เคล็ดลับสำคัญ: การโจมตีแบบ Zero-day และวิธีหลีกเลี่ยง

Top tips คือคอลัมน์รายสัปดาห์ที่สรุปเทรนด์เด่นในโลกเทคโนโลยี พร้อมเสนอแนวทางรับมือหรือปรับใช้กับองค์กรของคุณ สำหรับสัปดาห์นี้ เราจะพาไปดู 4 ขั้นตอนที่องค์กรสามารถทำได้เพื่อหลีกเลี่ยงการโจมตีแบบ Zero-day

ขอถามจริง ๆ — คุณจะรู้สึกโอเคไหมถ้าเพื่อนร่วมงานรู้ว่าคุณได้เงินเดือนเท่าไหร่? โดยเฉพาะถ้าคุณเป็นคนทำผลงานโดดเด่นในทีมเล็ก ๆ ที่มี 20 คน และกำลังก้าวขึ้นเป็นผู้จัดการระดับภูมิภาค องค์กรส่วนใหญ่มีกระบวนการที่จัดเก็บข้อมูลเงินเดือนของพนักงานแต่ละคนอย่างเป็นความลับ และเปิดเผยเฉพาะกับตัวพนักงานและบางครั้งกับผู้จัดการ เพื่อป้องกันความขัดแย้งหรืออารมณ์แตกหักในที่ทำงาน แต่ในกรณีของประเทศโมร็อกโก พวกเขาไม่โชคดีแบบนั้น

เมื่อเดือนเมษายนที่ผ่านมา กลุ่มผู้ไม่หวังดีสามารถเจาะระบบผ่านช่องโหว่แบบ Zero-day และแฮกระบบของกองทุนประกันสังคมแห่งชาติของโมร็อกโก (CNSS) ได้ ส่งผลให้ข้อมูลส่วนตัวของผู้ใช้กว่า 2 ล้านคนถูกละเมิด ข้อมูลที่รั่วไหลรวมถึงชื่อบริษัทที่พวกเขาทำงาน เบอร์ติดต่อ และที่สำคัญที่สุดคือ เงินเดือน ซึ่งทำให้พนักงานทั่วประเทศต่างตกใจกับเหตุการณ์ที่เกิดขึ้น
 

แทบจะเป็นไปไม่ได้เลยที่องค์กรจะสามารถรู้ถึงช่องโหว่ด้านความปลอดภัยทั้งหมดในแอปพลิเคชันหรือระบบปฏิบัติการของตนเอง แม้ว่าจะมีการออก patch และอัปเดตอยู่เป็นประจำก็ตาม นี่คือเหตุผลที่การโจมตีแบบ Zero-day จึงพบได้บ่อยและมีประสิทธิภาพมากกว่าการโจมตีแบบอื่น ๆ แฮกเกอร์ใช้เวลาเป็นวัน ๆ กับเครื่องมือทดสอบขั้นสูงเพื่อทำให้ระบบปฏิบัติการหรือแอปพลิเคชันล่ม เมื่อพบช่องโหว่แล้ว พวกเขาจะใช้เครื่องมือ reverse engineering เพื่อวิเคราะห์หาสาเหตุที่ทำให้ระบบล่ม จากนั้นจะนำไปสู่การสร้าง Zero-day exploit — ชุดคำสั่งที่ออกแบบมาเพื่อเจาะช่องโหว่นั้น ลอบเข้าไปในระบบ และส่ง payload (โค้ดโจมตี) ได้ในการโจมตีครั้งเดียว

โซลูชันด้านความปลอดภัยแบบเดิม เช่น firewall และแอนติไวรัส จะทำงานโดยอิงจาก signature และรูปแบบของภัยคุกคามที่รู้จักแล้ว  แต่เมื่อมีช่องโหว่ที่ยังไม่รู้จักเกิดขึ้น ระบบความปลอดภัยแบบเดิมก็มักตั้งรับไม่ทัน แม้ว่าจะดูเหมือนว่าการป้องกันการโจมตีลักษณะนี้แทบจะเป็นไปไม่ได้ แต่องค์กรยังสามารถวางกลยุทธ์แบบหลายชั้น (multi-layered strategy) เพื่อรับมือได้

มาพูดคุยกัน

1.  การสแกนหาช่องโหว่และการจัดการแพตช์

วิธีสำคัญในการลดความเสี่ยงจากภัยคุกคามแบบ Zero-day คือการสแกนระบบอย่างสม่ำเสมอและติดตั้งแพตช์สำหรับช่องโหว่ การใช้งาน เครื่องมือบริหารจัดการช่องโหว่ (vulnerability management tools) อย่างครอบคลุมที่สามารถตรวจสอบทั้งระบบปฏิบัติการและแอปพลิเคชัน เพิ่มความสามารถในการมองเห็น และประเมินความเสี่ยงอย่างเข้มงวด จะช่วยเป็นแนวป้องกันชั้นแรกต่อการโจมตีแบบ Zero-day คุณสามารถสแกนและติดตั้งแพตช์ให้กับระบบและเครื่องมือที่มีความสำคัญต่อธุรกิจอย่างสม่ำเสมอ โดยใช้ โซลูชันจัดการแพตช์ (patch management solutions) โซลูชันเหล่านี้สามารถทำงานอัตโนมัติในส่วนที่ใช้เวลามาก และให้รายงานเชิงลึกได้ด้วย

2. การแบ่งส่วนเครือข่ายและสิทธิขั้นต่ำสุด

การแบ่งเครือข่ายออกเป็นโซนย่อยที่แยกออกจากกัน จะช่วยลดพื้นที่ที่ถูกโจมตี (attack surface) และควบคุมภัยคุกคามให้อยู่เฉพาะในโซนนั้น ๆ ไม่ลุกลามไปยังส่วนอื่น สิ่งนี้เมื่อรวมกับชั้นการป้องกันแบบ least privilege (การจำกัดการให้ สิทธิ (permissions) เฉพาะที่จำเป็นแก่ผู้ใช้และแอปพลิเคชัน) จะช่วยลดพื้นที่เสี่ยงต่อการโจมตีได้มากยิ่งขึ้น และป้องกันการเคลื่อนไหวแบบข้ามระบบ (lateral movement)

3.  แอนติไวรัสยุคใหม่ (NGAV)

การใช้ AI และ ML เพื่อการตรวจจับและป้องกันภัยคุกคามขั้นสูง ทำให้ NGAV ได้เปรียบกว่าแอนติไวรัสแบบเดิม โดยเฉพาะในการตรวจจับภัยคุกคามแบบ Zero-day แทนที่จะอิงจากลายเซ็นของภัยคุกคาม (signature-based), NGAV วิเคราะห์พฤติกรรมผ่าน ML เพื่อระบุและป้องกันภัยคุกคามแบบเรียลไทม์ NGAV ยังสามารถตรวจจับ แยกการทำงาน (sandbox) และเฝ้าระวังไฟล์ระบบที่น่าสงสัยโดยไม่กระทบกับระบบหลัก นอกจากนี้ NGAV ยังสามารถใช้แหล่งข้อมูลข่าวกรองภัยคุกคามและฐานข้อมูลภัยคุกคามบนคลาวด์ เพื่ออัปเดตข้อมูลภัยคุกคามและช่องโหว่ล่าสุด

4. การฝึกอบรมและการสร้างความตระหนักรู้

การให้ความรู้แก่พนักงานและจัดตั้งทีมเฉพาะกิจเพื่อติดตามและอัปเดตข้อมูลช่องโหว่และภัยคุกคาม ถือเป็นแนวป้องกันชั้นสุดท้าย ควรจัดทำ แคมเปญให้ความรู้ เกี่ยวกับภัยคุกคามไซเบอร์ที่พบบ่อยและแนวทางปฏิบัติที่ดีที่สุดด้านความมั่นคงปลอดภัยไซเบอร์ให้ทั่วทั้งองค์กร การมีทีมวิจัยด้านไซเบอร์ที่คอยสแกนข้อมูลบนเว็บเป็นประจำ เพื่ออัปเดตภัยคุกคาม ช่องโหว่ และเอกสารช่วยเหลือ ถือเป็นประโยชน์อย่างมากในการดูแลฐานข้อมูลช่องโหว่ให้ทันสมัยอยู่เสมอ ฐานข้อมูลนี้สามารถออกแบบให้ซิงค์กับเซิร์ฟเวอร์ของ เครื่องมือจัดการช่องโหว่ (vulnerability management tool) เพื่อช่วยในการตรวจสอบและแก้ไขช่องโหว่ได้โดยอัตโนมัติ

ช่องโหว่ ไม่ใช่ความอ่อนแอ

ด้วยการนำกลยุทธ์ทั้ง 4 ข้อนี้มาใช้เชิงรุก องค์กรสามารถลดความเสี่ยงจากการตกเป็นเหยื่อของการโจมตีแบบ Zero-day ได้อย่างมาก แม้ไม่มีการป้องกันใดที่สมบูรณ์แบบ 100% แต่แนวทางแบบป้องกันหลายชั้นจะช่วยสร้างสภาพแวดล้อมที่แข็งแกร่งและรับมือกับภัยคุกคามใหม่ได้ดีขึ้น ในโลกของไซเบอร์ที่เปลี่ยนแปลงอย่างรวดเร็ว ความตื่นตัวและปรับตัวได้ คือกุญแจสำคัญของการป้องกันตัว