รับมือการโจมตีทางไซเบอร์ ในวิกฤติที่มีนักฉวยโอกาสอยู่รอบตัว

รับมือการโจมตีทางไซเบอร์ ในวิกฤติที่มีนักฉวยโอกาสอยู่รอบตัว

การโจมตีทางไซเบอร์มีอยู่ตลอดเวลา ทว่าในวิกฤติโรคระบาดที่กระทบถึงวิถีชีวิต วิธีการทำงาน และความมั่นคงด้านรายได้ ยิ่งทำให้นักฉวยโอกาสหรือแฮกเกอร์สบช่องในจารกรรมข้อมูล หรือหลอกลวงด้วยวิธีต่างๆ ทางออนไลน์ ในภาวะที่ผู้คนรู้สึกไม่มั่นคงในชีวิต

“กรุงเทพธุรกิจ” ได้สนทนาเกี่ยวกับการป้องกันการจารกรรมข้อมูล และการหลอกหลวงทางไซเบอร์ กับ ‘ดร.รัฐิติ์พงษ์ พุทธเจริญ’ ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ ของฟอร์ติเน็ต (Fortinet) ซึ่งเขาให้ความเห็นว่า ยิ่งในช่วงเวลาแห่งการควบคุมการระบาดของโควิด-19 ซึ่งเน้นการการเว้นระยะห่างทางสังคม ทำให้มีการทำงานจากบ้าน (WFH – Work from Home) มากขึ้น และอาจไม่ใช่แค่ช่วงนี้ และในอนาคตที่มีการคาดว่าอาจเกิดการระบาดระลอก 2 ขึ้นมา แต่นี่เป็นเทรนด์โลก ที่เทคโนโลยีช่วยให้เกิดคนทำงานทางไกล (Teleworker) มากขึ้น การป้องกันไม่ว่าจะเป็นอุปกรณ์ เช่น คอมพิวเตอร์หรือสมาร์ทโฟนที่พนักงานใช้ทำงานเอง หรือเซิร์ฟเวอร์ขององค์กร จึงยิ่งต้องการความคุ้มครองที่แข็งแรงขึ้น เพราะระยะห่างนั้นนอกจากความสะดวกยังเป็นช่องโหว่สำหรับการโจมตีทางไซเบอร์ด้วย

  • เมื่อพนักงานออฟฟิศต้องกลายเป็น Teleworker

คอมพิวเตอร์หรือแล็ปท็อปส่วนใหญ่มีการติดตั้งซอฟต์แวร์แอนติไวรัสอยู่แล้ว และบริษัทก็มีระบบการป้องกันข้อมูลแน่นหนา (ขึ้นอยู่กับองค์กร) หากพนักงานเข้ามาทำงานในออฟฟิศตามปกติ ก็จะมีการดูแลพร้อมทั้ง 2 ทาง แต่เมื่อทำงานทางไกลจากทางบ้านล่ะ ?

ดร.รัฐิติ์พงษ์ ปูพื้นเรื่องการดูแลความปลอดภัยของทรัพยากรข้อมูลในองค์กรต่างๆ ว่ามีอยู่ 2 ขั้น คือ ขั้นของเอนด์พอยท์ (Endpoint) หรืออุปกรณ์ปลายทางซึ่งใช้ทำงาน (เช่น คอมพิวเตอร์ แล็ปท็อป เป็นต้น) และขั้นขององค์กรในการดูแลเซิร์ฟเวอร์รวม

“ในความเห็นผมคิดว่าไม่เพียงพอนะครับ ที่ผู้ใช้มีแค่แอนติไวรัสทั่วไปในอุปกรณ์ปลายทางที่เขาใช้ทำงาน เวลาอยู่ในองค์กรจะมีเอนด์พอยท์และซอฟต์แวร์ติดตั้งอยู่ที่ออฟฟิศมากมาย เช่น ตัวกรองเว็บ ตัวตรวจจับซีโร่ เดย์ (Zero day) หรือไวรัสใหม่ เป็นต้น ซึ่งซอฟต์แวร์ป้องกันต่างๆ ที่อยู่กับเซิร์ฟเวอร์นั้นเชื่อมโยงการป้องกันเอนด์พอยท์ในออฟฟิศ แต่ไม่ได้ตามไปกับเครื่องคอมฯ ส่วนตัว ที่พนักงานนำกลับบ้านไปด้วย เมื่อก่อนเรานำงานกลับไปทำที่บ้านไม่นาน ก็อะลุ้มอล่วยได้ แอนติไวรัสที่เครื่องยังพอดูแลได้ แต่ช่วง WFH ต้องทำงานจริงจังที่บ้าน มีการดาวน์โหลด ส่งอีเมล์ ส่งข้อมูลกันตลอดเวลา ความเสี่ยงก็สูงขึ้นตามระยะเวลาการทำงานที่ยาวนานขึ้น”

159110694765

‘ดร.รัฐิติ์พงษ์ พุทธเจริญ’ ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ ของฟอร์ติเน็ต

“ส่วนอีกขั้นคือการปกป้องที่ตัวองค์กรเอง โดยมีการปกป้องข้อมูลในเซิร์ฟเวอร์ เมื่อทางบริษัทอนุญาตให้พนักงานซึ่งทำงานที่บ้านเข้าถึงเซิร์ฟเวอร์ของบริษัท ก็ต้องมีการระวังและยืนยัน ว่าเป็นพนักงานจริงๆ แต่ถ้าเครื่องของพนักงานติดมัลแวร์มาโดยที่บริษัทไม่ทราบ มัลแวร์นั้นก็อาจมาคอนโทรลเครื่องของพนักงาน และเจาะเข้าไปถึงเซิร์ฟเวอร์ของบริษัทได้”

“ฉะนั้น ในยุคนี้ต้องมีซอฟต์แวร์และฮาร์ดแวร์ที่ดูแลทั้งเครื่องของพนักงานและการดูแลเชื่อมกับเซิร์ฟเวอร์ที่รัดกุมยิ่งขึ้นครับ”

  • นักฉวยโอกาสในยามวิกฤติ

ในช่วงการระบาดของโควิด-19 เป็นวิกฤติที่รัฐบาลออกมาตรการต่างๆ มาเยียวยาประชาชน รวมถึงการสร้างแพลตฟอร์มเก็บข้อมูลเพื่อติดตาม คัดกรอง และป้องกันการระบาดระลอกที่ 2

ดร.รัฐิติ์พงษ์ได้ยกตัวอย่างมัลแวร์ที่นักฉวยโอกาสสร้างขึ้นในสถานการณ์เปราะบางนี้

“ช่วงโควิด-19 จะมีมัลแวร์ที่ใช้สถานการณ์นี้เป็นเครื่องมือเข้าถึงผู้ใช้งาน เช่น การปลอมแปลงเว็บ ไทยชนะ หรือปลอมแปลงเว็บที่คนกำลังสนใจ สร้างเว็บปลอมที่อาจสะกดคล้ายกับชื่อเว็บที่เป็นทางการ ปล่อยลิงค์ออกมาให้คนป้อนข้อมูลส่วนตัว แล้วนำข้อมูลเหล่านั้นไปใช้ต่อเพื่ออะไรบางอย่าง มัลแวร์โดยผู้ไม่ประสงค์ดีเหล่านี้ใช้สถานการณ์ที่คนกำลังต้องการเงิน ต้องการความช่วยเหลือ ส่งฟิชชิ่งอีเมล์มา เช่น ให้กรอกลิงค์นี้ เพื่อรับเงินสนับสนุน หรือปล่อยลิงค์ทางโซเชียลมีเดียมาลวงคน ไม่ว่าจะได้ข้อมูลส่วนตัวไป หรือหลอกให้คนจ่ายเงินส่วนหนึ่งก่อน เพื่อรับเงินก้อน ฯลฯ เป็นช่วงที่เกิดฟิชชิ่งอีเมล์และเว็บไซต์ปลอมขึ้นเยอะมากโดยอาศัยสถานการณ์โควิดครับ”

หรือการ Work From Home ซึ่งบริษัทจำเป็นต้องเปิดการเข้าถึงศูนย์ข้อมูลได้จากการทำงานที่บ้าน ผู้ปองร้ายก็รู้ว่าช่วงนี้มีคนทำงานจากที่บ้านมากเป็นพิเศษ การโจมตีจากมัลแวร์ก็จะเข้ามามากกว่าปกติ

“ที่จริงในออฟฟิศส่วนใหญ่จะมีด่านการป้องกันข้อมูลหลายด่าน แต่พอทำงานที่บ้านก็จะเหลือเอนด์พอยท์เพียงด่านเดียว คือเป็นเวอร์ชั่นมินิ เพื่อไม่ให้รบกวนการทำงาน (เพราะหากติดตั้งซอฟต์แวร์ป้องกันมากเกินไป จะเป็นภาระต่อคอมพิวเตอร์) ฉะนั้น เมื่ออยู่บ้าน ด่านป้องกันก็น้อยลง เราอาจได้รับมัลแวร์จากที่ต่างๆ โดยไม่รู้ตัว และพลาดขึ้นมาได้”

อธิบายเสริมง่ายๆ ว่า แม้คนทำงานจะไม่ทราบ แต่เซิร์ฟเวอร์ขององค์กรหรือบริษัทต่างๆ จะมีการอัพเดท เช็คความปลอดภัย และปิดช่องโหว่ต่างๆ อยู่เสมอ แต่พอกลับบ้านช่องทางการป้องจะเหลือน้อยลง หากวินโดว์ที่หรือระบบปฏิบัติการที่พนักงานใช้มีช่องโหว่ แฮกเกอร์ก็จะรู้และโจมตีได้ไม่ยาก

  • New Normal ที่ต้องการ New Security

ซอฟต์แวร์และฮาร์ดแวร์ตระกูลแอนติไวรัสมีอยู่หลายโซลูชั่น สำหรับฟอร์ติเน็ทเองได้พัฒนาระบบเพื่อตอบรับการทำงานทางไกล ที่ไม่เพียงเป็น New Normal ที่มาถึงเร็วกว่าจังหวะปกติด้วยวิกฤติโรคระบาด แต่ยังเป็นแนวโน้มของการทำงานในอนาคตที่จะเต็มไปด้วย Teleworker ไม่ว่าจะสังกัดบริษัท หรือเป็นฟรีแลนซ์ที่ทำงานกับองค์กรใหญ่ พวกเขาทำงานจากที่ไหนก็ได้ขอเพียงมีอินเตอร์เน็ท อัพโหลด ดาวน์โหลด ส่งต่องานผ่านระบบออนไลน์

ช่องทางออนไลน์จึงเป็นทั้งสะพานและประตูที่ควรมีระบบการดูแลความปลอดภัยที่แข็งแรง ไม่ให้ผู้ประสงค์ร้ายเข้ามาโจมตี เพราะปัจจุบันการคุกคามมีความซับซ้อนมากขึ้น เช่น ภัยเรียกค่าไถ่ (Ransomware) ภัยที่ไม่เคยเกิดขึ้นมาก่อน (Zero-Day) พฤติกรรมที่พนักงานทำโดยตั้งใจหรือไม่ได้ตั้งใจ รวมถึงการโหลดไฟล์ที่อาจมีสคริปต์ซับซ้อน

และจากรายงานจาก Verizon DBIR และ NSS Labs AEP Test  พบว่า 92.40% ของภัยคุกคามเกิดทางอีเมล ดังนั้นหากพนักงานเปิดอีเมลที่มีไฟล์เช่น Microsoft office หรือ PDF ซึ่งดูเหมือนปกติ แต่ที่จริงแล้วไม่ ก็อาจนำภัยคุกคามเข้ามาได้ องค์กรยุคนี้จึงต้องการทั้งซอฟต์แวร์และอุปกรณ์การป้องกันขั้นสูงขึ้น

โซลูชั่นที่ Fortinet ออกแบบมาจึงมีทั้งการดูแลที่เครื่องซึ่งเป็นเอนด์พอยท์ และเซิร์ฟเวอร์ขององค์กร เช่น

  • FortiClient

เป็น Endpoint Security เรียกง่ายๆ ว่าเป็นตัวสแกนไวรัส ซึ่งเครื่องของคนทำงานต้องมีไว้เสมอ เพื่อป้องกันการโจมตีที่เครื่อง ตรวจจับการโจมตี ทำ VPN ที่สามารถป้องกันเว็บปลอม เช่น ไทยชนะปลอม หรือคัดกรองเว็บปลอมอื่นๆ (Web Filtering) ได้  ไม่ให้ไปยังเว็บที่ไม่ปลอดภัย ซึ่งฟอร์ติเน็ทมีฐานข้อมูลว่าเว็บไหนไม่ปลอดภัย โดยอัพเดทร่วมกับองค์กรต่างๆ แอนติไวรัสจึงถือว่าปัจจัยพื้นฐานของเครื่องของผู้ใช้งาน (User)

  • FortiEDR

โดยทั่วไปแล้ว ด่านป้องกันที่เครื่องยูสเซอร์จะเป็นแบบมินิ (ชุดเล็ก) แต่เซิร์ฟเวอร์หลักจะมีฟีเจอร์การทำงานที่มากกว่า ทั้งการดูแลเอนด์พอยท์ และการตรวจสอบ ถ้าตัวมินิสแกนไม่เจอ แต่ FortiEDR จะตรวจจับ และวิเคราะห์ได้หากเครื่องของพนักงานมีมัลแวร์ที่ซับซ้อนเข้ามา FortiEDR จะสามารถลบหรือหยุดการทำงานที่ผิดปกติได้ ด้วยระบบการทำงานทางไกล ก็ตรวจสอบเจอมัลแวร์ที่ซ่อนอยู่ แล้วส่งสัญญาณมาจัดการจากภายนอกได้

  • FortiToken

คือ 'Two -Factor Authentication' หรือ 'วิธีเพิ่มความปลอดภัยด้วยการตั้งพาสเวิร์ด 2 ชั้น' ประเภทหนึ่ง ซึ่งทำงานทางไกลตอบรับกันระหว่างซอฟต์แวร์ของฟอร์ติเน็ท เมื่อคนทำงานทางไกลจะเข้าถึงเซิร์ฟเวอร์ ก็จะมี FortiToken รายงานแบบเรียลไทม์ ส่งรหัสชั้นที่ 2 เข้ามาให้ยืนยันตัวตน ในอดีต Token คือฮาร์ดแวร์ ทอคเคน ปัจจุบันนี้เป็นซอฟแวร์ ทอคเคน ส่งมาให้พนักงานผู้นั้นเข้าถึงโดยเฉพาะ

นอกจากนี้ ยังมี FortiInside ซึ่งเป็นตัวตรวจจับว่าพฤติกรรมผิดปกติของผู้ใช้งานในองค์กร ไม่ว่าจะเกิดจากการที่เครื่องติดมัลแวร์ หรือจากพฤติกรรมผู้ใช้เครื่องนั้นเอง เมื่อมีรายงานผิดปกติเข้ามา ระบบไอทีจะมาตรวจจับการเข้าถึงที่ไม่ปกติ แล้วปิดการเข้าถึงนั้นได้ทันที

บริการดังกล่าวนี้สามารถเลือกใช้ได้ตามงบประมาณและระดับการป้องกันการโจมตี

แต่ดร.รัฐิติ์พงษ์ได้ทิ้งท้ายว่า หากผู้ใช้งานมีซอฟต์แวร์แอนติไวรัสที่มีคุณภาพสูงประจำเครื่องของทุกคนอยู่แล้ว ก็เท่ากับว่าช่วยดูแลความปลอดภัยทางไซเบอร์ให้กับองค์กรได้ถึง 60% เลยทีเดียว