกคามที่เกิดขึ้น ทุกครั้งที่จะคลิก Link และ install files ที่ไม่แน่ใจ
   ที่มาจาก e-mail และ social media ให้นำ link และไฟล์ ไปตรวจสอบที่ virustotal.com โดยใช้โปรแกรมแอนตี้ไวรัสกว่า 70 ชนิดช่วยตรวจสอบให้ก่อนทุกครั้งที่จะเปิดไฟล์ ช้าแต่ชัวล์ หากพบไวรัสแม้เพียง 1 ยี่ห้อที่ฟ้องก็ไม่ควรเข้าใช้งาน

2. Backup 3–2–1 rules and Recovery
มีการทำการสำรองข้อมูล และเพื่อกู้คืนข้อมูล แบบ 3–2–1 ถ้างบประมาณเพียงพอ สามารถทำ Backup แบบ 3–2–1 จะช่วยลดการติดไวรัสประเภทอื่นๆ รวมทั้ง Ransomware ได้ กล่าวคือ
3 Data copies สำรองข้อมูลอย่างน้อย 3 จุด
2 Types of storage ที่แตกต่างกัน เช่นสำรองข้อมูลลง Tape, External Hard drive เป็นต้น
1 offsite ให้สำรองข้อมูลไปอีกที่หนึ่ง ที่เรียกว่า DR site (Disaster Recovery site)

3. Protection แบบ Defense in Depth ให้ความสำคัญการป้องกันเป็นระดับชั้น ตั้งแต่จัดทำระบบความปลอดภัย ACL (Access Control List) blacklist IP/Domain ที่มีความเสี่ยงภัย จัดทำบนอุปกรณ์ Network และ ซอฟต์แวร์ Endpoint security ถ้าให้ทำเป็นระบบ White list IP/domain สำหรับองค์กรไปเลยเพราะการทำงานของ Ransomware มักจะทำการส่งค่าข้อมูลเพื่อเชื่อมต่อกับ Server ของนักโจมตีระบบจากภายนอกเสมอถึงจะทำงานจะเข้ารหัสไฟล์ได้ ซึ่ง Blacklist ที่กล่าวถึงเป็น threat intelligence ที่ต้องมีทั้งค่า IP, Domain, และCertificate ที่ขึ้นบัญชีดำ จากแหล่งข้อมูลที่เชื่อถือ

4. Offensive security & Log Monitoring หมั่นตรวจสอบและประเมินความเสี่ยงระบบเครือข่าย และเครื่องแม่ข่ายคอมพิวเตอร์ที่สำคัญในองค์กร โดยตรวจหาช่องโหว่ตามค่า CVE (Common Vulnerabilities and Exposures) ตรวจสอบว่าควรอัพเดทซอฟต์แวร์ให้มีความปลอดภัย และมีการจัดเก็บบันทึกข้อมูล Log files ตามกฎหมาย เมื่อเกิดเหตุจะได้สามารถดูย้อนหลังเพื่อสืบหาสาเหตุถึงภัยคุกคามที่เกิดขึ้นในองค์กรได้ เสมือนกล้องวงจรปิดที่ต้องติดทุกอาคาร Log monitoring ก็เป็นเช่นกันต้องมีทุกหน่วยงานอย่างน้อยทำตามกฎหมายและช่วยเราหาสาเหตุต่างๆ ที่เกิดขึ้นได้ ไม่ว่าเป็น Network log และ syslog ในระดับ application log ที่เกิดขึ้นจากการใช้งานระบบสารสนเทศ เช่น Monitoring การแชร์ไฟล์ผ่าน Protocol SMB (Server Message Block) จะเป็น Network log monitor หรือ สคริปต์ที่ติดตั้ง File Server Resource Manager (FSRM) และจะคอยเฝ้าดู network share ถ้าผู้ใช้พยายามจะเขียนไฟล์มุ่งร้าย FSRM ป้องกันไม่ให้เขียนไฟล์ดังกล่าวได้ และส่งอีเมลแจ้งเตือนต่อไปเป็นต้น

5. Incident Response เนื่องจากไม่มีระบบใดที่ปลอดภัยได้ 100% ควรมีการจัดทำแผนรับมือเมื่อเกิดสถานการณ์ฉุกเฉิน ทั้งทางเทคนิค คือมี Log Alert จาก SoC (Security Operation Center)เมื่อพบเหตุเพื่อเข้ากระบวนการแก้ไขสถานการณ์ ส่วนไม่ใช่ทางเทคนิค คือมีการซ้อมรับมือ เมื่อพบเหตุฉุกเฉิน Ransomware หรือการถูกโจมตีอื่นๆ ทางไซเบอร์ เสมือนการซ้อมหนีไฟ หากเกิดเพลิงไหม้ขึ้น ซึ่งต้องได้รับความร่วมมือกันทั้งหน่วยงาน

หากเราสามารถปฏิบัติได้ครบทั้ง 5 ข้อก็มั่นใจได้ว่า การที่ติด Ransomware เพื่อเรียกค่าไถ่ข้อมูลสำคัญขององค์กรเรานั้นจะมีโอกาสเกิดขึ้นต่ำมาก และหากเกิดขึ้นอย่างน้อยเรายังมีการสำรองข้อมูลที่สามารถกู้คืนสภาพเดิมได้ โดยทั้งหมดนี้ควรเป็น Solution ที่ทำให้หน่วยงานลดค่าใช้จ่ายไปได้ เนื่องจากในแต่ละส่วนและเทคโนโลยีที่นำมาใช้โดยส่วนใหญ่มาจากต่างประเทศ ที่ราคาโดยรวมหากครบทั้ง Solution จะมีมูลค่าสูงและเหมาะกับหน่วยงานใหญ่เท่านั้น ส่วนองค์กรและหน่วยงานขนาดเล็กโอกาสการป้องกันภัยคุกคามที่เกิดขึ้นนั้น หากมีงบประมาณที่จำกัดนั้นเป็นเรื่องที่ยากแสนยากอยู่ในปัจจุบันนี้ ที่จะสามารถป้องกันภัยคุกคามในโลกยุคใหม่นี้ได้ทัน ดังเช่นกรณีโรงพยาบาลสระบุรี ที่เป็นข่าวใหญ่ในปัจจุบันนี้

กล่าวโดยสรุป หากเป็นองค์กรที่งบประมาณจำกัด ขั้นตอนที่ป้องกันภัยคุกคาม Ransomware ต้องทำตั้งแต่ระดับเครือข่ายคอมพิวเตอร์ (Network) โดยการจำกัดการเข้าถึงค่า IP/Domain โดยอาศัย Blacklist จาก อุปกรณ์ชื่อ SRAN Netshield เป็นเสมือน NIPS ที่วางขวางระบบเครือข่ายคอมพิวเตอร์ในลักษณะ In-line

ระดับคอมพิวเตอร์แม่ข่ายที่สำคัญ Server ต้องทำการประเมินความเสี่ยง และ สำรองข้อมูลที่เป็นข้อมูลสำคัญแบบ 3–2–1 Backup and recovery โดยใช้ Arak data protection suite หรือ Open source เช่น restic, borg, dulicati เป็นต้น

ในการเฝ้าระวังและตรวจหาความเสี่ยงในองค์กรอย่างต่อเนื่องจำเป็นต้องมี Log monitoring ในนี้ใช้ SRAN Log monitoring จะทำให้รู้เท่าทันภัยคุกคาม เนื่องจาก SRAN มีคุณสมบัติแบบ Hybrid คือรับ Syslog ได้และเป็น NIDS (Network Intrusion Detection System) ได้ในตัว ดังนั้นจึงสามารถวิเคราะห์ Log ที่เกิดขึ้นบน Network เช่น Protocol ในการแชร์ไฟล์ SMB เป็นต้น ซึ่งได้ทำให้มองเห็นความผิดปกติที่เกิดขึ้นในองค์กรได้เป็นอย่างดี

ในระดับบุคลากรในองค์กร ต้องให้พนักงานทุกคนได้เข้าทำการฝึกอบรมด้านความมั่นคงปลอดภัยทางข้อมูล เพื่อสร้างความตระหนักรู้และความเข้าใจในการป้องกันตัวไม่เกิดภัยสมัยใหม่นี้หลุดเข้ามาสู่องค์กรเราได้

Nontawatt Saraman

SRAN
13/09/63

สำหรับนักดิจิทัล เทคโนโลยี อะไรที่ว่าล้ำ..ยุค..โลกใหม่อย่างเรา…..ถ้ามีเวลาว่างก็อ่านหนังสือประวัติศาสตร์. บทเรียนจากโลกเก่า….ได้หนังสือเก่ามาเล่าใหม่ เล่มนี้ ที่ชื่อหนังสือว่า “ปืน เชื้อโรค เหล็กกล้า” Guns Germs and Steel หนังสือเล่มนี้เป็นการเล่าย่อประวัติกว่า 13,000 ปี ของ ยูเรเชีย และการล่าอาณานิคมในยุคก่อน อ่านแล้ววางไม่ลงเหมือนกัน

โลกเก่า ยุคล่าอาณานิคม ผู้ที่ได้เปรียบคือต้องมี ปืน เชื้อโรค และเหล็กกล้า

โลกใหม่ ไม่ต่างจากเดิมเลย ผู้ล่าอาณานิคมที่ได้เปรียบคือ เงิน เชื้อโรค และดาต้า

(1) เงิน จาก Blockchain. เกิด Cyptocurrency เช่น Libra, หยวนดิจิทัล ประเทศไหนไม่มี รู้ไม่ทันจะต่อรองอะไรไม่ได้ ต้องพึ่งผู้ล่าอาณานิคม

(2) เชื้อโรค. Covid-19 วัคซีน ประเทศไหนผลิตเองไม่ได้จะอยู่อย่างลำบาก ต้องพึ่งผู้ล่าอาณานิคม

(3) ดาต้า. Big data เกิด AI autonomus systems ประเทศไหนไร้ Platform อยู่อย่างต่อรองอะไรไม่ได้ ต้องพึ่งผู้ล่าอาณานิคม

โลกใบเดิม แต่เปลี่ยนวิถีใหม่ ที่ไม่ต่างจากเป้าหมายเดิมคือการล่าอาณานิคมเหมือนเดิม บนโลกใหม่ที่มี Platform และ Ecosystems มาพร้อมกันแบบแกะไม่ออก จะยกชีวิตเรามาใช้ระบบบนโลกใหม่ ที่มีทั้ง “เงิน เชื้อโรค และดาต้า” เช่นนั้นเอง

Nontawatt Saraman

06/09/63

Usee live ออกงาน หลังจากได้รับรางวัล Virtual Room E-learning ดีเด่น มาวันนี้ วันที่ 2 ก.ย. 2563 ระบบประชุมออนไลน์สัญชาติไทย “Useelive” ไปแสดงภายในงาน “จัดงานทั่วไทย ภูมิใจช่วยชาติ” (Thailand Mice United) โดยมี นายอนุทิน ชาญวีรกุล รองนายกรัฐมนตรี และรัฐมนตรีว่าการกระทรวงสาธารณสุข มาเป็นประธานเปิดงาน ณ รอยัลพารากอนฮออล์ ชั้น 5 สยามพารากอน ได้รับความสนใจจากผู้เข้าร่วมงานเป็นอย่างดี ภายในบูธมีกิจกรรมร่วมสนุกแจกถุงผ้า SRAN รักษ์โลก โดยผู้สนใจสามารถลงทะเบียนทดลองใช้ Useelive ได้ฟรี ที่ https://usee.live

เมื่อคืนนี้ ได้มาร่วมงานในประกาศรางวัลซอฟต์แวร์ไทย อันเป็นเวทีสำหรับ คนที่กล้าเปลี่ยนใช้ ซอฟต์แวร์ที่ทำด้วยคนไทย ในงาน 0110 จัดโดยสมาคมอุตสาหกรรมซอฟต์แวร์ไทย หรือ ATSI

เป็นรางวัลแด่คนตัวเล็กๆ ที่แอบช่วยชาติให้เข้มแข็ง

ผมได้มีโอกาสคุยท่านผู้ใหญ่ท่านหนึ่งว่า “เราต้องสร้างค่านิยมใหม่เพื่อให้มีจิตสำนึกร่วมกันกไม่เช่นนั้นคนไทยในยุคหน้าจะอยู่กันอย่างยากลำบาก”

ค่านิยมที่เรียกว่า

“ใช้ซอฟต์แวร์ไทย ประเทศยั่งยืน”

ด้วยเหตุผลอย่างน้อยดังนี้

(1) ประเทศที่บริโภคอย่างเดียว โดยเฉพาะด้านเทคโนโลยี โอกาสการต่อรองในเวทีโลกจะต่ำและไร้มูลค่าลง

อ่านที่ https://link.medium.com/9hIWIcKgp1

เคยยกตัวอย่าง เช่น หากอเมริกาขอระงับสิทธิการใช้งาน Google ในประเทศไทยสัก 15 วัน อะไรจะเกิดขึ้น ผลกระทบที่ตามมาจะกระทบถึงโครงสร้างพื้นฐานของประเทศที่เดียวลองคิดดู

(2) ห่วงโซ่ อุปสงค์ และ อุปทาน อันเป็น ปากท้องของคนในประเทศ จะถูกแทรกแทรงจาก Ecosystem ใหม่ได้ หากเราเป็นไม่เปลี่ยนแปลงเป็น นักคิด และนักทำ

อ่านเพิ่มเติม มายาเทค https://link.medium.com/Ct0GPeGsp1

อ่านที่ https://link.medium.com/17C9wuOgp1

(3) ขาดความภาคภูมิใจของคนในชาติ โดยเฉพาะแบนด์ไทยในด้านเทคโนโลยี และการขับเคลื่อนประเทศโดยใช้ดิจิทัลเป็นเครื่องมือนำพา

ยกตัวอย่าง

เมื่อเราเห็น Huawei เราเห็นประเทศจีน

เมื่อเราเห็น Samsung เราเห็นประเทศเกาหลีใต้

เมื่อเราเห็น Google, Microsoft, Apple เราเห็นอเมริกา

เมื่อเราเห็น Toyota, Panasonic, Line เราเห็นญีปุ่น

แล้วประเทศเราล่ะ มีอะไร? inside out outside in

คนที่มองจากข้างในชาติ และคนที่มองจากข้างนอกประเทศ เห็นอะไรจากประเทศเรา ?….

ขอบคุณสำหรับเวทีของสมาคม ATSI ในงาน 0110 ที่เปิดโอกาส ให้คนตัวเล็กๆ ในองค์กร/หน่วยงานที่กล้าใช้ซอฟต์แวร์ที่เขียนและทำโดยคนไทย ได้มีโอกาสรับรางวัลอันทรงคุณค่าและน่าจดจำเช่นนี้

การกระตุ้นเศรษฐกิจในภาวะเศรษฐกิจทั่วโลกถดถอย ต้องให้โอกาสคนในชาติได้ทำก่อน

ขอคาระผู้จัดงานทั้งเบื้องหน้าและเบื้องหลัง ที่ได้ทุ่มเทให้เกิดงานเช่นนี้ในประเทศ

เป็นกำลังใจเสมอ

Nontawatt S

06/11/62

ที่ Wurzburg มีประสาทเก่าตั้งบนเขา ห่างจากเมืองเวิร์ซบวร์ก (Wurzburg) ระยะทาง 200 ก.ม. ไปทางตอนเหนือของแคว้นบาวาเรีย

ชื่อ Schlosshotel Steinburg เป็นปราสาทเก่าที่มาทำเป็นโรงแรม และอยู่บนเขา

รถเราได้เดินทางไปที่นั้น เส้นทางผ่านสองข้างทางมีทั้งทุ่งทานตะวัน และ ไร่องุ่น อุดมไปด้วยธรรมชาติ เมื่อถึงจุดชุมวิวที่อยู่ในปราสาทจะเห็นเมือง สะพาน แม่น้ำ โรงเรียน สนามฟุตบอล และโบสถ์ ซึ่งผ่านการวางแผนผังเมืองเป็นอย่างดี เราสามารถมองเห็นเมืองทั้งเมืองจากจุดนี้

ยิ่งช่วงที่เรายืนอยู่นี้ พระอาทิตย์กำลังตกพอดี ลมพัดเย็นกำลังดี สัมผัสได้ถึงความสงบเย็น มองไปสุดขอบฟ้ามองเห็นแสงพระอาทิตย์ที่กำลังลับจากไป เป็นสัญญาณบอกว่าชีวิตเรากำลังหมดไปอีกวัน

และคืนนี้เราพักกันที่นี้ Schlosshotel Steinburg บรรยากาศดี น่าจดจำเป็นอย่างยิ่ง ปราสาทนี้ถือว่าอยู่ในแคว้นบาวาเรีย ขึ้นชื่อด้วยความสมบูรณ์ของสถาปัตยกรรม ยุคกลางแบบย่านเมืองเก่าของประเทศเยอรมันแห่งหนึ่ง

: 14/09/62 ที่ผ่านมา

ปล. ผังเมืองเป็นเรื่องสำคัญ ออกแบบดี ไม่มั่ว น้ำไม่ท่วมง่ายๆ อย่าไปคิดแต่ smart city ต้องมีแต่เทคโนโลยี มาใช้อย่างเดียวเลย มีอีกหลายมุมที่ทำให้เป็น smart city