ภัยคุกคามที่อันตรายต่อระบบของคุณอย่างคาดไม่ถึง การเพิ่มขึ้นของการทำงานจากที่บ้าน (Work Form Home) ทำให้การเข้าถึงระบบภายในเครือข่ายของที่ทำงานผ่านระบบรีโมททางไกลเป็นที่นิยมมากขึ้น
แม้ว่าการทำงานด้วยระบบรีโมทจะช่วยเพิ่มความสามารถในการทำงาน และอำนวยความสะดวก แต่ก็อาจเป็นช่องทางที่อาชญากรไซเบอร์รอคอยอยู่ ตามรายงานการสืบสวนการละเมิดข้อมูลของ Verizon ปีล่าสุด การโจมตีด้วยวิธีการ Remote Desktop Protocol หรือ RDP พบมากที่สุดเป็นอันดับสี่
ปัญหาสำคัญของ (RDP) คือวิธีการกำหนดตั้งค่าการเข้าถึงได้ผ่านทางอินเทอร์เน็ต อาชญากรค้นหาเซิร์ฟเวอร์ RDP บนอินเทอร์เน็ตด้วยระบบเสิร์ชเอ็นจิ้นที่ออกแบบมาเพื่อติดตามอุปกรณ์ที่มีพอร์ตหรือโปรโตคอลที่มีช่องโหว่ของระบบบนอินเทอร์เน็ตมากกว่าสี่ล้านพอร์ต
เมื่อเร็วๆ นี้ มีข่าวแพร่สะพัดเกี่ยวกับอุปกรณ์ Virtual Network Computing (VNC) มากกว่า 8,000 เครื่องที่อนุญาตให้เข้าถึงเครือข่ายโดยไม่ต้องมีการตรวจสอบสิทธิ์ ที่น่ากังวลที่สุดคือส่วนใหญ่อยู่ในองค์กรโครงสร้างพื้นฐานสำคัญ
แก๊งอาชญากรไซเบอร์เช่น กลุ่มConti ได้ใช้การโจมตีนี้เพื่อใช้การโจมตีด้วย ransomware บนเครือข่ายของเหยื่อ การโจมตี Colonial Pipeline ที่ดำเนินการโดยกลุ่ม DarkSide เป็นอีกตัวอย่างหนึ่งที่แสดงให้เห็นว่าการใช้ระบบ RDP อาจกลายเป็นปัญหาใหญ่ได้
ความเสี่ยงของเซิร์ฟเวอร์ที่ไม่ได้มีการตั้งค่าให้ถูกต้องซึ่งเสี่ยงต่อการถูกโจมตี RDP
มีสามวิธีหลักที่แฮ็กเกอร์ใช้ในการกำหนดเป้าหมายบริษัทได้แก่
- การโจมตีแบบ (DDoS) การโจมตีเซิร์ฟเวอร์ด้วย RDP สามารถขยาย และเพิ่มขอบเขตภัยคุกคามประเภทนี้กำหนดเส้นทางการรับส่งข้อมูลจำนวนมหาศาลไปยังเป้าหมายของพวกเขา ส่งผลให้ระบบการใช้งานล่ม
- การใช้โจมตีด้วย ransomware : ผู้คุกคามเจาะเข้าไปในเครือข่ายขององค์กรผ่าน RDP จากนั้นสแกนจากภายในระบบ และปล่อย ransomware บนระบบที่มีมูลค่าสูง
- การละเมิดข้อมูล: เมื่อเข้าไปในเครือข่าย จะเริ่มสแกนหาข้อมูลอื่นๆ ภายในบริษัทเพื่อขโมยข้อมูลสำคัญออกไปขายหรือเพิ่มความกดดัน บ่อยครั้งแฮกเกอร์จะขโมยข้อมูลขณะเข้ารหัสด้วย ransomware ไปพร้อมกัน
การป้องกันเริ่มต้นด้วยการป้องกันขั้นพื้นฐานติดตามตรวจสอบพฤติกรรม “ความปลอดภัยทางไซเบอร์” ที่ดีในการกำหนดค่าเครือข่ายได้ ตัวอย่างเช่น มีตัวเลือกในการป้องกันการเข้าถึง RDP บนเซิร์ฟเวอร์ Windows รวมถึงการจำกัดการเข้าถึงผ่าน IP การเชื่อมต่อกับเซิร์ฟเวอร์ผ่าน VPN
ควรมีมาตรการป้องกันเชิงรุกต่อไปนี้ในการตรวจจับและจัดการกับการเข้าถึงระยะไกลได้อย่างมีประสิทธิภาพสอดคล้องกับระบบ Zero Trust:
- MFA: ในกรณีส่วนใหญ่ เซิร์ฟเวอร์ที่มีการเข้าถึงอินเทอร์เน็ตสาธารณะ RDP จะไม่ถูกเปิดใช้งานหากไม่มีระบบการรับรองความถูกต้องแบบหลายปัจจัย (MFA) ซึ่งหมายความว่าแฮกเกอร์สามารถเข้าไปในเครือข่ายได้โดยเพียงแค่ป้อนที่อยู่ IP ของอุปกรณ์ที่พวกเขาต้องการเข้าถึง
Multi-Factor Authentication (MFA) โดย WatchGuard: เพิ่มความปลอดภัยในโลกที่เชื่อมต่อถึงกัน
การปกป้องข้อมูลที่ละเอียดอ่อนถือเป็นสิ่งสำคัญยิ่ง เนื่องจากองค์กรต่างๆ พึ่งพาแพลตฟอร์มดิจิทัลมากขึ้น ความจำเป็นในการใช้มาตรการตรวจสอบความถูกต้องที่เข้มงวดจึงมีความจำเป็น Multi-Factor Authentication (MFA) ของ WatchGuard กลายเป็นผู้พิทักษ์ที่แข็งแกร่ง โดยมอบการรักษาความปลอดภัยเพิ่มเติมอีกชั้นที่นอกเหนือไปจากการป้องกันด้วยรหัสผ่านแบบเดิมๆMFA คือวิธีการตรวจสอบสิทธิ์ที่กำหนดให้ผู้ใช้ยืนยันตัวตนหลายรูปแบบ WatchGuard โดยนำเสนอโซลูชั่นที่ครอบคลุมสะดวกสบายของผู้ใช้เข้ากับความปลอดภัยที่เข้มงวด
การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ของ AuthPoint มอบความปลอดภัยที่คุณต้องการในการปกป้องทรัพย์สิน บัญชี และข้อมูลของคุณ ให้บริษัทของคุณทำงานอย่างมั่นใจและไร้กังวลด้วยการป้องกันอันทรงพลังของ AuthPoint - VPN: ด้วยการใช้ VPN โซลูชันจะสร้างอุโมงค์ที่เข้ารหัสสำหรับการรับส่งข้อมูลเครือข่ายระหว่างผู้ใช้ระยะไกลและเครือข่ายองค์กร VPN ยังสามารถรองรับ MFA เพื่อลลดภัยคุกคามของบัญชีที่ถูกบุกรุกได้อีกด้วย อย่างไรก็ตาม สิ่งสำคัญที่ควรทราบคือ VPN อาจมีช่องโหว่หากไม่ได้รับการอัพเดตหรือแพตช์เป็นประจำ
- Log การเข้าถึงระยะไกล: เพื่อเป็นมาตรการเพิ่มเติม จำเป็นต้องเก็บประวัติการเข้าสู่ระบบ และตรวจสอบผู้ใช้ระยะไกล นี่เป็นสิ่งแรกที่ต้องตรวจสอบว่าสงสัยว่าเครือข่ายถูกบุกรุกหรือไม่
- การรักษาความปลอดภัย EDR (endpoint detection and response): การปรับใช้โซลูชันที่สามารถตรวจจับการพยายามการเข้าถึง RDP และการจัดการภัยคุกคามขั้นสูงเหล่านี้เป็นสิ่งสำคัญยิ่งในการปกป้องเซิร์ฟเวอร์และอุปกรณ์ในองค์กร
ความสำคัญของ endpoint detection and response
เมื่อมีการตั้งค่ารักษาความปลอดภัยจาก RDP สิ่งที่จำเป็นอย่างยิ่งคือคอมพิวเตอร์อุปกรณ์ภายในระบบได้รับการป้องกันจากการบุกรุก องค์กรที่ใช้โซลูชันแบบครบวงจรที่ปกป้องอุปกรณ์ของตนโดยใช้โมเดล Zero Trust ที่ให้การป้องกันแบบหลายชั้นเพิ่มเติมจะได้รับประโยชน์อย่างมาก ในเรื่องนี้ Watchguard EDPR ปกป้องทั้งพีซีและแล็ปท็อป รวมถึงเซิร์ฟเวอร์ โดยรวมการป้องกันมัลแวร์และการโจมตีที่ไม่ใช่มัลแวร์ การใช้ส่วนประกอบ EDR นั้น WatchGuard จะตรวจสอบกระบวนการที่ทำงานอยู่ภายในระบบ และมีระบบ AI เพื่อจัดประเภทกระบวนการต่างๆ และจัดประเภทว่าเป็นมัลแวร์ และอนุญาตให้เฉพาะกระบวนการที่เชื่อถือได้เท่านั้นที่จะทำงานบนอุปกรณ์ และบล็อกกระบวนการที่ดำเนินการโดยผู้บุกรุกด้วย RDP ไปยังอุปกรณ์ หากท่านสนใจสามารถขอทดลองใช้ได้ฟรี 30 วัน
Credit https://www.watchguard.com