รับมือ Ransomware อย่างไร? สำหรับผู้ใช้ G Suite

#Ransomware #GSuite #ซูเซ่แมน #แรนซัมแวร์
หลาย ๆ คนอาจจะไม่เชื่อสิ่งที่เกิดขึ้นกับโรงพยาบาลขนาดใหญ่ที่โดน ฆาตกรออนไลน์ Ransomware ยึดระบบจับไฟล์เข้ารหัส พร้อมทั้งเรียกค่าไถ่เพื่อปลดรหัสไฟล์! ทำให้ระบบงานภายในไม่สามารถให้บริการได้!

ธุรกิจโรงพยาบาลไม่มีระบบ Backup?
ไม่มี Firewall?

🧑‍💻โพสนี้แอดจะมาเล่าเกี่ยวกับการป้องกัน Ransomware
โดยโฟกัสในหัวข้อดังนี้คือ
1. ผู้ใช้งานอีเมลทั่วๆไป
2. ผู้ใช้งาน G Suite ระบบเมลในองค์กร

ก่อนที่เราจะไปหาแนวทางป้องกัน Ransomware ก่อนอื่นต้องมาทำความรู้จักกับช่องทางการมาของ Ransomware กันก่อน แบบแตก sequence ให้เห็นขั้นตอน step-by-step คร้าบบ

Ransomware คืออะไร?

Ransomware หรือมัลแวร์เรียกค่าไถ่
ซึ่งเป็นมัลแวร์ที่ทำการเข้ารหัสไฟล์บนเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อ จากนั้นระบบจะส่งจดหมายเรียกค่าไถ่ หรือแจ้งเตือนที่หน้าจอคอมพิวเตอร์ ระบุให้เหยื่อทำการจ่ายเงินเพื่อแลกกับกุญแจในการถอดรหัส หรือเครื่องมือในการถอดรหัสไฟล์ครับ

sequence ด้านล่างนี้สำหรับผู้ใช้อีเมลทั่วไป
(ร่วมถึงผู้ใช้บริการ G Suite ระบบเมลธุรกิจโดย Google)

Ransomware มาช่องทางไหน?

🔥Step 1: เมื่อพนักงานในองค์กร (ผู้ใช้) ได้รับอีเมลและเปิดไฟล์แนบหรือคลิ๊กลิงค์ฟิชชิ่ง หรือเชื่อมต่อ USB ที่ติดไวรัสเข้ากับคอมพิวเตอร์

🔥Step 2: จากนั้นไวรัส(หรือมัลแวร์) Ransomware จะแพร่กระจายติดตั้งลงยังคอมพิวเตอร์โดยอัตโนมัติ

A: ในขั้นตอนนี้ความเสี่ยงสูงสุดคือ ผู้ใช้ระบบปฏิบัติการ windows ครับหากเป็นระบบ Linux ไฟล์แนบจากอีเมลที่ Save ลงมาจะไม่สามารถ execute run ได้ครับ

B: ถ้าคอมพิวเตอร์เครื่องนี้เชื่อมต่อระบบ intranet (เครือข่ายภายในองค์กร) มีโอกาสที่ Ransomware จะแพร่กระจายติดตั้งลงไปยังคอมพิวเตอร์อื่น ๆ ภายในเครือข่ายของคุณ

เคสนี้อาจเป็นการส่งอีเมล phishing หรือ attachment ถูกส่งต่อไปยังผู้ใช้อื่น ๆ ในองค์กร

🔥Step 3: ไฟล์ทั้งหมดในคอมพิวเตอร์ของคุณจะถูกทำการเข้ารหัสไฟล์พิเศษโดยมัลแวร์ ransomware รวมถึง map ไดร์ฟ File Sharing (SMB), และไดร์ฟ Google Drive (เครื่องลงโปรแกรม Drive File Stream เพื่อสตรีมไฟล์ในไดรฟ์จากระบบคลาวด์ไปยังคอมพิวเตอร์ของคุณ)
.
ในขั้นตอนนี้ก็มีความแตกต่างของแต่ละองค์กรครับบางหน่วยงานก็ใช้ File server ที่เป็น Linux หรือ Windows File server ไม่ว่าจะ Linux หรือ Windows ทางผ่านการ map drive มาล้วนแต่เสี่ยงโดนเข้ารหัสยึดเครื่องได้ทั้งนั้น

🔥Step 4: หากองค์กรใช้ G Suite (Google Drive) ขั้นตอนนี้คือกระบวนการ sync ที่รันใน background เพื่ออัพโหลดไฟล์เอกสารขึ้นไปยังคลาว์ด Google Drive

งั้นก็เท่ากับว่าหากไฟล์สำคัญถูกเข้ารหัส
และไฟล์สำคัญนั้นถูก sync ขึ้นไปทับไฟล์ปกติบนคลาว์ดทันที

แล้วมี point อะไรบ้าง? สำหรับการป้องกัน?

🔥Step 5: File encrypted version

ขั้นตอนนี้ไฟล์ทั้งหมดใน Google Drive จะถูกแทนที่ด้วยไฟล์เวอร์ชันที่ติดไวรัสไปเป็นที่เรียบร้อยแล้วครับ

สำหรับผู้ดูแลระบบ IT Director หรือ Google Administrator มี 2 ทางเลือกครับ

(1.) กู้คืนข้อมูลผ่าน 3rd-party backup

(อาจจะใช้เป็น Enterprise External backup เช่น QSAN
หรือ Cloud SaaS backup อย่าง Spanning Cloud Apps ครับ

(2.) และยอมควักเงินจ่ายเพื่อรับ decryption key

จากข้อมูลองค์กรขนาดเล็ก (SMB) 1ใน5 ที่โดน Ransomware ล้วนแต่ควักเงินจ่าย เพราะไม่มีระบบ backup ในองค์กร
.

คำแนะนำในการป้องกัน

(0.) สร้างความตระหนักให้กับผู้ใช้ (IT/HR อบรมบุคลากร)

การใช้อีเมล, การเปิด link และไฟล์แนบต่าง ๆ

(1.) ระบบ backup โดยเฉพาะ offline backup

แน่นอนครับ มันเป็นเรื่องยากที่เราจะปลดรหัสไฟล์
ได้โดยไม่ใช้กุญแจสำหรับปลดรหัสจากแฮ็คเกอร์
และวิธีที่ดีที่สุดก็คือ การสำรองข้อมูลจะ Automate หรือแบบ Manual ก็ตาม Budget เลยครับ

(2.) ใช้ SaaS ระบบ backup บนคลาว์ด
ฟีเจอร์ควรเป็น version control และระบบสามารถ detect ตรวจสอบ Ransomware ได้ครับ

Detect -> Block -> Automatic Recovery
-> Manual Restore -> Security Alertsock
-> Automatic Recovery -> Manual Restore
-> Security Alerts

ระหว่าง process ของการ sync ไฟล์ขึ้นคลาว์ด ระบบ backup ที่ดีควรมี ML (machine learning) ที่จะ learn algorithms แบบ real-time หาก detect พบไฟล์ที่เป็นอันตราย (ransomware file encryption) ระบบต้องส่ง alert ไปยัง Administrator ได้ครับ

3. Audit risk

ใช้บริการ 3rd-party จากภายนอกเข้ามาวิเคราะห์ความเสี่ยง
ด้าน cybersecurity ภายในองค์กร

4. ระบบ Detect Ransomware
(มีระบบตรวจสอบการติด Ransomware หรือ verdor สนับสนุน)

5. Restore files ทดสอบการกู้คืนข้อมูล

6. ติดตั้ง Antivirus / Endpoint Security / Firewall NGFW
ไคลเอนต์/เซิร์ฟเวอร์
เช่น พวก Fortinet หรือ Palo Alto Networks เป็นต้น

หมายเหตุ: นี่ไม่ใช่แนวทางปฏิบัติที่ดีที่สุด (Base Practice)
ท่านใดมีคำแนะนำเพิ่มเติม หรือเป็นผู้เชี่ยวชาญด้านความปลอดภัยมีอุปกรณ์ดีๆ ที่คิดว่ามีประโยชน์ ช่วยแชร์คอมเม้นท์กันมาได้เลยนะครับ

🧑‍💻note: ไม่ใช่ทุกสายพันธุ์จะถอดรหัสได้ด้วย tool จาก verdor.

ทิ้งท้าย…ช่วงขายของสำหรับแฟนคลับตัวยง) 🥰

อีกหนึ่งช่องทางการสนับสนุนเพจ “SUSE MAN : ซูเซ่แมน”
ทุกท่านที่ติดตามอ่านบทความมาโดยตลอด สามารถร่วมสนับสนุนเพจของเราได้โดย สนับสนุนสั่งซื้อเลยเสื้อ SUSEMAN Shirt คลาสสิกสไตล์ (Signature Limited Edition 2020) ไปสวมใส่คลูๆกันได้เลยคร้าบ

🛒 กดสั่งซื้อเลย

#รักษาความมั่นคงปลอดภัยข้อมูล #Ransomware #ซูเซ่แมน

Scroll to top