คลังเก็บป้ายกำกับ: RANSOMWARE

เชิญพบกับทายาทอสูรของ วันนาคราย “EternalRocks” ที่ร้ายกาจกว่าหลายเท่า

นักวิจัยด้านความปลอดภัยได้ค้นพบมัลแวร์สายพันธุ์ใหม่ ที่มุ่งเจาะระบบโดยใช้ช่องโหว่เดียวกันกับตัวแม่ที่สร้างความฮือฮาเมื่อสัปดาห์ก่อนอย่าง WannaCry แต่ตัวใหม่นี้มีพิษสงร้ายกาจกว่ามาก ทั้งด้านการสร้างความเสียหาย และการต่อกรรับมือ

นักวิจัยได้ตั้งชื่อว่า EternalRocks ค้นพบครั้งแรกเมื่อวันพุธที่แล้วโดยผู้เชี่ยวชาญชาวโครเอเชีย ชื่อนี้มีที่มาจากทูลแฮ็คที่หลุดจาก NSA ที่รู้จักกันในชื่อ EternalBlue เพื่อกระจายตัวเองไปยังเครื่องอื่นๆ ผ่านวินโดวส์ เท่านั้นยังไม่พอ ยังมีการใช้เครื่องมือแฮ็กที่หลุดจาก NSA ตัวอื่นๆ ตามมาอย่างรัวๆ ไม่ว่าจะเป็น EternalChampion, EthernalRomance, และ DoublePulsar เรียกว่าร็อคกันทุกอีเทอนอลเลยทีเดียว

ดังนั้น ความสามารถในการแพร่กระจายของ EternalRocks นี่ทำให้ WannaCry ถึงกับต้องเรียกว่าขุ่นแม่กันเลยทีเดียว แม้ล่าสุดจะยังไม่พบส่วนของโค้ดอันตรายที่ใช้ล็อกหรือเข้ารหัสไฟล์ หรือเข้าควบคุมเครื่องเป้าหมายด้วยบอทเน็ต แต่ที่ร้ายกว่ามากคือ มัลแวร์ตัวนี้จะสร้างช่องโหว่บนคอมพิวเตอร์ที่ติดเชื้อให้เปิดรับคำสั่งจากภายนอก ที่อาจเปิดโอกาสให้สร้างความเสียหายอย่างมหาศาลได้ในอนาคต

ร้ายยิ่งกว่านั้นอีกก็คือ ไม่มีจุดอ่อนจำพวกสวิตช์สั่งปิดการทำงานแบบ WannaCry ที่นักวิจัยฟลุ๊กเจอก่อนหน้าเสียด้วย นอกจากนั้นยังมีพฤติกรรมล่อหลอกปั่นหัวระบบตรวจจับ ทั้งการดีเลย์ 24 ชั่วโมงก่อนออกฤทธิ์ หรือแม้แต่การใช้ชื่อไฟล์แบบเดียวกับ WannaCry เป็นต้น
ที่มา : http://fortune.com/2017/05/21/wannacry-successor-eternalrocks

from:https://www.enterpriseitpro.net/?p=6749

Advertisements

TechTalk Webinar: Patch Management 101 โดย IBM Security ประเทศไทย

เหตุการณ์แพร่ระบาดของ WannaCry Ransomware ทำให้หลายองค์กรตระหนักถึงความสำคัญของการปฏิบัติการด้านความมั่นคงปลอดภัย โดยเฉพาะอย่างยิ่งกระบวนการอัปเดตแพทช์ TechTalkThai จึงร่วมกับ IBM Security จัด TechTalk Webinar ในหัวข้อเรื่อง “Patch Management 101” สำหรับองค์กร เพื่อแนะแนวทางปฏิบัติที่ดีที่สุดสำหรับบริหารจัดการแพทช์ด้านความมั่นคงปลอดภัย ในวันจันทร์ที่ 29 พฤษภาคม 2017 เวลา 14.00 – 15.30 น.

รายละเอียดการบรรยาย

หัวข้อ: Patch Management 101 และมาตรการควบคุมที่จำเป็นสำหรับการปฏิบัติการด้านความมั่นคงปลอดภัย
ผู้บรรยาย: คุณภัทราภา หงษ์คำดี ที่ปรึกษาอาวุโสจาก IBM Security และคุณกนกศักดิ์ รัชปัตย์ ผู้เชี่ยวชาญทางเทคนิคด้านความมั่นคงปลอดภัยจาก IBM Software Group
วันเวลา: วันจันทร์ที่ 29 พฤษภาคม 2017 เวลา 14.00 – 15.30 น.
ช่องทางการบรรยาย: Cisco WebEx Meeting
จำนวนผู้เข้าร่วมสูงสุด: 100 คน
ภาษา: ไทย

เนื้อหาการบรรยาย

บทเรียนจาก WannaCry Ransomware ทำให้องค์กรตระหนักถึงความสำคัญของการอัปเดตแพทช์มากยิ่งขึ้น อย่างไรก็ตาม ต้องยอมรับหลายองค์กรยังไม่มีกระบวนการทำ Patch Management ที่ชัดเจน หรือยังไม่ดีเพียงพอ TechTalk Webinar นี้จึงได้จัดขึ้นเพื่อปูพื้นฐานการทำ Patch Management พร้อมให้คำแนะนำแนวทางปฏิบัติที่ดีที่สุดในการบริหารจัดการแพทช์ รวมไปถึงมาตรการด้านความมั่นคงปลอดภัยต่างๆ ที่จำเป็นต่อการรับมือกับภัยคุกคามไซเบอร์

เนื้อหาสำหรับการบรรยายครั้งนี้ประกอบด้วย

  • เรียนรู้จากความผิดพลาด: WannaCry Ransomware
  • พื้นฐานการบริหารจัดการแพทช์ และเจาะลึกประเด็นสำคัญ
  • แนวทางปฏิบัติที่ดีที่สุดสำหรับจัดการแพทช์
  • มาตรการด้านความมั่นคงปลอดภัยอื่นๆ ที่ช่วยให้รับมือกับภัยคุกคามไซเบอร์ได้ดียิ่งขึ้น

TechTalk Webinar นี้เหมาะสำหรับผู้ดูแลระบบ IT และทีม Security Operation ขององค์กรทุกระดับ ตั้งแต่ Startup, SME ไปจนถึงองค์กรขนาดใหญ่

ลงทะเบียนเข้าร่วม TechTalk Webinar ได้ฟรี

ผู้ที่สนใจสามารถกรอกแบบฟอร์มลงทะเบียนเพื่อเข้าร่วม TechTalk Webinar: Patch Management 101 โดย IBM Security ประเทศไทย ได้ฟรี โดยทีมงาน TechTalkThai ขอสงวนสิทธิ์ให้ผู้เข้าร่วม TechTalk Webinar 100 ท่านแรก ในวันจันทร์ที่ 29 พฤษภาคม เข้าฟังบรรยายโดยไม่คำนึงถึงอันดับการลงทะเบียนก่อนหลัง

กด Interested หรือ Going เพื่อติดตามอัปเดต TechTalk Webinar: Patch Management 101 โดย IBM Security ประเทศไทย บน Facebook Event: https://www.facebook.com/events/1900029583546448/

from:https://www.techtalkthai.com/techtalk-webinar-patch-management-101-by-ibm-security/

อัปเดตสถานการณ์ด้านความมั่นคงปลอดภัยของไทยหลังเหตุการณ์ WannaCry โดย ดร. ภูมิ ภูมิรัตน จาก G-ABLE

บทความนี้เป็นบทสัมภาษณ์สุดพิเศษจาก ดร. ภูมิ ภูมิรัตน ที่ปรึกษาอาวุโสด้านความมั่นคงปลอดภัยจาก G-ABLE เกี่ยวกับสถานการณ์ด้านความมั่นคงปลอดภัยของอุตสาหกรรมต่างๆ ในประเทศไทย รวมไปถึงธุรกิจ Startup และ SME หลังเกิดเหตุการณ์แพร่ระบาดของ WannaCry Ransomware เมื่อกลางเดือนพฤษภาคมที่ผ่านมา

1. ช่วยสรุปเหตุการณ์ WannaCry Ransomware สั้นๆ สักหน่อยได้ไหมครับ

ผมคิดแล้วว่าต้องโดนถามคำถามนี้ … สั้นๆ นะครับ … WannaCry เป็น Ransomware หรือมัลแวร์เรียกค่าไถ่ ที่ต่างจากชาวบ้านตรงที่ไม่ได้แพร่กระจายตัวผ่านทางอีเมลหรือเว็บ Phishing ครับ แต่กลับใช้วิธีเจาะระบบผ่านช่องโหว่ที่เรียก EternalBlue บนระบบปฏิบัติการ Windows และฝัง Backdoor ที่ชื่อว่า DoublePulsar ลงไปแทน ซึ่งทั้งสองอย่างนี้เป็นเครื่องมือแฮ็คของ NSA ที่กลุ่มแฮ็คเกอร์นามว่า Shadow Broker ขโมยมาแล้วปล่อยสู่สาธารณะเมื่อเดือนเมษายนที่ผ่านมา

ที่ Ransomware ตัวนี้ก่อให้เกิดความโกลาหลไปทั่วโลกคือ WannaCry มีคุณสมบัติของ “Worm” ซึ่งหลังจากที่แพร่กระจายเข้าสู่คอมพิวเตอร์เครื่องหนึ่งได้แล้ว มันจะสแกนหมายเลข IP เพื่อค้นหาเป้าหมายที่มีช่องโหว่ และกระจายตัวสู่คอมพิวเตอร์เป้าหมายนั้นๆ ส่งผลให้เกิดการติดมัลแวร์เป็นทอดๆ สร้างความโกลาหลไปทั่วโลก มีคอมพิวเตอร์ติด WannaCry มากกว่า 200,000 เครื่อง ทั้งๆ ที่ Ransomware นี้เพิ่งเริ่มแพร่ระบาดเพียงแค่ 48 ชั่วโมงเท่านั้น

2. คิดว่าสาเหตุสำคัญอันดับหนึ่งที่องค์กรในไทยติด WannaCry คืออะไร

จริงๆ ช่องโหว่ EternalBlue ที่ WannaCry ใช้เจาะเข้าคอมพิวเตอร์ เป็นช่องโหว่เก่าที่ Microsoft เคยออกแพทช์ (MS17-010) อุดมาแล้วตั้งแต่กลางเดือนมีนาคม แต่แฮ็คเกอร์อาศัยจุดอ่อนที่ว่า คนทั่วไปส่วนใหญ่ไม่ยอมอัปเดตแพทช์ด้านความมั่นคงปลอดภัยของคอมพิวเตอร์ตัวเอง คงต้องบอกว่าสำหรับองค์กรในไทยแล้ว ต้นตนของปัญหาคือ “การมีกระบวนการทำ Patch Management ไม่ดีเพียงพอ”

ผมมองว่าความท้าทายด้าน Patch Management สำหรับองค์กรมีด้วยกัน 3 ประการ คือ

  1. องค์กรมีกระบวนการแพทช์ไม่ดีเพียงพอ – องค์กรโดยส่วนใหญ่ยังไม่มีกระบวนการอัปเดตแพทช์ด้านความมั่นคงปลอดภัยที่ชัดเจน หรือถ้ามีก็ทำประมาณ 3 – 6 เดือนครั้ง หรือบางองค์กรก็อัปเดตพร้อมกับ Cycle Patch ซึ่งแก้ปัญหาด้านประสิทธิภาพปีละครั้ง ซึ่งไม่ทันกาล
  2. Resource ไม่เพียงพอ – การอัปเดตแพทช์ทุกครั้งมีความเสี่ยง องค์กรจำเป็นต้องทดสอบแพทช์ก่อนติดตั้งจริงบนระบบ Production อย่างไรก็ตาม เนื่องจากข้อจำกัดด้านเครื่องมือที่ใช้ทดสอบ บุคลากร และเวลา ทำให้ไม่สามารถทดสอบแพทช์ได้ ส่งผลให้การอัปเดตแพทช์ยืดเยื้อ
  3. องค์กรอัปเดตแพทช์ไม่ทัน – อุปกรณ์มีจำนวนมาก ต้องใช้เวลาในการทยอยอัปเดตแพทช์ไปเรื่อยๆ

3. ช่วยแนะนำวิธีป้องกันและรับมือกับ WannaCry Ransomware หน่อยได้ไหมครับ

วิธีป้องกันและรับมือกับ WannaCry มี 2 วิธีหลักๆ คือ การอัปเดตแพทช์ล่าสุดเสมอ และการสำรองข้อมูลครับ

เอาเรื่องแรกก่อน การอัปเดตแพทช์ … การทำ Patch Management ที่ดีสิ่งแรกที่ควรทำคือการทำ Asset Management เพื่อให้เราทราบว่า คอมพิวเตอร์เครื่องไหนมีความสำคัญ ที่ส่งผลกระทบต่อธุรกิจ จะได้ให้ความสนใจและดูแลได้ถูก จากนั้นก็สร้างกระบวนการอัปเดตแพทช์ หลักๆ คือต้องแบ่งออกเป็นระบบสำหรับทดสอบ และระบบ Production เมื่อทดสอบแพทช์บนระบบสำหรับทดสอบเรียบร้อยแล้ว ก็ค่อยอัปเดตบน Production แล้วทำการเฝ้าระวัง เพื่อให้มั่นใจว่าหลังอัปเดตแพทช์ไปแล้วระบบปฏิบัติการต่างๆ ยังคงทำงานได้ตามปกติ สิ่งหนึ่งที่ช่วยให้กระบวนการอัปเดตแพทช์มีความง่ายขึ้น คือ ซอฟต์แวร์สำหรับทำ Patch Management

ส่วนเรื่องการสำรองข้อมูล ประเด็นสำคัญอยู่ที่การทำให้ผู้ใช้ไม่สามารถเขียนข้อมูลลงบนอุปกรณ์สำรองได้โดยตรง เนื่องจากถ้าจังหวะที่มีการเชื่อมต่อกับอุปกรณ์สำรอง (เช่น ฮาร์ดดิสก์ภายนอก) เกิดถูก Ransomware โจมตีกระทันหัน นั่นหมายความว่าอุปกรณ์สำรองก็จะติด Ransomware ไปด้วย นอกจากนี้ ถ้าระบบสำรองสามารถทำ Versioning ได้ก็จะช่วยให้กู้คืนไฟล์ข้อมูลกลับมาเป็นเวอร์ชันก่อนที่ติด Ransomware ได้ง่ายยิ่งขึ้น นอกจากนี้ ปัญหาใหญ่ที่หลายๆ องค์กรมักประสบคือ การกู้ไฟล์ข้อมูลกลับคืนมาแล้วเจ๊ง ดังนั้นแต่ละองค์กรควรพัฒนากระบวนการกู้ไฟล์ข้อมูลกลับคืนมา เช่น ระบบที่เป็น Mission Critical ควรดึงบางส่วนมาทดสอบสัปดาห์ละครั้ง และมีการทดสอบใหญ่ทุก 3 เดือน เป็นต้น

สำหรับแนวทางปฏิบัติที่แนะนำสำหรับองค์กรและบุคคลทั่วไปคือ “กลยุทธ์ 123” หนึ่งคือมีการสำรองข้อมูลไปยังที่อื่น (ที่ไม่ใช่ Data Center) อย่างน้อย 1 แห่ง เช่น DR หรือ Cloud สองคือต้องใช้อย่างน้อย 2 เทคโนโลยีในการสำรองข้อมูล เช่น HDD + Cloud หรือ HDD + Tape และสามคือต้องสำรองข้อมูลอย่างน้อย 3 ชุด (บนคอมพิวเตอร์ 1 ชุด และบนระบบสำรองอีก 2 ชุด) ถ้าทำแบบนี้ได้ก็ค่อนข้างมั่นใจแล้วว่าข้อมูลจะไม่สูญหายแน่นอน

4. คิดว่าสถานการณ์ด้านความมั่นคงปลอดภัยในไทยเป็นอย่างไรหลังเกิดเหตุ WannaCry Ransomware

ผมคิดว่าเมื่อเข้าสู่ยุค Thailand 4.0 องค์กรต่างๆ ในไทยเริ่มมีความตระหนักถึงความมั่นคงปลอดภัยมากขึ้น หลายองค์กรเริ่มจัดอันดับความมั่นคงปลอดภัยเป็นประเด็นสำคัญในการดำเนินธุรกิจ ยิ่งพอเจอ WannaCry เข้าไปก็ยิ่งเป็นเหมือนยาแรงที่ทำให้ทั้งประเทศตระหนักถึงความสำคัญของความมั่นคงปลอดภัย อย่างไรก็ตาม แนะนำว่าองค์กรอย่าเพิ่งตื่นตระหนกเรื่องภัยคุกคามไซเบอร์มากเกินไป จนไม่กล้าเผชิญหน้ากับความเสี่ยง ถึงอาจทำให้พลาดโอกาสทางธุรกิจใหม่ๆ ไปได้

ถึงแม้ว่าแต่ละองค์กรให้ความสำคัญด้านความมั่นคงปลอดภัยมากขึ้น แต่เราจำเป็นต้องเปลี่ยนแนวคิดของผู้บริหารส่วนใหญ่เสียใหม่ หลายคนยังเข้าใจว่าความมั่นคงปลอดภัยเป็นเรื่องที่ลงทุนทีเดียวแล้วจบ องค์กรพร้อมรับมือกับภัยคุกคามไซเบอร์แล้ว แต่อันที่จริงแล้วไม่ใช่ ภัยคุกคามไซเบอร์เป็นความเสี่ยงที่มีความผันแปรตลอดเวลา ลองเปรียบเทียบกับการดำรงชีวิตสิ ทำไมเราถึงต้องจ้างยาม ทำไมต้องทำประกัน ทำไมเราถึงต้องไปหาหมอ ก็เพราะเราต้องการให้ชีวิตของเราปลอดภัย องค์กรก็เช่นกัน การที่เราต้องคอยประเมินความเสี่ยง คอยวางมาตรการควบคุมก็เพื่อให้ธุรกิจขององค์กรมีความมั่นคงปลอดภัยมากที่สุด

5. ช่วยให้คำแนะนำธุรกิจ Startup และ SME ที่มีทรัพยากรบุคคลด้าน IT จำกัดหน่อยครับ

สิ่งแรกที่ Startup และ SME ควรระลึกไว้ คือ อย่าคิดว่าตัวเองจะไม่ตกเป็นเป้าหมายของอาชญากรรมไซเบอร์ ถึงแม้ว่าภัยคุกคามที่น่ากลัวอย่าง Advanced Persistent Threats (APTs) จะพุ่งเป้าที่องค์กรขนาดใหญ่ เช่น สถาบันการเงิน แต่ภัยคุกคามไซเบอร์ทั่วๆ ไปอย่าง Ransomware เขาไม่สนเป้าหมายหรอก เขาสนแค่ว่าคุณน่าโจมตีไหม คุณมีช่องโหว่ไหม ดังนั้นทุกธุรกิจ ทุกองค์กรควรตระหนักไว้เสมอว่า ตัวเองสามารถตกเป็นเหยื่อของอาชญากรรมไซเบอร์ได้ทั้งสิ้น ที่สำคัญคือ เมื่อเกิดเหตุ ธุรกิจของคุณไม่ได้หยุดชะงักเพียงอย่างเดียว แต่มันจะยังส่งผลกระทบต่อชื่อเสียงและความเชื่อมั่นของลูกค้าอีกด้วย ซึ่งสิ่งเหล่านี้กู้คืนกลับมาได้ยากมาก

คำแนะนำสำหรับธุรกิจ Startup และ SME คือ “จงทำทุกอย่างเหมือนอย่างที่สถาบันการเงินทำ แต่ในสเกลที่เหมาะสมกับธุรกิจของคุณ” ไม่ว่าจะเป็นการทำ Software Development Life Cycle (SDLC), Business Continuity Management (BCM) และการมี Security Operation ที่ดี เช่น Patch, Backup, Incident Response, VA/Pen Test และ Security Monitoring เมื่อคุณขยายธุรกิจเข้าสู่ระดับองค์กร ระบบรักษาความมั่นคงปลอดภัยของคุณจะได้พร้อมใช้งานโดยไม่จำเป็นต้องลงทุนใหม่ทั้งหมดทีเดียว ซึ่งจะมีค่าใช้จ่ายสูงมากจนทำให้หลายองค์กรเพิกเฉยไป

6. รัฐบาลควรเข้ามามีส่วนให้การสนับสนุนภาคเอกชนอย่างไร

เรื่องนี้คงมีประมาณ 2 – 3 อย่าง อย่างแรกเลยรัฐบาลต้องเข้าใจก่อนว่า การทำ SOC ระดับชาติมันไม่เวิร์ค เนื่องจากภัยคุกคามไซเบอร์แต่ละอุตสาหกรรมมีความแตกต่างกัน แต่อย่างน้อยที่สุดรัฐบาลก็ควรจะต้องปกป้องตัวเองไม่ให้ถูกแฮ็คเกอร์หรือต่างชาติรุกล้ำอธิปไตยได้ อย่างที่สองคือเรื่องการศึกษา รัฐบาลควรให้การสนับสนุนด้านการศึกษาตั้งแต่ระดับประถม ปวช. ปวส. ไปจนถึงระดับอุดมศึกษา รวมไปถึงสนับสนุนการอบรม จัดทำแคมเปญต่างๆ เพื่อสร้างความตระหนักด้านความมั่นคงปลอดภัยแก่ประชาชนทุกคน อย่างที่สามคือการสนับสนุนภาคเอกชน ยกตัวอย่าง สิงคโปร์หรือฮ่องกง รัฐบาลมีการสนับสนุนเงินลงทุนให้เอกชนนำไปวิจัยเพื่อพัฒนาด้านความมั่นคงปลอดภัยสำหรับประเทศของพวกเขาโดยเฉพาะ

สุดท้าย ก็ต้องบอกว่าอย่าหวังรอพึ่งแต่รัฐบาลอย่างเดียว องค์กรควรกันงบประมาณส่วนหนึ่งไว้พัฒนาบุคลากร กระบวนการ และเทคโนโลยีที่เกี่ยวข้องกับความมั่นคงปลอดภัยด้วย

7. ความคิดเห็นเกี่ยวกับ ThaiCERT และคำแนะนำด้าน Threat Intelligence

ผมว่า ThaiCERT เป็นแนวคิดที่ดีนะ แต่ควรทำหน้าที่ Advisory เป็นหลัก โดยต้องเน้นที่ความถูกต้อง แม่นยำ และลงรายละเอียดเชิงเทคนิค เพื่อให้ผู้เชี่ยวชาญหรือทีมงานด้าน IT Security ของแต่ละองค์กรสามารถนำข้อมูลไปใช้เพื่อปกป้องตนเองจากภัยคุกคามได้ อย่างไรก็ตาม อาจเป็นเพราะบุคลากรมีจำนวนจำกัด ทำให้ ThaiCERT บ้านเราเน้นที่การสื่อสารกับประชาชนแทน ซึ่งจริงๆ ควรเน้นที่การสื่อสารกับหน่วยงานรัฐ และอุตสาหกรรมต่างๆ มากกว่า

นอกจากนี้ ThaiCERT เพียงอย่างเดียวคงไม่เพียงพอ อย่างที่บอกไป แต่ละอุตสาหกรรมประสบกับภัยคุกคามไซเบอร์รูปแบบที่ไม่เหมือนกัน แต่ละอุตสาหกรรมควรมี CERT เป็นของตัวเองเพื่อแชร์ Threat Intelligence ระหว่างกัน เช่น สมาคมธนาคาร บริษัทประกัน หรือกลุ่มพลังงาน ซึ่งตรงนี้เอง รัฐบาลควรเข้าไปสนับสนุนให้ CERT เหล่านี้เกิดขึ้นมาได้

8. คิดว่าองค์กรทั่วไปควรดำเนินการตามมาตรฐานด้านความมั่นคงปลอดภัย เช่น ISO 27001 หรือไม่

ขึ้นอยู่กับแต่ละองค์กรนะ ถ้าคิดว่าทำแล้วเป็นประโยชน์ต่อธุรกิจ ก็ควรจะทำ เช่น บางองค์กรจำเป็นต้องผ่านมาตรฐานเนื่องด้วยมีกฎหมายหรือข้อกำหนดบังคับ หรือบางองค์กรที่ต้องการสร้างความเชื่อมั่นให้กับลูกค้า แต่ต้องเข้าใจไว้ก่อนเลยว่า การผ่านมาตรฐานไม่ได้หมายความว่าระบบขององค์กรมีความมั่นคงปลอดภัย ไม่ถูกแฮ็ค มันขึ้นกับปัจจัยอื่นๆ อีก ทั้ง People, Process และ Technology ส่วนถ้าเป็นแนวทางปฏิบัติ อย่าง NIST Cybersecurity Framework อันนี้แนะนำให้ทำ เพราะเป็น Guideline สำหรับปกป้ององค์กรจากภัยคุกคามไซเบอร์

9. มุมมองด้านบุคลากร คิดว่าองค์กรควรสนับสนุนการอบรมและการสอบใบรับรองหรือไม่

ผมไม่เน้นเรื่องการสอบใบรับรองนะ ถ้าองค์กรจำเป็นต้องมีบุคลากรที่มีใบรับรองเพื่อให้ผ่านมาตรฐานหรือข้อบังคับต่างๆ ก็ควรสนับสนุน แต่ผมคิดว่าควรส่งไปอบรมดีกว่า ได้ความรู้แน่นอน อย่างไรก็ตาม องค์กรก็ต้องเลือกอบรมคนให้ถูกเรื่อง เช่น โปรแกรมเมอร์ก็ให้ไปอบรมการทำ Secure Coding เป็นต้น

การพัฒนาบุคลากรนับว่าเป็นปัญหาใหญ่ของทั้งเมืองไทยและทั่วโลก ทราบหรือไม่ว่าปัจจุบันบุคลากรด้าน IT Security ขาดแคลนเป็นอย่างมาก ใครทำงานสายนี้บอกเลยว่าไม่ตกงานแน่นอน ดังนั้น ไม่ใช่แค่ภาคเอกชนที่ควรสนับสนุนพนักงานให้ไปอบรม พัฒนาขีดความสามารถ แต่หน่วยงานรัฐก็ควรเข้ามาสนับสนุนด้วย ไม่ว่าจะเป็นการศึกษา การจัดอบรมฟรีโดยทางภาครัฐเอง หรือร่วมมือกับสถาบันที่มีชื่อเสียงต่างๆ จัดอมรมเพื่อพัฒนาบุคลากรไทยให้มีศักยภาพไม่แพ้ต่างชาติ

เกี่ยวกับ ดร. ภูมิ ภูมิรัตน

ดร.ภูมิ ภูมิรัตน สำเร็จการศึกษาระดับปริญญาตรี สาขาไฟฟ้าและวิศวกรรมคอมพิวเตอร์ และปริญญาเอกด้านซอฟต์แวร์ระบบความมั่นคงปลอดภัยคอมพิวเตอร์ มหาวิทยาลัยเดวิส (University of California, Davis) สหรัฐอเมริกา ปัจจุบันดำรงตำแหน่งที่ปรึกษาอาวุโสด้านความมั่นคงปลอดภัยของบริษัท G-ABLE

เกี่ยวกับ G-ABLE

G-ABLE เป็นผู้นำด้าน Digital Transformation Agent ชื่อดัง ซึ่งนอกจากนี้จะให้บริการโซลูชัน IT ระดับ Enterprise-class แบบครบวงจรตั้งแต่ IT Infrastructure, Big Data Analytics และ Cloud Computing มายาวนานกว่า 28 ปีแล้ว G-ABLE ยังให้คำปรึกษาและแนะนำองค์กรให้สามารถนำเทคโนโลยีเข้ามาสนับสนุนธุรกิจได้อย่างถูกต้องและเหมาะสม พร้อมทั้งสร้างมูลค่าและผลกำไรจากการใช้นวัตกรรมใหม่ๆ ตามนโยบาย Thailand 4.0

from:https://www.techtalkthai.com/security-in-thailand-after-wannabry-outbreak-by-dr-bhume/

5 เหตุผลสำคัญ ทำไมควรปกป้องข้อมูลระดับ Mission Critical ด้วย Zero Data Loss Recovery Appliance จาก Oracle

เป็นที่ทราบกันดีว่า Oracle Database ถูกใช้งานอย่างแพร่หลายในแอพพลิเคชันระดับ Mission Critical ขององค์กรขนาดใหญ่ทั่วโลก ไม่ว่าจะเป็นสถาบันการเงิน หน่วยงานรัฐ ผู้ให้บริการโทรคมนาคม ห้างร้าน รวมไปถึงอุตสาหกรรมอื่นๆ เพื่อปกป้องข้อมูลให้พร้อมใช้งานอยู่ตลอดเวลา องค์กรเหล่านี้จึงต้องมีโซลูชันสำหรับสำรองและกู้คืนข้อมูลประสิทธิภาพสูง ที่พร้อมทำงานได้อย่างรวดเร็ว ถูกต้อง และมั่นใจว่าข้อมูลจะไม่สูญหาย

ปัญหาการสำรองและกู้คืนข้อมูลในปัจจุบัน

ถึงแม้ว่าการสำรองข้อมูลจะเป็นการดำเนินงานพื้นฐานของ IT Operation ที่แต่ละองค์กรกระทำเป็นประจำทุกวันอยู่แล้ว แต่ข้อมูลระดับ Mission Critical ที่มีความสำคัญในระดับนาที (หรืออาจจะวินาที) จำเป็นต้องมีการสำรองข้อมูลตลอดเวลา การสำรองข้อมูลตอนกลางคืนย่อมไม่เพียงพอต่อการกู้ข้อมูลกลับคืนมา ณ จุดที่เกิดการทำธุรกรรมครั้งสุดท้าย ซึ่งอาจส่งผลกระทบมหาศาลต่อการดำเนินธุรกิจเมื่อระบบมีปัญหาได้

อีกประเด็นหนึ่งคือ การสำรองข้อมูลโดยส่วนใหญ่มักส่งผลกระทบต่อระบบที่กำลังดำเนินงานอยู่ ทำให้ระบบไม่สามารถปฏิบัติงานได้อย่างเต็มประสิทธิภาพและเกิดความล่าช้าในการประมวลผล บางองค์กรถึงขั้นตัดใจยอมรับความเสี่ยงในการไม่สำรองข้อมูล เพื่อให้สามารถดำเนินธุรกิจได้ตลอด 24 ชั่วโมง นอกจากนี้ ยังไม่สามารถการันตีได้ว่า เมื่อเกิดเหตุภัยพิบัติจะสามารถกู้ข้อมูลกลับคืนมาได้ครบถ้วนและถูกต้อง 100%

Oracle ตระหนักถึงปัญหาด้านการสำรองและกู้ข้อมูลระดับ Mission Critical ในปัจจุบัน จึงได้พัฒนา Zero Data Loss Recovery Appliance (ZDLRA) ซึ่งเป็นฮาร์ดแวร์ที่ถูกออกแบบมาสำหรับปกป้องข้อมูลในระบบฐานข้อมูล Oracle โดยเฉพาะ โดยมีจุดเด่นสำคัญ 5 ประการ ดังนี้

1. RPO น้อยที่สุด ปกป้องข้อมูลได้เกือบเรียลไทม์

สิ่งสำคัญของการกู้ข้อมูลระดับ Mission Critical คือ การมี Recovery Point Objective (RPO) ต่ำที่สุดในแผนบริหารความต่อเนื่องเชิงธุรกิจ (Business Continuity Planning) หรือก็คือเกิดความสูญเสียของข้อมูลน้อยที่สุดเมื่อเกิดเหตุภัยพิบัติ ZDLRA สามารถสำรองข้อมูลในฐานข้อมูลได้เกือบเรียลไทม์ผ่านการทำ Real-time Redo Transport ซึ่งระบบฐานข้อมูลของ Oracle จะสำรอง Transaction ที่ถูก Commit ล่าสุดไปยัง ZDLRA ตลอดเวลา ส่งผลให้ถ้าระบบฐานข้อมูล Oracle เกิดความเสียหาย ผู้ดูแลระบบจะสามารถกู้ข้อมูลกลับคืนมาได้ถึง ณ จุดสุดท้ายที่ Transaction ล่าสุดถูก Commit

2. รับประกันการกู้ข้อมูลคืนผ่านการทำ End-to-end Data Validation

ZDLRA มีระบบตรวจสอบความถูกต้องของข้อมูลทั้งขณะ “ข้อมูลเข้า”, “ข้อมูลถูกจัดเก็บ” และ “ข้อมูลออก” ซึ่งช่วยลดภาระงานของผู้ดูแลระบบ รวมไปถึงข้อมูลสำรองจะถูกทำสำเนาเพื่อจัดเก็บเป็นจำนวน 3 ชุด ทำให้มั่นใจว่าเมื่อทำการกู้ข้อมูลกลับคืนมา ข้อมูลจะถูกต้อง ครบถ้วน และไม่สูญหาย

  • ข้อมูลเข้า – เมื่อ ZDLRA ได้รับ Transaction ที่ถูกสำรองมาจากระบบฐานข้อมูล Oracle จะทำการตรวจสอบว่า Transaction มีความถูกต้องหรือไม่ ถ้าไม่ จะร้องขอให้ระบบฐานข้อมูล Oracle ส่ง Transaction มาให้ใหม่
  • ข้อมูลถูกจัดเก็บ – ZDLRA จะดำเนินการตรวจสอบความถูกต้องของข้อมูลเป็นประจำทุก 14 วัน
  • ข้อมูลขาออก – มีการตรวจสอบความถูกต้องของข้อมูลก่อนส่งออกไปจัดเก็บในอุปกรณ์สำหรับเก็บข้อมูลระยะยาว เช่น เทป

3. กู้คืนข้อมูลกลับไปยังจุดใดก็ได้ในหลัก “นาที”

เพื่อให้การสำรองข้อมูลส่งผลกระทบต่อระบบ Production น้อยที่สุด ZDLRA ใช้วิธีสำรองข้อมูลทั้งหมด (Full Backup) เพียงครั้งแรกครั้งเดียว หลังจากนั้นจะใช้วิธีสำรองข้อมูลแบบเฉพาะส่วนที่เพิ่มขึ้นมา (Incremental Backup) ซึ่ง ZDLRA จะผสานรวมข้อมูลสำรองทั้งหมดให้กลายเป็นข้อมูลเพียงชุดเดียว เรียกว่า Virtual Full Backup นั่นหมายความว่า ผู้ดูแลระบบสามารถกู้ข้อมูลกลับคืนมา ณ จุดที่สำรองข้อมูลครั้งสุดท้ายได้ทันที โดยไม่ต้องทยอยกู้ข้อมูลกลับคืนมาทีละขั้นเหมือนระบบสำรองข้อมูลทั่วไป ช่วยลดความเสี่ยงของการสูญหายของข้อมูล ที่สำคัญคือ ผู้ดูแลระบบสามารถเลือกกู้ข้อมูลกลับคืนมา ณ ช่วงเวลาใดก็ได้ตามความต้องการถึงหลักนาที เช่น ข้อมูลสำรองล่าสุดเมื่อวันที่ 16 เมษายน เวลาเที่ยงคืน ผู้ดูแลระบบสามารถเลือกกู้ข้อมูลกลับไปยังวันที่ 12 เมษายน เวลา 18.15 น. ได้ เป็นต้น

นอกจากนี้ การทำ Real-time Redo Transport ยังเป็นการส่ง Transaction จาก Shared Memory โดยตรง ซึ่งส่งผลกระทบต่อการทำงานของระบบฐานข้อมูล Oracle น้อยมาก ส่งผลให้สามารถสำรองข้อมูลพร้อมๆ กับให้บริการลูกค้าได้แบบ 24×7

4. ไม่ต้องซื้อซอฟต์แวร์สำรองข้อมูลเพิ่ม พร้อมขยายระบบได้ถึงระดับ Petabyte

ZDLRA มาพร้อมกับซอฟต์แวร์สำรองข้อมูลซึ่งพร้อมทำงานร่วมกับระบบฐานข้อมูลของ Oracle ได้อย่างไร้รอยต่อ ผู้ดูแลระบบไม่จำเป็นต้องติดตั้งโปรแกรมใดๆ เพิ่มเติม โดยพื้นฐานแล้ว ZDLRA ประกอบด้วย Compute Server 2 หน่วย และ Storage Server 3 หน่วย เชื่อมต่อกับผ่าน InfiniBand ความเร็วสูง สามารถสำรองข้อมูลได้ 94 TB (โดยเฉลี่ย 14 วันสำหรับฐานข้อมูลระดับ Mission Critical ทั่วไป) และกู้ข้อมูลคืนได้ด้วยความเร็วถึง 120 TB ต่อชั่วโมง นอกจากนี้ยังรองรับการขยายระบบให้พร้อมสำรองข้อมูลได้สูงสุดถึงระดับ 100 Petabytes อีกด้วย

5. Ransomware ไม่เป็นปัญหาอีกต่อไป

ปัจจุบันนี้ แฮ็คเกอร์ได้เริ่มออกแบบ Ransomware พุ่งเป้าโจมตีระบบฐานข้อมูลมากขึ้น ดังกรณี MySQL และ MongoDB ที่เพิ่งเกิดขึ้นเมื่อช่วงต้นปีที่ผ่านมา เนื่องจากแฮ็คเกอร์ทราบดีว่าภายในระบบฐานข้อมูลย่อมเก็บข้อมูลสำคัญของธุรกิจไว้ จึงมีความเป็นไปได้สูงที่เหยื่อจะจ่ายค่าไถ่จำนวนมหาศาลเพื่อให้ได้ข้อมูลกลับคืนมา แน่นอนว่าวิธีรับมือกับ Ransomware ที่ดีที่สุดการสำรองข้อมูล โดยเฉพาะอย่างยิ่ง ZDLRA ซึ่งสามารถกู้ข้อมูลกลับคืนมาได้ถึงการทำธุรกรรมล่าสุดที่ถูก Commit จึงทำให้มั่นใจได้ว่า ต่อให้ระบบฐานข้อมูลถูก Ransomware โจมตี ข้อมูลทั้งหมดยังคงอยู่อย่างครบถ้วนสมบูรณ์

ดาวน์โหลด Data Sheet ของ Oracle ZDLRA [PDF]

ปัจจุบันนี้ Oracle ประเทศไทยมีฐานลูกค้าผู้ใช้ฮาร์ดแวร์ Engineered Systems รวมไปถึง ZDLRA มากกว่า 50 รายทั่วประเทศ ครอบคลุมทุกอุตสาหกรรม ไม่ว่าจะเป็นการธนาคาร ค้าปลีก (Retail) ผู้ให้บริการเครือข่ายโทรศัพท์มือถือ หน่วยงานด้านพลังงาน และอื่นๆ ผู้ที่สนใจสามารถสอบถามรายละเอียดเพิ่มเติมได้ที่ฝ่ายขายของ Oracle อีเมล market_th@oracle.com

from:https://www.techtalkthai.com/5-reasons-why-oracle-zero-data-loss-recovery-appliance/

ตะลึง !! 77% ของแรนซัมแวร์ทั้งหมด พบใน 4 ภาคอุตสาหกรรม

NTT Security ได้เปิดเผยรายงานภัยคุกคามข้อมูลภัยคุกคามข้อมูลทั่วโลกประจำปี 2017 (Global Threat Intelligence Report : GTIR) ซึ่งวิเคราะห์แนวโน้มภัยคุกคามไซเบอร์ทั่วโลก โดยอ้างอิงข้อมูลจากล็อก บันทึกเหตุการณ์ การโจมตี และช่องโหว่ของข้อมูลต่างๆ ในช่วงระยะเวลาตั้งแต่ 1 ตุลาคม 2015 ถึง 31 กันยายน 2016 โดยรายงานดังกล่าวแสดงให้เห็นถึงแนวโน้มการโจมตีล่าสุดของแรนซัมแวร์, การโจมตีแบบฟิชชิ่ง และ DDoS
การโจมตีแบบฟิชชิ่งและแรนซั่นแวร์

ในส่วนของการโจมตีแบบฟิชชิ่งที่ปัจจุบันได้ถูกใช้เป็นเครื่องมือในการกระจายแรนซัมแวร์อย่างแพร่หลาย เป็นรูปแบบหนึ่งของมัลแวร์ที่ได้รับการออกแบบมาเพื่อยึดข้อมูลหรืออุปกรณ์ไว้เป็นตัวประกัน โดยรายงานนี้เผยให้เห็นว่า 77% ของแรนซั่มแวร์ที่มีการตรวจพบทั่วโลก อยู่ใน 4 ภาคธุรกิจหลัก คือ

1. กลุ่มบริการธุรกิจและสาขาวิชาชีพ 28%
2. ภาครัฐบาล 19%
3. ธุรกิจสุขภาพ 15%
4. และการค้าปลีก 15%

จากข้อมูลของ GTIR พบว่า การโจมตีในรูปแบบฟิชชิ่งมีบทบาท เกือบ 3 ใน 4 หรือคิดเป็น 73% ของมัลแวร์ทั้งหมดที่มีการส่งไปยังองค์กรต่างๆ โดยในส่วนของภาครัฐ คิดเป็น 65% และบริการธุรกิจและวิชาชีพอีก 25% ซึ่งเป็นภาคส่วนที่มีแนวโน้มที่จะถูกโจมตีมากที่สุดในระดับโลก ซึ่งเมื่อดูรายละเอียดการโจมตีแล้ว พบว่าประเทศที่เป็นแหล่งต้นทางการโจมตีแบบฟิชชิง 3 อันดับแรกคือ ประเทศสหรัฐอเมริกา 41% เนเธอร์แลนด์ 38% และฝรั่งเศส 5%

อ่านข่าว : โอละพ่อ ! ฟิชชิ่งเมล์จาก “กสิกร” ที่แท้ ทดสอบพนักงาน !!

การโจมตีแบบ DDoS

รายงานดังกล่าวยังเผยว่า มีรหัสผ่าน 25 ชุด คิดเป็นเกือบ 33% ของการพยายามยืนยันตัวตนเพื่อเข้าระบบเซิร์ฟเวอร์ลวง (honeypot) ของ NTT Security เมื่อปีที่แล้ว และมีความพยายามในการเข้าสู่ระบบมากกว่า 76% รวมถึงรหัสผ่านที่ถูกใช้ใน Mirai botnet ซึ่งเป็นบอทเน็ตที่มุ่งโจมตีอุปกรณ์ IoT และในอดีตเคยถูกนำมาใช้ในการโจมตี DDoS ครั้งใหญ่ที่สุดอีกด้วย

การโจมตีแบบ DDoS คิดเป็นสัดส่วนน้อยกว่า 6% ของการโจมตีทั่วโลก แต่คิดเป็นสัดส่วนมากกว่า 16% ของการโจมตีทั้งหมดจากเอเชีย และคิดเป็น 23% ของการโจมตีทั้งหมดจากออสเตรเลีย และสามารถแบ่งตามเป็นกลุ่มธุรกิจที่โดนโจมตี อาทิ

1. ภาคการเงิน 14%
2. ภาครัฐบาล 14%
3. และอุตสาหกรรมการผลิต 13%

ด้านนาย Steven Bullitt รองประธานศูนย์ข้อมูลด้านการโจมตี GTIC ของ NTT Security กล่าวว่า “เราพบว่ามีความพยายามในการโจมตีมากกว่า 6 พันล้านครั้ง ในระยะเวลา 12 เดือน หรือ กว่า 16 ล้านครั้งต่อวัน และเรายังได้เฝ้าติดตามภัยคุกคามที่ใช้รูปแบบการโจมตีเกือบทุกประเภท”

สามารถดูข้อมูลเพิ่มเติมในรายงานข้อมูลภัยคุกคามทั่วโลกประจำปี 2017 (GTIR) ของ NTT Securityได้ที่ www.nttsecurity.com/GTIR2017

from:https://www.enterpriseitpro.net/?p=6723

สิ่งที่คุณต้องรู้เกี่ยวกับฤทธิ์เดชของแรนซั่มแวร์ Wanna Decryptor 2.0

เมื่อวันศุกร์ที่ 12 พ.ค. ที่ผ่านมาถือเป็นวิกฤตการณ์ที่หนักหน่วงมากในหลายองค์กร อันเนื่องมาจากการแพร่กระจายตัวเองอย่างรวดเร็วของแรนซั่มแวร์ Wanna Decrypter 2.0 ที่เริ่มจากการโจมตีโรงพยาบาลทั่วทั้งอังกฤษ ก่อนที่จะขยายวงการโจมตีไปทั่วโลก

การโจมตีครั้งนี้พบว่ามีการใช้ประโยชน์จากช่องโหว่บนวินโดวส์ ที่ไมโครซอฟท์ได้ออกแพทช์มาแล้วตั้งแต่เมื่อมีนาคมที่ผ่านมา ช่องโหว่นี้อยู่บนเซอร์วิสที่ชื่อ Windows Server Message Block (SMB) ที่คอมพิวเตอร์ที่ใช้วินโดวส์นั้นใช้สำหรับแชร์ไฟล์และเครื่องพิมพ์ทั่วทั้งเครือข่ายขององค์กร โดยไมโครซอฟท์ได้อธิบายปัญหานี้ไว้ในหัวข้อด้านความปลอดภัยรหัส MS17-010

SophosLabs กล่าวว่า แรนซั่มแวร์นี้ ซึ่งรู้จักกันในชื่อ WannaCry, WCry, WanaCrypt และ WanaCrypt0r นั้น จะเข้ารหัสไฟล์ของเหยื่อ แล้วเปลี่ยนนามสกุลไฟล์ให้อยู่ในรูป .wnry, .wcry, .wncry และ .wncrypt

Sophos ได้ปกป้องลูกค้าจากอันตรายนี้ โดยตรวจจับมัลแวร์เหล่านี้ภายใต้ชื่อ Troj/Ransom-EMG, Mal/Wanna-A, Troj/Wanna-C, และ Troj/Wanna-D ซึ่งลูกค้าที่ใช้ Intercept X จะพบว่าแรนซั่มแวร์นี้ถูกสกัดกั้นโดย CryptoGuard พร้อมทั้งมีการเปิดเผยรายละเอียดในรูปของ Knowledge Base Article (KBA) ให้ลูกค้าอีกด้วย

NHS ยอมรับว่าโดยโจมตี
National Health Service hospitals (NHS) ในสหราชอาณาจักร ได้รับผลกระทบอย่างรุนแรงจากการโจมตีระยะแรก โดยทั้งระบบโทรศัพท์และบริการด้านไอทีอื่นๆ ต่างถูกกักไว้เรียกค่าไถ่ ทางฝ่ายไอทีของ NHS ได้โพสต์ประกาศว่า หน่วยงานในสังกัดหลายแห่งโดนแรนซั่มแวร์โจมตี โดยเชื่อว่าเป็นมัลแวร์ชื่อ Wanna Decryptor ซึ่งปัจจุบันยังไม่มีหลักฐานชี้ชัดว่าข้อมูลของผู้ป่วยถูกเข้าถึงด้วยหรือเปล่า แต่ก็กำลังทำงานร่วมกับศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติอย่างใกล้ชิด และจะแจ้งความคืบหน้าอีกครั้งโดยเร็วที่สุด

ซึ่งทางศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติ, กระทรวงสาธารณสุข, และ NHS ของสหราชอาณาจักร ต่างทำงานอย่างหนักตั้งแต่เมื่อวันศุกร์ที่ผ่านมาเพื่อช่วยเหลือโรงพยาบาลที่ได้รับผลกระทบ รวมถึงระบบไอทีที่โดนเล่นงานจนต้องปิดการใช้งานเพื่อจำกัดบริเวณการแพร่กระจายของแรนซั่มแวร์

คำแนะนำเพิ่มเติมจาก Sophos
ต่อไปนี้เป็นข้อมูลอัพเดตสายพันธุ์แรนซั่มแวร์ที่เกี่ยวข้องกับการโจมตีครั้งนี้ ที่ทาง Sophos ได้ให้การปกป้องไว้ครบถ้วนแล้ว:

ดังที่กล่าวไว้ข้างต้น Sophos ได้อัพเดตข้อมูลเพื่อปกป้องลูกค้าเรียบร้อยแล้ว ผู้ที่ใช้งานทั้ง Intercept X และ EXP ไม่จำเป็นต้องทำอะไรเพิ่มเติม ส่วนผู้ที่ใช้โซลูชั่น Sophos Endpoint Protection และ Sophos Home ควรอัพเดตให้เป็นรุ่นล่าสุดในทันที
วิธีป้องกันอันตรายนี้
เราแนะนำให้ผู้ที่ยังไม่ได้ทำดำเนินการอะไร ให้ทำดังต่อไปนี้:

– ติดตั้งแพทช์บนระบบของคุณ แม้ว่าคุณจะยังใช้รุ่นที่ไม่ได้มีการสนับสนุนจากผู้ผลิตแล้ว อันได้แก่ วินโดวส์ XP, วินโดวส์ 8, หรือวินโดวส์เซิร์ฟเวอร์ 2003 โดยแนะนำให้อ่านคำแนะนำสำหรับลูกค้าของไมโครซอฟท์เรื่องการโจมตีจาก WannaCrypt ที่ https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

– อ่านคำแนะนำของ Sophos บน Knowledge Base Article เกี่ยวกับแรนซั่มแวร์ Wanna Decrypt0r 2.0 ที่ https://community.sophos.com/kb/en-us/126733

– สำรองข้อมูลเป็นประจำ และจัดเก็บข้อมูลที่สำรองล่าสุดไว้ข้างนอกองค์กร เนื่องจากมีหลากหลายช่องทางมากนอกจากแรนซั่มแวร์ที่ไฟล์สำรองไว้จะเป็นอันตราย ไม่ว่าจะเป็นอัคคีภัย, น้ำท่วม, โดนจารกรรม, แล็ปท็อปตกพื้น, หรือแม้แต่การกดลบโดยไม่ได้ตั้งใจ คุณควรเข้ารหัสข้อมูลที่สำรองไว้ เพื่อไม่ต้องกังวลว่าข้อมูลดังกล่าว หรืออุปกรณ์ที่มีข้อมูลที่สำรองไว้จะตกไปอยู่ในมือของผู้ไม่ประสงค์ดี

– พึงระวังการเปิดไฟล์แนบที่น่าสงสัย ยังเป็นคำแนะนำพื้นฐานที่ควรปฏิบัติอย่างแข็งแกร่ง ในการที่ไม่ควรเปิดไฟล์เอกสารใดๆ จนกว่าจะแน่ใจว่าจำเป็นต้องใช้งานไฟล์นั้นจริงๆ ซึ่งท่าคุณยังสงสัยที่มาของไฟล์นั้นอยู่ก็ไม่ควรเปิดขึ้นมาเด็ดขาด

– เลือกใช้โซลูชั่นความปลอดภัยอย่าง Sophos Intercept X และ Sophos Home Premium Beta สำหรับผู้ใช้ตามบ้าน (ไม่ใช่ลูกค้าธุรกิจ) ที่สามารถหยุดยั้งแรนซั่มแวร์ตั้งแต่ต้นเหตุ ด้วยการสกัดกั้นการเข้ารหัสไฟล์ที่ไม่ได้รับอนุญาต

ที่มา : https://nakedsecurity.sophos.com/2017/05/12/wanna-decrypter-2-0-ransomware-attack-what-you-need-to-know/

from:https://www.enterpriseitpro.net/?p=6716

ผู้ใช้ XP เฮ !! มีเครื่องมือถอดรหัสไฟล์มาให้แล้วชื่อ “WannaKey” ดาวน์โหลดเลย !!

มาแล้ว ! โปรแกรมถอดรหัส WannaCry ชื่อว่า “Wannakey” ใช้สำหรับ Win XP

นักวิจัยชาวฝรั่งเศสจากบริษัท Adrien Guinet ได้ค้นพบแนวทางการถอดรหัสไฟล์ที่ถูกล็อกจากแรนซั่มแวร์ชื่อดังอย่าง WannaCry ได้แล้ว

โดยเป็นเครื่องมือฟรี ชื่อว่า Wannakey ซึ่งจะทำการดึงข้อมูลคีย์ RSA แบบไพรเวทที่ใช้ในตัว WannaCry, หรือ WCry หรือ WannaCrypt ซึ่งมันเอามาเข้ารหัสไฟล์ โดยมันจะใช้งานได้ดีกับเครื่อง Windows XP และเครื่องนั้นยังไม่ได้มีการรีบูตหลังจากติดเชื้อ เครื่องมือนี้จะทำการเข้าค้นหาตัวเลขสำคัญของคีย์ไพรเวทที่อยู่ใน wcry.exe และจากนั้นจะทำการสร้างไพรเวทคีย์ของ WannaCry ซึ่งจะยังคงอยู่ในเมมโมรี (ตราบเท่าที่ยังไม่มีการรีบูต)

ทาง Guinet ได้อธิบายว่า ผู้เขียน WannaCry นั้นได้ใช้ตัว API ของตัว Windows Crypto ที่ถูกต้อง ซึงฟังก์ชันอย่าง CryptDestoryKey และ CryptReleaseContext ของ API ที่ไมโครซอฟท์ออกแบบมานั้น ป้องกันไม่ให้มีการลบตัวเลขที่สำคัญออกจากหน่วยความจำก่อนที่จะมีการทับอะไรลงไป

สำหรับเทคนิคการกู้คืนข้อมูลนี้ใช้ได้ผลกับ Windows XP แต่สำหรับ Windows 10 อาจจะไม่เวิร์กเพราะมันจะลบเมมโมรีดังกล่าวออกไป ซึ่ง Guinet บอกว่า ถ้าคุณโชคดี ที่ข้อมูลในหน่วยความจำนั้นยังไม่มีการลงทับหรือถูกลบไป ตัวเลขสำคัญดังกล่าวจะอยู่ในหน่วยความจำนั้น และซอฟต์แวร์นี้จะดึงมันกลับมาได้ ซึ่งต้องบอกว่ามันมีประโยชน์มากสำหรับผู้ใช้ XP

ดาวน์โหลด Wannakey ได้ที่นี่ – https://github.com/aguinet/wannakey

อ่านข้อมูลเพิ่มเติมที่นี่ – http://www.zdnet.com/article/windows-xp-hit-by-wannacry-ransomware-this-tool-could-decrypt-your-infected-files/

 

from:https://www.enterpriseitpro.net/?p=6712