Last Line of Defense Series II : รับมือกับ Ransomware ตามหลัก Best Practice Backup และรู้จักกับแผน 3-2-1-1-0

Ransomware เป็นเครื่องมือปิดเกมของคนร้าย ซึ่งแน่นอนว่าก่อนหน้านั้นคนร้ายอาจมีการฝังตัวหรือแอบซ่อนอยู่มานาน อย่างไรก็ดีเพื่อกดดันองค์กรให้อยู่ในภาวะวิกฤติขั้นสุด สิ่งสำคัญก็คือการเข้าทำลายหรือจัดการชุดข้อมูลสำรองไม่ให้เหลือทางรอดอีกต่อไป ขอต้อนรับทุกท่านเข้าสู่บทความ “Last Line of Defense Series” ในหัวข้อของ Ransomware ตอนที่ 2 แนวทางรับมือกับ Ransomware ตามหลัก Best Practice Backup และแผน 3-2-1-1-0


เส้นทางของ Ransomware

ข้อมูลคือสิ่งที่มีมูลค่าในปัจจุบัน กล่าวได้ว่าคงไม่มีองค์กรใดเพิกเฉยต่อความสำคัญของข้อมูลอีกต่อไป แต่ความท้าทายคือโครงข่ายอินเทอร์เน็ตและ Digital Transformation กำลังกระตุ้นให้ข้อมูลเพิ่มขึ้นอย่างมหาศาลและซับซ้อนต่อการจัดการขึ้นทุกที  เช่นเดียวกับเงินดิจิทัลที่ติดตามได้ยากที่ทำให้โลกการเงินไม่เหมือนเดิม ด้วยปัจจัยเหล่านี้เองจึงเป็นแรงกระตุ้นให้ Ransomware ทวีความรุนแรงขึ้นทุกที เพียงแค่คนร้ายทำให้องค์กรเกิดร้อนใจจากข้อมูลที่ถูกปิดกั้นหรือข่มขู่ว่าจะเปิดเผยข้อมูลที่ขโมยมาได้

อันที่จริงแล้ว Ransomware เป็นเพียงแค่เครื่องมือจบงานของคนร้ายเท่านั้น แต่ในช่วงต้นเกมคนร้ายเองจำเป็นต้องหาช่องทางใดช่องทางหนึ่งเพื่อเข้าถึงระบบของเหยื่อให้ได้เสียก่อน เช่น Social Engineering, Phishing การใช้ช่องโหว่ หรือง่ายที่สุดเพียงแค่ซื้อ Credentials จากเว็บใต้ดินต่างๆ เป็นต้น หลังจากที่คนร้ายเข้ามาได้แล้วมักฝังตัวไม่ให้ถูกตรวจจับได้ เพื่อศึกษาข้อมูล รอคอยโอกาส ซึ่งกระบวนการนี้อาจกินระยะเวลาหลายสัปดาห์ เดือน หรือบางกรณีนานเกินหนึ่งปี สุดท้ายแล้วในค่ำคืนอันแสนสงบขณะที่ทีมงานไอทีและพนักงานกำลังดื่มด่ำช่วงสุดสัปดาห์ ขั้นตอนการปิดเกมอย่างเฉียบพลันก็เริ่มต้นขึ้นตั้งแต่ระบบ Backup และ Antivirus พร้อมกระโจนปิดเกมอย่างเฉียบขาดด้วย Ransomware ถึงแม้ไฟล์ของคุณไม่ได้หายไปเพียงแค่เข้าถึงไม่ได้เพราะถูกเข้ารหัส แต่กล่าวได้ว่าความเสียหายที่แท้จริงเริ่มต้นขึ้นแล้ว

โดยผู้เชี่ยวชาญจึงแนะนำวิธีการป้องกัน Ransomware เบื้องต้นไว้ดังนี้

ให้ความรู้แก่บุคคลากรเกี่ยวกับภัยทางไซเบอร์ถึงการสังเกตและป้องกันตัว เพราะแม้ระบบป้องกันจะดีเพียงใด แต่หลายครั้งที่ความผิดพลาดของบุคคลคือสิ่งที่ชักจูงให้เกิดหายนะครั้งยิ่งใหญ่อย่างประเมินมูลค่ามิได้
ลงทุนในเทคโนโลยีตรวจจับต่างๆ หลายช่องทางตั้งแต่ Email, Endpoint, Network และอื่นๆ
อัปเดตแพตช์ของเซิร์ฟเวอร์หรือซอฟต์แวร์ใช้งานที่เกี่ยวข้องอย่างสม่ำเสมอ
บริการจัดการสิทธิ์การเข้าถึงอย่างรัดกุมเช่น มีการแบ่งหน้าที่ความรับผิดชอบ และให้สิทธิ์น้อยที่สุดเท่าที่จำเป็น ซึ่งในกรณีที่บัญชีถูกสวมรอยจะช่วยจำกัดความรุนแรงของปัญหาได้
มีระบบ Backup เพื่อรองรับกับเหตุการณ์ฉุกเฉินต่างๆ ซึ่งไม่จำกัดอยู่เพียงแค่ Ransomware หรือการโจมตีทางไซเบอร์ แต่ยังรวมถึงภัยพิบัติทางธรรมชาติหรืออื่นๆ กล่าวได้ว่าระบบ Backup เป็นฟางเส้นสุดท้ายในเชิงการป้องกันที่จะนำระบบกลับมาได้สู่ภาวะใกล้เคียงปกติที่สุด
แต่การมีระบบ Backup ไม่ได้การันตีว่าท่านจะปลอดภัย เพราะท่านยังต้องการวางกลยุทธ์เพิ่มเติมเพื่อให้แน่ใจว่าจะมีข้อมูลพร้อมสำหรับการกู้คืนเสมอ ข้อมูลนั้นจะต้องปลอดภัยหากกลับมาแล้วต้องไม่เกิดเหตุซ้ำ จึงต้องทดสอบก่อนว่าข้อมูลนั้นใช้งานได้จริง นำไปสู่แผนปฏิบัติที่จะกล่าวถึงถัดไป

จากแผน 3-2-1 สู่ 3-2-1-1-0 ในนิยามของ Veeam

หลายท่านอาจจะคุ้นเคยกับคอนเซปต์ 3-2-1 มาเนิ่นนาน แต่รู้หรือไม่ว่าคอนเซปต์นี้เกิดขึ้นมากว่า 20 ปีแล้วตั้งแต่สมัยที่ฮาร์ดดิสก์ยังเป็นจากหมุนในหน่วยวัดระดับ Gigabytes(GB) ปัจจุบันคอนเซปต์นี้ยังถูกอ้างถึงแม้หน่วยวัดความจุของฮาร์ดดิสก์ไปสู่ระดับ Terabytes(TB) ที่กำลังจะก้าวเข้าสู่ Petabytes(PB) มากกว่านั้นคอนเซปต์ 3-2-1 ไม่ได้ถูกคิดค้นจากคนไอที แต่ริเริ่มโดยช่างภาพชาวสหรัฐฯที่มีชื่อว่า Peter Krogh

3-2-1 ก็คือแนวทางปฏิบัติที่พูดถึงการสำเนาชุดข้อมูลซึ่งไม่ได้อ้างอิงขึ้นกับโซลูชันใด แต่หมายถึงคำแนะนำที่ให้องค์กรพยายามสำเนาข้อมูลให้ได้อย่างน้อย 3 ชุด (ซึ่งใครจะทำมากกว่านี้ก็ไม่ใช่ความผิด) ที่เป็นการลดโอกาสของการสูญเสียข้อมูลเป็นไปได้ยากขึ้น นอกจากนี้ข้อมูลควรถูกเก็บอยู่ในสื่อจัดเก็บที่ไม่เหมือนกัน 2 แห่งเป็นอย่างน้อย เช่น ข้อมูลชุดหนึ่งเก็บบนฮาร์ดดิสก์ของเซิร์ฟเวอร์ ส่วนอีกชุดจัดเก็บใน เทป ฮาร์ดดิสก์อื่นๆ คลาวด์ หรือ NAS เป็นต้น ส่วนสุดท้ายท่านควรแยกข้อมูลเก็บไว้ต่างสถานที่ (Off-site) เพื่อลดโอกาสการสูญเสียจากภัยพิบัติทางธรรมชาติ

อย่างไรก็ดีการโจมตีทางไซเบอร์อย่าง Ransomware ซึ่งร้ายแรงขึ้นกว่าในอดีต ทำให้ Veeam ที่มีลูกค้าอยู่ทั่วโลกจึงได้แนะนำให้โลกรู้จักกับการป้องกันที่สูงขึ้นต่อยอดมาจาก 3-2-1 สู่ 3-2-1-1-0 โดยคุณสมบัติ 1 ที่เพิ่มขึ้นหมายถึงสำเนาข้อมูลที่ถูกถอดออกจากระบบโดยสิ้นเชิงหรือถูกป้องกันให้ไม่สามารถเข้าถึงได้เช่น USB เทป หรือฮาร์ดดิสก์ที่ไม่ได้เชื่อมต่อกับอุปกรณ์ หรือโซลูชันที่ป้องกันไม่ให้สำเนาข้อมูลถูกเข้าถึงได้ แน่นอนว่าหากเราทำได้แบบนั้นคนร้ายย่อมไม่สามารถเข้าถึงข้อมูลในรูปแบบดิจิทัล คุณสมบัติ 0 สุดท้ายหมายถึงชุดสำเนาข้อมูลจะต้องถูกตรวจสอบว่าจะสามารถทำงานได้จริง ไม่มีข้อมูที่ผิดพลาด หรือมีการทดสอบกู้คืนโดยใช้ข้อมูลดังกล่าว


Best Practice Backup โดย Veeam

นอกจากการสร้างระบบ Backup ในคอนเซปต์โครงสร้างแล้ว ในภาพรวมของระบบยังมีปัจจัยในเชิงเทคนิคและกลยุทธ์ที่องค์กรต้องมีควบคู่กัน ซึ่ง Veeam ได้แนะนำ Best Practice ไว้ดังนี้

1.) แผนการทำ DR

องค์กรส่วนใหญ่มักมีแผนการสำหรับรับมือกับเหตุฉุกเฉินอยู่แล้ว แต่คำถามที่น่าสนใจคือองค์กรนั้นได้ตรวจสอบและอัปเดตแผนนั้นอย่างสม่ำเสมอหรือไม่ ซึ่งจากรายงานของ IDC ชี้ว่าส่วนใหญ่อัปเดตเพียงปีละครั้งเท่านั้น ที่อาจจะไม่ทันต่อการปรับเปลี่ยนขององค์กร ในมุมของ Veeam เองภายใต้ Veeam Backup & Replication v12 เป็นต้นไป ผู้ใช้งานสามารถสร้างแผน DR พร้อมการดูแล ควบรวมกับการทดสอบภายใต้เครื่องมือได้ทันที

2.) เข้ารหัสชุดข้อมูลสำรอง

ในกรณีที่มาตรการต่างๆถูกเอาชนะได้ด้วยวิธีการใดก็ตามจากคนร้าย ซึ่งเป็นไปได้เพราะไม่มีอะไร 100% ในโลกของ Security แต่ยังมีอีกมาตรการหนึ่งที่ท่านสามารถทำได้ผ่านโซลูชันจาก Veeam ให้เป็นไปตาม Best Practice ซึ่งนั่นก็คือการเข้ารหัสข้อมูลสำรองในรูปแบบของ Symmetric Key Encryption ที่แม้คนร้ายจะผ่านการป้องกันเข้ามาก็ไม่สามารถอ่านข้อมูลของท่านได้อยู่ดี และแน่นอนว่าคนร้ายแรนซัมแวร์มักจะมีการขโมยข้อมูลเพื่อเรียกค่าไถ่ด้วยเช่นกัน ดังนั้นหากข้อมูลเหล่านั้นได้รับการป้องกันภายใต้การเข้ารหัสก็จะช่วยป้องกันไม่ให้ข้อมูลถูกอ่านได้

3.) ความทนทานของข้อมูลขั้นสูงสุด

‘ultra-resilient’ เป็นมาตรการป้องกันขั้นสูงสุดที่ Veeam แนะนำ ซึ่งเกิดจากความสามารถของผลิตภัณฑ์ร่วมกับการบริหารจัดการ ระหว่างความสามารถ Immutable ที่ช่วยไม่ให้ไฟล์ Backup ถูกแก้ไขเปลี่ยนแปลง, Offline ตัดออกจากการเชื่อมต่อจากระบบดิจิทัล และ Air-gapped แยกมีเดียออกจากระบบในเชิงกายภาพ กล่าวได้ว่าเป็นการป้องกันเข้มข้นอย่างสูงสุด นอกเหนือจากนโยบายจำกัดการเข้าถึงตามหน้าที่ด้วยสิทธิ์เริ่มต้นที่น้อยที่สุด การบริหารจัดการรหัสผ่าน และ MFA ซึ่งความสามารถเหล่านี้พร้อมใช้งานภายใต้โซลูชันจาก Veeam

4.) ตรวจสอบข้อมูลสำรองอย่างสม่ำเสมอ

แม้ข้อมูลสำคัญของท่านจะอยู่ในแผนการสำรองข้อมูลที่ดูเหมือนว่าถูกต้อง แต่ก็ไม่ได้เป็นการการันตีเมื่อถึงยามจำเป็นจริงๆ ว่าข้อมูลเหล่านั้นจะถูกใช้เพื่อดำเนินงานต่อไปตามปกติ ด้วยเหตุนี้เอง Veeam SureBackup คือสิ่งที่จะเข้ามาช่วยตรวจสอบว่าข้อมูลเหล่านั้นมีคุณภาพดีสำหรับการกู้คืน 

บทส่งท้าย

ในบทความนี้ทุกท่านคงได้เรียนรู้แล้วว่า Ransomware คือเครื่องมือปิดเกมของคนร้ายเพื่อให้ได้มาซึ่งผลประโยชน์ทางการเงินหรือความเสียหาย แต่ก่อนหน้าที่จะเกิดเหตุ การโจมตีก็ยังหนีไม่พ้นเรื่องทั่วไป ที่ยืนยันได้จากสิ่งที่ผู้เชี่ยวชาญได้กล่าวไว้ในคู่มือองค์กรต่างๆ แต่ในมุมของการสำรองข้อมูลที่เป็นแนวรับสุดท้าย (Last Line of Defense) ท่านต้องมีการวางแผนมาล่วงหน้า ซึ่งต้องผสมผสานกันในการจัดการเชิงกลยุทธ์และความสามารถของฟีเจอร์ป้องกันเองด้วย โดยในส่วนแรกได้ถูกกล่าวถึงผ่านหลักการของ 3-2-1-1-0 และ Best Practice แต่ในส่วนของฟีเจอร์ ทุกอย่างถูกออกแบบไว้อย่างพร้อมแล้วภายใต้โซลูชันจาก Veeam รอเพียงแค่ท่านเปิดใช้งานเท่านั้น

สนใจติดต่อทีมงานของ Veeam ได้ที่ sales.thailand@veeam.com