แนวทางปฏิบัติจาก Sophos เพื่อป้องกันภัยร้ายให้แก่องค์กร ปลุกพลังไฟร์วอลล์ของคุณอีกครั้ง เพื่อปัดเป่าภัยร้ายแรนซั่มแวร์ให้สิ้น

          ผู้แต่ง : คุณวานา ทัน, วิศวกรด้านโซลูชั่นระดับโกลบอล จาก Sophos
          จากที่ภัยคุกคามบนโลกไซเบอร์ได้วิวัฒนาการตัวเองขึ้นมาอย่างรวดเร็ว คุณก็จำเป็นต้องยกระดับไฟล์วอลล์ที่มีอยู่ให้ทันกับอันตรายพวกนี้ด้วย
          ในปัจจุบัน แม้แต่องค์กรที่ขึ้นชื่อเรื่องความเข้มงวดกวดขันด้านความปลอดภัยมากที่สุด ก็ยังมีรอยต่อระหว่างช่วงการค้นพบช่องโหว่ ไปจนถึงการติดตั้งแพทช์อยู่ดี ซึ่งสามารถกลายเป็นความเสี่ยงที่สำคัญของบริษัทได้ นี่จึงเป็นเหตุผลที่ไฟร์วอลล์แบบ Next-Gen มีความจำเป็นอย่างยิ่งในการเป็นแนวหน้าปกป้ององค์กรจากอันตรายขั้นสูงทั้งหลายที่รุมล้อม
          ในไฟร์วอลล์แบบ Next-Generation ทุกตัว จะมีองค์ประกอบสำคัญด้านความปลอดภัยที่รู้จักกันในชื่อ ระบบป้องกันการบุกรุกหรือ IPS ซึ่งจะคอยตรวจสอบข้อมูลในแพ็กเก็ตที่พบบนทราฟิกเครือข่ายแบบเชิงลึก เพื่อค้นหาและปิดกั้นการใช้ประโยชน์จากช่องโหว่ก่อนที่จะวิ่งไปถึงเครื่องเหยื่อเป้าหมาย นอกจากนี้ ไฟร์วอลล์ Next-Gen ยังมีลำดับชั้นความปลอดภัยที่สำคัญในชื่อเทคโนโลยีแซนด์บ็อกซ์ที่ทำงานผ่านคลาวด์ โดยสามารถตรวจจับไฟล์เอกสารที่ถูกติดอาวุธร้ายแม้จะอยู่ในรูปไฟล์ที่ใช้งานทั่วไปอย่าง Microsoft Office และ PDF มีการระบุค้นหาไฟล์ต้องสงสัยตั้งแต่ที่เกตเวย์ และมัดแพ็คไว้อย่างดีก่อนส่งโยนเข้าไปขังในแซนด์บ็อกซ์บนคลาวด์เพื่อตัดแขนตัดขาให้สิ้นฤทธิ์ พร้อมเฝ้าสังเกตพฤติกรรมในระยะยาวต่อไป
          อย่างไรก็ดี พึงระลึกไว้ว่า ทั้งฟีเจอร์ IPS และ Sandbox นี้จะได้ผลก็ต่อเมื่อใช้ตรวจจับทราฟฟิกที่วิ่งผ่านเข้าออกจากไฟร์วอลล์เท่านั้น จึงควรอย่างยิ่งที่ต้องยึดแนวทางการปฏิบัติที่ดีที่สุดเพื่อความปลอดภัยเหล่านี้เพื่อให้แน่ใจว่าระบบในองค์กรสามารถรับมือกับการโจมตีที่มีการแพร่กระจายเหมือนเวิร์มบนเครือข่ายได้
          แนวทางการปฏิบัติที่แนะนำ:
          · ทำให้แน่ใจว่า คุณได้รับการปกป้องที่เหมาะสม โดยเฉพาะการมีโซลูชั่นแซนด์บ็อกซ์ และเอนจิ้น IPS บนไฟร์วอลล์แบบ Next-Generation แบบประสิทธิภาพสูง
          · ตรวจสอบเครือข่ายทั้งหมดอย่างละเอียด และปิดกั้นพอร์ตที่เปิดไว้โดยไม่จำเป็นไม่ให้สามารถเข้าถึงได้จากภายนอก เนื่องจากพอร์ตที่เปิดค้างไว้เหล่านี้อ่อนไหวต่อการโดนโจมตีเป็นอย่างมาก รวมทั้งถือเป็นช่องทางในการแพร่กระจายเวิร์มเข้ามาในระบบได้เป็นอย่างดี ดังนั้น ถ้าเป็นไปได้แนะนำให้ใช้วีพีเอ็นในการเข้ารหัสการเชื่อมต่อจากภายนอกเข้ามาใช้ทรัพยากรในเครือข่ายภายใน
          · รักษาความปลอดภัยให้กับทราฟิกทั้งขาเข้าและขาออกด้วยการตั้งโปรไฟล์ IPS ที่เหมาะสม
          · บังคับใช้ฟีเจอร์แซนด์บ็อกซ์กับทราฟิกทั้งบนเว็บและอีเมล์ เพื่อให้มั่นในว่า ทุกไฟล์ที่น่าสงสัยที่เข้ามาผ่านการดาวน์โหลดบนเว็บ หรือผ่านไฟล์แนบบนอีเมล์นี้จะถูกวิเคราะห์หาพฤติกรรมที่เป็นอันตรายก่อนถูกปล่อยเข้าสู่เครือข่ายของคุณ
          · จำกัดความเสี่ยงในการแพร่กระจายไวรัสภายในเครือข่าย ด้วยการแบ่งส่วนเครือข่ายภายในหรือ LAN ให้เป็นเครือข่ายย่อยๆ จะจำกัดโซนแยกต่างหาก หรือใช้การแบ่งเครือข่ายภายในแบบเวอร์ช่วลหรือ VLAN ที่สามารถรับการปกป้องและเชื่อมต่อกับเครือข่ายย่อยอื่นที่ไฟร์วอลล์ได้ นอกจากนี้ ควรบังคับใช้โพลิซี IPS ที่เหมาะสมเพื่อควบคุมทราฟิกที่วิ่งอยู่ภายในแลน เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่, เวิร์ม, และบอทต่างๆ ไม่ให้วิ่งข้ามส่วนเครือข่ายย่อยภายในแลนไปมาได้ดังใจ
          · ใช้โซลูชั่นที่จำกัดส่วนของระบบที่ติดเชื้อแยกต่างหากโดยอัตโนมัติ ซึ่งเมื่อเกิดการติดเชื้อนั้น จำเป็นอย่างยิ่งที่โซลูชั่นความปลอดภัยของคุณจะต้องตรวจพบระบบที่โดนเล่นงานแล้วอย่างรวดเร็ว พร้อมทั้งจำกัดบริเวณแยกระบบดังกล่าวต่างหากออกมาจนกว่าจะกวาดล้างสำเร็จ ไม่ว่าจะกำจัดด้วยกลไกอัตโนมัติหรือลงมือเองแบบแมนน่วลก็ตาม
          ทั้งนี้ แรนซั่มแวร์, บอทเน็ต, และการโจมตีขั้นสูงอื่นๆ ล้วนมีความสามารถในการแพร่กระจายตัวเองไปทั่วทั้งโครงสร้างพื้นฐานไอทีในองค์กรได้อย่างรวดเร็ว จึงสำคัญเป็นอย่างมากที่ทั้งไฟร์วอลล์และเอนด์พอยต์จะต้องสื่อสารและแบ่งปันข้อมูลที่เป็นประโยชน์เกี่ยวกับพฤติกรรมที่เป็นอันตรายหรือต้องสงสัยอย่างทันท่วงที
          แม้การประสานงานดังกล่าวจะเป็นไปไม่ได้ในอดีต แต่ปัจจุบัน ด้วยกลไกที่เรียกว่า Sophos Synchronised Security ทำให้ทั้งเอนด์พอยต์และเครือข่ายสามารถประสานการทำงานร่วมเป็นหนึ่งเดียวด้วยการสื่อสารข้อมูลที่จำเป็นแบบเรียลไทม์ได้ ทำให้องค์กรสามารถป้องกัน, ตรวจจับ,สืบสวน, และฟื้นฟูหลังเกิดอันตรายได้โดยที่เกิดความเสียหายแก่ระบบน้อยที่สุด และเปลืองแรงน้อยที่สุดเช่นกัน ซึ่งในอดีต กระบวนการทั้งหมดตั้งแต่การค้นพบไปจนถึงการจัดการตอบสนองนั้นมักใช้เวลาเป็นสัปดาห์หรือหลายเดือน แต่ทุกวันนี้ได้ร่นเวลาลงเหลือเพียงแค่ไม่กี่วินาทีด้วยฟีเจอร์ความปลอดภัยแบบซิงโครไนซ์
          สำหรับองค์กรต่างๆ ที่ไม่ได้มีทีมงานด้านความปลอดภัยแบบครบวงจรระดับมืออาชีพเป็นของตนเอง การเลือกใช้โซลูชั่นความปลอดภัยแบบซิงโครไนซ์ก็สามารถช่วยยกระดับประสิทธิภาพในการทำงานได้ พร้อมกับยกระดับการประสานงานด้านงานปฏิบัติการ และการจัดการความปลอดภัยอย่างต่อเนื่องไม่มีสะดุด ทำให้ได้การปกป้องและความสามารถในการจัดการที่ดีกว่าเดิม ให้ทุกองค์กรไม่ว่าขนาดเล็กหรือใหญ่ได้รับการปกป้องจากอันตรายที่ซับซ้อนและผ่านการเตรียมการมาอย่างดีได้เสมอ

ข่าวแรนซั่มแวร์+ความปลอดภัยวันนี้

VMware Carbon Black ตัวตึงเรื่องความปลอดภัยไอที