แนวทางการป้องกัน และรับมือภัยคุกคามทางไซเบอร์ในสถานการณ์ปัจจุบัน

เนื่องจากสถานการณ์ความขัดแย้งกับประเทศเพื่อนบ้านบริเวณชายแดนอย่างที่เป็นที่ทราบกันดีแล้วนั้น

บริษัท i-secure ตระหนักถึงความสำคัญในการเฝ้าระวังภัยคุกคามที่อาจจะเกิดขึ้นกับระบบของลูกค้า และได้มีมาตรการป้องกัน และเฝ้าระวังอย่างเข้มงวดมาโดยตลอด ไม่ว่าจะเป็นช่วงสถานการณ์ปกติ หรือในช่วงที่มีความขัดแย้ง

แต่เพื่อให้การป้องกัน และความปลอดภัยกับระบบของลูกค้าได้ดีมากยิ่งขึ้น บริษัทจึงขอแนะนำมาตรการดังต่อไปนี้เพื่อให้บริษัท และองค์กรต่าง ๆ นำไปปรับใช้เพิ่มเติมเพื่อลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ในช่วงเวลานี้ ดังนี้

1. การเฝ้าระวังโดยใช้ข้อมูลจราจรทางคอมพิวเตอร์ (Logs) 

  • เพิ่มการเก็บข้อมูลจราจรทางคอมพิวเตอร์ (Logs) ให้ครอบคลุมระบบสำคัญต่าง ๆ ขององค์กรทั้งหมด เพื่อช่วยเฝ้าระวัง และตรวจจับภัยคุกคามทางไซเบอร์ได้แม่นยำมากยิ่งขึ้น เช่น
    • อุปกรณ์ด้านความปลอดภัย (Security Devices Logs)
    • อุปกรณ์เครือข่าย (Network Devices Logs)
    • ระบบปฏิบัติการของเซิร์ฟเวอร์ (OS Logs)
    • ระบบยืนยันตัวตน (Authentication Services Logs)
    • เว็ปไซต์ และเว็ปแอปพลิเคชัน (Web Server Logs)
    • ระบบอีเมลขององค์กร (Email Server / Email Gateway Logs)
    • ระบบอื่น ๆ ขององค์กรที่มีความสำคัญ (Critical Server Logs)

2. อัปเดตระบบให้เป็นเวอร์ชันล่าสุด

  • เร่งอัปเดตระบบปฏิบัติการ, โปรแกรม และแอปพลิเคชันที่ใช้งาน, องค์ประกอบต่าง ๆ ของเว็ปไซต์, รวมไปถึงอุปกรณ์ด้านความปลอดภัย และอุปกรณ์เครือข่ายให้เป็นเวอร์ชันล่าสุด เช่น
    • Windows Servers
    • Linux Servers
    • Google Chrome
    • VMWare ESXi
    • WordPress
    • SAP
    • Fortigate
    • etc…
  • หากระบบใดก็ตามล้าสมัย หรือเป็นเวอร์ชันที่ไม่ได้รับการสนับสนุนอีกต่อไป (End of Life, End of Support) ให้ดำเนินการเปลี่ยนให้เป็นเวอร์ชันที่สามารถอัปเดตได้โดยเร็วที่สุด
  • งดเว้นการใช้โปรแกรม หรือซอฟแวร์ผิดลิขสิทธิ์ ซึ่งอาจนำมาสู่การติดมัลแวร์ประเภทที่จะขโมยข้อมูล Credential เช่น Info Stealer Malware และอาจนำมาสู่การนำ Credential ที่รั่วไหลออกไป กลับมาเข้าสู่ระบบขององค์กรได้

3. ตรวจสอบบัญชีผู้ดูแลระบบ และเพิ่มมาตรการควบคุมการเข้าถึง

  • จัดให้มีการตรวจสอบการใช้งานของบัญชีผู้ดูแลระบบ และบัญชีที่มีสิทธิ์สูงทั้งหมด ว่ามีบัญชีใดที่ยังใช้งานอยู่บ้าง หากบัญชีใดไม่มีการใช้งานแล้วควร Disable หรือลบทิ้งออกจากระบบ
  • พิจารณาใช้งานระบบการจัดการสิทธิ์การเข้าถึง (Privilege Access Management) เพื่อยกระดับความปลอดภัยในการควบคุมการเข้าถึงระบบสำคัญ ๆ ขององค์กร (Access Control) จากบัญชีผู้ดูแลระบบ และบัญชีที่มีสิทธิ์สูง

4. ตรวจสอบการเข้าถึงระบบสำคัญขององค์กรนอกช่วงเวลาทำงานปกติ

  • จัดให้มีการตรวจสอบการเข้าใช้งานระบบที่สำคัญต่าง ๆ ขององค์กรในช่วงนอกเวลาทำงาน เช่น การ Login เข้าสู่ระบบสำคัญขององค์กรด้วยบัญชีที่มีสิทธิ์สูงนอกช่วงเวลาทำงานตามปกติ

5. เปิดใช้งานการยืนยันตัวตนหลายขั้นตอน 

  • บังคับใช้งาน Multi Factor Authentication (MFA) กับทุกระบบสำคัญขององค์กร ไม่ว่าจะเป็นระบบที่ให้บริการกับลูกค้าทั่วไป หรือระบบที่ให้พนักงานภายในเข้าใช้งาน รวมไปถึงระบบสำหรับผู้ดูแลระบบ
  • Multi Factor Authentication (MFA) ยังสามารถช่วยป้องกันระบบขององค์กรในกรณีที่ผู้โจมตีนำข้อมูลรั่วไหลของผู้ใช้งานที่ได้มาจากมัลแวร์ประเภท Info Stealer กลับมาลอง Login เข้าสู่ระบบของค์กรด้วยวิธีการที่เรียกว่า Credential Stuffing ได้อีกด้วย

6. ใช้งาน Web Application Firewall เพื่อป้องกันการโจมตีผ่านเว็ปไซต์

  • พิจารณาใช้งาน Web Application Firewall (WAF) เพื่อป้องกันการโจมตีผ่านทางเว็ปไซต์ เนื่องจากเพียงแค่ IPS และ Firewall ปกติ ไม่เพียงพอต่อการป้องกันการโจมตีในระดับเว็ปไซต์

7. ใช้งานระบบป้องการการโจมตีแบบ DDoS

  • พิจารณาใช้งานระบบ Cloud DDoS protection หรือระบบที่สามารถช่วยป้องกันการโจมตีในลักษณะ DDoS ได้ เช่น Cloudflare, Incapsula เพื่อให้เว็ปไซต์ หรือระบบสำคัญขององค์กรสามารถให้บริการได้อย่างต่อเนื่อง

8. ปรับจูน Policy ของอุปกรณ์ด้านความปลอดภัยให้เหมาะสม

  • ปรับจูน Policy บน NGFW, IPS และ WAF ให้ Block พฤติกรรมที่เข้าข่ายภัยคุกคามทางไซเบอร์ตั้งแต่ในระดับ Severity High ขึ้นไปทันที ส่วนในระดับ Severity ที่ต่ำลงมา อาจจะพิจารณาเป็นแต่ละกรณีไป

9. ติดตั้ง Endpoint Protection ที่มีประสิทธิภาพ

  • ติดตั้ง Endpoint Detection and Response ที่มีประสิทธิภาพให้ครบทุกระบบขององค์กร ทั้งในส่วนของเซิร์ฟเวอร์ และเครื่องของพนักงาน

10. ตรวจสอบการเปิดใช้งาน Services ที่ไม่จำเป็นจากอินเทอร์เน็ต

  • ตรวจสอบการเปิดให้เข้าใช้งาน Services ต่าง ๆ ได้โดยตรงจากอินเทอร์เน็ต หากมี Services ใด ๆ ก็ตามที่ไม่มีความจำเป็นต้องใช้งาน ควรปิดการเชื่อมต่อจากอินเทอร์เน็ตทันที เช่น
    • Remote Desktop
    • SSH
    • SMB
    • Management Panel
    • Etc…

11. ปิดการเชื่อมต่อจากประเทศที่ไม่มีความเกี่ยวข้องกับองค์กร

  • พิจารณาปิดการเชื่อมต่อจาก IP ต้นทางที่มาจากประเทศที่ไม่ได้มีความเกี่ยวข้องกับการให้บริการขององค์กร หรือไม่มีความจำเป็นต้องเข้าใช้งานระบบขององค์กรในช่วงเวลานี้

12. ทดสอบข้อมูลใน Backup Server

  • ทดสอบการ Recovery ข้อมูลที่ถูกเก็บไว้ใน Backup Server ว่าสามารถ Recovery ให้ระบบกลับมาใช้งานได้ตามปกติหรือไม่

13. เตรียมความพร้อมด้านการประสานงาน

  • จัดให้มีทีมที่เตรียมความพร้อมรับมือกับสถานการณ์ภัยคุกคามทางไซเบอร์ทั้งในระดับบริหาร และระดับปฏิบัติการ รวมถึงขั้นตอนในการให้ข้อมูลกับสื่อ

14. จัดเตรียมแผนการตอบสนองต่อเหตุการณ์ภัยคุกคามทางไซเบอร์

  • จัดทำแผนการตอบสนองต่อเหตุการณ์ภัยคุกคามทางไซเบอร์ (Incident Response Plan) เพื่อเตรียมพร้อมรับมือกับภัยคุกคามทางไซเบอร์ในรูปแบบต่าง ๆ สำหรับองค์กร
  • จัดให้มีการทดสอบแผนการตอบสนองต่อเหตุการณ์ภัยคุกคามทางไซเบอร์เป็นประจำ