เตรียมรับมือภัยร้าย BlackByte Ransomware ให้องค์กรอย่างมีประสิทธิภาพ

เตรียมรับมือภัยร้าย BlackByte Ransomware ให้องค์กรอย่างมีประสิทธิภาพ
นับตั้งแต่รัฐบาลได้เริ่มออกมาตรการล็อกดาวน์ องค์กรต่าง ๆ ก็ไม่มีทางเลือกอื่นนอกจากต้องสนับสนุนให้สามารถทำงานได้จากระยะไกลหรือการทำงานที่บ้าน ในจุดนี้เองจึงทำให้องค์กรจะต้องมีพื้นฐานการป้องกันภัยคุกคามทางไซเบอร์ออกเป็นสองกลุ่ม ดังนี้
  • กลุ่มที่ใช้ทรัพยากรขององค์กร ในกลุ่มนี้เองค่อนข้างจะมีความปลอดภัย เนื่องจากจะได้รับการติดตั้งซอฟต์แวร์ในการป้องกันต่าง ๆ 
  • กลุ่มที่ใช้ทรัพยากรณ์ส่วนบุคคล เป็นอุปกรณ์ส่วนตัวนำมาใช้งานแทนอุปกรณ์ขององค์กร เครื่องส่วนบุคคล และเดสก์ท็อปนั้น
    มักไม่มีการป้องกันตามมาตรฐานทั่วไปสำหรับป้องกันแรนซั่มแวร์ จึงเป็นปัจจัยสำคัญที่ทำให้การโจมตีของแรนซัมแวร์เพิ่มขึ้น
    และนี่เองก็จึงเป็นช่องว่างด้านความปลอดภัยในระบบขององค์กรจากอุปกรณ์ที่ใช้งานจากระยะไกล

Ransomware ในปัจจุบันมีการทำงานในลักษณะของเทคนิคที่ซับซ้อนมากขึ้น และพิถีพิถันมากขึ้นหากองค์กรไม่ติดตามเทรนด์ล่าสุด
ก็มีโอกาสสูงที่องค์กรของเราอาจตกเป็นเป้าหมายในการโจมตี เช่น การ BlackByte Ransomware แบบ Ransomware-as-a-Service (RaaS) ที่เป็นตัวเอื้อให้ผู้ที่ไม่หวังดีสามารถสร้าง Ransomware ออกมาได้อย่างง่ายดายโดย Blackbyte จะใช้คำสั่ง PowerShell และ Windows CLI เพื่อดำเนินการต่าง ๆ เช่น Network Discovery, Task Scheduling และทำการสร้าง และปิดการใช้งานระบบความปลอดภัยต่าง ๆ บน Windows

  • Global Detections สามารถตรวจจับการทำงานของ BlackByte
    จาก Global Threat Intelligence (GTI) โดย GTI จะเป็น Cloud-based Threat Intelligence Service ที่จะช่วยวิเคราะข้อมูลส่งข้อมูลให้กับ Endpoint Security ที่ติดตั้งอยู่บนเครื่องคอมพิวเตอร์นำไปทำการยับยั้งการทำงานของ BlackByte

Figure: Trellix Products detecting this threat globally. Source: MVISION Insights

  • Blocking BlackByte Attacks with Endpoint Security
    ในปัจจุบัน BlackByte นั้นสามารถถูกตรวจสอบได้จากการติดตั้ง Endpoint Security โดย IOC ที่เกี่ยวข้องกับ BlackByte จะถูกตรวจจับได้จาก Signature และ Exploit Prevention Rule ของ Endpoint Security

Figure: Exploit Prevention Rule in ePolicy Orchestrator/MVISION ePO

  • Enhanced Remediation บน Endpoint Security
    จะคอยตรวจสอบกระบวนการใด ๆ ที่มีชื่อเสียง (Reputation) ที่ไม่รู้จักและจะทำการสำรอง (Backup) การเปลี่ยนแปลงโดยกระบวนการเหล่านั้น หากกระบวนเกล่านั้นแสดงพฤติกรรมที่เป็นอันตรายตาม Rule ที่กำหนดโดยการวิเคราะห์ด้วย Machine Learning จะถูกย้อนกลับ (Rollback) การเปลี่ยนแปลงที่กระทำกับระบบและเอกสารไปยังสถานะก่อนหน้าโดยอัตโนมัติ

Figure: Enhanced remediation automatically rolls back

Detecting Malicious Activity with MVISION EDR

  • MVISION EDR ช่วยตรวจสอบกิจกรรมที่เกี่ยวข้องกับ BlackByte Ransomware และจะบันทึกกิจกรรมตามที่เกิดขึ้นตามเทคนิคของ MITRE และตัวบ่งชี้ที่น่าสงสัยที่เกี่ยวข้องกับกิจกรรมที่ไม่พึงประสงค์ต่าง ๆ โดยจะนำเสนอผลการตรวจสอบ Activity ออกมาได้หลากหลายรูปแบบเพื่อให้ผู้ใช้งานสามารถเข้าใจได้ง่ายขึ้น

Figure: Deletion of Shadow Copy to inhibit system recovery

Assess your current endpoint and cloud security posture

  • MVISION Insights จะให้ข้อมูลภัยคุกคามที่เกิดขึ้นในปัจจุบันและ IOC ที่เกี่ยวข้องสำหรับ BlackByte Ransomware จะแจ้งเตือนเมื่อตรวจพบ และติดตามกระบวนการที่ได้รับการสังเกต ป้องกันแพร่กระจาย รวมทั้งการประเมินผลกระทบที่เกิดขึ้นพร้อมทั้งจำแนกกลุ่มเครื่องที่ได้รับผลกระทบและกลุ่มเสี่ยงให้ทราบ

Figure: Campaign Details, Analyzed Indicators of Compromise, and Detections

User Awareness and Education

สิ่งหนึ่งที่องค์กรสามารถทำได้คือการฝึกอบรมพนักงานให้ตระหนักถึงการป้องกันการกระทำไม่พึงประสงค์ที่เป็นช่องทางให้ Ransomware ใช้ในการโจมตีเช่น การไม่ติดตั้งซอฟแวร์ที่ผิดลิขสิทธิ์หรือไม่ได้มีการรับรองจากองค์กร / การไม่เข้าใช้งาน Website ที่ไม่พึงประสงค์  และการไม่ข้ามขั้นตอนหรือหยุดการทำงานซอฟแวร์ป้องกันความปลอดภัยต่าง ๆ สิ่งสำคัญอีกอย่างที่สามารถช่วยต่อต้าน Ransomware ได้คือการสำรองข้อมูล ดังนั้น หากข้อมูลบางส่วนมีความสำคัญอย่างยิ่ง ทางที่ดีควรจะทำการสำรองข้อมูลไว้บน แหล่งสำรองข้อมูลอื่น ๆ เพิ่มเติม

หากคุณสนใจบริการต่าง ๆ หรือต้องการคำปรึกษาเพิ่มเติมติดต่อเรา
ได้ที่
 marketing@tangerine.co.th หรือ โทร 02 285 5511
ท่านจะได้รับคำตอบจากผู้เชี่ยวชาญที่ได้รับการรับรองมาตรฐาน

Share on social media

Natthasest.T

Cybersecurity Consultant

Tangerine Expertise

Related Solution

Google Workspace มีอะไรใหม่
calendar editor meet chatcloud highlight productivity workcloud highlight productivity work transformationgmail calendar editor meet

Protected: Google Workspace

There is no excerpt because this is a protected post.

Expand Interests

All and More

  • All
  • Apigee
  • Application Development
  • Business Transformation
  • Cisco
  • Converged Infrastructure
  • Data Analytics
  • Dell EMC
  • Dell Technologies
  • Dialogflow (Chatbot)
  • Event
  • G Suite
  • Google Cloud
  • Google Cloud Platform
  • Google Maps Platform
  • Google Workspace
  • Highlight
  • Huawei
  • Hybrid Cloud & Multi Cloud
  • Knowledge
  • Networking
  • Productivity & Work Transformation
  • Security
  • Smart Business Analytics & AI
  • Storage & Data Protection
  • Success Story
  • Tenable
  • Thales
  • VMware
All
  • All
  • Apigee
  • Application Development
  • Business Transformation
  • Cisco
  • Converged Infrastructure
  • Data Analytics
  • Dell EMC
  • Dell Technologies
  • Dialogflow (Chatbot)
  • Event
  • G Suite
  • Google Cloud
  • Google Cloud Platform
  • Google Maps Platform
  • Google Workspace
  • Highlight
  • Huawei
  • Hybrid Cloud & Multi Cloud
  • Knowledge
  • Networking
  • Productivity & Work Transformation
  • Security
  • Smart Business Analytics & AI
  • Storage & Data Protection
  • Success Story
  • Tenable
  • Thales
  • VMware
วิธีใช้ Google Data Studio
Data AnalyticsGoogle CloudGoogle Cloud Platform

Data Studio Tips! จะรู้ได้อย่างไรว่าใครควรใช้ Data Studio ในองค์กรเราบ้าง?

หลายองค์กรเริ่มมีการปรับตัวมาใช้ Business Intelligence แทนที่ Google Sheets หรือ Excel ในมุมของการทำ report กัน โดยมักจะใช้ Data Studio สำหรับทำ Dashboard เนื่องจากฟรีไม่มีค่าใช้จ่ายแล้ว ยังใช้งานง่ายตอบโจทย์ธุรกิจค่อนข้างครบถ้วน ซึ่งเราก็ต้องการที่จะ Build ให้องค์กรของเราใช้ Dashboard ที่ทางทีม BI สร้างมาให้กับทุกคน แต่คำถามต่อมาคือเราจะทราบได้อย่างไรว่าใครในองค์กรเราใช้ Data Studio กันบ้างล่ะ วันนี้ทาง Tangerine มีทริคดีๆ มาเล่าให้ฟังกัน

CiscoSecurity

Smart Workplace Technology: ตัวช่วยในการทำงานแบบ Hybrid ให้ดียิ่งขึ้น!

หลาย ๆ องค์กร ต้องต้องปรับตัวเข้ากับการทำงานแบบ Hybrid Work ทั้ง Work From Home หรือ Work From Anywhere เนื่องจากสถานการณ์บังคับจากเหตุการณ์แพร่เชื้อโควิด แต่อย่างไรก็ตามปัญหาที่ตามมาคือ เกิดการเปลี่ยนแปลงวัฒนธรรมองค์กร และการมีส่วนร่วมของคนในองค์กร (Engagement) ที่ลดน้อยลงอย่างชัดเจน สิ่งที่องค์กรต้องเตรียมพร้อมคือ การสร้าง Hybrid Workplace (แบ่งการทำงานทั้งที่ออฟฟิศและที่บ้าน) เพื่อรองรับรูปแบบที่เปลี่ยนไป และรองรับวิกฤตการณ์ที่อาจเกิดขึ้นอีกครั้ง

Security

เตรียมรับมือภัยร้าย BlackByte Ransomware ให้องค์กรอย่างมีประสิทธิภาพ

นับตั้งแต่รัฐบาลได้เริ่มออกมาตรการล็อกดาวน์ องค์กรต่าง ๆ ก็ไม่มีทางเลือกอื่นนอกจากต้องสนับสนุนให้สามารถทำงานได้จากระยะไกลหรือการทำงานที่บ้าน ในจุดนี้เองจึงทำให้องค์กรจะต้องมีพื้นฐานการป้องกันภัยคุกคามทางไซเบอร์ออกเป็นสองกลุ่ม ดังนี้

HighlightHybrid Cloud & Multi CloudVMware

เสริมการปกป้อง Virtual Environment ด้วย Workload Security

ในช่วงที่ผ่านมาเรามักจะได้ยินข่าวการโจมตีข้อมูลภายในองค์กร หรือการเรียกค่าไถ่ข้อมูล โดยที่ Hacker จะหาช่วงโหว่ต่าง ๆ เพื่อเข้าถึงข้อมูลในศูนย์ข้อมูลขององค์กร แล้วสร้างความเสียหายกับระบบงานทำให้ไม่สามารถใช้งานได้ และเรียกค่าไถ่จากองค์กรเพื่อให้ข้อมูล หรือระบบกลับมาใช้งานได้อีกครั้ง ในกรณีที่มีการสำรองข้อมูลไว้ก็จะช่วยให้กู้คืนข้อมูลกลับมาใช้งานได้ แต่อาจจะไม่ใช่ข้อมูลล่าสุด

Google CloudGoogle Cloud PlatformHighlight

รู้จักกับ BigLake ส่วนผสมที่ลงตัวของ Data Lake และ Data Warehouse

นับตั้งแต่โลกให้ความสนใจกับ Big Data คงไม่มีใครไม่เคยได้ยินคำว่า Data Lake นี่ไม่ใช่เรื่องใหม่ และมีมานานกว่า 10 ปีแล้ว หากให้ย้อนเวลาพาท่านผู้อ่านกลับไปราว ๆ 20 ปีก่อนที่ Data Lake จะเกิดขึ้น เราคงคุ้นเคยกับคำว่า “การทำเหมืองข้อมูลหรือ Data Mining” เสียมากกว่า นั่นคือยุคแรกที่เราเริ่มขุดเหมืองเพื่อหา Insight กัน

Scroll to Top

ติดต่อ tangerine

Tel: +66 2 2855511   |   Email: info@tangerine.co.th





      This website uses cookies to ensure you get the best experience on our website. View Privacy Policy