ในเดือนกรกฎาคม 2025 Microsoft ออกประกาศว่ามีการพบช่องโหว่ของ SharePoint และกำลังตกเป็นเป้าการโจมตี เหตุการณ์นี้ส่งผลกระทบต่อองค์กรกว่า 9,000 แห่งทั่วโลกที่ใช้งาน SharePoint Server
ผู้โจมตีใช้สิทธิ์ฝั่ง Server ในการแก้ไขค่า Machine Keys หรือ รหัสลับเฉพาะของเครื่อง และข้ามกระบวนการยืนยันตัวตน เพื่อดำเนินการโจมตี
SharePoint ถือเป็นระบบหลักของหลายบริษัท และมักถูกใช้เพื่อการทำงานร่วมกัน ระหว่างทีมบนเอกสาร หากระบบถูกโจมตี ไม่เพียงแต่ข้อมูลสำคัญของบริษัทจะรั่วไหล แต่กระบวนการทำงานทั้งธุรกิจอาจหยุดชะงักได้
เหตุการณ์นี้ตอกย้ำถึงความจำเป็นในการทบทวนและปรับปรุงกลยุทธ์การปกป้องข้อมูลที่มีอยู่ กลยุทธ์ความปลอดภัยไซเบอร์แบบรอบด้านเท่านั้น ที่จะสามารถปกป้องข้อมูลและรับประกันการดำเนินธุรกิจได้อย่างต่อเนื่อง
กลยุทธ์การป้องกันหลายชั้น ช่วยองค์กรรับมือวิกฤติได้อย่างไร
จากกรณี Microsoft SharePoint ล่าสุด ผู้โจมตีไม่ได้โจมตีระบบโดยตรง แต่ใช้ช่องโหว่จากผู้ให้บริการ Third-party ในการขโมยข้อมูลยืนยันตัวตนและเจาะเข้าสู่ระบบ SharePoint
องค์กรที่ต้องการต้านทานการโจมตีทางไซเบอร์อย่างจริงจังไม่สามารถพึ่งพาเพียง Firewall หรือ Antivirus ได้อีกต่อไป องค์กรจึงต้องใช้แนวทาง ความปลอดภัยแบบหลายชั้น เพื่อปกป้องข้อมูลและระบบ ซึ่งประกอบด้วย การปกป้องอุปกรณ์ปลายทาง, การแบ่งส่วนเครือข่าย(network segmentation), การเข้ารหัสข้อมูล, การควบคุมสิทธิ์การเข้าถึง , การตรวจจับพฤติกรรม และวิธีการสำรองข้อมูล
พร้อมทั้งต้องกำหนดข้อกำหนดด้านความปลอดภัย ที่เข้มงวดต่อผู้ให้บริการที่ร่วมงานด้วย เพื่อให้มั่นใจว่าผู้ให้บริการเหล่านั้นปฏิบัติตามมาตรฐานความปลอดภัยไซเบอร์ ผ่านการประเมินและตรวจสอบความปลอดภัยรวมถึงการมีกฎระเบียบด้าน การปฏิบัติตามมาตรฐานความปลอดภัย ที่ชัดเจน
องค์ประกอบสำคัญในกลยุทธ์ความปลอดภัยไซเบอร์
- เสริมความปลอดภัย Endpoint ติดตั้ง Endpoint Detection and Response (EDR) และ Antivirus เพื่อป้องกันภัยคุกคามเชิงรุก แฮกเกอร์มักเริ่มโจมตีจากการเจาะ Endpoint เพียงจุดเดียวและลุกลามไปทั้งระบบ
- รักษาความปลอดภัยเครือข่าย ใช้ Network Segmentation และ Firewall แยกระบบสำคัญ พร้อมติดตั้ง Intrusion Detection System (IDS) และ Intrusion Prevention System (IPS) เพื่อวิเคราะห์ทราฟฟิก ค้นหาความผิดปกติ ตรวจจับภัยภายใน และสกัดกั้นการเชื่อมต่อที่น่าสงสัยได้ทันที
- ปกป้องข้อมูล ลดความเสี่ยงการรั่วไหลด้วยการตั้งรหัสข้อมูลส่วนบุคคลและข้อมูลลิขสิทธิ์ ควบคู่กับ Data Loss Prevention (DLP) เพื่อป้องกันการคัดลอก ส่งออก หรืออัปโหลดข้อมูลสำคัญ
- ควบคุมสิทธิ์เข้าถึงตามบทบาท (Role-based Access Control) ใช้หลักการ Zero Trust และ Least Privilege พร้อม Multi-factor Authentication (MFA) เพื่อป้องกันการขโมย Identity รวมถึงใช้ Single Sign-on (SSO) และ Identity & Access Management (IAM) เพื่อจัดการสิทธิ์การเข้าถึงจากศูนย์กลาง
- ตรวจจับและระบุภัยคุกคาม ใช้ Security Information and Event Management (SIEM) พร้อม Advanced Analytics เพื่อรวบรวมและวิเคราะห์เหตุการณ์ความปลอดภัย บล็อกการเข้าถึงข้อมูลที่ผิดปกติ และตรวจพบภัยคุกคามที่อาจบ่งชี้การโจมตีในอนาคต
- อัปเดตและแพตช์ระบบสม่ำเสมอ อัปเดตซอฟต์แวร์และฮาร์ดแวร์เพื่อป้องกันภัยคุกคามใหม่ๆ อุดช่องโหว่ที่มีอยู่ และเพิ่มความปลอดภัยระบบในระยะยาว
- ทำ Backup และกู้คืนระบบ สำรองข้อมูลสำคัญอย่างสม่ำเสมอ เก็บหลายเวอร์ชันและเก็บสำเนาไว้ Off-site เพื่อลดผลกระทบจากการโจมตีจากแรมซอมแวร์
หัวใจของ Cyber Resilience: ความต่อเนื่องของธุรกิจและความสามารถในการกู้คืนข้อมูล
การสำรองข้อมูล ถือเป็นแนวป้องกันด่านสุดท้าย หากข้อมูลถูกเข้ารหัส (Encryped) หรือถูกลบ Backup คือทางเดียวที่จะทำให้ธุรกิจกลับมาดำเนินการได้ บริษัทควรสำรองข้อมูลปฏิบัติการทั้งหมด เสริมมาตรการแยกข้อมูล (Data Isolation) และตรวจสอบความสามารถในการกู้คืน Backup อย่างสม่ำเสมอ
เนื่องจากองค์กรสมัยนี้ใช้แพลตฟอร์มและเครื่องมือหลากหลาย หาก Workload ใดไม่มีการป้องกัน ก็จะกลายเป็นช่องโหว่ที่รอการโจมตี เมื่อแพลตฟอร์มและข้อมูลเชื่อมโยงกัน องค์กรต้องมั่นใจว่าไม่มี Backup ใดถูกละเลย และรวมทุกแหล่งและอุปกรณ์ Backup ไว้ในกลยุทธ์การสำรองข้อมูล
การสร้างระบบที่สามารถฟื้นฟูและรับมือภัยไซเบอร์ เป็นสิ่งจำเป็น เพราะองค์กรไม่สามารถพึ่งพากลไกป้องกันเพียงอย่างเดียว
Synology แนะนำให้ใช้เทคนิค Data Isolation เช่น Immutability และ Offline Backup โดย Immutable Backup จะทำให้ข้อมูลไม่สามารถเปลี่ยนแปลงหรือลบได้ในช่วงเวลาที่กำหนด ลดความเสี่ยงที่ Backup Server จะถูกโจมตี ส่วน Offline Backup จะถูกแยกออกทางกายภาพ ไม่สามารถเข้าถึงได้จากเครือข่ายภายนอก ลดความเสี่ยงจากแรมซัมแวร์และช่องโหว่ที่เกิดจาก Human Error
การสำรองข้อมูลเพียงอย่างเดียวไม่เพียงพอ สิ่งสำคัญคือการตรวจสอบความพร้อมใช้งานของข้อมูล หากไม่ตรวจสอบความสมบูรณ์ของ Backup องค์กรอาจไม่สามารถกู้คืนได้แม้จะมีข้อมูลอยู่ก็ตาม ควรมีการทดสอบการกู้คืน และใช้โซลูชันที่รองรับการตรวจสอบ Backup ในตัว เพื่อให้สามารถฟื้นฟูการดำเนินงานได้ทันทีเมื่อถูกโจมตีด้วยแรมซอมแวร์
เขียนโดย โทนี่ หลิน ผู้จัดการฝ่ายผลิตภัณฑ์ Synology