การป้องกันด้วย VPN ต่อการโจมตีแรนซัมแวร์ที่นำไปสู่กฎหมายการแจ้งเหตุละเมิดข้อมูล

การป้องกันด้วย VPN ต่อการโจมตีแรนซัมแวร์ที่นำไปสู่กฎหมายการแจ้งเหตุละเมิดข้อมูล

คนส่วนใหญ่มองว่าแรนซัมแวร์เป็นเพียงการล็อกข้อมูลและเรียกค่าไถ่ ผู้โจมตีเข้ารหัสไฟล์ของคุณ คุณจ่ายเงิน คุณได้ข้อมูลคืน แต่ความเป็นจริงนั้นสร้างความเสียหายมากกว่านั้น กลุ่มแรนซัมแวร์สมัยใหม่ไม่ได้แค่เข้ารหัสข้อมูล แต่จะขโมยข้อมูลนั้นออกไปก่อน ขั้นตอนที่สองนั้นคือการนำข้อมูลออกนอกระบบ (data exfiltration) ซึ่งเปลี่ยนเหตุการณ์แรนซัมแวร์ธรรมดาให้กลายเป็นการละเมิดข้อมูลที่ต้องรายงานตามกฎหมาย ก่อให้เกิดภาระหน้าที่ในการแจ้งเตือนภายใต้กฎหมายอย่าง HIPAA กฎหมายการแจ้งเหตุละเมิดข้อมูลของรัฐ และกฎการแจ้งเหตุละเมิดข้อมูลด้านสุขภาพของ FTC การทำความเข้าใจว่าการป้องกันด้วย VPN จากการโจมตีแรนซัมแวร์เข้ามามีบทบาทอย่างไร จะช่วยให้ทั้งบุคคลและองค์กรตอบสนองได้อย่างชาญฉลาดยิ่งขึ้น

แรนซัมแวร์กลายเป็นการละเมิดข้อมูลที่ต้องรายงานได้อย่างไร

ไม่ใช่ว่าการโจมตีด้วยแรนซัมแวร์ทุกครั้งจะเข้าข่ายเป็นการละเมิดข้อมูลภายใต้กฎหมายสหรัฐฯ การเข้ารหัสเพียงอย่างเดียว ซึ่งข้อมูลถูกทำให้ยุ่งเหยิงบนระบบของคุณเองแต่ไม่เคยออกไปนอกระบบ อาจไม่ถึงเกณฑ์ทางกฎหมาย ตัวกระตุ้นคือการเข้าถึงหรือการได้มาซึ่งข้อมูลที่ได้รับการคุ้มครองโดยไม่ได้รับอนุญาต เมื่อผู้โจมตีคัดลอกไฟล์ก่อนทำการเข้ารหัส การนำข้อมูลออกไปนั้นจะเปลี่ยนเหตุการณ์ให้กลายเป็นการละเมิดที่ต้องแจ้งให้บุคคลที่ได้รับผลกระทบ หน่วยงานกำกับดูแล และในบางกรณีรวมถึงสื่อมวลชนทราบ

โมเดล "การขู่กรรโชกสองทาง" นี้กลายเป็นแนวทางปฏิบัติมาตรฐานของกลุ่มแรนซัมแวร์ในปัจจุบัน ผู้โจมตีขู่ว่าจะเผยแพร่ข้อมูลที่ขโมยมาบนเว็บไซต์รั่วไหลหากไม่จ่ายค่าไถ่ ทำให้พวกเขามีอำนาจต่อรองสองทาง ความเสี่ยงทางกฎหมายสำหรับองค์กรเหยื่อก็มีโครงสร้างสองทางเช่นเดียวกัน นั่นคือการหยุดชะงักของการดำเนินงานจากการเข้ารหัส บวกกับผลกระทบด้านกฎระเบียบและชื่อเสียงจากการละเมิดข้อมูล

การละเมิดข้อมูลของ Conduent ซึ่งเปิดเผยข้อมูลส่วนบุคคลที่ละเอียดอ่อนของชาวอเมริกันราว 25 ล้านคน แสดงให้เห็นรูปแบบนี้อย่างชัดเจน บริษัทผู้ให้บริการทางธุรกิจที่ประมวลผลข้อมูลให้ผู้ให้บริการด้านสุขภาพและหน่วยงานรัฐ กลายเป็นพาหะที่ทำให้การโจมตีด้วยแรนซัมแวร์ลุกลามสู่ขอบเขตของการละเมิดข้อมูล ส่งผลกระทบต่อผู้คนที่ไม่มีความสัมพันธ์โดยตรงกับบริษัทที่ถูกโจมตีเลย

VPN อยู่ในสายโซ่การโจมตีแรนซัมแวร์ตรงไหน

เพื่อให้เข้าใจว่า VPN สามารถทำอะไรได้จริงบ้าง ควรทำความเข้าใจลำดับขั้นตอนการโจมตีของแรนซัมแวร์ทั่วไป ผู้โจมตีส่วนใหญ่มักจะเข้าถึงระบบครั้งแรกผ่านอีเมลฟิชชิง พอร์ต Remote Desktop Protocol (RDP) ที่เปิดเผย หรือช่องโหว่ที่ยังไม่ได้รับการแก้ไขในระบบที่เชื่อมต่ออินเทอร์เน็ต หลังจากเข้ามาตั้งหลักได้แล้ว พวกเขาจะเคลื่อนที่ไปด้านข้างภายในเครือข่าย ยกระดับสิทธิ์ ระบุข้อมูลที่มีค่า นำข้อมูลออกไป และท้ายที่สุดปล่อย payload สำหรับเข้ารหัส

VPN ทำงานหลัก ๆ ในสองจุดของสายโซ่นั้น

ประการแรก สำหรับพนักงานที่ทำงานทางไกลที่เชื่อมต่อเข้ากับทรัพยากรขององค์กร VPN จะเข้ารหัสอุโมงค์ระหว่างอุปกรณ์ปลายทางกับเครือข่าย ซึ่งป้องกันไม่ให้ผู้โจมตีดักจับข้อมูลประจำตัวหรือ session token ผ่านการเชื่อมต่อที่ไม่ปลอดภัย โดยเฉพาะอย่างยิ่งบน Wi-Fi สาธารณะ ซึ่งเป็นช่องทางทั่วไปในการเก็บเกี่ยวข้อมูลประจำตัวที่นำไปสู่การบุกรุกในภายหลัง

ประการที่สอง VPN แบบ site-to-site จะแบ่งแยกการรับส่งข้อมูลเครือข่ายระหว่างสำนักงานสาขาและศูนย์ข้อมูล การแบ่งส่วนเครือข่ายที่เหมาะสมจะจำกัดการเคลื่อนที่ด้านข้าง หากผู้โจมตีเจาะเข้าระบบในส่วนหนึ่งได้ สถาปัตยกรรม VPN ที่กำหนดค่าอย่างดีพร้อมการควบคุมการเข้าถึงที่เข้มงวด จะสามารถชะลอหรือป้องกันการแพร่กระจายไปยังระบบที่เก็บข้อมูลอ่อนไหว ซึ่งเป็นข้อมูลที่หากถูกนำออกไปจะก่อให้เกิดภาระหน้าที่ในการแจ้งเหตุละเมิดข้อมูล

สำหรับองค์กร การใช้การเข้าถึง VPN ร่วมกับการยืนยันตัวตนหลายปัจจัย (multi-factor authentication) มีความสำคัญอย่างยิ่ง แนวทางปฏิบัติด้านแรนซัมแวร์ของ CISA ระบุอย่างชัดเจนให้ใช้ MFA ในการเชื่อมต่อ VPN ทุกครั้งว่าเป็นการควบคุมพื้นฐาน และมีเหตุผลที่ดีรองรับ ข้อมูลประจำตัวที่ถูกขโมยและนำมาใช้กับจุดเชื่อมต่อ VPN ที่ไม่มีการป้องกัน เป็นหนึ่งในเส้นทางเข้าสู่ระบบที่พบบ่อยที่สุดสำหรับผู้ปฏิบัติการแรนซัมแวร์

เพื่อทำความเข้าใจกลไกทางเทคนิคที่อยู่เบื้องหลังการแพร่กระจายของ แรนซัมแวร์ เมื่อเข้าไปอยู่ในเครือข่ายแล้ว ควรทบทวนพื้นฐานพฤติกรรมของมัลแวร์ประเภทนี้ เนื่องจากขั้นตอนการเข้ารหัสเป็นเพียงฉากสุดท้ายของการบุกรุกที่ยาวนานกว่านั้นมาก

ข้อจำกัด สิ่งที่ VPN ไม่สามารถป้องกันได้

การป้องกันด้วย VPN จากการโจมตีแรนซัมแวร์นั้นมีอยู่จริงแต่มีขอบเขตจำกัด VPN ไม่ใช่สิ่งทดแทนการรักษาความปลอดภัยของอุปกรณ์ปลายทาง (endpoint security) และความแตกต่างนี้มีความสำคัญ

หากพนักงานคลิกไฟล์แนบอีเมลที่เป็นอันตรายบนอุปกรณ์ที่เชื่อมต่อกับ VPN อยู่แล้ว มัลแวร์จะสามารถเข้าถึงเครือข่ายที่ได้รับการป้องกันได้โดยตรง อุโมงค์ที่เข้ารหัสนั้นทำงานได้ทั้งสองทิศทาง มันปกป้องการรับส่งข้อมูลที่ถูกต้อง และมันยังนำพาการรับส่งข้อมูลที่เป็นอันตรายด้วยเช่นกันเมื่ออุปกรณ์ปลายทางถูกโจมตี VPN ไม่ได้ตรวจสอบ payload ว่ามีมัลแวร์หรือไม่ ไม่ได้แก้ไขช่องโหว่ของซอฟต์แวร์ และไม่ได้ป้องกันไม่ให้ผู้ใช้ดาวน์โหลดไฟล์ที่ติดไวรัส

กลุ่มแรนซัมแวร์ยังมุ่งเป้าไปที่ซอฟต์แวร์ VPN เองด้วย ช่องโหว่ในผลิตภัณฑ์ VPN ที่ถูกใช้งานอย่างแพร่หลาย ได้ถูกนำมาใช้เป็นช่องทางเข้าสู่ระบบเบื้องต้น นั่นหมายถึงอุปกรณ์ VPN ที่ไม่ได้รับการแก้ไขอาจกลายเป็นประตูที่ผู้โจมตีเดินผ่านเข้ามา แทนที่จะเป็นกำแพงที่กั้นพวกเขาไว้ การอัปเดตซอฟต์แวร์ VPN อย่างสม่ำเสมอไม่ใช่สิ่งที่เป็นทางเลือก แต่เป็นส่วนหนึ่งของการป้องกัน

นอกจากนี้ VPN ไม่ได้ให้การป้องกันใด ๆ ต่อภัยคุกคามจากภายใน บัญชีผู้ขายที่ถูกเจาะ หรือผู้โจมตีที่ได้ฝังตัวในระบบผ่านช่องทางอื่นแล้วก่อนที่จะมีการบังคับใช้นโยบาย VPN

สิ่งที่บุคคลและองค์กรควรทำในตอนนี้

สำหรับองค์กร ลำดับความสำคัญคือการมองการเข้าถึง VPN เป็นเพียงชั้นหนึ่งในสถาปัตยกรรม zero-trust ที่กว้างขึ้น นั่นหมายถึงการบังคับใช้ MFA ในการเชื่อมต่อ VPN ทุกครั้ง การกำหนดสิทธิ์การเข้าถึงแบบน้อยที่สุดเพื่อให้ผู้ใช้เข้าถึงได้เฉพาะระบบที่เกี่ยวข้องกับบทบาทของตน และการเฝ้าติดตามบันทึกของ VPN เพื่อตรวจจับพฤติกรรมที่ผิดปกติ เช่น การเข้าสู่ระบบในเวลาที่ผิดปกติหรือจากตำแหน่งที่ไม่คาดคิด

การแบ่งส่วนเครือข่ายผ่านนโยบาย VPN ควรได้รับการทบทวนโดยคำนึงถึงเกณฑ์การแจ้งเหตุละเมิด ลองถามว่ามีระบบใดบ้างที่เก็บข้อมูลซึ่งหากถูกนำออกไปจะทำให้เกิดภาระหน้าที่ในการรายงาน และทำให้แน่ใจว่าระบบเหล่านั้นอยู่ในส่วนที่ถูกควบคุมอย่างเข้มงวดที่สุด

การจัดการแพตช์สำหรับอุปกรณ์ VPN สมควรได้รับความใส่ใจเป็นพิเศษ เหตุการณ์แรนซัมแวร์ที่สร้างความเสียหายสูงหลายครั้งในช่วงไม่กี่ปีที่ผ่านมา สืบเนื่องมาจากช่องโหว่ที่ไม่ได้รับการแก้ไขในผลิตภัณฑ์ VPN การให้ความสำคัญกับการอัปเดตซอฟต์แวร์ VPN อย่างเร่งด่วนเทียบเท่ากับแพตช์ของระบบปฏิบัติการ จะช่วยปิดช่องว่างที่มักถูกมองข้าม

สำหรับบุคคลทั่วไป การใช้ VPN บนเครือข่ายสาธารณะหรือที่ใช้ร่วมกันจะช่วยลดความเสี่ยงในการถูกดักจับข้อมูลประจำตัว อย่างไรก็ตาม การใช้ VPN ส่วนบุคคลควรใช้ร่วมกับการตั้งรหัสผ่านที่แข็งแกร่งและไม่ซ้ำใคร และการใช้ MFA ในทุกบัญชีที่สำคัญ เนื่องจากการขโมยข้อมูลประจำตัว มากกว่าการดักจับบนเครือข่าย เป็นภัยคุกคามในระดับบุคคลที่มีโอกาสเกิดมากกว่า

การสำรองข้อมูลยังคงเป็นมาตรการฟื้นฟูที่น่าเชื่อถือที่สุดเพียงหนึ่งเดียวสำหรับแรนซัมแวร์ การสำรองข้อมูลแบบออฟไลน์หรือแบบแก้ไขไม่ได้ที่ผู้โจมตีไม่สามารถเข้าถึงหรือเข้ารหัสได้ คือสิ่งที่ทำให้สามารถกู้คืนการดำเนินงานได้โดยไม่ต้องจ่ายค่าไถ่ และไม่มีผลพวงจากการแจ้งเหตุละเมิดข้อมูลที่ตามมาภายหลังจากการสูญเสียข้อมูล

บทเรียนจากเหตุการณ์เช่นการละเมิดของ Conduent คือ การควบคุมเครือข่ายที่ไม่เพียงพอในองค์กรหนึ่ง สามารถเปิดเผยข้อมูลของผู้คนนับสิบล้านที่ไม่เคยมีปฏิสัมพันธ์โดยตรงกับองค์กรนั้นเลย การทบทวนการกำหนดค่า VPN นโยบายการเข้าถึง และกลยุทธ์การแบ่งส่วนเครือข่ายของคุณ ไม่ใช่แบบฝึกหัดเชิงนามธรรม แต่มันคืองานภาคปฏิบัติที่กำหนดว่าการโจมตีด้วยแรนซัมแวร์จะถูกจำกัดวงอยู่หรือจะกลายเป็นการละเมิดที่นำมาซึ่งผลกระทบทางกฎหมาย การเงิน และชื่อเสียงยาวนานหลายปี