ปกป้ององค์กรได้อย่างเหนือชั้นกว่าด้วยเทคโนโลยี Deep Learning ในโซลูชั่นป้องกันภัยแบบอัจฉริยะ Deep Instinct

จากเหตุการณ์ภัยคุกคามทางด้านไซเบอร์ที่เกิดขึ้นในองค์กรต่างๆ ทั้งในและต่างประเทศ ไม่ว่าจะเป็นการโจมตีจาก Ransomware หรือการโดนโจมตีจากมัลแวร์ที่ไม่ทราบต้นสายปลายเหตุ (Unknown Malware และภัยแบบ Zero-Day Attacks) ที่เราได้ทราบและเห็นเป็นจำนวนมากมายนับไม่ถ้วน นับเป็นการสะท้อนให้เห็นถึงจุดบอดและช่องโหว่ ที่เครื่องมือและโซลูชั่นระบบในระบบดั้งเดิมนั้นไม่เพียงพอต่อการรับมือกับภัยร้ายเหล่านั้นได้อีกต่อไป

Deep Instinct คือระบบซอฟต์แวร์ ทำงานผ่านเอเจ้นท์ที่เครื่อง PC, Laptop หรือ Server เพื่อการจัดการด้านความปลอดภัยที่เหนือชั้นกว่า EDR หรือ XDR ทั่วไป ด้วยการที่ผนวกเอาเทคโนโลยี Deep Learning Framework ซึ่งเป็นเทคนิคใหม่ล่าสุด มาประยุกต์ใช้กับ Endpoint Security รายแรกของโลก! ในการจัดการปัญหาเกี่ยวกับภัยคุกคามที่มาในรูปของมัลแวร์ เป็นเทคนิคที่ทรงประสิทธิภาพมากที่สุดที่เคยมีมา

ทำความเข้าใจเชิงลึกกับ Deep Instinct
Deep Instinct สร้างปรากฏการณ์ใหม่ในการป้องกันภัยคุกคามและมัลแวร์ ที่แตกต่างจากระบบความปลอดภัยที่อิงตาม Signature Base ประเภทที่เป็น Firewall, AV หรือพวก IDS ยุคเก่า และที่อิงตามแบบ Machine Learning (ML Based) ประเภทที่นิยมเรียกกันว่า NGFW หรือ Next-Gen Firewall, และ Endpoint Detection and Response (EDR) ซึ่งไม่ว่าจะเป็นแบบ Signature Base หรือ ML Based ก็ตามที แต่กลับปรากฏว่า ไม่สามารถสร้างเกราะปราการในการป้องกันภัยให้กับองค์กรได้อย่างแข็งแกร่ง โดยเฉพาะอย่างยิ่งกับภัยคุกคามที่ไม่เคยเห็นมาก่อน!

โดยเฉพาะอย่างยิ่งกับภัยคุกคามในยุคใหม่ อย่างเชน Ransomware (แรนซั่มแวร์) หรือภัยประเภท Zero-Day และ Unknown Malware กลุ่มผลิตภัณฑ์ด้านความปลอดภัยข้างต้น “ไม่สามารถรับมือได้เลย!” นั่นจึงเป็นเหตุผลให้เกิดการพัฒนาของเทคโนโลยีใหม่ในการป้องกันที่เรียกกันว่า Deep Learning และนั่นก็คือ Deep Instinct นั่นเอง

ความอัจฉริยะของเทคโนโลยี Deep Learning
เทคโนโลยี Deep Learning มีความสามารถในการจัดการในแง่ของการประมวลผลสูง และถูกนำมาใช้ในองค์กรเทคโนโลยีระดับโลกต่างๆ อย่างแพร่หลาย ไม่ว่าจะเป็น Facebook, Tesla หรือ YouTube และอื่นๆ และในแนวทางเดียวกันนี้ Deep Instinct ก็นำเอา กับ Deep Learning มาใช้ในจัดการกับโลกไซเบอร์ซีเคียวริตี้ เช่นกัน

และเนื่องจากภัยคุกคามมันเกิดขึ้นทุกวัน จากสถิติพบว่ามีการเกิดขึ้นของมัลแวร์ร้ายราวๆ 450,000 ตัวต่อวัน! และมัลแวร์พิเศษเหล่านี้ก็ถูกออกแบบมาเพื่อเจาะกลุ่มอุตสาหกรรม หรือกลุ่มองค์กรโดยเฉพาะอีกด้วย การเพิ่มขึ้นเป็นจำนวนมากทำให้เทคนิคการป้องกันแบบเดิมไม่สามารถอัปเดต Signature ของไวรัสได้ทันการ หรือ การเรียนรู้และทำความเข้าใจของเทคนิคของ Machine Learning ก็ไม่สามารถเรียนรู้มัลแวร์ได้ทั้งหมด โดยเฉพาะกลุ่มมัลแวร์จากกลุ่มผู้คุกคามที่ใช้กลไก Machine Learning เดียวกันนี้ ในการออกแบบภัยคุกคามใหม่ ๆ ที่สามารถหลีกเลี่ยงการตรวจจับได้อย่างแยบยลมากขึ้นเช่นเดียวกัน ส่งผลให้ผลิตภัณฑ์ Endpoint Security ในประเภทเดิมๆ เกิดจุดบอดและทำให้องค์กรโดนโจมตีจนเสียหายไปแล้ว ก่อนที่จะสามารถตรวจจับภัยคุกคามเหล่านี้ได้

แต่สำหรับเทคนิค Deep Learning ใน Deep Instinct นั้นให้ความแตกต่างอย่างเห็นได้ชัดเจน เพราะระบบดังกล่าวนี้จะทำการใช้ระบบปัญญาประดิษฐ์ขั้นล่าสุด (หรือ AI) ขึ้นมาเพื่อทำการประมวลผลข้อมูลดิบได้อย่าง 100% โดยให้ โครงข่ายประสาทเทียม (Neural Network) ของ AI ทำการศึกษาสิ่งที่เป็นทั้งภัยคุกคามและสิ่งที่ปลอดภัยควบคู่กัน จากนั้นตัว AI จะถูกสอนให้ทำการแยกแยะสิ่งที่เกิดขึ้นได้อย่างอัตโนมัติว่า ข้อมูลใดที่ปลอดภัยหรือเป็นภัยร้าย! เรียกได้ว่าเป็นระบบสร้างความปลอดภัยทางไซเบอร์ที่ออกแบบมาสำหรับการตรวจจับ และยับยั้งภัยคุกคามประเภท Unknown โดยเฉพาะ

ข้อแตกต่างของระบบ Machine Learning และ Deep Learning
กลไกของระบบความปลอดภัยที่อิงตามการทำงานแบบ Machine Learning นั้น ทำงานในลักษณะแบบดั้งเดิม ซึ่งเมื่อภัยคุกคามเกิดขึ้น ซึ่งมีการโจมตีเครื่องของเหยื่อแล้ว ตัวระบบถึงจะถูกส่งกลับไปประมวลผลในหน่วยงานของผู้ให้บริการ เพื่อทำการศึกษาว่านี่คือมัลแวร์ชนิด/ประเภทใด อย่างไรก็ตามระบบที่อิงตาม Machine Learning จะสามารถป้องกันภัยประเภท Unknown Malware ได้ก็จริง แต่มีความแม่นยำเพียงแค่ 50-70% เท่านั้น และยังเกิด False Positives ประมาณ 1-2% ด้วย (เป็นการทำให้องค์กรต้องทำการตรวจสอบค่าความถูกต้องใหม่ และเสียเวลาโดยใช่เหตุ) ซึ่งประเด็นดังกล่าวกลายเป็นจุดอ่อนของระบบ Machine Learning ของผู้ให้บริการรายเดิมในปัจจุบัน และทำให้องค์กรเกิดช่องโหว่ที่ทำให้มัลแวร์ยังเข้าโจมตีได้อย่างต่อเนื่องนั่นเอง วิธีทั้งหมดของ Machine Learning ที่กล่าวมานั้น ทำงานเป็นไปในลักษณะแบบ Post-Execution ก็คือการตอบสนองกับเหตุการณ์หลังจากที่ มัลแวร์ หรือ Ransomware ได้ทำการสร้างความเสียหายไปแล้วนั่นเอง

แต่เทคนิคหรือวิธีการแบบ Deep Learning ที่อยู่ใส Deep Instinct นั้นแตกต่างออกไป เพราะมีลักษณะการทำงานเป็นแบบ Pre-Execution เรียกได้ว่า “หยุดการทำงาน” ของภัยคุกคามก่อนที่จะมีการสร้างความเสียหายให้แก่เครื่องลูกข่ายหรือระบบต่าง ๆ ภายในองค์กร กล่าวคือ เมื่อมีสิ่งแปลกปลอมเข้ามาในองค์กร ตัว Deep Instinct จะทำการประมวลผลข้อมูลดิบเหล่านั้นในแบบ 100% ผ่านทางโครงข่ายที่เรียกว่า Deep Neural Networks ทำให้สามารถสร้างความแม่นยำในการจับ Unknown Malware ได้มากกว่า 99% และสร้าง False Positives ต่ำกว่า 0.1% ทำให้ระบบมีความเสถียรภาพและให้การป้องกันภัยคุกคามได้อย่างมีประสิทธิภาพ รวมถึงการลดเวลาในการตรวจสอบ False Positives ลงไปอีกด้วย

และอีกประเด็นหนึ่งที่ทำให้ Deep Instinct แตกต่างก็คือ เป็นระบบที่มีการตัดสินใจที่ตัวเครื่องที่ติดตั้งทันที ไม่มีการส่งข้อมูลข้อมูลลูกค้าขึ้นคลาวด์ในตอนแรก ทั้งนี้เพื่อช่วยให้ประหยัดเวลา และลดความเสี่ยงในการยับยั้งภัยได้ทันท่วงที รวมถึงประเด็นด้านข้อมูลส่วนตัวด้วย

Neural Network ใน Deep Instinct
สิ่งที่เป็นประเด็นสำคัญอีกอย่างหนึ่งของ Deep Instinct ก็คือ การให้ความสำคัญกับข้อมูลส่วนตัว เนื่องจาก Deep Instinct จะไม่มีการให้เครื่องลูกค้าส่งข้อมูลขึ้นไปบนคลาวด์ แต่จะอาศัยการประมวลผลบนแล็ปของ Deep Instinct เองผ่านทางเครือข่าย Neural Network จากนั้นจึงสร้างตัวเอเจนต์ที่ติดตั้งลงบนเครื่องลูกข่าย ซึ่งมันจะทำการประมวลผลและทำงานทันทีในกรณีเกิดภัยคุกคามทันที ทำให้เครื่องลูกข่ายนั้นมีความปลอดภัยที่สูงมาก และยังผ่านมาตรฐานในส่วนของกฎระเบียบข้อบังคับด้านการข้อมูลส่วนตัว ผ่านทั้งมาตรฐาน GDPR, PCI DSS, HIPAA และอื่นๆ อีกมากมาย

Deep Instinct ตอบโจทย์ทั้งประสิทธิภาพ และต้นทุนที่ดีกว่าเดิม
พัฒนาการของการจัดหาระบบความปลอดภัยนั้น เกิดจากการที่ต้องเฟ้นหาโซลูชั่นด้านระบบความปลอดภัยที่เหมาะกับองค์กรมากที่สุด ดังนั้นจึงเห็นว่าการลงทุนระบบในความปลอดภัยจึงใช้เงินลงทุนมหาศาล เพราะระบบที่เราได้ลงทุนไปแต่ละครั้ง ไม่ว่าจะเป็นระบบที่อิงตาม Signature หรือที่อิงตาม Machine Learning นั้น ไม่สามารถรับมือกับความเสี่ยงที่ร้ายแรงในยุคปัจจุบันอย่างภัยประเภท Unknown Malware นั่นเอง

Deep Instinct จึงเข้ามาช่วยตอบโจทย์ในส่วนของการลดค่าใช้จ่ายและการใช้งานทรัพยากรโดยรวม โดยสามารถจัดการมัลแวร์ประเภท Unknown Malware ได้อย่างมีประสิทธิภาพ พร้อมทั้งลงการแจ้งเตือนกับสิ่งผิดพลาดที่เกิดขึ้นเหลือแค่ 10% จากที่องค์กรเคยประสบมา ทำให้พนักงานและผู้ดูแลระบบไอทีมีเวลาเพิ่มมากถึง 80% เพื่อไปทำงานอย่างอื่นให้กับองค์กร รวมถึงการลด False Positive ได้มากยิ่งขึ้น

บทสรุป
จริงอยู่ที่เทคโนโลยีที่เป็นระบบดั้งเดิมไม่ว่าจะเป็นโซลูชั่นประเภท EPP, EDR นั้นสามารถที่จะป้องกันภัยคุกคามได้ตามคุณสมบัติของตัวมัน แต่ในภาวะการณ์เช่นปัจจุบันนี้ภัยคุกคามสมัยใหม่ที่ออกแบบมา ไม่ว่าจะเป็น Ransomware, Unknown Malware, ภัยคุกคามแบบ Zero-Day Attack ต่างมีความรุนแรงเพิ่มมากขึ้น เทคโนโลยีในข้างต้นไม่สามารถที่จะรับมือกับภัยดังกล่าวอีกต่อไป แต่ด้วยความสามารถของ Deep Instinct ที่มาพร้อมกับเทคโนโลยี Deep Learning รายแรกของโลก ที่ผ่านการประมวลผลข้อมูลดิบกว่า 100% ด้วยการใช้ Neural Network จึงทำให้เป็นโซลูชั่นเพียงหนึ่งเดียวที่การันตีถึงความปลอดภัยสำหรับองค์กรได้อย่างที่สุด

สนใจผลิตภัณฑ์สามารถติดต่อได้ที่ บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด
โทร 02 311 6881 #7156 หรือ email : cu_mkt@cu.co.th

from:https://www.enterpriseitpro.net/deep-instinct-protect-your-business/

5 แนวทาง ในการช่วยปกป้องคอมพิวเตอร์จากการถูกแฮ็ก !

วัฒนธรรมของบริษัทปกติทั่วโลกได้เปลี่ยนไปอย่างมาก พนักงานส่วนใหญ่หันมาชื่นชอบการใช้อุปกรณ์ส่วนตัวในที่ทำงานเพื่อใช้ทำงานของตัวเองเนื่องจากมองว่ามีความสะดวก และมีประโยชน์ต่อประสิทธิภาพการทำงาน

ซึ่งตามข้อมูลแล้ว ทางซิสโก้พบว่านโยบาย BYOD (Bring Your Own Device) ช่วยเพิ่มระดับความพึงพอใจ และประสิทธิภาพขอวพนักงานได้จริง และการที่บริษัทสั่งห้ามใช้อุปกรณ์ส่วนตัวในการทำงาน ก็อาจผลักดันให้พนักงานแอบใช้แทนได้

ผลที่ตามมามีตั้งแต่การละเมิดข้อกำหนดด้านความปลอดภัยของข้อมูล ไปจนถึงเปิดช่องทางเข้ามาให้กับการโจมตีทางไซเบอร์และกรณีข้อมูลรั่วไหล นี่จึงเป็นสาเหตุที่ว่าทำไมจึงบริษัทมากขึ้นเรื่อยๆ ที่หันมาเปิดรับนโยบาย BYOD อย่างเต็มใจ

ทั้งนี้เพื่อสร้างสมดุลระหว่างความต้องการพื้นฐานของพนักงาน และประสิทธิภาพของธุรกิจ ถ้าคุณกำลังจะอนุญาตให้พนักงานใช้อุปกรณ์ส่วนตัวแล้ว ก็เป็นสิ่งสำคัญที่คุณต้องรักษาความปลอดภัยของสภาพแวดล้อมการทำงานเสียก่อน

โดยคุณจำเป็นต้องทำตามมาตรการความปลอดภัยพื้นฐานสำหรับอุปกรณ์ที่มีอยู่เพื่อให้ได้รับการปกป้องสูงสุด ซึ่งทาง TechNotification.com มีเคล็ดลับที่ยอดเยี่ยมเกี่บวกับเรื่องดังกล่าวไว้ดังต่อไปนี้

1. ติดตั้งโปรแกรมแอนติไวรัส

การใช้โปรแกรมแอนติไวรัสชั้นสูงกับคอมพิวเตอร์ของบริษัทถือเป็นหลักการพื้นฐาน ด้วยการเลือกหาแอนติไวรัสที่ดีที่สุดสำหรับวินโดวส์ที่ตรงตามความต้องการที่จำเพาะของคุณ แล้วติดตั้งบนคอมพิวเตอร์ภายในบริษัททุกเครื่อง

2. สร้างนโยบายด้านความปลอดภัยสำหรับอีเมลที่เข้มงวด

อีเมลนับเป็นแหล่งขนาดใหญ่ของการสื่อสารประจำวันในบริษัท จึงเป็นสิ่งสำคัญอย่างมากที่คุณต้องมีโพลิซีด้านความปลอดภัยของอีเมลที่แข็งแกร่งเอาไว้ใช้ ซึ่งถ้าคุณใช้ชุดบริการทางธุรกิจระดับมืออาชีพอย่าง Cloud 365 แล้วก็ถือเป็นเรื่องง่าย

3. ซ่อนที่อยู่ไอพีของคุณ

หนึ่งในวิธีที่ดีที่สุดในการรักษาทั้งความปลอดภัยและความเป็นส่วนตัวในสภาพแวดล้อมบนโลกออนไลน์ปัจจุบันคือ การปกปิดที่อยู่ไอพีจริงของคุณ ซึ่งทำให้ยากต่อการที่อาชญากรไซเบอร์และแฮ็กเกอร์ที่จะบุกเข้ามาสร้างความเสียหายในบริษัท

4. ติดตั้งระบบ MDM

ระบบ Mobile Device Management หรือ MDM ถือเป็นองค์ประกอบที่จำเป็นสำหรับการทำงานของฝ่ายไอทีในบริษัทของคุณจะทำให้ทีมงานด้านความปลอดภัยของคุณสามารถเข้าควบคุมอุปกรณ์ที่พนักงานของคุณใช้ได้ดีขึ้น

5. ให้ความรู้แก่พนักงานและบังคับใช้กฎระเบียบ

พนักงานจำเป็นต้องตระหนักถึงช่องโหว่ที่อาจเป็นไปได้บนอุปกรณ์ที่พวกเขาใช้ทำงานตัวอย่างเช่น พวกเขาควรจะรู้ว่าอีเมลฟิชชิ่งและโปรแกรมที่เป็นอันตรายสามารถตรวจสอบและหลีกเลี่ยงได้ และควรระลึกถึงวิธีระมัดระวังเวลาสื่อสารกับคนอื่นบนโลกออนไลน์

แต่ไม่ว่าพนักงานจะเอาอุปกรณ์ของตัวเองมาทำงาน หรือใช้อุปกรณ์ของบริษัทก็ตาม ก็ไม่ได้เปลี่ยนข้อเท็จจริงที่ว่ายังมีความเสี่ยงด้านความปลอดภัยอยู่เสมอ ซึ่งจนกว่าจะมีการวางมาตรการที่เหมาะสมไว้ล่วงหน้านั้น ธุรกิจของคุณก็อาจโดนจารกรรมข้อมูลที่เป็นความลับได้ตลอดเวลา

ที่มา : Technotification

from:https://www.enterpriseitpro.net/5-ways-you-can-prevent-your-computers-from-getting-hacked/

รู้จักกรอบการทำงานด้านความปลอดภัยไซเบอร์จาก NIST ตอนที่ 2: Protect

มาต่อตอนที่ 2 เกี่ยวกับ NIST CSF และคำแนะนำจาก Trend Micro กัน โดยในองค์ประกอบที่สองของกรอบการทำงานที่ชื่อว่า Protect นี้มีนิยามว่า การที่ผู้มีส่วนเกี่ยวข้องกับการจัดการความปลอดภัยต้องมองหาวิธีลดผลกระทบจากเหตุการณ์ต่างๆ ให้มากที่สุด ด้วยการใช้แนวทางปฏิบัติที่ดีที่สุดทั้งด้านการปกป้องข้อมูล และความปลอดภัยโดยรวม

ซึ่ง CISO อาจมองเรื่อง Identityที่เป็นองค์ประกอบแรกให้เป็นพื้นฐานของระบบความปลอดภัยของบริษัททั้งหมด และมองเรื่องของ Protect เป็นกรอบการทำงานที่ครอบลงไปอีกที เพื่อให้อีกสามองค์ประกอบสุดท้ายอันได้แก่ Detect, Respond, และ Recover ได้ทำหน้าที่ของตัวเองตามกรอบและพื้นฐานที่วางไว้อย่างดีแล้ว

หน้าที่ของส่วน Protect นี้เกี่ยวกับการจำกัดและควบคุมการเข้าถึงทรัพยากรต่างๆ ทั้งทางกายภาพและดิจิตอล โดยทาง Trend Micro ได้แนะนำองค์ประกอบย่อยต่างๆ ที่ควรจัดการให้ครบถ้วนได้แก่ การควบคุมการเข้าถึง, การสร้างความตื่นตัวและจัดอบรม, การสร้างความปลอดภัยแก่ข้อมูล, การพัฒนากระบวนการในการปกป้องข้อมูล, การบำรุงรักษา, และการใช้เทคโนโลยีและโซลูชั่นในเชิงป้องกัน เป็นต้น

ที่มา : https://blog.trendmicro.com/nist-cybersecurity-framework-series-part-2-protect

from:https://www.enterpriseitpro.net/nist-protec-part2/

Tips 3 ประการ ที่จะช่วยปกป้องข้อมูลส่วนตัวอย่างง่ายดาย

ยุคนี้ แฮ็กเกอร์ ต่างไวต่อการใช้ประโยชน์จากช่องโหว่ใหม่ๆ ที่ค้นพบมาล่อหลอกเหยื่อ โดยเฉพาะเยื่อผู้ใช้ทั่วไปที่ไม่ค่อยตามทันโลกหรือข่าวสารไอทีล่าสุดเท่าไร ซึ่งการปกป้องตัวเองที่มีประสิทธิภาพมากที่สุด จำเป็นต้องป้องกันหลายระดับร่วมกันเพื่อลดความเสี่ยงในการเกิดช่องโหว่ให้น้อยที่สุดเท่าที่เป็นไปได้

ทั้งนี้ ทางเว็บ Hackread.com ได้แนะนำเคล็ดลับหรือ Tips 3 ประการง่ายๆ ในการป้องกันตัวเองจากการโจมตีออนไลน์ดังนี้

1. อีเมล์
แค่หยุดตั้งสติดูความผิดปกติของเมล์ โดยเฉพาะที่อยู่อีเมล์ผู้ส่ง, ความถูกต้องการสะกด, หรือการร้องขอข้อมูลส่วนตัวแบบแปลกๆ ซึ่งถ้าสงสัยว่าเป็นเมล์หลอกลวง แนะนำว่าห้ามตอบกลับเด็ดขาด ไม่ว่าจะเป็นการเมล์ถามว่าเธอเป็นตัวจริงไหม เพราะจะเป็นการยืนยันตนกับแฮ็กเกอร์ทันทีว่าเหยื่อคนนี้มีตัวตนจริง หรือแม้แต่การคลิกลิงค์หรือไฟล์แนบ ควรใช้วิธีติดต่อทางอื่นเช่น โทรศัพท์ เพื่อยืนยันความถูกต้องดีกว่า

2. รหัสผ่าน
ตั้งซับซ้อนไว้เป็นดี อย่าเอาข้อมูลส่วนตัวง่ายๆ เช่นวันเกิด, ชื่อลูก, หรืออะไรที่เดาได้จากหน้าโปรไฟล์เฟซบุ๊กมาใช้ และควรตั้งให้แตกต่างกันบนทุกแอพหรือเว็บไซต์ โดยใช้ซอฟต์แวร์เก็บจัดการรหัสผ่านช่วยอำนวยความสะดวก อย่าลืมว่าที่องค์กรต่างๆ ถูกแฮ็กร้อยละ 81 มาจากรหัสผ่านเดาง่ายทั้งสิ้น

3. การอัพเดต
การไม่ยอมอัพเดตเครื่องตัวเอง ย่อมเปิดโอกาสให้แฮ็กเกอร์ที่รู้ข้อมูลช่องโหว่ที่เผยแพร่สู่สาธารณะพร้อมๆ กันนั้นใช้ประโยชน์ในการแฮ็กเครื่องคุณได้ ดังนั้น ให้แน่ใจว่าระบบหรือซอฟต์แวร์บนเครื่องมีการอัพเดตอย่างสม่ำเสมอ แม้บางแพ็ตช์จะดูเป็นการแก้ไขบั๊กกระจิ๊บกระจ้อยร่อยก็ตาม

ที่มา : Hackread

from:https://www.enterpriseitpro.net/tips-3-data/

โหลดฟรี ทูล “BitScout” สำหรับเก็บรวบรวมหลักฐาน หลังถูกจู่โจมไซเบอร์

ในการจู่โจมโจมตีทางไซเบอร์ส่วนมาก เจ้าของที่ถูกต้องตามกฎหมายของระบบที่ถูกโจมตีจากผู้บุกรุกนิรนามนั้นมักจะยินยอมให้ความร่วมมือ และให้ความช่วยเหลือแก่นักวิจัยด้านความปลอดภัยในการค้นหาเวคเตอร์ที่ก่อให้เกิดการติดเชื้อ หรือรายละเอียดอื่นๆ ที่เกี่ยวข้องกับผู้บุกรุก

อย่างไรก็ตาม ก็ยังเป็นความวิตกกังวลมาแสนนานของเหล่านักวิจัยด้านการพิสูจน์หลักฐานถึงความจำเป็นที่จะต้องเดินทางไกลเพื่อเก็บรวบรวมหลักฐานเบาะแสสำคัญ อาทิ ตัวอย่างมัลแวร์จากคอมพิวเตอร์ที่ติดเชื้อ ซึ่งนั่นย่อมหมายถึงค่าใช้จ่ายสูงและความล่าช้า ยิ่งยืดเยื้อในการทำความเข้าใจลักษณะการจู่โจมนั้น การป้องกันผู้ใช้งาน และชี้ตัวผู้ทำการบุกรุกก็จะยิ่งเนิ่นนานออกไป ส่วนทางเลือกอื่นๆ ก็จะต้องอาศัยเครื่องมือที่มีราคาแพง รวมทั้งความรู้ในการใช้งานทูลเหล่านั้น หรือเสี่ยงติดเชื้อมัลแวร์ไปด้วย หรือหลักฐานสูญหายระหว่างการย้ายข้อมูลระหว่างเครื่องคอมพิวเตอร์

เพื่อเป็นการแก้ปัญหานี้ วิตาลี คามลัก ผู้อำนวยการทีมวิเคราะห์และวิจัย (Global Research and Analysis Team หรือทีม GReAT) แคสเปอร์สกี้ แลป ประจำภูมิภาคเอเชียแปซิฟิก จึงได้คิดค้นเครื่องมือดิจิทัลที่เป็นโอเพ่นซอร์สขึ้น ทูลนี้ เรียกว่า BitScout (บิตสเก๊าต์) ให้โหลดฟรีโดยไม่มีค่าใช้จ่าย มันสามารถใช้งานในระยะไกลเพื่อทำการเก็บรวบรวมหลักฐานสำคัญ เก็บรวบรวมภาพรวมของดิสก์ผ่านระบบเครือข่ายหรือเก็บลงบนสตอเรจที่ต่อเชื่อมอยู่ หรือเพียงแต่จะให้ความช่วยเหลือในการจัดการกับมัลแวร์ก็ย่อมได้ สามารถเรียกดูได้และทำการวิเคราะห์ข้อมูลที่เกี่ยวโยงกับหลักฐานได้จากระยะไกล หรือจะวิเคราะห์ ณ ที่เกิดเหตุก็ได้ โดยที่สตอเรจจัดเก็บข้อมูลหลักนั้นยังคงใช้การได้อยู่ โดยแยกใช้งานผ่านที่เก็บข้อมูลที่แยกต่างหากที่สามารถไว้วางใจเชื่อถือได้

ฟีเจอร์ของ BitScout มีดังนี้
• การเก็บภาพรวมของดิสก์ (Disk image acquisition) ที่แม้แต่พนักงานที่ไม่เคยผ่านการอบรมก็สามารถทำเองได้
• ฝึกอบรมระหว่างดำเนินการใช้งาน (แชร์ภาพเซสชั่นของเครื่องคอมพิวเตอร์ให้ดูได้)
• โอนย้ายข้อมูลที่มีความซับซ้อนไปยังห้องปฏิบัติการของคุณเพื่อการตรวจสอบเชิงลึก
• ใช้วิธีการตรวจสอบแบบ Yara หรือ ทำการสแกน AV ระบบช่วงที่ออฟไลน์ได้จากระยะไกล (สำคัญสำหรับการตรวจสอบรูทคิท)
• ค้นหาและเรียกดูคีย์ลงทะเบียน (registry keys) (autoruns, บริการ, อุปกรณ์ยูเอสบีที่เชื่อมต่ออยู่)
• ดำเนินการกู้คืนไฟล์ที่ถูกลบออกไปแล้วได้จากระยะไกล
• ฟื้นฟูปรับปรุงสถานะระบบระยะไกล หากได้รับสิทธิ์ในการเข้าใช้ระบบจากผู้เป็นเจ้าของระบบ
• ทำการสแกนโหนดบนเครือข่ายอื่นๆ ได้จากระยะไกล (เป็นประโยชน์สำหรับการรับมือกับเหตุการณ์จากระยะไกล)

เครื่องมือนี้มีพร้อมให้ใช้งานได้โดยไม่มีค่าใช้จ่ายที่ศูนย์เก็บโค้ด GitHub: https://github.com/vitaly-kamluk/bitscout

from:https://www.enterpriseitpro.net/archives/7545

Trend Micro จัดการแข่งขัน “Capture the Flag” มุ่งลดการขาดแคลนทักษะในตลาด

ทาง Trend Micro ได้จัดการแข่งขันที่ชื่อว่า Capture the Flag หรือ CTF ติดต่อกันเป็นปีที่สามแล้ว เพื่อมุ่งสนับสนุน และยกระดับทักษะที่จำเป็นของผู้ประกอบอาชีพด้านความปลอดภัยและไอที เพื่อรองรับกับความต้องการในตลาดทั้งปัจจุบันและอนาคต

โดยมุ่งขยายขอบเขตของทักษะที่สายอาชีพนี้มีให้กว้างกว่าเดิม รับความรู้ใหม่ๆ ที่จำเป็น เช่น การรับมือการโจมตีที่เจาะจงเป้าหมาย, อันตรายที่เกี่ยวข้องกับ IoT, และการโจมตีที่มุ่งเล่นงานระบบความคุมของอุตสาหกรรมหรือ ICS เป็นต้น เพื่อยกระดับการพัฒนาทั้งวิศวกร และโปรแกรมเมอร์ในวงการนี้ ซึ่งนอกจากจะตอบสนองต่อความต้องการของตลาดแรงงานที่กำลังขาดแคลนอย่างหนักแล้ว ยังทำให้โลกใบนี้มีความปลอดภัยเพิ่มขึ้นในที่สุดอีกด้วย

การแข่งขันนี้แบ่งเป็นสองขั้นตอน ได้แก่การทดสอบขั้นต้นผ่านออนไลน์ และรอบสุดท้ายที่ไปแข่งที่กรุงโตเกียว โดยแบบทดสอบออนไลน์จะให้ผู้แข่งขันแก้ปัญหาในสถานการณ์หลายรูปแบบ และจะมีเพียงแค่สิบทีมเท่านั้นที่จะเข้าไปแข่งรอบสุดท้ายที่เน้นทั้งการ “โจมตี และป้องกันตนเอง” ผู้ชนะจะได้รางวัลสูงถึงหนึ่งล้านเยน และผ่านเข้าไปแข่งขันรอบสุดท้ายของงาน HITCON CTF 2017 ที่ไต้หวันได้ทันที

อ่านรายละเอียดที่นี่ – http://blog.trendmicro.com/bridging-skills-gap-trend-micros-capture-flag-ctf-competition/

from:https://www.enterpriseitpro.net/archives/7094