[Guest Post] ป้องกัน Ransomware ก่อนการโจมตี

ปัจจุบันเราสามารป้องกัน Ransomware หรือภัยคุกคามได้แบบ Pre – Execution Prevention โดยอาศัยเทคโนโลยี Deep Learning  ด้วยผลิตภัณฑ์ Deep Instinct จะเน้นไปที่การใช้งานระบบที่สามารถแยกแยะภัยคุกคามได้อย่างรวดเร็ว และไม่จำเป็นต้องให้ภัยคุกคามถูก Execute ได้สำเร็จ

ในปัจจุบัน การป้องกัน Ransomware ด้วยการเสริมการใช้งานของ EDR นั้น เป็นการทำงานในรูปแบบ Detection and Response ซึ่งจำเป็นต้องให้มัลแวร์ที่เข้ามาโจมตี ได้เริ่มออกคำสั่งไปก่อน แล้วค่อยตามไปดูความผิดปกติ หรือพฤติกรรมที่ไม่เป็นที่ประสงค์ การทำงานแบบนี้ เรียกว่า Post-Execution Prevention และสร้างความเสี่ยงให้กับระบบได้ จากที่เห็นมาใน Ransomware campaign หลาย ๆ ครั้ง

User จะต้องทำการคลิก หรือรอให้มัลแวร์ execution (วางชุดคำสั่ง) มัลแวร์ สามารถสร้างความเสียหายได้ ภายในเวลาเพีบง 0.016 วินาที

ซึ่งความสามารถของ EDR ในการจัดการกับ Ransomware ส่วนใหญ่จะมีขั้นตอนดังนี้

  • แยกแยะเหตุการณ์ภัยคุกคาม (identify the threats)
  • ติดตาม และบันทึกข้อมูลจากภัยคุกคาม (Track and record the threats)
  • กักกันชุดคำสั่งการทำงาน หรือไฟล์ที่เป็นภัยคุกคามได้บางส่วน (quarantine and contain some threats)
  • กำจัดภัยคุกคามบางส่วน (remove some of the identified threats)
  • Isolate เครื่องที่มีปัญหาออกจาก network
  • ติดตาม และบันทึกข้อมูลของเครื่องที่มีปัญหา
  • ตรวจสอบ และทบทวนเหตุการณ์ timeline ช่วงที่เกิดเหตุการณ์
  • รวบรวมข้อมูลที่เกี่ยวกับภัยคุกคาม

การทำงานในขั้นตอนเหล่านี้ มีตัวแปรที่สำคัญมาก นั้นคือ Dwell Time  ในขณะที่การทำงานแต่ละขั้นตอนของ EDR นั้น เป็นประโยชน์สูง แต่การใช้เวลา หรือการมี Dwell Time สูง ย่อมทำให้มีความเสี่ยงสูงที่จะถูกคุกคามได้โดยมัลแวร์ หรือ Ransomware เหล่านี้

การทำงานของระบบ Deep Instinct จะเน้นไปที่การใช้งานระบบที่สามารถแยกแยะภัยคุกคามได้อย่างรวดเร็ว และไม่จำเป็นต้องให้ภัยคุกคามถูก Execute ได้สำเร็จ สามารถหยุดได้แบบ Pre-Execution Prevention ได้ โดยอาศัยเทคโนโลยีใหม่ล่าสุดที่ชื่อว่า Deep Learning

โดยเทคโนโลยี Deep Learning ของ Deep Instinct ใช้อัลกอรึทึมในการเรียนรู้ข้อมูลจากประเภทของมัลแวร์ที่มีอยู่ทั่วโลก โดยใช้ Raw Data 100% ไม่ต้องทำ feature extraction และเทคโนโลยีนี้สามารถต่อจัดการกับ Unknow Malware ได้แม่นยำถึง 99% และมีอัตราการเกิด False Positive ที่ต่ำมาก ๆ

หากเทียบในมุม Offline Security ในกรณีที่มีขโมยขึ้นบ้าน การป้องกันทรัพย์สินภายในบ้านเป็นเรื่องสำคัญ การป้องกันแบบ Pre-Execution Prevention คือการที่เราป้องกันได้ตั้งแต่ขั้นตอนที่ขโมยเริ่มจะปีนบ้าน เขาไม่สามารถเห็น หรือก่อความเสียหายได้

การป้องกันแบบ Post-Execution Prevention คือการป้องกันหลังจากที่ขโมยได้ปีนกำแพงบ้านเราแล้ว เขาได้เห็นทรัพย์สินในบ้าน เดินไปมา สร้างความเสียหายบางส่วนแล้ว และระหว่างที่ได้ทำความเสียหาย บังเอิญไป trigger sensor บางอย่างทำให้เราสามารถจับเขาได้

ในทั้ง 2 กรณี เราจับได้ในที่สุด แต่แบบ Pre-Execution Prevention ปลอดภัย และป้องกันความเสียหายได้ตั้งแต่ต้นเหตุ

นอกจากความสามารถในการป้องกันมัลแวร์ที่เป็น Unknown ที่มาจากภัยที่ฝังมากับ file หรือเป็นในรูปแบบ file-less attack หลากรูปแบบเช่น

  • Memory based attacks
  • PowerShell Scripting language Remote logins
  • Macro-based Attacks และ ฯลฯ

Deep Instinct ยังสามารถแสดงให้เห็นถึงความสามารถที่เหนือกว่า ด้วยมาตรการป้องกันที่ไว้ใจได้ ไม่ว่า ransomware campaign จะมีความแยบยลและซับซ้อนมาก Deep Instinct ก็ยังสามารถตรวจจับ ป้องกัน และตอบสนองกับทุกขั้นตอนได้

Deep Instinct ถูกออกแบบมาให้สามารถใช้งานร่วมกับระบบอื่น ๆ ได้เป็นอย่างดี และไม่สร้างอุปสรรคการทำงานให้กับระบบ หรือผู้ใช้งาน

การใช้งานร่วม ขึ้นอยู่กับความต้องการขององค์กรที่ใช้งาน องค์กรที่เน้นในเรื่องของความเสถียรภาพ และต้องการลดทรัพยากรในการบริหารจัดการเครื่อง endpoint (Laptop, PC, Servers) ต่าง ๆ สามารถใช้งาน Deep Instinct ตอบโจทย์ได้ในทันที สำหรับบางองค์กรที่ต้องการใช้ทำ investigation เชิงลึก และมีความเชี่ยวชาญ และ resource เพียงพอ ก็สามารถเสริมความปลอดภัยด้วย Deep Instinct ที่เน้นป้องกัน และใช้ EDR หรือ Forensics Tool อื่น ๆ ไปด้วยกันได้และ Deep Instinct ก็ยังสามารถทำงานร่วมกับระบบ Endpoint ที่ท่านใช้งานอยู่ได้ Deep Instinct มีการใช้งานที่ใช้ resource น้อยเป็นอันดับต้น ๆ ของอุตสาหกรรม Endpoint กับ Agent ที่ Footprint เล็กมาก ๆ ด้วยการใช้งานน้อยกว่า 2% CPU โดยเฉลี่ย

สอบถามข้อมูลเพิ่มเติม : บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด

โทร : 02-311-6881 #7156, 7158

Email : cu_mkt@cu.co.th

Website : www.cu.co.th/distributor

Youtube : Computer Union CU

from:https://www.techtalkthai.com/cu-ransomware-prevention-is-better-than-cure/