รับมือ Ransomware อย่างไรสำหรับผู้ใช้ G Suite

รับมือ Ransomware อย่างไร? สำหรับผู้ใช้ G Suite

#Ransomware #GSuite #ซูเซ่แมน #แรนซัมแวร์
หลาย ๆ คนอาจจะไม่เชื่อสิ่งที่เกิดขึ้นกับโรงพยาบาลขนาดใหญ่ที่โดน ฆาตกรออนไลน์ Ransomware ยึดระบบจับไฟล์เข้ารหัส พร้อมทั้งเรียกค่าไถ่เพื่อปลดรหัสไฟล์! ทำให้ระบบงานภายในไม่สามารถให้บริการได้!

ธุรกิจโรงพยาบาลไม่มีระบบ Backup?
ไม่มี Firewall?

🧑‍💻โพสนี้แอดจะมาเล่าเกี่ยวกับการป้องกัน Ransomware
โดยโฟกัสในหัวข้อดังนี้คือ
1. ผู้ใช้งานอีเมลทั่วๆไป
2. ผู้ใช้งาน G Suite ระบบเมลในองค์กร

ก่อนที่เราจะไปหาแนวทางป้องกัน Ransomware ก่อนอื่นต้องมาทำความรู้จักกับช่องทางการมาของ Ransomware กันก่อน แบบแตก sequence ให้เห็นขั้นตอน step-by-step คร้าบบ

source: SUSE MAN ซูเซ่แมน

Ransomware คืออะไร?

Ransomware หรือมัลแวร์เรียกค่าไถ่
ซึ่งเป็นมัลแวร์ที่ทำการเข้ารหัสไฟล์บนเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อ จากนั้นระบบจะส่งจดหมายเรียกค่าไถ่ หรือแจ้งเตือนที่หน้าจอคอมพิวเตอร์ ระบุให้เหยื่อทำการจ่ายเงินเพื่อแลกกับกุญแจในการถอดรหัส หรือเครื่องมือในการถอดรหัสไฟล์ครับ

sequence ด้านล่างนี้สำหรับผู้ใช้อีเมลทั่วไป
(ร่วมถึงผู้ใช้บริการ G Suite ระบบเมลธุรกิจโดย Google)

Ransomware มาช่องทางไหน?

source: Spanning

🔥Step 1: เมื่อพนักงานในองค์กร (ผู้ใช้) ได้รับอีเมลและเปิดไฟล์แนบหรือคลิ๊กลิงค์ฟิชชิ่ง หรือเชื่อมต่อ USB ที่ติดไวรัสเข้ากับคอมพิวเตอร์

🔥Step 2: จากนั้นไวรัส(หรือมัลแวร์) Ransomware จะแพร่กระจายติดตั้งลงยังคอมพิวเตอร์โดยอัตโนมัติ

A: ในขั้นตอนนี้ความเสี่ยงสูงสุดคือ ผู้ใช้ระบบปฏิบัติการ windows ครับหากเป็นระบบ Linux ไฟล์แนบจากอีเมลที่ Save ลงมาจะไม่สามารถ execute run ได้ครับ

B: ถ้าคอมพิวเตอร์เครื่องนี้เชื่อมต่อระบบ intranet (เครือข่ายภายในองค์กร) มีโอกาสที่ Ransomware จะแพร่กระจายติดตั้งลงไปยังคอมพิวเตอร์อื่น ๆ ภายในเครือข่ายของคุณ

เคสนี้อาจเป็นการส่งอีเมล phishing หรือ attachment ถูกส่งต่อไปยังผู้ใช้อื่น ๆ ในองค์กร

🔥Step 3: ไฟล์ทั้งหมดในคอมพิวเตอร์ของคุณจะถูกทำการเข้ารหัสไฟล์พิเศษโดยมัลแวร์ ransomware รวมถึง map ไดร์ฟ File Sharing (SMB), และไดร์ฟ Google Drive (เครื่องลงโปรแกรม Drive File Stream เพื่อสตรีมไฟล์ในไดรฟ์จากระบบคลาวด์ไปยังคอมพิวเตอร์ของคุณ)
.
ในขั้นตอนนี้ก็มีความแตกต่างของแต่ละองค์กรครับบางหน่วยงานก็ใช้ File server ที่เป็น Linux หรือ Windows File server ไม่ว่าจะ Linux หรือ Windows ทางผ่านการ map drive มาล้วนแต่เสี่ยงโดนเข้ารหัสยึดเครื่องได้ทั้งนั้น

🔥Step 4: หากองค์กรใช้ G Suite (Google Drive) ขั้นตอนนี้คือกระบวนการ sync ที่รันใน background เพื่ออัพโหลดไฟล์เอกสารขึ้นไปยังคลาว์ด Google Drive

งั้นก็เท่ากับว่าหากไฟล์สำคัญถูกเข้ารหัส
และไฟล์สำคัญนั้นถูก sync ขึ้นไปทับไฟล์ปกติบนคลาว์ดทันที

แล้วมี point อะไรบ้าง? สำหรับการป้องกัน?

🔥Step 5: File encrypted version

ขั้นตอนนี้ไฟล์ทั้งหมดใน Google Drive จะถูกแทนที่ด้วยไฟล์เวอร์ชันที่ติดไวรัสไปเป็นที่เรียบร้อยแล้วครับ

สำหรับผู้ดูแลระบบ IT Director หรือ Google Administrator มี 2 ทางเลือกครับ

(1.) กู้คืนข้อมูลผ่าน 3rd-party backup

(อาจจะใช้เป็น Enterprise External backup เช่น QSAN
หรือ Cloud SaaS backup อย่าง Spanning Cloud Apps ครับ

(2.) และยอมควักเงินจ่ายเพื่อรับ decryption key

จากข้อมูลองค์กรขนาดเล็ก (SMB) 1ใน5 ที่โดน Ransomware ล้วนแต่ควักเงินจ่าย เพราะไม่มีระบบ backup ในองค์กร
.

คำแนะนำในการป้องกัน

☑️(0.) สร้างความตระหนักให้กับผู้ใช้ (IT/HR อบรมบุคลากร)

การใช้อีเมล, การเปิด link และไฟล์แนบต่าง ๆ

☑️(1.) ระบบ backup โดยเฉพาะ offline backup

แน่นอนครับ มันเป็นเรื่องยากที่เราจะปลดรหัสไฟล์
ได้โดยไม่ใช้กุญแจสำหรับปลดรหัสจากแฮ็คเกอร์
และวิธีที่ดีที่สุดก็คือ การสำรองข้อมูลจะ Automate หรือแบบ Manual ก็ตาม Budget เลยครับ

☑️(2.) ใช้ SaaS ระบบ backup บนคลาว์ด
ฟีเจอร์ควรเป็น version control และระบบสามารถ detect ตรวจสอบ Ransomware ได้ครับ
.
Detect -> Block -> Automatic Recovery
-> Manual Restore -> Security Alertsock
-> Automatic Recovery -> Manual Restore
-> Security Alerts
.
ระหว่าง process ของการ sync ไฟล์ขึ้นคลาว์ด ระบบ backup ที่ดีควรมี ML (machine learning) ที่จะ learn algorithms แบบ real-time หาก detect พบไฟล์ที่เป็นอันตราย (ransomware file encryption) ระบบต้องส่ง alert ไปยัง Administrator ได้ครับ

☑️3. Audit risk

ใช้บริการ 3rd-party จากภายนอกเข้ามาวิเคราะห์ความเสี่ยง
ด้าน cybersecurity ภายในองค์กร

☑️4. ระบบ Detect Ransomware
(มีระบบตรวจสอบการติด Ransomware หรือ verdor สนับสนุน)

☑️5. Restore files ทดสอบการกู้คืนข้อมูล

☑️6. ติดตั้ง Antivirus / Endpoint Security / Firewall NGFW
ไคลเอนต์/เซิร์ฟเวอร์
เช่น พวก Fortinet หรือ Palo Alto Networks เป็นต้น
.

หมายเหตุ: นี่ไม่ใช่แนวทางปฏิบัติที่ดีที่สุด (Base Practice)
ท่านใดมีคำแนะนำเพิ่มเติม หรือเป็นผู้เชี่ยวชาญด้านความปลอดภัยมีอุปกรณ์ดีๆ ที่คิดว่ามีประโยชน์ ช่วยแชร์คอมเม้นท์กันมาได้เลยนะครับ

🧑‍💻note: ไม่ใช่ทุกสายพันธุ์จะถอดรหัสได้ด้วย tool จาก verdor.

ทิ้งท้าย…ช่วงขายของสำหรับแฟนคลับตัวยง) 🥰

อีกหนึ่งช่องทางการสนับสนุนเพจ “SUSE MAN : ซูเซ่แมน”
ทุกท่านที่ติดตามอ่านบทความมาโดยตลอด สามารถร่วมสนับสนุนเพจของเราได้โดย สนับสนุนสั่งซื้อเลยเสื้อ SUSEMAN Shirt คลาสสิกสไตล์ (Signature Limited Edition 2020) ไปสวมใส่คลูๆกันได้เลยคร้าบ

🛒 กดสั่งซื้อเลย

#รักษาความมั่นคงปลอดภัยข้อมูล #Ransomware #ซูเซ่แมน

Scroll to top
X