เยอะที่สุดเท่าที่จะมากได้ มีอะไรใส่เข้าไปให้หมด ฮาร์ดแวร์ ซอฟต์แวร์ สารพัดหน้าที่ อบรมฝ่าย IT เพิ่มและพนักงานองค์กร เสริมด้วยระบบ Monitoring / Alert / Alarm ตบท้ายด้วย Cer โหด ๆ เข้ม ๆ ด้าน Security อีกซะ 2 มาตรฐาน ถ้าเทียบกับบ้าน ก็คือ จัดทหาร-ตำรวจลาดตระเวณรอบพื้นที่ในและนอกเครื่องแบบ หน้าบ้าน-หลังบ้านมีรังปืนกลหนัก ติดตั้งระบบ sensor รอบบ้าน มีคนเฝ้าดู 24 ชั่วโมง เจ้าของบ้านหมกตัวอยู่ใน Panic room ตลอดเวลา เอากันอย่างนี้เลย
เว่อร์ไปมั้ย…หรือเราควรทำเท่าที่งบมี…หรือจะทำกันเท่าที่งบหมด งบมากปลอดภัยมาก จริงเหรอ ?
มาลองเป็นโจรกันครับ มีบ้าน 2 หลังนะครับ บ้านนึงมีหมา อีกบ้านนึงไม่มีหมา โจรอย่างเราเลือกเข้าบ้านไหน ก็แน่นอนครับ จะไปเสี่ยงเขี้ยวหมาทำไม เฮ้ย…หมาตัวเดียวเอง ปลอดภัยแล้ว
มีบ้าน 2 หลังนะครับ บ้านนึงมีไฟเปิดในบ้าน อีกบ้านนึงไฟในบ้านไม่ได้เปิด โจรเลือกบ้านที่ไม่ได้เปิดไฟแน่นอนครับ ถ้าเจ้าของอยู่บ้าน คงไม่อยู่มืด ๆ หรอก เห็นมั้ยครับ ปลอดภัยจากโจร ด้วยไฟแค่ดวงเดียว
เวลาโจร Cyber จะเลือกลงมือนะครับ มี 2 เซิร์ฟเวอร์ที่ต่อเน็ตอยู่ ตัวนึงเปิด RDP เอาไว้ อีกตัวไม่ได้เปิด โจรย่อมลงมือกับเซิร์ฟเวอร์ที่เปิด RDP คาเอาไว้บนเน็ต ง่ายกว่าเยอะ
มองภาพใหญ่กว่านั้นครับ คุณว่าในโลกนี้ มีเซิร์ฟเวอร์ที่เปิด RDP คาเอาไว้บนเน็ตกี่เครื่อง คงจะไม่ต่ำกว่าหมื่น แม้เซิร์ฟเวอร์ที่ไม่ได้เปิด RDP คงจะมีอยู่หลายแสน แต่อีกเป็นหมื่นเครื่องที่เปิดหน้าบ้านคาเอาไว้ นั่นคือเป้าของโจรครับ มีเหยื่อที่ง่าย จะมาเสียเวลากับเหยื่อที่ยากกว่าทำไม
Cybersecurity ในขั้นต้น จึงหมายถึงการย้ายตัวเองออกจากการเป็นเป้า
…………..เท่านั้นเอง…………..
ก่อนที่จะทำให้ระบบปลอดภัย การไม่ตกเป็นเป้าของโจร มันง่าย ใช้งบน้อย ใช้ความรู้น้อย และความซับซ้อนก็น้อยด้วย ดังนั้น เวลาของมองระบบ ก่อนที่ผมจะมองว่า Security system ของระบบนั้นเจ๋งขนาดไหน ผมมองด้วยสายตาโจรก่อนเลยว่า ระบบนี้อยู่กลุ่มไหน กลุ่มง่ายหรือกลุ่มยาก
ผมเห็นหลายระบบ มี Firewall ราคาเป็นล้าน ฟีเจอร์สุดอลังการ แต่ก็เปิด RDP เอาไว้ให้พุ่งเข้าหาเซิร์ฟเวอร์ได้ ก็มักจะมีเหตุผลกันว่า โปรแกรมเมอร์จะ remote เข้าไปมาทำงาน หรือ engineer จากบริษัทที่เราซื้อของ เขาจะ remote เข้ามาเซ็ตอุปกรณ์ ต้องบอกว่า ระบบส่วนใหญ่ที่โดน Ransomware ก็เริ่มต้นกันที่จุดนี้
เป้าของโจรก็คือ
– Admin port หรือ config port ที่เปิดคาเอาไว้บนเน็ต เช่น RDP, SSH, Telnet, TCP-443 ที่เข้าตรงถึง admin console ฯลฯ
– Password ที่เดาง่าย P@ssw0rd รหัสผ่านนี้ยังใข้กันอยู่ใน admin account หรือเปล่าครับ
– เซิร์ฟเวอร์หรืออุปกรณ์ที่ไม่อัพเดต Patch ใช้ซอฟต์แวร์เวอร์หรือเฟิร์มแวร์เวอร์ชั่นเก่า ซึ่งโจรเขียนซอฟต์แวร์หรือ Bot มาสแกนหารูรั่วนั้นเรียบร้อยตั้งนานแล้ว Bot มันสแกน IP ไปทั่วโลก ยังไงก็หาเจอ
– ใครที่เปิด admin port เอาไว้ แล้วเปลี่ยนเลข เช่น RDP เปลี่ยนจาก 3389 เป็น 3839 อะไรพวกนี้ ถือว่าดีขึ้นมานิดหน่อย แต่ Bot ก็ยังเก่งที่จะรู้ว่า พอร์ตที่เปิดนั้นหคือ RDP อยู่ดีครับ เปิดพอร์ตแต่เปลี่ยนเลข ก็แค่ยืดเวลาออกไปนิดหน่อยเท่านั้น
บรรดาลูกค้าที่เล่าประสบการณ์ระบบของตัวเองให้ฟัง เรื่องเซิร์ฟเวอร์ที่ติด Ransomware หรือโดนฝัง Malware เข้าไปใน web server ทุกรายมีสิ่งที่เหมือนกันคือ เขาเปิด admin port คาเอาไว้บนอินเตอร์เน็ต หรือไม่ก็ตั้ง admin password แบบเดาได้
ทำให้ปลอดภัยในขั้นแรก ก็แปลว่า ลดความเสี่ยงนั่นเอง เป็นขั้นแรกที่จะก้าวข้ามไม่ได้ซะด้วย
คุณจะเห็นภาพอะไรถ้าผมบอกว่า “บางระบบ โจรมันไม่เหลียวมองมาเกือบ 20 ปีแล้ว” ผมไม่ได้พูดถึงระบบ Security สุดยอดชั้นเยี่ยมเลยซักนิด การทำ Cybersecurity เราสามารถผสานแนวคิดธรรมชาติเพื่อความอยู่รอดปลอดภัยมาใช้ได้ครับ พรางตัว-ตั้งรับ-สู้-หนี ถ้าทำครบ 4 แล้วยังโดนจับกินอีก ก็ถือว่าตายอย่างสมศักดิ์ศรี วันนี้ที่เราคุยกัน จึงเน้นไปที่เรื่องของการพรางตัวครับ อย่างที่ผมบอก มันทำได้ง่าย-ราคาถูก-ได้ผลดี
ทั้งนี้ ถ้าระบบของคุณเป็นบริษัท Top 500 หรือเป็นหน่วยงานระดับสูงของรัฐบาล เป็นหน่วยงานด้านความมั่นคงของประเทศ ระบบพวกนี้คงไม่ต้องพูดถึงเรื่องพรางตัวนะครับ พรางยังไงก็ตกเป็นเป้าครับ เหมือนคนตัวใหญ่พยายามไปหลบกระสุนอยู่หลังปลากระป๋องอ่ะครับ
ลองสำรวจระบบของเรากันครับ เราไม่ใช่บริษัทยักษ์ใหญ่ ก็พยายามขยับระบบของเราออกมาจากเหยื่อเป้าหมาย ถ้ายังมีอะไรที่เปิดรั่วอยู่บนเน็ต ก็แค่ปิด และหาทางเข้าทางอื่นที่ปลอดภัย VPN บ้าง Remote management software มีให้เลือกเยอะแยะ ตั้ง password ของ Admin เป็นชื่อผลไม้ในภาษาอีสานก็ได้ รับรองว่าไม่มีใน dictionary ฝรั่งแน่นอน ง่าย ๆ เท่านั้นเองครับ