แนวทางการป้องกัน และรับมือภัยคุกคามทางไซเบอร์ในสถานการณ์ปัจจุบัน

 

 

เนื่องจากสถานการณ์ความขัดแย้งกับประเทศเพื่อนบ้านบริเวณชายแดนอย่างที่เป็นที่ทราบกันดีแล้วนั้น

บริษัท i-secure ตระหนักถึงความสำคัญในการเฝ้าระวังภัยคุกคามที่อาจจะเกิดขึ้นกับระบบของลูกค้า และได้มีมาตรการป้องกัน และเฝ้าระวังอย่างเข้มงวดมาโดยตลอด ไม่ว่าจะเป็นช่วงสถานการณ์ปกติ หรือในช่วงที่มีความขัดแย้ง

แต่เพื่อให้การป้องกัน และความปลอดภัยกับระบบของลูกค้าได้ดีมากยิ่งขึ้น บริษัทจึงขอแนะนำมาตรการดังต่อไปนี้เพื่อให้บริษัท และองค์กรต่าง ๆ นำไปปรับใช้เพิ่มเติมเพื่อลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ในช่วงเวลานี้ ดังนี้

 

1. การเฝ้าระวังโดยใช้ข้อมูลจราจรทางคอมพิวเตอร์ (Logs) 

• เพิ่มการเก็บข้อมูลจราจรทางคอมพิวเตอร์ (Logs) ให้ครอบคลุมระบบสำคัญต่าง ๆ ขององค์กรทั้งหมด เพื่อช่วยเฝ้าระวัง และตรวจจับภัยคุกคามทางไซเบอร์ได้แม่นยำมากยิ่งขึ้น เช่น
  • อุปกรณ์ด้านความปลอดภัย (Security Devices Logs)
  • อุปกรณ์เครือข่าย (Network Devices Logs)
  • ระบบปฏิบัติการของเซิร์ฟเวอร์ (OS Logs)
  • ระบบยืนยันตัวตน (Authentication Services Logs)
  • เว็ปไซต์ และเว็ปแอปพลิเคชัน (Web Server Logs)
  • ระบบอีเมลขององค์กร (Email Server / Email Gateway Logs)
  • ระบบอื่น ๆ ขององค์กรที่มีความสำคัญ (Critical Server Logs)

2. อัปเดตระบบให้เป็นเวอร์ชันล่าสุด

• เร่งอัปเดตระบบปฏิบัติการ, โปรแกรม และแอปพลิเคชันที่ใช้งาน, องค์ประกอบต่าง ๆ ของเว็ปไซต์, รวมไปถึงอุปกรณ์ด้านความปลอดภัย และอุปกรณ์เครือข่ายให้เป็นเวอร์ชันล่าสุด เช่น
  • Windows Servers
  • Linux Servers
  • Google Chrome
  • VMWare ESXi
  • WordPress
  • SAP
  • Fortigate
  • etc…
• หากระบบใดก็ตามล้าสมัย หรือเป็นเวอร์ชันที่ไม่ได้รับการสนับสนุนอีกต่อไป (End of Life, End of Support) ให้ดำเนินการเปลี่ยนให้เป็นเวอร์ชันที่สามารถอัปเดตได้โดยเร็วที่สุด
• งดเว้นการใช้โปรแกรม หรือซอฟแวร์ผิดลิขสิทธิ์ ซึ่งอาจนำมาสู่การติดมัลแวร์ประเภทที่จะขโมยข้อมูล Credential เช่น Info Stealer Malware และอาจนำมาสู่การนำ Credential ที่รั่วไหลออกไป กลับมาเข้าสู่ระบบขององค์กรได้

3. ตรวจสอบบัญชีผู้ดูแลระบบ และเพิ่มมาตรการควบคุมการเข้าถึง

• จัดให้มีการตรวจสอบการใช้งานของบัญชีผู้ดูแลระบบ และบัญชีที่มีสิทธิ์สูงทั้งหมด ว่ามีบัญชีใดที่ยังใช้งานอยู่บ้าง หากบัญชีใดไม่มีการใช้งานแล้วควร Disable หรือลบทิ้งออกจากระบบ
• พิจารณาใช้งานระบบการจัดการสิทธิ์การเข้าถึง (Privilege Access Management) เพื่อยกระดับความปลอดภัยในการควบคุมการเข้าถึงระบบสำคัญ ๆ ขององค์กร (Access Control) จากบัญชีผู้ดูแลระบบ และบัญชีที่มีสิทธิ์สูง

4. ตรวจสอบการเข้าถึงระบบสำคัญขององค์กรนอกช่วงเวลาทำงานปกติ

• จัดให้มีการตรวจสอบการเข้าใช้งานระบบที่สำคัญต่าง ๆ ขององค์กรในช่วงนอกเวลาทำงาน เช่น การ Login เข้าสู่ระบบสำคัญขององค์กรด้วยบัญชีที่มีสิทธิ์สูงนอกช่วงเวลาทำงานตามปกติ

5. เปิดใช้งานการยืนยันตัวตนหลายขั้นตอน 

• บังคับใช้งาน Multi Factor Authentication (MFA) กับทุกระบบสำคัญขององค์กร ไม่ว่าจะเป็นระบบที่ให้บริการกับลูกค้าทั่วไป หรือระบบที่ให้พนักงานภายในเข้าใช้งาน รวมไปถึงระบบสำหรับผู้ดูแลระบบ
• Multi Factor Authentication (MFA) ยังสามารถช่วยป้องกันระบบขององค์กรในกรณีที่ผู้โจมตีนำข้อมูลรั่วไหลของผู้ใช้งานที่ได้มาจากมัลแวร์ประเภท Info Stealer กลับมาลอง Login เข้าสู่ระบบของค์กรด้วยวิธีการที่เรียกว่า Credential Stuffing ได้อีกด้วย

6. ใช้งาน Web Application Firewall เพื่อป้องกันการโจมตีผ่านเว็ปไซต์

• พิจารณาใช้งาน Web Application Firewall (WAF) เพื่อป้องกันการโจมตีผ่านทางเว็ปไซต์ เนื่องจากเพียงแค่ IPS และ Firewall ปกติ ไม่เพียงพอต่อการป้องกันการโจมตีในระดับเว็ปไซต์

7. ใช้งานระบบป้องการการโจมตีแบบ DDoS

• พิจารณาใช้งานระบบ Cloud DDoS protection หรือระบบที่สามารถช่วยป้องกันการโจมตีในลักษณะ DDoS ได้ เช่น Cloudflare, Incapsula เพื่อให้เว็ปไซต์ หรือระบบสำคัญขององค์กรสามารถให้บริการได้อย่างต่อเนื่อง

8. ปรับจูน Policy ของอุปกรณ์ด้านความปลอดภัยให้เหมาะสม

• ปรับจูน Policy บน NGFW, IPS และ WAF ให้ Block พฤติกรรมที่เข้าข่ายภัยคุกคามทางไซเบอร์ตั้งแต่ในระดับ Severity High ขึ้นไปทันที ส่วนในระดับ Severity ที่ต่ำลงมา อาจจะพิจารณาเป็นแต่ละกรณีไป

9. ติดตั้ง Endpoint Protection ที่มีประสิทธิภาพ

• ติดตั้ง Endpoint Detection and Response ที่มีประสิทธิภาพให้ครบทุกระบบขององค์กร ทั้งในส่วนของเซิร์ฟเวอร์ และเครื่องของพนักงาน

10. ตรวจสอบการเปิดใช้งาน Services ที่ไม่จำเป็นจากอินเทอร์เน็ต

• ตรวจสอบการเปิดให้เข้าใช้งาน Services ต่าง ๆ ได้โดยตรงจากอินเทอร์เน็ต หากมี Services ใด ๆ ก็ตามที่ไม่มีความจำเป็นต้องใช้งาน ควรปิดการเชื่อมต่อจากอินเทอร์เน็ตทันที เช่น
  • Remote Desktop
  • SSH
  • SMB
  • Management Panel
  • Etc…

11. ปิดการเชื่อมต่อจากประเทศที่ไม่มีความเกี่ยวข้องกับองค์กร

• พิจารณาปิดการเชื่อมต่อจาก IP ต้นทางที่มาจากประเทศที่ไม่ได้มีความเกี่ยวข้องกับการให้บริการขององค์กร หรือไม่มีความจำเป็นต้องเข้าใช้งานระบบขององค์กรในช่วงเวลานี้

12. ทดสอบข้อมูลใน Backup Server

• ทดสอบการ Recovery ข้อมูลที่ถูกเก็บไว้ใน Backup Server ว่าสามารถ Recovery ให้ระบบกลับมาใช้งานได้ตามปกติหรือไม่

13. เตรียมความพร้อมด้านการประสานงาน

• จัดให้มีทีมที่เตรียมความพร้อมรับมือกับสถานการณ์ภัยคุกคามทางไซเบอร์ทั้งในระดับบริหาร และระดับปฏิบัติการ รวมถึงขั้นตอนในการให้ข้อมูลกับสื่อ

14. จัดเตรียมแผนการตอบสนองต่อเหตุการณ์ภัยคุกคามทางไซเบอร์

• จัดทำแผนการตอบสนองต่อเหตุการณ์ภัยคุกคามทางไซเบอร์ (Incident Response Plan) เพื่อเตรียมพร้อมรับมือกับภัยคุกคามทางไซเบอร์ในรูปแบบต่าง ๆ สำหรับองค์กร
• จัดให้มีการทดสอบแผนการตอบสนองต่อเหตุการณ์ภัยคุกคามทางไซเบอร์เป็นประจำ

 

 

 

 

 

 

 

 

 

 

 

---

 

ที่มา i-secure      /     วันที่เผยแพร่ 30  กรกฏาคม 2568

Link :https://www.i-secure.co.th/2025/07/แนวทางการป้องกัน-และรับ/