Sophos เปิดตัว Lateral Movement Protection คุณสมบัติใหม่ล่าสุดใน XG Firewall ที่พัฒนามาเพื่อหยุดการโจมตีทางไซเบอร์ไม่ให้แพร่กระจาย
รายงานภัยคุกคาม (Threat Report) ปี 2019 โดยทีมนักวิจัยของ SophosLabs กล่าวถึงการเพิ่มขึ้นของ ransomware ที่มีการโจมตีแบบเจาะจงเป้าหมาย ทั้งนี้ มีการประเมินกันว่ารายได้จาก Samsam ransomware จะมีมากกว่า 6.5 ล้านเหรียญสหรัฐ จึงไม่น่าแปลกใจว่าทำไมอาชญากรถึงมีแรงจูงใจที่จะใช้วิธีนี้
ในการโจมตีเหล่านี้ อาชญากรไซเบอร์พุ่งเป้าหมายไปที่ช่องทางเข้าที่เปราะบางและใช้วิธีการ brute-force รหัสผ่านการควบคุมระยะไกล Remote Desktop Protocol (RDP) เมื่อเจาะเข้าระบบได้แล้ว ภัยคุกคามเหล่านี้จะแพร่กระจายออกไปในจุดข้างเคียง โดยทำงานทีละขั้นตอนเพื่อขโมยข้อมูลความลับของผู้ดูแลโดเมน สั่งการระบบควบคุมภายใน ปิดการทำงานของระบบสำรองข้อมูล และอื่นๆ ซึ่งกว่าผู้จัดการฝ่ายไอทีส่วนใหญ่จะสังเกตเห็น ว่ามีอะไรเกิดขึ้น เครือข่ายก็ได้รับความเสียหายไปแล้ว
นาย แดน เชียปป้า รองประธานอาวุโสและผู้จัดการทั่วไปฝ่ายผลิตภัณฑ์ของโซฟอสกล่าวว่า “แม้ว่าหลายองค์กรได้เตรียมความพร้อมเพื่อป้องกัน bot ที่ทำงานแบบอัตโนมัติ ไว้แล้ว แต่นั่นไม่รวมถึงการโจมตีแบบ interactive ที่เกิดจากมนุษย์เป็นผู้ดำเนินการ กรณีศัตรูสามารถเข้าถึงระบบได้ พวกมันสามารถ “คิดออกนอกกรอบ” เพื่อแก้ไขอุปสรรคต่างๆ ที่ขวางอยู่ หลบเลี่ยงการตรวจจับ และแพร่กระจายไปทั่ว จึงเป็นการยากที่จะหยุดพวกมัน เว้นแต่จะมีมาตรการรักษาความปลอดภัยที่เหมาะสมพร้อมอยู่แล้ว
การแพร่ออกไปส่วนใหญ่เกิดขึ้นที่เอ็นด์พอยท์ ซึ่งเป็นเหตุผลว่าทำไมการรักษาความปลอดภัยแบบเชื่อมต่อถึงกันจึงเป็นเรื่องสำคัญ ผู้บุกรุกจะพยายามเดินหน้าใช้เทคนิคที่ไม่อาศัยมัลแวร์ เช่น การใช้ประโยชน์จากช่องโหว่ เครื่องมือ Mimikatz เพื่อขโมยรหัสและการยกระดับสิทธิ์ของตัวเอง ซึ่งเครือข่ายจำเป็นต้องรู้เพื่อตอบสนองและปิดโดยอัตโนมัติหรือแยกเครื่องที่ติดไวรัสออกก่อนที่จะมีใครหรืออุปกรณ์อื่นใดมาแพร่กระจายต่อ”
การโจมตีแบบไร้ร่องรอยคล้ายแมวขโมย (cybercat-burglar-like attacks) เช่น BitPaymer, Dharma และ Ryuk ใช้ lateral movement playbook ที่คล้ายกันเพื่อเอา ransomware เข้าไปวางในระบบโดยใช้ฝีมือมนุษย์ การโจมตีเหล่านี้แตกต่างจากชุดเครื่องมือ Ransomware-as-a-Service (RaaS) ที่ขายบน dark web อย่างมาก ทั้งนี้โซฟอสคาดว่าการโจมตีโดยใช้กลไกควบคุมด้วยมือมนุษย์จะดำเนินการต่อไปถึงปี 2019
“การหยุดการกระจายไปใน segment เดียวกันของเครือข่าย (lateral movements) จากภัยคุกคามที่ทำงานอยู่ตลอดหรือ worm ที่หาประโยชน์จากช่องโหว่ โดยการแชร์ข้อมูลความลับระหว่าง firewall กับ endpoint และการแยกระบบที่ติดไวรัสออกโดยอัตโนมัติเป็นเรื่องสำคัญสำหรับทุกองค์กรในปัจจุบัน” นาย แดน กล่าว “น่าเสียดายที่สภาพแวดล้อมทางธุรกิจในหลายองค์กรอาจมีจุดบอดบนสวิทช์ของเครือข่ายหรือ LAN segment และสิ่งเหล่านี้อาจกลายเป็น launch pad ลับสำหรับการโจมตีได้ ซึ่งคุณสมบัติใหม่ใน Sophos XG Firewall จะช่วยป้องกันไม่ให้ภัยคุกคามแพร่กระจายแม้ในกรณีที่ firewall ไม่ได้ควบคุม traffic โดยตรง”
Lateral Movement Protection ที่ทำงานผ่านระบบความปลอดภัยที่เชื่อมถึงกัน
Sophos XG Firewall จะปฏิสัมพันธ์โดยอัตโนมัติกับกลุ่มผลิตภัณฑ์ endpoint ของโซฟอสซึ่งรวมถึง Intercept X Advanced with Endpoint Detection and Response (EDR) ใหม่ เพื่อสร้างเกราะป้องกันเพิ่มอีกชั้นหนึ่ง เกราะรักษาความปลอดภัยที่จำเป็นเหล่านี้จะเชื่อมต่อผ่าน Security Heartbeat
ในเทคโนโลยี Synchronized Security ของโซฟอส ซึ่งสร้างโซลูชั่นอัจฉริยะที่สามารถคาดเดาและป้องกันภัยคุกคามในเชิงรุก ตรวจหาและป้องกันการติดไวรัสหรือมัลแวร์โดยการแยกเครื่องที่ติดออกโดยอัตโนมัติ และทำการฟื้นฟูระบบจากการติดไวรัสหรือมัลแวร์ เทคโนโลยี Security Heartbeat ช่วยให้สามารถแยก endpoint ที่มีความเสี่ยงสูงออกจาก endpoint อื่นๆ ในโดเมนหรือ segment เครือข่ายเดียวกันออกได้โดยอัตโนมัติ
คุณสมบัติเพิ่มเติมใหม่ๆ และที่ได้รับการปรับปรุงให้ดีขึ้นใน Sophos XG Firewall ประกอบด้วย:
· การเพิ่มประสิทธิภาพด้านการป้องกัน
o ขอบเขตการป้องกัน IPS ที่ลึกและกว้างขึ้น พร้อมการปรับแต่งที่สามารถลงรายละเอียดและเป็นแบบแผนมากขึ้น
o ระบบป้องกัน cryptojacking สำหรับ JavaScript
· การเพิ่มประสิทธิภาพของ Sandstorm Sandboxing
o Intercept X integration เพื่อระบุภัยคุกคามจากการโจมตีช่องโหว่ zero-day ก่อนที่จะบุกเข้าสู่เครือข่าย
o การวิเคราะห์เชิงพฤติกรรม เครือข่าย และหน่วยความจำในระดับลึก ด้วย machine learning, CryptoGuard และการตรวจจับการหาประโยชน์จากช่องโหว่
· การเพิ่มประสิทธิภาพด้านเครือข่าย
o ใหม่ Sophos Connect IPSec VPN Client พร้อมด้วย Synchronized Security
· คุณสมบัติด้านการให้ความรู้และสร้างความเข้าใจ
o Chromebook client authentication support สำหรับการสร้างนโยบายแบบ user-based และการทำรายงาน
o User/group policy support สำหรับข้อจำกัดของ SafeSearch และ YouTube
