เครือข่ายคุณพร้อมรับมือกับ‘บอตเน็ต’แล้วหรือยัง?

“บอตเน็ต” นอกจากจะเป็นทูลอันตรายยอดนิยมในตลาดมืดติดต่อกันมาหลายปีแล้ว ยังเป็นภัยที่ถือว่าประสบความสำเร็จอย่างมากในปัจจุบันด้วย จากความสามารถในการสร้างเครือข่ายคลาวด์อันทรงพลังสำหรับให้แฮกเกอร์ใช้เป็นเครื่องมือกระจายมัลแวร์หรือสแปมได้เป็นอย่างดี

ลักษณะที่เหมือนกับมัลแวร์ประเภทอื่นคือ บอตเน็ตมักกระจายตัวเองไปยังเครือข่ายคอมพิวเตอร์อื่นๆผ่านไฟล์แนบในอี-เมล์,เว็บไซต์, และธัมบ์ไดรฟ์ เมื่อผู้ใช้เข้าถึงไฟล์เหล่านี้ หรือเยี่ยมชมเว็บไซต์อันตรายมัลแวร์ที่ส่งมาจากบอตเน็ตก็จะเริ่มแพร่กระจาย และเจาะระบบเข้าเหยื่อผ่านช่องโหว่ต่างๆ

จากงานวิจัยเมื่อเร็วๆ นี้ ของ SophosLabs นี้เกี่ยวกับสแปมที่เกิดขึ้นทั่วโลกนั้นพบปริมาณของการสแปมทั่วโลกลดลงกว่าครึ่งในช่วงก่อนคริสต์มาส และยังคงรักษาระดับปริมาณการโจมตีเท่าเดิมมาเรื่อยๆ ทั้งนี้เชื่อว่าเป็นเพราะบอตเน็ตที่เคยโด่งดังอย่าง Necrus กำลังซุ่มเงียบอยู่

อย่างไรก็ดี การหลอกลวงด้วยรูปแบบเดิมๆ กลับเพิ่มจำนวนขึ้นมากอย่างผิดหูผิดตาตั้งแต่เดือนที่แล้ว อีกทั้งยังมีอัตราการโจมตีสำเร็จสูงจนน่าตกใจอย่างครั้งล่าสุดเกี่ยวข้องกับข่าวลือเรื่องหุ้นว่า หุ้น Incapta ซึ่งเป็นบริษัทโฮลดิ้งธุรกิจเกี่ยวกับสื่อนั้นกำลังจะพุ่งสูงขึ้น เพื่อหลอกล่อให้คนส่วนใหญ่กลายเป็นแมลงเม่าเข้าซื้อหุ้นให้ราคาพลุ่งพล่านเพื่อรอเวลาเจ้ามือเทขายทำกำไร

• การหลอกเม่าผ่านบอตเน็ตมีกลไกอย่างไร?
แฮกเกอร์แค่เลือกหุ้นถูกๆไร้คนให้ความสนใจ เอามาตีแผ่ด้วยเรื่องลวงชวนเชื่อ เช่น บริษัทนี้กำลังจะโดนยักษ์ใหญ่กว้านซื้อด้วยมูลค่ามหาศาล จากนั้นตัวแฮ็กเกอร์ก็ประเดิมซื้อหุ้นเครื่องมือดังกล่าวเพื่อให้ราคาหุ้นสูงขึ้นจริง จากนั้นจึงถึงตาบอตเน็ตวายร้ายในการเผยแพร่ข่าวลวงชวนเม่าบินเข้ากองไฟถล่มนักซื้อหุ้นบริษัทดังกล่าว แน่นอนว่ายิ่งหุ้นทะยานขึ้นด้วยความรวดเร็วมากเท่าไร เม่าอื่นๆ จำนวนมหาศาลก็ยิ่งบินว่อนกรูกันตามเข้าไป

• ผลกระทบของบอตเน็ต
บอตเน็ตสามารถสร้างหายนะขนาดใหญ่แก่หลายองค์กรได้ โดยเฉพาะถ้าเป้าหมายของคนใช้บอตเน็ตคือการขโมยข้อมูลที่อ่อนไหว หรือกรณีที่บอตเน็ตที่ระบาดเข้ามายังเครือข่ายของบริษัทไม่ได้จ้องเอาข้อมูลภายในก็อาจเป็นการเข้ามาส้องสุมกำลังพลเพื่อโจมตีองค์กรอื่นๆ แทนก็เป็นได้ ทำให้เครือข่ายของคุณกลายเป็นเครื่องมือแพร่กระจายมัลแวร์ให้ชาวบ้านแทน

เมื่อบอตเน็ตสามารถลงหลักปักฐานในองค์กรของคุณได้แล้ว บอตเน็ตก็มักจะติดต่อกับศูนย์บัญชาการหรือเซิรฟ์ เวอร์สั่งการ (C&C) ของแฮกเกอร์ เพื่อรายงานความสำเร็จของภารกิจและรอคำสั่งต่อไป ซึ่งอาจจะเป็นการกบดานที่ค่อนข้างยาวนานเพื่อให้เหยื่อตายใจ หรือให้ค่อยๆคืบคลานไปติดเชื้ออุปกรณ์ต่างๆบนเครือข่ายอย่างเงียบๆ หรือแม้แต่เข้าร่วมกองทัพเพื่อโจมตีเหยื่อภายนอกครั้งใหญ่ ซึ่งพฤติกรรมการติดต่อคุณแม่แบบคิดถึงบ้านนี้ถือเป็นลักษณะเด่นอย่างยิ่งที่เราใช้ตรวจจับว่าคุณโดนบอตเน็ตเข้ามาสิงในระบบแล้วหรือไม่ แต่ประเด็นคือ คุณต้องใช้เทคโนโลยีที่จำเพาะจริงๆถึงจะตรวจสอบได้อย่างมีประสิทธิภาพ

อุปสรรคชิ้นใหญ่คือนอกจากพฤติกรรมการติดต่อบ้านเกิดแล้ว การตรวจสอบลักษณะอย่างอื่นของบอตเน็ตค่อนข้างยากมากถึงมากที่สุด ซึ่งกรณีส่วนใหญ่แล้ว อุปกรณ์ที่ติดเชื้อมักจะยังทำงานได้อย่างปกติ หรืออย่างมากก็แค่รู้สึกเครื่องอืดๆ ลง ทำให้ผู้ใช้แทบไม่สังเกตหรือสงสัยว่าจะเป็นผลมาจากบอตเน็ต

ทั้งหมดนี้จึงเป็นสาเหตุสำคัญที่เราต้องใช้ไฟร์วอลล์แบบ Next-Gen เพื่อเป็นด่านแรกไม่ให้บอตเน็ตเข้ามายังเครือข่าย

• แนวทางปฏิบัติที่ดีที่สุดเพื่อป้องกันตนเองจากบอตเน็ต
การป้องกันอันตรายขั้นสูงหรือ ATP: ที่สามารถตรวจจับบอตเน็ตที่กำลังรันอยู่บนเครือข่ายของคุณได้ ทำให้แน่ใจได้ว่าไฟร์วอลล์ของคุณสามารถตรวจจับทราฟฟิกที่อันตราย, หรือพฤติกรรมของบอตเน็ต โดยเฉพาะการตรวจจับทราฟฟิกการติดต่อเซิร์ฟเวอร์สั่งการหรือC&C ซึ่งไฟร์วอลล์นี้ควรใช้วิธีป้องกันหลายระดับเพื่อตรวจจับทราฟฟิกติดต่อแฮกเกอร์ดังกล่าวและต้องตรวจพบภายในเวลาอันรวดเร็วที่ไม่ใช่แค่โฮสต์ที่ติดเชื้อเท่านั้น แต่ยังต้องตรวจจับผู้ใช้และโฟรเซสที่เกี่ยวข้องด้วย ถ้าเป็นไปได้แล้ว ระบบป้องกันนี้ก็ควรปิดกั้นหรือจำกัดบริเวณของระบบที่ติดเชื้อจนกว่าจะดำเนินการแก้ไขได้

ระบบป้องกันการบุกรุก (IPS): ที่สามารถตรวจจับความพยายามของแฮกเกอร์ในการบุกรุกเข้ามายังทรัพยากรบนเครือข่าย ให้แน่ใจว่าไฟร์วอลล์ของคุณมีระบบ IPS แบบ Next-Gen ที่สามารถตรวจจับรูปแบบพฤติกรรมการโจมตีขั้นสูงบนทราฟฟิกของเครือข่ายคุณ โดยเฉพาะความพยายามในการแฮกระบบ และการเคลื่อนไหวของฮาร์ดแวร์บนแต่ละส่วนของเครือข่าย นอกจากนี้ยังควรปิดกั้นช่วงเลขไอพีทั้งหมดในเขตภูมิศาสตร์ของโลกที่คุณไม่ได้ดีลธุรกิจร่วมด้วย เพื่อลดความเสี่ยงในการโดนโจมตี

การทำแซนด์บ็อกซ์: เป็นฟีเจอร์ที่สามารถตรวจจับการบุกรุกของมัลแวร์ตัวล่าสุดได้ก่อนที่จะเข้าถึงคอมพิวเตอร์ของคุณตรวจสอบให้แน่ใจว่าไฟร์วอลล์ของคุณมีฟีเจอร์แซนด์บ็อกซ์ขั้นสูงที่สามารถตรวจพบเว็บหรือไฟล์ในอี-เมล์ที่ต้องสงสัย และจำกัดบริเวณเข้าสู่แซนด์บ็อกซ์ที่ปลอดภัยเพื่อนำมาวิเคราะห์พฤติกรรมก่อนปล่อยเข้าสู่เครือข่ายของคุณได้

การป้องกันผ่านเว็บและอี-เมล์: ซึ่งระบบป้องกันเว็บและอี-เมล์อันตรายที่มีประสิทธิภาพจะสามารถป้องกันมัลแวร์ที่แพร่กระจายผ่านบอตเน็ต ไม่ให้เข้าสู่เครือข่ายของคุณได้เป็นด่านแรก เช็กดูว่าไฟร์วอลล์ของคุณมีระบบป้องกันเว็บแบบตรวจสอบตามพฤติกรรม ที่สามารถตรวจเช็กหรือจำลองการรันโค้ดจาวาสคริปต์ที่อยู่บนเว็บเพื่อวินิจฉัยเจตนาและพฤติกรรมก่อนปล่อยผ่านให้แสดงผลบนบราวเซอร์ได้นอกจากนี้ยังจำเป็นอย่างยิ่งที่ไฟร์วอลล์ หรือโซลูชันคัดกรองอี-เมล์ ควรมีเทคโนโลยีแอนติสแปม และแอนติไวรัสที่มีประสิทธิภาพดีเพียงพอเพื่อตรวจจับมัลแวร์ตัววล่าสุดในไฟล์แนบของอี-เมล์ได้ไฟรว์ อลล์สำหรับเว็บแอพพลิเคชันหรือ WAF:

ไฟร์วอลล์สำหรับเว็บแอพโดยเฉพาะนี้ สามารถปกป้องได้ทั้งเซิร์ฟเวอร์, อุปกรณ์, และแอพพลิเคชันทางธุรกิจของคุณจากการแฮกระบบได้ตรวจดูว่าไฟร์วอลล์ของคุณมีฟีเจอร์การป้องกันแบบ WAF สำหรับทุกระบบบนเครือข่ายของคุณที่ต้องมีการเข้าถึงจากระยะไกลผ่านอินเตอร์เน็ตไฟร์วอลล์สำหรับแอพพลิเคชันนี้จะให้ฟีเจอร์อย่าง Reverse Proxy, การยืนยันตนแบบ Offload, และยกระดับการป้องกันระบบจากการแฮกของอาชญากรได้

จากหนังสือพิมพ์ฐานเศรษฐกิจ ปีที่ 37 ฉบับที่ 3,273 วันที่ 25 - 28 มิถุนายน พ.ศ. 2560