กรุงเทพฯ--19 มิ.ย.--Sophos
บทความโดย: Sumit Bansal ผู้อำนวยการประจำภูมิภาคอาเซียนและเกาหลีของ Sophos
"บอทเน็ต" นอกจากจะเป็นทูลอันตรายยอดนิยมในตลาดมืดติดต่อกันมาหลายปีแล้ว ยังเป็นภัยที่ถือว่าประสบความสำเร็จอย่างมากในปัจจุบันด้วย จากความสามารถในการสร้างเครือข่ายคลาวด์อันทรงพลังสำหรับให้แฮ็กเกอร์ใช้เป็นเครื่องมือกระจายมัลแวร์หรือสแปมได้เป็นอย่างดี
ลักษณะที่เหมือนกับมัลแวร์ประเภทอื่นคือ บอทเน็ตมักกระจายตัวเองไปยังเครือข่ายคอมพิวเตอร์อื่นๆ ผ่านไฟล์แนบในอีเมล์, เว็บไซต์,และธัมม์ไดรฟ์ เมื่อผู้ใช้เข้าถึงไฟล์เหล่านี้ หรือเยี่ยมชมเว็บไซต์อันตราย มัลแวร์ที่ส่งมาจากบอทเน็ตก็จะเริ่มแพร่กระจาย และเจาะเข้าระบบเข้าเหยื่อผ่านช่องโหว่ต่างๆ
จากงานวิจัยเมื่อเร็วๆ ของ SophosLabs นี้เกี่ยวกับสแปมที่เกิดขึ้นทั่วโลกนั้น พบปริมาณของการสแปมทั่วโลกลดลงกว่าครึ่งในช่วงก่อนคริสต์มาส และยังคงรักษาระดับปริมาณการโจมตีเท่าเดิมมาเรื่อยๆ ทั้งนี้เชื่อว่าเป็นเพราะบอทเน็ตที่เคยโด่งดังอย่าง Necrusกำลังซุ่มเงียบอยู่
อย่างไรก็ดี การหลอกลวงด้วยรูปแบบเดิมๆ กลับเพิ่มจำนวนขึ้นมากอย่างผิดหูผิดตาตั้งแต่เดือนที่แล้ว อีกทั้งยังมีอัตราการโจมตีสำเร็จสูงจนน่าตกใจ อย่างครั้งล่าสุดเกี่ยวข้องกับข่าวลือเรื่องหุ้นว่า หุ้น Incapta ซึ่งเป็นบริษัทโฮลดิ้งธุรกิจเกี่ยวกับสื่อนั้นกำลังจะพุ่งสูงขึ้น เพื่อหลอกล่อให้คนส่วนใหญ่กลายเป็นแมงเม่าเข้าซื้อหุ้นให้ราคาพุ่งพล่านเพื่อรอเวลาเจ้ามือเทขายทำกำไร
การหลอกเม่าผ่านบอทเน็ตมีกลไกอย่างไร?
แฮ็กเกอร์แค่เลือกหุ้นถูกๆ ไร้คนให้ความสนใจ เอามาตีแผ่ด้วยเรื่องลวงชวนเชื่อ เช่น บริษัทนี้กำลังจะโดนยักษ์ใหญ่กว้านซื้อด้วยมูลค่ามหาศาล จากนั้นตัวแฮ็กเกอร์ก็ประเดิมซื้อหุ้นเครื่องมือดังกล่าวเพื่อให้ราคาหุ้นสูงขึ้นจริง จากนั้นจึงถึงตาบอทเน็ตวายร้ายในการเผยแพร่ข่าวลวงชวนเม่าบินเข้ากองไฟ ถล่มกันซื้อหุ้นบริษัทดังกล่าว แน่นอนว่ายิ่งหุ้นทะยานขึ้นด้วยความรวดเร็วมากเท่าไร เม่าอื่นๆ จำนวนมหาศาลก็ยิ่งบินว่อนกรูกันตามเข้าไป
ผลกระทบของบอทเน็ต
บอทเน็ตสามารถสร้างหายนะขนาดใหญ่แก่หลายองค์กรได้ โดยเฉพาะถ้าเป้าหมายของคนใช้บอทเน็ตคือการขโมยข้อมูลที่อ่อนไหว หรือกรณีที่บอทเน็ตที่ระบาดเข้ามายังเครือข่ายของบริษัทไม่ได้จ้องเอาข้อมูลภายใน ก็อาจเป็นการเข้ามาส่องสุมกำลังพลเพื่อโจมตีองค์กรอื่นๆ แทนก็เป็นได้ ทำให้เครือข่ายของคุณกลายเป็นเครื่องมือแพร่กระจายมัลแวร์ให้ชาวบ้านแทน
เมื่อบอทเน็ตสามารถลงหลักปักฐานใยองค์กรของคุณได้แล้ว บอทเน็ตก็มักจะติดต่อกับศูนย์บัญชาการหรือเซิร์ฟเวอร์สั่งการ (C&C)ของแฮ็กเกอร์ เพื่อรายงานความสำเร็จของภารกิจและรอคำสั่งต่อไป ซึ่งอาจจะเป็นการกบดานที่ค่อนข้างยาวนานเพื่อให้เหยื่อตายใจ หรือให้ค่อยๆ คืบคลานไปติดเชื้ออุปกรณ์ต่างๆ บนเครือข่ายอย่างเงียบๆ หรือแม้แต่เข้าร่วมกองทัพเพื่อโจมตีเหยื่อภายนอกครั้งใหญ่ ซึ่งพฤติกรรมการติดต่อคุณแม่แบบคิดถึงบ้านนี้ถือเป็นลักษณะเด่นอย่างยิ่งที่เราใช้ตรวจจับว่าคุณโดนบอทเน็ตเข้ามาสิงในระบบแล้วหรือไม่ แต่ประเด็นคือ คุณต้องใช้เทคโนโลยีที่จำเพาะจริงๆ ถึงจะตรวจสอบได้อย่างมีประสิทธิภาพ
อุปสรรคชิ้นใหญ่คือ นอกจากพฤติกรรมการติดต่อบ้านเกิดแล้ว การตรวจสอบลักษณะอย่างอื่นของบอทค่อนข้างยากมากถึงมากที่สุด ซึ่งกรณีส่วนใหญ่แล้ว อุปกรณ์ที่ติดเชื้อมักจะยังทำงานได้อย่างปกติ หรืออย่างมากก็แค่รู้สึกเครื่องอืดๆ ลง ทำให้ผู้ใช้แทบไม่สังเกตหรือสงสัยว่าจะเป็นผลมาจากบอทเน็ต
ทั้งหมดนี้จึงเป็นสาเหตุสำคัญที่เราต้องใช้ไฟร์วอลล์แบบ Next-Gen เพื่อเป็นด่านแรกไม่ให้บอทเน็ตเข้ามายังเครือข่าย
แนวทางปฏิบัติที่ดีที่สุดเพื่อป้องกันตนเองจากบอทเน็ต
การป้องกันอันตรายขั้นสูงหรือ ATP: ที่สามารถตรวจจับบอทเน็ตที่กำลังรันอยู่บนเครือข่ายของคุณได้ ทำให้แน่ใจได้ว่าไฟร์วอลล์ของคุณสามารถตรวจจับทราฟิกที่อันตราย, หรือพฤติกรรมของบอทเน็ต โดยเฉพาะการตรวจจับทราฟิกการติดต่อเซิร์ฟเวอร์สั่งการหรือ C&C ซึ่งไฟร์วอลล์นี้ควรใช้วิธีป้องกันหลายระดับเพื่อตรวจจับทราฟิกติดต่อแฮ็กเกอร์ดังกล่าว และต้องตรวจพบภายในเวลาอันรวดเร็วที่ไม่ใช่แค่โฮสต์ที่ติดเชื้อเท่านั้น แต่ยังต้องตรวจจับผู้ใช้และโปรเซสที่เกี่ยวข้องด้วย ถ้าเป็นไปได้แล้ว ระบบป้องกันนี้ก็ควรปิดกั้นหรือจำกัดบริเวณของระบบที่ติดเชื้อจนกว่าจะดำเนินการแก้ไขได้
ระบบป้องกันการบุกรุก (IPS): ที่สามารถตรวจจับความพยายามของแฮ็กเกอร์ในการบุกรุกเข้ามายังทรัพยากรบนเครือข่าย ให้แน่ใจว่าไฟร์วอลล์ของคุณมีระบบ IPS แบบ Next-Gen ที่สามารถตรวจจับรูปแบบพฤติกรรมการโจมตีขั้นสูงบนทราฟิกของเครือข่ายคุณ โดยเฉพาะความพยายามในการแฮ็กระบบ และการเคลื่อนไหวของฮาร์ดแวร์บนแต่ละส่วนของเครือข่าย นอกจากนี้ยังควรปิดกั้นช่วงเลขไอพีทั้งหมดในเขตภูมิศาสตร์ของโลกที่คุณไม่ได้ดีลธุรกิจร่วมด้วย เพื่อลดความเสี่ยงในการโดนโจมตี
การทำแซนด์บ็อกซ์: เป็นฟีเจอร์ที่สามารถตรวจจับการบุกรุกของมัลแวรตัวล่าสุดได้ก่อนที่จะเข้าถึงคอมพิวเตอร์ของคุณ ตรวจสอบให้แน่ใจว่าไฟร์วอลล์ของคุณมีฟีเจอร์แซนด์บ็อกซ์ขั้นสูงที่สามารถตรวจพบเว็บหรือไฟล์ในอีเมล์ที่ต้องสงสัย และจำกัดบริเวณเข้าสู่แซนด์บ็อกซ์ที่ปลอดภัยเพื่อนำมาวิเคราะห์พฤติกรรมก่อนปล่อยเข้าสู่เครือข่ายของคุณได้
การป้องกันผ่านเว็บและอีเมล์: ซึ่งระบบป้องกันเว็บและอีเมล์อันตรายที่มีประสิทธิภาพ จะสามารถป้องกันมัลแวร์ที่แพร่กระจายผ่านบอทเน็ต ไม่ให้เข้าสู่เครือข่ายของคุณได้เป็นด่านแรก เช็คดูว่าไฟร์วอลล์ของคุณมีระบบป้องกันเว็บแบบตรวจสอบตามพฤติกรรม ที่สามารถตรวจเช็คหรือจำลองการรันโค้ดจาวาสคริปต์ที่อยู่บนเว็บ เพื่อวินิจฉัยเจตนาและพฤติกรรมก่อนปล่อยผ่านให้แสดงผลบนบราวเซอร์ได้ นอกจากนี้ยังจำเป็นอย่างยิ่งที่ไฟร์วอลล์ หรือโซลูชั่นคัดกรองอีเมล์ ควรมีเทคโนโลยีแอนติสแปม และแอนติไวรัสที่มีประสิทธิภาพดีเพียงพอ เพื่อตรวจจับมัลแวร์ตัวล่าสุดในไฟล์แนบของอีเมล์ได้
ไฟร์วอลล์สำหรับเว็บแอพพลิเคชั่นหรือ WAF: ไฟร์วอลล์สำหรับเว็บแอพโดยเฉพาะนี้ สามารถปกป้องได้ทั้งเซิร์ฟเวอร์, อุปกรณ์,และแอพพลิเคชั่นทางธุรกิจของคุณจากการแฮ็กระบบได้ ตรวจดูว่าไฟร์วอลล์ของคุณมีฟีเจอร์การป้องกันแบบ WAF สำหรับทุกระบบบนเครือข่ายของคุณที่ต้องมีการเข้าถึงจากระยะไกลผ่านอินเทอร์เน็ต ไฟร์วอลล์สำหรับแอพพลิเคชั่นนี้จะให้ฟีเจอร์อย่าง Reverse Proxy, การยืนยันตนแบบ Offload, และยกระดับการป้องกันระบบจากการแฮ็กของอาชญากรได้