คลังความรู้

ในช่วงเวลาปีถึงสองปีที่ผ่านมา พบว่าจำนวนอาชญากรไซเบอร์และช่องทางที่ใช้ดำเนินการผิดกฏหมายไซเบอร์เพิ่มมากขึ้น 

PROUD จึงสรุปแนวโน้มสำคัญทางด้านอาชญากรรมไซเบอร์ ซึ่งประกอบด้วย

Crime-as-a-Service

เป็นตัวเชื่อมระหว่างแฮ็คเกอร์ผู้ให้บริการเครื่องมือสำหรับก่ออาชญากรรมไซเบอร์ กับบริการที่กลุ่มอาชญากรสามารถเข้าถึงเพื่อนำไปใช้ในการก่ออาชญากรรมได้ ส่งผลให้อาชญากรไซเบอร์มีแนวโน้มเพิ่มสูงขึ้น

Ransomware

ยังคงเป็นภัยคุกคามรูปแบบมัลแวร์อันดับหนึ่ง ซึ่งแนวโน้มนี้คาดว่าจะยังคงไม่เปลี่ยนแปลงไปในอนาคตอันใกล้นี้

The Criminal Use of Data

ต่อเนื่องจาก RANSOMWARE เพราะข้อมูลสามารถนำไปขายเพื่อหาผลกำไรได้ แต่หลังๆ มานี้การโจมตีข้อมูลเริ่มมีความซับซ้อนมากยิ่งขึ้น 

Abuse of the Dark Web

Dark Web ช่วยให้อาชญากรไซเบอร์ประกอบการกระทำที่ผิดกฏหมายได้ รวมไปถึงสินค้าผิดกฏหมายบนตลาดมืดของ Dark Web นี้ ช่วยเพิ่มโอกาสให้พวกหัวรุนแรงเหล่านั้นมากขึ้น

Social Engineering

Phishing เริ่มมีเป้าหมายไปยังพนักงานหรือเจ้าหน้าที่ระดับสูงในองค์กรมากยิ่งขึ้น โดยเฉพาะอย่างยิ่ง C-LEVEL ที่ถูกดัดแปลงโดยหลอกพนักงานว่าเป็นข้อความจากผู้บริหารระดับสูง 

Virtual Currencies

Bitcoin ยังคงเป็นสกุลเงินหลักในการชำระเงินเพื่อซื้อผลิตภัณฑ์และบริการผิดกฏหมายในโลกใต้ดิน รวมไปถึง Dark Web เนื่องจากติดตามและตรวจสอบได้ยาก 

นั้นคือประเด็นสำคัญที่องค์กรจะต้องยกระดับมาตรฐานด้านความมั่นคงปลอดภัยและเตรียมความพร้อมรับมือของทั้งองค์กรและพนักงานทั่วไปในการรับมือภัยคุกคามเหล่านี้

ประเทศไทยเป็นประเทศที่ใช้งานโปรแกรม "LINE" อันดับต้น ๆ ของโลก

ที่กรุงโตเกียว ประเทศญี่ปุ่น LINE ได้มีการประกาศเปิดตัวศูนย์ข้อมูลส่วนตัวไลน์ (LINE Privacy Center) โดยให้ความสำคัญกับการปกป้องความเป็นส่วนตัวและข้อมูลส่วนตัวสำหรับผู้ใช้งานไลน์กว่า 167 ล้านคนทั่วโลก ทำให้ผู้ใช้งานรู้สึกปลอดภัยมากยิ่งขึ้น ซึ่งไม่แน่ใจว่าศูนย์ดังกล่าวจะมีผลกระทบใด ๆ กับการใช้งาน LINE ในประเทศเราบ้างหรือไม่ 

ถ้ามีข้อมูลเพิ่มเติมทาง PROUD จะมา Update ให้ทราบเป็นระยะ ๆ ครับ

COVID-19 เปลี่ยนวิถีการทำงานของทุกองค์กรไปอย่างสิ้นเชิง 2 ใน 3 ขององค์กรทั่วโลกได้ย้ายพนักงานครึ่งหนึ่งให้ไปทำงานจากภายนอกสถานที่หรือ Work from Home

แน่นอนว่าเมื่อพนักงาน Work from Home มากขึ้น แฮ็กเกอร์ก็เริ่มเปลี่ยนไปเป็นการโจมตีพวกอุปกรณ์ตามบ้านอย่าง Router หรือระบบกล้องวงจรปิดแทน ที่สำคัญคือ เมื่ออยู่ภายนอกองค์กร มาตรการด้านความมั่นคงปลอดภัยต่างๆ ก็ลดน้อยลง ทำให้พนักงานตกอยู่ในความเสี่ยงที่จะถูกโจมตีมากขึ้น

PROUD จึงมีคำแนะนำ 5 ประการเพื่อให้พนักงานสามารถ Work from Home ได้อย่างมั่นคงปลอดภัย ดังนี้

1. ทำรหัสผ่านให้แข็งแกร่ง

ตั้งรหัสผ่านให้ยากต่อการคาดเดา และใช้รหัสผ่านที่แตกต่างกันสำหรับแต่ละบัญชี 

2. ใช้การพิสูจน์ตัวตนแบบ 2-Factor (2FA)

2FA เป็นการรวมกลไกพิสูจน์ตัวตน 2 แบบเข้าด้วยกัน คือ สิ่งที่คุณรู้ เช่น รหัสผ่าน และสิ่งที่คุณมี เช่น ลายนิ้วมือหรือ Security Token เพื่อเพิ่มเกราะป้องกันเมื่อต้องล็อกอินระบบขององค์กรจากที่บ้านไปอีกขั้น

3. แพตช์อุปกรณ์ที่บ้าน

อัปเดตแพตช์เวอร์ชันล่าสุดให้กับทุกอุปกรณ์ในบ้าน รวมไปถึงซอฟต์แวร์ต่างๆ ที่ใช้งานบนเครื่องของตนเองด้วย

4. เพิ่มความมั่นคงปลอดภัยให้แก่อุปกรณ์

โซลูชัน Advanced Endpoint Security แบบใหม่ หรือรู้จักกันในนาม Endpoint Detection and Response (EDR) นอกจากจะตรวจจับภัยคุกคามได้ดียิ่งขึ้น จึงควรใช้งานทั้งบนอุปกรณ์ของพนักงานและอุปกรณ์อื่นๆ ในบ้าน

5. รักษาความมั่นคงปลอดภัยให้เครือข่ายที่บ้าน

ควรเพิ่มหรืออัปเกรดแอปพลิเคชันด้านความมั่นคงปลอดภัยเพื่อป้องกันระบบเครือข่ายและอุปกรณ์ที่บ้านจากการโจมตีไซเบอร์ Router ส่วนใหญ่ในปัจจุบันมักมีฟีเจอร์ Gateway Security ดังนั้นแนะนำให้เปิดใช้งานตลอดเวลา 

ตั้งแต่ที่องค์การอนามัยโลก (WHO) ได้ออกมาประกาศยกระดับการแพร่ระบาดของ COVID-19 ให้เป็นภาวะการระบาดใหญ่ทั่วโลกเมื่อเดือนมีนาคม 2563

ทั้งนี้ อาชญากรไซเบอร์ได้วางแผนการโจมตีมาเป็นอย่างดีและพร้อมสับเปลี่ยนกลวิธีในการหลอกล่อเหยื่ออยู่ตลอดเวลา โดยอาศัยสถานการณ์นี้ใช้สแปมที่เกี่ยวกับ COVID-19 ในการขอเปิดโปรแกรมสินเชื่อเพื่อช่วยเหลือธุรกิจขนาดเล็กหรือขอเงินเยียวยา โดยต้องกรอกข้อมูลส่วนบุคคลเข้าไป ทำให้เกิดข้อมูลรั่วไหลได้อย่างง่ายดาย

วิธีการสังเกตและปกป้องตนเองจากสแปม

• เลือกใช้แหล่งข้อมูลที่เชื่อถือได้ โดยเมื่อต้องการหาข้อมูล ควรเข้าไปที่เว็บไซต์ขององค์กรนั้นๆ โดยตรง แทนการคลิกที่ลิงก์ที่พาไปยังเว็บไซต์เหล่านั้น
• อย่าเปิดเอกสารแนบที่ไม่รู้ที่มาที่ไป หรือเอกสารแนบที่ส่งมาจากแหล่งที่ไม่รู้จัก
• ระมัดระวังสแกมที่เกี่ยวข้องกับ COVID-19 อยู่เสมอ อย่าเปิดดูอีเมลหรือข้อความที่ไม่รู้ที่มาที่ไป  ซึ่งโดยทั่วไปอีเมลเหล่านี้จะพยายามให้เราแชร์ข้อมูลส่วนบุคคล โดยใช้หน้าลงชื่อเข้าสู่ระบบปลอมเพื่อขโมยข้อมูลประจำตัวของบัญชี หรือหลอกล่อให้เปิดเอกสารแนบที่ประสงค์ร้าย
• ใช้การยืนยันตัวตนแบบหลายขั้นตอน (Multifactor Authentication) เช่น การตั้งค่ายืนยันตัวตนแบบหลายปัจจัยของบัญชีธนาคาร จะทำให้อาชญากรไซเบอร์ไม่สามารถเข้าสู่ระบบได้หากไม่มีการยืนยันตัวตนโดยตรงจากเจ้าของบัญชี

หลายท่านน่าจะรู้จักมาตรฐานด้านความมั่นคงปลอดภัยด้าน Cloud Computing ที่ชื่อว่า CSA STAR อยู่แล้ว

ช่วงนี้หลาย ๆ ท่าน ทำงานแบบ WFH คงได้รับ e-mail แปลก ๆ กันบ้างใช่ไหม? ระวังอาจจะเป็น Phishing e-mail 

PROUD ได้สรุปข้อสังเกตเบื้องต้นในการตรวจสอบว่าเป็น Phishing e-mail หรือไม่ มาดังนี้

ระวังอีเมลที่ไม่รู้ว่าส่งจากใครกันแน่

ควรสังเกตอีเมลของผู้ส่งทุกครั้ง หากต้องติดต่อกับองค์กรอื่น ควรเป็นอีเมลที่ใช้ @ แล้วตามด้วยชื่อขององค์กรนั้น ๆ

หากเป็นอีเมลที่ไม่คุ้นเคย ห้ามเปิดโดยเด็ดขาด หรือถึงแม้คล้าย ๆ จะเป็นอีเมลองค์กรก็ควรเช็คให้ดีว่าสะกดชื่อองค์กรถูกหรือไม่ เพราะคุณอาจจะถูกหลอกได้

ให้กรอกข้อมูลส่วนตัว

อีเมลที่มีให้กรอกรายละเอียดส่วนตัว เช่น ชื่อ นามสกุล รหัส Username หรือ Password ต่าง ๆ อาจล่อลวงด้วยของรางวัลพิเศษ

หรือชิงโชครางวัลใหญ่ ๆ

หัวข้อหรือเนื้อหาสะกดคำผิด ๆ ถูก ๆ

แฮกเกอร์ส่วนใหญ่ไม่ได้ให้ความสำคัญกับการสะกดคำให้ถูกต้อง อาจมีการใช้รูปคำ หรือประโยคที่ผิดหลักไวยกรณ์ของเจ้าของภาษา

ลิงก์ที่แนบมาไม่ตรงกับที่อยู่จริง

สามารถตรวจสอบง่าย ๆ เพียงเอาเม้าส์ไปชี้ที่ลิงก์นั้น ซึ่งมีที่อยู่ไม่ตรงกับลิงก์ที่ส่งมา อาจเป็นลิงก์ที่หลอกลวงไปยัง URL อีกหน้าก็เป็นได้

ไฟล์แนบชื่อแปลก ๆ ต้องเอะใจไว้ก่อน

สังเกตไฟล์ที่แนบมาอาจตั้งด้วยชื่อแปลก หรือยาวเกินจริง ซึ่งไฟล์ดังกล่าวอาจแฝงมัลแวร์ และเป็นอันตรายต่อเครื่องของพิวเตอร์เมื่อคุณแค่เปิดหรือดาวน์โหลดไฟล์นั้น

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้รับไว้วางใจจากบริษัท ที ดับเบิ้ลยู โซลูชั่น จำกัด ในเครือบริษัท ที่ไอ.แอล.เอส. จำกัด

ในการให้ปรึกษา ISO/IEC 27001:2013 จนได้การรับรองมาตรฐานสำเร็จในช่วงต้นปี 2564 ที่ผ่านมาก ซึ่งมาตรฐานดังกล่าวเป็นพื้นฐานทาง IT ด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศและเป็นมาตรฐานที่สามารถต่อยอดไปสู่ IT Standards อื่น ๆ ได้อีกมากมาย เช่น ISO 27701, CSA STAR แสดงถึงวิสัยทัศน์ของผู้บริหารองค์กรที่ให้ความสำคัญทางด้าน IT ซึ่งเป็นหน่วยงานสนับสนุนกระบวนการต่าง ๆ ภายในองค์กร

การสูญหายของข้อมูล การเปลี่ยนแปลงแก้ไขอันมีผลให้ข้อมูลผิดเพี้ยนไปจากต้นฉบับ หรือ แม้แต่การละเมิด/เผยแพร่โดยไม่ได้รับอนุญาต 

 ล้วนแล้วแต่เป็นสิ่งที่ส่งผลกระทบกับธุรกิจขององค์กร รวมไปถึงชื่อเสียง และความน่าเชื่อถือ ทำให้หลายๆ องค์กร เริ่มให้ความสำคัญกับเรื่อง Data Protection มากขึ้น

การป้องกันข้อมูลนั้นนอกจากจะต้องทำการป้องกันข้อมูลต่าง ๆ ขององค์กรเองแล้ว สำหรับบางธุรกิจอาจครอบคลุมไปถึงข้อมูลของลูกค้าด้วย เช่น ข้อมูลประวัติคนไข้ที่ทางโรงพยาบาลจัดเก็บ, ประวัติการซื้อขายหลักทรัพย์, ข้อมูลประเภท Personnel Information Identification เป็นต้น

การป้องกันข้อมูลมีขอบเขตแค่ไหน

นโยบายที่ดีควรจะครอบคลุมไปถึงในส่วนของการจัดระเบียบของข้อมูล และการใช้งาน ส่วนนี้เป็นส่วนที่หลายๆ องค์กรยังไม่ได้ลงในรายละเอียดนัก แต่ควรที่จะต้องเริ่มคิดวางแผนในการจัดระเบียบตั้งแต่วันนี้ เพราะยิ่งปล่อยให้เวลาผ่านไปจะทำให้ยาก และซับซ้อนขึ้น

การป้องกัน และกำกับดูแล

การป้องกันและกำกับดูแลนั้นเริ่มจากการจัดระเบียบของข้อมูล สิ่งแรกที่จะต้องรู้ คือองค์กรจะใช้ประโยชน์อะไรจากข้อมูลแต่ละประเภทบ้าง ซึ่งจะทำให้เราสามารถทราบถึงวัตถุประสงค์ขององค์กรในการใช้ข้อมูลต่าง ๆ ทำให้ทราบความสำคัญ/Value ของข้อมูลแต่ละประเภท สิ่งที่ต้องทำประกอบกันไป คือ Data Classification หรืออย่างน้อยควรมีการคัดแยกข้อมูลออกเป็นกลุ่มเพื่อให้ทราบว่าควรจะดูแล และจัดเก็บอย่างไรให้เหมาะสม เมื่อข้อมูลถูกจำแนกออกเป็นกลุ่มที่ชัดเจนจะทำให้การกำกับดูแลทำได้ง่ายขึ้น งบประมาณก็จะถูกจัดสรรอย่างเหมาะสม

นอกจากการกำหนดนโยบายสำหรับการป้องกันการรั่วไหลข้อมูลแล้ว สิ่งที่ต้องคำนึงถึงอีกอย่างหนึ่งก็คือการรักษาความปลอดภัยของเครื่องที่ใช้ในการ Process หรือการเข้าถึงข้อมูล ในส่วนนี้เราจะต้องหลีกเลี่ยง/ป้องกัน Security Compromise ที่อาจเกิดขึ้น การทำ Patch Management, Asset Inventory, Endpoint Protection, การตรวจหาจุดอ่อนของ Server/Application (Vulnerability and Penetration Testing) สิ่งเหล่านี้จะต้องมีการทำอย่างต่อเนื่อง และอย่างสม่ำเสมอ

สุดท้ายที่จะขาดไม่ได้ คือการ Response และ Take Action ต่อเหตุการณ์ที่เกิดขึ้นให้ได้อย่างเหมาะสม และควรพึงระวังเรื่อง False Positive Incident ที่มีโอกาสที่เกิดขึ้นได้ การรวบรวมเหตุการณ์ที่เกิดขึ้นนี้ต้องอาศัย Technology- People- Process ทั้งสามอย่างจะต้องมีความสัมพันธ์กัน ขาดสิ่งใดสิ่งหนึ่งไม่ได้ ทุกอย่างจะต้องคำนึงถึง Business Objective เป็นหลัก Security Policy จะต้องมีความสมดุล ไม่เกิดความขัดแย้งในหลักการ

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้รับไว้วางใจจากบริษัท ที ดับเบิ้ลยู โซลูชั่น จำกัด

ดำเนินการจัดฝึกอบรม ISMS Internal Audit Training เมื่อวันที่ 2 พฤศจิกายน 2563 เพื่อเตรียมความพร้อมเข้าสู่กระบวนการตรวจรับรองมาตรฐาน ISO/IEC 27001:2013 ในอนาคตต่อไป

มัลแวร์เรียกค่าไถ่ Maze เป็นมัลแวร์เรียกค่าไถ่ซึ่งอยู่ในกลุ่มของมัลแวร์ค่าไถ่ซึ่งนอกจากจะมีจุดประสงค์ในการแพร่กระจายเพื่อเข้ารหัสข้อมูลของระบบเป้าหมายแล้ว

มัลแวร์เรียกค่าไถ่ในกลุ่มนี้จะพุ่งเป้าไปที่การเข้าถึงและขโมยข้อมูลของเป้าหมายออกมา เพื่อสร้างเงื่อนไขของการขู่กรรโชกและเรียกค่าไถ่เพิ่มเติมด้ว