ผมมีโอกาสได้เข้าร่วมวางแผนการขึ้น Network หลาย ๆ ระบบ ระบบใหญ่ก็มี ระบบเล็กก็เยอะ ก็พูดกันเรื่อง Reliability, Consistency, Efficiency และหัวข้อหนึ่งที่ต้องรวมอยู่ด้วย ขาดไม่ได้ คือ Cybersecurity
ใคร ๆ ก็อยากทำให้ Network ปลอดภัยครับ ส่วนใหญ่จะกังวลกันในเรื่องของการติดไวรัส ติด Ransomware กลัวโดนเจาะระบบเข้ามาทางอินเตอร์เน็ต กังวลเรื่อง DDOS พอจะวางระบบ ก็จะพยายามวางวิธีป้องกันในหัวข้อพวกนี้ แต่…เคยสงสัยมั้ยครับว่า โจรทำงานอย่างไร อะไรต่อมิอะไรที่เราวางไป มันกันโจรได้จริงหรือเปล่า
ประเด็นคือ ถ้าเราติดตั้งกล้องในจุดที่โจรไม่เดินผ่าน กล้องจะดีแค่ไหน มันก็ไม่ได้ผล โจรปล้นเราไปหมดบ้านแล้ว จับภาพมันไม่ได้ซักแชะ ในทางกลับกัน ถ้าเรารู้ทันโจร เรารู้เลยว่ามันจะงัดหน้าต่างบานนี้เข้ามา เราอาจจะลงทุนแค่ไม่เท่าไหร่ กล้องตัวเดียว กลอนดี ๆ ตัวเดียว ป้องกันตรงจุดและได้ผล ประเด็นคือ เรารู้หรือเปล่าว่า โจรคิดอะไร โจรทำงานอย่างไร มันจะมาไม้ไหน รับมืออย่างไรถึงจะได้เรื่อง สรุปคือ “จะทำ Cybersecurity ต้องรู้ว่า โจร Cyber ทำงานอย่างไรครับ”
ไอ้ว่าจะไปจับโจร Cyber มาเค้นข้อมูล มันคงมีแต่ในหนัง คนไอทีธรรมดาอย่างเราจะไปรู้ได้อย่างไรว่า โจรใช้วิธีไหนในการบุกรุกระบบ คำตอบอยู่กับ Vendor ที่เขาทำ Firewall ทั้งหลายครับ
คนพวกนี้เขาทำผลิตภัณฑ์ขึ้นมารับมือโจร เขาต้องทำในสิ่งที่ “โดน” ดักโจรได้จริง และ Vendor เหล่านี้ก็ทำการบ้านอย่างหนัก ความโชคดีของเราคือ “เขาแชร์ข้อมูลการวิจัยทางโจรให้เราฟรี ๆ ด้วยครับ” โครตดีเลย !!!
ไปโหลดมาอ่านกันนะครับ ค้นคำนี้เลย “Threat Landscape Report” อย่างผมค้นเร็ว ๆ นี่ 3 vendor มีรายงานให้เราเอาไปใช้ได้เลย WatchGuard, Sophos, Fortinet ใครรักชอบค่ายไหน ก็ไปโหลดมาอ่านได้ ข้อมูลที่มีค่าพวกนี้ พี่เขาให้ฟรี ใจดีเหลือเชื่อ
Threat Landscape Report เขาทำกันเป็นราย Quarter ครับ ก็คือรายงานสถิติของการโจมตีที่พบและที่เก็บมาตลอดทั้ง Q นั้น วิธีโจมตีแบบไหนที่ใช้เยอะ ทวีปไหนเป็นต้นตอ ทวีปไหนเป็นเหยื่อ เครื่องประเภทไหนที่โดนเยอะ มือถือ, กล้องวงจรปิด, IoT, Mac, หรือ Windows คือจะเรียกรายงานพวกนี้ว่าเป็น Porforlio รวมผลงานของโจรก็ได้นะครับ
ผมชอบ WatchGuard เป็นการส่วนตัว วันนี้ผมก็จะหยิบ TLR ของเขามาให้ดูครับ เป็นของ Q4 ปี 2018
และอย่างที่ผมบอก เมื่อรู้แล้วว่า โจรทำงานอย่างไร เราก็ทำระบบรับมือโจรในทางนั้น มาดูกันครับว่า TLR ให้ประโยชน์เราได้อย่างไร…
1. TLR รายงานว่า พบ Phishing mail ประเภท Sextortion เพิ่มขึ้น
ว่ากันง่าย ๆ โจรเข้าถึงผู้ใช้แบบตรงถึงตัว ผ่านทาง e-mail แบบนี้เราจะต้องทำระบบป้องกันไม่ให้โจรมาถึงตัวผู้ใช้อย่างไรดีครับ ???
Spam filter คือคำตอบครับ บางออฟฟิศตั้ง Mail server เอง แต่ไม่รู้ว่าจะจัดระบบอย่างไรให้มี Spam filtering บางออฟฟิศซื้อ Mailbox service จากผู้ให้บริการ ที่เขาไม่ได้ให้ความสำคัญกับเรื่อง Spam filtering เท่าไหร่นัก และเราก็ไม่เคยเช็คว่ามี Spam filter หรือไม่อย่างไร ในขณะที่ Q4-2018 ไม่นานมานี่เอง สถิติยืนยันชัดเจนว่า โจรเข้าถึงตัวผู้ใช้ด้วย Phishing mail ถ้าเราป้องกันรูนี้ ก็คือป้องกันโจรอย่างได้ผล TLR ให้ประโยชน์กับเราตรง ๆ ง่าย ๆ แบบนี้ครับ
อบรมผู้ใช้ในออฟฟิศกันหน่อยดีมั้ยครับ หยิบเอาตัวอย่างของ Phishing mail มาเปิดให้ผู้ใช้ดู แล้วแนะนำกันซักหน่อยว่า เจอแบบนี้อย่าคลิก มันของปลอม ผู้่ใช้ที่ระวังตัว ไม่ซี้ซั้วโหลดนั่นคลิกนี่ เป็นภูมิคุ้มกันให้กับระบบได้เป็นอย่างดี Security ไม่ต้องไปลงเอยด้วยการซื้ออุปกรณ์เสมอไปนะครับ
2. TLR รายงานว่า Malware ที่ตรวจพบ เป็นประเภท Zero day สูงถึง 37%
แปลว่า Malware พวกนี้ จะมีแต่ APT/Sandbox หรือ Antivirus แบบ AI เท่านั้นที่จะตรวจพบ ลองเช็คกันดูนะครับว่า Antivirus ที่เราใช้อยู่นั้นเป็น Signature base หรือว่าฉลาดกว่านั้น มี Sandbox on cloud หรือเปล่า หรือมี Predictive technology โดยไม่ต้องรอ Virus signature มั้ย ลองโหลดเอกสารจาก Antivirus vendor มาอ่านกันดูครับ เราใช้แบบไหน ล้าสมัยแล้วหรือยัง อุตส่าห์ติดตั้งซะครบทุกเครื่องเลย โจรเขาใช้ Zero day malware เป็นอาวุธ Antivirus ของเราต้องตามให้ทัน ลงทุนให้ถูกจุด รับมือโจรให้ถูกเรื่องครับ ข้อมูลสถิติชี้ชัดขนาดนี้แล้ว
3. TLR รายงานว่า พบ Network attack มากถึง 1,200 วิธีที่แตกต่างกัน
Network attack พวกนี้ พุ่งเป้าไปที่รูรั่วของเซิร์ฟเวอร์ที่ต่อตรงกับอินเตอร์เน็ต หรือแม้จะอยู่หลัง Firewall ซึ่งดูเหมือนว่าจะปลอดภัยแล้ว แต่ดันมีการเปิด Policy ให้เข้าถึงเซิร์ฟเวอร์ได้แบบ Any Any Any มี Firewall ก็เหมือนไม่มีนะครับ
สำรวจระบบของเราครับ เรามีเซิร์ฟเวอร์ที่เปิดอ้าซ่ากับอินเตอร์เน็ตแบบนี้หรือเปล่า เราได้อัพเดต Patch ล่าสุดกันบ้างมั้ย ถ้าไม่เลย อย่างน้อย IPS บน Firewall ที่อยู่หน้าเซิร์ฟเวอร์ ควรเปิดให้ทำ Full scan เอาไว้ โจรเข้าทางนี้ เราก็ตั้งป้อมรับมือโจรกันตรงนี้
แล้วจำเป็นมั้ยที่เราจะต้องเปิดให้เข้าถึงเซิร์ฟเวอร์ได้โล่งโจ้งขนาดนั้น SSH, Telnet, FTP, SMT, RDP พวกนี้ไมน่าจะเปิดล่อเอาไว้กับอินเตอร์เน็ต แค่ปิดก็ปลอดภัยแล้ว โจรเข้ามาไม่เจอประตูให้เข้า โจรไม่เสียเจาะอะไรลึกซึ้งครับ ก็แค่หนีไปจัดการกับเซิร์ฟเวอร์ตัวอื่นที่เปิดประตูต้อนรับ ง่ายกว่า
อย่าลืมนะครับ!! สถิติย้ำว่า โจรพยายามเข้าทางนี้ เราก็จะป้องกันรูนี้ ตรง ๆ ง่าย ๆ
TLR นี้เป็นเอกสารเผยแพร่ครับ โหลดได้ฟรี ไม่ต้องมี Signup ไม่ต้องแลกมาด้วย E-mail อย่างที่บอกครับ ชอบค่ายไหน ก็โหลดค่ายนั้นมาอ่าน หรือจะโหลดทั้งหมดมาอ่านก็ยิ่งดีครับ เราเรียนรู้ทางโจรจากเอกสารพวกนี้ พอจัดวางระบบ Security ก็จะรับมือโจรได้ตรงจุด
ขอให้ปลอดภัยในโลก Cyber ครับ…