เราอยู่ในยุคข้อมูลสื่อสาร ซึ่งมักจะได้ยินคำพูดที่ว่า Data is the new oil ข้อมูลเป็นสินทรัพย์ที่มีมูลค่ามหาศาลในปัจจุบัน ผมอยากจะเขียนบทความให้คนได้ตระหนัก และเห็นถึงภัยคุกคามทางด้านไซเบอร์ที่มีผลต่อข้อมูลของเรา สิ่งหนึ่งที่สำคัญ คือการเข้าใจถึงความเสี่ยงที่อาจเกิดขึ้น ในรูปแบบการโจมตีต่างๆ เช่น การเจาะเข้าถึงข้อมูล, Phishing, Malware, Ransomware ซึ่งเป็นสิ่งที่ทำให้เราต้องมีกลไกการป้องกันข้อมูลให้ดีมากยิ่งขึ้น
นอกจากการใช้เทคโนโลยีที่ทันยุค ทันสมัยแล้ว ยังต้องมีการอัพเดตและดูแลอุปกรณ์อย่างสม่ำเสมอ เช่นการใช้ Next Generation Firewall, การทำ Data Encryption, การทำ Multi-factor authentication เป็นต้น
บทความนี้ผมอยากจะเน้นในเรื่องของการป้องกัน Malware ก่อนนะครับ สิ่งนี้เป็นสิ่งสำคัญในการรักษาความปลอดภัยของระบบคอมพิวเตอร์และข้อมูลส่วนตัว เนื่องจาก Malware เป็นซอฟต์แวร์ที่ออกแบบมาเพื่อทำความเสียหายแก่ระบบคอมพิวเตอร์ หรือข้อมูลของผู้ใช้ โดยสามารถเข้ามาในระบบได้ผ่านทางหลายช่องทาง เช่น อีเมล์ที่มีไฟล์แนบที่ไม่ปลอดภัย, เว็บไซต์ที่ติด Malware, หรือการดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ เป็นต้น
เมื่อไม่นานมานี้เอง เราได้ยินข่าวที่มีหน่วยงานแห่งหนึ่งในประเทศไทย ถูก Lockbit Malwareโจมตี จนทำให้ข้อมูลถูกเข้ารหัส และไม่สามารถใช้งานได้ทั้งหมด ส่งผลถึงการไม่สามารถให้บริการประชาชนได้ มูลค่าความเสียหายของข้อมูลต่างๆ ประเมินค่าไม่ได้
ผมเลยอยากเสนอไอเดียบางอย่างเป็นข้อมูลไว้ให้ผู้อ่าน และผู้ดูแลระบบ โดยด้านล่างเป็นวิธีที่สามารถช่วยป้องกัน Malware ได้ครับ
- อัพเดตซอฟต์แวร์และระบบปฏิบัติการ: การอัพเดตระบบปฏิบัติการและโปรแกรมป้องกันไวรัส เช่น Antivirus หรือ Anti-malware เป็นวิธีหนึ่งที่สำคัญ เพราะมีการปรับปรุงให้มีความปลอดภัยมากยิ่งขึ้นต่อ Malware ที่ปรับปรุงเองไปตามช่องโหว่ที่พบ
- ระมัดระวังอีเมล์และไฟล์ที่แนบมา: อย่าเปิดอีเมล์หรือไฟล์ที่แนบจากแหล่งที่ไม่น่าเชื่อถือ และควรตรวจสอบความปลอดภัยก่อนที่จะเปิดไฟล์แนบ
- ใช้ Firewall และเครือข่ายเสมือนเพื่อกำจัด Malware: การใช้ Firewall สามารถช่วยป้องกันการเข้าถึงที่ไม่พึงประสงค์เข้าสู่เครือข่ายของเรา และการใช้เครือข่ายเสมือน (Virtual Private Network: VPN) สามารถช่วยเข้ารหัสข้อมูลที่ส่งผ่านอินเทอร์เน็ตได้ เพื่อป้องกันการดักจับข้อมูลที่ส่งผ่านเครือข่าย
- การศึกษาและการสอนพนักงาน: การศึกษาและการสอนพนักงานในเรื่องของวิธีการระวัง Malware และการใช้งานอินเทอร์เน็ตอย่างปลอดภัยสามารถช่วยลดความเสี่ยงที่จะเป็นเหยื่อของ Malware ได้
- การสำรองข้อมูล (Backup): การสำรองข้อมูลเป็นสิ่งสำคัญ เพื่อป้องกันข้อมูลจากการถูกเข้าถึงหรือทำลาย หากเกิดเหตุการณ์ Malware ทำให้ข้อมูลเสียหาย
การป้องกัน Malware เป็นการร่วมมือกันระหว่างการใช้เทคโนโลยีและการปฏิบัติในการใช้งานอินเทอร์เน็ตอย่างมีสติและระมัดระวัง การเริ่มต้นด้วยการเข้าใจความเสี่ยงและมีแนวทางการปฏิบัติที่ดีสามารถช่วยลดความเสี่ยงที่จะเกิด Malware ได้มากขึ้นนั่นเองครับ
Cisco FTD เป็น Next Generation Firewall ที่จะช่วยให้ผู้ดูแลระบบลดภาระงาน ในการตรวจเช็คข้อมูลต่างๆ ตั้งแต่ขาเข้ามายังเครือข่ายภายในองค์กร โดยมี AMP (Advanced Malware Protection) คอยตรวจสอบไฟล์ต่างๆ ได้
Cisco FTD สามารถตรวจไฟล์ได้ถึง 60 ประเภทเมื่อมีการดาวน์โหลดหรืออัพโหลดผ่านโปรโตคอลต่างๆ รวมถึง http, ftp, email และ NetBIOS การถ่ายโอนไฟล์ผ่าน https ยังสามารถตรวจสอบได้หากเราติดตั้ง SSL Decription Policy ในการถอดรหัสนั่นเองครับ
มี 4 ประการตามด้านล่างนี้ ที่เราใช้สร้าง Rule สำหรับมัลแวร์และไฟล์ต่างๆ บน Cisco FTD ครับ
1.Detect Files: ตรวจหาไฟล์ในขณะที่อนุญาตให้มีการส่งข้อมูล และทำการเก็บ Log ข้อมูลเหล่านั้นไว้
2.Block Files: บล็อกไฟล์เฉพาะเช่น execuable, pdf, archive เป็นต้น เป็นตัวเลือกสำหรับการรีเซ็ตการเชื่อมต่อ เมื่อไฟล์ถูกบล็อก และจัดเก็บไฟล์ที่บันทึกไว้ในอุปกรณ์
3.Malware Cloud Lookup: ค้นหาด้วยคลาวด์และการวิเคราะห์มัลแวร์ในเครื่อง และบันทึกว่าไฟล์นั้นเป็น Malware, Clean หรือ Unknown หรือไม่
สำหรับการวิเคราะห์มัลแวร์บนคลาวด์ เรามีสองทางเลือกดังนี้:
3.1 Spero Analysis – Firepower ตรวจสอบ Metadata และข้อมูลส่วน Header ของไฟล์ปฏิบัติการ (exe file) และสร้าง Signature จากนั้น Singnature ของไฟล์ปฏิบัติการ (exe file) จะถูกส่งไปยังระบบคลาวด์ AMP
3.2 Dynamic Analysis – ส่งไฟล์ไปยัง AMP Threat Grid เพื่อตรวจสอบเพิ่มเติม
4.Block Malware: คำนวณ Hash SHA-256 ของประเภทไฟล์ที่ต้องการ และค้นหาจากระบบคลาวด์ AMP เพื่อทำการบล็อกหากไฟล์มีมัลแวร์
ในเมนู Advanced ของการทำ Policy Malware&File เรามีตัวเลือกในการเปิดใช้งานการตรวจสอบไฟล์ที่เก็บไว้ และยังบล็อกไฟล์เข้ารหัสที่เก็บไว้ และบล็อกไฟล์ที่ตรวจไม่ได้อีกด้วย
วิธีการคอนฟิก Malware และ File Policy ของ Cisco Firepower
1.บทความนี้จะมีเพียงตัวอย่างเดียว เราจะบล็อกไฟล์ปฏิบัติการและ Archive file ทั้งหมดที่ถูกส่งผ่านเครือข่าย นอกจากนี้เรายังตรวจสอบไฟล์ทุกประเภทเพื่อตรวจสอบโดยการวิเคราะห์มัลแวร์ในเครื่องและบนคลาวด์ และบล็อกไฟล์หากเป็นมัลแวร์ด้วยกันครับ
เลือก Action เป็น Block Files และ เลือ Category ตามที่ต้องการในตัวอย่างนี้เราจะเลือกแค่ไฟล์ EXE และ Archive ไฟล์ (ไฟล์ต่าง ๆ ทั่วไป) และ Block Malware โดย option เราจะทำการ check box ไว้ทั้งหมดครับ
ใน Advanced Tab เรากำหนดค่าเพื่อให้ไฟล์ที่เก็บไว้ได้รับการตรวจสอบ และทำการบล็อกไฟล์เข้ารหัสที่เก็บไว้ รวมถึงที่ไม่สามารถตรวจสอบได้
2. เมื่อสร้าง File & Malware Policy เสร็จเรียบร้อยแล้ว เราจำเป็นต้องเปิดใช้งาน Policy เหล่านี้ ใน Access Control Rule เพิ่มเติม ดังที่ได้กล่าวไปแล้ว การติดตั้งเพื่อตรวจสอบไฟล์ต่างๆ บน Rule นั้น Action จะต้องเป็น “Allow” (หากเลือกเป็น Deny ก็ไม่จำเป็นต้องมาตรวจต่อ เพราะไม่อนุญาตให้ packet เหล่านั้นวิ่งผ่านเข้ามาอยู่แล้วนั่นเอง) และใน Tab ของ Inspection ให้เราใส่ชื่อ Policy ที่ทำไว้สำหรับการตรวจสอบไฟล์ตามนโยบายที่ได้เตรียมไว้ครับ
3.ทำการทดสอบโดยการดาวน์โหลดไฟล์
ตอนนี้เราสามารถทดสอบ Policy มัลแวร์และไฟล์ที่กำหนดค่าได้โดยการดาวน์โหลดไฟล์บางไฟล์ผ่านโปรโตคอล HTTP ไฟล์ที่ถ่ายโอนผ่าน https ยังสามารถตรวจสอบได้โดยมีเงื่อนไขว่านโยบายการตรวจสอบ SSL ได้รับการกำหนดค่าไว้แล้ว
#ดาวน์โหลดไฟล์ตัวอย่างประเภทต่างๆ
http://www.lancsngfl.ac.uk/cmsmanual/index.php?category_id=14
#ตัวอย่างมัลแวร์ TEKDEFENSE
http://www.tekdefense.com/downloads/malware-samples/
เราไม่ได้รับอนุญาตให้ดาวน์โหลดไฟล์ติดตั้ง (.exe) และไฟล์ทั่วไป (.zip)
ใน Connections/Events เราจะเห็นว่าไฟล์ถูกบล็อกแต่รายละเอียดเช่นชื่อไฟล์และประเภทไฟล์จะไม่ถูกแสดง
ดังนั้นเราจึงตรวจสอบ “File Events” แทน “Connection Events” ซึ่งมีการบันทึกรายละเอียด รวมถึงประเภทไฟล์ ชื่อไฟล์ และจำนวนการนับครับ
ในมุมมองตาราง File Events เราสามารถตรวจสอบให้แน่ใจว่าไฟล์ตรงกับ Policy Malware&File ที่กำหนดค่าไว้หรือไม่
หากเรายังจำใน Policy ของเราได้ เราได้กำหนดค่าให้จัดเก็บไฟล์ที่ถูกบล็อกด้วยใน “Analysis -> Files -> Captured Files” เรายังสามารถตรวจสอบไฟล์ที่จัดเก็บไว้ใน FMC เพื่อดาวน์โหลดและวิเคราะห์เพิ่มเติมได้ด้วยครับ
4.ทำการทดสอบ Malware Policy
ตามตัวอย่าง เราสามารถทดสอบด้วยการดาวน์โหลดไฟล์ไวรัสตัวอย่างเพื่อตรวจสอบปฏิกิริยาของการตรวจจับมัลแวร์บน FTD
#ดาวน์โหลดไฟล์ทดสอบไวรัส http
http://www.csm-testcenter.org/test?do=show&subdo=antimalware&test=content_types
ตามความคาดหวังของเรา ตรวจพบมัลแวร์ใน FTD และตัวอย่างไวรัสถูกบล็อก เราสามารถตรวจสอบได้ใน “Analysis -> Files -> Malware Events”
การมีอุปกรณ์ที่ช่วยในการสแกน และป้องกันไม่ให้ Malware เข้าถึงไฟล์ของเรา และระบบข้อมูลภายในเป็นเรื่องที่สำคัญมากในปัจจุบัน ส่งผลให้เราไม่ต้องเสียเวลากับการ format อุปกรณ์แล้วลงใหม่ หรือการต้องมานั่ง Clean เครื่องคอมพิวเตอร์ ชีวิตเราไปดูแลงานด้านอื่นดีกว่า เราให้อุปกรณ์ และ Feature เหล่านี้ป้องกันข้อมูลที่สำคัญและประเมินค่าไม่ได้กันเถอะครับ
วันนี้ภาระงานของเรายังมากมายเหมือนเดิมหรือเปล่า ถ้ายังมีเยอะอยู่ แล้วเวลาเราหมดไปกับการแก้ไขอุปกรณ์ที่ติด Malware/Virus/Trojan แสดงว่าเราต้องกลับมาคิดทบทวนแล้วครับว่าเครื่องมืออะไรบ้างที่จะช่วยให้เราได้มีเวลาไปนั่งพัฒนางานด้านอื่นๆ ที่ดีกว่านั่งแก้ไขครับ 🙂