Last Line of Defense Series I : เทรนด์ของ Ransomware ในปี 2023 และการรับมือตาม NIST Framework

21 มิถุนายน 2023

June 20, 2023 Backup and DR, Featured Posts, IT Knowledge, IT Trends and Updates, Products, Server and Storage, Veeam

องค์กรจำนวนมากยังคงประสบภัยจาก Ransomware อย่างต่อเนื่อง สังเกตได้จากรายงานแนวโน้มภัยด้านความมั่นคงปลอดภัยทางไซเบอร์ ซึ่งชี้ตรงกันว่า Ransomware ได้สร้างความเสียหายในแก่บริษัทองค์กรมากมาย แล้วเราจะทำอะไรได้บ้างจากสถานการณ์ที่ยังกดดันให้องค์กรตกเป็นฝ่ายตั้งรับเช่นนี้ ขอต้อนรับทุกท่านเข้าสู่บทความ “Last Line of Defense Series” ในหัวข้อของ Ransomware ตอนที่ 1 ซึ่งเราจะพูดถึงรายงานในปี 2023 ที่ทีมงานของ Veeam ได้เข้าไปสำรวจเหยื่อกว่า 1,200 ราย พร้อมกับแนวทางการป้องกันของหน่วยงานระดับโลกจาก NIST

สถานการณ์ความรุนแรงของ Ransomware ในปี 2022 – 2023

แม้ปี 2023 ผ่านไปแค่ครึ่งเดียวแต่ก็พอจัดเก็บสถิติได้ว่าปี 2023 85% จากผู้เข้าร่วมตอบแบบสอบถามราว 1,200 คน ที่กระจายกันในภูมิภาคต่างๆทั่วโลกเช่น ยุโรป เอเชีย แอฟริกา ตะวันออกกลาง อเมริกา ต่างก็ถูกโจมตีทางไซเบอร์อย่างน้อย 1 ครั้งในรอบ 1 ปีที่ผ่านมา ซึ่ง Veeam ได้จัดทำรายงานฉบับนี้ขึ้นเพื่อหวังว่าทุกคนจะได้รับรู้ถึงความเสี่ยงและความรุนแรงที่ทั่วโลกต่างได้รับจาก Ransomware โดยรายงานยังพูดถึงสถิติอีกมากมายดังนี้

60% ต้องการยกเครื่องทีมงานทางไซเบอร์และระบบ Backup ใหม่ในจำนวนนั้น 17% หวังว่าจะเปลี่ยนแปลงอย่างสิ้นเชิงและ 43% หวังถึงการเปลี่ยนแปลงครั้งใหญ่ โดยภายในความคาดหวังเหล่านั้นพวกเขา 70% พุ่งเป้าไปที่การเพิ่มศักยภาพในหน้าที่ Backup Administrator ผู้ปฏิบัติงานไอที (62%) ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย (59%) และรั้งทายด้วย CISO 51%
องค์กรกว่า 87% มีการจัดทำ Risk Management เพื่อสร้างกลยุทธ์และวางแผนงานด้านความมั่นคงปลอดภัย แต่มีเพียง 35% เท่านั้นที่เชื่อว่าสิ่งเหล่านั้นจะใช้ได้จริง โดย 52% ยังมองการการพัฒนาศักยภาพขึ้นไปอีก ในขณะที่ 13% ไม่มีแม้แต่โปรแกรมใดๆ
ผู้คนราว 37% เห็นตรงกันว่าแนวทางการตอบสนอง incident ที่ดีที่สุดคือต้องมั่นใจว่าไฟล์ Backup ต้องสะอาดและ 36% ยังแนะให้ทำการตรวจสอบไฟล์ Backup อย่างสม่ำเสมอ
ในปี 2022 การจ่ายค่าไถ่เป็นทางเลือกหนึ่งของเหยื่อกว่า 96% แต่ในปีนี้สัดส่วนนี้ลดลงเพราะอยู่นอกเหนือจาก Policy โดยมีเพียง 49% เท่านั้นที่มีประกันที่ระบุถึงเรื่องทางไซเบอร์ จึงตีความได้ว่าการเยียวยาค่อนข้างจำกัดมากขึ้นเรื่อยๆ
80% เลือกที่จะยอมจ่ายค่าไถ่แม้ว่าราว 21% ก็ไม่สามารถกู้คืนข้อมูลได้อยู่ดี อีกทั้งความแข็งขันที่เคยตั้งเป้าว่าจะไม่จ่ายค่าไถ่ยังมีท่าทีอ่อนลงอีกด้วย จากปีก่อนที่มี 19% ยืนยันขันแข็งแต่ล่าสุดลงลงเหลือ 16% แล้ว
สาเหตุที่เหยื่อยอมจ่ายค่าไถ่มี 2 ส่วนหลักคือ ประกันจ่ายให้กับ ไม่มีทางเลือกนักเพราะ Backup ก็โดนเล่นงานไปด้วยทำให้ไม่สามารถนำมากู้คืนข้อมูลได้
จากค่าเฉลี่ยของการโจมตีพบว่าการโจมตีทางไซเบอร์กระทบกับข้อมูลที่องค์กรใช้งานจริงกว่า 45% ซึ่งในส่วนนั้นมีเพียง 66% ที่กู้มาได้สำเร็จ หรือประมาณการว่าองค์กรราว 15% สูญเสียข้อมูลไปตลอดกาล
เหยื่อกว่า 75% ถูกโจมตีส่วนที่จัดเก็บ Backup และมี 39% ที่ได้รับผลกระทบจนไม่สามารถใช้การได้
ค่าเฉลี่ยเวลาที่องค์กรใช้เพื่อกู้คืนข้อมูลจนกลับมาได้สำเร็จอยู่ที่ประมาณ 3 สัปดาห์ สาเหตุเพราะต้องมีการตรวจสอบด้วยข้อมูลบนระบบ Backup นั้นปลอดภัยจริงหรือไม่ ส่วนใหญ่ปนเปื้อนเซิร์ฟเวอร์ไหนยังปลอดภัยเชื่อถือได้
ในปี 2023 แนวโน้มของการป้องกันข้อมูลด้วย Immutable Cloud อยู่ที่ 82% และ Immutable Disk 64% อย่างไรก็ดีเทปยังคงอยู่ในแผนการที่มีนัยสำคัญอยู่

จากข้อสรุปนี้พอจะชี้ได้ว่า Ransomware ยังคงดำเนินปฏิบัติการอย่างต่อเนื่อง หลายองค์กรก็มีกลยุทธ์ที่ใช้ได้จริง บ้างก็ยังไม่มีการวางแผน แต่แน่นอนว่าส่วนใหญ่ตระหนักถึง Backup ที่สะอาดปลอดภัย โดยการมี Immutable Backup เป็นเพียงการการันตีความมั่นใจส่วนหนึ่งเท่านั้น ซึ่งต้องตรวจสอบซ้ำ โดยมีองค์กรเพียง 44% เท่านั้นที่ทำ และแน่นนอนว่าคนร้าย Ransomware ย่อมพุ่งเป้ากวาดล้างไปถึงระบบ Backup เพื่อตัดช่องทางการกู้คืนและกดดันองค์กรให้ถึงที่สุด เนื่องจากกล่าวได้ว่าระบบ Backup คือปราการด่านสุดท้ายที่องค์กรต้องมีหรือ Last Line of Defense และต้องมั่นใจได้ว่าแนวรับนั้นแข็งแรงพอด้วยเช่นกัน

5 ขั้นตอนของ NIST Framework

National Institute of Standards and Technology (NIST) เป็นผู้คิดค้นมาตรฐานหรือระเบียบปฏิบัติต่างๆ ซึ่งในมุมของผู้ปฏิบัติงานด้านความมั่นคงปลอดภัยทางไซเบอร์ต่างรู้จักกันดี โดย NIST Cybersecurity Framework ได้มีพูดถึงกฏระเบียบ แนวทางปฏิบัติ ที่สามารถนำไปประยุกต์ใช้ได้กับธุรกิจองค์กรทุกขนาดทุกอุตสาหกรรม โดย Framework นี้ได้แบ่งขั้นตอนออกเป็น 5 ส่วนคือ

1.) Identify

ก่อนที่องค์กรจะเริ่มคิดหาวิธีการป้องกันไม่ว่าด้วยจุดประสงค์ใดหรือวิธีการใด จุดเริ่มต้นก็คือการรู้จักตัวเองว่า องค์กรของคุณมีสภาพแวดล้อมการทำงานอย่างไร มีโปรเซส หรือสินทรัพย์ใดที่เกี่ยวของ ต่อมาจึงเริ่มเชื่อมโยงว่าภัยคุกคามอะไรที่อาจส่งผลกระทบและเกี่ยวข้องกับเป้าหมายทางธุรกิจอย่างไร สิ่งเหล่านี้คือการมองเห็นภาพรวมว่ามีอะไรที่เกี่ยวข้อง โดยในมุมมองของผู้คนเองก็ต้องได้รับการอมรบที่เกี่ยวข้องกับหน้าที่นั้นๆ ให้รู้จักสังเกตถึงภัยคุกคามและแจ้งเตือนต่อผู้รับผิดชอบได้ เช่นกันตัวองค์กรเองก็ต้องมีความสามารถในการติดตามสินทรัพย์หรือข้อมูลของคุณด้วยเช่นกัน เพื่อจะได้จัดลำดับความสำคัญต่อการวางกลยุทธ์หรือมาตรการป้องกัน รวมถึงแผนต่อสนองด้วย

2.) Protect

เมื่อทราบแล้วว่าในองค์กรมีองค์ประกอบใดเกี่ยวข้องบ้าง มีความสำคัญมากน้อยเพียงใด ก็ถึงเวลาที่จะวางมาตรการล้อมรอบการให้บริการ ซึ่งนอกจากเป็นการป้องกันยังลดผลกระทบหากเกิดเหตุได้ ทั้งนี้องค์กรก็ต้องทราบถึงการโจมตีจากภัยคุกคามหรือคนร้ายที่มีโอกาสเข้ามา ในมาตรการป้องกันนี้ประกอบไปด้วยหลายขั้นตอนเช่น

ให้ความรู้กับบุคคลากรเพื่อให้สามารถป้องกันตนเองได้ และต้องทำซ้ำอย่างสม่ำเสมอเพื่ออัปเดตความรู้ให้ทันสมัย
การออกแบบระบบความมั่นคงปลอดภัยในตั้งแต่เริ่มแรกของโปรเจ็ค ซึ่งการเพิ่มภายในมักมีค่าใช้จ่ายสูงกว่าการเผื่อโอกาสไว้ตั้งแต่วันแรก ตลอดจนมาตรการต้องเน้นความง่ายไม่ซับซ้อนมากเพราะยากต่อการดูแล
แผนกลยุทธ์การสำรองข้อมูลแบบ 3-2-1 ก็เป็นมาตรการทางการป้องกันระบบ Backup ที่ดี รวมถึงมีการ Backup อย่างสม่ำเสมอลดความสูญเสียจากระดับหายนะกลายเป็นการรบกวนต่อการให้บริการในช่วงเวลาหนึ่ง
ให้สิทธิ์น้อยที่สุดที่จำเป็น (Least Privilege) คือใครมีหน้าที่ใดก็ได้รับเพียงสิทธิ์นั้น ซึ่งช่วยทั้งข้อผิดพลาดจากมนุษย์หรืออันตรายจากการโจมตีได้
แบ่งหน้าที่ให้เป็นสัดส่วน (Segregation Duties) ไม่มอบหน้าที่ให้คนใดคนหนึ่งมากเกินไป เช่น ผู้ทำ Primary Backup และ Secondary อาจเป็นคนละบุคคลกัน
แบ่งระบบออกเป็นโซน (Segmentation) ซึ่งช่วยลดความเสี่ยงได้อย่างมีประสิทธิภาพ ทั้งเรื่องการจัดทำ Policy ที่อาจมีร่วมกันหรือส่วนที่เข้มงวดเป็ฯกรณีพิเศษ รวมถึงช่วยในบริหารจัดการระบบที่มีกฏหมายบังคับเช่น จัดกลุ่มให้อยู่โซนเดียวกันเพื่อให้ง่ายต่อการตรวจสอบ
ปฏิบัติตามข้อบังคับเพื่อซักฟอกให้มีพฤติกรรมทางดิจิทัลที่ดี เช่น ไม่ใช้รหัสผ่านซ้ำในหลายบริการ พึ่งพา Password Manager ช่วยจัดการเพราะรหัสผ่านมีมากมายซึ่งยังการใช้เครื่องมือจะช่วยให้มีรหัสผ่านที่แข็งแรง หรือการทำ Logout Policy และ MFA ก็เป็นแนวทางปฏิบัติที่จำเป็น
การเข้ารหัสก็คือถือสิ่งที่สมควรทำหากมาตรการป้องกันอื่นล้มเหลว โดยสามารถป้องกันไม่ให้ผู้อื่นอ่านข้อมูลได้ซึ่งท่านสามารถเลือกระดับได้ตามความเหมาะสม

3.) Detect

มีระบบมากมายที่สามารถตรวจจับถึงความน่าสงสัยของกิจกรรมต่างๆ แต่ไม่ว่าจะตรวจจับได้หรือไม่ ประเด็นสำคัญคือความรวดเร็วที่จะช่วยลดโอกาสความเสียหายที่เกิดขึ้น ในมุมของ Ransomware ก็คือการที่องค์กรสามารถมองเห็น Visibility ไม่ให้การติดเชื้อลุกลามไปยังระบบต่างๆต่อไป นอกจากนี้องค์กรยังอาจวางกับดักเสมือนการขึงลวดส่งสัญญาน เช่น ใช้บัญชีแอดมินปลอมทิ้งไว้และคอยมอนิเตอร์กิจกรรมที่เกิดขึ้น

4.) Respond

ในทุกความฉุกเฉินการสื่อสารถือเป็นเรื่องสำคัญมาก หากเกิดเหตุขึ้นแล้วแต่คุณไม่ทราบว่าควรปฏิบัติตนอย่างไร ใครเกี่ยวข้องบ้างและจะติดต่อพวกเขาอย่างไร เชื่อแน่ว่าความโกลาหลย่อมเกิดขึ้น ดังนั้นการจัดทำแผนการตอบสนองเหตุการณ์ฉุกเฉินจึงเป็นเรื่องที่องค์กรต้องมี อีกทั้งภายในต้องมีการแนะนำวิธีปฏิบัติ ผู้รับผิดชอบ ให้เอาตัวรอดไปให้ได้จนกระทั่งระบบฟื้นคืนกลับมา กล่าวคือเป็นการทำให้ทุกคนรู้หน้าที่ของตน สื่อสารและทำงานได้อย่างมีลำดับ โดยแผนเหล่านี้ยังต้องได้รับการซักซ้อมและอัปเดตข้อมูลให้สอดคล้องกับบริบทขององค์กรด้วย

5.) Recover

ท้ายที่สุดแล้วของทุกสถานการณ์ที่ส่งผลกระทบต่อการให้บริการย่อมกลับมาสู่การตั้งคำถามว่า ‘จะกู้คืนฟื้นฟูระบบกลับมาสู่ภาวะปกติได้อย่างไร’ โดยเรื่องเหล่านี้ต้องมีการออกแบบไว้ก่อนเช่น ระบบใดควรถูกกู้คืนขึ้นแรกสุดและถัดไป ในส่วนของ Backup ก็ต้องมั่นใจได้ว่าปลอดภัย อย่างไรก็ดีการออกแบบเหล่านี้ต้องเกิดขึ้นมาโดยคำนึงถึงความคาดหวังของธุรกิจก่อนว่ามี SLA เท่าใด หรือ RTO/RPO ได้แค่ไหน เป็นต้น

ปิดจุดอ่อนกลบช่องว่าง Ransomware ด้วย Veeam

จากข้อมูลข้างต้นทุกท่านคงพอทราบกันดีแล้วว่าการกู้คืนให้ระบบกลับมาทำงานได้ตามปกติเป็นเป้าหมายสูงสุดของธุรกิจ ซึ่งคำตอบชี้ไปที่เรื่องเดียวก็คือการทำ Backup ที่เกิดขึ้นเพื่อวัตถุประสงค์นี้เท่านั้น โดย Veeam Backup & Replication คือเครื่องมือที่ตอบโจทย์ของการทำ Backup & Recovery ได้อย่างสมบูรณ์ ที่นำเสนอทางเลือกให้กับท่านได้อย่างยืดหยุ่น เช่น การกู้คืนไปยังปลายทางที่ท่านต้องการอื่นเพราะเป้าหมายเดิมอาจไม่ปลอดภัย การทำ Image Restore และการใช้งาน NAS ที่เก็บไฟล์จำนวนมากที่เป็นเป้าหมายใหญ่ของ Ransomware ทั้งนี้ผู้ใช้งานยังสามารถเลือก Restore ข้อมูลในระดับไฟล์หรือโฟลเดอร์ หรือช่วงของเวลาที่ต้องการได้อีกด้วย

ในมุมของการวางแผนเพื่อตอบสนอง (Respond) Veeam Recovery Orchestrator จะช่วยให้ท่านสามารถสร้างแผนรับมือกับการโจมตีของ Ransomware ได้ตาม SLA ที่คาดหวัง โดยมีแผน 5 รูปแบบจาก Replicas, Backup, Storage Snapshot, Cloud และ Continuous Data Protection (CDP) ทั้งนี้แผนที่ถูกสร้างอย่างอัตโนมัติจะมาพร้อมกับ Log ที่แสดงถึงการเปลี่ยนแปลงที่เกิดขึ้น นั่นหมายถึงการช่วยลดโอกาสเกิดคอนฟิคที่ไม่เท่ากันและความผิดพลาดจากคนอีกด้วย

เครื่องมือ Veeam ONE จะช่วยให้องค์กรสามารถรับรู้ถึงความผิดปกติบางอย่างได้ (Detect) เช่น การแจ้งเตือนเมื่อพบอัตตราการใช้งาน CPU หรือ I/O ของดิสก์ หรือการส่งข้อมูลเครือข่ายที่สูงผิดปกติ โดยผู้ใช้งานสามารถปรับแต่งเกณฑ์ที่ต้องการวางเงื่อนไขเพื่อแจ้งเตือนถึงความผิดปกติที่สนใจ นอกจากนี้ใน Veeam Backup & Replication v10 ขึ้นไปยังมี Data Integration API ที่ทำให้ไฟล์ Backup เข้าถึงได้ในรูปแบบของ Mounted Folder ต่อยอดสู่การสแกนข้อมูล Backup เพื่อค้นหาภัยคุกคามต่อไปด้วยโซลูชันด้านสแกนมัลแวร์

การ Tagging ข้อมูลของท่านเช่น VM นี้มีจุดประสงค์อะไร มีความสำคัญอย่างไร ถือเป็นการปฏิบัติที่ดีต่อการแก้ปัญหาในภายภาคหน้าเช่น ช่วยตัดสินว่าจะรวมเข้าไปในแผน DR หรือไม่ ซึ่งไม่ใช่ว่าทุกเครื่องจำเป็นต้องถูกกู้คืน หรืออาจมีการสำรองข้อมูลที่เข้มข้นไม่เท่ากันภายใต้ Veeam Backup & Replication หรือในมุมของ Veeam ONE จะช่วยแสดงภาพรวมได้ว่าเครื่องใดได้รับการปกป้องแล้ว โดยข้อมูล Tagging เหล่านี้ Veeam ONE สามารถทราบได้เพราะมีการซิงค์โครไนซ์ข้อมูลกับ vSphere และ Hyper-V เมื่อทราบภาพรวมได้แล้วจึงสร้างมาตรการป้องกันได้ต่อไป (Identify)

การป้องกัน (Protect) ระบบ Backup ของ Veeam มีหลายฟังก์ชันไม่ว่าจะเป็นเรื่องของ immutable บน S3 Storage หรือคลาวด์ผ่าน Veeam Scale-out Backup Repository (SOBR) การบันทึกข้อมูลลงเทป หรือความสามารถที่ทำให้ Service Provider กลายสร้างบริการ DRaaS ด้วย Veeam Cloud Connect ตลอดจนการสร้าง Immutable Backup ใน Repository ที่ได้รับการป้องกันอย่างดี (Linux Hardened) และการบันทึกข้อมูลลงในมีเดียแยกออกไปได้ (Air-gapped) นอกจากนี้ยังสามารถทดสอบการกู้คืนข้อมูลเพื่อการันตีความสำเร็จของแผนได้ด้วย SureBackup และ SecureRestore ที่ตรวจสอบ Ransomware ไม่เพียงเท่านั้นยังสามารถปิดกั้นการเข้าถึงข้อมูลได้ด้วยการทำ Data Encryption

บทส่งท้าย

Ransomware ยังคงเป็นภัยคุกคามสำคัญ ซึ่งไม่ว่าท่านจะมีโซลูชันป้องกันมากมายสักเพียงใด แต่ในโลกของ Security ไม่มีสิ่งใด 100% ดังนั้นประเด็นสำคัญคือเมื่อถูกโจมตีแล้วท่านจะปฏิบัติตัวอย่างไรเพื่อรับมือกับเหตุการณ์ และท้ายที่สุดจะกลับสู่ความเป็นปกติได้อย่างไร ซึ่งแนวรับสุดท้าย (Last Line of Defense) ก็คือระบบ Backup นั่นเอง โดย Veeam ได้นำเสนอเครื่องมือที่จะช่วยให้ท่านเอาตัวรอดได้จากช่วงเวลาวิกฤตที่เกิดขึ้นที่สอดคล้องกับหลักการปฏิบัติสากลจาก NIST

สนใจติดต่อทีมงานของ Veeam ได้ที่ sales.thailand@veeam.com

Post Views: 124

opas.m@cmu.ac.th

Related Posts

Firefox แพ็ตช์ช่องโหว่ร้ายแรงมาก ออกมาในเวอร์ชั่น “118”

Microsoft เปิดให้อัปเดต Windows 11 23H2 ผ่านทาง Release Preview Channel แล้ว

Google Chrome ออกแพตช์ Zero-day ใหม่ นับเป็นตัวที่ 5 ของปีนี้