Skip to content

แนวทางและแผนงานการจัดการเมื่อเกิดวิกฤติเพื่อการเตรียมความพร้อม แก้ไขของ SME

สิ่งสำคัญสำหรับธุรกิจคือต้องเตรียมแผน business continuity และ disaster recovery (BC/DR) ก่อนที่จะถูกโจมตีด้วยแรนซัมแวร์ เพื่อให้สามารถกลับมาดำเนินการได้โดยเร็วที่สุด ทั้งนี้ควรปฏิบัติตามขั้นตอนและแนวทางแก้ไขที่สำคัญเพื่อเตรียมตัวและตอบสนองต่อภัยคุกคามทางไซเบอร์หรือการโจมตีองค์กรของคุณ

ทั้งนี้อาจเริ่มจากง่ายๆ ด้วยการลงโปรแกรมป้องกันไวรัสพร้อมกับแอปพลิเคชั่นเพื่อการสำรองและกู้คืนสำหรับ User หรือเราสามารถเสริมด้วยวิธีการที่ซับซ้อนมากขึ้นด้วย security operation center (SOC) หรือโซลูชันที่มาพร้อมกับเครื่องมือรักษาความปลอดภัยเครือข่ายอื่นๆ เช่น DNS, Web Filtering รวมถึงไฟร์วอลล์ต่างๆ, VPN, การสำรองข้อมูล การกู้คืน ฯลฯ

สิ่งสำคัญคือต้องแน่ใจว่า User หรือ ผู้ใช้ปลายทางได้รับความรู้ ได้รับการฝึกอบรมต่างๆที่เกี่ยวกับภัยคุกคามที่เกิดจากแรนซัมแวร์ซึ่งเป็นส่วนหนึ่งของโปรแกรมฝึกอบรม การตระหนักรู้ด้านความปลอดภัยที่ดี สิ่งสำคัญที่สุดคือ หากเครื่องมือป้องกันและการฝึกอบรมล้มเหลว และองค์กรของคุณถูกบุกรุก คุณต้องมีแผนการป้องกันที่ทำให้ทรัพย์สินและทรัพยากรของบริษัทของคุณสามารถกลับมาทำงานได้รวดเร็วและปลอดภัย

คำถามบางส่วนเพื่อการเริ่มต้นในการเตรียมแผนงาน

  1. ใครจะเป็นผู้มีส่วนร่วมในการกู้คืนและการสื่อสารเมื่อแผน DR ของคุณกำลังดำเนินการอยู่?
  2. องค์กรของคุณสามารถทนทานต่อการหยุดทำงานในช่วงเวลาได้มากแค่ไหน?
  3. Service Level Agreement (SLA) อะไรบ้างที่เราต้องจัดเตรียมให้กับธุรกิจและ User
  4. User ใดที่เราจะทำการกู้ระบบขึ้นมาก่อน
  5. เราต้องใช้เครื่องมืออะไรบ้างในการลดความเสี่ยงและการหยุดทำงานภายในสภาพแวดล้อม?
  6. เครือข่าย User แยกจากเครือข่ายปฏิบัติการหรือเครือข่ายธุรกิจอย่างไร
  7. ระบบ data protection tools สามารถทำให้เรากลับมาทำงานได้เร็วแค่ไหน?
  8. ผู้ใช้จะสามารถรับข้อมูลของตนกลับคืนมาได้หรือไม่หากอุปกรณ์ปลายทางถูกโจมตี
  9. เราสามารถระบุได้ไหมว่าภายในระยะเวลาเท่าไรที่แรนซัมแวร์เข้าสู่เครือข่ายหรืออุปกรณ์ในระบบเป็นครั้งแรก?
  10. เราสามารถหยุดการแพร่กระจายของแรนซัมแวร์หรือมัลแวร์ทั่วทั้งเครือข่ายได้หรือไม่?
  11. เราสามารถฟื้นระบบได้อย่างรวดเร็วในช่วงเวลาที่กำหนดได้หรือไม่?
  12. User สามารถเข้าถึงข้อมูลของตนจากระบบคลาวด์ก่อนที่จะกู้คืนได้หรือไม่

สิ่งที่ต้องมีสำหรับ Application

แนวทางแก้ไขด้านล่าง ควบคู่ไปกับแผน BC/DR ที่ใช้จริง จะช่วยลดความเสี่ยงในองค์กรของคุณและช่วยให้แก้ไขได้อย่างรวดเร็ว

    • Endpoint Security Solution ที่สามารถระบุได้ว่าเหตุการณ์ใดเกิดขึ้นที่ไหนและเมื่อใร
    • DNS Security Solution ที่สามารถหลีกเลี่ยงภัยคุกคามในระดับเครือข่าย
    • โซลูชันสำหรับการสำรองและกู้คืนข้อมูลที่สามารถปกป้องข้อมูลได้หากโซลูชันอื่นๆ ถูกโจมตี

แนวทางการสื่อสาร

ที่สำคัญไม่แพ้เทคโนโลยีคือบุคลากรที่จะเข้ามาจัดการระบบที่สนับสนุนหน่วยงานต่างๆภายในองค์กร เช่น ทีม IT  EDP และทีม Helpdesk ของคุณจำเป็นต้องพูดคุยกันเป็นประจำเกี่ยวกับวิธีที่ทีมจะสื่อสารกันเมื่อถูกโจมตี คุณต้องกำหนดว่าใครเป็นผู้รับผิดชอบ ระบบใด และเมื่อใดจัดการอย่างไรเมื่อระบบถูกโจมตี

System Response Ratings

ระบบการ Rating System จะสามารถช่วยในการพิจารณาว่าระบบใดหรือทีมงานใดต้องการระดับหรือความเร็วในการตอบสนองที่สูงกว่า ในการทำเช่นนี้ องค์กรต้องระบุค่าของระบบหรือทรัพยากร และตำแหน่งที่ทรัพยากรนั้นตั้งอยู่พร้อมจัดลำดับความสำคัญในการแก้ไข ซึ่งมักจะถูกกำหนดโดยมูลค่าของทรัพยากรในรูปของเงิน ตัวอย่างเช่น สมมติว่าการสูญเสียในบางระบบที่มีผลต่อรายได้ทำให้ขาดรายได้เป็นจำนวนมาก ในกรณีดังกล่าว อาจจำเป็นต้องจัดลำดับความสำคัญที่สูงกว่าการป้องกันและการแก้ไขสำหรับเซิร์ฟเวอร์อื่นๆ เช่น files Server ทั่วไป

อาจกล่าวได้เช่นเดียวกันสำหรับบุคคลหรือทรัยพยากรที่สำคัญในกลุ่มผู้บริหารระดับสูงที่ต้องเป็นด่านหน้าในการแก้ไขสถานการณ์ ซึ่งต้องแสดงถึงความสำคัญของการทำให้แน่ใจว่าทรัพยากรของพวกเขา เช่น แล็ปท็อปและอุปกรณ์อื่นๆจะได้รับการปกป้องซึ่ง มักจะมีความสำคัญไม่แพ้ กับเซิร์ฟเวอร์ที่สำคัญ ที่จำเป็นต้องจัดประเภทระบบ ผู้ใช้ และลูกค้าที่เกี่ยวกับความสำคัญต่อธุรกิจ

การกู้คืนและการแก้ไข

การกู้คืนเป็นส่วนสำคัญของแผน BC/DR โดยเปรียบเสมือนเป็น playbook ว่าใครต้องทำอะไรและเมื่อไหร่ แต่การกู้คืนข้อมูลของคุณไม่เพียงพอ ผู้ดูแลระบบยังต้องเข้าใจกระบวนการแก้ไขที่จำเป็นเพื่อป้องกันการติดเชื้อเพิ่มเติมของระบบหรือการแพร่กระจายของมัลแวร์ของส่วนที่เหลือภายในองค์กรอีกด้วย

Scenario

Ransomware โจมตี Laptop ของ User โดยเข้ารหัสข้อมูลทั้งหมด โดย Laptop มีการป้องกันไวรัส แต่ไม่มีการทำ DNS Protection โดยระบบทั้งหมดอยู่ภายใต้ไฟร์วอลล์และ การทำงานผ่าน VPN โดยมีการแบ่งเน็ตเวิร์คออกเป็นกลุ่มๆ นอกจากนี้ยังมีทีมรักษาความปลอดภัยนอกเหนือจากทีมสนับสนุนผู้ใช้ปลายทาง แรนซัมแวร์ที่โจมตีเป็นแบบ polymorphic ซึ่งหมายความว่าจะเปลี่ยนแปลงเพื่อป้องกันการตรวจจับ แม้ว่าจะแยกแรนซัมแวร์ออกจากระบบเมื่อเจอเป็นครั้งแรกออกแล้วก็ตาม

Solution

ขั้นตอนแรกคือการเข้าเช็คคอนโซลหรือ Dashboard ความปลอดภัยปลายทางเพื่อเรียนรู้ว่ามัลแวร์ถูกพบเห็นครั้งแรกเมื่อใดและที่ใด หากการสำรองข้อมูลยังคงทำงานอยู่ ควรระงับไว้ ณ จุดนี้เพื่อป้องกันไม่ให้มีการสำรองข้อมูลที่ติดไวรัสด้วยมัลแวร์ ซึ่งสามารถทำได้ทั้งจากแดชบอร์ดหรือจากสคริปต์อัตโนมัติเพื่อระงับอุปกรณ์หรืออุปกรณ์ทั้งหมดที่ถูกบุกรุก

Dashboard ควรมีความสามารถในการทำให้ระบบเป็น Single System ในขณะที่สคริปต์ต่างสามารถช่วยได้ในการ handle ร่วมกับอุปกรณ์หลายพันเครื่องในแต่ละครั้ง API สามารถช่วยทำให้กระบวนการทำงานเกิดขึ้นโดยอัตโนมัติ เช่น การระงับการเผยแพร่ของเครื่องเป็นจำนวนมากและการกู้คืนอุปกรณ์กลับมา ในขณะเดียวกันนี้ อาจเป็นการขัดขวางการส่งต่อข้อมูลจากกลุ่มงานที่ติดไวรัส หากเปิดใช้งานการแบ่งส่วนเครือข่ายเพื่อป้องกันการแพร่กระจายของมัลแวร์

ถึงเวลาตรวจสอบแพลตฟอร์มการป้องกันเพื่อกำหนดวันที่ที่ไฟล์ถูกตรวจพบ เวลาที่หยุดนิ่ง และเวลาที่การเข้ารหัส/แรนซัมแวร์เริ่มดำเนินการ เมื่อข้อเท็จจริงเหล่านี้ได้รับการพิจารณาแล้ว ก็เป็นไปได้ที่จะติดตามว่าองค์กรถูกละเมิดอย่างไร การทำความเข้าใจว่ามัลแวร์เข้าสู่เครือข่ายมีความสำคัญต่อการป้องกันการติดไวรัสในอนาคตอย่างไร เนื่องจากในตัวอย่างของเรา อุปกรณ์ที่ติดไวรัสแรนซัมแวร์ และกระบวนการกู้คืนที่ผ่านการทดสอบและเชื่อถือได้แล้วก็เป็นสิ่งจำเป็นเช่นกัน

การทำความเข้าใจไทม์ไลน์ของเหตุการณ์มีความสำคัญต่อกระบวนการกู้คืน จำเป็นต้องทราบเวลาสำหรับขั้นตอนแรกในกระบวนการกู้คืนเพื่อตั้งเวลาในการกู้คืน เมื่อผู้ดูแลระบบไม่สามารถระบุวันที่และเวลาในการกู้คืนได้ อุปกรณ์ที่ได้รับผลกระทบสามารถคอมไพล์เป็นไฟล์ CSV และทำเครื่องหมายด้วยหมายเลขรหัสอุปกรณ์เพื่อเปิดใช้งานการสำรองข้อมูลใดๆ อีกครั้งที่หลังจากที่หยุดลงเมื่อพบการละเมิด

เมื่อข้อมูล แหล่งที่มา รหัสอุปกรณ์เป้าหมาย วันที่ และเวลาที่จะกู้คืนถูกรวมเข้ากับสคริปต์การคืนค่าจำนวนมาก การคืนค่าจำนวนมากสามารถถูกผลักกลับไปยัง Laptop เครื่องเดิมหรือ Laptop เครื่องใหม่ได้ ขณะเดียวกัน โซลูชันที่เป็น web portal สามารถที่จะทำให้กลับไปทำงานได้อย่างรวดเร็ว

สรุป

เครื่องมือที่เหมาะสม การวางแผน ลำดับชั้นความสำคัญ และช่องทางการสื่อสารทั่วทั้งธุรกิจมีความจำเป็นสำหรับโลกไซเบอร์ เมื่อกำหนดไทม์ไลน์ของการละเมิดได้แล้ว องค์ประกอบเหล่านี้จะช่วยฟื้นฟูให้กลับสู่สภาพก่อนการโดนโจมตี ซึ่งกระบวนการสามารถวางแผนและทำให้สมบูรณ์ได้ด้วยการฝึกฝน 

สนใจได้ทดลองใช้และเข้าใจถึงแนวคิดในการป้องกันอุปกรณ์คอมพิวเตอร์ในราคาเบาๆ

Line@

@optimusthailand

Facebook Messenger

facebook/optimusthailand

หากต้องการสอบถามข้อมูลเพิ่มเติม รวมถึงปรึกษาการสร้างความปลอดภัยที่เหมาะสมกับคุณ ให้ปลอดภัยจากภัยคุกคามต่างๆ เราพร้อมยินดีให้คำปรึกษาติดต่อได้ที่         

Tel : 02-2479898 ต่อ 87 

เรียบเรียงเป็นภาษาไทยโดย : คุณ วุฒิชัย ปริญญานุสรณ์

สินค้าที่เกี่ยวข้อง

  • Webroot Endpoint Security

    โปรแกรมสแกนและป้องกันไวรัส Cloud-based สำหรับเครื่องคอมพิวเตอร์ เครื่องวินโดว์เซิร์ฟเวอร์

    Webroot, Security, Endpoint Security

SHARE TO:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on email
Email