รายงานภัยคุกคาม (Threat Report) ปี 2019 โดยทีมนักวิจัยของ SophosLabs กล่าวถึงการเพิ่มขึ้นของ ransomware ที่มีการโจมตีแบบเจาะจงเป้าหมาย ทั้งนี้ มีการประเมินกันว่ารายได้จาก Samsam ransomware จะมีมากกว่า 6.5 ล้านเหรียญสหรัฐ จึงไม่น่าแปลกใจว่าทำไมอาชญากรถึงมีแรงจูงใจที่จะใช้วิธีนี้ ในการโจมตีเหล่านี้ อาชญากรไซเบอร์พุ่งเป้าหมายไปที่ช่องทางเข้าที่เปราะบางและใช้วิธีการ brute-force รหัสผ่านการควบคุมระยะไกล Remote Desktop Protocol (RDP) เมื่อเจาะเข้าระบบได้แล้ว ภัยคุกคามเหล่านี้จะแพร่กระจายออกไปในจุดข้างเคียง โดยทำงานทีละขั้นตอนเพื่อขโมยข้อมูลความลับของผู้ดูแลโดเมน สั่งการระบบควบคุมภายใน ปิดการทำงานของระบบสำรองข้อมูล และอื่นๆ ซึ่งกว่าผู้จัดการฝ่ายไอทีส่วนใหญ่จะสังเกตเห็น ว่ามีอะไรเกิดขึ้น เครือข่ายก็ได้รับความเสียหายไปแล้ว
นาย แดน เชียปป้า รองประธานอาวุโสและผู้จัดการทั่วไปฝ่ายผลิตภัณฑ์ของ Sophos กล่าวว่า "แม้ว่าหลายองค์กรได้เตรียมความพร้อมเพื่อป้องกัน bot ที่ทำงานแบบอัตโนมัติ ไว้แล้ว แต่นั่นไม่รวมถึงการโจมตีแบบ interactive ที่เกิดจากมนุษย์เป็นผู้ดำเนินการ กรณีศัตรูสามารถเข้าถึงระบบได้ พวกมันสามารถ "คิดออกนอกกรอบ" เพื่อแก้ไขอุปสรรคต่างๆ ที่ขวางอยู่ หลบเลี่ยงการตรวจจับ และแพร่กระจายไปทั่ว จึงเป็นการยากที่จะหยุดพวกมัน เว้นแต่จะมีมาตรการรักษาความปลอดภัยที่เหมาะสมพร้อมอยู่แล้ว การแพร่ออกไปส่วนใหญ่เกิดขึ้นที่เอ็นด์พอยท์ ซึ่งเป็นเหตุผลว่าทำไมการรักษาความปลอดภัยแบบเชื่อมต่อถึงกันจึงเป็นเรื่องสำคัญ ผู้บุกรุกจะพยายามเดินหน้าใช้เทคนิคที่ไม่อาศัยมัลแวร์ เช่น การใช้ประโยชน์จากช่องโหว่ เครื่องมือ Mimikatz เพื่อขโมยรหัสและการยกระดับสิทธิ์ของตัวเอง ซึ่งเครือข่ายจำเป็นต้องรู้เพื่อตอบสนองและปิดโดยอัตโนมัติหรือแยกเครื่องที่ติดไวรัสออกก่อนที่จะมีใครหรืออุปกรณ์อื่นใดมาแพร่กระจายต่อ"
การโจมตีแบบไร้ร่องรอยคล้ายแมวขโมย (cybercat-burglar-like attacks) เช่น BitPaymer, Dharma และ Ryuk ใช้ lateral movement playbook ที่คล้ายกันเพื่อเอา ransomware เข้าไปวางในระบบโดยใช้ฝีมือมนุษย์ การโจมตีเหล่านี้แตกต่างจากชุดเครื่องมือ Ransomware-as-a-Service (RaaS) ที่ขายบน dark web อย่างมาก ทั้งนี้ Sophos คาดว่าการโจมตีโดยใช้กลไกควบคุมด้วยมือมนุษย์จะดำเนินการต่อไปถึงปี 2019
"การหยุดการกระจายไปใน segment เดียวกันของเครือข่าย (lateral movements) จากภัยคุกคามที่ทำงานอยู่ตลอดหรือ worm ที่หาประโยชน์จากช่องโหว่ โดยการแชร์ข้อมูลความลับระหว่าง firewall กับ endpoint และการแยกระบบที่ติดไวรัสออกโดยอัตโนมัติเป็นเรื่องสำคัญสำหรับทุกองค์กรในปัจจุบัน" นาย แดน กล่าว "น่าเสียดายที่สภาพแวดล้อมทางธุรกิจในหลายองค์กรอาจมีจุดบอดบนสวิทช์ของเครือข่ายหรือ LAN segment และสิ่งเหล่านี้อาจกลายเป็น launch pad ลับสำหรับการโจมตีได้ ซึ่งคุณสมบัติใหม่ใน Sophos XG Firewall จะช่วยป้องกันไม่ให้ภัยคุกคามแพร่กระจายแม้ในกรณีที่ firewall ไม่ได้ควบคุม traffic โดยตรง"
Lateral Movement Protection ที่ทำงานผ่านระบบความปลอดภัยที่เชื่อมถึงกัน
Sophos XG Firewall จะปฏิสัมพันธ์โดยอัตโนมัติกับกลุ่มผลิตภัณฑ์ endpoint ของ Sophos ซึ่งรวมถึง Intercept X Advanced with Endpoint Detection and Response (EDR) ใหม่ เพื่อสร้างเกราะป้องกันเพิ่มอีกชั้นหนึ่ง เกราะรักษาความปลอดภัยที่จำเป็นเหล่านี้จะเชื่อมต่อผ่าน Security Heartbeat ในเทคโนโลยี Synchronized Security ของ Sophos ซึ่งสร้างโซลูชั่นอัจฉริยะที่สามารถคาดเดาและป้องกันภัยคุกคามในเชิงรุก ตรวจหาและป้องกันการติดไวรัสหรือมัลแวร์โดยการแยกเครื่องที่ติดออกโดยอัตโนมัติ และทำการฟื้นฟูระบบจากการติดไวรัสหรือมัลแวร์ เทคโนโลยี Security Heartbeat ช่วยให้สามารถแยก endpoint ที่มีความเสี่ยงสูงออกจาก endpoint อื่นๆ ในโดเมนหรือ segment เครือข่ายเดียวกันออกได้โดยอัตโนมัติ
คุณสมบัติเพิ่มเติมใหม่ๆ และที่ได้รับการปรับปรุงให้ดีขึ้นใน Sophos XG Firewall ประกอบด้วย:
o ขอบเขตการป้องกัน IPS ที่ลึกและกว้างขึ้น พร้อมการปรับแต่งที่สามารถลงรายละเอียดและเป็นแบบแผนมากขึ้น
o ระบบป้องกัน cryptojacking สำหรับ JavaScript
o Intercept X integration เพื่อระบุภัยคุกคามจากการโจมตีช่องโหว่ zero-day ก่อนที่จะบุกเข้าสู่เครือข่าย
o การวิเคราะห์เชิงพฤติกรรม เครือข่าย และหน่วยความจำในระดับลึก ด้วย machine learning, CryptoGuard และการตรวจจับการหาประโยชน์จากช่องโหว่
o ใหม่ Sophos Connect IPSec VPN Client พร้อมด้วย Synchronized Security
o Chromebook client authentication support สำหรับการสร้างนโยบายแบบ user-based และการทำรายงาน
o User/group policy support สำหรับข้อจำกัดของ SafeSearch และ YouTube
นาย แฟรงก์ ดิกสัน รองประธานฝ่ายการวิจัยผลิตภัณฑ์ความปลอดภัยของไอดีซี (IDC) กล่าวว่า "ศัตรูของเราที่ก่ออาชญากรรมทางไซเบอร์ได้อย่างแยบยลและแข็งขันนั้นได้เพิ่มความระมัดระวังในการพัฒนาภัยคุกคามใหม่ โดยใช้ประโยชน์จากช่องโหว่หรือลงมือโจมตีองค์กรต่างๆ ด้วยตนเอง การทำลายส่วนที่เป็นจุดอ่อนในเครือข่ายตามด้วยการกระจายการโจมตีแบบ lateral movement และการยกระดับสิทธิ์ในการเข้าถึงเครือข่ายเป็นวิธีการที่นิยมใช้เพิ่มมากขึ้นโดยทั่วไปในปัจจุบัน ทั้งนี้ ด้วยการเชื่อมโยงเครือข่ายและ endpoint intelligence ผ่าน Security Heartbeat ทาง Sophos ได้เริ่มใช้คุณสมบัติเป็นเชิงนวัตกรรมและมีความสำคัญในการระบุและลดการโจมตีทางไซเบอร์แบบ lateral movement ภายในไม่กี่วินาที โดยการป้องกันการคุกคามแบบอัตโนมัติด้วยการแยก endpoint ออกเพื่อไม่ให้ภัยคุกคามแพร่กระจาย โดยพื้นฐานแล้ว Intercept X ถูกทำให้แข็งแกร่งขึ้นด้วยวิธีที่เรียกว่า network-based enforcement ใน Sophos XG Firewall เพื่อสร้างวิธีการแบบบูรณาการมากขึ้นและแบบที่เรียกว่า synergist approach (การใช้พลังร่วม) เพื่อสร้างเกราะป้องกันทางไซเบอร์สำหรับธุรกิจต่างๆ เพื่อลดภาระการบริหารจัดการของผู้มีหน้าที่เกี่ยวข้องด้านความปลอดภัยในโลกไซเบอร์"การจัดจำหน่าย
Sophos XG Firewall มีจำหน่ายแล้วผ่านทางคู่ค้าของโซฟอสที่ได้รับการแต่งตั้งทั่วโลก สามารถทดลองใช้งาน XG Firewall ได้ฟรีโดยไม่ต้องใช้ฮาร์ดแวร์ ได้ที่ Sophos.com
ติดต่อเราได้ที่ facebook.com/newswit