ปัจจุบันภัยคุมคามด้านไซเบอร์เทคโนโลยี หรือระบบเครือข่ายคอมพิวเตอร์มาในรูปแบบที่หลายหลาย และแตกต่างกัน ซึ่งมักจะทำให้เกิดความเสียหายเกิดขึ้นกับไฟล์ หรือระบบที่ไม่สามารถใช้งานได้อย่างปกติ
ภัยคุกคามทางไซเบอร์ทั่วไปมีหลายชื่อ ซึ่งเราก็มักจะงง และสับสนว่ามันคืออะไร และแตกต่างกันอย่างไรบ้าง บทความนี้จะได้แจกแจงรายละเอียดถึงภัยคุกคามแต่ละชื่อ แต่ละตัว เพื่อเราจะได้รู้จักเบื้องต้นกันก่อนตามด้านล่างนี้เลยนะครับ ซุนวูกล่าวไว้ว่า “รู้เขารู้เรา รบร้อยครั้งชนะร้อยครั้ง” รวมไปถึงวิธีการในการ Block หรือสกัดกั้นไม่ให้สามารถเข้ามานั่งยิ้มในระบบของเราได้ ไปดูด้วยกันเลยครับ 🙂
มัลแวร์ (Malware)
Malware (ซอฟต์แวร์ที่เป็นอันตราย) คือซอฟต์แวร์ที่ได้รับการออกแบบมาโดยเฉพาะเพื่อทำงานที่เป็นอันตรายบนอุปกรณ์หรือเครือข่าย เช่น ทำให้ข้อมูลเสียหาย หรือเข้าควบคุมระบบของเราได้
สปายแวร์ (Spyware)
สปายแวร์เป็นมัลแวร์รูปแบบหนึ่งที่ซ่อนตัวอยู่ในอุปกรณ์ที่มีการแชร์ข้อมูลแบบเรียลไทม์ไปยังโฮสต์ ทำให้สามารถขโมยข้อมูล เช่น รายละเอียดธนาคารและรหัสผ่าน
การโจมตีแบบฟิชชิ่ง (Phishing Attack)
การโจมตีแบบฟิชชิงคือ วิธีการพยายามล่อลวงบุคคลให้ให้ข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลที่สามารถระบุตัวตนได้ รายละเอียดธนาคารและบัตรเครดิต และรหัสผ่าน อาจจะมาในรูปแบบของอีเมล์ธนาคารที่มักจะให้เราคลิ๊ก Link ที่แนบมากับเนื้อหาของเมล์ เหมือนจะเป็นอีเมล์จากธนาคาร แต่แท้ที่จริงแล้วเมื่อเรากดเข้าไป มันจะ redirect ไปยังหน้าของเว็บไซต์ของอาชญากรทางไซเบอร์ เมื่อเรากรอกข้อมูลต่าง ๆ และส่งไปนั้น เราจะเป็นเหยื่อของคนเหล่านั้นที่ได้ข้อมูลเราไปเรียบร้อยแล้ว บางครั้งเองก็เอาข้อมูลของเราไปทำธุรกรรมทางด้านการเงินต่อได้
Credit: Upguard
การโจมตีแบบกระจาย (DDoS)
การโจมตีแบบ DDoS มีจุดมุ่งหมายเพื่อทำลายเครือข่ายคอมพิวเตอร์ โดยการทำให้เครือข่ายไม่สามารถทำงานต่อไปได้ ด้วยคำขอที่ไม่ได้รับเชิญจากบอตเน็ต (Botnet) จนทำให้ระบบทำงานหนักเกินไป หลายครั้ง CPU และหน่วยความจำของอุปกรณ์เครือข่ายเต็ม ระบบจะช้าลงจนไม่สามารถทำงานได้
แรนซัมแวร์ (Ransomware)
Ransomware เป็นมัลแวร์ประเภทหนึ่งที่ปฏิเสธการเข้าถึงระบบคอมพิวเตอร์หรือข้อมูลของผู้ใช้งานจนกว่าจะมีการจ่ายค่าไถ่ Ransomware เป็นหนึ่งในภัยคุกคามความปลอดภัยทางไซเบอร์ที่อันตรายที่สุดเลยก็ว่าได้ในปัจจุบัน หลาย ๆ หน่วยงานสูญเสียทั้งไฟล์ และค่าใช้จ่ายให้กับ Ransomware
เทคนิคการโจมตีแรนซัมแวร์บางอย่างเกี่ยวข้องกับการขโมยข้อมูลที่สำคัญก่อนที่ระบบจะทำการเข้ารหัสไม่ให้ผู้ใช้งานเข้าถึง ต้องใช้กุญแจในการถอดรหัส ซึ่งต้องแลกเป็นเงิน กระบวนการที่เพิ่มเข้ามาดังกล่าวอาจจัดประเภทการโจมตีของแรนซัมแวร์เป็นการละเมิดข้อมูลด้วยเช่นกัน
Credit: Upguard
โทรจัน (Trojan)
โทรจันเป็นโปรแกรมที่สร้างประตูหลัง (Backdoor) ในระบบเป็นช่องโหว่ ทำให้ผู้โจมตีสามารถควบคุมคอมพิวเตอร์ของคุณหรือเข้าถึงข้อมูลที่เป็นความลับได้ เช่นเราอาจจะไปดาวน์โหลดโปรแกรมบางอย่างจากเว็บไซต์ของ Hacker และมาติดตั้งในเครื่องของเรา ดูเหมือนซอฟต์แวร์ที่เป็นประโยชน์ แต่เมื่อเราติดตั้งในเครื่องเราแล้วนั้น ผู้โจมตีสามารถควบคุมเครื่อง และเข้ามาขโมยข้อมูลภายในเครื่องของเราได้ ถ้าใครเคยดูหนังเรื่องทรอย ก็น่าจะนึกภาพ ม้าโทรจันออกเลยใช่ไหมครับ
การโจมตีของไวเปอร์ (Wiper Attacks)
การโจมตีไวเปอร์เป็นมัลแวร์รูปแบบหนึ่งที่มีจุดประสงค์เพื่อล้างข้อมูลฮาร์ดไดรฟ์ของคอมพิวเตอร์
Man in the Middle (MITM Attack)
A MITM โจมตีคือ การเปลี่ยนแปลงการสื่อสารระหว่างสองฝ่ายที่เชื่อว่าพวกเขาหรือ Hacker กำลังสื่อสารกันนั้นเป็นพวกเดียวกัน เช่น การนำอุปกรณ์กระจายสัญญาณเครือข่ายหรือ Access Point มาตั้งในระบบเครือข่ายของเรา ตั้งชื่อ SSID และ Security Key ทุกอย่างให้เหมือนกันกับในระบบเดิมที่เราใช้อยู่ปัจจุบัน เมื่อคนในองค์กรทำการเกาะ Access Point ตัวนี้ Hacker จะทำการ Sniff หรือขโมยข้อมูลที่ไหลผ่านมายัง Access Point ตัวนี้ Hacker ที่ทำการ Sniff ข้อมูลนี่เองเรียกว่า Man in the Middle ชายผู้อยู่ตรงกลาง หรือชายกลางผู้โหดเหี้ยมนั่นเอง ฮาฮ่า… 🙂
มัลแวร์โฆษณา (Malvertising)
Malvertising คือการใช้โฆษณาออนไลน์เพื่อแพร่กระจายมัลแวร์
ซอฟต์แวร์หลอกลวง (Rogue Software)
ซอฟต์แวร์หลอกลวง หรือปลอมเป็นมัลแวร์ที่ปลอมตัวเป็นซอฟต์แวร์จริง ดูเหมือนซอฟต์แวร์ปกติ แต่แท้ที่จริงแล้ว เมื่อเราติดตั้งไป ไฟล์เราอาจจะหายไป หรือแม้กระทั่งทำให้ CPU หรือ Memory เราพีค มีการใช้งานสูงตลอดเวลาได้
เรารู้เขาไปเรียบร้อยแล้ว คราวนี้ก็มารู้ด้วยกันนะครับ ทราบไหมครับว่า การมีอุปกรณ์ IPS ในระบบเครือข่ายของเรามันช่วยป้องกันข้อมูล รวมไปถึงระบบของเราไว้ได้ ผมจะบอกว่าสิ่งที่เราลงทุนไปนั้นอาจจะมีมูลค่าเป็นหลักแสน หรือหลักล้าน แต่เทียบไม่ได้เลยใช่ไหมหากข้อมูลของเรามันหายไป ข้อมูลของเราโดนขโมยไป ผมมองว่ามันไม่ใช่หลักล้าน แต่มันเป็นมูลค่าที่ไม่สามารถประเมินได้เลยครับ ตัวอย่างเช่น เหตุการณ์ที่ผ่านมาในโรงพยาบาล ซึ่งเกิดความเสียหายขึ้นเป็นอย่างมากครับ
ซิสโก้ (Cisco) มี Solution หรือวิธีการช่วยป้องกันคือ Next Generation IPS ที่อยู่ใน Firepower นั่นเองครับ เราลองไปดูคร่าว ๆ กันก่อนนะครับ ว่าเราจะใช้งานได้อย่างไร แล้วผมจะมาเล่าโดยละเอียดอีกครั้งในโอกาสถัดไปนะครับ
1.ไปยัง Devices>Summary จะสังเกตเห็น Security Engine ของ IPS ที่ใช้เป็น Snort version 3 หากเรา upgrade เป็น version ใหม่ตั้งแต่ Firepower version 6.7 เป็นต้นไปสามารถใช้ Snort version3 ได้นะครับ หากตำ่กว่า version 6.7 ยังเป็น Snort version 2 เหมือนเดิมครับ
Note. ข้อมูลเพิ่มเติมเรื่อง Snort ทั้ง 2 เวอร์ชั่นนะครับ https://www.ciscolive.com/c/dam/r/ciscolive/global-event/docs/2022/pdf/BRKSEC-2484.pdf
2. คลิ๊กเลือกไปยังเมนู Objects>Snort 3 All Rules ให้สังเกตดู IPS Rule ทั้งหมด (version 7.2.4 – Cisco Recommended version เดือน Aug 2023) เราจะเห็นว่ามี 49,173 Rules หากต้องการดูรายละเอียดแต่ละ Rule ที่สนใจให้คลิ๊กไปยัง Rule นั้น และอ่านรายละเอียดตามตัวอย่างด้านล่างได้
3.หากต้องการดูเฉพาะเจาะจงที่เกี่ยวข้องกับ Server สามารถเลือกไปยัง Server จะเห็นว่ามี Rule อยู่ 174 Rules
4.เราสามารถ Customize Rule เหล่านี้ได้ ในส่วนของ Rule Action รวมไปถึงรายละเอียด attribute ที่เราได้เห็น เช่น EXTERNAL_NET, HOME_NET เป็นต้น
5.ไปยัง Objects>Variable Set เพื่อไปตรวจสอบดูว่า Attribute ที่นำไปใช้ใน Rule ต่าง ๆ คืออะไร จากภาพด้านล่าง เราจะเห็นว่า HOME_NET คือ Network Address หากจะทำการแก้ไขค่านี้ก็สามารถกดไปยังปุ่มรูป icon ปากกาด้านขวามือได้
เมื่อเราเข้ามาแล้วก็สามารถแก้ไข Network วงนี้ หรือจะ Add Network วงอื่นเข้ามาเพิ่มก็ได้เช่นเดียวกัน
6.ให้เราไปสร้าง IPS Policies เพิ่มขึ้นมาโดยไปที่ Policies และทำการสร้าง ขั้นตอนนี้ขออนุญาตลัดเลยนะครับ สามารถติดตามในรายละเอียดเพิ่มเติมอีกครั้ง ผ่านทางอีกบทความนึงนะครับ จะมาแนะนำเรื่องการสร้าง Policy แบบ Step by Step อีกครั้งครับ
ในขั้นตอนตามด้านล่างนี้เอง จะเป็นตัวอย่างที่เราจะทำการเลือกให้ IPS ทำการ block icmp protocol ซึ่งเราสามารถ Search ไปยังปุ่ม Rule Action ว่า icmp echo reply จะสังเกตว่าขึ้น Rule มาทั้งหมด 3 กฎ เราสามารถเปลี่ยนค่า disable เป็น Alert, Block หรือรายละเอียดอื่น ๆ ได้ตามตัวอย่างด้านล่างนี้นะครับ
เมื่อเราเปลี่ยนค่า Rule Action เป็น Block เรียบร้อยแล้วจะได้ตามภาพด้านล่าง ให้เราทำการกด Save
7.ไปยัง Policy และ Add Intrusion Policy ในเมนู Inspection ตามชื่อที่เราสร้างขึ้นมา เมื่อเสร็จแล้วทำการ Save และ Deploy configuration ที่เราสร้างขึ้นมาจาก FMC ไปยัง Firepower
ทำการตรวจสอบโดยการ ping อีกครั้งนึง ก่อนหน้าครั้งแรก ping ได้ปกติ เมื่อ deploy ตัว IPS Policy ที่ได้ทำการ block icmp protocol ก็ไม่สามารถ ping ออกไปยัง 8.8.8.8 ได้นั่นเอง
ทำการตรวจสอบจาก FMC โดยไปยัง Analysis>Event By Priority and Classification เราจะเป็นว่า protocol icmp echo reply มีการถูก log ไว้ใน FMC ว่ามีการ block เกิดขึ้นนั่นเองครับ
จากด้านบนคือตัวอย่างแบบคร่าว ๆ สำหรับการ Block ภัยคุกคามด้วย IPS ที่มาพร้อมกับ Cisco Firepower นะครับ ลองกลับไปทำ Lab กันดูได้นะครับ เพราะ Cisco มี Virtual FTD และ FMC ให้เราสามารถไปลงใน VMware และใช้งาน License กันได้ฟรี 90 วันครับ
หวังว่าบทความนี้จะเป็นประโยชน์ต่อระบบการรักษาความปลอดภัยเครือข่ายของเรานะครับ ทำให้เราตระหนักถึงภัยอันตรายทางไซเบอร์มากยิ่งขึ้น รวมไปถึงเตรียมวางแผนการป้องกันได้เป็นอย่างดี
อย่าไปคิดว่าเราไม่น่าจะเป็นเป้าหมาย ผมจะบอกว่าผู้บุกรุกเค้าไม่คิดแบบเราแน่นอนครับ เหมือนพวกแก๊ง Call Center ครับ ไม่วันใดวันนึงเราก็จะโดนโทรมาหลอกครับ ไม่ต้องมัวรอให้วันที่ วัวหายแล้วล้อมคอกเกิดขึ้นนะครับ รีบปรึกษา Partner ผู้ขาย ผู้ให้คำปรึกษาที่ใกล้องค์กรท่านได้เลยครับ ใกล้ที่ไหน ซื้อที่นันครับ 🙂
#Cisco #Firepower #IPS #IDS #NGFW #Malware #Trojan #DDoS #RansomeWare
