วิธีรับมือ Sophisticated Phishing Attacks ด้วยวิธีการยืนยันตัวตน (Authentication)

ทุกวันนี้เป็นเรื่องง่ายที่เราจะถูกขโมย credentials เพื่อเข้าถึงบัญชีใช้งานโดยผ่านอุปกรณ์อะไรก็ได้ เพื่อที่จะป้องกันการโจมตีลักษณะนี้องค์กรควรคำนึงถึงโซลูชั่นที่จะช่วยยืนยันตัวตนของผู้ใช้งาน (Authentication) รวมถึงอุปกรณ์ที่ใช้ในการเข้าใช้งานด้วย

ต่อไปนี้เป็นแนวทางปฏิบัติที่ดีที่สามารถช่วยให้องค์กรป้องกันการโจมตีที่ซับซ้อนโดยการใช้วิธี identity-centric

1. Implement Multi-Factor Authentication (MFA) การใช้งานเพียงรหัสผ่านอย่างเดียวในการป้องกันบัญชีสำคัญเหมือนเป็นงานง่าย ๆ สำหรับเหล่าแฮกเกอร์ และยังยากต่อการจดจำของ users ถ้าเรามีหลาย ๆ บัญชี การกำหนด MFA เป็นการจัดการความปลอดภัยที่ดีสามารถลดความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาตเมื่อรหัสผ่านถูกขโมยหรือถูกบุกรุก มีวิธียืนยันตัวตนหลายวิธี (Authentication) แต่ก็ใช่ว่าจะดีไปทั้งหมด ยกตัวอย่างเช่น SMS หรือ text message เป็นวิธียืนยันตัวตนที่ง่ายต่อการถูกดักจับข้อมูล โดยสามารถทำง่ายๆผ่าน service online เช่น SS7 intercept services หรือ Modlishka Mobile “push” notification เป็นวิธีการยืนยันตัวตนที่ดีวิธีหนึ่ง เพราะแฮกเกอร์ไม่สามารถดักข้อมูลได้

2. Single Sign‑On (SSO) ในปัจจุบันมีแอพสำหรับใช้งานในองค์กรกว่า 1,000 แอพ ในแต่ล่ะวันพนักงานคนหนึ่งต้องใช้งานแอพกว่า 10 แอพในการทำงาน ซึ่งเท่ากับว่าต้องมี 10 รหัสผ่านที่พนักงานต้องจำให้ได้ซึ่งไม่ใช่เรื่องง่ายๆเลย การใช้งาน SSO และ MFA เป็นทางเลือกที่ปลอดภัยเพื่อลดการใช้รหัสผ่านที่เยอะเกินไป Single Sign‑On (SSO) ช่วยให้ผู้ใช้งานสามารถล็อกอินหลาย ๆ แอพได้ด้วยล็อกอินเดียว ช่วยลดจำนวนรหัสผ่านที่ต้องจำ และลดเวลาล็อกอินหลายๆแอพลงไป สำหรับผู้ดูแลระบบ SSO ทำหน้าที่เป็นจุดรวมสำหรับการตรวจสอบสิทธิ์ และบันทึกการเข้าถึงและ การบังคับใช้นโยบายความปลอดภัยที่มีประสิทธิภาพ

3. หมั่นตรวจสอบอุปกรณ์ในระบบ ขณะนี้ในหลาย ๆ องค์กรมีจำนวน BYOD เพิ่มขึ้นมาก โดยเฉพาะการทำงานแบบ Work From Home เครื่อง BYOD ช่วยให้พนักงานทำงานได้สะดวกขึ้นแต่ขณะเดียวกันก็เพิ่มจำนวนอุปกรณ์ที่สามารถเชื่อมต่อเข้ากับระบบขององค์กร จึงเป็นเรื่องสำคัญที่ผู้ดูแลระบบต้องหมั่นตรวจสอบอุปกรณ์ที่มีการเชื่อมต่อเข้ามา และผู้ใช้งานอุปกรณ์เหล่านั้นว่าถูกต้องหรือไม่เพื่อป้องกันอุปกรณ์แปลกปลอมที่แฝงเข้ามาในระบบ

4. เพิ่มการตรวจสอบอุปกรณ์ ให้เป็นส่วนหนึ่งของการยืนยันตัวตนของผู้ใช้งาน ควรเพิ่มขั้นตอนการตรวจสอบอุปกรณ์ว่ามีความปลอดภัยเพียงพอต่อข้อกำหนดขององค์กรหรือไม่ ก่อนที่จะอนุญาตให้เชื่อมต่อเข้ากับระบบขององค์กร โดยทั่วไป OS จะมีอัพเดต critical security patches ซึ่งมีความสำคัญ ควรตรวจสอบว่าอุปกรณที่จะเชื่อมต่อเข้ามามีการอัพเดตเวอร์ชั่นความปลอดภัยล่าสุดแล้วหรือไม่ หรือ สำหรับการเชื่อมต่อเข้าระบบที่มีความสำคัญมากๆ ควรให้อนุญาตเฉพาะอุปกรณ์ที่เป็นขององค์กรเท่านั้น นี่จะช่วยให้แฮกเกอร์ทำงานได้ยากขึ้นองค์กรสามารถลดความเสี่ยงจากการถูกโจมตีแบบ Phishing ได้ ถ้าหากมีการกำหนดการเข้าถึงระบบสำคัญเฉพาะอุปกรณ์ที่ระบุไว้เท่านั้น ถึงแม่ว่าจะมี credential ที่สามารถเข้าถึงได้ แต่ถ้าอุปกรณ์ไม่ถูกต้องก็จะเข้าไมได้อยู่ดี

5. บังคับใช้ Adaptive Access Policies ถ้าเป็นไปได้ควรกำหนด Policy ความปลอดภัยให้แตกต่างกันตามความเสี่ยงของอุปกรณ์ที่เชื่อมต่อเข้ามา เช่น user’s role, location, network and trustworthiness of the device

6. หมั่นตรวจสอบติดตามการเชื่อมต่อที่น่าสงสัย ใช้ประโยชน์จากการวิเคราะห์พฤติกรรมของผู้ใช้งานเพื่อค้นหาและจัดกลุ่มสิ่งที่น่าสงสัยของการเข้าสู่ระบบ เช่น การเข้าถึงจากตำแหน่งใหม่หรืออุปกรณ์ใหม่

ที่มา : วิธีการรับมือ Sophisticated Phishing Attacks