Trend Micro ประกาศนำเทคโนโลยี Connected Threat Defense บุกตลาดองค์กรขนาดกลาง เพื่อรับมือกับภัยคุกคามด้านไซเบอร์ที่มีความรุนแรงและใช้รูปแบบวิธีการโจมตีที่ล้ำหน้ามากขึ้นเรื่อยๆ โดยคุณคงศักดิ์ ต่อตระกูล ผู้จัดการอาวุโสฝ่ายเทคนิคของ Trend Micro ประเทศไทยได้มาบรรยายถึงสถานการณ์ความปลอดภัยทางไซเบอร์ที่องค์กรต้องเผชิญและเตรียมรับมือในปัจจุบัน ผมเลยสรุปมาฝากกันย่อๆ ครับ
คุณคงศักดิ์ ต่อตระกูล ผู้จัดการอาวุโสฝ่ายเทคนิคของ Trend Micro
รูปแบบการโจมตีที่เปลี่ยนไป
คุณคงศักดิ์ระบุว่าพฤติกรรมการโจมตีของแฮกเกอร์ในปัจจุบันเริ่มเปลี่ยนไป หันมาโจมตีแบบเจาะกลุ่มและเขียนไวรัสเฉพาะทางมากขึ้น โดยเฉพาะกลุ่มโรงพยาบาล การศึกษาและภาครัฐที่เป็นกลุ่มเป้าหมายหลัก ขณะที่การโจตีระบบ Online Banking ก็ยังคงเป็นหมายระดับต้นๆ แต่รูปแบบการโจมตีก็มีความล้ำหน้ามากขึ้นเช่นกัน อย่างที่เคยมีข่าวเรื่องการแฮกธนาคารของบังกลาเทศผ่านระบบ SWIFT ที่มัลแวร์สามารถเข้าถึงข้อมูลและอำนาจการสั่งโอนเงินอย่างถูกต้อง (legitimate) ซึ่งการติดมัลแวร์ตัวนี้เกิดจากการเปิดอ่านไฟล์ PDF ปลอม ซึ่งสาเหตุหลักของการติดไวรัสหรือมัลแวร์ทั่วโลกกว่า 74% และในไทยกว่า 90% คือการเปิดอีโมลที่ไม่รู้จัก ยังไม่นับรวมการโจมตีแบบ Zero-day ผ่านช่องโหว่ของแอพพลิเคชันอีกจำนวนมาก
การกลับมาของ ransomware
แม้ว่ามัลแวร์ที่เรียกค่าไถ่จากการเข้ารหัสข้อมูล (Crypto-ransomware) จะมีมาตั้งแต่ปี 2005 แต่การมาของระบบ Bitcoin ที่ทำให้การจ่ายเงินและเรียกค่าไถ่ไม่สามารถติดตามต้นทางและปลายทางได้ ทำให้ ransomware กลับมาระบาดอีกครั้ง โดยสาเหตุหลักก็ยังคงมาจากการเปิดอีเมลทีไม่รู้จัก ซึ่งมัลแวร์เหล่านี้จะฝังตัวอยู่ในไฟล์อย่าง Word, Excel และ Powerpoint
Connected Threat Defense
เทคโนโลยี Connected Threat Defense (CTD) ของ Trend Micro จะช่วยตรวจสอบ macro ที่ฝังเข้ามาในไฟล์งานโดยอัตโนมัติ แต่หากยังคงไม่มั่นใจว่ามีมัลแวร์ฝังมาหรือไม่ ระบบจะส่งไฟล์เข้าไปยัง Sandbox เพื่อทดสอบและเรียกใช้งาน
เมื่อระบบ CTD ตรวจพบมัลแวร์ก็จะสร้างซิกเนเจอร์ของมัลแวร์ตัวนั้น และส่งไปยังเครื่อง end-point ทั้งหมด เพื่อป้องกันให้มีการเรียกใช้งานไฟล์ดังกล่าว ซึ่งระยะเวลาในกระบวนทั้งหมดนี้ใช้เพียงแค่ 1 ชั่วโมง
นอกจากนี้ทาง Trend Micro ยังมีชุดเครื่องมือ Crypto-Ransomware File Decryptor ที่เปิดให้ดาวน์โหลดฟรี เครื่องมือนี้จะทำงานกับระบบที่ติด TeslaCrypt และ CryptXXX ทำให้เครื่องที่ถูกเข้ารหัสไฟล์ สามารถเรียกไฟล์กลับคืนมาได้ โดยไม่ต้องจ่ายค่าไถ่