นับตั้งแต่การระบาดของ COVID-19 ธุรกิจสมัยใหม่จำนวนมากได้ปรับเปลี่ยนมาสู่การทำงานระยะไกล (Remote Work) ส่งผลให้การโจมตีด้วย Ransomware หรือ “มัลแวร์เรียกค่าไถ่” เพิ่มสูงขึ้นอย่างมาก ซึ่งตัวอย่างที่เห็นได้ชัดคือการโจมตีด้วย WannaCry ransomware ในปี 2017
WannaCry มุ่งเป้าโจมตีคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Microsoft Windows โดยเข้ารหัสข้อมูลสำคัญและเรียกค่าไถ่ในรูปแบบของสกุลเงินดิจิทัล Bitcoin ซึ่งมัลแวร์นี้ส่งผลกระทบต่อคอมพิวเตอร์กว่า 230,000 เครื่องทั่วโลก
บริษัทแรกๆ ที่ได้รับผลกระทบอย่างหนักคือ บริษัทโทรศัพท์มือถือสัญชาติสเปนอย่าง Telefónica ซึ่งเหตุการณ์ดำเนินไปจนถึงวันที่ 12 พฤษภาคม 2023 โดยโรงพยาบาลและคลินิกของ NHS หลายพันแห่งในสหราชอาณาจักรก็ได้รับผลกระทบเช่นกัน อีกทั้งมีรายงานว่ารถพยาบาลต้องเปลี่ยนเส้นทาง และบริการฉุกเฉินต้องหยุดชะงัก
การโจมตีนี้ไม่เพียงแต่สร้างความเสียหายทางการเงินให้กับองค์กรเหล่านี้เท่านั้น แต่ยังสร้าง ความกังวลด้านความปลอดภัยไซเบอร์ ให้กับองค์กรอื่นๆ ทั่วโลก นับเป็นสัญญาณเตือนให้เห็นถึงความสำคัญของการป้องกัน Ransomware ในธุรกิจทุกรูปแบบ
โดยรวมแล้ว Ransomware ได้ทำลายระบบคอมพิวเตอร์ในกว่า 150 ประเทศ สร้างความเสียหายทางการเงินทั่วโลกประมาณ 4 พันล้านดอลลาร์สหรัฐ
วิธีที่จะหลีกเลี่ยงไม่ให้องค์กรของคุณต้องเผชิญกับการโจมตีด้วย Ransomware คือ การมีความรู้ความเข้าใจเกี่ยวกับภัยคุกคามนี้ โดยในบทความนี้จะอธิบายทุกสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับการโจมตีด้วย Ransomware ว่าคืออะไร ทำงานอย่างไร และมีวิธีป้องกัน Ransomware อย่างไร
Ransomware คืออะไร
Ransomware คือ มัลแวร์ (Malware) ประเภทหนึ่งที่ถูกออกแบบมาเพื่อเข้ารหัสไฟล์และข้อมูลของเหยื่อ (Encrypt) โดยผู้โจมตีมักขู่ว่าจะเปิดเผยข้อมูลลับต่อสาธารณะ หรือบล็อกการเข้าถึง จากนั้นจึงเรียกค่าไถ่เพื่อคืน Access การเข้าถึงข้อมูลที่ถูกล็อกหลังได้รับเงินค่าไถ่
เหยื่อของการโจมตีด้วย Ransomware มักได้รับการแจ้งเตือนผ่านข้อความที่แสดงบนหน้าจอ นอกจากนี้ ด้วยความก้าวหน้าและการเติบโตของสกุลเงินดิจิทัล ผู้โจมตีมักเรียกร้องค่าไถ่ในรูปแบบของ Bitcoin หรือสกุลเงินดิจิทัลอื่นๆ เพราะไม่สามารถติดตามร่องรอยได้ เมื่อจ่ายค่าไถ่ตามที่เรียกร้อง เหยื่อจะได้รับ Decryption Key อย่างไรก็ตาม ไม่มีการรับประกันว่า เราจะได้รับ Decryption Key จริงๆ บางครั้งผู้ถูกเรียกค่าไถ่อาจไม่สามารถเข้าถึงระบบของตนได้อีกเลย หรือข้อมูลที่มีความอ่อนไหวอาจถูกเปิดเผยต่อสาธารณะได้
การโจมตีด้วย Ransomware เป็นหนึ่งในการโจมตีด้วยมัลแวร์ที่อันตรายและพบเห็นได้บ่อยที่สุด การโจมตีประเภทนี้สามารถสร้างความเสียหายอย่างมีนัยสำคัญ ไม่เพียงแต่กับธุรกิจการค้าเท่านั้น แต่ยังรวมถึงองค์กรในภาครัฐ เช่น สถานพยาบาลและหน่วยงานราชการ การโจมตีด้วย Ransomware ที่มีชื่อเสียงหลายครั้งทั่วโลกมุ่งเป้าไปที่ภาคสาธารณสุขและภาคบริการทางการเงิน เนื่องจากทั้งสองอุตสาหกรรมนี้ต้องจัดการข้อมูลส่วนบุคคลที่มีความอ่อนไหวสูงในแต่ละวัน และแม้ในกรณีที่ระบบหยุดจะทำงานเพียงไม่กี่นาทีก็สามารถก่อให้เกิดผลกระทบร้ายแรงได้ ด้วยเหตุนี้ ผู้เชี่ยวชาญในอุตสาหกรรมจึงมักเต็มใจที่จะจ่ายเงินค่าไถ่จำนวนมาก เพื่อให้ได้สิทธิ์การเข้าถึงระบบที่จำเป็นกลับคืนมาและดำเนินงานต่อไป โดยจากการวิจัยในปี 2021 พบว่า ค่าใช้จ่ายเฉลี่ยในการแก้ไขปัญหาการโจมตีด้วย Ransomware ในภาคบริการทางการเงินอยู่ที่ประมาณ 2.1 ล้านดอลลาร์สหรัฐ โดยพิจารณาจากเวลาที่ระบบหยุดทำงาน เวลาการทำงานของบุคลากร ต้นทุนอุปกรณ์ ต้นทุนเครือข่าย ค่าไถ่ที่จ่าย และอื่นๆ
นอกจากนี้ องค์กรด้านสาธารณสุขในสหรัฐอเมริกาจำนวน 2 ใน 3 รายงานว่า เคยประสบกับการโจมตีด้วย Ransomware ในปี 2021 ซึ่งส่งผลให้ชีวิตผู้ป่วยตกอยู่ในความเสี่ยง
การทำงานของ Ransomware
ในหลักการทำงานของ Ransomware โดยทั่วไป มัลแวร์จะถูกปลอมแปลงให้เหมือนไฟล์ปกติ และอาจมีข้อความชักจูงหรือหลอกให้ผู้ใช้ดาวน์โหลดหรือเปิดไฟล์นั้นๆ การโจมตีทั้งหมดจะเริ่มต้นด้วยการเข้าถึงระบบเป้าหมาย โดยเมื่อ Ransomware เข้าสู่ระบบแล้ว มันจะเข้ารหัสไฟล์ในพื้นหลังอย่างลับๆ พร้อมกับเปลี่ยนแปลงข้อมูลประจำตัว ในช่วงเวลานี้ ผู้ใช้ยังไม่รู้ตัวว่าเกิดอะไรขึ้น เมื่อโครงสร้างพื้นฐานทั้งระบบถูกติดมัลแวร์และถูกจับเป็นตัวประกันโดยผู้โจมตีทางไซเบอร์แล้ว เหยื่อจะได้รับการแจ้งเตือน
แม้จะมีการโจมตีหลายรูปแบบ แต่ Ransomware ไม่ใช่การโจมตีแบบสุ่มหรือครั้งเดียวจบ แต่อาจมีที่การวางแผนมาอย่างรอบคอบ ซึ่งการโจมตีด้วย Ransomware ทั้งหมดประกอบด้วยขั้นตอน ดังนี้
ขั้นตอนที่ 1: การเริ่มต้นโจมตี
ขั้นตอนแรก คือ เมื่อผู้โจมตีเลือกเหยื่อเป้าหมายและเริ่มแคมเปญ โดยการติดตั้ง Ransomware และล่อลวงให้เหยื่อดาวน์โหลดหรือเปิดไฟล์ที่ติดมัลแวร์ วิธีทั่วไปในการเริ่มการโจมตีด้วย Ransomware ได้แก่
การส่งข้อความฟิชชิ่ง (Phishing)
ฟิชชิ่งเป็นหนึ่งในรูปแบบการโจมตีทางไซเบอร์ที่ตกเป็นเหยื่อได้ง่ายที่สุด ผู้โจมตีมักใช้ประโยชน์จากการที่ผู้คนไม่มีเวลาวิเคราะห์ข้อความทั้งหมดที่ได้รับในแต่ละวัน โดยทั่วไปดำเนินการผ่านอีเมล ข้อความฟิชชิ่งจะหลอกให้ผู้รับ:
- เปิดเผยรหัสผ่านหรือข้อมูลธนาคาร
- เปลี่ยนแปลงรายละเอียดทางการเงินเพื่อให้เงินไปถึงผู้ฉ้อโกง
- คลิกลิงก์เพื่อติดตั้ง Ransomware
- เข้าเว็บไซต์อันตราย
- ดาวน์โหลดเอกสารที่มี Ransomware แฝงอยู่
อีกทั้งยังมีแผนการฟิชชิ่งที่ซับซ้อนมากขึ้นซึ่งใช้มาตรการทางวิศวกรรมสังคม (Social Engineering) ในระยะยาว บางครั้งแฮกเกอร์อาจสร้างโปรไฟล์โซเชียลมีเดีย หรืออีเมลปลอมเพื่อให้เหยื่อไว้วางใจ
การใช้ประโยชน์จากช่องโหว่ในการเชื่อมต่อ Remote Desktop Protocol (RDP)
ช่องโหว่ในการเชื่อมต่อกับระบบผ่าน Remote Desktop Protocol (RDP) เป็นสาเหตุที่ทำให้ Ransomware สามารถแทรกซึมเข้าสู่ระบบในวงกว้างได้ โดย RDP ถูกพัฒนาขึ้นโดย Microsoft เป็น Network Communication Protocal ที่ทำให้การทำงานระยะไกลเป็นไปได้ ช่วยให้ผู้ใช้เครือข่ายสามารถทำงานจากที่ใดก็ได้เสมือนอยู่ในที่ทำงาน
อย่างไรก็ตาม ความนิยมของ RDP ที่เติบโตอย่างต่อเนื่องส่งผลให้อุปกรณ์มีความเสี่ยงต่อการถูกโจมตีด้วย Ransomware มากขึ้น จำนวนการโจมตีด้วย Ransomware เพิ่มขึ้นในอัตราที่ไม่เคยมีมาก่อนควบคู่ไปกับการพัฒนาของอัตราการติดเชื้อโควิด-19 การเปลี่ยนจากสถานที่ทำงานที่มีความปลอดภัยไปสู่สภาพแวดล้อมการทำงานแบบ Remote Work ที่มีการป้องกันน้อยกว่า กลายเป็นสิ่งที่ธุรกิจหลีกเลี่ยงไม่ได้ การโจมตีด้วย Ransomware ส่วนใหญ่เข้าถึงระบบของผู้ใช้ผ่าน "ประตูหลัง" (Backdoor) โดยใช้ประโยชน์จากช่องโหว่หรือวิธีการติดตั้ง RDP ซึ่ง ในปี 2020 เพียงปีเดียว ผู้เชี่ยวชาญด้านไอทีก็ได้ค้นพบจุดอ่อนถึง 25 จุดใน RDP Client
หนึ่งในวิธีการโจมตีด้วย Ransomware ที่พบบ่อยที่สุดซึ่งใช้ประโยชน์จากช่องโหว่ RDP คือ "Reverse RDP" โดย Ransomware สามารถเข้าถึงเซิร์ฟเวอร์ขององค์กรได้ เมื่อพนักงานเชื่อมต่อคอมพิวเตอร์ของตน (Off-site) กับเซิร์ฟเวอร์ในองค์กร (On-Site) ผ่าน RDP โดยหลังจากคอมพิวเตอร์ของพนักงานเชื่อมต่อกับเซิร์ฟเวอร์ในองค์กรแล้ว ผู้โจมตีจะได้รับสิทธิ์เข้าถึงเครือข่ายเซิร์ฟเวอร์ทั้งหมด ผ่านการ Bypass การผ่านการเชื่อมต่อของ RDP นั่นเอง
การเจาะช่องโหว่ของซอฟต์แวร์
การติดตั้งซอฟต์แวร์จากแหล่งที่ไม่เชื่อถืออาจทำให้ระบบถูกแฝงด้วย Ransomware ผู้ใช้ควรตรวจสอบและยืนยันความน่าเชื่อถือของแหล่งที่มาเสมอ เนื่องจากซอฟต์แวร์ที่ไม่ได้รับการอัปเดตมักมีช่องโหว่ที่ผู้โจมตีอาจใช้เป็นทางเข้า
แฮกเกอร์ที่อยู่เบื้องหลังการโจมตีด้วย Ransomware มักฝังมัลแวร์ไว้ใน Software Crack หรือซอฟต์แวร์เถื่อน ตามต่อด้วยการดึงดูดให้เหยื่อดาวน์โหลด และติดตั้งซอฟต์แวร์เหล่านี้
การสร้างเว็บไซต์อันตราย
ผู้โจมตีสามารถเข้าถึงระบบผ่านเว็บไซต์ปลอมได้ เมื่อเหยื่อเข้าชมเว็บไซต์ที่มีรหัส Ransomware ซ่อนอยู่ ชุดการโจมตีจะถูกเรียกใช้งาน เว็บไซต์อันตรายมักปรากฏเป็นโฆษณาออนไลน์ที่นำคุณไปยังหน้าเว็บอื่นโดยไม่รู้ตัว
ขั้นตอนที่ 2: การเริ่มต้นในระบบ
คือช่วงเวลาที่ Ransomware เข้าครอบครองระบบแล้ว เมื่อแทรกซึมเข้ามา Ransomware จะสร้างช่องทางการสื่อสารกลับไปยังเจ้าของรหัส ผู้โจมตีอาจเลือกที่จะขุดลึกหรือแพร่กระจายข้ามระบบเพื่อค้นหาไฟล์ที่มีมูลค่า
โดยแทนที่จะเริ่มโจมตีด้วย Ransomware ทันที ผู้โจมตีจำนวนมากมักจะซุ่มเงียบและรอจังหวะเวลาที่เหมาะสม สิ่งที่ควรทราบ คือ Ransomware หลายสายพันธุ์ในปัจจุบันสามารถโจมตีระบบสำรองข้อมูล (Backup System) ส่งผลให้เหยื่อไม่สามารถกู้คืนข้อมูลสำร้องได้
ขั้นตอนที่ 3: การโจมตี
คือขั้นตอนที่ผู้โจมตีจะเริ่มใช้งาน Ransomware เมื่อการโจมตีถูกกระตุ้น จะเป็นการแข่งขันกับเวลาระหว่างเหยื่อและผู้โจมตี ในการแย่งชิงระบบและข้อมูล
วิธีตรวจจับการโจมตีด้วย Ransomware
- การแจ้งเตือนจากโปรแกรม Antivirus. หากคอมพิวเตอร์หรือระบบของคุณมีโปรแกรม Antivirus ก็จะตรวจพบการติด Ransomware โดยอัตโนมัติ เว้นแต่จะมีการ Bypass
- ตรวจสอบนามสกุลไฟล์. ให้ความสนใจกับนามสกุลไฟล์หรือ File Extension เช่น นามสกุลปกติของเอกสาร Microsoft Word คือ ".doc" หากนามสกุลนี้เปลี่ยนเป็นตัวอักษรที่ไม่คุ้นเคย อาจมีการติด Ransomware ในระบบของคุณ
- สังเกตการเปลี่ยนแปลงชื่อ. นอกจากสกุลไฟล์ ให้ดูที่ชื่อไฟล์จริงด้วย หากไฟล์มีชื่อต่างจากที่คุณตั้งไว้ นั่นก็เป็นตัวบ่งชี้ Ransomware ได้เช่นกัน
- การทำงานที่เพิ่มขึ้นของ Processor และ Disk. หาก Ransomware มีการทำงานในพื้นหลัง Disk หรือ CPU จะทำงานหนักเพิ่มขึ้น โดยควรตรวจสอบอย่างละเอียดหาก Processor ดูเหมือนจะร้อนขึ้นอย่างกะทันหัน
- การเข้ารหัสไฟล์. ไฟล์ที่ถูกเข้ารหัส เป็นหลักฐานชัดเจนของการโจมตีด้วย Ransomware เมื่อไฟล์ถูกล็อกอย่างกะทันหัน
ขั้นตอนการรับมือกับการโจมตีด้วย Ransomware
- ค้นหาระบบที่ได้รับผลกระทบ. ขั้นตอนแรกในการจัดการกับ Ransomware คือ การระบุระบบหรือไฟล์ที่ติดมัลแวร์ แล้วแยกระบบเหล่านั้นออกจากระบบที่ทำงานปกติทันที วิธีนี้ช่วยป้องกันการแพร่กระจายของ Ransomware และลดความเสียหายในระยะยาว ในบรรดาขั้นตอนการกู้คืนทั้งหมด การควบคุมการแพร่กระจายเป็นสิ่งสำคัญที่สุด
- ตัดการเชื่อมต่อระบบที่ติดมัลแวร์. ปิดระบบหากจำเป็น เนื่องจากอัตราการแพร่กระจายของ Ransomware ที่รวดเร็ว วิธีควบคุมที่มีประสิทธิภาพที่สุดคือการปิดระบบที่ได้รับผลกระทบทันที
- จัดลำดับความสำคัญการกู้คืนระบบที่จำเป็น. จัดอันดับความสำคัญของระบบตามผลกำไรหรือผลกระทบ เพื่อกู้คืนระบบที่สำคัญโดยเร็วที่สุด
- กำจัด Ransomware ด้วยความช่วยเหลือจากผู้เชี่ยวชาญ. การกำจัด Ransomware ควรดำเนินการโดยผู้เชี่ยวชาญที่น่าเชื่อถือ เมื่อทำงานกับการโจมตีที่เกี่ยวข้องกับ Backdoor ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่จ้างมาจะเข้าถึงบันทึกย้อนหลัง ผู้เชี่ยวชาญด้านความปลอดภัยจะได้รายละเอียดเกี่ยวกับการโจมตี เฉพาะเมื่อดำเนินการวิเคราะห์สาเหตุที่แท้จริงเท่านั้น นอกจากนี้ บางครั้งการติดต่อหน่วยงานบังคับใช้กฎหมายในท้องที่ก็สามารถช่วยในการกู้คืนได้ เพราะเจ้าหน้าที่ทางเทคนิคมักมีประสบการณ์ในการจัดการกับการโจมตีทางไซเบอร์มากกว่า พวกเขาสามารถตรวจสอบได้ว่าระบบไม่ได้ถูกบุกรุกในรูปแบบอื่น และสืบสวนวิธีปกป้ององค์กรให้ดีขึ้นในอนาคตและจับกุมผู้โจมตี
- ดำเนินการตรวจสอบความปลอดภัยอย่างละเอียด. เหยื่อส่วนใหญ่รายงานว่าประสบกับการโจมตีด้วย Ransomware โดยเฉพาะผู้ที่จ่ายค่าไถ่ ดังนั้นควรตรวจสอบเครือข่ายทั้งหมดด้วยการทบทวนโดยผู้เชี่ยวชาญ เพื่อให้แน่ใจว่าพบจุดอ่อนทั้งหมด และเตรียมพร้อมสำหรับการอัปเกรดความปลอดภัยที่อาจจำเป็น หากไม่พบช่องโหว่ของระบบ ก็มีโอกาสที่จะถูกโจมตีอีกครั้ง
วิธีป้องกันตนเองหรือองค์กรจากการโจมตีด้วย Ransomware
อย่าจ่ายค่าไถ่
ผู้เชี่ยวชาญด้านไอทีและหน่วยงานภาครัฐแนะนำอย่างยิ่งว่าไม่ควรจ่ายค่าไถ่ เพราะการจ่ายค่าไถ่เป็นการส่งเสริมให้กิจกรรมอาชญากรรมแพร่หลาย ในหลายกรณี เหยื่อไม่ได้รับกุญแจถอดรหัส และยังกลายเป็นเป้าหมายหลักของการโจมตีทางไซเบอร์ครั้งต่อไป การที่เหยื่อมีความสามารถและเต็มใจที่จะจ่ายเป็นแรงจูงใจสำหรับผู้กระทำผิดในอนาคต
สำรองข้อมูลอยู่เสมอ
การสำรองข้อมูลเป็นขั้นตอนสำคัญในการป้องกันผลกระทบจาก Ransomware ข้อมูลสำรองควรเก็บแยกออกจากเครือข่ายหลักอย่างปลอดภัย เช่น การสำรองข้อมูลแบบออฟไลน์หรือบนคลาวด์ที่ปลอดภัย การกู้คืนข้อมูลสำรองที่ปลอดภัยช่วยให้องค์กรสามารถกลับมาทำงานได้อย่างรวดเร็ว หากเกิดการโจมตีขึ้น อย่างไรก็ตาม การป้องกันข้อมูลสำรองให้ปลอดภัยจากมัลแวร์เพิ่มเติมก็เป็นสิ่งสำคัญ ควรสำรองข้อมูลอย่างสม่ำเสมอ และควรเก็บสำรองข้อมูลบ่อยครั้งตามความสำคัญของข้อมูล
ลงทุนในการฝึกอบรมด้านความปลอดภัยขององค์กรอย่างต่อเนื่อง
นอกเหนือจากโซลูชันที่มีประสิทธิภาพแล้ว ปัจจัยด้านมนุษย์เป็นอีกสาเหตุหลักที่ทำให้ Ransomware แทรกซึมเข้าสู่ระบบ ปกป้องระบบของคุณจากการฟิชชิ่งและกลยุทธ์ทางวิศวกรรมสังคม (Social Engineering) โดยฝึกอบรมทีมของคุณเกี่ยวกับความตระหนักด้านความปลอดภัย ซึ่งการฝึกอบรมด้านความปลอดภัยทางไซเบอร์อย่างสม่ำเสมอสามารถเปลี่ยนบุคลากรของคุณให้เป็นแนวป้องกันได้ หัวข้อความปลอดภัยทางไซเบอร์ที่พบบ่อยที่สุดได้แก่:
- การท่องเว็บอย่างปลอดภัย
- การสร้างรหัสผ่านที่ปลอดภัย
- VPN
- การระบุอีเมลหรือไฟล์แนบที่น่าสงสัย
- การอัปเดตระบบและซอฟต์แวร์
- การฝึกอบรมด้านการรักษาความลับ
- เทคนิคฟิชชิ่งทั่วไป
ติดตั้งระบบความปลอดภัยทางอีเมล
เนื่องจาก Ransomware มักถูกส่งผ่านทางอีเมล การติดตั้งโซลูชันความปลอดภัยที่สามารถกรอง ตรวจจับ และกำจัดอีเมลน่าสงสัยเป็นวิธีป้องกันที่สำคัญ การตั้งระบบเพื่อกรองไฟล์แนบและลิงก์ที่น่าสงสัย รวมถึงใช้ Gateway ที่ปลอดภัย จะช่วยลดโอกาสที่มัลแวร์จะแทรกซึมเข้าสู่ระบบองค์กรได้
ใช้ระบบการตรวจจับและป้องกันภัยคุกคามที่ดีขึ้น
โซลูชันแอนตี้ไวรัส (Antivirus) หรือไฟร์วอลล์ (Firewall) ช่วยป้องกันการโจมตีด้วย Ransomware ได้อย่างมาก ไฟร์วอลล์นับเป็นแนวป้องกันด่านแรก โดยทำการตรวจจับและบล็อกไฟล์ที่น่าสงสัยไม่ให้เข้าสู่ระบบ
เคล็ดลับเพิ่มเติม คือ ให้ระวังการแจ้งเตือนแอนตี้ไวรัสปลอม ปัจจุบันมัลแวร์มีวิวัฒนาการอย่างรวดเร็วและบางตัวถูกปลอมแปลงเป็นลิงก์สำหรับการแจ้งเตือนแอนตี้ไวรัสปลอม ระวังการแจ้งเตือนที่มาจากอีเมลหรือป๊อปอัปบนเว็บไซต์
ตรวจสอบให้แน่ใจว่าระบบและซอฟต์แวร์เป็นเวอร์ชันล่าสุด
ผู้โจมตีมักใช้ช่องโหว่ของซอฟต์แวร์เป็นช่องทางในการเข้าถึงระบบ การอัปเดตระบบปฏิบัติการและซอฟต์แวร์เป็นประจำ ช่วยลดความเสี่ยงจากช่องโหว่และเพิ่มความปลอดภัยให้องค์กร ควรตรวจสอบและติดตั้งแพทช์อัปเดตเมื่อมีการเผยแพร่จากผู้ผลิตซอฟต์แวร์
การแยกเครือข่าย (Network Segmentation)
เนื่องจาก Ransomware สามารถแพร่กระจายสู่ระบบและเครือข่ายได้อย่างรวดเร็ว ให้เตรียมพร้อมล่วงหน้าด้วยการแยกระบบ (Segmentation) พิจารณาการแบ่งเครือข่ายเป็นระบบย่อย เพื่อที่หากมีบางอย่างผิดพลาด Ransomware จะถูกแยกได้ทันที ป้องกันไม่ให้แพร่กระจายไปยังระบบอื่น
ในระบบย่อยแต่ละระบบ แนะนำให้ติดตั้งมาตรการรักษาความปลอดภัยที่เหมาะสมเพิ่มเติม เช่น แอนตี้ไวรัสที่ครอบคลุม และการยืนยันตัวตนแบบสองขั้นตอน (Two-Factor Authentication) ในยามฉุกเฉิน วิธีนี้จะไม่เพียงช่วยรักษาความปลอดภัยของข้อมูล แต่ยังช่วยยืดเวลาให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กู้คืนข้อมูลที่สูญหายไป
จำกัดการเข้าถึงของผู้ใช้
ใช้นโยบาย “สิทธิ์น้อยที่สุด” หรือ Least Privilege เพื่อจำกัดสิทธิ์ในการเข้าถึงข้อมูลที่เป็นความลับ วิธีนี้จะช่วยหยุดการแพร่กระจายของ Ransomware และการรั่วไหลของข้อมูลได้เป็นอย่างดี
นอกจากนี้ยังควรนำนโยบาย Zero-Trust มาปรับใช้ โดยตั้งสมมติฐานว่าทุกคนไม่สามารถไว้วางใจได้ และควรใช้การยืนยันตัวตนหลายขั้นตอน เช่น การยืนยันตัวตนแบบสองปัจจัย (2FA) หรือการยืนยันตัวตนแบบหลายปัจจัย (MFA) มาใช้ เพื่อเพิ่มความปลอดภัยในระดับผู้ใช้งาน
ทดสอบระบบความปลอดภัยอย่างสม่ำเสมอ
เพื่อปรับตัวให้เข้ากับภูมิทัศน์ด้านความปลอดภัยทางไซเบอร์ที่เปลี่ยนแปลงตลอดเวลา องค์กรจำเป็นต้องดำเนินการทดสอบความปลอดภัยเป็นประจำ ทั้งการประเมินสถานะความปลอดภัย อุปกรณ์ปลายทาง และระดับการเข้าถึงของผู้ใช้ในปัจจุบัน ซึ่งจะช่วยให้สามารถพบช่องโหว่ และปรับปรุงแก้ไขได้
หนึ่งในวิธีที่ใช้บ่อยที่สุดสำหรับการประเมินความปลอดภัยภายใน คือ การใช้แซนด์บ็อกซ์ (Sandboxing) โดยวางโค้ด (Code) ที่เป็นอันตรายในระบบที่แยกเอาไว้ต่างหาก เพื่อให้สามารถประเมินได้ว่า Protocol ความปลอดภัยที่มีอยู่เพียงพอหรือไม่
ใช้โซลูชัน Anti-Ransomware
โซลูชัน Anti-Ransomware ถูกออกแบบมาเพื่อป้องกันและตรวจจับสัญญาณที่น่าสงสัย โซลูชันเหล่านี้สามารถตรวจจับพฤติกรรมที่อาจเป็น Ransomware และทำการป้องกันทันที ซึ่งจะช่วยลดความเสี่ยงในการติดเชื้อมัลแวร์และปกป้องระบบขององค์กร
ปกป้องธุรกิจและองค์กรของคุณด้วย Sangfor
Sangfor นำเสนอโซลูชัน Cyber Security ที่ครอบคลุม เพื่อปกป้องธุรกิจจากความเสี่ยงที่เกิดจาก Ransomware หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการปกป้องข้อมูลที่มีค่าของคุณจากการโจมตีด้วย Ransomware ติดต่อเราวันนี้ เพื่อรับคำปรึกษาและแนวทางการป้องกันที่เหมาะสมกับองค์กรของคุณ
