Skip to content

สัญญาณอันตรายที่บ่งบอกว่าเครื่องคุณกำลังถูกแฮกเกอร์เล่นงาน

ณ ปัจจุบันนี้องค์กรและสำนักงานต่างๆล้วนแต่เพิ่มมาตรการป้องกัน และระวังการโจมตีของแฮกเกอร์ซึ่งมีความเข้มข้มขึ้นกว่าเมื่อก่อนมาก สิ่งหนึ่งที่ทุกคนจะรู้สึกได้เมื่อเครื่องมีการติดไวรัสคือการเข้ารหัสไฟล์บนหน้า Desktop และในโฟลเดอร์ต่างๆภายในเครื่อง บ่งบอกว่าเครื่องคุณมีความผิดปกติบางอย่างซึ่งเห้นได้ชัดเมื่อคุณเปิดไฟล์ดังกล่าวไม่ได้ และไวรัสบางรูปแบบก็ไม่ได้แสดงให้เห็นถึงความผิดปกติของไฟล์อย่างไวรัสเข้ารัส ไว้รัสประเภทที่ซ่อนหรือแอบแฝงอยู่ในเครื่องและทำงานตลอดเวลาที่คุณเปิดเครื่องมักจะแอบใช้ทรัพยากรของเครื่องแบบเงียบๆ อย่างที่เราเคยได้ยินกันคือไวรัสขุด Bitcoin!

คุณจะรู้ได้อย่างไรว่าเครื่องคุณมีแนวโน้มติดไวรัสเข้าแล้ว.. ในที่นี้ขอยกตัวอย่างเช่นการขโมย Performance CPU เพื่อไปใช้งาน แบบนี้ค่อนข้างตรวจสอบง่ายเนื่องจากผู้ใช้จะรู้สึกได้ว่าเครื่องที่เราได้อยู่มีการเปิด/ปิด โปรแกรมหรือสั่งการทำงานอื่นๆที่ช้าลงอย่างเห็นได้ชัด เพราะการทำงานของโปรแกรมส่วนใหญ่จำเป็นต้องใช้ CPU เพื่อประมวลผล เมื่อสคริปต์ดังกล่าวถูกติดตั้งลงในเครื่อง เครื่องจะทำการโปรเสจหนึ่งตามที่สคริปต์ได้ระบุไว้ เช่น การขุด Bitcoin เพื่อนำผลที่ได้ส่งไปยัง Website ที่ผู้ร้ายต้องการเป็นการหาเงินเพื่อเข้ากระเป๋าอิเล็กทรอนิกส์ของตัวเอง , การทำ DDOS Attack เพื่อโจมตีเป้าหมาย เช่นเว็บไซต์ต่างๆตามที่ได้รับคำสั่งมาเพื่อหยุดการให้บริการของเว็บไซต์นั้นๆ โดยอาศัยเครื่องเราเป็นเครื่องมือ และแน่นอนการฝังสคริปต์ประเภทนี้จะมีการใช้ CPU และ Traffic ที่สูงกว่าปกติ ผู้ดูแลระบบอาจจะตรวจสอบได้ก่อนผู้ใช้เครื่อง หากมิโปรแกรมมอนิเตอร์ที่เก็บขอมูลและแสดงผลในระบบ จะสามารถบอกได้ว่าเครื่องนี้มีการส่งข้อมูลออกไปปริมาณเยอะมากตลอดเวลา ผู้ดูแลสามารถหยุดการทำงานไม่ให้ส่งข้อมูลออกไปเพื่อเป็นการลดปริมาณข้อมูลในระบบก่อน และจะนำเครื่องที่อยู่ในลิสต์มาวิเคราะห์หาสาเหตุต่อไป

 

 การป้องกันเป็นส่วนที่สำคัญ.. การป้องกันที่มีประสิทธิภาพคือการป้องกันและกำจัดโปรแกรมที่ไม่พึงประสงค์(PUPs)ออก และทำการบล็อคที่เกตเวย์แต่ก็ไม่ควรยึดติดกับคำนี้เพราะว่าการป้องกันทีเกตเวย์เพียงอย่างเดียวไม่เพียงพอแล้วสำหรับปัจจุบัน ซึ่งการป้องกันที่ดีนั้นจำเป็นต้องมีการเก็บ Log เพื่อบันทึกการทำงานของเครื่องทั้งหมดภายในระบบเมื่อมีการรับ/ส่ง ข้อมูลภายในเครือข่ายรวมถึงการยืนยันตัวตนก่อนเข้าใช้งานในระบบ ซึ่งตัวอย่างเช่นการใช้ Firewall WatchGuard ใยการบันทึกข้อมูลการรับ/ส่ง ข้อมูลต่างๆไปยังเครือข่ายอื่น นโยบายนี้มีประโยชน์มากเพราะหากเราสามารถระบุกรอบเวลาการใช้งานที่ชัดเจนเช่นสามารถให้รับ/ส่งข้อมูลไปยังเครือข่ายอื่นในช่วงเวลา 18:00-20:00 เท่านั้น หากมามีผู้ใช้คนใดพยายามที่จะส่งข้อมูลไปยังเครือข่ายอื่นก่อนหรือหลังช่วงเวลาดังกล่าวผู้ดูแลระบบจะสามารถตรวจสอบข้อมูลได้ทันทีที่มีการ alert เนื่องจากผู้ใช้จำเป็นต้องยืนยันตัวตนเพื่อที่จะใช้งานดังกล่าวทำให้แอดมินสามารถตรวจสอบรายชื่อจาก logging ได้ และยังสามารถระบุ IP ต้นทางที่ใช้ในการเชื่อมต่อป้องกันการบุกรุกจากเครือข่ายอื่นที่ไม่ได้รับอนุญาต

   สำหรับข้อมูลข้างต้นเป็นเพียงแนวทางในการนำไปใช้งานเท่านั้น เช่นเดียวกับวิธีอื่นๆซึ่งไม่มีวิธีไหนที่ตายตัวสามารถนำไปใช้กับทุกระบบได้ เราจำเป็นต้องปรับให้เข้ากับวิธีการทำงานขององค์กร และสื่งที่สำคัญอีกสิ่งหนึ่งคือการตั้งรหัสผ่าน หากไม่มีการตั้งรหัสผ่านอาจจะตกเป็นเป้าในการโจมตีได้ เราแนะนำให้มีการตั้งรหัสผ่านก่อนเข้าใชงานและต้องเป้นรหัสผ่านที่คาดเดายาก จะช่วยเพิ่มประสิทธิภาพในการป้องกันการโดนโจมตีเมื่อมีเครื่องติดไวรัสในระบบ

สนใจผลิตภัณฑ์เรามีพันธมิตรพร้อมให้คำปรึกษา ติดต่อแผนก Marketing

  02-2479898 ต่อ 87