เนื้อหาวันที่ : 2017-10-05 10:28:41 จำนวนผู้เข้าชมแล้ว : 1911 views

6 แนวทางปฏิบัติจาก Sophos เพื่อป้องกันภัยร้ายให้แก่องค์กร ปลุกพลังไฟร์วอลล์ของคุณอีกครั้งเพื่อปัดเป่าภัยร้ายแรนซั่มแวร์ให้สิ้น

โดย : วานา ทัน
        วิศวกรด้านโซลูชั่นระดับโกลบอล
        Sophos

จากที่ภัยคุกคามบนโลกไซเบอร์ได้วิวัฒนาการตัวเองขึ้นมาอย่างรวดเร็ว คุณก็จำเป็นต้องยกระดับไฟล์วอลล์ที่มีอยู่ให้ทันกับอันตรายพวกนี้ด้วย

ในปัจจุบันแม้แต่องค์กรที่ขึ้นชื่อเรื่องความเข้มงวดกวดขันด้านความปลอดภัยมากที่สุด ก็ยังมีรอยต่อระหว่างช่วงการค้นพบช่องโหว่ไปจนถึงการติดตั้งแพตช์อยู่ดี ซึ่งสามารถกลายเป็นความเสี่ยงที่สำคัญของบริษัทได้ นี่จึงเป็นเหตุผลที่ไฟร์วอลล์แบบ Next-Gen มีความจำเป็นอย่างยิ่งในการเป็นแนวหน้าปกป้ององค์กรจากอันตรายขั้นสูงทั้งหลายที่รุมล้อม

ในไฟร์วอลล์แบบ Next-Generation ทุกตัวจะมีองค์ประกอบสำคัญด้านความปลอดภัยที่รู้จักกันในชื่อระบบป้องกันการบุกรุกหรือ IPS ซึ่งจะคอยตรวจสอบข้อมูลในแพ็กเก็ตที่พบบนทราฟฟิกเครือข่ายแบบเชิงลึกเพื่อค้นหาและปิดกั้นการใช้ประโยชน์จากช่องโหว่ก่อนที่จะวิ่งไปถึงเครื่องเหยื่อเป้าหมาย นอกจากนี้ไฟร์วอลล์ Next-Gen ยังมีลำดับชั้นความปลอดภัยที่สำคัญในชื่อเทคโนโลยีแซนด์บ็อกซ์ (Sandbox) ที่ทำงานผ่านคลาวด์ โดยสามารถตรวจจับไฟล์เอกสารที่ถูกติดอาวุธร้ายแม้จะอยู่ในรูปไฟล์ที่ใช้งานทั่วไป อย่างเช่น Microsoft Office และ PDF มีการระบุค้นหาไฟล์ต้องสงสัยตั้งแต่ที่เกตเวย์ และมัดแพ็คไว้อย่างดีก่อนโยนเข้าไปขังในแซนด์บ็อกซ์บนคลาวด์เพื่อตัดแขนตัดขาให้สิ้นฤทธิ์ พร้อมเฝ้าสังเกตพฤติกรรมในระยะยาวต่อไป

อย่างไรก็ดีพึงระลึกไว้ว่าทั้งฟีเจอร์ IPS และ Sandbox นี้จะได้ผลก็ต่อเมื่อใช้ตรวจจับทราฟฟิกที่วิ่งผ่านเข้าออกจากไฟร์วอลล์เท่านั้น จึงควรอย่างยิ่งที่ต้องยึดแนวทางการปฏิบัติที่ดีที่สุดเพื่อความปลอดภัยเหล่านี้เพื่อให้แน่ใจว่าระบบในองค์กรสามารถรับมือกับการโจมตีที่มีการแพร่กระจายเหมือนเวิร์ม (Worm) บนเครือข่ายได้

แนวทางการปฏิบัติที่แนะนำ

  • ทำให้แน่ใจว่าคุณได้รับการปกป้องที่เหมาะสม โดยเฉพาะการมีโซลูชันแซนด์บ็อกซ์และเอนจิน IPS บนไฟร์วอลล์แบบ Next-Generation แบบประสิทธิภาพสูง
  • ตรวจสอบเครือข่ายทั้งหมดอย่างละเอียด ปิดกั้นพอร์ตที่เปิดไว้โดยไม่จำเป็นไม่ให้สามารถเข้าถึงได้จากภายนอก เนื่องจากพอร์ตที่เปิดค้างไว้เหล่านี้อ่อนไหวต่อการโดนโจมตีเป็นอย่างมาก รวมทั้งถือเป็นช่องทางในการแพร่กระจายเวิร์มเข้ามาในระบบได้เป็นอย่างดี ดังนั้นถ้าเป็นไปได้แนะนำให้ใช้วีพีเอ็นในการเข้ารหัสการเชื่อมต่อจากภายนอกเข้ามาใช้ทรัพยากรในเครือข่ายภายใน
  • รักษาความปลอดภัยให้กับทราฟฟิกทั้งขาเข้าและขาออกด้วยการตั้งโปรไฟล์ IPS ที่เหมาะสม
  • บังคับใช้ฟีเจอร์แซนด์บ็อกซ์กับทราฟฟิกทั้งบนเว็บและอีเมลเพื่อให้มั่นในว่าทุกไฟล์น่าสงสัยที่เข้ามาผ่านการดาวน์โหลดบนเว็บหรือผ่านไฟล์แนบบนอีเมลนี้จะถูกวิเคราะห์หาพฤติกรรมที่เป็นอันตรายก่อนถูกปล่อยเข้าสู่เครือข่ายของคุณ
  • จำกัดความเสี่ยงในการแพร่กระจายไวรัสภายในเครือข่ายด้วยการแบ่งส่วนเครือข่ายภายในหรือ LAN ให้เป็นเครือข่ายย่อย ๆ จะจำกัดโซนแยกต่างหาก หรือใช้การแบ่งเครือข่ายภายในแบบเวอร์ช่วลหรือ VLAN ที่สามารถรับการปกป้องและเชื่อมต่อกับเครือข่ายย่อยอื่นที่ไฟร์วอลล์ได้ นอกจากนี้ควรบังคับใช้โพลิซี IPS ที่เหมาะสมเพื่อควบคุมทราฟฟิกที่วิ่งอยู่ภายใน LAN เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่, เวิร์ม, และบอต (Bot) ต่าง ๆ ไม่ให้วิ่งข้ามส่วนเครือข่ายย่อยภายใน LAN ไปมาได้ดังใจ
  • ใช้โซลูชันที่จำกัดส่วนของระบบที่ติดเชื้อแยกต่างหากโดยอัตโนมัติ ซึ่งเมื่อเกิดการติดเชื้อนั้นจำเป็นอย่างยิ่งที่โซลูชันความปลอดภัยของคุณจะต้องตรวจพบระบบที่โดนเล่นงานแล้วอย่างรวดเร็ว พร้อมทั้งจำกัดบริเวณแยกระบบดังกล่าวต่างหากออกมาจนกว่าจะกวาดล้างสำเร็จ ไม่ว่าจะกำจัดด้วยกลไกอัตโนมัติหรือลงมือเองแบบแมน่วลก็ตาม

ทั้งนี้ แรนซั่มแวร์ บอตเน็ต และการโจมตีขั้นสูงอื่น ๆ ล้วนมีความสามารถในการแพร่กระจายตัวเองไปทั่วทั้งโครงสร้างพื้นฐานไอทีในองค์กรได้อย่างรวดเร็ว จึงสำคัญเป็นอย่างมากที่ทั้งไฟร์วอลล์และเอนด์พอยต์จะต้องสื่อสารและแบ่งปันข้อมูลที่เป็นประโยชน์เกี่ยวกับพฤติกรรมที่เป็นอันตรายหรือต้องสงสัยอย่างทันท่วงที

แม้การประสานงานดังกล่าวจะเป็นไปไม่ได้ในอดีต แต่ปัจจุบันด้วยกลไกที่เรียกว่า Sophos Synchronised Security ทำให้ทั้งเอนด์พอยต์และเครือข่ายสามารถประสานการทำงานร่วมเป็นหนึ่งเดียวด้วยการสื่อสารข้อมูลที่จำเป็นแบบเรียลไทม์ได้ ทำให้องค์กรสามารถป้องกัน ตรวจจับ สืบสวน และฟื้นฟูหลังเกิดอันตรายได้โดยที่เกิดความเสียหายแก่ระบบน้อยที่สุดและเปลืองแรงน้อยที่สุดเช่นกัน ซึ่งในอดีตกระบวนการทั้งหมดตั้งแต่การค้นพบไปจนถึงการจัดการตอบสนองนั้นมักใช้เวลาเป็นสัปดาห์หรือหลายเดือน แต่ทุกวันนี้ได้ร่นเวลาลงเหลือเพียงแค่ไม่กี่วินาทีด้วยฟีเจอร์ความปลอดภัยแบบซิงโครไนซ์

สำหรับองค์กรต่าง ๆ ที่ไม่ได้มีทีมงานด้านความปลอดภัยแบบครบวงจรระดับมืออาชีพเป็นของตนเอง การเลือกใช้โซลูชันความปลอดภัยแบบซิงโครไนซ์สามารถช่วยยกระดับประสิทธิภาพในการทำงานได้ พร้อมกับยกระดับการประสานงานด้านงานปฏิบัติการและการจัดการความปลอดภัยอย่างต่อเนื่องไม่มีสะดุด ทำให้ได้การปกป้องและความสามารถในการจัดการที่ดีกว่าเดิม ทำให้ทุกองค์กรไม่ว่าขนาดเล็กหรือใหญ่ได้รับการปกป้องจากอันตรายที่ซับซ้อนและผ่านการเตรียมการมาอย่างดีได้เสมอ

สงวนลิขสิทธิ์ ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2539 www.thailandindustry.com
Copyright (C) 2009 www.thailandindustry.com All rights reserved.

ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ www.thailandindustry.com ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฏหมายบัญญัติไว้สูงสุด