มี antivirus ทำไมยังโดน virus หลายท่านอาจจะเคยสงสัยหรือเคยประสบด้วยตนเองมาแล้ว และตั้งคำถามในใจว่า เอ๊ะ? เครื่องเรามี antivirus แล้ว ทำไมยังโดน virus ได้อยู่ล่ะ ทำไมไม่ทำหน้าที่ให้สมชื่อ antivirus? เราจะมาหาคำตอบกัน ทีมงานหวังว่าบทความนี้จะมาไขข้อสงสัยนี้ได้ไม่มากก็น้อย
ควรใช้ antivirus รุ่นที่เหมาะสมกับการใช้งานจริงในองค์กร
ในการป้องกันอุปกรณ์หรือ network ของเรา หากข้อมูลของท่านมีความสำคัญสูง การมี antivirus ที่มี advanced protection ติดเครื่องไว้เป็นสิ่งที่จำเป็น ซึ่งโดยปกติแล้ว antivirus ไม่ว่าจะยี่ห้อใด ก็จะแบ่งเป็นหลายเกรด หลายรุ่น ซึ่งก็จะมีราคาสูงหรือต่ำตามฟีเจอร์และบริการที่มีให้ แน่นอนว่าเมื่อมีฟีเจอร์ในการป้องกันที่มากกว่า เทคโนโยลีสูงกว่า (เช่น EDR หรือ Endpoint Detection & Response ที่ปัจจุบันเริ่มกลายเป็นมาตรฐานใหม่) รัดกุมกว่า ก็จะสามารถป้องกัน virus และ malware ได้ครอบคลุมมากกว่ารุ่นล่างหรือรุ่นที่ยังใช้เทคโนโลยีแบบฐานข้อมูลเป็นหลัก
บางองค์กรอาจจะมองที่ราคาเป็นสำคัญจนมองข้ามฟังก์ชั่นการป้องกันที่ product มีให้ ซึ่งจุดนี้ ทางองค์กรต้องทราบว่าเป็นการลดต้นทุนเพื่อแลกกับความเสี่ยงที่อาจเกิดขึ้นได้มากกว่า หรือบางองค์กรที่สนใจฟีเจอร์การป้องกันเป็นหลัก ก็จะเลือกใช้รุ่นสูงสุด ซึ่งจะช่วยป้องกันและลดความเสี่ยงที่อาจเกิดขึ้นได้เป็นอย่างมาก แต่ก็แลกกับต้นทุนที่สูงขึ้น หรือกระทั่งบางหน่วยงานต้องการใช้ระบบที่ง่าย สะดวก ไม่ต้องมีการ maintenance มาก แต่กลับใช้ระบบ on-premise แทนที่จะใช้ระบบ cloud ก็จะดูค่อนข้างย้อนแย้งอยู่ในตัว เพราะมีเหตุผลและปัจจัยอื่น ๆ เข้ามาเกี่ยวข้องจึงต้องเลือกแบบนั้น
Antivirus ไม่ใช่ทุกสิ่งของ security (แต่เป็นส่วนสำคัญ)
มี antivirus ทำไมยังโดน virus? ด้วยฟังก์ชั่นการทำงานของ antivirus แล้ว หลัก ๆ จะเป็นการป้องกันที่ระดับ endpoint ด้วยการตรวจจับ หยุดการทำงาน และกำจัดมัลแวร์ประเภทต่าง ๆ รวมถึงเทคนิคการแฮ็คที่ antivirus นั้น ๆ จะสามารถตรวจจับได้ แต่ยังมีอีกหลายจุดที่ antivirus ไม่สามารถช่วยเหลือได้ทั้งหมด อาทิ การถูกต้มตุ๋นในลักษณะของ social engineering ถูกหลอกเอา credential โดยที่ user เป็นผู้ให้ข้อมูลไปเองเพราะไม่ทันระวัง หรือการที่ใช้ software เก่ามากจนไม่มีการ support จากผู้พัฒนาแล้ว (EOL หรือ end-of-life) หรือบุคลากรด้านไอทีที่มีการเปลี่ยนแปลงค่อนข้างบ่อยทำให้ขาดช่วง เป็นต้น ซึ่งแต่ละองค์กรก็จะมีปัญหาที่แตกต่างกันออกไป
ประเด็นที่มักจะถูกละเลย
โดนโจมตีไปแล้ว? เราได้รวบรวมประเด็นที่องค์กรขนาดเล็กและขนาดกลางมักจะพบ และเป็นจุดสำคัญที่ทำให้ ransomware (หรือ malware ใด ๆ ก็ตาม) มีโอกาสโจมตีเข้ามาได้ ทีมงานขอแนะนำให้ลองตรวจสอบลิสต์ต่อไปนี้
1. ไลเซ่น antivirus หมดอายุ – antivirus ที่หมดอายุแล้ว จะไม่ทำการ protect เครื่องได้ตามที่ควรเป็น (หรือไม่ทำการ protect เลย)
2. ติดตั้ง antivirus ไม่ครบทุกเครื่องในองค์กร – การติดตั้งเฉพาะบางเครื่องที่มีข้อมูลสำคัญ แต่ยังอยู่ใน network เดียวกันกับเครื่องอื่น ๆ ที่ไม่ได้ทำการ protect ด้วยระบบการป้องกันเดียวกันไว้ อาจนำมาสู่ภัยคุกคามที่เกินคาดคิดจากช่องโหว่ภายในได้
3. เปิด RDP (Remote Desktop Protocol) ทิ้งไว้ – RDP นั้นอาจจะสะดวกสำหรับการรีโมทไปเครื่องปลายทาง แต่ก็เป็นช่องทางยอดนิยมที่เหล่าแฮ็คเกอร์มักจะใช้ในการโจมตีเข้ามาด้วยวิธี Brute Force ทางที่ดีควรปิดไปใช้การรีโมทช่องทางอื่นหรือให้ผ่าน VPN เข้ามาก่อน
4. Human error – เจ้าหน้าที่ผู้ดูแลกดปิดการทำงานของระบบ antivirus ไว้ แล้วไม่ได้เปิดคืน ทำให้ malware สามารถทำงานได้, เผลอปลดบล็อค malware อันตรายด้วยตัวเองโดยไม่รู้ตัว หรือ set ค่าไว้เรียบร้อยแต่ไม่ได้เลือก group หรือ device ให้มารับค่าที่ set ไว้
5. Setting error – ไม่ล็อครหัสผ่านป้องกันการถอน, ทำการ exclusion อย่างไม่ถูกวิธี หรือเน้นสะดวกไว้ก่อนจน exclude malware ไปด้วย, ไม่ได้ปรับ setting ให้ปลอดภัยตามที่คู่มือแนะนำ, ไม่ได้ปรับโหมดการทำงานของ software ให้ถูกต้องตามสถานการณ์หรือช่วงเวลา
6. ไม่ได้ update software ให้เป็นเวอร์ชั่นล่าสุด – malware จำนวนมากที่อาศัยช่องโหว่ของ software (โดยเฉพาะ OS) เป็นช่องทางในการโจมตี ทีมงานแนะนำให้ใช้ software ลิขสิทธิ์เท่านั้น เพื่อที่จะได้สามารถทำการอัพเดทเป็นเวอร์ชั่นล่าสุดได้เสมอ ซึ่งจะช่วยอุดช่องโหว่ของ software ได้เป็นอย่างมาก (สามารถใช้ software ด้าน Patch Management มาช่วยให้เร็ว สะดวก และปลอดภัยยิ่งขึ้น)
7. ไม่มีระบบสำรองข้อมูล (back up) ตาม schedule ที่ปลอดภัยเพียงพอ – การไม่มี back up เลย เป็นความเสี่ยงที่สูงมาก อย่างน้อยองค์กรควรจะมีการสำรองข้อมูลเอกสารและไฟล์สำคัญไว้เสมอ
8. ใช้ Endpoint Antivirus ที่มีเทคโนโลยี EDR– การป้องกันหลายชั้น ประสานหลากเทคโนโลยีเข้าด้วยกัน จะช่วยสร้างความปลอดภัยมากกว่าการใช้ antivirus รุ่น basic ที่ราคาถูกเป็นอย่างมาก
มี antivirus ทำไมยังโดน virus…
ความปลอดภัย 100% ตลอดเวลา ไม่มีอยู่จริง
เปรียบได้กับการฉีดวัคซีนป้องกันโควิด 19 ถึงแม้เราจะฉีดครบโดสแล้ว และใช้ตัวที่มีประสิทธิภาพสูงจาก % ผลการทดสอบ แต่ก็ไม่ได้เป็นการการันตีว่าเราจะไม่มีโอกาสติดเชื้อเลย แต่ที่ชัดเจนคือเป็นการลดความเสี่ยงและความรุนแรงได้อย่างมาก
แต่เราสามารถทำให้ใกล้เคียง 100% ได้มากที่สุด ด้วย solution รุ่น Panda Adaptive Defense 360 + Patch Management จาก Panda (a WatchGuard Brand), Threat Prevention+Ransomware Encryption Protection จาก Heimdal Security และ Unified Cloud Backup Solution จาก BigMIND
ใช้งานง่าย ไม่ต้องมี hardware ไม่มีค่า implement และ maintenance ใด ๆ ด้วยเทคโนโยลี cloud พร้อม interface ที่เป็นมิตรกับผู้ใช้งานแม้ไม่เชี่ยวชาญด้านไอที พร้อมทีมดูแลหลังการขายแบบเชิงรุก (proactive service) หรือหากท่านต้องการคำปรึกษาและแนะนำอย่างไร สามารถติดต่อทีมงานเข้ามาได้ทันที
ของ free ก็ใช้ได้นะ แต่ paid license ปลอดภัยกว่า
มี antivirus ทำไมยังโดน virus? หากท่านยังใช้เป็น free version อยู่ก็คงไม่น่าแปลกใจนัก
บางคนอาจคิดว่า antivirus ของฟรีที่หาโหลดได้ทั่วไป แค่มีติดเครื่องก็เพียงพอแล้ว ซึ่งในความเป็นจริงแล้ว จะผิดก็ไม่ผิด แต่ก็ไม่ได้ถูกต้องทั้งหมด เพราะของฟรีนั้นจะมีมาให้เฉพาะฟังก์ชั่นพื้นฐานในการป้องกันเท่านั้น ซึ่งแนวโน้มคือไม่เพียงพอสำหรับการป้องกันการโจมตีด้วย malware และเทคนิคขั้นสูง รวมถึงการใช้งานในระดับองค์กรที่ควรต้องจัดการผ่านส่วนกลาง (Centralized Management)
แน่นอนว่ามีของฟรีติดเครื่องไว้ก็ดีกว่าไม่มี โดยปัจจุบัน Microsoft เองก็พัฒนาระบบการป้องกันแบบ free version ของ Windows มาถึงจุดที่ใช้งานได้จริง แต่หากอุปกรณ์ของท่านมีข้อมูลสำคัญและใช้งานในลักษณะองค์กร ทางทีมงานจะแนะนำให้ใช้ระบบการป้องกันแบบเต็มจากผู้พัฒนา antivirus โดยตรงจะดีกว่า หรือหากพอใจกับระบบการป้องกันที่มากับ Windows อยู่แล้ว ท่านก็สามารถเสริมการป้องกันด้วย product เฉพาะทางที่ใช้ร่วมกับ antivirus พื้นฐานได้ อาทิ Endpoint Detection and Response (EDR) หรือ DNS traffic filtering engine มาครอบเสริมการทำงานของระบบที่มากับ Windows ได้
Tip: ท่านสามารถดาวน์โหลด Panda Free Antivirus ซึ่งเป็น Free Antivirus ที่ขึ้นชื่อในเรื่องเบาเครื่อง และให้ระดับการป้องกันพื้นฐานที่ดี