ช่องโหว่ในการสำรองข้อมูล และการกำหนดค่าที่ไม่ถูกต้องของพื้นที่เก็บข้อมูลที่มีอยู่ในสภาพแวดล้อมทางไอทีของคุณ คืออันตรายจากแรนซัมแวร์
ที่จัดเก็บข้อมูล (Storage) กำลังกลายเป็นเป้าหมายหลักของอาชญากรไซเบอร์ เหล่าบรรดาแฮกเกอร์ทั้งหลายพยายามอย่างมากที่จะฝ่าด่านกำแพงป้องกันรอบด้าน ฝ่าด่านการป้องกันความปลอดภัยทางไซเบอร์ขั้นสูง ฝ่าด่านระบบปฏิบัติการและแอปพลิเคชันที่แพตช์มาอย่างดี และอื่นๆ ที่องค์กรจัดสรรมาเพื่อเป็นกำแพงป้องกัน
เมื่อไม่นานมานี้องค์กรทั้งใหญ่และเล็กในประเทศต่างๆ ทั่วโลก เริ่มเกิดความตระหนักว่าระบบจัดเก็บและสำรองข้อมูลต้องเป็นแนวหน้าในการต่อสู้กับการบุกรุกจากแรนซัมแวร์ เพราะได้ปรากฏเป็นสถานการณ์ที่เกิดขึ้นจริงแม้แต่ในประเทศไทย ว่าช่องโหว่ในการสำรองข้อมูล (backup vulnerabilities) และการปรับเปลี่ยนข้อมูลที่กำหนดเงื่อนไขต่างๆ ของระบบเก็บข้อมูลที่ผิดปกติไปจากที่ควร (storage misconfigurations) ขององค์กร เป็นช่องทางที่ทำให้แฮกเกอร์โจมตีได้ค่อนข้างง่ายดาย และเมื่อพบช่องทางตรงนั้น พวกแฮกเกอร์จะสามารถทำลายข้อมูลสำรอง ล็อคผู้ใช้ออกจากระบบ หรือร้ายแรงถึงขั้นเรียกค่าไถ่จากองค์กร
โซลูชั่นหรือนวัตกรรมที่เข้ามารับมือการตกเป็นเป้าหมายของแรนซัมแวร์ในยุคนี้มีให้เลือกใช้อยู่มากน้อยเพียงใด
ความสามารถของโซลูชั่นในการป้องกันแรนซัมแวร์สำหรับระบบสำรองข้อมูล ส่วนใหญ่แล้วจะต้องรวมถึงการใช้ปัญญาประดิษฐ์ (AI) เพื่อตรวจจับแรนซัมแวร์ โดยการตรวจสอบรูปแบบการใช้ข้อมูลสำหรับกิจกรรมที่ผิดปกติ เช่น
- การเปลี่ยนแปลงข้อมูลเกี่ยวกับชื่อไฟล์หรือนามสกุลไฟล์
- ความผิดปกติของการโอนถ่ายข้อมูล
- การแก้ไขสิทธิ์ของผู้ใช้งานระบบสำรองข้อมูล
- แจ้งเตือนเกี่ยวกับพฤติกรรมต่างๆ ที่เกิดภัยคุกคามต่อผู้ใช้
- แจ้งเตือนเมื่อตรวจจับ bad file signatures ได้
- แจ้งเตือนเกี่ยวกับการแก้ไขหรือการลบเนื้อหาไฟล์ขนาดใหญ่
- ตรวจจับความผิดปกติที่มีการเปลี่ยนแปลงการกำหนดค่า configurations ใน backup environments
กระบวนการรับมือดังที่กล่าวมาทั้งหมดนี้ ฟังดูแล้วแล้วน่าจะเพียงพอ แต่ทว่าทำไมการโจมตีของแรนซัมแวร์ยังคงดำเนินต่อไป
หลักการ Immutable Storage Backups รูปแบบการจัดเก็บข้อมูลที่ไม่สามารถแก้ไขหรือเปลี่ยนแปลง
รูปแบบการสำรองข้อมูลที่ไม่สามารถแก้ไขหรือเปลี่ยนแปลง มีข้อดีคือข้อมูลที่สำรองไว้จะคงที่ ไม่เปลี่ยนแปลง และไม่สามารถลบได้ อีกทั้งองค์กรจะได้รับข้อมูลสำรองที่สามารถกู้คืนได้และปลอดภัยเสมอ แม้จะมีเหตุการณ์ที่ไม่พึงประสงค์ เช่น การบุกรุกของแรนซัมแวร์
แต่ข้อเสียคือหลายองค์กรกลับทำผิดพลาดในการกำหนดค่าการ immutable backups หรือการไม่ได้ทำ backups อย่างถูกต้อง ซึ่งอาจเป็นผลมาจากความเข้าใจในเทคโนโลยีและข้อจำกัดอื่นๆ จึงเกิดเหตุการณ์ในทำนองที่ว่าฝ่ายตรงข้าม หรือแฮกเกอร์ สามารถมีช่องทางเข้ามาบุกรุกการจัดการในส่วนของงาน backups ได้ ซึ่งเป็นการส่งผลดีต่อผู้บุกรุกแต่เกิดผลเสียต่อองค์กร
ภัยคุกคามอีกประเภทหนึ่งคือ “data poisoning” หากอาชญากรไซเบอร์สามารถเข้าถึงระบบสำรองข้อมูลได้ และทำการแทรกแซงกระบวนการขั้นตอนในการสำรองข้อมูล ทำให้ข้อมูลเสียหายก่อนที่องค์กรจะมีการสำรองข้อมูลอย่างถาวร หากแฮกเกอร์ได้กระทำการเหล่านี้โดยไม่มีใครสังเกตเห็นเป็นเวลานานพอสมควร (เช่น หลายเดือน) แล้วเริ่มการโจมตีด้วยแรนซัมแวร์ องค์กรจะไม่มีข้อมูลสำรองที่เป็นข้อมูลปัจจุบันให้กู้คืนได้เลย
กลไกสแนปช็อตและการจำลองข้อมูล (Replication)
กลไกสองอย่างนี้ดูเหมือนจะเป็นกลไกที่เหมาะสมสำหรับการปกป้องข้อมูล:
- มีการทำสแนปช็อตสำเนาข้อมูลระดับฮาร์ดแวร์ที่ครบสมบูรณ์ หรือทำสำเนาสร้างขึ้น ณ จุดใดจุดหนึ่งของวัน
- ข้อมูลที่ตำแหน่งหนึ่งถูกจำลอง (Replicate) ไปยังอีกตำแหน่งหนึ่งทั้งหมด
แต่ก็มีกรณีเกิดขึ้นบ่อยครั้งที่การสำเนาข้อมูลดังกล่าวไม่มีความปลอดภัย และแยกออกจากกันได้ไม่ดีพอ ตัวอย่างเช่น ตามแนวทางปฏิบัติไม่ควรอนุญาตให้ server admin จัดการสำเนาพื้นที่เก็บข้อมูล แต่ในความเป็นจริงหลายองค์กรกลับไม่ได้ปฏิบัติตามแนวทางที่ดีที่สุดนี้ จึงส่งผลให้แฮกเกอร์ที่เข้าถึงเซิร์ฟเวอร์ สามารถลบสำเนาที่เก็บข้อมูลได้ และเมื่อหากข้อมูลที่สแนปช็อตหรือจำลองข้อมูลเสียหาย ก็จะไม่สามารถกู้คืนได้
สำเนา Air-gapped และสำเนา Offline
สำเนา Air-gapped เป็นหนึ่งในวิธีการที่ดีสำหรับการปกป้องข้อมูล ซึ่งจะเป็นการเก็บสำเนาของข้อมูลไว้ในสถานที่ที่ผู้คนไม่สามารถเข้าถึงได้โดยสิ้นเชิงจากอินเทอร์เน็ต และจากเน็ตเวิร์คใดๆ หรือเป็นการสำเนาข้อมูลแบบออฟไลน์ คือ ไม่ได้เชื่อมต่อกับอุปกรณ์คอมพิวเตอร์อื่นเลย หรือปิดเครื่องที่ใช้เก็บสำเนาโดยสิ้นเชิง
วิธีในการทำ Air-gapped ในรูปแบบเดิม คือ การสำรองข้อมูลลงในระบบ Tape ที่ตัดขาดจากเครือข่ายเน็ตเวิร์คต่างๆ และออฟไลน์ไว้ในที่ปลอดภัย แต่ในปัจจุบันได้มีรูปแบบการให้บริการ Air-gapped ในระบบ Cloud และระบบ Disk ที่เพิ่มเติมเข้ามาอีกด้วย
อย่างไรก็ตามระบบดังกล่าวยังไม่สามารถออฟไลน์ได้ร้อยเปอร์เซ็นตามหลักการ เนื่องจากยังมีความเสี่ยงที่จะเกิดกรณีการกำหนดค่า Configuration ผิด และอาจมีช่องโหว่ หรือข้อผิดพลาดของบุคคลที่อาจทำให้ข้อมูลเข้าสู่เครือข่ายเน็ตเวิร์ค ซึ่งจะทำให้แฮกเกอร์สามารถแทรกแซงข้อมูลได้โดยที่ไม่มีใครสังเกตเห็น
Closing the Gap :
ช่องโหว่ในการสำรองข้อมูล และการกำหนดค่าที่ไม่ถูกต้องของพื้นที่เก็บข้อมูลที่มีอยู่ในสภาพแวดล้อมทาง IT ของคุณ คืออันตรายจากแรนซัมแวร์
การบริหารจัดการช่องโหว่ที่ครอบคลุมถึงการจัดเก็บและสำรองข้อมูล จะช่วยป้องกันไม่ให้อาชญากรไซเบอร์ใช้ประโยชน์จากการที่องค์กรกำหนดค่าความปลอดภัยที่ผิดพลาด และใช้ช่องโหว่เหล่านั้นเพื่อเจาะระบบจัดเก็บและสำรองข้อมูล ระบบการจัดการช่องโหว่แบบดั้งเดิมจะเน้นไปที่ระบบปฏิบัติการและซอฟต์แวร์เป็นส่วนใหญ่ และอาจทำงานได้ไม่ดีพอสำหรับการระบุความเสี่ยงของพื้นที่เก็บข้อมูลและการสำรองข้อมูล
ในบทความถัดไปเราจะมาพูดถึง Engine การตรวจจับความเสี่ยงอัตโนมัติ ที่จะตรวจสอบการกำหนดค่าความปลอดภัยที่ผิดพลาดและช่องโหว่ที่อาจเกิดขึ้นได้หลายพันรายการในระบบข้อมูลและระบบสำรองข้อมูล ซึ่งก่อให้เกิดเป็นภัยคุกคามด้านความปลอดภัยต่อองค์กรค่ะ
เขียนโดย : Kanitha
วันที่เผยแพร่ : 10 ก.ค. 2566