แคสเปอร์สกี้ (Kaspersky) เผยอาชญากรไซเบอร์ยังเล็งโจมตีพนักงานที่ทำงานจากระยะไกล หรือ WFH ในอาเซียน ระบุตัวเลขบล็อกการโจมตี RDP มากกว่า 2.6 แสนครั้งต่อวันในครึ่งปีแรก
นายเซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า โดยปกติการทำงานจากที่บ้านหรือที่ใดก็ตามนอกสำนักงานจำเป็นต้องให้พนักงานล็อกอินเข้าใช้ทรัพยากรขององค์กรจากอุปกรณ์ส่วนตัวจากระยะไกล หนึ่งในเครื่องมือทั่วไปที่ใช้เพื่อจุดประสงค์นี้คือ RDP ระบบปฏิบัติการ Microsoft 365 เป็นซอฟต์แวร์ที่องค์กรต่างๆ นิยมใช้ และมีผู้ใช้ในภูมิภาคเอเชียตะวันออกเฉียงใต้มากกว่า 680 ล้านคน โดยผู้ใช้ครึ่งหนึ่งมีอายุต่ำกว่า 30 ปี และมีความชำนาญด้านเทคโนโลยีสูง ดังนั้น บริษัทจึงเห็นการใช้โปรโตคอลนี้อย่างต่อเนื่อง เพราะการทำงานระยะไกลได้กลายเป็นรูปแบบการทำงานปกติ
"เราคาดว่าผู้ประสงค์ร้ายจะยังคงไล่ตามเพื่อรุกล้ำเจาะระบบของบริษัทและองค์กรต่างๆ ผ่านการโจมตีแบบ brute force”
แคสเปอร์สกี้ระบุว่า ในช่วงเดือนมกราคมถึงมิถุนายนของปี 2022 โซลูชันของแคสเปอร์สกี้ได้บล็อกการโจมตี Remote Desktop Protocol (RDP) จำนวน Bruteforce.Generic.RDP ที่กำหนดเป้าหมายโจมตีพนักงานที่ทำงานระยะไกลในภูมิภาคทั้งหมด 47,802,037 รายการ โดยเฉลี่ยแล้วในทุกๆ วัน แคสเปอร์สกี้บล็อกการโจมตีแบบ Brute force attack จำนวน 265,567 ครั้ง
ในช่วงครึ่งปีแรกนี้ แคสเปอร์สกี้ย้ำว่าได้ปกป้องผู้ใช้ในภูมิภาคส่วนใหญ่จากประเทศเวียดนาม อินโดนีเซีย และไทยจากภัยคุกคามประเภท Remote Desktop Protocol (RDP) ซึ่งเป็นโปรโตคอลที่เป็นกรรมสิทธิ์ของ Microsoft ซึ่งเป็นกราฟิกอินเทอร์เฟซให้ผู้ใช้เชื่อมต่อกับคอมพิวเตอร์เครื่องอื่นผ่านเครือข่าย RDP ใช้กันอย่างแพร่หลาย ทั้งผู้ดูแลระบบและผู้ใช้ที่ไม่ค่อยมีความรู้ในการควบคุมเซิร์ฟเวอร์และพีซีเครื่องอื่นจากระยะไกล
แคสเปอร์สกี้อธิบายเพิ่มว่า การโจมตี Bruteforce.Generic.RDP จะพยายามค้นหาคู่ล็อกอินกับรหัสผ่าน RDP ที่ใช้งานได้ โดยตรวจสอบรหัสผ่านที่เป็นไปได้ทั้งหมดอย่างเป็นระบบจนกว่าจะพบรหัสผ่านที่ถูกต้อง การโจมตี Bruteforce.Generic.RDP ที่ประสบความสำเร็จจะทำให้ผู้โจมตีสามารถเข้าถึงคอมพิวเตอร์โฮสต์เป้าหมายได้จากระยะไกล
อย่างไรก็ตาม การโจมตี RDP ไม่ใช่เรื่องใหม่ แคสเปอร์สกี้ตั้งข้อสังเกตว่าอาชญากรไซเบอร์ใช้ประโยชน์จากแนวโน้มล่าสุดนี้และสภาพแวดล้อมการทำงานระยะไกลและไฮบริดเพื่อกำหนดเป้าหมายโจมตีองค์กร การโจมตีแบบ brute force บน RDP ก็ไม่ใช่เรื่องใหม่ แต่ไม่เคยมีพนักงานจำนวนมากที่ใช้โปรโตคอลเหล่านี้มาก่อน นั่นอาจเป็นเหตุผลว่าทำไมถึงได้เป็นจุดสนใจหลักของการโจมตีในภูมิภาคนี้
"แม้ว่าการรักษาความปลอดภัยขององค์กรเป็นเรื่องสำคัญ แต่การเปลี่ยนแปลงครั้งใหญ่ไปสู่การทำงานแบบระยะไกลหรือแบบไฮบริดเมื่อเร็วๆ นี้ ได้แสดงให้เห็นอย่างชัดเจนว่า แม้แต่การรักษาความปลอดภัยขององค์กรที่ดีที่สุดก็ไม่สามารถชดเชยการขาดความตระหนักรู้ของผู้ใช้ได้ โดยเฉพาะอย่างยิ่งบริษัท 60% ที่อนุญาตให้พนักงานใช้อุปกรณ์ของตนเองในการทำงาน บริษัทต่างๆ จะต้องฝึกอบรมพนักงานของตนเรื่องแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยทางไซเบอร์ เพื่อให้ตระหนักถึงความเสี่ยงและเข้าใจวิธีการทำงานอย่างปลอดภัยด้วยทรัพยากรขององค์กร" แคสเปอร์สกี้ระบุ "การฝึกอบรมด้านสุขอนามัยในโลกไซเบอร์นี้จะต้องมาพร้อมกับการเปลี่ยนแปลงในการบริหารไอที ฝ่ายไอทีจำเป็นต้องให้การสนับสนุนเพิ่มเติมแก่พนักงาน ตรวจสอบให้แน่ใจว่ามีการใช้การอัปเดตตรงเวลา และปัญหาในการเชื่อมต่อจากระยะไกลได้รับการแก้ไขทันที"
แคสเปอร์สกี้มองว่า สำหรับธุรกิจจำนวนมาก การทำงานระยะไกลไม่ใช่วิธีแก้ปัญหาชั่วคราว บริษัทหลายแห่งได้ประกาศแล้วว่า หลังจากการระบาดใหญ่บรรเทาลง รูปแบบการทำงานจากที่บ้านและไฮบริดจะกลายเป็นสิ่งที่เกิดขึ้นถาวรสำหรับการทำงานของพนักงาน
นายโยว กล่าวเสริมว่า “จากนี้ไปองค์กรธุรกิจจะต้องคิดใหม่เรื่องวิธีจัดระเบียบเครือข่ายองค์กรของตน เนื่องจากเครื่องทั้งหมดไม่ได้อยู่ในสำนักงาน และไม่เชื่อมต่อกับเครือข่ายขององค์กร จึงจำเป็นต้องทำการปรับเปลี่ยนเพื่อให้แน่ใจว่าเครื่องเอ็นด์พอยต์มีความปลอดภัยและทรัพยากรขององค์กรได้รับการปกป้อง อาชญากรไซเบอร์พร้อมเสมอที่จะใช้ประโยชน์จากเหตุการณ์วุ่นวายในปัจจุบัน โชคดีที่การป้องกันความเสี่ยงในโลกไซเบอร์ที่เปลี่ยนแปลงตลอดเวลานั้นไม่จำเป็นต้องอาศัยเทคโนโลยีขั้นสูงหรือทักษะการเขียนโปรแกรมขั้นสูง เพียงแค่ต้องใช้ความรู้เพียงเล็กน้อยเกี่ยวกับกฎความปลอดภัยทางไซเบอร์ขั้นพื้นฐานเท่านั้น”
ผู้เชี่ยวชาญของแคสเปอร์สกี้ได้เสนอเคล็ดลับเพื่อช่วยให้นายจ้างและธุรกิจสามารถจัดการกับปัญหาด้านความปลอดภัยด้านไอทีที่อาจเกิดขึ้นได้ และยังคงทำงานได้อย่างมีประสิทธิภาพ เมื่อพนักงานกำลังทำงานจากระยะไกลหรือจากที่บ้าน โดยควรตรวจสอบว่าพนักงานมีทุกสิ่งที่จำเป็นสำหรับการทำงานจากที่บ้านอย่างปลอดภัย และรู้ว่าต้องติดต่อใครหากต้องเผชิญกับปัญหาด้านไอทีหรือความปลอดภัย
นอกจากนี้ ควรจัดการการฝึกอบรมความตระหนักด้านความปลอดภัยขั้นพื้นฐานสำหรับพนักงาน ซึ่งสามารถทำได้ทางออนไลน์และครอบคลุมแนวทางปฏิบัติที่จำเป็น เช่น การจัดการบัญชีและรหัสผ่าน การรักษาความปลอดภัยของอีเมล การรักษาความปลอดภัยปลายทาง และการท่องเว็บ ร่วมกับการใช้มาตรการสำคัญเพื่อป้องกันข้อมูล รวมถึงการเปิดใช้การป้องกันด้วยรหัสผ่าน การเข้ารหัสอุปกรณ์ที่ทำงาน และการสำรองข้อมูล
ที่สำคัญควรตรวจสอบว่าอุปกรณ์ ซอฟต์แวร์ แอปพลิเคชัน และบริการได้รับการอัปเดตด้วยแพตช์ล่าสุด หรือติดตั้งซอฟต์แวร์การป้องกันที่ได้รับการพิสูจน์แล้ว เช่น Kaspersky Endpoint Security for Business บนเครื่องเอ็นด์พอยต์ทั้งหมด รวมถึงอุปกรณ์พกพา และเปิดไฟร์วอลล์
ขณะเดียวกัน ไม่ควรลืมตรวจสอบว่าองค์กรมีสิทธิเข้าถึงข้อมูลภัยคุกคามล่าสุด (threat intelligence) เพื่อสนับสนุนโซลูชันการป้องกัน รวมถึงควรตรวจสอบการป้องกันบนอุปกรณ์มือถืออีกครั้ง ตัวอย่างเช่น ควรเปิดใช้ฟีเจอร์การป้องกันการโจรกรรม เช่น ตำแหน่งของอุปกรณ์ระยะไกล การล็อกและการล้างข้อมูล การล็อกหน้าจอ รหัสผ่าน และฟีเจอร์ด้านความปลอดภัยแบบไบโอเมตริก เช่น Face ID หรือ Touch ID ตลอดจนเปิดใช้การควบคุมแอปพลิเคชันเพื่อให้แน่ใจว่าพนักงานใช้แอปพลิเคชันที่ได้รับอนุมัติแล้วเท่านั้น
"นอกจากอุปกรณ์เอ็นพอยต์แล้ว การปกป้องงานบนระบบคลาวด์และโครงสร้างพื้นฐานเดสก์ท็อปเสมือนก็เป็นสิ่งสำคัญ Kaspersky Hybrid Cloud Security สามารถปกป้องโครงสร้างพื้นฐานแบบไฮบริดของอุปกรณ์เอ็นพอยต์จริงและเสมือน ตลอดจนงานบนคลาวด์ไม่ว่าจะทำงานในสถานที่ ในศูนย์ข้อมูล หรือในคลาวด์สาธารณะ รองรับการทำงานร่วมกับแพลตฟอร์มคลาวด์หลักๆ เช่น VMware, Citrix หรือ Microsoft และอำนวยความสะดวกในการย้ายจากเดสก์ท็อปจริงไปยังเดสก์ท็อปเสมือน" แคสเปอร์สกี้ทิ้งท้าย
