คลังเก็บป้ายกำกับ: DATABASE_SECURITY

Database Activity Monitoring: 5 สิ่งที่ควรทำได้และไม่ควรทำ

Imperva ผู้ให้บริการโซลูชัน Database Security ชื่อดัง ออกมาให้คำแนะนำเกี่ยวกับสิ่งที่พึงกระทำและไม่พึงกระทำในการติดตามและเฝ้าระวังระบบฐานข้อมูล รวมไปถึงสรุปฟีเจอร์สำคัญที่เครื่องมือ Database Activity Monitoring ควรมีจากเอกสาร Understanding and Selecting a Database Activity Monitoring Solution โดย Rich Mogull จาก SANS Institute เพื่อให้ผู้ดูแลระบบฐานข้อมูลสามารถนำไปปรับใช้กับองค์กรของตนได้

Credit: macro vectors/Shutterstock

ก่อนที่จะเข้าสู่เนื้อหา ทำความรู้จัก Database Activity Monitoring (DAM) สักเล็กน้อย … Gartner ได้นิยาม DAM ไว้ว่า “เป็นชุดเครื่องมือที่ … รองรับความสามารถในการตรวจจับและรายงานการหลอกลวง การกระทำที่ผิดกฎหมาย หรือพฤติกรรมที่ไม่พึงประสงค์อื่นๆ ซึ่งส่งผลกระทบต่อการปฏิบัติงานของผู้ใช้และผลิตภาพน้อยที่สุด” หรืออาจกล่าวได้ว่าเป็นเครื่องมือที่พัฒนาจากการวิเคราะห์การกระทำของผู้ใช้ กลายเป็นเครื่องมือชี้วัดด้านความมั่นคงปลอดภัยของข้อมูล เช่น การค้นหาและจำแนกประเภทข้อมูล การบริหารจัดการสิทธิ์ของผู้ใช้ การติดตามการใช้สิทธิ์ระดับสูง การปกป้องข้อมูล และการป้องกันการรั่วไหลของข้อมูล เป็นต้น

Imperva ได้สรุปรายการฟีเจอร์ขั้นต่ำที่เครื่องมือ DAM ควรมี ดังนี้

  • ติดตาม (Monitor) และตรวจสอบ (Audit) การกระทำบนฐานข้อมูลทั้งหมดอย่างอิสระ ทั้งการกระทำที่ต้องใช้สิทธิ์ Admin และ SELECT Query Transactions เครื่องมือที่ใช้ต้องสามารถบันทึก SQL Transactions ได้ทั้งหมด ไม่ว่าจะเป็น DML, DDL, DCL (และบางกรณีอาจจะมี TCL ด้วย) โดยไม่จำเป็นต้องพึงหา Log ของ Local Database ซึ่งช่วยให้ประสิทธิภาพของฐานข้อมูลตกลงน้อยกว่า 0 – 2%
  • จัดเก็บ Audit Log แบบรวมศูนย์ภายนอกฐานข้อมูลที่ทำการตรวจสอบ และต้องเก็บอย่างมั่นคงปลอดภัย
  • ติดตาม รวบรวม และเชื่อมความสัมพันธ์ของการกระทำจากหลายๆ Database Management System (DMBS) ที่แตกต่างกันได้ เช่น Oracle, Microsoft SQL Server และ IBM DB2 รวมไปถึงสามารถแปลง Transaction ให้กลายเป็นรูปมาตรฐานทั่วไปที่นำไปใช้วิเคราะห์ต่อได้ (ทำ Normalization)
  • กำหนดหมายเลข IP ที่อนุญาตให้ใช้งาน Service Account เพื่อเข้าถึงฐานข้อมูล รวมไปถึงกำหนดสิทธิ์เฉพาะเท่าที่จำเป็น
  • บังคับให้มีการแบ่งแยกหน้าที่การทำงาน (Segegration of Duties) ผ่านทางการติดตามและบันทึกหลักฐานการกระทำของ DBA
  • สร้างระบบแจ้งเตือนแบบ Rule-based หรือ Heuristic-based เมื่อมีการละเมิดนโยบายด้านความมั่นคงปลอดภัย เช่น แจ้งเตือนเมื่อผู้มีสิทธิ์ระดับสูงส่ง SQL Query ซึ่งคืนค่าข้อมูลบัตรเครดิตกลับคืนมาเกิน 5 รายการ เป็นต้น เพื่อช่วยแจ้งเตือนผู้ดูแลระบบเมื่อแอพพลิเคชันถูกแฮ็คหรือถูก SQL Injection

นอกจากนี้ เครื่องมือ DAM บางยี่ห้อยังมีฟีเจอร์

  • ค้นหาและตรวจสอบที่อยู่ ขนาด และบริบทของข้อมูลที่จัดเก็บอยู่ใน Data Center บนระบบ Cloud หรือบนฐานข้อมูลแบบเก่า
  • จำแนกประเภทของข้อมูล เช่น หมายเลขบัตรเครดิต อีเมล บันทึกการแพทย์ รวมไปถึงระดับความเสี่ยงของข้อมูลดังกล่าว
  • จัดทำนโยบายหรือรายงานตามข้อกำหนดต่างๆ เช่น PCI-DSS หรือ SOX ได้
  • ผสานการทำงานร่วมกับเครื่องมือทำ Change Management เพื่อติดตามการเปลี่ยนแปลงข้อมูลในฐานข้อมูล หรือติดตามการกระทำของ DBA รวมไปถึงจัดทำรายงาน Change Management
Credit: Viappy/ShutterStock

สำหรับรายการสิ่งที่พึงกระทำและไม่พึงกระทำในการติดตามและเฝ้าระวังระบบฐานข้อมูล มีทั้งหมดอย่างละ 5 ข้อ ได้แก่

สิ่งที่พึงกระทำ

  • Agent ที่ใช้ในการเก็บข้อมูลควรบริโภคทรัพยากร CPU และ Disk เพียง 1 – 3% และควรใช้ Agent เก็บข้อมูลแทนที่จะวางขวาง (Bridge) หรือดักจับข้อมูล (Sniff) เนื่องจากสามารถทำคลัสเตอร์ Gateway ได้ง่าย เพราะเพิ่มประสิทธิภาพในการทำ HA ฐานข้อมูล
    • หมายเหตุ การบริโภคทรัพยากรนี้ถือว่าน้อยมากเมื่อเทียบกับการใช้ Database Auditing บนระบบฐานข้อมูลซึ่งบริโภคทรัพยากรเครื่องมากถึง 20%
  • ติดตาม Local SQL Traffic อย่างต่อเนื่อง และอย่างเรียลไทม์ เช่น IPC และ Bequeth รวมไปถึงติดตาม SQL Traffic ที่วิ่งเข้ามายังฐานข้อมูลผ่านระบบเครือข่าย (ถ้าต้องการ)
  • ยิง TCP Reset เมื่อต้องการบล็อกเซสชัน ซึ่งจะทำให้เสมือนว่าเครื่อง Client หลุดจากการเชื่อมต่อ ผลลัพธ์คือ ฐานข้อมูลไม่มีอะไรเปลี่ยนแปลงและเครื่อง Client ที่เชื่อมต่อกับฐานข้อมูลจะถูกจัดการตามปกติ
  • ติดตาม SQL Query ขาเข้าที่จะไปยัง Gateway รวมไปถึงข้อมูล Metadata บางอย่าง เช่น เวลาที่ใช้ตอบสนอง หรือจำนวน Record ที่คืนกลับมา โดยกิน Bandwidth ของระบบเครือข่ายให้น้อยที่สุด
    • หมายเหตุ สามารถติดตามทราฟฟิกขาออกผ่านทางอีกอินเทอร์เฟสหนึ่ง แต่ต้องระวังเรื่องการดักจับข้อมูลที่เป็นความลับด้วย
  • ควรมีหน้า Dashboard ที่เป็นกราฟิกแสดงภาพรวมข้อมูลทั้งหมดไว้ในหน้าเดียว เพื่อให้สามารถแก้ปัญหาได้ง่ายและรวดเร็ว โดยต้องสามารถตรวจสอบการทำงานของ Agent และสามารถแจ้งเตือนไปยังระบบอื่นๆ เช่น SIEM เมื่อมีการบล็อกเกิดขึ้นได้

สิ่งที่ไม่พึงกระทำ

  • Agent ไม่ควรติดตั้ง Object ใดๆ บนฐานข้อมูล เช่น สคริปต์หรือข้อมูลล็อกอิน
  • Agent ต้องไม่ยุ่งเกี่ยวใดๆ กับฐานข้อมูล ไม่ว่าจะเป็นข้อมูลในฐานข้อมูล ไฟล์ที่ใช้ตั้งค่าฐานข้อมูล หรือแม้แต่พารามิเตอร์ของฐานข้อมูล
  • หลังติดตั้งหรือแก้ไขการตั้งค่า Agent ไม่ควรมีการรีสตาร์ทเครื่อง เว้นแต่ในกรณีที่หลีกเลี่ยงไม่ได้จริงๆ
  • ไม่ควรมีการสร้างชื่อบัญชีฐานข้อมูลใหม่สำหรับติดตั้ง ติดตาม หรือบล็อก SQL Traffic บน Agent
  • Agent ไม่ควรแก้ไขไฟล์ของระบบ เว้นแต่ในกรณีที่การเชื่อมต่อไปยัง Gateway ถูกตัดขาดจากการบล็อก และควรกลับไปเป็นแบบเดิมหลังจากที่การเชื่อมต่อถูกสร้างขึ้นมาใหม่

ที่มา: https://www.imperva.com/blog/2017/05/database-activity-monitoring-checklist/

from:https://www.techtalkthai.com/database-activity-monitoring-checklist/

Advertisements

พบช่องโหว่ Zero-day บน SAP HANA เสี่ยงถูกเข้าควบคุมแบบ Full Access

Onapsis บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยระบบ SAP ออกมาเปิดเผยถึงช่องโหว่ Zero-day ความเสี่ยงสูงบนแพลตฟอร์ม SAP HANA ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุม SAP HANA จากระยะไกลโดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อนได้ แนะนำให้ผู้ดูแลระบบ SAP HANA รีบอัปเดตแพทช์โดยเร็ว

Credit: Pavel Ignatov/ShutterStock

Sebastian Bortnik หัวหน้าทีมวิจัยของ Onapsis ระบุใน Blog เกี่ยวกับช่องโหว่ดังกล่าวว่า การเจาะช่องโหว่เพื่อเข้าควบคุมระบบ SAP HANA นี้ช่วยให้แฮ็คเกอร์สามารถดำเนินกิจกรรมได้ทุกอย่างบนข้อมูลและกระบวนการเชิงธุรกิจของ SAP HANA ไม่ว่าจะเป็นการขโมยข้อมูลออกมาจากระบบ การเปลี่ยนแปลง แก้ไข หรือลบข้อมูลทิ้ง เรียกได้ว่าเป็นช่องโหว่ความรุนแรงระดับ Critical ที่ส่งผลกระทบต่อธุรกิจอย่างใหญ่หลวง

ช่องโหว่นี้ค้นพบบนฟีเจอร์ของ SAP HANA ที่ชื่อว่า SAP HANA User Self Service ซึ่งเป็นฟีเจอร์ที่ไม่ได้เปิดใช้งานมาตั้งแต่เริ่มแรก ผู้ใช้ต้องเปิดใช้งานเอง โดยเวอร์ชันของ SAP HANA ที่ได้รับผลกระทบ ได้แก่

  • SAP HANA SPS 12 (newDB rel 1.00.121.00.1466466057)
  • SAP HANA 2 SPS0 (newDB rel 2.00.000.00.1479874437)
  • SAP HANA SPS11 (1.00.110.144775) ออกเมื่อเดือนพฤศจิการยน 2015
  • SAP HANA SPS10 (1.00.101.00.1435831848) ออกเมื่อเดือนมิถุนายน 2015
  • SAP HANA SPS09 (1.00.91.1418659308) ออกเมื่อเดือนพฤศจิการยน 2014

Onapsis ระบุว่า ช่องโหว่ดังกล่าวคาดว่ามีมาแล้วไม่ต่ำกว่า 2 ปีครึ่งนับตั้งแต่เริ่มมีฟีเจอร์ User Self Service ให้บริการ โดยค้นพบช่องโหว่ทั้งบน SAP HANA 2 เวอร์ชันใหม่ล่าสุด ไปจนถึง SAP HANA เวอร์ชันปี 2014 ซึ่งแนะนำให้ผู้ใช้ SAP HANA ตรวจสอบว่าบริษัทของตนเปิดใช้ฟีเจอร์ที่มีช่องโหว่หรือไม่ ถ้าเปิดใช้ทำงานให้รีบอัปเดตแพทช์ตาม SAP Security Note #2424173 หัวข้อ “Vulnerabilities in the User Self-Service Tools of SAP HANA” และ Security Note #2429069 โดยเร็ว

ที่มา: https://www.onapsis.com/blog/sap-security-notes-march-2017-onapsis-helps-secure-critical-bugs-sap-hana

from:https://www.techtalkthai.com/zero-day-sap-hana-vuln-allowed-full-access/

อีกเพียง 2 สัปดาห์ !! เตรียมตัวให้พร้อมกับงาน Black Hat Asia 2017

เหลืออีกเพียง 2 สัปดาห์เท่านั้นก็จะถึงเวลาเริ่มงานประชุมระดับนานาชาติ Black Hat Asia 2017 ที่ Marina Bay Sands ประเทศสิงคโปร์ ภายในงานนี้ท่านจะได้พบกับผู้เชี่ยวชาญด้าน Info Sec ชื่อดังจากหลายสถาบันทั่วโลก ซึ่งจะมาให้ความรู้และอัปเดตแนวโน้มด้านความมั่นคงปลอดภัยไซเบอร์ล่าสุด ผู้ที่สนใจรีบลงทะเบียนโดยด่วน … อย่าลืม !! โปรโมชันลดราคาบัตรเข้าร่วมงาน 15% จาก TechTalkThai เพียงแค่ใส่โค้ด “BHATTT17” ขณะลงทะเบียน

รายละเอียดงานประชุม

วันอบรม: 28 – 29 มีนาคม 2017 (ดูรายละเอียดตารางอบรม)
วันสัมมนา: 30 – 31 มีนาคม 2017 (ดูหัวข้อและบทคัดย่อการสัมมนา)
เวลา: 9.00 – 17.00 น.
สถานที่: Marina Bay Sands ประเทศสิงคโปร์
ค่าอบรม: เริ่มต้นที่ S$3,700 (ประมาณ 90,000 บาท)
ค่าเข้างานสัมมนา:

 

S$1,850 (ประมาณ 45,000 บาท) สำหรับบุคคลทั่วไป
S$800 (ประมาณ 20,000 บาท) สำหรับนักศึกษา
ลิงค์ลงทะเบียน: https://www.blackhat.com/asia-17/registration.html
โค้ดส่วนลด 15%:  BHATTT17

พบกับผู้ก่อตั้ง Net Square และผู้เชี่ยวชาญจาก Google ในเซสชัน Keynote

สำหรับเซสชัน Keynote ในงานประชุมนี้ ท่านจะได้พบกับ 2 ผู้เชี่ยวชาญด้าน Info Sec ชื่อดัง ได้แก่

  • Saumil Shah ผู้ก่อตั้งและประธานบริษัท Net square ซึ่งจะมาบรรยายในหัวข้อ “THE SEVEN AXIOMS OF SECURITY” เกี่ยวกับความจริง 7 ประการในการพัฒนากลยุทธ์สำหรับการป้องกันเชิงรุก เพื่อรับมือกับภัยคุกคามไซเบอร์ในอนาคต
  • Halvar Flake ผู้เชี่ยวชาญด้าน Big Data และ Machine Learning จาก Google ในหัวข้อ “WHY WE ARE NOT BUILDING A DEFENDABLE INTERNET” ซึ่งจะกล่าวถึงโครงสร้างด้านเศรษฐศาสตร์และแรงจูงใจทาง IT Security และสาเหตุว่าทำไมแรงจูงใจเหล่านั้นถึงประสบความล้มเหลวในการนำเสนอการรักษาความมั่นคงปลอดภัยในระดับที่องค์กรต้องการ

เกี่ยวกับงานประชุม Black Hat Asia 2017

Black Hat เป็นงานอบรมและประชุมกึ่งวิชาการระดับนานาชาติที่หมุนเวียนผลัดกันจัดที่สหรัฐฯ ยุโรป และเอเชีย โดยที่กำลังจะจัดล่าสุด คือ Black Hat Asia 2017 ซึ่งจะจัดขึ้นที่ Marina Bay Sands ประเทศสิงคโปร์ในวันที่ 28 – 31 มีนาคม 2017 รวมระยะเวลา 4 วันโดย 2 วันแรกจะเป็นการจัดคอร์สอบรมซึ่งจะเน้นไปทาง Offensive Security และ 2 วันหลังจะเป็นงานประชุมที่รวบรวมเนื้อหาทางด้าน Security หลากหลายแขนงไว้ด้วยกัน นอกจากนี้ภายในงานยังรวบรวม Vendor ด้าน Security จากทั่วโลกมาให้คำแนะนำ พร้อมอัปเดตเทคโนโลยี แนวโน้ม และเทคนิคใหม่ๆ อีกด้วย (อ่านรีวิวงาน Black Hat Asia 2016 เมื่อปีที่ผ่านมา)

ภายในงานประชุมท่านจะได้พบกับ

  • Black Hat Briefings – งานสัมมนาที่คัดเลือกหัวข้อโดย Review Board จากนักวิจัยที่มีชื่อเสียงจากทั่วโลก ครอบคลุมด้านความมั่นคงปลอดภัยและช่องโหว่สำคัญในปัจจุบัน เช่น Reverse Engineering, Malware Offense/Defense, Mobile Hacking, Network Defense, Cryptography Applied Security และอื่นๆ
    ดูรายละเอียดงานสัมมนาได้ที่: https://www.blackhat.com/asia-17/briefings/schedule/index.html
  • Black Hat Trainings – คอร์สอบรมเทคนิคเชิงลึกทางด้าน InfoSec โดยเนื้อหาการอบรมครอบคลุมการแฮ็คโครงสร้างพื้นฐาน อุปกรณ์พกพา การวิเคราะห์มัลแวร์ การทำ Pen Test รวมไปถึงเทคนิคและการปฏิบัติงานทั่วไปของแฮ็คเกอร์ ซึ่งแต่ละคอร์สจะถูกสอนโดยวิทยากรชื่อดังระดับโลกที่มีความรู้ ประสบการณ์ และเป็นผู้คร่ำหวอดทางด้านนั้นๆ
    ดูรายละเอียดคอร์สอบรมได้ที่: https://www.blackhat.com/asia-17/training/index.html
  • Black Hat Arsenal – พื้นที่สำหรับสนับสนุนนักวิจัยอิสระจากทั่วโลกให้มานำเสนอผลงาน พร้อมสาธิตเครื่องมือและผลิตภัณฑ์ของตนให้ชมกันสดๆ
  • Black Hat Business Hall – พื้นที่ที่รวบรวม Vendor ชื่อดังทางด้าน Security จากแต่ละภูมิภาคไว้ด้วยกัน ผู้เข้าร่วมงานสามารถอัปเดตเทคโนโลยีและนวัตกรรมด้านความมั่นคงปลอดภัยใหม่ล่าสุด เพื่อนำไปใช้ปกป้ององค์กรของตนจากภัยคุกคามแบบต่างๆ ในปัจจุบัน

ติดตามข่าวสารล่าสุดจาก Black Hat ได้ที่

Twitter: twitter.com/BlackHatEvents – hashtag #BlackHat
Facebook: facebook.com/Black-Hat-Events-107691635153/
LinkedIn: linkedin.com/groups?home=&gid=37658
Flickr: flickr.com/photos/blackhatevents/

from:https://www.techtalkthai.com/2-weeks-before-black-hat-asia-2017/

ให้เพิ่ม 2 เท่า !! Google และ Microsoft ปรับรางวัล Bug Bounty Program ใหม่

สัปดาห์ที่ผ่านมา ทั้ง Google และ Microsoft ต่างออกมาประกาศปรับรางวัลของผู้ที่รายงานช่องโหว่ผ่าน Bug Bounty Program ใหม่ โดยให้เงินตอบแทนมากกว่าเดิมสูงสุดถึง 2 เท่า มีผลแล้ววันนี้

Credit: ShutterStock.com

Google เพิ่มเงินรางวัลให้แก่ผู้ที่รายงานช่องโหว่ Remote Code Execution จาก $20,000 (700,000 บาท) ไปเป็น $31,337 (1.1 ล้านบาท) และ Unrestricted File System or Database Access จาก $100,000 (350,000 บาท) ไปเป็น $13,337 (470,000 บาท) โดยให้เหตุผลว่า ช่องโหว่ความรุนแรงระดับสูงเหล่านี้เริ่มค้นหาได้ยากขึ้นในช่วงปีที่ผ่านมา ทาง Google จึงให้ค่าตอบแทนแลกกับการเสียเวลาและความพยายามที่เพิ่มมากขึ้น

ช่องโหว่ในกลุ่ม Remote Code Execution ประกอบด้วย Command Injection Flaw, Deserialization Bugs, Sandbox Escapes และอื่นๆ ส่วนช่องโหว่ในกลุ่ม Unrestricted File System or Database Access ได้แก่ SQL Injections และ XXE (XML External Entity Attack)

ทาง Microsoft เองก็มีการเพิ่มรางวัลให้แก่ผู้ที่ค้นพบช่องโหว่บน Exchange Online และ Office 365 Admin Portal ด้วยเช่นกัน โดยมอบค่าตอบแทนให้มากกว่าเดิม 2 เท่า และมีผลตั้งแต่วันที่ 1 มีนาคม จนถึง 1 พฤษภาคม 2017

MSRC Team ระบุว่า องค์ประกอบ 2 อย่างที่กล่าวมานี้เป็นเว็บแอพพลิเคชันหลักของ Office 365 Suite การทำให้ทั้ง 2 แอพมีความมั่นคงปลอดภัยเป็นเรื่องสำคัญมาก เพราะทั้งคู่เสมือนเป็น Gateway สำหรับเข้าถึงข้อมูลสำคัญของลูกค้า ไม่ว่าจะเป็นอีเมล ปฏิทิน รายชื่อผู้ติดต่อ และอื่นๆ ทาง Microsoft จึงตัดสินใจเพิ่มเงินรางวัลให้เพื่อเชื้อเชิญให้นักวิจัยด้านความมั่นคงปลอดภัยช่วยกันค้นหาช่องโหว่ให้มากขึ้น

ที่มา: https://www.helpnetsecurity.com/2017/03/06/google-microsoft-bug-bounties/

from:https://www.techtalkthai.com/google-and-microsoft-update-bug-bounty-program-rewards/

Best Practices สำหรับลดความเสี่ยงของ Ransomware บนฐานข้อมูล

ช่วงต้นปีที่ผ่านมา มีข่าวฐานข้อมูล MongoDB กว่า 27,000 แห่งถูกเจาะ ข้อมูลถูกขโมยออกไปเพื่อเรียกค่าไถ่เป็นเงิน 0.2 Bitcoin (ประมาณ 8,200 บาท) และเมื่อสัปดาห์ที่ผ่านมานี้เอง การโจมตีก็แพร่กระจายมายัง MySQL ด้วยเช่นกัน แสดงให้เห็นว่าแฮ็คเกอร์เริ่มพุ่งเป้าการเจาะระบบฐานข้อมูลแล้วเรียกค่าไถ่มากขึ้น บทความนี้จะได้รวม Best Practices สำหรับปกป้องฐานข้อมูลของตนไม่ให้ตกเป็นเหยื่อของ Ransomware

Credit: Vector3D/ShutterStock

รู้จักวิธีโจมตีก่อน

การโจมตีฐานข้อมูลเรียกค่าไถ่มักเกิดจาก 2 กรณี คือ

  • แฮ็คเกอร์โจมตีที่เครื่อง Client ซึ่งเปราะบางที่สุดในระบบ โดยใช้การส่งอีเมล Phishing เพื่อหลอกให้ผู้ใช้เปิดไฟล์แนบหรือเข้าถึงเว็บไซต์ที่มีมัลแวร์แฝงอยู่ เมื่อเข้ายึดเครื่อง Client ได้แล้ว แฮ็คเกอร์จะค่อยๆ แทรกซึมเข้าไปในเครือข่ายจนกว่าจะยกระดับสิทธิ์ตัวเองให้เข้าถึงระบบฐานข้อมูลได้ จากนั้นจึงเข้ารหัส ขโมย หรือลบข้อมูลเพื่อเรียกค่าไถ่
  • แฮ็คเกอร์โจมตีเซิร์ฟเวอร์ฐานข้อมูลโดยตรง โดยอาจผ่านทางเว็บแอพพลิเคชันที่เชื่อมต่ออินเทอร์เน็ต เช่น SQL Injection หรือในกรณีที่เว็บและฐานข้อมูลอยู่บนเซิร์ฟเวอร์เครื่องเดียวกันยิ่งทำให้สามารถโจมตีได้ง่ายกว่าเดิม เพียงแค่หาช่องโหว่ของเซิร์ฟเวอร์เจอก็อาจจะยึดระบบฐานข้อมูลได้ทันที

ป้องกันและรับมือกับการโจมตีได้อย่างไร

การปกป้องระบบฐานข้อมูลให้มั่นคงปลอดภัยสามารถทำได้ไม่ยากนัก โดยอาศัยอุปกรณ์และโซลูชันบนระบบเครือข่ายที่มีอยู่ก็สามารถลดความเสี่ยงลงได้ ดังนี้

ปกป้องผู้ใช้

  • จัดอบรมเพื่อสร้างความตระหนักด้านความมั่นคงปลอดภัย โดยเฉพาะอย่างยิ่งการตรวจสอบและรับมือกับการโจมตีแบบ Phishing
  • ยกเลิกการอนุญาตให้แชร์ข้อมูลระหว่างผู้ใช้แบบ Peer-to-peer
  • วางแผนการสำรองข้อมูลไปเก็บไว้ใน External Drives หรือ Virtual Drives
  • ติดตั้งโปรแกรม Antivirus ที่เชื่อถือได้ลงบนเครื่อง Client เพื่อป้องกัน Ransowmare

ปกป้องเว็บไซต์

  • ไม่ติดตั้งเซิร์ฟเวอร์ที่ต้องเชื่อมต่อกับภายนอกและระบบฐานข้อมูลหรือระบบจัดเก็บข้อมูลไว้ในเครื่องเดียวกัน
  • ทำ Segmentation ระหว่างเซิร์ฟเวอร์ที่ให้บริการเว็บและเซิร์ฟเวอร์ฐานข้อมูลอย่างเหมาะสม
  • คอยติดตามและอัปเดตแพทช์บนเซิร์ฟเวอร์ฐานข้อมูลและเซิร์ฟเวอร์ที่ใช้จัดเก็บข้อมูลอย่างสม่ำเสมอ
  • หมั่นตรวจสอบว่าฝ่าย IT มีแผนการสำรองข้อมูลสำหรับระบบฐานข้อมูลและระบบแชร์ไฟล์หรือไม่
  • พิจารณาการสำรองข้อมูลหรือไฟล์สำคัญบนระบบ Cloud หรือ DR-as-a-Service

เพิ่มการป้องกันระดับสูง

  • มีการจัดทำแผนตอบสนองต่อสถานการณ์ผิดปกติ เพื่อเตรียมรับมือกับเหตุการณ์ไม่พึงประสงค์ที่อาจจะเกิดขึ้นในอนาคต ซึ่งช่วยให้ผู้ที่เกี่ยวข้องสามารถตอบสนองต่อเหตุการณ์ได้อย่างรวดเร็วและเป็นระบบ
  • ศึกษาและหาข้อมูล NoMoreRansom.org ซึ่งเป็นเว็บที่บริษัทซอฟต์แวร์ Antivirus หน่วยงานบังคับใช้กฏหมาย และนักวิจัยด้านความมั่นคงปลอดภัยร่วมกันจัดตั้งขึ้นเพื่ออัปเดตข่าวสาร วิธีรับมือกับ Ransomware และรวมเครื่องมือสำหรับใช้ปลดรหัส
  • จ่ายหรือไม่จ่ายค่าไถ่ ? เป็นคำถามที่ตอบได้ยาก ผู้เชี่ยวชาญหลายคนให้ความเห็นตรงกันว่าอย่าจ่ายค่าไถ่ เพราะเหมือนเป็นการสนับสนุนแฮ็คเกอร์ให้ได้ใจ และมีเงินทุนสำหรับพัฒนามัลแวร์ให้แข็งแกร่งยิ่งขึ้น อย่างไรก็ตาม ถ้าเราตกเป็นเหยื่อของ Ransomware จริงๆ คงตอบได้ยาก แต่พึงระลึกไว้เสมอว่า ไม่มีอะไรการันตีได้ว่าพอจ่ายค่าไถ่แล้วจะได้ข้อมูลคืน

ดังนั้น วิธีการที่ดึที่สุดในการรับมือกับ Ransomware คือ การป้องกันไว้ก่อน โดยเฉพาะการสำรองข้อมูลอย่างสม่ำเสมอ

ที่มา: http://www.darkreading.com/attacks-breaches/best-practices-for-lowering-ransomware-risk/a/d-id/1328294

from:https://www.techtalkthai.com/best-practices-for-lowering-ransomare-risk/

เตือนผู้ใช้ MySQL เสี่ยงถูกโจมตีฐานข้อมูลเรียกค่าไถ่

GuardiCore ผู้ให้บริการโซลูชัน Breach Detection ชื่อดัง ออกมาเตือนภัยถึงการโจมตีเรียกค่าไถ่รูปแบบใหม่ พุ่งเป้าไปยังระบบฐานข้อมูล MySQL โดยจะทำการขโมยแล้วลบข้อมูลออกจากฐานข้อมูล พร้อมทิ้งข้อความเรียกค่าไถ่เป็นเงิน 0.2 Bitcoin (ประมาณ 8,200 บาท) เพื่อแลกกับการนำข้อมูลที่ถูกขโมยไปกลับคืนมา

Credit: Bacho/ShutterStock

GuardiCore ระบุว่า ตรวจพบการโจมตีเรียกค่าไถ่ดังกล่าวเมื่อวันที่ 12 กุมภาพันธ์ ซึ่งดำเนินไปเป็นระยะเวลาเพียงแค่ 30 ชั่วโมงเท่านั้น แต่มีฐานข้อมูลตกเป็นเหยื่อหลายร้อยเครื่อง โดยแฮ็คเกอร์ใช้วิธีโจมตีแบบ Brute Force ไปยังฐานข้อมูล MySQL ที่ออนไลน์อยู่บนอินเทอร์เน็ต เพื่อให้ได้สิทธิ์เป็น Root ของระบบ จากนั้นจะทำการขโมยข้อมูลในฐานข้อมูลออกไป แล้วลบข้อมูลทั้งหมดทิ้ง เหลือไว้เพียงฐานข้อมูลที่ระบุข้อความเรียกค่าไถ่และช่องทางติดต่อเท่านั้น

จากการตรวจสอบพบว่า การโจมตีทั้งหมดมาจากหมายเลข IP เดียวกัน คือ 109.236.88.20 ซึ่งเป็นหมายเลข IP ที่บริษัทโฮสติ้ง ชื่อว่า WorldStream จากประเทศเนเธอร์แลนด์เป็นเจ้าของ อย่างไรก็ตาม เมื่อพิจารณาจากรูปแบบการโจมตี ไม่สามารถระบุได้แน่ชัดว่ามาจากแฮ็คเกอร์คนหรือกลุ่มเดียวกัน เนื่องจากมีวีธีการโจมตีและช่องทางเรียกค่าไถ่ต่างกัน เช่น เป้าหมายบางรายหลังถูกโจมตีแล้ว แฮ็คเกอร์จะสร้างฐานข้อมูลชื่อว่า “PLEASE_READ” และตารางชื่อว่า “WARNING” ซึ่งระบุข้อความเรียกค่าไถ่ แต่บางรายแฮ็คเกอร์กลับสร้างตาราง “WARNING” ไว้ในฐานข้อมูลที่มีอยู่แล้ว

นอกจากนี้ พบว่าการโจมตีบางส่วนมีเฉพาะการลบข้อมูลในฐานข้อมูลทั้งหมดทิ้งเพียงอย่างเดียว ไม่ได้มีการขโมยข้อมูลออกไป ดังนั้นเจ้าของฐานข้อมูลควรตรวจสอบ Log ให้ดีก่อนว่า ข้อมูลของตนถูกขโมยหรือไม่ ก่อนที่จะเสียเงินจ่ายค่าไถ่ไปฟรีๆ

ด้านล่างแสดงข้อความเรียกค่าไถ่ในฐานข้อมูล พบว่ามี 2 แบบ คือ ให้เหยื่อติดต่อกลับผ่านทางอีเมลเพื่อจ่ายค่าไถ่ และให้จ่ายค่าไถ่ผ่านเว็บไซต์ในเครือข่าย Tor

INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(‘1′,’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’, ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘backupservice@mail2tor.com’)
INSERT INTO `WARNING`(id, warning)
VALUES(1, ‘SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en’)

เมื่อตรวจสอบบัญชี Bitcoin ที่ระบุอยู่ในข้อความเรียกค่าไถ่ พบว่ามีการชำระเงินรวมแล้ว 10 ครั้ง ซึ่งคาดว่ามาจากการจ่ายค่าไถ่ทั้งหมด

GuardiCore แนะนำให้ผู้ดูแลระบบฐานข้อมูลปฏิบัติตามคู่มือด้านความมั่นคงปลอดภัยของ MySQL เพื่อป้องกันการถูกโจมตีเพื่อเรียกค่าไถ่ ไม่ว่าจะเป็นการสำรองข้อมูลในฐานข้อมูลเป็นประจำ การยกเลิกการใช้บัญชี Root หรืออย่างน้อยก็เปลี่ยนไปใช้รหัสผ่านที่แข็งแกร่ง ยากต่อการถูกโจมตีแบบ Brute Force

ที่มา: https://www.bleepingcomputer.com/news/security/database-ransom-attacks-have-now-hit-mysql-servers/

from:https://www.techtalkthai.com/mysql-database-ransom-attacks/

MySQL ตกเป็นเป้าของการโจมตีเรียกค่าไถ่ ผู้ใช้งานควรตั้งค่าการรักษาความปลอดภัยให้ดี

GuardiCore ผู้ให้บริการด้าน Breach Detection ได้ตรวจพบการโจมตีที่มุ่งเน้นที่ MySQL Server ที่สามารถเข้าถึงได้บน Internet และทำการลบข้อมูลบน MySQL Server เหล่านั้น เพื่อเรียกค่าไถ่มูลค่าประมาณ 8,335 บาทจากเจ้าของระบบแลกกับการคืนข้อมูลทั้งหมดให้

Credit: ShutterStock.com

การโจมตีนี้ส่งผลกระทบกับเฉพาะเครื่อง MySQL Server ที่เข้าถึงได้โดยตรงผ่านทาง Internet เท่านั้น และใช้การทำ Brute-force เพื่อเข้าถึงสิทธิ์การควบคุม MySQL Server เหล่านั้น โดยการโจมตีนี้ถูกค้นพบครั้งแรกเมื่อวันที่ 12 กุมภาพันธ์ 2017 ที่ผ่านมา จากต้นตอการโจมตีที่ประเทศเนเธอร์แลนด์ด้วย IP Address หมายเลข 109.236.88.20 อย่างไรก็ดีพฤติกรรมการโจมตีแต่ละครั้งนั้นมีความแตกต่างกันไปค่อนข้างมาก ทำให้ยากที่จะระบุว่าการโจมตีนี้เกิดจากกลุ่มผู้โจมตีเดียวกันหรือไม่ ถึงแม้จะใช้ IP Address เลขหมายเดียวกันก็ตาม

ทาง BleepingComputer นั้นได้ออกมาเตือนว่า หากผู้ใดถูกโจมตีลักษณะนี้เข้าไป ก่อนจะเร่งร้อนจ่ายค่าไถ่นั้นให้ตรวจสอบให้แน่ใจก่อนว่าอีกฝ่ายมีข้อมูลของเราอยู่จริง

ส่วนในมุมของเหล่านักพัฒนาในประเทศไทย การสำรองข้อมูลของ MySQL เอาไว้ที่เครื่องอื่นเพิ่มเติม, การตั้งค่าความปลอดภัยพื้นฐานของ MySQL ให้ครบถ้วน รวมถึงการไม่เปิดให้บุคคลภายนอกสามารถเข้าถึง MySQL Server ได้จาก Internet นั้นก็ถือเป็นกระบวนการมาตรฐานที่ควรต้องทำกันอย่างรอบคอบในทุกวันนี้ครับ

 

ที่มา: https://www.bleepingcomputer.com/news/security/database-ransom-attacks-have-now-hit-mysql-servers/

from:https://www.techtalkthai.com/mysql-servers-have-become-targets-of-ransom-campaign/