ปลุกพลังไฟร์วอลล์ของคุณอีกครั้ง เพื่อปัดเป่าภัยร้ายแรนซั่มแวร์ให้สิ้น

ปลุกพลังไฟร์วอลล์ของคุณอีกครั้ง เพื่อปัดเป่าภัยร้ายแรนซั่มแวร์ให้สิ้น แนวทางปฏิบัติจาก Sophos เพื่อป้องกันภัยร้ายให้แก่องค์กร

ผู้แต่ง : คุณวานา ทัน, วิศวกรด้านโซลูชั่นระดับโกลบอล จาก Sophos



จากที่ภัยคุกคามบนโลกไซเบอร์ได้วิวัฒนาการตัวเองขึ้นมาอย่างรวดเร็ว คุณก็จำเป็นต้องยกระดับไฟล์วอลล์ที่มีอยู่ให้ทันกับอันตรายพวกนี้ด้วย

ในปัจจุบัน แม้แต่องค์กรที่ขึ้นชื่อเรื่องความเข้มงวดกวดขันด้านความปลอดภัยมากที่สุด ก็ยังมีรอยต่อระหว่างช่วงการค้นพบช่องโหว่ ไปจนถึงการติดตั้งแพทช์อยู่ดี ซึ่งสามารถกลายเป็นความเสี่ยงที่สำคัญของบริษัทได้ นี่จึงเป็นเหตุผลที่ไฟร์วอลล์แบบ Next-Gen มีความจำเป็นอย่างยิ่งในการเป็นแนวหน้าปกป้ององค์กรจากอันตรายขั้นสูงทั้งหลายที่รุมล้อม

ในไฟร์วอลล์แบบ Next-Generation ทุกตัว จะมีองค์ประกอบสำคัญด้านความปลอดภัยที่รู้จักกันในชื่อ ระบบป้องกันการบุกรุกหรือ IPS ซึ่งจะคอยตรวจสอบข้อมูลในแพ็กเก็ตที่พบบนทราฟิกเครือข่ายแบบเชิงลึก เพื่อค้นหาและปิดกั้นการใช้ประโยชน์จากช่องโหว่ก่อนที่จะวิ่งไปถึงเครื่องเหยื่อเป้าหมาย นอกจากนี้ ไฟร์วอลล์ Next-Gen ยังมีลำดับชั้นความปลอดภัยที่สำคัญในชื่อเทคโนโลยีแซนด์บ็อกซ์ที่ทำงานผ่านคลาวด์ โดยสามารถตรวจจับไฟล์เอกสารที่ถูกติดอาวุธร้ายแม้จะอยู่ในรูปไฟล์ที่ใช้งานทั่วไปอย่าง Microsoft Office และ PDF มีการระบุค้นหาไฟล์ต้องสงสัยตั้งแต่ที่เกตเวย์ และมัดแพ็คไว้อย่างดีก่อนส่งโยนเข้าไปขังในแซนด์บ็อกซ์บนคลาวด์เพื่อตัดแขนตัดขาให้สิ้นฤทธิ์ พร้อมเฝ้าสังเกตพฤติกรรมในระยะยาวต่อไป

อย่างไรก็ดี พึงระลึกไว้ว่า ทั้งฟีเจอร์ IPS และ Sandbox นี้จะได้ผลก็ต่อเมื่อใช้ตรวจจับทราฟฟิกที่วิ่งผ่านเข้าออกจากไฟร์วอลล์เท่านั้น จึงควรอย่างยิ่งที่ต้องยึดแนวทางการปฏิบัติที่ดีที่สุดเพื่อความปลอดภัยเหล่านี้เพื่อให้แน่ใจว่าระบบในองค์กรสามารถรับมือกับการโจมตีที่มีการแพร่กระจายเหมือนเวิร์มบนเครือข่ายได้

แนวทางการปฏิบัติที่แนะนำ:
•   ทำให้แน่ใจว่า คุณได้รับการปกป้องที่เหมาะสม โดยเฉพาะการมีโซลูชั่นแซนด์บ็อกซ์ และเอนจิ้น IPS บนไฟร์วอลล์แบบ Next-Generation แบบประสิทธิภาพสูง

•   ตรวจสอบเครือข่ายทั้งหมดอย่างละเอียด และปิดกั้นพอร์ตที่เปิดไว้โดยไม่จำเป็นไม่ให้สามารถเข้าถึงได้จากภายนอก เนื่องจากพอร์ตที่เปิดค้างไว้เหล่านี้อ่อนไหวต่อการโดนโจมตีเป็นอย่างมาก รวมทั้งถือเป็นช่องทางในการแพร่กระจายเวิร์มเข้ามาในระบบได้เป็นอย่างดี ดังนั้น ถ้าเป็นไปได้แนะนำให้ใช้วีพีเอ็นในการเข้ารหัสการเชื่อมต่อจากภายนอกเข้ามาใช้ทรัพยากรในเครือข่ายภายใน

•   รักษาความปลอดภัยให้กับทราฟิกทั้งขาเข้าและขาออกด้วยการตั้งโปรไฟล์ IPS ที่เหมาะสม

•   บังคับใช้ฟีเจอร์แซนด์บ็อกซ์กับทราฟิกทั้งบนเว็บและอีเมล์ เพื่อให้มั่นในว่า ทุกไฟล์ที่น่าสงสัยที่เข้ามาผ่านการดาวน์โหลดบนเว็บ หรือผ่านไฟล์แนบบนอีเมล์นี้จะถูกวิเคราะห์หาพฤติกรรมที่เป็นอันตรายก่อนถูกปล่อยเข้าสู่เครือข่ายของคุณ

•   จำกัดความเสี่ยงในการแพร่กระจายไวรัสภายในเครือข่าย ด้วยการแบ่งส่วนเครือข่ายภายในหรือ LAN ให้เป็นเครือข่ายย่อยๆ จะจำกัดโซนแยกต่างหาก หรือใช้การแบ่งเครือข่ายภายในแบบเวอร์ช่วลหรือ VLAN ที่สามารถรับการปกป้องและเชื่อมต่อกับเครือข่ายย่อยอื่นที่ไฟร์วอลล์ได้ นอกจากนี้ ควรบังคับใช้โพลิซี IPS ที่เหมาะสมเพื่อควบคุมทราฟิกที่วิ่งอยู่ภายในแลน เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่, เวิร์ม, และบอทต่างๆ ไม่ให้วิ่งข้ามส่วนเครือข่ายย่อยภายในแลนไปมาได้ดังใจ

•   ใช้โซลูชั่นที่จำกัดส่วนของระบบที่ติดเชื้อแยกต่างหากโดยอัตโนมัติ ซึ่งเมื่อเกิดการติดเชื้อนั้น จำเป็นอย่างยิ่งที่โซลูชั่นความปลอดภัยของคุณจะต้องตรวจพบระบบที่โดนเล่นงานแล้วอย่างรวดเร็ว พร้อมทั้งจำกัดบริเวณแยกระบบดังกล่าวต่างหากออกมาจนกว่าจะกวาดล้างสำเร็จ ไม่ว่าจะกำจัดด้วยกลไกอัตโนมัติหรือลงมือเองแบบแมนน่วลก็ตาม

ทั้งนี้ แรนซั่มแวร์, บอทเน็ต, และการโจมตีขั้นสูงอื่นๆ ล้วนมีความสามารถในการแพร่กระจายตัวเองไปทั่วทั้งโครงสร้างพื้นฐานไอทีในองค์กรได้อย่างรวดเร็ว จึงสำคัญเป็นอย่างมากที่ทั้งไฟร์วอลล์และเอนด์พอยต์จะต้องสื่อสารและแบ่งปันข้อมูลที่เป็นประโยชน์เกี่ยวกับพฤติกรรมที่เป็นอันตรายหรือต้องสงสัยอย่างทันท่วงที

แม้การประสานงานดังกล่าวจะเป็นไปไม่ได้ในอดีต แต่ปัจจุบัน ด้วยกลไกที่เรียกว่า Sophos Synchronised Security ทำให้ทั้งเอนด์พอยต์และเครือข่ายสามารถประสานการทำงานร่วมเป็นหนึ่งเดียวด้วยการสื่อสารข้อมูลที่จำเป็นแบบเรียลไทม์ได้ ทำให้องค์กรสามารถป้องกัน, ตรวจจับ, สืบสวน, และฟื้นฟูหลังเกิดอันตรายได้โดยที่เกิดความเสียหายแก่ระบบน้อยที่สุด และเปลืองแรงน้อยที่สุดเช่นกัน ซึ่งในอดีต กระบวนการทั้งหมดตั้งแต่การค้นพบไปจนถึงการจัดการตอบสนองนั้นมักใช้เวลาเป็นสัปดาห์หรือหลายเดือน แต่ทุกวันนี้ได้ร่นเวลาลงเหลือเพียงแค่ไม่กี่วินาทีด้วยฟีเจอร์ความปลอดภัยแบบซิงโครไนซ์

สำหรับองค์กรต่างๆ ที่ไม่ได้มีทีมงานด้านความปลอดภัยแบบครบวงจรระดับมืออาชีพเป็นของตนเอง การเลือกใช้โซลูชั่นความปลอดภัยแบบซิงโครไนซ์ก็สามารถช่วยยกระดับประสิทธิภาพในการทำงานได้ พร้อมกับยกระดับการประสานงานด้านงานปฏิบัติการ และการจัดการความปลอดภัยอย่างต่อเนื่องไม่มีสะดุด ทำให้ได้การปกป้องและความสามารถในการจัดการที่ดีกว่าเดิม ให้ทุกองค์กรไม่ว่าขนาดเล็กหรือใหญ่ได้รับการปกป้องจากอันตรายที่ซับซ้อนและผ่านการเตรียมการมาอย่างดีได้เสมอ

Reignite your firewall to block ransomware
Wana Tun

As cyberthreats continue to evolve rapidly, it is important for firewalls to be upgraded to protect against these threats.



Today, even in the most diligent organisations, there is usually a gap between the discovery of a vulnerability and the patching deployed, which can put the company at risk of a security lapse. This is why a next-generation firewall is essential to provide enterprises with a strong first line of defence against advanced threats.

In all next-generation firewalls, there is a critical security component known as Intrusion Prevention System (IPS), which performs deep packet inspection of network traffic to identify and block exploits before they reach a target host. In addition, a next-generation firewall also includes an essential security layer known as cloud-based sandboxing technology, which detects weaponised documents that lurk in common files like Microsoft Office documents and PDFs. It identifies suspicious files at the gateway and sends them to a safe sandboxing infrastructure in the cloud to detonate active content and monitor the behaviour over time.

Having said this, it is important to keep in mind that IPS and sandboxing are only effective against traffic that is moving across the firewall. Hence, there are some best practices to pursue in order to prevent the spread of worm-like attacks on the network.

Recommended best practices:
•   Ensure you have the right protection, including a modern, high-performance next-generation firewall IPS engine and sandboxing solution

•   Do thoroughly review the network and eliminate non-essential open ports accessible from outside, as open service ports are susceptible to attack, and a potential avenue for spreading worms.
Therefore, where possible, it is recommended to use VPN to access resources on the internal network from outside

•   Secure both ingress and egress traffic with appropriate IPS profile

•   Apply sandboxing to web and email traffic to ensure all suspicious files coming through web downloads and email attachments are being analysed for malicious behaviour before they get into your network

•   Minimise the risk of lateral movement within the network by segmenting local area networks (LANs) into smaller, isolated zones or virtual local area networks (VLANs) that are secured and connected together by the firewall. Also, apply suitable IPS policies to the rules governing the traffic across the LAN to prevent exploits, worms and bots from spreading between LAN segments.

•   Automatically isolate infected systems. When an infection hits, it is vital that your security solution quickly identifies compromised systems and isolate them until they can be cleaned up, either automatically or through manual intervention.

As ransomware, botnets, and other advanced attacks are capable of spreading through the entire IT infrastructure, it is crucial for the firewall and the endpoint to communicate and share meaningful information about suspicious and confirmed bad behaviour.

Although this was not possible in the past, today, through the Sophos Synchronised Security approach, the endpoint and network can act as one integrated system to communicate information in real-time. This means enterprises can prevent, detect, investigate and remediate threats easily with minimal effort. In the past, this type of discovery and incident response would usually take weeks or months but is now reduced to seconds with synchronised security.

For organisations that do not have the luxury of extensive in-house security teams, the synchronised security approach can help bolster productivity while streamlining security operations and IT security management. As it delivers better protection and manageability, organisations of any size can also stay ahead of coordinated and sophisticated attacks.

Wana Tun is Global Solution Engineer, Sophos