คุณตอบคำถามนี้กับลูกค้าไปว่าอย่างไร ?
เป็นคำถามยอดฮิตอีกคำถามหนึ่ง ซึ่งคุณอาจจะเคยได้ยินคำโฆษณา Firewall ที่ผู้ขายเคลมว่า มี Antivirus ในตัว และมีสรรพคุณอีกต่าง ๆ นา ๆ ที่ช่วยป้องกัน Ransomware ได้
● ใคร ๆ ก็อยากซื้อนมผงที่กินแล้วลูกฉลาด
● ใคร ๆ ก็อยากกินยาเม็ดเดียวแล้วหายปวดหัว
ยังเคยมีลูกค้าถามผมว่า “มีมั้ย โปรแกรมสแกนไวรัสที่มันวิ่งไปฆ่าไวรัสทุกเครื่องทั้งระบบเลย”
เพราะเป็นเรื่องที่เข้าใจง่ายกว่าเวลาที่ผู้ขายอธิบายว่า Solution = Product และลูกค้าก็ยอมรับแนวคิดนี้ได้ค่อนข้างง่าย มโนไปไกลว่า ซื้อ Firewall มาตั้ง แกะกล่องแล้วเสียบปลั๊ก Ransomware มันจะไม่เข้ามาใกล้ระบบอีกต่อไป
เอิ่ม…Firewall นะครับ ไม่ใช่อาร์ทควัน
ในความเป็นจริง มีแต่ปัญหาง่าย ๆ เท่านั้นที่ Solution = Product กล่าวคือ ถ้าฉีกซอง เทใส่ชามตามด้วยน้ำเดือด นั่งรอ 3 นาที แล้วหวังว่าสิ่งที่อยู่ในชาม มันจะพองออกมาเป็นหมี่เกี๊ยวปูหมูแดงโปะไข่ออนเซ็น ก็แนะนำให้คุณห่าง ๆ การ์ตูนโดเรม่อนซักระยะนะครับ
Demand ที่ซับซ้อน ปัญหายาก ๆ ไม่สามารถรับมือได้ด้วย Product เพียงตัวเดียวครับ
Ransomware เป็นผลงานชิ้นโบว์แดงที่ผู้ร้ายใช้ความรู้และความพยายามสร้างมันขึ้นมา การจะรับมือจึงต้อง Integrate เครื่องมือหลายอย่างมาทำงานเป็นขบวนการป้องกันที่ได้ผล
Ransomware ส่วนใหญ่ส่งมาทาง e-mail การป้องกัน Ransomware ที่มีประสิทธิภาพ จึงเริ่มจาก SpamBlocker ที่เก่ง ซึ่งวิธีการส่ง Ransomware ของผู้ร้ายเป็นลักษณะการส่ง Spam mail จึงทำให้ SpamBlocker สามารถกำจัด Ransomware ที่มากับ Spam mail ออกไปได้เป็นจำนวนมาก
การสแกน Attach file ที่มากับ e-mail ที่ระดับ Mail server ก็ได้ผลดีมาก ซึ่ง Scan Engine ก็มีทั้งแบบ Signature base, แบบ APT sandbox, และเดี๋ยวนี้ไปไกลถึงขั้น Scan engine มีความคิดแบบ AI แยกแยะไฟล์ดีออกจากไฟล์ Malware ได้เองแล้ว
Ransomware เกือบทั้งหมด จะถูกกำจัดออกด้วย 2 ขบวนการนี้ (Spam และการสแกน Attach file) จาก 100 เหลือไม่ถึง 5 ที่หลุดรอดไปชั้นถัดไปได้
แม้ Ransomware จะมาถึง Mailbox ของผู้ใช้ แต่ผู้ใช้ที่ได้รับการฝึกให้ระวังตัว ไฟล์ประหลาดพวกนี้ก็จะถูกผู้ใช้ลบทิ้งในทันที ระบบก็รอดปลอดภัยเช่นกัน
ถ้าเกิดผู้ใช้หลับหูหลับตาคลิกมันไปเรื่อย ก็ยังมี Antivirus บนเครื่อง client ที่อาจจะตรวจจับและหยุดการทำงานของ Ransomware ได้
Ransomware อาจจะไม่ได้แนบเป็นไฟล์มากับ e-mail แต่เป็นข้อความที่บอกให้ไปคลิกโหลดไฟล์จากเน็ตอีกที แบบนี้ Firewall ก็จะสามารถป้องกันไม่ให้ผู้ใช้โหลดไฟล์มาที่เครื่องได้ เป็นการทำงานร่วมกันของ WebBlocker และ Antivirus บน Firewall
ถ้า Ransomware หลุดรอดเข้ามาในเครื่องและเริ่มทำงานได้ Firewall ที่ config ได้อย่างถูกต้อง ก็ป้องกันไม่ให้ Ransomware ติดต่อกลับไปยัง Command center ของผู้ร้ายเพื่อส่ง Private key (กุญแจถอดรหัสไฟล์) กลับไปให้ผู้ร้าย แบบนี้ Ransomware หลายตัวก็จะไม่เริ่มทำงานเช่นกัน
สมมติว่า Ransomware เริ่มทำงานได้ และเริ่มเข้ารหัสไฟล์แล้ว ถ้า File server ตั้งอยู่หลัง Firewall อย่างน้อยก็มี Log จาก Firewall ที่จะฟ้องว่า Client เครื่องไหนที่มี Ransomware อาศัยอยู่ เราก็สามารถกำจัดเครื่องนั้นออกจากระบบได้อย่างแม่นยำ โดยไม่ต้องกังวลว่า จะโดนอีกมั้ย
มาตรการสุดท้าย แม้ไฟล์จะถูกเข้ารหัสทั้งหมด ก็แค่เอา File backup ของเมื่อคืนกลับมา ก็เสียหายแค่ครึ่งวันที่ไม่มี Backup เท่านั้นเอง
การป้องกัน Ransomware จึงเท่ากับ SpamBlocker engine + Mail antivirus scan + User training ที่สม่ำเสมอ + Client antivirus scan + WebBlocker + Firewall log/report engine + Data backup
Solution ที่ใช้จัดการกับ Ransomware จึงหมายถึง Framework อันเกิดจาก Integration ของ Product หลาย ๆ ตัว ที่ถูกจับมาทำงานร่วมกันโดยมืออาชีพ ที่เข้าใจหลักการทำงานและวิธีไล่จับ Ransomware
Firewall ไหนป้องกัน Ransomware ได้ คุณรู้คำตอบหรือยัง !!
สอบถามรายละเอียดเพิ่มเติม เรามีพันธมิตรพร้อมให้คำปรึกษา
02-2479898 ต่อ 87
OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด