ครึ่งปีแรกของปี 2022 ยังพบการโจมตี Brute Force Attack ผ่านการรีโมทเข้าทำงานระยะไกล
“แคสเปอร์สกี้เผย อาชญากรไซเบอร์ยังเล็งโจมตีพนักงาน WFH ในอาเซียน แคสเปอร์สกี้สามารถบล็อกการโจมตี RDP มากกว่า 2.6 แสนครั้งต่อวันในครึ่งปีแรก จากการทำงานแบบไฮบริดและระยะไกล
ในช่วงเดือนมกราคมถึงมิถุนายนของปี 2022 โซลูชันของแคสเปอร์สกี้ได้บล็อกการโจมตีแบบ Brute force attack โดยผ่านการรีโมทเข้าไปทำงานระยะไกล (Remote Desktop Protocol: RDP) ที่ชื่อว่า Bruteforce.Generic.RDP ที่กำหนดเป้าหมายโจมตีพนักงานที่ทำงานระยะไกลในภูมิภาคอาเซียน จำนวนทั้งหมด 47,802,037 รายการ
โดยเฉลี่ยแล้วในทุกๆ วัน แคสเปอร์สกี้บล็อกการโจมตีแบบ Brute force attack จำนวน 265,567 ครั้ง ในช่วงครึ่งปีแรกนี้ สามารถปกป้องผู้ใช้ในภูมิภาคส่วนใหญ่จากประเทศเวียดนาม อินโดนีเซีย และไทยจากภัยคุกคามประเภทนี้
ซึ่งการโจมตีแบบ Bruteforce น้น เป็นวิธีการเดารหัสผ่านหรือคีย์การเข้ารหัสที่เกี่ยวข้องกับการพยายามรวมอักขระที่เป็นไปได้ทั้งหมดอย่างเป็นระบบจนกว่าจะพบรหัสที่ถูกต้อง
ส่วนวิธีการการรีโมทเข้าไปทำงานระยะไกล หรือ Remote Desktop Protocol (RDP) เป็นโปรโตคอลที่เป็นของ Microsoft ซึ่งเป็นกราฟิกอินเทอร์เฟซให้ผู้ใช้เชื่อมต่อกับคอมพิวเตอร์เครื่องอื่นผ่านเครือข่าย RDP ใช้กันอย่างแพร่หลาย ทั้งผู้ดูแลระบบและผู้ใช้ที่ไม่ค่อยมีความรู้ในการควบคุมเซิร์ฟเวอร์และพีซีเครื่องอื่นจากระยะไกล
การโจมตี Bruteforce.Generic.RDP จะพยายามค้นหาคู่ล็อกอินกับรหัสผ่าน RDP ที่ใช้งานได้ โดยตรวจสอบรหัสผ่านที่เป็นไปได้ทั้งหมดอย่างเป็นระบบจนกว่าจะพบรหัสผ่านที่ถูกต้อง การโจมตี Bruteforce.Generic.RDP ที่ประสบความสำเร็จจะทำให้ผู้โจมตีสามารถเข้าถึงคอมพิวเตอร์โฮสต์เป้าหมายได้จากระยะไกล
Brute Force บน RDP ไม่ใช่เรื่องใหม่แต่ได้รับความนิยม
เซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า “โดยปกติ การทำงานจากที่บ้านหรือที่ใดก็ตามนอกสำนักงานจำเป็นต้องให้พนักงานล็อกอินเข้าใช้ทรัพยากรขององค์กรจากอุปกรณ์ส่วนตัวจากระยะไกล หนึ่งในเครื่องมือทั่วไปที่ใช้เพื่อจุดประสงค์นี้คือ RDP”
“และระบบปฏิบัติการ Microsoft 365 เป็นซอฟต์แวร์ที่องค์กรต่างๆ นิยมใช้ และมีผู้ใช้ในภูมิภาคเอเชียตะวันออกเฉียงใต้มากกว่า 680 ล้านคน โดยผู้ใช้ครึ่งหนึ่งมีอายุต่ำกว่า 30 ปี และมีความชำนาญด้านเทคโนโลยีสูง”
“ดังนั้นเราจึงเห็นการใช้โปรโตคอลนี้อย่างต่อเนื่อง เพราะ
การทำงานระยะไกลได้กลายเป็นรูปแบบการทำงานปกติ เราคาดว่าผู้ประสงค์ร้ายจะยังคงไล่ตามเพื่อรุกล้ำเจาะระบบของบริษัทและองค์กรต่างๆ ผ่านการโจมตีแบบ brute force”
การโจมตี RDP ไม่ใช่เรื่องใหม่ แคสเปอร์สกี้ตั้งข้อสังเกตว่า อาชญากรไซเบอร์ใช้ประโยชน์จากแนวโน้มล่าสุดนี้และสภาพแวดล้อมการทำงานระยะไกลและไฮบริดเพื่อกำหนดเป้าหมายโจมตีองค์กร
และการโจมตีแบบ Brute_Force บน RDP ก็ไม่ใช่เรื่องใหม่ แต่ไม่เคยมีพนักงานจำนวนมากที่ใช้โปรโตคอลเหล่านี้มาก่อน นั่นอาจเป็นเหตุผลว่าทำไมถึงได้เป็นจุดสนใจหลักของการโจมตีในภูมิภาคนี้
แม้ว่าการรักษาความปลอดภัยขององค์กรเป็นเรื่องสำคัญ แต่การเปลี่ยนแปลงครั้งใหญ่ไปสู่การทำงานแบบระยะไกลหรือแบบไฮบริดเมื่อเร็วๆ นี้ ได้แสดงให้เห็นอย่างชัดเจนว่า แม้แต่การรักษาความปลอดภัยขององค์กรที่ดีที่สุดก็ไม่สามารถชดเชยการขาดความตระหนักรู้ของผู้ใช้ได้
โดยเฉพาะอย่างยิ่งบริษัท 60% ที่อนุญาตให้พนักงานใช้อุปกรณ์ของตนเองในการทำงาน บริษัทต่างๆ จะต้องฝึกอบรมพนักงานของตนเรื่องแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยทางไซเบอร์ เพื่อให้ตระหนักถึงความเสี่ยงและเข้าใจวิธีการทำงานอย่างปลอดภัยด้วยทรัพยากรขององค์กร
การฝึกอบรมด้านสุขอนามัยในโลกไซเบอร์นี้จะต้องมาพร้อมกับการเปลี่ยนแปลงในการบริหารไอที ฝ่ายไอทีจำเป็นต้องให้การสนับสนุนเพิ่มเติมแก่พนักงาน ตรวจสอบให้แน่ใจว่ามีการใช้การอัปเดตตรงเวลา และปัญหาในการเชื่อมต่อจากระยะไกลได้รับการแก้ไขทันที
สำหรับธุรกิจจำนวนมาก การทำงานระยะไกลไม่ใช่วิธีแก้ปัญหาชั่วคราว บริษัทหลายแห่งได้ประกาศแล้วว่า หลังจากการระบาดใหญ่บรรเทาลง รูปแบบการทำงานจากที่บ้านและไฮบริดจะกลายเป็นสิ่งที่เกิดขึ้นถาวรสำหรับการทำงานของพนักงาน
โยว กล่าวเสริมว่า “จากนี้ไป องค์กรธุรกิจจะต้องคิดใหม่เรื่องวิธีจัดระเบียบเครือข่ายองค์กรของตน เนื่องจากเครื่องทั้งหมดไม่ได้อยู่ในสำนักงาน และไม่เชื่อมต่อกับเครือข่ายขององค์กร จึงจำเป็นต้องทำการปรับเปลี่ยนเพื่อให้แน่ใจว่าเครื่องเอ็นด์พ้อยต์มีความปลอดภัยและทรัพยากรขององค์กรได้รับการปกป้อง”
“อาชญากรไซเบอร์พร้อมเสมอที่จะใช้ประโยชน์จากเหตุการณ์วุ่นวายในปัจจุบัน โชคดีที่การป้องกันความเสี่ยงในโลกไซเบอร์ที่เปลี่ยนแปลงตลอดเวลานั้นไม่จำเป็นต้องอาศัยเทคโนโลยีขั้นสูงหรือทักษะการเขียนโปรแกรมขั้นสูง เพียงแค่ต้องใช้ความรู้เพียงเล็กน้อยเกี่ยวกับกฎความปลอดภัยทางไซเบอร์ขั้นพื้นฐานเท่านั้น”
เคล็ดลับการกับปัญหาด้านความปลอดภัยการทำงานจากกระยะไกล
ผู้เชี่ยวชาญของแคสเปอร์สกี้ขอเสนอเคล็ดลับเพื่อช่วยให้นายจ้างและธุรกิจสามารถจัดการกับปัญหาด้านความปลอดภัยด้านไอทีที่อาจเกิดขึ้นได้ และยังคงทำงานได้อย่างมีประสิทธิภาพ เมื่อพนักงานกำลังทำงานจากระยะไกลหรือจากที่บ้าน ดังนี้
- ตรวจสอบว่าพนักงานของคุณมีทุกสิ่งที่จำเป็นสำหรับการทำงานจากที่บ้านอย่างปลอดภัย และรู้ว่าต้องติดต่อใครหากต้องเผชิญกับปัญหาด้านไอทีหรือความปลอดภัย
- จัดการการฝึกอบรมความตระหนักด้านความปลอดภัยขั้นพื้นฐานสำหรับพนักงาน ซึ่งสามารถทำได้ทางออนไลน์และครอบคลุมแนวทางปฏิบัติที่จำเป็น เช่น การจัดการบัญชีและรหัสผ่าน การรักษาความปลอดภัยของอีเมล การรักษาความปลอดภัยปลายทาง และการท่องเว็บ
- ใช้มาตรการสำคัญเพื่อป้องกันข้อมูล รวมถึงการเปิดใช้การป้องกันด้วยรหัสผ่าน การเข้ารหัสอุปกรณ์ที่ทำงาน และการสำรองข้อมูล
- ตรวจสอบว่าอุปกรณ์ ซอฟต์แวร์ แอปพลิเคชัน และบริการได้รับการอัปเดตด้วยแพตช์ล่าสุด
- ติดตั้งซอฟต์แวร์การป้องกันที่ได้รับการพิสูจน์แล้ว บนเครื่องเอ็นด์พ้อยต์ทั้งหมด รวมถึงอุปกรณ์พกพา และเปิดไฟร์วอลล์
- ตรวจสอบว่าองค์กรมีสิทธิ์เข้าถึงข้อมูลภัยคุกคามล่าสุด เพื่อสนับสนุนโซลูชันการป้องกัน
- ตรวจสอบการป้องกันบนอุปกรณ์มือถืออีกครั้ง ตัวอย่างเช่น ควรเปิดใช้ฟีเจอร์การป้องกันการโจรกรรม เช่น ตำแหน่งของอุปกรณ์ระยะไกล การล็อกและการล้างข้อมูล การล็อกหน้าจอ รหัสผ่าน และฟีเจอร์ด้านความปลอดภัยแบบไบโอเมตริก เช่น Face ID หรือ Touch ID ตลอดจนเปิดใช้การควบคุมแอปพลิเคชันเพื่อให้แน่ใจว่าพนักงานใช้แอปพลิเคชันที่ได้รับอนุมัติแล้วเท่านั้น
- การปกป้องงานบนระบบคลาวด์และโครงสร้างพื้นฐานเดสก์ท็อปเสมือน
Featured Image: Image by tirachardz on Freepik
