การสำรวจและการแสดงผลตอบแทนจากการลงทุนที่มาจากการแฟกซ์ดิจิทัล

การส่งแฟกซ์เป็นส่วนสำคัญของอุตสาหกรรมต่างๆไม่ว่าจะเป็น การดูแลสุขภาพ กฎหมาย การเงิน รัฐบาล การผลิต มันเป็นเทคโนโลยีที่คงอยู่ เพราะความจำเป็นที่ต้องใช้งาน

แฟกซ์เป็นไปตามข้อกำหนดด้านความปลอดภัยการปฏิบัติตามกฎระเบียบความต้องการทางกฎหมาย สำหรับความสามารถในการทำงานร่วมกันของการสื่อสาร ตัวอย่างเช่นในการดูแลสุขภาพไม่ใช่ทุกระบบบันทึกสุขภาพอิเล็กทรอนิกส์ (EHR) ด้วยการส่งแฟกซ์คุณสามารถพิมพ์บางอย่างในโปรแกรมหรือลงนามใส่คำอธิบายประกอบและส่งแฟกซ์โดยรู้ว่ามีน้ำหนักตามกฎหมายและอ่านง่าย

Faxmaker ช่วยให้เราประหยัดเงินได้เป็นจำนวนมาก

การสำรวจในปี 2020 โดย TechGenixพบว่าผู้ใช้แฟกซ์ส่วนใหญ่เป็น “ผู้ใช้งานไม่มาก” มีการส่งหรือรับเอกสารไม่เกิน 20 หน้าต่อสัปดาห์ อย่างไรก็ตาม 20 เปอร์เซ็นต์ของผู้ที่ตอบแบบสำรวจเป็นผู้ใช้งานจำนวนมากโดยมีการส่งมากกว่า 100 เพจต่อสัปดาห์ น่าแปลกที่หนึ่งในห้าของผู้ใช้แฟกซ์จำนวนมากยังคงใช้เครื่องแฟกซ์กระดาษ

 

กรณีศึกษาล่าสุดของลูกค้า GFI FaxMakerจาก บริษัท ที่ให้บริการทางการเงินในสหรัฐอเมริกา (M-Livingston) แสดงให้เห็นถึงผลตอบแทนจากการลงทุนจากการส่งแฟกซ์ดิจิทัลผ่านเครื่องแฟกซ์แบบกระดาษ

เราส่งแฟกซ์ประมาณ 80,000 ครั้งต่อปี” ผู้อำนวยการฝ่ายไอทีของ บริษัท ที่ให้บริการทางการเงินกล่าว “ วิธีที่เราตั้งค่าระบบโทรศัพท์และ ISP ของเรา FaxMaker ช่วยให้เราประหยัดเงินได้เป็นจำนวนมาก”

 

นอกเหนือจากการประหยัดค่าใช้จ่ายสำหรับผู้ใช้แฟกซ์จำนวนมากแล้วการส่งแฟกซ์ดิจิทัลยังช่วยให้องค์กรต่างๆสามารถจัดการกับการปฏิบัติตามกฎข้อบังคับได้ “ เราใช้โซลูชันเพื่อตอบสนองการปฏิบัติตามข้อกำหนดหรือข้อกำหนดทางอ้อมเนื่องจากลักษณะธุรกิจของเรา เราต้องเป็นไปตามมาตรฐาน HIPAA และเราต้องเป็นไปตามมาตรฐาน ISO เราต้องปฏิบัติตามกฎหมายของนิวยอร์กและเราต้องเป็นไปตามมาตรฐาน ANSI บางประการ” ผู้อำนวยการฝ่ายไอทีกล่าว

แฟกซ์ดิจิทัลยังหมายถึงการประหยัดค่าบุคลากรและทรัพยากรสำหรับ บริษัท เงินทุน

“ ลักษณะของธุรกิจของเราในครั้งหนึ่งคือการลุกขึ้นไปที่ตู้เก็บเอกสารหยิบโฟลเดอร์ไฟล์แล้วส่งแฟกซ์ด้วยตนเอง หากเรามองย้อนกลับไปในวันที่เรายังคงใช้ตู้เก็บเอกสารและเปรียบเทียบกับการใช้สิ่งนี้อาจช่วยให้เราประหยัดเวลาได้ 20 นาทีต่อไฟล์ที่เราทำงานในระหว่างวัน มันเพิ่มประสิทธิภาพการทำงานดังนั้นแทนที่จะจัดการไฟล์หกไฟล์ต่อวันตอนนี้เราจัดการไฟล์ได้มากกว่า 30 ไฟล์ต่อวัน”

ค่านี้ได้รับการสำรองข้อมูลโดยการค้นพบในข้อมูลการสำรวจโทรสารของ TechGenix “ ใช้เวลานาน” เป็นปัญหาทั่วไปสำหรับ บริษัท ที่ให้บริการแฟกซ์ เป็นปัญหาหลักสำหรับผู้ใช้แฟกซ์จำนวนมากและองค์กรด้านการดูแลสุขภาพโดยเฉพาะผู้ที่ยังใช้เครื่องแฟกซ์แบบเดิม

การส่งแฟกซ์เป็นวิธีการสื่อสารจะไม่หายไปในเร็ว ๆ นี้ การศึกษาของ TechGenix แสดงให้เห็นว่าครึ่งหนึ่งของผู้ใช้แฟกซ์จำนวนมากคาดว่าปริมาณแฟกซ์จะเพิ่มขึ้นในปี 2021

“ ธุรกิจของเราต้องการให้เรามีสถานที่ที่สามารถรับเอกสารได้และการส่งแฟกซ์ก็เหมาะกับรูปแบบนั้น” บริษัท ที่ให้บริการทางการเงินกล่าว

สำหรับผู้ใช้แฟกซ์จำนวนมากหลายคนยังคงใช้เทคโนโลยีที่ใช้กระดาษการส่งแฟกซ์ดิจิทัลแสดงให้เห็นถึงการประหยัดค่าใช้จ่ายและผลตอบแทนจากการลงทุนได้อย่างง่ายดาย

สนใจผลิตภัณฑ์ออพติมุสเราพร้อมให้คำปรึกษาแก่หน่วยงานที่ต้องการคำแนะนำในเรื่องโซลูชั่นด้านความปลอดภัยให้เหมาะสมกับหน่วยงานของท่านติดต่อแผนก Marketing

Tel : 02-2479898 ต่อ 87 

เรียบเรียงเป็นภาษาไทยโดย : คุณ ศุภชัย กิตติวรกุล

CYBERSECURITY วางอย่างไรให้ป้องกันได้จริง

 

ผมมีโอกาสได้เข้าร่วมวางแผนการขึ้น Network หลาย ๆ ระบบ ระบบใหญ่ก็มี ระบบเล็กก็เยอะ ก็พูดกันเรื่อง Reliability, Consistency, Efficiency และหัวข้อหนึ่งที่ต้องรวมอยู่ด้วย ขาดไม่ได้ คือ Cybersecurity

ใคร ๆ ก็อยากทำให้ Network ปลอดภัยครับ ส่วนใหญ่จะกังวลกันในเรื่องของการติดไวรัส ติด Ransomware กลัวโดนเจาะระบบเข้ามาทางอินเตอร์เน็ต กังวลเรื่อง DDOS พอจะวางระบบ  ก็จะพยายามวางวิธีป้องกันในหัวข้อพวกนี้ แต่…เคยสงสัยมั้ยครับว่า โจรทำงานอย่างไร อะไรต่อมิอะไรที่เราวางไป มันกันโจรได้จริงหรือเปล่า

ประเด็นคือ ถ้าเราติดตั้งกล้องในจุดที่โจรไม่เดินผ่าน กล้องจะดีแค่ไหน มันก็ไม่ได้ผล โจรปล้นเราไปหมดบ้านแล้ว จับภาพมันไม่ได้ซักแชะ ในทางกลับกัน ถ้าเรารู้ทันโจร เรารู้เลยว่ามันจะงัดหน้าต่างบานนี้เข้ามา เราอาจจะลงทุนแค่ไม่เท่าไหร่ กล้องตัวเดียว กลอนดี ๆ ตัวเดียว ป้องกันตรงจุดและได้ผล ประเด็นคือ เรารู้หรือเปล่าว่า โจรคิดอะไร โจรทำงานอย่างไร มันจะมาไม้ไหน รับมืออย่างไรถึงจะได้เรื่อง สรุปคือ “จะทำ Cybersecurity ต้องรู้ว่า โจร Cyber ทำงานอย่างไรครับ”

ไอ้ว่าจะไปจับโจร Cyber มาเค้นข้อมูล มันคงมีแต่ในหนัง คนไอทีธรรมดาอย่างเราจะไปรู้ได้อย่างไรว่า โจรใช้วิธีไหนในการบุกรุกระบบ คำตอบอยู่กับ Vendor ที่เขาทำ Firewall ทั้งหลายครับ

คนพวกนี้เขาทำผลิตภัณฑ์ขึ้นมารับมือโจร เขาต้องทำในสิ่งที่ “โดน” ดักโจรได้จริง และ Vendor เหล่านี้ก็ทำการบ้านอย่างหนัก ความโชคดีของเราคือ “เขาแชร์ข้อมูลการวิจัยทางโจรให้เราฟรี ๆ ด้วยครับ” โครตดีเลย !!!

ไปโหลดมาอ่านกันนะครับ ค้นคำนี้เลย “Threat Landscape Report” อย่างผมค้นเร็ว ๆ นี่ 3 vendor มีรายงานให้เราเอาไปใช้ได้เลย WatchGuard, Sophos, Fortinet ใครรักชอบค่ายไหน ก็ไปโหลดมาอ่านได้ ข้อมูลที่มีค่าพวกนี้ พี่เขาให้ฟรี ใจดีเหลือเชื่อ

Threat Landscape Report เขาทำกันเป็นราย Quarter ครับ ก็คือรายงานสถิติของการโจมตีที่พบและที่เก็บมาตลอดทั้ง Q นั้น วิธีโจมตีแบบไหนที่ใช้เยอะ ทวีปไหนเป็นต้นตอ ทวีปไหนเป็นเหยื่อ เครื่องประเภทไหนที่โดนเยอะ มือถือ, กล้องวงจรปิด, IoT, Mac, หรือ Windows คือจะเรียกรายงานพวกนี้ว่าเป็น Porforlio รวมผลงานของโจรก็ได้นะครับ

ผมชอบ WatchGuard เป็นการส่วนตัว วันนี้ผมก็จะหยิบ TLR ของเขามาให้ดูครับ เป็นของ Q4 ปี 2018

และอย่างที่ผมบอก เมื่อรู้แล้วว่า โจรทำงานอย่างไร เราก็ทำระบบรับมือโจรในทางนั้น มาดูกันครับว่า TLR ให้ประโยชน์เราได้อย่างไร…

1. TLR รายงานว่า พบ Phishing mail ประเภท Sextortion เพิ่มขึ้น

ว่ากันง่าย ๆ โจรเข้าถึงผู้ใช้แบบตรงถึงตัว ผ่านทาง e-mail แบบนี้เราจะต้องทำระบบป้องกันไม่ให้โจรมาถึงตัวผู้ใช้อย่างไรดีครับ ???

Spam filter คือคำตอบครับ บางออฟฟิศตั้ง Mail server เอง แต่ไม่รู้ว่าจะจัดระบบอย่างไรให้มี Spam filtering บางออฟฟิศซื้อ Mailbox service จากผู้ให้บริการ ที่เขาไม่ได้ให้ความสำคัญกับเรื่อง Spam filtering เท่าไหร่นัก และเราก็ไม่เคยเช็คว่ามี Spam filter หรือไม่อย่างไร ในขณะที่ Q4-2018 ไม่นานมานี่เอง สถิติยืนยันชัดเจนว่า โจรเข้าถึงตัวผู้ใช้ด้วย Phishing mail ถ้าเราป้องกันรูนี้ ก็คือป้องกันโจรอย่างได้ผล TLR ให้ประโยชน์กับเราตรง ๆ ง่าย ๆ แบบนี้ครับ

อบรมผู้ใช้ในออฟฟิศกันหน่อยดีมั้ยครับ หยิบเอาตัวอย่างของ Phishing mail มาเปิดให้ผู้ใช้ดู แล้วแนะนำกันซักหน่อยว่า เจอแบบนี้อย่าคลิก มันของปลอม ผู้่ใช้ที่ระวังตัว ไม่ซี้ซั้วโหลดนั่นคลิกนี่ เป็นภูมิคุ้มกันให้กับระบบได้เป็นอย่างดี Security ไม่ต้องไปลงเอยด้วยการซื้ออุปกรณ์เสมอไปนะครับ

 

2. TLR รายงานว่า Malware ที่ตรวจพบ เป็นประเภท Zero day สูงถึง 37%

แปลว่า Malware พวกนี้ จะมีแต่ APT/Sandbox หรือ Antivirus แบบ AI เท่านั้นที่จะตรวจพบ ลองเช็คกันดูนะครับว่า Antivirus ที่เราใช้อยู่นั้นเป็น Signature base หรือว่าฉลาดกว่านั้น มี Sandbox on cloud หรือเปล่า หรือมี Predictive technology โดยไม่ต้องรอ Virus signature มั้ย ลองโหลดเอกสารจาก Antivirus vendor มาอ่านกันดูครับ เราใช้แบบไหน ล้าสมัยแล้วหรือยัง อุตส่าห์ติดตั้งซะครบทุกเครื่องเลย โจรเขาใช้ Zero day malware เป็นอาวุธ Antivirus ของเราต้องตามให้ทัน ลงทุนให้ถูกจุด รับมือโจรให้ถูกเรื่องครับ ข้อมูลสถิติชี้ชัดขนาดนี้แล้ว



3. TLR รายงานว่า พบ Network attack มากถึง 1,200 วิธีที่แตกต่างกัน

Network attack พวกนี้ พุ่งเป้าไปที่รูรั่วของเซิร์ฟเวอร์ที่ต่อตรงกับอินเตอร์เน็ต หรือแม้จะอยู่หลัง Firewall ซึ่งดูเหมือนว่าจะปลอดภัยแล้ว แต่ดันมีการเปิด Policy ให้เข้าถึงเซิร์ฟเวอร์ได้แบบ Any Any Any มี Firewall ก็เหมือนไม่มีนะครับ

สำรวจระบบของเราครับ เรามีเซิร์ฟเวอร์ที่เปิดอ้าซ่ากับอินเตอร์เน็ตแบบนี้หรือเปล่า เราได้อัพเดต Patch ล่าสุดกันบ้างมั้ย ถ้าไม่เลย อย่างน้อย IPS บน Firewall ที่อยู่หน้าเซิร์ฟเวอร์ ควรเปิดให้ทำ Full scan เอาไว้ โจรเข้าทางนี้ เราก็ตั้งป้อมรับมือโจรกันตรงนี้

แล้วจำเป็นมั้ยที่เราจะต้องเปิดให้เข้าถึงเซิร์ฟเวอร์ได้โล่งโจ้งขนาดนั้น SSH, Telnet, FTP, SMT, RDP พวกนี้ไมน่าจะเปิดล่อเอาไว้กับอินเตอร์เน็ต แค่ปิดก็ปลอดภัยแล้ว โจรเข้ามาไม่เจอประตูให้เข้า โจรไม่เสียเจาะอะไรลึกซึ้งครับ ก็แค่หนีไปจัดการกับเซิร์ฟเวอร์ตัวอื่นที่เปิดประตูต้อนรับ ง่ายกว่า

อย่าลืมนะครับ!! สถิติย้ำว่า โจรพยายามเข้าทางนี้ เราก็จะป้องกันรูนี้ ตรง ๆ ง่าย ๆ

TLR นี้เป็นเอกสารเผยแพร่ครับ โหลดได้ฟรี ไม่ต้องมี Signup ไม่ต้องแลกมาด้วย E-mail อย่างที่บอกครับ ชอบค่ายไหน ก็โหลดค่ายนั้นมาอ่าน หรือจะโหลดทั้งหมดมาอ่านก็ยิ่งดีครับ เราเรียนรู้ทางโจรจากเอกสารพวกนี้ พอจัดวางระบบ Security ก็จะรับมือโจรได้ตรงจุด

ขอให้ปลอดภัยในโลก Cyber ครับ…

CYBERSECURITY ต้องทำเท่าไหนถึงจะเรียกว่าปลอดภัย

เยอะที่สุดเท่าที่จะมากได้ มีอะไรใส่เข้าไปให้หมด ฮาร์ดแวร์ ซอฟต์แวร์ สารพัดหน้าที่ อบรมฝ่าย IT เพิ่มและพนักงานองค์กร เสริมด้วยระบบ Monitoring / Alert / Alarm ตบท้ายด้วย Cer โหด ๆ เข้ม ๆ ด้าน Security อีกซะ 2 มาตรฐาน ถ้าเทียบกับบ้าน ก็คือ จัดทหาร-ตำรวจลาดตระเวณรอบพื้นที่ในและนอกเครื่องแบบ หน้าบ้าน-หลังบ้านมีรังปืนกลหนัก  ติดตั้งระบบ sensor รอบบ้าน มีคนเฝ้าดู 24 ชั่วโมง เจ้าของบ้านหมกตัวอยู่ใน Panic room ตลอดเวลา เอากันอย่างนี้เลย

เว่อร์ไปมั้ย…หรือเราควรทำเท่าที่งบมี…หรือจะทำกันเท่าที่งบหมด งบมากปลอดภัยมาก จริงเหรอ ?

มาลองเป็นโจรกันครับ มีบ้าน 2 หลังนะครับ บ้านนึงมีหมา อีกบ้านนึงไม่มีหมา โจรอย่างเราเลือกเข้าบ้านไหน ก็แน่นอนครับ จะไปเสี่ยงเขี้ยวหมาทำไม เฮ้ย…หมาตัวเดียวเอง ปลอดภัยแล้ว

มีบ้าน 2 หลังนะครับ บ้านนึงมีไฟเปิดในบ้าน อีกบ้านนึงไฟในบ้านไม่ได้เปิด โจรเลือกบ้านที่ไม่ได้เปิดไฟแน่นอนครับ ถ้าเจ้าของอยู่บ้าน คงไม่อยู่มืด ๆ หรอก เห็นมั้ยครับ ปลอดภัยจากโจร ด้วยไฟแค่ดวงเดียว

เวลาโจร Cyber จะเลือกลงมือนะครับ มี 2 เซิร์ฟเวอร์ที่ต่อเน็ตอยู่ ตัวนึงเปิด RDP เอาไว้ อีกตัวไม่ได้เปิด โจรย่อมลงมือกับเซิร์ฟเวอร์ที่เปิด RDP คาเอาไว้บนเน็ต ง่ายกว่าเยอะ

มองภาพใหญ่กว่านั้นครับ คุณว่าในโลกนี้ มีเซิร์ฟเวอร์ที่เปิด RDP คาเอาไว้บนเน็ตกี่เครื่อง คงจะไม่ต่ำกว่าหมื่น แม้เซิร์ฟเวอร์ที่ไม่ได้เปิด RDP คงจะมีอยู่หลายแสน แต่อีกเป็นหมื่นเครื่องที่เปิดหน้าบ้านคาเอาไว้ นั่นคือเป้าของโจรครับ มีเหยื่อที่ง่าย จะมาเสียเวลากับเหยื่อที่ยากกว่าทำไม

Cybersecurity ในขั้นต้น จึงหมายถึงการย้ายตัวเองออกจากการเป็นเป้า

…………..เท่านั้นเอง…………..

ก่อนที่จะทำให้ระบบปลอดภัย การไม่ตกเป็นเป้าของโจร มันง่าย ใช้งบน้อย ใช้ความรู้น้อย และความซับซ้อนก็น้อยด้วย ดังนั้น เวลาของมองระบบ ก่อนที่ผมจะมองว่า Security system ของระบบนั้นเจ๋งขนาดไหน ผมมองด้วยสายตาโจรก่อนเลยว่า ระบบนี้อยู่กลุ่มไหน กลุ่มง่ายหรือกลุ่มยาก

ผมเห็นหลายระบบ มี Firewall ราคาเป็นล้าน ฟีเจอร์สุดอลังการ แต่ก็เปิด RDP เอาไว้ให้พุ่งเข้าหาเซิร์ฟเวอร์ได้ ก็มักจะมีเหตุผลกันว่า โปรแกรมเมอร์จะ remote เข้าไปมาทำงาน หรือ engineer จากบริษัทที่เราซื้อของ เขาจะ remote เข้ามาเซ็ตอุปกรณ์ ต้องบอกว่า ระบบส่วนใหญ่ที่โดน Ransomware ก็เริ่มต้นกันที่จุดนี้

เป้าของโจรก็คือ

– Admin port หรือ config port ที่เปิดคาเอาไว้บนเน็ต เช่น RDP, SSH, Telnet, TCP-443 ที่เข้าตรงถึง admin console ฯลฯ

– Password ที่เดาง่าย P@ssw0rd รหัสผ่านนี้ยังใข้กันอยู่ใน admin account หรือเปล่าครับ

– เซิร์ฟเวอร์หรืออุปกรณ์ที่ไม่อัพเดต Patch ใช้ซอฟต์แวร์เวอร์หรือเฟิร์มแวร์เวอร์ชั่นเก่า ซึ่งโจรเขียนซอฟต์แวร์หรือ Bot มาสแกนหารูรั่วนั้นเรียบร้อยตั้งนานแล้ว Bot มันสแกน IP ไปทั่วโลก ยังไงก็หาเจอ

– ใครที่เปิด admin port เอาไว้ แล้วเปลี่ยนเลข เช่น RDP เปลี่ยนจาก 3389 เป็น 3839 อะไรพวกนี้ ถือว่าดีขึ้นมานิดหน่อย แต่ Bot ก็ยังเก่งที่จะรู้ว่า พอร์ตที่เปิดนั้นหคือ RDP อยู่ดีครับ เปิดพอร์ตแต่เปลี่ยนเลข ก็แค่ยืดเวลาออกไปนิดหน่อยเท่านั้น

บรรดาลูกค้าที่เล่าประสบการณ์ระบบของตัวเองให้ฟัง เรื่องเซิร์ฟเวอร์ที่ติด Ransomware หรือโดนฝัง Malware เข้าไปใน web server ทุกรายมีสิ่งที่เหมือนกันคือ เขาเปิด admin port คาเอาไว้บนอินเตอร์เน็ต หรือไม่ก็ตั้ง admin password แบบเดาได้

ทำให้ปลอดภัยในขั้นแรก ก็แปลว่า ลดความเสี่ยงนั่นเอง เป็นขั้นแรกที่จะก้าวข้ามไม่ได้ซะด้วย

คุณจะเห็นภาพอะไรถ้าผมบอกว่า “บางระบบ โจรมันไม่เหลียวมองมาเกือบ 20 ปีแล้ว” ผมไม่ได้พูดถึงระบบ Security สุดยอดชั้นเยี่ยมเลยซักนิด การทำ Cybersecurity เราสามารถผสานแนวคิดธรรมชาติเพื่อความอยู่รอดปลอดภัยมาใช้ได้ครับ พรางตัว-ตั้งรับ-สู้-หนี ถ้าทำครบ 4 แล้วยังโดนจับกินอีก ก็ถือว่าตายอย่างสมศักดิ์ศรี วันนี้ที่เราคุยกัน จึงเน้นไปที่เรื่องของการพรางตัวครับ อย่างที่ผมบอก มันทำได้ง่าย-ราคาถูก-ได้ผลดี

ทั้งนี้ ถ้าระบบของคุณเป็นบริษัท Top 500 หรือเป็นหน่วยงานระดับสูงของรัฐบาล เป็นหน่วยงานด้านความมั่นคงของประเทศ ระบบพวกนี้คงไม่ต้องพูดถึงเรื่องพรางตัวนะครับ พรางยังไงก็ตกเป็นเป้าครับ เหมือนคนตัวใหญ่พยายามไปหลบกระสุนอยู่หลังปลากระป๋องอ่ะครับ

ลองสำรวจระบบของเรากันครับ เราไม่ใช่บริษัทยักษ์ใหญ่ ก็พยายามขยับระบบของเราออกมาจากเหยื่อเป้าหมาย ถ้ายังมีอะไรที่เปิดรั่วอยู่บนเน็ต ก็แค่ปิด และหาทางเข้าทางอื่นที่ปลอดภัย VPN บ้าง Remote management software มีให้เลือกเยอะแยะ ตั้ง password ของ Admin เป็นชื่อผลไม้ในภาษาอีสานก็ได้ รับรองว่าไม่มีใน dictionary ฝรั่งแน่นอน ง่าย ๆ เท่านั้นเองครับ


● ติดตามข่าวสารอัพเดตหลากหลายเรื่องจากผู้เขียนมือโปรทั้งหมดได้ที่  >> https://optimus.co.th/category/knowledge/training-knowledge
 
● ในแอพ blockdit  โหลดแอปได้ที่ blockdit.com พิมพ์ค้นหาคำว่า “Optimus Thailand”

FIREWARE OS รองรับ EDNS จะเกือบ 10 ปีแล้ว

 

หลายท่านคงจะได้รับทราบข่าว DNS Flag day คือการที่ DNS server จะพร้อมใจกันหันมาใช้ eDNS ที่มีขนาด packet ใหญ่กว่า 512 ไบต์กันอย่างเต็มตัว ซึ่งมีความหมายในทำนองเดียวกันกว่า DNS server ทั่วโลกก็จะปฏิเสธ DNS query แบบเก่าที่มีจุดอ่อนมากมาย โดยมีการกำหนดวันที่จะเริ่ม “เอาจริง” กันในวันที่ 1 กุมภาพันธ์ 2019 นี้
 
ผลก็คือ เกิดความโกลาหลกันไปพอสมควร องค์กรในไทยอย่าง ThaiCERT ก็ออกโรงเตือน และคนเขียนข่าว-เขียนเรื่องด้านไอทีอีกหลายคน Blogger, post, share, comment ต่างก็หยิบเอาเรื่องนี้มาเตือนต่อ ๆ กันไป ลามมาถึง Firewall และ UTM ที่ถูกตั้งคำถามเหมือนกันว่า รองรับ eDNS หรือไม่ และจะมีปัญหาในการทำงานในวันที่ 1 กุมภาพันธ์นี้ หรือไม่
 
ต้องบอกว่า eDNS นั้นมีมาจะเกือบ 10 ปีแล้วครับ และ Vendor ใหญ่ ๆ ทุกค่ายต่างก็รองรับ eDNS นี้หมดเลย อย่าง Fireware OS ก็รองรับมาตรฐานนี้ตั้งแต่ 9 ปีที่แล้วนู่น หรือยกตัวอย่าง Windows ก็มี DNS server ในตัวที่รองรับ eDNS ตั้งแต่ Windows 2003 นู่นแล้ว และเชื่อว่า Firewall อื่น ๆ รวมถึง DNS server อีกหลาย ๆ ตัวในตลาด ก็รองรับ eDNS เรียบร้อยแล้วเช่นกัน อาจจะหลงเหลือ DNS server เพียงบางตัวเท่านั้นที่ยังใช้ code เก่าแก่ ซึ่งถึงเวลาจะต้องปรับเปลี่ยนซะที เพราะ code เก่าก็เต็มไปด้วยช่องทางให้โจรใช้ DNS server นั้นเพื่อโจมตีคนอื่น
 
Fireware OS ของ WatchGuard รองรับทั้ง eDNS และรองรับไปถึง DNSSEC ที่เป็นมาตรฐานที่ใหญ่กว่าและมีความปลอดภัยสูงกว่า ตามเอกสารนี้
 
สบายใจได้ครับ รอบตัวของเราเต็มไปด้วยอุปกรณ์ที่รองรับ eDNS เกือบทั้งหมด มาตั้งแต่นมนานแล้ว เรียกว่า ถ้าอยากจะหา DNS server ที่ไม่รองรับ eDNS จากรอบตัวเรา กลับเป็นเรื่องที่หายากกว่า แทบจะต้องควานหากันเลยทีเดียว

OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด

FIREWALL ที่คุณเสนอ ป้องกัน RANSOMWARE ได้ป่ะ

 


คุณตอบคำถามนี้กับลูกค้าไปว่าอย่างไร ?

เป็นคำถามยอดฮิตอีกคำถามหนึ่ง ซึ่งคุณอาจจะเคยได้ยินคำโฆษณา Firewall ที่ผู้ขายเคลมว่า มี Antivirus ในตัว และมีสรรพคุณอีกต่าง ๆ นา ๆ ที่ช่วยป้องกัน Ransomware ได้

● ใคร ๆ ก็อยากซื้อนมผงที่กินแล้วลูกฉลาด

● ใคร ๆ ก็อยากกินยาเม็ดเดียวแล้วหายปวดหัว

ยังเคยมีลูกค้าถามผมว่า “มีมั้ย โปรแกรมสแกนไวรัสที่มันวิ่งไปฆ่าไวรัสทุกเครื่องทั้งระบบเลย”

เพราะเป็นเรื่องที่เข้าใจง่ายกว่าเวลาที่ผู้ขายอธิบายว่า Solution = Product และลูกค้าก็ยอมรับแนวคิดนี้ได้ค่อนข้างง่าย มโนไปไกลว่า ซื้อ Firewall มาตั้ง แกะกล่องแล้วเสียบปลั๊ก Ransomware มันจะไม่เข้ามาใกล้ระบบอีกต่อไป             

เอิ่ม…Firewall นะครับ ไม่ใช่อาร์ทควัน

ในความเป็นจริง มีแต่ปัญหาง่าย ๆ เท่านั้นที่ Solution = Product กล่าวคือ ถ้าฉีกซอง เทใส่ชามตามด้วยน้ำเดือด นั่งรอ 3 นาที แล้วหวังว่าสิ่งที่อยู่ในชาม มันจะพองออกมาเป็นหมี่เกี๊ยวปูหมูแดงโปะไข่ออนเซ็น ก็แนะนำให้คุณห่าง ๆ การ์ตูนโดเรม่อนซักระยะนะครับ

Demand ที่ซับซ้อน ปัญหายาก ๆ ไม่สามารถรับมือได้ด้วย Product เพียงตัวเดียวครับ

Ransomware เป็นผลงานชิ้นโบว์แดงที่ผู้ร้ายใช้ความรู้และความพยายามสร้างมันขึ้นมา การจะรับมือจึงต้อง Integrate เครื่องมือหลายอย่างมาทำงานเป็นขบวนการป้องกันที่ได้ผล

Ransomware ส่วนใหญ่ส่งมาทาง e-mail การป้องกัน Ransomware ที่มีประสิทธิภาพ จึงเริ่มจาก SpamBlocker ที่เก่ง ซึ่งวิธีการส่ง Ransomware ของผู้ร้ายเป็นลักษณะการส่ง Spam mail จึงทำให้ SpamBlocker สามารถกำจัด Ransomware ที่มากับ Spam mail ออกไปได้เป็นจำนวนมาก

การสแกน Attach file ที่มากับ e-mail ที่ระดับ Mail server ก็ได้ผลดีมาก ซึ่ง Scan Engine ก็มีทั้งแบบ Signature base, แบบ APT sandbox, และเดี๋ยวนี้ไปไกลถึงขั้น Scan engine มีความคิดแบบ AI แยกแยะไฟล์ดีออกจากไฟล์ Malware ได้เองแล้ว

Ransomware เกือบทั้งหมด จะถูกกำจัดออกด้วย 2 ขบวนการนี้ (Spam และการสแกน Attach file) จาก 100 เหลือไม่ถึง 5 ที่หลุดรอดไปชั้นถัดไปได้

แม้ Ransomware จะมาถึง Mailbox ของผู้ใช้ แต่ผู้ใช้ที่ได้รับการฝึกให้ระวังตัว ไฟล์ประหลาดพวกนี้ก็จะถูกผู้ใช้ลบทิ้งในทันที ระบบก็รอดปลอดภัยเช่นกัน

ถ้าเกิดผู้ใช้หลับหูหลับตาคลิกมันไปเรื่อย ก็ยังมี Antivirus บนเครื่อง client ที่อาจจะตรวจจับและหยุดการทำงานของ Ransomware ได้

Ransomware อาจจะไม่ได้แนบเป็นไฟล์มากับ e-mail แต่เป็นข้อความที่บอกให้ไปคลิกโหลดไฟล์จากเน็ตอีกที แบบนี้ Firewall ก็จะสามารถป้องกันไม่ให้ผู้ใช้โหลดไฟล์มาที่เครื่องได้ เป็นการทำงานร่วมกันของ WebBlocker และ Antivirus บน Firewall

ถ้า Ransomware หลุดรอดเข้ามาในเครื่องและเริ่มทำงานได้ Firewall ที่ config ได้อย่างถูกต้อง ก็ป้องกันไม่ให้ Ransomware ติดต่อกลับไปยัง Command center ของผู้ร้ายเพื่อส่ง Private key (กุญแจถอดรหัสไฟล์) กลับไปให้ผู้ร้าย แบบนี้ Ransomware หลายตัวก็จะไม่เริ่มทำงานเช่นกัน

สมมติว่า Ransomware เริ่มทำงานได้ และเริ่มเข้ารหัสไฟล์แล้ว ถ้า File server ตั้งอยู่หลัง Firewall อย่างน้อยก็มี Log จาก Firewall ที่จะฟ้องว่า Client เครื่องไหนที่มี Ransomware อาศัยอยู่ เราก็สามารถกำจัดเครื่องนั้นออกจากระบบได้อย่างแม่นยำ โดยไม่ต้องกังวลว่า จะโดนอีกมั้ย

มาตรการสุดท้าย แม้ไฟล์จะถูกเข้ารหัสทั้งหมด ก็แค่เอา File backup ของเมื่อคืนกลับมา ก็เสียหายแค่ครึ่งวันที่ไม่มี Backup เท่านั้นเอง

การป้องกัน Ransomware จึงเท่ากับ SpamBlocker engine + Mail antivirus scan + User training ที่สม่ำเสมอ + Client antivirus scan + WebBlocker + Firewall log/report engine + Data backup

Solution ที่ใช้จัดการกับ Ransomware จึงหมายถึง Framework อันเกิดจาก Integration ของ Product หลาย ๆ ตัว ที่ถูกจับมาทำงานร่วมกันโดยมืออาชีพ ที่เข้าใจหลักการทำงานและวิธีไล่จับ Ransomware

Firewall ไหนป้องกัน Ransomware ได้ คุณรู้คำตอบหรือยัง !!



สอบถามรายละเอียดเพิ่มเติม เรามีพันธมิตรพร้อมให้คำปรึกษา

02-2479898 ต่อ 87

marketing@optimus.co.th

@optimusthailand

OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด

เอ่า…FIREWALL มันไม่ใช่แบบนี้เหรอ (ยังไม่จบ มาเรื่อย ๆ)

 

คิดว่า : ตอนนี้เราออกเน็ตผ่าน Firewall แล้ว เราจะไม่โดนโจมตีจากอินเตอร์เน็ตแล้ว เราปลอดภัยแล้ว
 
ความจริง: 
 
Firewall ไม่ใช่เครื่องกรองน้ำนะครับ ข้อมูลที่ไหลผ่าน Firewall แล้วมันจะกรองสิ่งสกปรก ดูดไวรัสออกไป ไม่ใช่แบบนั้นครับ
 
Firewall เป็นเหมือนจักรเย็บผ้า ที่ไม่มีช่องใส่ผ้า-ด้าย-กระดุม-ซิป ที่ด้านหนึ่ง กดปุ่ม แล้วไปรอรับกางเกงจากอีกช่องหนึ่ง และถ้าเราได้ช่างตัดเสื้อที่ไม่เก่ง ต่อให้จักรเย็บผ้าเก่งแค่ไหน ยี่ห้อดีล้ำเลิศแค่ไหน กางเกงก็ขาไม่เท่ากันได้นะครับ ซึ่งจะไปโทษผู้ผลิตจักรเย็บผ้า หรือจะเปลี่ยนเป็น
จักรเย็บผ้ายี่ห้ออื่น ผลที่ได้ก็ยังเป็นกางเกงขาไม่เท่ากันเหมือนเดิมครับ
 
จักรเย็บผ้าต้องการช่างเย็บผ้า Firewall ก็ต้องการผู้เชี่ยวชาญเข้ามาเป็นผู้ Operate นะครับ อย่ามองหาแต่ Firewall ที่ยอดเยี่ยม แต่ต้องมองหา Operator ที่เชี่ยวชาญด้วย ที่สำคัญ Firewall ไม่ใช่เครื่องกรองน้ำ ข้อมูลไหลผ่าน Firewall ก็ยังสามารถสกปรกและเป็นอันตรายได้ 
 
มีดไม่ได้ผ่า หมอเป็นคนผ่า
 
เลื่อย-ค้อนไม่ได้สร้างเฟอร์นิเจอร์ ช่างเป็นคนสร้าง
 
เขียนนวนิยายมาจากผู้ประพันธ์แน่ ๆ ไม่ว่าเรื่องนั้นจะถูกร่างบนกระดาษยี่ห้อไหน
 
Firewall ไม่ได้สร้างความปลอดภัย Operator ที่นั่งข้างหลังคือคนที่เราต้องให้ความสำคัญ
 
 
คิดว่า : Firewall ของเราเซ็ตโดยคนที่เก่งมาก ผ่านมาปีนึงแล้ว ไม่ต้องปรับแก้อะไรเลย สบายใจเลยแบบนี้
 
ความจริง:
 
ระบบที่อยู่หลัง Firewall ก็เปลี่ยน มีการเพิ่มเซิร์ฟเวอร์ อัพเกรดเวอร์ชั่นของซอฟต์แวร์ อัพเกรด OS เปลี่ยนวิธีการ Access มีการเพิ่มบริการ ฯลฯ ในขณะเดียวกัน ผู้ร้ายก็พัฒนาวิธีใหม่ ๆ มาได้ทุกวัน แต่การป้องกัน ไม่เคยเปลี่ยน ใช้วิธีเดิม ความปลอดภัยมันจะเกิดได้จริงเหรอครับ
 
การที่ระบบทำงานได้ราบรื่น Firewall ไม่แสดง Log อะไรเลย Antivirus หรือ Endpoint security ไม่เคยแจ้งเตือนอะไร แปลได้ว่า ระบบทำงานปกติ แต่ไม่ได้หมายความว่า ผู้ร้ายไม่ได้อยู่ในระบบ ไม่แตกต่างจากระบบกันขโมยที่ตรวจจับความเคลื่อนไหวของโจรไม่ได้
 
ให้เวลาตกใจแป๊บนึงครับ…..
 
• ถ้าคุณเป็นโจร คุณจะเลือกอะไร ระหว่าง
 
– ปล้นสะท้านเมือง เลือกธนาคารระดับประเทศ งานเดียวร้อยล้าน อาจเสี่ยงถึงขั้นต้องยิงต่อสู้ จับตัวประกัน และหนีออกนอกประเทศ
 
หรือ
 
– ปล้นเล็ก ๆ เงินไม่มาก แต่เหยื่อไม่รู้ตัว ปล้นแล้ว กลับมาปล้นซ้ำได้อีก จนกว่าเหยื่อจะรู้และเริ่มป้องกันตัว โจรก็แค่เลิกปล้นเหยื่อรายนี้ แล้วไปปล้นเหยื่ออื่น ปล้นเอาเงินแค่หลักหมื่น ปล้นเหยื่อทีละพันราย ก็ได้หลายล้านในเวลาไม่กี่วันเหมือนกัน
 
พอจะเข้าใจนะครับ โจรทุกวันนี้ เลือกที่จะปล้นเล็ก ปล้นเงียบ ปล้นหลายราย ดังนั้น โจรก็อยากจะให้ระบบของคุณสงบนิ่ง ไม่แสดงปัญหาอะไร ทำงานได้อย่างราบรื่น เพื่อเขาจะได้กลับมาปล้นซ้ำได้อีกเรื่อย ๆ โจรเดี๋ยวนี้รู้จักคิดเรื่องกำไร-ขาดทุน การล่มระบบของเหยื่อคืองานที่ยากและไม่ได้เงิน จะทำไปทำไม ?
 
 
เมื่อมีโจรเข้าระบบ !
 
เวลามีการค้นพบว่า ข้อมูลถูกขโมย หรือมีการลักลอบเข้าระบบ คำถามยอดฮิต มี 2 คำถาม “โจรเข้ามาทางไหน” และ  “โจรเอาข้อมูลอะไรไปบ้าง”
 
แต่คำถามที่เหยื่อมักไม่ค่อยให้ความสนใจ คือ “โจรเข้าระบบมาตั้งแต่เมื่อไหร่” เพราะคนมักจะคิดว่า โจรเข้ามาแค่ครั้งเดียว แล้วเราก็พบกับความเสียหายเลย จริง ๆ แล้ว โจรเข้ามาหลบซ่อนในเซิร์ฟเวอร์ และ Copy ข้อมูลหรือฝัง Malware เอาไว้ตั้งนานแล้ว แถมยังเปิดช่องให้โจรอื่น ๆ เข้ามาในระบบได้ง่ายอีกด้วย นี่คือสิ่งที่มักไม่รู้กัน จนวันหนึ่ง มีโจรที่ซุ่มซ่าม สร้างความเสียหายให้กับระบบ นั่นแหละครับ คือวันที่เหยื่อเริ่มรู้ตัว 
 
 
 
 
 
นอกจากนี้ แม้เราจะรู้ตัวแล้ว เรารู้ทางเข้าของโจรแล้ว และอาจจะรู้แล้วด้วยว่า โจรเอาข้อมูลอะไรไปบ้าง เราก็มักจะไม่ได้ค้นเพิ่มต่อว่า โจรได้เปิดช่องทางการเข้าระบบอื่น ๆ เอาไว้อีกหรือไม่ เพราะโจรจะกลับมาเอาข้อมูลอยู่เรื่อย ๆ ครับ
 
โจรลงมือแต่ละครั้ง ได้เงินเป็นจำนวนมากบ้าง (หลายล้าน) น้อยบ้าง (ไม่กี่หมื่น) ผู้ร้ายไม่ขี้เกียจนะครับ แต่ขยันมากอีกต่างหาก
 
การ Revisit ของผู้เชี่ยวชาญเพื่อตรวจดู Log, มา Reconfigure หรือ Apply new method ของ Firewall เป็นเรื่องจำเป็นครับ และควรทำทุก 6 เดือน เพราะคนที่จะติดตามความเคลื่อนไหวของผู้ร้ายโดยตลอด ก็คือ Security expert นี่แหละครับ เราก็ต้องทำให้ Firewall และผู้เชี่ยวชาญ ได้มาเจอกันบ่อย ๆ ครับ 



สอบถามรายละเอียดเพิ่มเติม เรามีพันธมิตรพร้อมให้คำปรึกษา

02-2479898 ต่อ 87

marketing@optimus.co.th

@optimusthailand

OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด

พอร์ตล่อเป้า กับ การทำ FIREWALL อย่างมืออาชีพ

 

โดยธรรมชาติเราไม่เอาตัวเองเข้าไปในที่เสี่ยง ที่เปลี่ยว พื้นที่เสี่ยง เราป้องกันตัวเรา และพื้นที่ของเรา และเรารู้สึกไม่ปลอดภัยเมื่อพบว่า มีใครเข้ามาในพื้นที่หวงห้าม

แต่…ทำไมบน Firewall หลาย ๆ ที่ถึงเปิดพอร์ตล่อเป้ากันจังเลย

 

พอร์ตล่อเป้า คือ พอร์ตที่สามารถใช้เข้าถึง Admin Privilege ได้โดยตรง หรือพอร์ตที่สามารถเข้าถึงจุดอ่อนของ OS ได้โดยตรง เช่น Telnet (TCP23), SSH (TCP22), RDP (TCP3389), MySQL (TCP3306), Windows NetBIOS/SMB (TCP139/TCP445) พอร์ตเหล่านี้ มี Bot มากมายบนอินเตอร์เน็ตที่สแกน IP ต่าง ๆ เพื่อดูว่า เปิดพอร์ตเหล่านี้เอาไว้หรือไม่

 

สแกนเจอแล้วไง…

Bot ก็จะลองวิธีการเจาะระบบแบบง่าย ๆ หลาย ๆ วิธีครับ เช่น ลอง Default password, ลอง Dictionary attack, ลอง Vulnerability หลาย ๆ รูปแบบ ถ้าเข้าได้ ก็แล้วแต่ครับ ถ้าเครื่องเหยื่อนั้นมีข้อมูลที่มีราคา ก็ลงมือขโมย และอาจจะเปิดช่องให้กลับมาขโมยข้อมูลใหม่ ๆ ได้อีกหลายรอบ หรือไม่ก็เปิดช่องให้สามารถ

ควบคุมเครื่องนี้ได้ เก็บเอาไว้เป็น Zombie machine ไว้ก่ออาชกรรมอื่น ๆ ต่อไป จนกว่าเจ้าของเครื่องหรือเจ้าของเซิร์ฟเวอร์จะรู้ตัว

ถ้าหลาย ๆ เดือนแล้ว เจ้าของเครื่องก็ยังเปิดพอร์ตอ้าซ่าอยู่นั่น IP ของเครื่องนี้ก็จะกลายเป็นของมีค่าสำหรับโจร เป็น IP ที่ขึ้นทำเนียบแนะนำโจรด้วยกัน ให้มาแวะขโมยข้อมูลแบบไม่เหนื่อย เพราะเข้าง่าย ไม่มีระบบป้องกันอะไร สังเกตได้ว่า web server ไหนที่ถูกแฮก ก็จะโดนอยู่เรื่อย ๆ จนกว่าจะเริ่มมีการป้องกันตัว

ถ้าเครื่องนี้ไม่มีมูลค่าอะไรอีกแล้ว ไม่มีข้อมูลที่น่าสนใจ ก็ทิ้ง Ransomware เอาไว้หาเงินงวดสุดท้าย ถือซะว่าเป็นค่าเปิดเผยตัวเองให้เจ้าของเครื่องรู้ว่า โดนซะแล้ว (จริง ๆ โดนมาตั้งหลายเดือนแล้ว)

แม้จะทิ้ง Ransomware เอาไว้เรียกค่าไถ่แล้ว ถ้าเจ้าของเครื่องหลัง IP นั้นก็ยังไม่ป้องกันตัวเอง ก็เหมาะอย่างยิ่งที่โจรจะกลับมาปล่อย Ransomware เพื่อหาเงินในรอบที่สอง รอบสาม จนกว่าเซิร์ฟเวอร์นี้จะรู้จักป้องกันตัว หรือจนกว่ากิจการมันจะไม่มีเงินมาจ่าย

 

แล้วทำไมถึงยังเปิดพอร์ตล่อเป้ากันอยู่ได้

“เพราะลูกค้าสั่ง” นั่นคือคำตอบที่ได้ยินมาบ่อยที่สุด ซึ่งน่าจะตีความได้ว่า “ถ้าไม่เปิดพอร์ตให้ ลูกค้าก็ใช้งานไม่ได้ ใช้ไม่ได้ก็แปลว่าไม่จ่าย” ท้ายสุดคนที่ทำ Firewall ก็ไปลงเอยว่าเปิดพอร์ตให้ลูกค้าทุกครั้งไป และเจอบ่อยมากที่แม้จะเปิดพอร์ตแล้ว แต่ลูกค้าก็บอกว่า มันยังเข้าไปไม่ได้ ท่าไม้ตายคือ Any พร้อมกับบอกลูกค้าว่า มันไม่เกี่ยวกับ Firewall แล้ว และปล่อยลูกค้าล่องลอยออกมหาสมุทรไป

เกือบทุกไซด์ที่เซิร์ฟเวอร์ถูกโจมตี มักพบเสมอว่า มีการเปิด Policy ให้เข้าถึงเครื่องในระบบแบบ Any เอาไว้ หรือไม่ก็เปิดพอร์ตล่อเป้าเอาไว้

 

อย่าถามว่าใครผิด

ลูกค้าผิดมั้ยที่ว่าเขาอยากได้แบบนั้นแบบนี้ คนทำ Firewall ผิดมั้ยที่ต้องทำตามลูกค้า (ไม่งั้นไม่จ่าย ไม่เซ็นรับ) ในสถานการณ์แบบนี้ ผมจะแชร์ประสบการณ์ให้ว่า แนวปฏิบัติแบบมืออาชีพเป็นคำตอบที่ดีที่สุดสำหรับทุกฝ่ายครับ

1. คนทำ Firewall ต้องให้ข้อมูลลูกค้าว่า ถ้าเปิดพอร์ตล่อเป้าแล้ว จะเกิดอะไรขึ้น แสดงข้อมูลอ้างอิง เช่น บทความจากอินเตอร์เน็ต วิดีโอแสดงการแฮกระบบ ตัวอย่างในอดีตจากลูกค้ารายอื่น ฯลฯ ในขณะเดียวกัน คนทำ Firewall ที่เป็นมืออาชีพ พึงจะเสนอทางเลือกอื่น เช่น VPN, Authentication, Remote access tools อย่าง TeamViewer หรือ AnyDesk, ฯลฯ เป็นทางออกให้ลูกค้าแทนการเปิดพอร์ตล่อเป้า

ลูกค้าที่ตั้งใจฟังข้อมูล มักเปลี่ยนใจและยินดีใช้ Alternate solution

ในขณะที่ข้อแรกนี้ คนทำ Firewall ที่ไม่เป็นมืออาชีพ มักจะไม่แสดงข้อมูล อาจจะคิดไปเองว่า ลูกค้าคงไม่ฟัง หรือเพราะตัวเองไม่กล้าเสนอ กลัวเก็บเงินไม่ได้ กลัวลูกค้าหงุดหลิด จึงเลือกที่จะเงียบ และทำตามลูกค้าสั่ง ก็เปิดพอร์ต และส่งมอบระบบที่มีความเสี่ยงให้ลูกค้าไป

2. ถ้าให้ข้อมูลแล้ว ลูกค้าก็ยังยืนยันจะให้เปิดพอร์ตล่อเป้า มืออาชีพก็ไม่ขัดลูกค้าครับ ปรับ Policy เปิดพอร์ตให้เลย แต่มืออาชีพ เขาจะช่วยลูกค้า Monitor ระบบหลังเปิดพอร์ตแล้ว และนำข้อมูลมานำเสนอต่อให้ลูกค้าเห็นภาพครับ เช่น Firewall report ที่แสดง IP จากทั่วโลก ที่แวะเข้ามาติดต่อ RDP กับเซิร์ฟเวอร์ของลูกค้า เป็นต้น

ลูกค้าส่วนใหญ่ มักจะยอมปิดพอร์ตล่อเป้าหลังจากได้เห็น Report ของ Firewall ซึ่งก็ถือว่ายังดีครับ ยังไม่สาย ส่วนจะเกิดความเสียหายไปแล้วหรือยัง อันนี้ต้องลุ้นเอาครับ

ข้อสองนี้ คนที่ไม่เป็นมืออาชีพ มักไม่ Monitor อะไรต่อให้ลูกค้า ถือว่า “เตือนแล้วนะ” และทิ้งลูกค้าเอาไว้กับความเสี่ยง

3. ก็มีลูกค้าบางรายครับ จำนวนไม่มาก ได้เห็นรายงานแล้ว เห็นข้อพิสูจน์แล้ว แต่ก็ยังยืนยันจะเปิดพอร์ต เมื่อถึงจุดนี้ มืออาชีพได้ทำหน้าที่โดยสมบูรณ์แล้วครับ หันหลังให้ลูกค้าได้เลย ไม่ต้องดราม่าอะไรใส่ลูกค้า นิ่ง ๆ เงียบ ๆ เพราะลูกค้าบางคนอาจต้องใช้เวลาคิด บางคนอาจต้องได้ประสบการณ์ตรง นีโอยังต้องโดนยิงตั้งหลายนัด กว่าจะฟื้นขึ้นมาเป็น The One ถูกมั้ย

ในไม่ช้าไม่นาน ลูกค้าจะได้รับผลตามที่ตัวเองเลือกอย่างตรงไปตรงมา ในขณะที่มืออาชีพก็เก็บเงินได้ ส่งมอบระบบได้ และหลุดพ้นจากข้อกล่าวหาทั้งปวง ซึ่งจำเป็นอย่างมากที่มืออาชีพ จะมี e-mail ถึงลูกค้า เป็นหลักฐานว่า เราได้ให้ข้อมูลที่จำเป็นต่อการตัดสินใจของลูกค้าแล้ว

พอร์ตล่อเป้า เปิดทิ้งไว้ก็อันตราย สำรวจ Firewall ที่เราส่งมอบให้ลูกค้าไป ถ้าพบว่าเปิดล่อเป้าเอาไว้ ก็ทำงานร่วมกับลูกค้าอย่างเป็นมืออาชีพนะครับ


สอบถามรายละเอียดเพิ่มเติม เรามีพันธมิตรพร้อมให้คำปรึกษา

02-2479898 ต่อ 87

marketing@optimus.co.th

@optimusthailand

OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด

BREACH กับ LEAK

 

สมมติว่า องค์กรหนึ่งเอาข้อมูลขึ้น Cloud บางส่วนเป็นความลับขององค์กร แล้ววันหนึ่ง มีพนักงานเกิดไปเห็นแบบนี้ เฮ้ย เฮ้ย ทำไม Web นี้มันชี้ Link มาที่ Cloud ของเราวะ  นี่มันไฟล์ความลับนี่หว่า อ้าว…แล้วคนคลิกอ่านได้ด้วย โหลด PDF ได้อีกตะหาก ซวยแว้วววววว….

Cloud Service มันก็ไม่ได้เซ็ตง่าย ๆ เสมอไปนะครับ ใครจะไปรู้ว่าต้องปิดโฟลเดอร์ นึกว่าแค่เอาข้อมูลขึ้นไปไว้บน Cloud เฉย ๆ ก็จบแล้ว ก็ไหนว่า Cloud ปลอดภัยมันก็น่าจะปิดโฟลเดอร์ให้เราไม่ใช่เหรอ เราต้องตั้ง Password ด้วยเหรอ มันน่าจะมีคำแนะนำหรือคำเตือนบอกเราบนหน้าจอนะ…..ก็ว่ากันไปนู่น

นั่นแหละครับ คือที่มาของคำว่า Data Leak ที่ไม่เหมือนกับ Data Breach

Data Breach คือการที่เจ้าของข้อมูล เขาได้ป้องกันหรือปกปิดข้อมูลแล้ว แต่มีคนพยายามเอามันออกไป แบบนี้ตาม พรบ.คอม ปี 60 (ขอเรียกสั้น ๆ ตามนี้นะครับ) เขาเรียกว่า “การเข้าถึงโดยมิชอบ ซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึง” Data Breach จึงมีความผิดตาม พรบ.คอม ปี 60 ครับ

Data Leak คือการที่เจ้าของข้อมูลไม่ป้องกันข้อมูลของตัวเอง แล้วคนอื่นเข้าถึงข้อมูลนั้นได้ โดยไม่ได้ผ่านการป้องกันอะไรเลย ก็ไม่เข้าข่ายว่าเป็นการเข้าถึงโดยมิชอบ ก็จะไม่ผิดตาม พรบ.คอม ปี 60 นะครับ ส่วนข้อมูลนั้นจะเป็นข้อมูลลามกหรือเป็นภัยต่อความมั่นคง ก็ยังมีมาตราอื่นและพรบ.อื่น ๆ  เอาไว้เล่นงานคนที่นำข้อมูลนั้นไปใช้หรือสำเนาข้อมูลออกไป

ข้อมูลมันไม่ใช่ทรัพย์ ศาลฎีกามีพิพากษาที่ 5161/2547 อธิบายตาม ป.อาญา 335 ศาลฎีกาท่านพิพากษาว่า ข้อมูลไม่มีรูปร่างให้จับต้องได้ จึงไม่ใช่ทรัพย์…จั่นเจา เจ้าจงฟังไว้

ดังนั้น ใครจะมาก๊อปปี้ข้อมูลที่เราวางไว้บน Cloud หรือเปิดอ้าซ่าเอาไว้โดยไม่ป้องกัน มันก็ไม่ใช่ความผิดแบบลักทรัพย์นะครับ

ข้อมูลจะขึ้น Cloud หรือจะเก็บเอาไว้กับเซิร์ฟเวอร์ที่ออฟฟิศ ถ้าไม่ได้ใส่การป้องกันเอาไว้ เกิดมีคนมาเอาข้อมูลออกไปได้ เขาไม่ผิดนะครับ ว่ากันง่าย ๆ ตามนี้

เรามี WiFi แต่ดันไม่ใส่ Password เกิดบริษัทใกล้เคียงเขามาต่อ Wifi บริษัทเรา แล้วเซิร์ฟเวอร์เราก็เปิด Everyone Readonly เอาไว้ File Sharing ขำ ๆ แบบนี้เชิญคนให้มาดูข้อมูล ก๊อปปี้ข้อมูลออกไปหมดโฟลเดอร์ แบบที่เราเอาผิดเขาไม่ได้นะครับ กลายเป็นโจ๊กขำไม่ออกไปอีกนานเลย

เราทำ Web ใส่ข้อมูลเยอะแยะพร้อมทำหน้า Login ซะดิบดี แต่ดันเปิดอ้า FTP แบบ Anonymous เอาไว้ 55555 เดินเข้าหลังบ้านหยิบข้อมูลความลับออกไปได้ง่าย ๆ สบาย ๆ  ไม่ผิดกฎหมายนะครับพี่น้อง

แม้จะตั้ง Password ติงต๊องอย่าง 12345678 ก็ถือว่ามีการป้องกันแล้ว ตามกฎหมายก็ถือว่าได้เปลี่ยนจาก Data Leak เป็น Data Breach แม้ไม่มีผลกับ Security เพราะ Password งี่เง่าแบบนี้ใครก็เดาออก แต่ถ้าเกิดจับคนร้ายได้ มันมีผลต่อการดำเนินคดีเอาผิดกับคนร้าย ซึ่งดีกว่าเห็นคนร้ายเดินจากไป แบบที่เราทำอะไรมันไม่ได้เลย

ดังนั้น ข้อมูลอะไรที่มันเป็นความลับ ก็ปกปิดป้องกันเอาไว้ให้ดีครับ เพราะ Data Leak นั้น เราเอาผิดใครไม่ได้ กฎหมายก็ไม่ช่วย ไม่ใช่ความซวยมาเยือน โปรดอ่านคำเตือนบนฉลากก่อนดื่มทุกครั้ง

● สินค้าที่เกี่ยวข้อง LevelSync



สอบถามรายละเอียดเพิ่มเติม เรามีพันธมิตรพร้อมให้คำปรึกษา

02-2479898 ต่อ 87

marketing@optimus.co.th

@optimusthailand

OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด

เอ่า…FIREWALL มันไม่ใช่แบบนี้เหรอ

 

คิดว่า: Firewall มีเอาไว้ป้องกันไวรัสเข้าระบบ

ความจริง : มันก็มีส่วนจริง แต่ภาพมันเล็กมากครับ เหมือนซื้อที่ล็อคเกียร์เพื่อเอามาล็อคเกียร์ ก็เพ่งกันเข้าไปตรงกระปุกเกียร์ จอดรถทิ้งไว้หน้าบ้าน โจรยังไม่มา ไฟแนนซ์มาก่อน ยกล้อหน้าแล้วลากรถไปทั้งคันซะงั้น 

เวลาเราพูดถึง Cybersecurity เราพูดถึงโจรกับการป้องกันทรัพย์สินของเรา อย่าง Ransomware นั่นไม่ใช่แค่ไวรัส มันคือเครื่องมือของโจร ส่งมาเอาทรัพย์สินของเรา โจรทำการบ้านมาเยอะ มาก และใช้หลายวิธีที่จะเอาทรัพย์สินของเรา เปลี่ยนนิยามของ Firewall ซะใหม่นะครับ Firewall คือวิธีหนึ่งในการรับมือกับโจร 

• อยากให้เข้าใจในภาพกว้างนะครับ Firewall มีไว้กันไวรัสก็ได้ แต่งานหลักของมันคือเอาไว้ป้องกันโจรครับ  

คิดว่า: เราต้องป้องกันไม่ให้โจรเข้าระบบ เราต้องหา Firewall ยี่ห้อสุดยอดที่สุดในตลาดมาใช้

ความจริง : ค้นรูปจาก Google ด้วยคำว่า Cyber kill chain นะครับ นั่นคือวิธีคิดและวิธีปฏิบัติของโจรเวลาจะบุกรุกระบบ ซึ่งไม่แตกต่างจากโจรงัดบ้าน ก็คือต้องมีการ Recon (Reconnaissance) คือ สำรวจดูลาดเลาก่อน โจรจะหาจุดอ่อนของระบบให้เจอและเข้าทางนั้น ดังนั้น การป้องกันที่เราจะทำกับระบบ ต้องไปเป็นแผงในหลาย ๆ จุด 

แนวคิดเดียวกันคือ เราหาระบบกันขโมยจัดหนักติดตั้งหน้าบ้าน แต่หลังบ้านไม่มีอะไรเลย โจรมา Recon ดูแล้ว โจรเลือกเข้าทางหลังบ้านแน่นอนครับ

ติดระบบที่หน้าบ้าน และหลังบ้าน โจรก็เข้าทางหน้าต่างได้นะครับ

ผมเคยเห็นโจรแกะกระเบื้องหลังคา ปีนเข้าบ้าน ยังมีเลย เสียแรงน้อยกว่าตัดเหล็กดัดซะอีก

การทำ Security ให้กับระบบ จึงเน้นที่การสำรวจหาจุดอ่อนและปิดให้หมด  มากกว่าการเสาะหาการป้องกันที่ล้ำเลิศในจุดใดจุดหนึ่งครับ Firewall เป็นเพียงจุดเล็ก ๆ ของ Security framework เท่านั้น ยังมี Antivirus บน Client มี Group policy หรือ User right assignment ที่เหมาะสม มีเรื่อง Resource access ที่องค์กรน่าจะหยิบมาพิจารณาและวาง Security framework ที่หนาแน่น

Security framework คือ Integration ของผลิตภัณฑ์ที่หลากหลาย, เครื่องมือป้องกันที่หลากหลาย, ผู้ใช้, นโยบายขององค์กร, มาตรการและระเบียบปฏิบัติ, ผู้เชี่ยวชาญ มาทำงานร่วมกัน มากหรือน้อยก็แล้วแต่ แต่ความปลอดภัย ไม่ใช่ Firewall แค่ตัวเดียวแน่ ๆ ครับ เหมือนกับเราจะทำอาหารให้อร่อย มันไม่ใช่เพราะซีอิ๊วขวดเดียว ถูกมั้ยครับ ทุกอย่างมันต้องครบ มันถึงจะอร่อย

จุดสำคัญของ Security framework ซึ่งเป็นช่องทางที่โจรชอบใช้ที่สุด คือ ผ่านทาง User ครับ กรณี Security breach ใหญ่ ๆ เกิดมาจากความไม่ระแวงและไม่ตื่นตัวของคนทั้งนั้นเลย บางองค์กรไปเล่นใหญ่กับ Firewall แต่ไม่เคยอบรมพนักงานให้ตื่นตัว ก็รั่วกันเยอะแยะนะครับ

• นึกภาพเอาไว้ว่า บ้านที่ติดกันขโมยยี่ห้อแพงระดับแนวหน้า น่ากลัวน้อยกว่าบ้านที่เจ้าของบ้าน อยู่บ้าน ใส่ชุดยูโด และพกปืนพร้อมสู้ตลอดเวลา…เนอะ

คิดว่า: Firewall ที่เราซื้อนี่มันที่สุดของตลาดแล้ว ระบบของเราปลอดภัยแน่นอนแล้ว

ความจริง : ทุกผลิตภัณฑ์ ก็มีรูรั่วของตัวเองครับ ทำความรู้จักกับ CVE นะครับ (Common Vulnerabilities and Exposures) เขาเก็บรวบรวมและทำฐานข้อมูลของรูรั่วของผลิตภัณฑ์ เพื่อเป็นประโยชน์ต่อทุก ๆ คนนะครับ 

อยากรู้ว่า Firewall ที่คุณใช้อยู่ OS หรือเฟิร์มแวร์ของ Firewall มันมีรูรั่วมากแค่ไหน อ้างอิงจากที่นี่ครับ  ลองป้อนชื่อของ Vendor ที่เรารู้จักเข้าไปในช่อง Vendor search 

อ่าว…เฮ้ย Firewall ที่เราใช้ มัยมันมีรูรั่วเยอะแยะอย่างนี้วะ

ประเด็นไม่ได้อยู่ที่ว่า ยี่ห้อไหนหรือรุ่นไหน ใครมีรูรั่วมากน้อยกว่ากัน แต่เราจำเป็นจะต้องอ่านเจาะเข้าไปที่ CVE แต่ละฉบับเพื่อดูว่า รูรั่วนั้น ทาง Vendor เขามี Patch แล้วหรือยัง และผลิตภัณฑ์ที่เราใช้อยู่นั้น เรารู้หรือเปล่าว่า การที่เราไม่ได้ใช้เฟิร์มแวร์ล่าสุด เรามีความเสี่ยงอะไร

คำว่า “สุดยอด” ไม่ได้มาจากรุ่นและยี่ห้อครับ มันอยู่ที่เฟิร์มแวร์ มันอยู่ที่ Config มันอยู่ที่ Integration ขาดอะไรไปอย่างหนึ่ง มันก็เป็นไปอย่างที่ฝรั่งเขาใช้คำว่า “Lost integrity” นะครับ

• ยังมีอีกครับ เรื่องความเข้าใจของ Firewall ที่ผมเคยได้ยินมา สัปดาห์นี้เอาเท่านี้ก่อน



สอบถามรายละเอียดเพิ่มเติม เรามีพันธมิตรพร้อมให้คำปรึกษา

02-2479898 ต่อ 87

marketing@optimus.co.th

@optimusthailand

OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด