BLOGS

ตรวจจับเหนือระดับ Ransomware Attack ด้วย Index Engines CyberSense

Ransomware Prevention

CyberSense ไม่ได้ออกแบบมา เพื่อทดแทนการทำงานของ Anti-virus Scans หรือ Real-time Security Applications แต่ถูกออกแบบมาให้ทำงานร่วมกับ Dell PowerProtect Cyber Recovery Solution เพื่อตรวจสอบความสมบูรณ์ของข้อมูลและตรวจจับพฤติกรรมที่น่าสงสัย รวมถึงการเข้ารหัส การลบข้อมูลจำนวนมาก และความเสียหายของข้อมูล โดย CyberSense จะตรวจสอบข้อมูล เพื่อหาสัญญาณบ่งชี้ถึงความเสียหายที่เกิดจาก Ransomware และจะแจ้งเตือนเมื่อความเสียหายเกิดขึ้นจากการถูกโจมตี โดยจัดทำรายงาน Post Attack Forensic Reports เพื่อวินิจฉัยความเสียหาย และรายงานไฟล์ที่ดีล่าสุด (Last Known Good Files) เพื่อช่วยอำนวยความสะดวกในการกู้คืนข้อมูลได้อย่างรวดเร็ว

CyberSense เป็นโซลูชันเดียวที่ใช้การวิเคราะห์แบบ Full Content Analytics ร่วมกับ Backup Dell PowerProtect Cyber Recovery ทำให้สามารถ Scan ไฟล์ได้ในระดับ Content โดยไม่ส่งผลกระทบต่อการทำงานของ Production

องค์ประกอบและวิธีการตรวจจับความเสียหายของข้อมูล
ในระดับการโจมตีพื้นฐาน (Basic) ไปจนถึงการโจมตีขั้นสูง (Advance)

  • ในระดับพื้นฐาน Basic: Metadata หากไฟล์ถูกโจมตีด้วยการแก้ไข File Extension เช่น .wcry หรือ .locky หรือมีการเปลี่ยนแปลงขนาดของไฟล์
  • ในระดับ Advance: Header หรือการตรวจสอบระดับไฟล์ Type ซึ่ง Advance Malware จะไม่ทำการแก้ไข File Extension หรือขนาดของไฟล์ เพื่อหลีกเลี่ยงการตรวจสอบ แต่ CyberSense สามารถตรวจจับในระดับ File Type ได้ทำให้รู้ว่าไฟล์มีการแก้ไขจากการโจมตีหรือไม่
  • ในระดับ Advance: Content สามารถตรวจจับการเข้ารหัสภายในของไฟล์หรือ Page of Database ได้ ด้วยการตรวจสอบ Entropy ของไฟล์

ข้อได้เปรียบของ CyberSense

1. มีการตรวจสอบเพื่อให้แน่ใจว่าข้อมูลทั้งหมดมีความสมบูรณ์ ทั้งการตรวจสอบ Files, Core Infrastructure and Databases เพื่อหาจุดที่เกิดการเสียหายของข้อมูล

2. สามารถรองรับการจัดการกับ False Positives / Negatives ด้วย Advanced Machine Learning Models ทำให้มั่นใจได้ว่าสามารถตรวจจับการเสียหายของข้อมูลได้ถึง 99.5%

3. สามารถตรวจสอบ Advanced Variants ที่ซ่อนอยู่ได้ด้วยการทำ Content-based Analytics ได้มากกว่า 200 รายการ ที่จะตรวจสอบข้อมูลภายในของไฟล์เพื่อค้นหาความเสียหายที่เกิดขึ้น

4. ช่วยลดเวลา Downtime หากตรวจพบการโจมตี ซึ่ง CyberSense Post Attack Dashboard จะให้รายละเอียดการกู้คืนเวอร์ชันล่าสุดของไฟล์ที่ถูกโจมตีได้อย่างชาญฉลาด

CyberSense Workflow

1. Comprehensive Index: การสำรองข้อมูล Backup Image จะถูกจัดทำดัชนีในระดับ Content เพื่อใช้ในการเปรียบเทียบกับการสำรองข้อมูลครั้งถัด ๆ ไป

2. Security Analytics: ด้วย Content-based Analytics มากกว่า 200 รายการ ซึ่งสามารถที่จะชี้วัดถึงความเสียหายที่เกิดขึ้นได้

3. Machine Learn: ใช้การวิเคราะห์เปรียบเทียบการสำรองข้อมูลปัจจุบันกับการสำรองข้อมูลก่อนหน้า

4. Repeat: หากไม่มีความเสียหายกับขั้นตอนก่อนหน้า จะทำซ้ำกับอิมเมจสำรองใหม่ทุก ๆ ตัว

5. Corruption Detected: หากตรวจพบความเสียหายของข้อมูล การแจ้งเตือนจะถูกส่งไปยังแดชบอร์ด

6. Post Attack Forensics: สามารถแสดง Report รายละเอียดว่าใคร ทำอะไร ที่ไหน และเมื่อใด เพื่อที่จะช่วยในระบุช่วงเวลาของการกู้คืนข้อมูลได้อย่างถูกต้อง

ตัวอย่างของไฟล์ก่อนถูกโจมตีและไฟล์หลังถูกโจมตีด้วย AlphaLocker Ransomware

จากรูปจะเห็นว่าการโจมตีของ Ransomware จะพยายามรักษาข้อมูล Metadata ดั้งเดิมไว้ โดยที่ Highlight สีเขียว คือชื่อไฟล์และขนาดไฟล์ยังคงเหมือนเดิมทั้งก่อนและหลังการโจมตี ทำให้เครื่องมือวิเคราะห์ข้อมูล Metadata ทั่วไปเชื่อว่าไฟล์นั้นมีความถูกต้อง แต่เมื่อวิเคราะห์ลึกลงไปที่ระดับ Header และ Content โดยที่ Highlight สีเหลืองจะพบว่าข้อมูล File Type เปลี่ยนเป็น Unknown และ File Entropy มีค่าเพิ่มขึ้นเป็น 99 ซึ่งการเปลี่ยนแปลงดังกล่าว CyberSense สามารถรับรู้ว่าไฟล์ไม่สามารถใช้งานได้และโครงสร้างภายในได้รับการตรวจสอบพร้อมกับ Entropy ที่สูงหรือถูก Encryption ด้วย Ransomware

ปัจจุบันมีตัวอย่าง Ransomware มากมายในตลาดที่หลีกเลี่ยงการตรวจจับด้วย Metadata พื้นฐาน เช่น JigSaw และ CyrpMIC Ransomware ทั้งสองประเภทจะหลีกเลี่ยงการเปลี่ยนแปลงข้อมูล Metadata และมุ่งเน้นไปที่การทำลาย Internal Content ของ File และ Page ของ Database

นอกเหนือจากการตรวจจับข้อมูลที่เสียหายอันเป็นผลมาจาก Ransomware แล้วการกู้คืนข้อมูลนั้น Malware จะไม่ถูกกู้คืนขึ้นมาด้วยซึ่งเป็นสิ่งสำคัญมาก โดย CyberSense สามารถค้นหาชุดสำรองข้อมูลที่เกี่ยวข้อง เพื่อดูว่าไฟล์หรือไดเร็กทอรี สำหรับการกู้คืนมีอยู่หรือไม่ โดยใช้ File Signature, File Name, Directory / Path ในการค้นหาสำหรับการกู้คืนข้อมูล หากตรวจพบ Ransomware ไฟล์หรือไดเร็กทอรีเหล่านี้สามารถทำการลบได้ เพื่อป้องกันความเสียหายที่จะเกิดขึ้นเพิ่มเติม

จากรูปด้านบนเป็นการแสดง Report ที่ครอบคลุมจาก CyberSense สามารถแสดงรายละเอียดของการโจมตีทั้งหมดได้ โดยมีแนวทางให้ปฏิบัติตามอย่างถูกต้อง โดยใน Analyze Dashboard ด้านบนจะเห็นการแจ้งเตือนพฤติกรรมที่น่าสงสัย รวมถึงรายละเอียดการแจ้งเตือน เจ้าของไฟล์ที่เสียหาย และอื่น ๆ โดย Dashboard นี้จะบอกรายละเอียดข้อมูลสำคัญ ๆ ได้อย่างถูกต้อง เพื่อช่วยให้องค์กรสามารถกู้คืนระบบและสามารถดำเนินธุรกิจต่อได้อย่างรวดเร็วที่สุด

ต้องการคำปรึกษาเพิ่มเติมด้วย Solution ดังกล่าว กรุณาติดต่อได้ที่ marketing@tangerine.co.th หรือเบอร์ 02-285-5511
ท่านจะได้รับคำตอบจากผู้เชี่ยวชาญที่ได้รับการรับรองมาตรฐาน
บริษัทฯ ยังได้รับการรับรองมาตรฐาน ISO / IEC 27001 ซึ่งเป็นมาตรฐานความปลอดภัยของข้อมูลอีกด้วย