FIREWALL ที่คุณเสนอ ป้องกัน RANSOMWARE ได้ป่ะ

 


คุณตอบคำถามนี้กับลูกค้าไปว่าอย่างไร ?

เป็นคำถามยอดฮิตอีกคำถามหนึ่ง ซึ่งคุณอาจจะเคยได้ยินคำโฆษณา Firewall ที่ผู้ขายเคลมว่า มี Antivirus ในตัว และมีสรรพคุณอีกต่าง ๆ นา ๆ ที่ช่วยป้องกัน Ransomware ได้

● ใคร ๆ ก็อยากซื้อนมผงที่กินแล้วลูกฉลาด

● ใคร ๆ ก็อยากกินยาเม็ดเดียวแล้วหายปวดหัว

ยังเคยมีลูกค้าถามผมว่า “มีมั้ย โปรแกรมสแกนไวรัสที่มันวิ่งไปฆ่าไวรัสทุกเครื่องทั้งระบบเลย”

เพราะเป็นเรื่องที่เข้าใจง่ายกว่าเวลาที่ผู้ขายอธิบายว่า Solution = Product และลูกค้าก็ยอมรับแนวคิดนี้ได้ค่อนข้างง่าย มโนไปไกลว่า ซื้อ Firewall มาตั้ง แกะกล่องแล้วเสียบปลั๊ก Ransomware มันจะไม่เข้ามาใกล้ระบบอีกต่อไป             

เอิ่ม…Firewall นะครับ ไม่ใช่อาร์ทควัน

ในความเป็นจริง มีแต่ปัญหาง่าย ๆ เท่านั้นที่ Solution = Product กล่าวคือ ถ้าฉีกซอง เทใส่ชามตามด้วยน้ำเดือด นั่งรอ 3 นาที แล้วหวังว่าสิ่งที่อยู่ในชาม มันจะพองออกมาเป็นหมี่เกี๊ยวปูหมูแดงโปะไข่ออนเซ็น ก็แนะนำให้คุณห่าง ๆ การ์ตูนโดเรม่อนซักระยะนะครับ

Demand ที่ซับซ้อน ปัญหายาก ๆ ไม่สามารถรับมือได้ด้วย Product เพียงตัวเดียวครับ

Ransomware เป็นผลงานชิ้นโบว์แดงที่ผู้ร้ายใช้ความรู้และความพยายามสร้างมันขึ้นมา การจะรับมือจึงต้อง Integrate เครื่องมือหลายอย่างมาทำงานเป็นขบวนการป้องกันที่ได้ผล

Ransomware ส่วนใหญ่ส่งมาทาง e-mail การป้องกัน Ransomware ที่มีประสิทธิภาพ จึงเริ่มจาก SpamBlocker ที่เก่ง ซึ่งวิธีการส่ง Ransomware ของผู้ร้ายเป็นลักษณะการส่ง Spam mail จึงทำให้ SpamBlocker สามารถกำจัด Ransomware ที่มากับ Spam mail ออกไปได้เป็นจำนวนมาก

การสแกน Attach file ที่มากับ e-mail ที่ระดับ Mail server ก็ได้ผลดีมาก ซึ่ง Scan Engine ก็มีทั้งแบบ Signature base, แบบ APT sandbox, และเดี๋ยวนี้ไปไกลถึงขั้น Scan engine มีความคิดแบบ AI แยกแยะไฟล์ดีออกจากไฟล์ Malware ได้เองแล้ว

Ransomware เกือบทั้งหมด จะถูกกำจัดออกด้วย 2 ขบวนการนี้ (Spam และการสแกน Attach file) จาก 100 เหลือไม่ถึง 5 ที่หลุดรอดไปชั้นถัดไปได้

แม้ Ransomware จะมาถึง Mailbox ของผู้ใช้ แต่ผู้ใช้ที่ได้รับการฝึกให้ระวังตัว ไฟล์ประหลาดพวกนี้ก็จะถูกผู้ใช้ลบทิ้งในทันที ระบบก็รอดปลอดภัยเช่นกัน

ถ้าเกิดผู้ใช้หลับหูหลับตาคลิกมันไปเรื่อย ก็ยังมี Antivirus บนเครื่อง client ที่อาจจะตรวจจับและหยุดการทำงานของ Ransomware ได้

Ransomware อาจจะไม่ได้แนบเป็นไฟล์มากับ e-mail แต่เป็นข้อความที่บอกให้ไปคลิกโหลดไฟล์จากเน็ตอีกที แบบนี้ Firewall ก็จะสามารถป้องกันไม่ให้ผู้ใช้โหลดไฟล์มาที่เครื่องได้ เป็นการทำงานร่วมกันของ WebBlocker และ Antivirus บน Firewall

ถ้า Ransomware หลุดรอดเข้ามาในเครื่องและเริ่มทำงานได้ Firewall ที่ config ได้อย่างถูกต้อง ก็ป้องกันไม่ให้ Ransomware ติดต่อกลับไปยัง Command center ของผู้ร้ายเพื่อส่ง Private key (กุญแจถอดรหัสไฟล์) กลับไปให้ผู้ร้าย แบบนี้ Ransomware หลายตัวก็จะไม่เริ่มทำงานเช่นกัน

สมมติว่า Ransomware เริ่มทำงานได้ และเริ่มเข้ารหัสไฟล์แล้ว ถ้า File server ตั้งอยู่หลัง Firewall อย่างน้อยก็มี Log จาก Firewall ที่จะฟ้องว่า Client เครื่องไหนที่มี Ransomware อาศัยอยู่ เราก็สามารถกำจัดเครื่องนั้นออกจากระบบได้อย่างแม่นยำ โดยไม่ต้องกังวลว่า จะโดนอีกมั้ย

มาตรการสุดท้าย แม้ไฟล์จะถูกเข้ารหัสทั้งหมด ก็แค่เอา File backup ของเมื่อคืนกลับมา ก็เสียหายแค่ครึ่งวันที่ไม่มี Backup เท่านั้นเอง

การป้องกัน Ransomware จึงเท่ากับ SpamBlocker engine + Mail antivirus scan + User training ที่สม่ำเสมอ + Client antivirus scan + WebBlocker + Firewall log/report engine + Data backup

Solution ที่ใช้จัดการกับ Ransomware จึงหมายถึง Framework อันเกิดจาก Integration ของ Product หลาย ๆ ตัว ที่ถูกจับมาทำงานร่วมกันโดยมืออาชีพ ที่เข้าใจหลักการทำงานและวิธีไล่จับ Ransomware

Firewall ไหนป้องกัน Ransomware ได้ คุณรู้คำตอบหรือยัง !!



สอบถามรายละเอียดเพิ่มเติม เรามีพันธมิตรพร้อมให้คำปรึกษา

02-2479898 ต่อ 87

[email protected]

@optimusthailand

OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด

เอ่า…FIREWALL มันไม่ใช่แบบนี้เหรอ (ยังไม่จบ มาเรื่อย ๆ)

 

คิดว่า : ตอนนี้เราออกเน็ตผ่าน Firewall แล้ว เราจะไม่โดนโจมตีจากอินเตอร์เน็ตแล้ว เราปลอดภัยแล้ว
 
ความจริง: 
 
Firewall ไม่ใช่เครื่องกรองน้ำนะครับ ข้อมูลที่ไหลผ่าน Firewall แล้วมันจะกรองสิ่งสกปรก ดูดไวรัสออกไป ไม่ใช่แบบนั้นครับ
 
Firewall เป็นเหมือนจักรเย็บผ้า ที่ไม่มีช่องใส่ผ้า-ด้าย-กระดุม-ซิป ที่ด้านหนึ่ง กดปุ่ม แล้วไปรอรับกางเกงจากอีกช่องหนึ่ง และถ้าเราได้ช่างตัดเสื้อที่ไม่เก่ง ต่อให้จักรเย็บผ้าเก่งแค่ไหน ยี่ห้อดีล้ำเลิศแค่ไหน กางเกงก็ขาไม่เท่ากันได้นะครับ ซึ่งจะไปโทษผู้ผลิตจักรเย็บผ้า หรือจะเปลี่ยนเป็น
จักรเย็บผ้ายี่ห้ออื่น ผลที่ได้ก็ยังเป็นกางเกงขาไม่เท่ากันเหมือนเดิมครับ
 
จักรเย็บผ้าต้องการช่างเย็บผ้า Firewall ก็ต้องการผู้เชี่ยวชาญเข้ามาเป็นผู้ Operate นะครับ อย่ามองหาแต่ Firewall ที่ยอดเยี่ยม แต่ต้องมองหา Operator ที่เชี่ยวชาญด้วย ที่สำคัญ Firewall ไม่ใช่เครื่องกรองน้ำ ข้อมูลไหลผ่าน Firewall ก็ยังสามารถสกปรกและเป็นอันตรายได้ 
 
มีดไม่ได้ผ่า หมอเป็นคนผ่า
 
เลื่อย-ค้อนไม่ได้สร้างเฟอร์นิเจอร์ ช่างเป็นคนสร้าง
 
เขียนนวนิยายมาจากผู้ประพันธ์แน่ ๆ ไม่ว่าเรื่องนั้นจะถูกร่างบนกระดาษยี่ห้อไหน
 
Firewall ไม่ได้สร้างความปลอดภัย Operator ที่นั่งข้างหลังคือคนที่เราต้องให้ความสำคัญ
 
 
คิดว่า : Firewall ของเราเซ็ตโดยคนที่เก่งมาก ผ่านมาปีนึงแล้ว ไม่ต้องปรับแก้อะไรเลย สบายใจเลยแบบนี้
 
ความจริง:
 
ระบบที่อยู่หลัง Firewall ก็เปลี่ยน มีการเพิ่มเซิร์ฟเวอร์ อัพเกรดเวอร์ชั่นของซอฟต์แวร์ อัพเกรด OS เปลี่ยนวิธีการ Access มีการเพิ่มบริการ ฯลฯ ในขณะเดียวกัน ผู้ร้ายก็พัฒนาวิธีใหม่ ๆ มาได้ทุกวัน แต่การป้องกัน ไม่เคยเปลี่ยน ใช้วิธีเดิม ความปลอดภัยมันจะเกิดได้จริงเหรอครับ
 
การที่ระบบทำงานได้ราบรื่น Firewall ไม่แสดง Log อะไรเลย Antivirus หรือ Endpoint security ไม่เคยแจ้งเตือนอะไร แปลได้ว่า ระบบทำงานปกติ แต่ไม่ได้หมายความว่า ผู้ร้ายไม่ได้อยู่ในระบบ ไม่แตกต่างจากระบบกันขโมยที่ตรวจจับความเคลื่อนไหวของโจรไม่ได้
 
ให้เวลาตกใจแป๊บนึงครับ…..
 
• ถ้าคุณเป็นโจร คุณจะเลือกอะไร ระหว่าง
 
– ปล้นสะท้านเมือง เลือกธนาคารระดับประเทศ งานเดียวร้อยล้าน อาจเสี่ยงถึงขั้นต้องยิงต่อสู้ จับตัวประกัน และหนีออกนอกประเทศ
 
หรือ
 
– ปล้นเล็ก ๆ เงินไม่มาก แต่เหยื่อไม่รู้ตัว ปล้นแล้ว กลับมาปล้นซ้ำได้อีก จนกว่าเหยื่อจะรู้และเริ่มป้องกันตัว โจรก็แค่เลิกปล้นเหยื่อรายนี้ แล้วไปปล้นเหยื่ออื่น ปล้นเอาเงินแค่หลักหมื่น ปล้นเหยื่อทีละพันราย ก็ได้หลายล้านในเวลาไม่กี่วันเหมือนกัน
 
พอจะเข้าใจนะครับ โจรทุกวันนี้ เลือกที่จะปล้นเล็ก ปล้นเงียบ ปล้นหลายราย ดังนั้น โจรก็อยากจะให้ระบบของคุณสงบนิ่ง ไม่แสดงปัญหาอะไร ทำงานได้อย่างราบรื่น เพื่อเขาจะได้กลับมาปล้นซ้ำได้อีกเรื่อย ๆ โจรเดี๋ยวนี้รู้จักคิดเรื่องกำไร-ขาดทุน การล่มระบบของเหยื่อคืองานที่ยากและไม่ได้เงิน จะทำไปทำไม ?
 
 
เมื่อมีโจรเข้าระบบ !
 
เวลามีการค้นพบว่า ข้อมูลถูกขโมย หรือมีการลักลอบเข้าระบบ คำถามยอดฮิต มี 2 คำถาม “โจรเข้ามาทางไหน” และ  “โจรเอาข้อมูลอะไรไปบ้าง”
 
แต่คำถามที่เหยื่อมักไม่ค่อยให้ความสนใจ คือ “โจรเข้าระบบมาตั้งแต่เมื่อไหร่” เพราะคนมักจะคิดว่า โจรเข้ามาแค่ครั้งเดียว แล้วเราก็พบกับความเสียหายเลย จริง ๆ แล้ว โจรเข้ามาหลบซ่อนในเซิร์ฟเวอร์ และ Copy ข้อมูลหรือฝัง Malware เอาไว้ตั้งนานแล้ว แถมยังเปิดช่องให้โจรอื่น ๆ เข้ามาในระบบได้ง่ายอีกด้วย นี่คือสิ่งที่มักไม่รู้กัน จนวันหนึ่ง มีโจรที่ซุ่มซ่าม สร้างความเสียหายให้กับระบบ นั่นแหละครับ คือวันที่เหยื่อเริ่มรู้ตัว 
 
 
 
 
 
นอกจากนี้ แม้เราจะรู้ตัวแล้ว เรารู้ทางเข้าของโจรแล้ว และอาจจะรู้แล้วด้วยว่า โจรเอาข้อมูลอะไรไปบ้าง เราก็มักจะไม่ได้ค้นเพิ่มต่อว่า โจรได้เปิดช่องทางการเข้าระบบอื่น ๆ เอาไว้อีกหรือไม่ เพราะโจรจะกลับมาเอาข้อมูลอยู่เรื่อย ๆ ครับ
 
โจรลงมือแต่ละครั้ง ได้เงินเป็นจำนวนมากบ้าง (หลายล้าน) น้อยบ้าง (ไม่กี่หมื่น) ผู้ร้ายไม่ขี้เกียจนะครับ แต่ขยันมากอีกต่างหาก
 
การ Revisit ของผู้เชี่ยวชาญเพื่อตรวจดู Log, มา Reconfigure หรือ Apply new method ของ Firewall เป็นเรื่องจำเป็นครับ และควรทำทุก 6 เดือน เพราะคนที่จะติดตามความเคลื่อนไหวของผู้ร้ายโดยตลอด ก็คือ Security expert นี่แหละครับ เราก็ต้องทำให้ Firewall และผู้เชี่ยวชาญ ได้มาเจอกันบ่อย ๆ ครับ 



สอบถามรายละเอียดเพิ่มเติม เรามีพันธมิตรพร้อมให้คำปรึกษา

02-2479898 ต่อ 87

[email protected]

@optimusthailand

OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด

ระบบดี ทำงานห่วย VS ระบบห่วย ทำงานดี

 

ผมจะออกแบบท่ารถโดยสารนะครับ มีที่ให้ผู้โดยสารยืนรอรถ แต่ไม่มีหลังคา แดดมาท่านก็หาผ้าคลุม ฝนมาวิ่งหลบกันได้ตามใจชอบ ซอกหลืบจัดไว้ให้เยอะแยะ อยากใช้บริการก็ให้ทน ๆ กันไปครับ เมื่อท่านซื้อตั๋วแล้ว อย่าหวังว่าผมจะบอกว่าต้องไปขึ้นรถที่ไหน ไม่มีครับ ไปเดินถาม ๆ กันเอาเอง ป้ายบอกมีบ้างไม่มีบ้าง รถจะเข้าออกเวลาไหนตามใจยี่ห้อนั้นครับ โลกเสรี อย่าเรื่องมาก ส่วนเจ้าของคิวรถ จะเอารถของท่านไปจอดไว้ไหน ไม่ใช่เรื่องของผม ไปหาจอดแปะเอาตามข้างรั้วชาวบ้านแถวนั้นมั้ง ไม่กี่พันคัน คงไม่เป็นไรแหละ

ถ้าผมเปิดท่ารถแบบนี้ ผมน่าจะโดนจัดหนักทั้งบนเฟซบุ๊คและข่าวเช้าทุกช่อง แต่ยังไงไม่รู้นะฮะ ท่ารถนี้ ดันอยู่มาได้เป็นสิบปี มีผู้โดยสารวันละหลายพัน หลายหมื่นคน และกว่าจะเลิกกิจการได้ ตำรวจไล่ไม่ไหว ต้องใช้ทหารมาสมทบ โอ้…แม่เจ้า เราเรียกว่า ท่ารถตู้อนุสาวรีย์ชัยฯ

นอกจากท่ารถแล้ว ผมยังออกแบบอีกกิจการหนึ่ง เป็นซุปเปอร์มาร์เก็ตครับ ไม่มีหลังคา ลูกค้าท้าแดดท้าฝนเหมือนเดิม หลายตลาดมีปัญหาเรื่องหนูท่อ ตลาดนี้ ผมเลยเอาท่อระบายน้ำออกหมดครับ ก็เทลงบนพื้นนั่นแหละ เอาไรมากมาย อ้อ…เราปูพื้นตลาดด้วยดินตามสไตล์อินดี้ ฝนตกมาก็เละนิดหน่อย แค่โคลนติดรองเท้า อย่าบ่นครับ ส่วนจะซื้ออะไรก็เดินหาเอาเอง ชอบสโลวไลฟ์ไม่ใช่เหรอ ตลาดนี้ตั้งอยู่ตรงที่โล่งมุมสี่แยกครับ เรื่องที่จอดรถไม่เป็นปัญหา จอดแปะมันตรงทางโค้งได้ทุกแยก ปลอดภัยไม่ต้องกลัวรถเฉี่ยว เพราะตลาดเราทำให้รถติดพินาศอยู่แล้ว หอบลูกจูงหลานข้ามถนนกันได้สบายใจ โอเคมั้ย ตลาดแบบนี้

ตลาดนี้มันก็ไม่น่าจะอยู่ได้นานนะครับ ไม่น่าจะเกิดขึ้นหลายแห่ง ไม่น่าจะเปิดได้ทุกวันพุธและวันเสาร์ และไม่น่าจะมีคนมาใช้บริการ แต่ก็แปลกนะครับ มันตรงข้ามหมดเลย ไปดูตลาดนัดท้องถิ่นทั่วประเทศ ที่เปิดกันตรงสี่แยกใหญ่ ๆ ได้เลยครับ เขาอยู่ในสภาพนี้มาเป็นสิบ ๆ ปีแล้ว และเป็นส่วนหนึ่งของชาวบ้านบริเวณนั้น ไม่มีทีท่าว่าจะเลิกด้วย มีแต่จะขยายพื้นที่มากขึ้นซะอีก

แปลกมั้ยครับ ระบบที่ห่วยมาก แต่คนก็ชอบใช้มันมาก ใช้มากขึ้นเรื่อย ๆ ใช้ไม่เลิก…

ถ้าพูดถึง “ระบบที่ทำงานได้ดี” อะไรคือแว้บแรกที่คุณนึกถึง

● อุปกรณ์ดี   ● ระบบแพง   ● แบรนด์ดัง    ● รุ่น Top Bandwidth สูง    ● เสถียร    

● มี Redundant/Backup    ● มีระบบ Monitor/Report หรือ   ● Layout ยิ่งใหญ่อลังการ

สำหรับผม.. ระบบที่ทำงานได้ดี ผมนึกถึงระบบที่ “ผู้ใช้เอาด้วย”

ยกตัวอย่าง :

ระบบกำหนดว่า ต้องแตะนิ้วก่อนเข้าประตูออฟฟิศ แต่ใช้ไปได้ไม่นาน บางคนก็เปิดประตูอ้าเอาไว้ ไม่สนใจจะแตะนิ้วกันแล้ว แต่ในขณะที่ประตูห้องคอนโดตัวเอง ที่ยุ่งยากกว่าประตูออฟฟิศตั้งเยอะ ต้องควักกุญแจมาเปิดปิดประตู แต่เขากลับสนใจล็อคประตูเป็นอย่างดี

ประตูออฟฟิศดีกว่า หรือประตูคอนโดดีกว่า มันไม่เกี่ยวกันครับ ในกรณีนี้ มันอยู่ที่คนไม่เอาด้วยกับประตูออฟฟิศ แต่เขา “เอาด้วย” กับประตูบ้านเขา ถ้าเราเป็นคนที่รับผิดชอบ Security ที่ออฟฟิศ เราจะทำอย่างไรให้คนเอาด้วยกับประตูออฟฟิศครับ ใครไม่ปิดประตู โดนเฆี่ยน 10 ที ปรับ 10 บาท หรือแตะนิ้วมันพลาดบ่อย เปลี่ยนเป็นแตะบัตรดีมั้ย หรือล้ำสมัยใช้ Face Recognition ซะเลย วิธีไหนที่จะทำให้   “คนเอาด้วยกับเรา” มันไม่ใช่แค่เรื่องผลิตภัณฑ์นะครับ แต่ความสำเร็จมาจากการ “เข้าถึงความรู้สึกของผู้ใช้”

ตอนเราไปร้านขายของ ถ้าร้านเขาไม่โชว์สินค้า ตั้งไว้แค่รูปถ่าย เราได้เห็น แต่ไม่ได้จับ ไม่ได้ลอง ก็ทำให้เราลังเลใช่มั้ยครับ แต่ทำไมยอดขาย Online Shopping มันพุ่งปรี๊ดทุกปีอ่ะครับ ทำไมทีนี้เรายอมซื้อจากรูปภาพ ไม่จับไม่ได้บีบ แต่ซื้อเฉยเลย บางคนซื้อเยอะซื้อบ่อยซะด้วย

มันก็มีส่วนลด มีความสะดวก มีความเร็ว มีความพร้อม คืนสินค้า-คืนเงินได้ มีของใหม่ ๆ มาเสนอเรื่อย ๆ คนทำ Online Shopping เขาก็มีข้อเสนอ เพื่อให้ “คนเอาด้วย” ซึ่งก็ได้ผลดีนะครับ

ในวงการไอที ผมเห็นหลายระบบ เป็นระบบที่ดี แต่ผู้ใช้บอกว่ามันทำงานได้ห่วย ก็คือเขาไม่เอาด้วยกับระบบนั้น และบางระบบที่คนไอทีตีความว่ามันเป็นระบบห่วย แต่ผู้ใช้กลับบอกว่า มันทำงานได้ดี เชาชอบแบบนี้มากกว่า เวลาเราออกแบบระบบ เราได้ฉุกคิดหรือเปล่าว่า พอระบบทำงานจริง ๆ แล้ว ผู้ใช้เขาจะเอาด้วยกับระบบมั้ย หรือการเฆี่ยน 10 ทีปรับ 10 บาทคือวิธีปฏิบัติของเรา

เคยเห็นหลายธุรกิจที่ยอมเสียเวลาของพนักงาน 10 นาทีเพื่อออกกำลังกายตอนบ่ายมั้ยครับ คุณรู้จัก Power nap ที่ยอมให้พนักงานหลับจริงจัง 15-20 นาทีแล้วตื่นขึ้นมาเป็นคนมีสติ ดีกว่าจ้างซอมบี้มานั่งงัวเงียทั้งบ่าย นั่นคือตัวอย่างของ User Friendly เพื่อเพิ่ม Employee Productivity อย่างได้ผล แนวคิดแบบยอมเสียเพื่อได้ ซึ่งคนทำ Firewall ควรเอาอย่าง และปรับไปใช้แทนการ Block Facebook และ Youtube อย่างเป็นเอาตาย ในขณะที่พนักงานก็ยังแอบเล่น Facebook และดูวิดีโอบนมือถือได้เหมือนเดิม จำกัดการใช้สำเร็จ แต่ธุรกิจไม่ได้ Productivity กลับคืน ถือเป็นความด้อยค่าที่ Firewall ไม่สามารถเป็นส่วนหนึ่งของการเพิ่ม Productivity ของธุรกิจได้ คนไม่เอาด้วยกับการหยุดใช้ Facebook หยุดดู Youtube

เราจะออกแบบระบบที่ให้ผู้ใช้ ใช้เน็ตได้อย่างปกติสุข โดยไม่เป็นศัตรูกับธุรกิจ พบกันครึ่งทางแบบนี้ได้หรือไม่ เช่น แทนที่จะเพิ่มความหม่นหมองในการใช้เน็ตด้วยการจำกัด Bandwidth ของผู้ใช้เพราะ VoIP กระตุก ทั้ง ๆ ที่ VoIP ใช้ Bandwidth แค่นิดเดียว เราเลือกทำ Bandwidth Prioritization เพื่อให้ VoIP ได้ไปก่อนโดยไม่ต้องรอ ผมรับรองว่าผู้ใช้จะไม่รู้สึกอะไรเลยกับแค่ 0.2 วินาทีที่ต้องรอให้ VoIP ไปก่อน

การออกแบบระบบให้ผู้ใช้เอาด้วย ต้องเลี่ยงการใช้ความจำครับ จำนน จำทน จำยอม จำใจ และ จำเป็น อะไรพวกนี้ เราเอาออกจากระบบได้มากเท่าไหร่ ระบบของเราก็จะได้รับการยอมรับจากผู้ใช้มากขึ้น ระบบที่ดี มีผู้ใช้ที่เป็นมิตร บอกอะไรผู้ใช้ก็ให้ความร่วมมือโดยไม่ต้องเข้มงวดกัน ไอทีก็ทำงานง่ายนะครับ

หลายครั้งเราออกแบบระบบด้วยความคิดแบบ Auto Pilot เช่น ระบบก็ต้อง Authen ก็ทำหน้า Captive Portal ขึ้นมา คิดไปฉับไวจริง ๆ ผู้ใช้เคยใช้เน็ตกันสนุกสนาน ก็เริ่มรำคาญที่จะต้อง Authen ทุกครั้ง

เวลาที่ผู้ใช้บ่นเรื่องหน้า Authen แทนที่จะปล่อยใจไปตาม Auto Pilot มึงบ่น กูหงุดหงิด เปลี่ยนมาเป็นการรับฟัง และหาทางออกให้เขาด้วย Single Signed On ปรับให้กลายเป็นระบบที่ผู้ใช้ออกเน็ตได้โดยไม่ต้อง Authen ผู้ใช้ไม่รำคาญ เราได้ User ID มาเก็บ Log ระบบบรรลุเป้าหมายโดยไม่ต้องบีบบังคับผู้ใช้ เป็นระบบที่น่ารักน่าใช้ครับ

เข้าใจครับ เราทำให้ทุกคนแฮปปี้ไม่ได้ แต่พยายามเพิ่มความเข้าใจอีกฝ่ายให้มากกว่านี้ เราจะพบบางอย่างที่ดีแฝงอยู่ในคำบ่นของผู้ใช้ครับ เราจะพบว่า ผลิตภัณฑ์มีหลายฟีเจอร์ที่เราไม่เคยให้ความสนใจ จริง ๆ แล้วมันใช้ตอบสนองความต้องการเหล่านี้แหละ

พอผู้ใช้ข้อมูลหายไปจากฮาร์ดดิสก์ เราตำหนิเขาว่า “ก็บอกให้ Backup บ่อย ๆ ไง” (โสน้าหน้า) ก็แล้วทำไมเราไม่ยอมรับในความขี้ลืมของมนุษย์ส่วนใหญ่ และนำเสนอระบบ Backup ที่เป็นฟีเจอร์ของ Cloud Drive อย่าง Dropbox หรือ LevelSync ข้อมูลไม่หาย อยู่บน Cloud และมี Versioning Backup ให้ด้วย ทั้งหมด Automatic ไม่ต้องหมั่นขยันกดอะไรเลย การ Backup เกิดขึ้นที่ Background ข้อมูลไม่หายแม้ฮาร์ดดิสก์พัง ระบบแบบนี้ผู้ใช้ยิ้มเลยนะครับ

ทุกระบบบนโลกใบนี้ ต้องมีปฏิสัมพันธ์กับคนในทางใดทางหนึ่ง มันต้องมีคนสั่งการระบบ และต้องมีคนใช้ระบบ ทั้งคนและระบบทำงานไปพร้อม ๆ กัน ระบบที่คนไม่เอาด้วย เป็นระบบที่ดีครึ่งไม่ดีครึ่ง มันก็คืออัมพาตครึ่งซีก ทำงานได้ไม่ดี ผมอยากจะชวนให้ออกแบบระบบที่ทำงานได้ดี คือเราต้องหยิบผู้ใช้เข้ามาเป็นส่วนหนึ่งในการออกแบบระบบด้วยนะครับ เปิดใจรับฟังและสังเกตความเละเทะของผู้ใช้ ความไม่เป็นระบบ ความไม่เข้าใจ และความไม่อยากปฏิบัติตาม ไม่ชอบโดนบังคับ ไม่ชอบเปลี่ยน ไม่อยากทำตามกฎ แล้วหาทางตอบรับกับสิ่งที่เคยปฏิเสธ เพราะ ระบบที่ดี + ผู้ใช้เอาด้วย = ระบบที่ทำงานได้ดี ครับ



สอบถามรายละเอียดเพิ่มเติม เรามีพันธมิตรพร้อมให้คำปรึกษา

02-2479898 ต่อ 87

[email protected]

@optimusthailand

OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด

พอร์ตล่อเป้า กับ การทำ FIREWALL อย่างมืออาชีพ

 

โดยธรรมชาติเราไม่เอาตัวเองเข้าไปในที่เสี่ยง ที่เปลี่ยว พื้นที่เสี่ยง เราป้องกันตัวเรา และพื้นที่ของเรา และเรารู้สึกไม่ปลอดภัยเมื่อพบว่า มีใครเข้ามาในพื้นที่หวงห้าม

แต่…ทำไมบน Firewall หลาย ๆ ที่ถึงเปิดพอร์ตล่อเป้ากันจังเลย

 

พอร์ตล่อเป้า คือ พอร์ตที่สามารถใช้เข้าถึง Admin Privilege ได้โดยตรง หรือพอร์ตที่สามารถเข้าถึงจุดอ่อนของ OS ได้โดยตรง เช่น Telnet (TCP23), SSH (TCP22), RDP (TCP3389), MySQL (TCP3306), Windows NetBIOS/SMB (TCP139/TCP445) พอร์ตเหล่านี้ มี Bot มากมายบนอินเตอร์เน็ตที่สแกน IP ต่าง ๆ เพื่อดูว่า เปิดพอร์ตเหล่านี้เอาไว้หรือไม่

 

สแกนเจอแล้วไง…

Bot ก็จะลองวิธีการเจาะระบบแบบง่าย ๆ หลาย ๆ วิธีครับ เช่น ลอง Default password, ลอง Dictionary attack, ลอง Vulnerability หลาย ๆ รูปแบบ ถ้าเข้าได้ ก็แล้วแต่ครับ ถ้าเครื่องเหยื่อนั้นมีข้อมูลที่มีราคา ก็ลงมือขโมย และอาจจะเปิดช่องให้กลับมาขโมยข้อมูลใหม่ ๆ ได้อีกหลายรอบ หรือไม่ก็เปิดช่องให้สามารถ

ควบคุมเครื่องนี้ได้ เก็บเอาไว้เป็น Zombie machine ไว้ก่ออาชกรรมอื่น ๆ ต่อไป จนกว่าเจ้าของเครื่องหรือเจ้าของเซิร์ฟเวอร์จะรู้ตัว

ถ้าหลาย ๆ เดือนแล้ว เจ้าของเครื่องก็ยังเปิดพอร์ตอ้าซ่าอยู่นั่น IP ของเครื่องนี้ก็จะกลายเป็นของมีค่าสำหรับโจร เป็น IP ที่ขึ้นทำเนียบแนะนำโจรด้วยกัน ให้มาแวะขโมยข้อมูลแบบไม่เหนื่อย เพราะเข้าง่าย ไม่มีระบบป้องกันอะไร สังเกตได้ว่า web server ไหนที่ถูกแฮก ก็จะโดนอยู่เรื่อย ๆ จนกว่าจะเริ่มมีการป้องกันตัว

ถ้าเครื่องนี้ไม่มีมูลค่าอะไรอีกแล้ว ไม่มีข้อมูลที่น่าสนใจ ก็ทิ้ง Ransomware เอาไว้หาเงินงวดสุดท้าย ถือซะว่าเป็นค่าเปิดเผยตัวเองให้เจ้าของเครื่องรู้ว่า โดนซะแล้ว (จริง ๆ โดนมาตั้งหลายเดือนแล้ว)

แม้จะทิ้ง Ransomware เอาไว้เรียกค่าไถ่แล้ว ถ้าเจ้าของเครื่องหลัง IP นั้นก็ยังไม่ป้องกันตัวเอง ก็เหมาะอย่างยิ่งที่โจรจะกลับมาปล่อย Ransomware เพื่อหาเงินในรอบที่สอง รอบสาม จนกว่าเซิร์ฟเวอร์นี้จะรู้จักป้องกันตัว หรือจนกว่ากิจการมันจะไม่มีเงินมาจ่าย

 

แล้วทำไมถึงยังเปิดพอร์ตล่อเป้ากันอยู่ได้

“เพราะลูกค้าสั่ง” นั่นคือคำตอบที่ได้ยินมาบ่อยที่สุด ซึ่งน่าจะตีความได้ว่า “ถ้าไม่เปิดพอร์ตให้ ลูกค้าก็ใช้งานไม่ได้ ใช้ไม่ได้ก็แปลว่าไม่จ่าย” ท้ายสุดคนที่ทำ Firewall ก็ไปลงเอยว่าเปิดพอร์ตให้ลูกค้าทุกครั้งไป และเจอบ่อยมากที่แม้จะเปิดพอร์ตแล้ว แต่ลูกค้าก็บอกว่า มันยังเข้าไปไม่ได้ ท่าไม้ตายคือ Any พร้อมกับบอกลูกค้าว่า มันไม่เกี่ยวกับ Firewall แล้ว และปล่อยลูกค้าล่องลอยออกมหาสมุทรไป

เกือบทุกไซด์ที่เซิร์ฟเวอร์ถูกโจมตี มักพบเสมอว่า มีการเปิด Policy ให้เข้าถึงเครื่องในระบบแบบ Any เอาไว้ หรือไม่ก็เปิดพอร์ตล่อเป้าเอาไว้

 

อย่าถามว่าใครผิด

ลูกค้าผิดมั้ยที่ว่าเขาอยากได้แบบนั้นแบบนี้ คนทำ Firewall ผิดมั้ยที่ต้องทำตามลูกค้า (ไม่งั้นไม่จ่าย ไม่เซ็นรับ) ในสถานการณ์แบบนี้ ผมจะแชร์ประสบการณ์ให้ว่า แนวปฏิบัติแบบมืออาชีพเป็นคำตอบที่ดีที่สุดสำหรับทุกฝ่ายครับ

1. คนทำ Firewall ต้องให้ข้อมูลลูกค้าว่า ถ้าเปิดพอร์ตล่อเป้าแล้ว จะเกิดอะไรขึ้น แสดงข้อมูลอ้างอิง เช่น บทความจากอินเตอร์เน็ต วิดีโอแสดงการแฮกระบบ ตัวอย่างในอดีตจากลูกค้ารายอื่น ฯลฯ ในขณะเดียวกัน คนทำ Firewall ที่เป็นมืออาชีพ พึงจะเสนอทางเลือกอื่น เช่น VPN, Authentication, Remote access tools อย่าง TeamViewer หรือ AnyDesk, ฯลฯ เป็นทางออกให้ลูกค้าแทนการเปิดพอร์ตล่อเป้า

ลูกค้าที่ตั้งใจฟังข้อมูล มักเปลี่ยนใจและยินดีใช้ Alternate solution

ในขณะที่ข้อแรกนี้ คนทำ Firewall ที่ไม่เป็นมืออาชีพ มักจะไม่แสดงข้อมูล อาจจะคิดไปเองว่า ลูกค้าคงไม่ฟัง หรือเพราะตัวเองไม่กล้าเสนอ กลัวเก็บเงินไม่ได้ กลัวลูกค้าหงุดหลิด จึงเลือกที่จะเงียบ และทำตามลูกค้าสั่ง ก็เปิดพอร์ต และส่งมอบระบบที่มีความเสี่ยงให้ลูกค้าไป

2. ถ้าให้ข้อมูลแล้ว ลูกค้าก็ยังยืนยันจะให้เปิดพอร์ตล่อเป้า มืออาชีพก็ไม่ขัดลูกค้าครับ ปรับ Policy เปิดพอร์ตให้เลย แต่มืออาชีพ เขาจะช่วยลูกค้า Monitor ระบบหลังเปิดพอร์ตแล้ว และนำข้อมูลมานำเสนอต่อให้ลูกค้าเห็นภาพครับ เช่น Firewall report ที่แสดง IP จากทั่วโลก ที่แวะเข้ามาติดต่อ RDP กับเซิร์ฟเวอร์ของลูกค้า เป็นต้น

ลูกค้าส่วนใหญ่ มักจะยอมปิดพอร์ตล่อเป้าหลังจากได้เห็น Report ของ Firewall ซึ่งก็ถือว่ายังดีครับ ยังไม่สาย ส่วนจะเกิดความเสียหายไปแล้วหรือยัง อันนี้ต้องลุ้นเอาครับ

ข้อสองนี้ คนที่ไม่เป็นมืออาชีพ มักไม่ Monitor อะไรต่อให้ลูกค้า ถือว่า “เตือนแล้วนะ” และทิ้งลูกค้าเอาไว้กับความเสี่ยง

3. ก็มีลูกค้าบางรายครับ จำนวนไม่มาก ได้เห็นรายงานแล้ว เห็นข้อพิสูจน์แล้ว แต่ก็ยังยืนยันจะเปิดพอร์ต เมื่อถึงจุดนี้ มืออาชีพได้ทำหน้าที่โดยสมบูรณ์แล้วครับ หันหลังให้ลูกค้าได้เลย ไม่ต้องดราม่าอะไรใส่ลูกค้า นิ่ง ๆ เงียบ ๆ เพราะลูกค้าบางคนอาจต้องใช้เวลาคิด บางคนอาจต้องได้ประสบการณ์ตรง นีโอยังต้องโดนยิงตั้งหลายนัด กว่าจะฟื้นขึ้นมาเป็น The One ถูกมั้ย

ในไม่ช้าไม่นาน ลูกค้าจะได้รับผลตามที่ตัวเองเลือกอย่างตรงไปตรงมา ในขณะที่มืออาชีพก็เก็บเงินได้ ส่งมอบระบบได้ และหลุดพ้นจากข้อกล่าวหาทั้งปวง ซึ่งจำเป็นอย่างมากที่มืออาชีพ จะมี e-mail ถึงลูกค้า เป็นหลักฐานว่า เราได้ให้ข้อมูลที่จำเป็นต่อการตัดสินใจของลูกค้าแล้ว

พอร์ตล่อเป้า เปิดทิ้งไว้ก็อันตราย สำรวจ Firewall ที่เราส่งมอบให้ลูกค้าไป ถ้าพบว่าเปิดล่อเป้าเอาไว้ ก็ทำงานร่วมกับลูกค้าอย่างเป็นมืออาชีพนะครับ


สอบถามรายละเอียดเพิ่มเติม เรามีพันธมิตรพร้อมให้คำปรึกษา

02-2479898 ต่อ 87

[email protected]

@optimusthailand

OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด

ทำ MAIL SERVICE ต้องรู้จัก FEEDBACK LOOP

คงจะต้องมีซักครั้งในชีวิต ที่เราจะต้องเจอกับ Spam Mail ท่วมทะลักบน Mail Server ปัญหาเฉพาะหน้าคือ Mail จริงส่งไม่ออก ปัญหาบานปลายคือ Mail server ติด Blacklist กันงอมแงม จนถึงกับต้องเปลี่ยน IP ในที่สุด บางองค์กรเปลี่ยนมาหลายสิบ IP แล้ว ยังไม่มีทีท่าว่าปัญหาจะจบ

การป้องกันไม่ให้เกิดเรื่องแบบนี้ ก็มีอยู่ 2เรื่องหลักคือ

1. อย่าเปิด Mail server อ้าซ่าเป็น SMTP Open relay เอาไว้ ซึ่งคงจะไม่มีใครเผลอทำแบบนั้นอีกต่อไปแล้ว
2. กำชับผู้ใช้ให้ตั้ง Password เป็นภาษาตุรกี แค่นี้ก็ปลอดภัยไปมากแล้ว

แต่เมื่อถึงวันหวยออก ในที่สุดก็โดนจนได้ ซึ่งมันก็ยังมีลูกเล่นอีกนิดหน่อยที่พอจะช่วยทำให้เราไหวตัวทัน และระงับเหตุได้อย่างรวดเร็วครับ เขาเรียกว่า Feedback Loop

คือการที่เราไปประกาศตัวเองเอาไว้กับ Mail Service Provider ใหญ่ ๆ อย่าง Hotmail หรือ Yahoo ว่า ถ้าได้รับ Spam mail จากเซิร์ฟเวอร์ของเรา ขอให้แจ้งเราทันที แล้วก็ให้ Mail address กับเขาไป

อย่างเช่นเมื่อวันที่ 12กันยายนที่ผ่านมา เป็นครั้งแรกในรอบ 15ปีที่ Mail server ของออพติมุสถูกใช้ส่ง Spam เพราะมี Mailbox ของพนักงานคนหนึ่ง ดันไปตั้ง Password เป็นเลขเดาง่าย ๆ แต่ด้วย Junk Mail Reporting Program ของ Microsoft ทำให้ผมได้รับคำเตือนหลังจากที่ Mail server เริ่มส่ง e-mail ได้ไม่นาน ผลคือ Spam mail เพิ่งหลุดออกไปได้แค่พันต้น ๆ ไม่ต้องคิดอะไรมาก ตัดเน็ตออกจาก Mail server ก่อนเลย จากนั้น ผมสามารถลบ Spam mail อีกหลายหมื่นใน Queue ออกได้ทันเวลา

ด้วย Log จาก Dimension ของ WatchGuard บวกกับ Log ละเอียด ๆ จาก Kerio Connect Mail server ทำให้ผมค้นพบต้นตอของ Mail account ตัวการได้อย่างรวดเร็ว จัดการเปลี่ยน Password ในทันที ดับฝันของผู้ร้ายลง ณ วินาทีนั้น

ปฏิบัติการทั้งหมดนี้ผ่าน Remote access และจบใน 10นาทีนับตั้งแต่ได้รับ Mail เตือนจาก JMRP หลังจากนั้นนโยบายเรื่อง Password complexity ก็ถูกบังคับใช้ในระบบ และ Mail server ทำงานต่อทันทีในนาทีที่ 11

mx.optimus.co.th ไม่เสีย Reputation และ IP ของ Mail server ยังคงเขียวตลอดจากการตรวจสอบ Blacklist ด้วย mxtoolbox.com และ IP reputation ทั้งหลายทั้งปวง

ก็เลยอยากจะชวนครับ เอา Domain ของท่านไปสมัครกับ Feedback Loop อย่างน้อยก็ 2 ที่นี้

Yahoo ไปสมัคร ที่นี่ ส่วนของ Microsoft เขาเรียกว่า Junk Mail Reporting Program หรือ JMRP ก็สมัคร ที่นี่ ครับ

แต่ของ Gmail เขามีแนวคิดเรื่อง Feedback Loop ที่แตกต่างออกไปครับ ซึ่งเราคงจะไม่เหมาะที่จะทำตาม อ่านเพิ่มเติมที่นี่

อย่างน้อย ถ้า Mail server ของท่านเกิดพลาดท่าเสียที กลายเป็นทาสผีของโจรผู้ร้ายในการส่ง E-mail เราก็ยังมีโอกาสจะได้รับการแจ้งเตือนและไหวตัวทันนะครับ ทั้งนี้ ท่านก็ต้องมี Mail Admin ที่ตื่นตัวและตอบรับกับสถานการณ์อย่างรวดเร็วด้วยนะครับ

หวังว่า ประสบการณ์ครั้งหนึ่งในรอบ 18 ปีของออพติมุส จะช่วยให้ระบบ Mail ของท่านแข็งแรงขึ้นนะครับ…

สินค้าที่เกี่ยวข้อง 

● Dimension WatchGuard

● Kerio Connect Mail server


● ติดตามข่าวสารไอทีหลากหลายเรื่องจากผู้เขียนมือโปรได้ที่  >> https://optimus.co.th/category/knowledge/training-knowledge
 
● หรืออีกช่องทางในแอปพลิเคชั่น Blockdit โหลดแอปพลิเคชั่นได้ที่ blockdit.com พิมพ์ค้นหาคำว่า “Optimus Thailand”


สอบถามรายละเอียดเพิ่มเติม เรามีพันธมิตรพร้อมให้คำปรึกษา

02-2479898 ต่อ 87

marke[email protected]

@optimusthailand

OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด

BREACH กับ LEAK

 

สมมติว่า องค์กรหนึ่งเอาข้อมูลขึ้น Cloud บางส่วนเป็นความลับขององค์กร แล้ววันหนึ่ง มีพนักงานเกิดไปเห็นแบบนี้ เฮ้ย เฮ้ย ทำไม Web นี้มันชี้ Link มาที่ Cloud ของเราวะ  นี่มันไฟล์ความลับนี่หว่า อ้าว…แล้วคนคลิกอ่านได้ด้วย โหลด PDF ได้อีกตะหาก ซวยแว้วววววว….

Cloud Service มันก็ไม่ได้เซ็ตง่าย ๆ เสมอไปนะครับ ใครจะไปรู้ว่าต้องปิดโฟลเดอร์ นึกว่าแค่เอาข้อมูลขึ้นไปไว้บน Cloud เฉย ๆ ก็จบแล้ว ก็ไหนว่า Cloud ปลอดภัยมันก็น่าจะปิดโฟลเดอร์ให้เราไม่ใช่เหรอ เราต้องตั้ง Password ด้วยเหรอ มันน่าจะมีคำแนะนำหรือคำเตือนบอกเราบนหน้าจอนะ…..ก็ว่ากันไปนู่น

นั่นแหละครับ คือที่มาของคำว่า Data Leak ที่ไม่เหมือนกับ Data Breach

Data Breach คือการที่เจ้าของข้อมูล เขาได้ป้องกันหรือปกปิดข้อมูลแล้ว แต่มีคนพยายามเอามันออกไป แบบนี้ตาม พรบ.คอม ปี 60 (ขอเรียกสั้น ๆ ตามนี้นะครับ) เขาเรียกว่า “การเข้าถึงโดยมิชอบ ซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึง” Data Breach จึงมีความผิดตาม พรบ.คอม ปี 60 ครับ

Data Leak คือการที่เจ้าของข้อมูลไม่ป้องกันข้อมูลของตัวเอง แล้วคนอื่นเข้าถึงข้อมูลนั้นได้ โดยไม่ได้ผ่านการป้องกันอะไรเลย ก็ไม่เข้าข่ายว่าเป็นการเข้าถึงโดยมิชอบ ก็จะไม่ผิดตาม พรบ.คอม ปี 60 นะครับ ส่วนข้อมูลนั้นจะเป็นข้อมูลลามกหรือเป็นภัยต่อความมั่นคง ก็ยังมีมาตราอื่นและพรบ.อื่น ๆ  เอาไว้เล่นงานคนที่นำข้อมูลนั้นไปใช้หรือสำเนาข้อมูลออกไป

ข้อมูลมันไม่ใช่ทรัพย์ ศาลฎีกามีพิพากษาที่ 5161/2547 อธิบายตาม ป.อาญา 335 ศาลฎีกาท่านพิพากษาว่า ข้อมูลไม่มีรูปร่างให้จับต้องได้ จึงไม่ใช่ทรัพย์…จั่นเจา เจ้าจงฟังไว้

ดังนั้น ใครจะมาก๊อปปี้ข้อมูลที่เราวางไว้บน Cloud หรือเปิดอ้าซ่าเอาไว้โดยไม่ป้องกัน มันก็ไม่ใช่ความผิดแบบลักทรัพย์นะครับ

ข้อมูลจะขึ้น Cloud หรือจะเก็บเอาไว้กับเซิร์ฟเวอร์ที่ออฟฟิศ ถ้าไม่ได้ใส่การป้องกันเอาไว้ เกิดมีคนมาเอาข้อมูลออกไปได้ เขาไม่ผิดนะครับ ว่ากันง่าย ๆ ตามนี้

เรามี WiFi แต่ดันไม่ใส่ Password เกิดบริษัทใกล้เคียงเขามาต่อ Wifi บริษัทเรา แล้วเซิร์ฟเวอร์เราก็เปิด Everyone Readonly เอาไว้ File Sharing ขำ ๆ แบบนี้เชิญคนให้มาดูข้อมูล ก๊อปปี้ข้อมูลออกไปหมดโฟลเดอร์ แบบที่เราเอาผิดเขาไม่ได้นะครับ กลายเป็นโจ๊กขำไม่ออกไปอีกนานเลย

เราทำ Web ใส่ข้อมูลเยอะแยะพร้อมทำหน้า Login ซะดิบดี แต่ดันเปิดอ้า FTP แบบ Anonymous เอาไว้ 55555 เดินเข้าหลังบ้านหยิบข้อมูลความลับออกไปได้ง่าย ๆ สบาย ๆ  ไม่ผิดกฎหมายนะครับพี่น้อง

แม้จะตั้ง Password ติงต๊องอย่าง 12345678 ก็ถือว่ามีการป้องกันแล้ว ตามกฎหมายก็ถือว่าได้เปลี่ยนจาก Data Leak เป็น Data Breach แม้ไม่มีผลกับ Security เพราะ Password งี่เง่าแบบนี้ใครก็เดาออก แต่ถ้าเกิดจับคนร้ายได้ มันมีผลต่อการดำเนินคดีเอาผิดกับคนร้าย ซึ่งดีกว่าเห็นคนร้ายเดินจากไป แบบที่เราทำอะไรมันไม่ได้เลย

ดังนั้น ข้อมูลอะไรที่มันเป็นความลับ ก็ปกปิดป้องกันเอาไว้ให้ดีครับ เพราะ Data Leak นั้น เราเอาผิดใครไม่ได้ กฎหมายก็ไม่ช่วย ไม่ใช่ความซวยมาเยือน โปรดอ่านคำเตือนบนฉลากก่อนดื่มทุกครั้ง

● สินค้าที่เกี่ยวข้อง LevelSync



สอบถามรายละเอียดเพิ่มเติม เรามีพันธมิตรพร้อมให้คำปรึกษา

02-2479898 ต่อ 87

[email protected]

@optimusthailand

OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด

เอ่า…FIREWALL มันไม่ใช่แบบนี้เหรอ

 

คิดว่า: Firewall มีเอาไว้ป้องกันไวรัสเข้าระบบ

ความจริง : มันก็มีส่วนจริง แต่ภาพมันเล็กมากครับ เหมือนซื้อที่ล็อคเกียร์เพื่อเอามาล็อคเกียร์ ก็เพ่งกันเข้าไปตรงกระปุกเกียร์ จอดรถทิ้งไว้หน้าบ้าน โจรยังไม่มา ไฟแนนซ์มาก่อน ยกล้อหน้าแล้วลากรถไปทั้งคันซะงั้น 

เวลาเราพูดถึง Cybersecurity เราพูดถึงโจรกับการป้องกันทรัพย์สินของเรา อย่าง Ransomware นั่นไม่ใช่แค่ไวรัส มันคือเครื่องมือของโจร ส่งมาเอาทรัพย์สินของเรา โจรทำการบ้านมาเยอะ มาก และใช้หลายวิธีที่จะเอาทรัพย์สินของเรา เปลี่ยนนิยามของ Firewall ซะใหม่นะครับ Firewall คือวิธีหนึ่งในการรับมือกับโจร 

• อยากให้เข้าใจในภาพกว้างนะครับ Firewall มีไว้กันไวรัสก็ได้ แต่งานหลักของมันคือเอาไว้ป้องกันโจรครับ  

คิดว่า: เราต้องป้องกันไม่ให้โจรเข้าระบบ เราต้องหา Firewall ยี่ห้อสุดยอดที่สุดในตลาดมาใช้

ความจริง : ค้นรูปจาก Google ด้วยคำว่า Cyber kill chain นะครับ นั่นคือวิธีคิดและวิธีปฏิบัติของโจรเวลาจะบุกรุกระบบ ซึ่งไม่แตกต่างจากโจรงัดบ้าน ก็คือต้องมีการ Recon (Reconnaissance) คือ สำรวจดูลาดเลาก่อน โจรจะหาจุดอ่อนของระบบให้เจอและเข้าทางนั้น ดังนั้น การป้องกันที่เราจะทำกับระบบ ต้องไปเป็นแผงในหลาย ๆ จุด 

แนวคิดเดียวกันคือ เราหาระบบกันขโมยจัดหนักติดตั้งหน้าบ้าน แต่หลังบ้านไม่มีอะไรเลย โจรมา Recon ดูแล้ว โจรเลือกเข้าทางหลังบ้านแน่นอนครับ

ติดระบบที่หน้าบ้าน และหลังบ้าน โจรก็เข้าทางหน้าต่างได้นะครับ

ผมเคยเห็นโจรแกะกระเบื้องหลังคา ปีนเข้าบ้าน ยังมีเลย เสียแรงน้อยกว่าตัดเหล็กดัดซะอีก

การทำ Security ให้กับระบบ จึงเน้นที่การสำรวจหาจุดอ่อนและปิดให้หมด  มากกว่าการเสาะหาการป้องกันที่ล้ำเลิศในจุดใดจุดหนึ่งครับ Firewall เป็นเพียงจุดเล็ก ๆ ของ Security framework เท่านั้น ยังมี Antivirus บน Client มี Group policy หรือ User right assignment ที่เหมาะสม มีเรื่อง Resource access ที่องค์กรน่าจะหยิบมาพิจารณาและวาง Security framework ที่หนาแน่น

Security framework คือ Integration ของผลิตภัณฑ์ที่หลากหลาย, เครื่องมือป้องกันที่หลากหลาย, ผู้ใช้, นโยบายขององค์กร, มาตรการและระเบียบปฏิบัติ, ผู้เชี่ยวชาญ มาทำงานร่วมกัน มากหรือน้อยก็แล้วแต่ แต่ความปลอดภัย ไม่ใช่ Firewall แค่ตัวเดียวแน่ ๆ ครับ เหมือนกับเราจะทำอาหารให้อร่อย มันไม่ใช่เพราะซีอิ๊วขวดเดียว ถูกมั้ยครับ ทุกอย่างมันต้องครบ มันถึงจะอร่อย

จุดสำคัญของ Security framework ซึ่งเป็นช่องทางที่โจรชอบใช้ที่สุด คือ ผ่านทาง User ครับ กรณี Security breach ใหญ่ ๆ เกิดมาจากความไม่ระแวงและไม่ตื่นตัวของคนทั้งนั้นเลย บางองค์กรไปเล่นใหญ่กับ Firewall แต่ไม่เคยอบรมพนักงานให้ตื่นตัว ก็รั่วกันเยอะแยะนะครับ

• นึกภาพเอาไว้ว่า บ้านที่ติดกันขโมยยี่ห้อแพงระดับแนวหน้า น่ากลัวน้อยกว่าบ้านที่เจ้าของบ้าน อยู่บ้าน ใส่ชุดยูโด และพกปืนพร้อมสู้ตลอดเวลา…เนอะ

คิดว่า: Firewall ที่เราซื้อนี่มันที่สุดของตลาดแล้ว ระบบของเราปลอดภัยแน่นอนแล้ว

ความจริง : ทุกผลิตภัณฑ์ ก็มีรูรั่วของตัวเองครับ ทำความรู้จักกับ CVE นะครับ (Common Vulnerabilities and Exposures) เขาเก็บรวบรวมและทำฐานข้อมูลของรูรั่วของผลิตภัณฑ์ เพื่อเป็นประโยชน์ต่อทุก ๆ คนนะครับ 

อยากรู้ว่า Firewall ที่คุณใช้อยู่ OS หรือเฟิร์มแวร์ของ Firewall มันมีรูรั่วมากแค่ไหน อ้างอิงจากที่นี่ครับ  ลองป้อนชื่อของ Vendor ที่เรารู้จักเข้าไปในช่อง Vendor search 

อ่าว…เฮ้ย Firewall ที่เราใช้ มัยมันมีรูรั่วเยอะแยะอย่างนี้วะ

ประเด็นไม่ได้อยู่ที่ว่า ยี่ห้อไหนหรือรุ่นไหน ใครมีรูรั่วมากน้อยกว่ากัน แต่เราจำเป็นจะต้องอ่านเจาะเข้าไปที่ CVE แต่ละฉบับเพื่อดูว่า รูรั่วนั้น ทาง Vendor เขามี Patch แล้วหรือยัง และผลิตภัณฑ์ที่เราใช้อยู่นั้น เรารู้หรือเปล่าว่า การที่เราไม่ได้ใช้เฟิร์มแวร์ล่าสุด เรามีความเสี่ยงอะไร

คำว่า “สุดยอด” ไม่ได้มาจากรุ่นและยี่ห้อครับ มันอยู่ที่เฟิร์มแวร์ มันอยู่ที่ Config มันอยู่ที่ Integration ขาดอะไรไปอย่างหนึ่ง มันก็เป็นไปอย่างที่ฝรั่งเขาใช้คำว่า “Lost integrity” นะครับ

• ยังมีอีกครับ เรื่องความเข้าใจของ Firewall ที่ผมเคยได้ยินมา สัปดาห์นี้เอาเท่านี้ก่อน



สอบถามรายละเอียดเพิ่มเติม เรามีพันธมิตรพร้อมให้คำปรึกษา

02-2479898 ต่อ 87

[email protected]

@optimusthailand

OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด

เก็บไว้บน CLOUD หรือ เก็บไว้บนบ้าน

 



ข้อมูลของใคร ก็อยากเก็บไว้กับตัวเอง ถ้าจะต้องเอาข้อมูลไปฝากกับคนอื่น มันก็รู้สึกโหวงโหวง ผิดนโยบายมั้ง ข้อมูลบริษัทเราทำไมคิดจะเอาไปเก็บไว้กับคนอื่นล่ะ เพี้ยนไปป่ะคุณ

อ่ะ จริง ดิ  !! 

สมมุติรถโดนทุกกระจก โจรฉกเอาโน้ตบุ๊คไป ในโน้ตบุ๊คมีข้อมูลสำคัญ

ถ้าเกิดมี Backup Data เก็บไว้ที่บ้าน แบบนี้เรียกข้อมูลหายป่าว ??? อ่ะ…โน้ตบุ๊คที่ใช้เก็บข้อมูลไม่ได้อยู่กะเจ้าตัวแล้วนะ

ถ้าเราแจ้งความกับตำรวจว่า ข้อมูลมันก็หาย จะได้มั้ย เพราะข้อมูลมันไปกับโน้ตบุ๊ค ตำรวจกำลังลงบันทึกประจำวันอยู่ อาจต้องหยุด ขอมองบนแพร้บ 

ถ้าโจรมันได้โน้ตบุ๊คไป แล้วมันเก่ง แกะฮาร์ดดิสก์ออกมาก๊อปไฟล์สำคัญออกไป แบบนี้อาจจะไม่เรียกข้อมูลหาย แต่ข้อมูลบางอย่าง ไฟล์รูป ไฟล์คลิป อาจทำให้บางคน อยากหายตัวไปจากสังคมก็ได้ 

สถานที่เก็บข้อมูล มันสำคัญจริง ๆ เหรอท่าน….

เอาอีกเรื่อง เอาไปคิดให้ผมหงอกเล่น บริษัทเราเก็บไฟล์บนเซิร์ฟเวอร์ โดน Ransomware เล่นใหญ่ จัดหนักไป 1 คืน เหลือไว้แค่เลข Bitcoin บนหน้าจอแดง ๆ ข้อมูลยังตั้งโด่อยู่ตรงหน้าเรานะ แต่แง่เปิดใช้ไม่ได้ ต้องส่งเงิน Bitcoin ไปให้ท่านมหาโจร กราบเรียนขอความกรุณาโปรดส่งมอบกุญแจรหัสมาด้วยเถิด

● การเข้าถึงข้อมูลได้ อันนี้สำคัญ

● การถือครองข้อมูล อันนี้ก็สำคัญ

● การถือรหัสที่จะเข้าถึงข้อมูล นี่ก็โคตรสำคัญ

แต่ที่เก็บข้อมูล มันไม่สำคัญแล้ว

เอาเซิร์ฟเวอร์ไปตั้งที่หัวนอน หวงข้อมูลมาก แต่ดันจิ้มเน็ตคาตูดเซิร์ฟเวอร์เอาไว้เส้นนึง ข้อมูลมันก็สามารถออกไปตะแว้ดข้างนอกได้ง่าย ๆ แล้วนะครับ

ถ้าข้อมูลของเราเอาไว้บน Cloud แล้วเราไม่บอก Password กับใครเลย ข้อมูลก็เป็นของเราครับ อย่าห่วงว่า Cloud มันจะดับ เพราะถ้า Cloud มันดับขึ้นมา……….

มัน ก็ ดับ ซะ งั้น แหละ ครับ

พระท่านสอนว่า ทุกอย่างมีวันดับ เช่น ไฟฟ้า เมื่อฝนตก ไฟมันก็ดับ เทศน์ต่อไม่ได้

ข้อมูล มันจะเก็บอยู่ออฟฟิศเรา หรือจะไปเก็บอยู่กับ Cloud ข้างนอก ทั้ง 2 แบบมันย่อมมีวันดับ อย่าเถียงพระ….. แต่เดี๋ยวมันก็มาครับ คำถามคือ ใครจะมาเร็วกว่ากัน เซิร์ฟเวอร์เรา หรือ Cloud ข้างนอก ตรงนี้อยู่ที่เงินลงทุนทำระบบครับ ใครลงเงินเยอะกว่า ระบบพร้อมมากกว่า บุคลากรพร้อมมากกว่า โอกาสฟื้นกลับมาย่อมเร็วกว่า ซึ่ง Cloud ใหญ่ ๆ เขาใช้เงินไม่มากหรอกครับ บริษัทเราลงเงินตั้ง Data center แข่งได้อยู่แล้ว…..อ่ะโด่

พอจะเข้าใจนะครับ แล้วเวลามีใครมาถามว่า ทำไมเราเลือกเก็บข้อมูลเอาไว้ที่ออฟฟิศ ทำไมเรายังไม่ใช้ Cloud ก็หาคำตอบแบบที่มัน 4.0 กันหน่อยนะครับ

● สินค้าที่เกี่ยวข้อง LevelSync


สนใจสินค้า LevelSync เรามีพันธมิตรพร้อมให้คำปรึกษาติดต่อแผนก Marketing

02-2479898 ต่อ 87

[email protected]

@optimusthailand

OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด

รับมือ MALWARE จากผู้ร้าย ด้วย ANTIVIRUS แบบ AI จาก WATCHGUARD

ผู้ร้ายจ้องจะบุกรุกระบบด้วย Malware ที่แนบมากับ e-mail หรือ Script ที่ฝังอยู่บน Web page บางทีเราอาจจะดีใจว่า Antivirus ที่เราใช้อยู่สามารถตรวจจับไฟล์ Malware นั้นได้ แต่ให้ตระหนักไว้เสมอว่า 36 ชั่วโมงที่ผ่านมาก่อนหน้านั้น Antivirus ของเราเคยแจ้งว่า ไฟล์นั้นไม่เป็นอันตราย เพราะ Signature ยังไม่ได้รับการอัพเดต และ 36 ชั่วโมงนั้น ก็คือชั่วโมงทำงานของผู้ร้ายนั่นเอง 

ระบบ Antivirus แบบเดิม ๆ ไม่ว่าจะทำงานแบบ Cloud, Sandbox หรือเก่าแก่จนถึงแบบ Signature base ต่างก็มีจุดอ่อนที่เหมือนกันคือ ไฟล์ Malware จะต้องเดินทางไปถึง Scan engine เช่น Cloud หรือ Sandbox ของ Vendor เสียก่อน Endpoint ที่ Client จึงจะได้รับอัพเดตและสามารถบอกได้ว่า ไฟล์นั้นเป็น Malware หรือไม่ กว่าไฟล์ Malware จะไปถึง Vendor engine ก็ใช้เวลา 36 ชั่วโมงโดยเฉลี่ย เป็น 36 ชั่วโมงที่ Malware สามารถวิ่งเล่นบนอินเตอร์เน็ตหรือภายในระบบของเราได้โดยที่จะไม่มีการตรวจจับใด ๆ เกิดขึ้น

ในอีกฟากหนึ่งของโลก เราก็ได้เห็นแล้วว่า AI ก็สามารถตัดสินใจในเหตุการณ์ต่าง ๆ ได้มากขึ้น เก่งขึ้นจนสามารถขับรถได้, สามารถพูดโต้ตอบและตอบคำถามยาก ๆ แข่งกับคนได้, สามารถวิเคราะห์หุ้นได้ และเอาชนะมือโกะระดับโลกมาแล้ว วันนี้ WatchGuard สร้าง Antivirus ด้วย AI engine ที่จะสามารถอ่านไฟล์ ถอดส่วนประกอบ คิดและตัดสินว่า ส่วนประกอบต่าง ๆ เหล่านั้น นำไปสู่การทำงานของไฟล์ ที่เป็น Malware หรือไม่ AI engine นั้นถูกโหลดอยู่บน Firebox เรียกว่า Intelligent Antivirus

แน่นอนว่า AI engine นั้นใช้ CPU พอสมควร Intelligent AV จึงทำงานบนฮาร์ดแวร์ใหม่ ๆ อย่าง M series (Mx70) ขึ้นไป รวมถึง Firebox-V และ Firebox-Cloud ครับ

หากคุณใช้ Firebox รุ่น XTM หรือ M200 และ M300 และต้องการลดความเสี่ยงของระบบ….

ทาง WatchGuard ก็มี Trade up program นะครับ ซึ่งจะทำให้คุณได้ Firebox ใหม่โดยจ่ายเพียงแค่ค่า Subscription เท่านั้น
สนใจ Intelligent AV อ่านเพิ่มที่นี่ ส่วน Trade up program ติดต่อกับเซลส์ได้เลยครับ


บทความนี้จาก act.optimus.co.th/community

สามารถอ่านบทความเพิ่มเติมหรือแลกเปลี่ยนความคิดเห็น สมัครได้ที่ > https://act.optimus.co.th/Main/frmRegister.aspx

 

สอบถามเพิ่มเติมติดต่อแผนก Marketing

02-2479898 ต่อ 87

[email protected]

@optimusthailand

act.optimus โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด

รู้หรือไม่ SEXTORTION SCAM SPAM คืออะไร ??

 

ใครเคยโดนบ้าง ! ช่วงนี้จะมี Email จากคนที่ไม่รู้จักอ้างว่า เขารู้ว่าคุณได้เข้า Website ที่ไม่เหมาะสม และเขาสามารถควบคุมเครื่องคอมของคุณได้พร้อมกับได้ทำการอัด VDO ของคุณทำเรื่องที่ไม่ดีงามเอาไว้ โดยสร้างความน่าเชื่อถือว่าเขาสามารถทำได้จริง ๆ ด้วยการอ้างถึง Password ที่คุณใช้อยู่ หรือ เคยใช้ ใน Email ได้ระบุให้คุณจ่ายเงินให้เขาเป็นจำนวนประมาณ 1,900 USD หากคุณไม่ทำตาม เขาจะนำ VDO ที่มีของคุณไปเผยแพร่ในพื้นที่สาธารณะและส่งให้กับเพื่อนๆของคุณ เพื่อแลกกับความอับอาย  

• หากเกิดเหตุการณ์แบบนี้ คุณจะยอมจ่ายหรือไม่ ?  
สนใจโซลูชั่นแบบนี้เรามีพันธมิตรพร้อมให้คำปรึกษา

02-2479898 ต่อ 87

[email protected]

@optimusthailand