สหรัฐอเมริกาออกคำเตือนด่วนให้กับองค์กรต่างๆ ในการเสริมความเข้มข้นในการจัดการระบบปลายทาง หลังจากที่เกิดเหตุการณ์โจมตีทางไซเบอร์ที่ส่งผลกระทบอย่างรุนแรงต่อบริษัท Stryker ซึ่งเป็นผู้ผลิตอุปกรณ์การแพทย์รายใหญ่ของโลก โดยกลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ Handala ซึ่งเชื่อว่ามีความเชื่อมโยงกับอิหร่าน เป็นผู้ลงมือโจมตีในครั้งนี้
หน่วยงานความมั่นคงด้านไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้ออกคำแนะนำเกี่ยวกับการเสริมความปลอดภัยในระบบจัดการปลายทาง โดยเฉพาะสำหรับองค์กรที่ใช้ Microsoft Intune ซึ่งเป็นระบบจัดการอุปกรณ์ปลายทางแบบคลาวด์ที่ถูกบรรจุใจของกลุ่มแฮกเกอร์ Handala การโจมตีนี้ส่งผลให้ Stryker ต้องประสบปัญหาการหยุดชะงักในการจัดการคำสั่งซื้อ การผลิต และการจัดส่ง รวมถึงการลบข้อมูลจากอุปกรณ์ของพนักงานจำนวนมาก
CISA ได้เน้นย้ำถึงหลักการด้านการป้องกันที่สามารถใช้กับซอฟต์แวร์จัดการปลายทางอื่นๆ ได้เช่นกัน คำแนะนำนี้มุ่งเน้นไปที่การใช้การพิสูจน์ตัวตนที่ไม่เปราะบางต่อฟิชชิ่ง (phishing-resistant authentication) เพื่อปกป้องการเข้าถึงระบบ คำแนะนำนี้ถูกกล่าวถึงโดยนักวิจัยจาก SANS Institute ซึ่งชี้ให้เห็นว่าการมีการพิสูจน์ตัวตนแบบหลายขั้นตอน (MFA) เป็นสิ่งที่จำเป็น แต่ไม่ใช่ทุกเทคโนโลยี MFA ที่มีคุณสมบัติในการป้องกันฟิชชิ่งอย่างมีประสิทธิภาพ
องค์กรควรระมัดระวังในการลงทะเบียนอุปกรณ์ส่วนตัวเข้าไปในระบบจัดการที่ควบคุมโดยบริษัท โดยควรจะใช้เฉพาะอุปกรณ์ที่เป็นของบริษัทเพื่อลดความเสี่ยง การเข้าใช้ระบบที่ถูกต้องควรมีการควบคุมอย่างเข้มงวดเพื่อป้องกันการเข้าถึงที่ไม่เหมาะสม
CISA ยังแนะนำว่าให้ผู้ดูแลระบบ Intune อ้างอิงเอกสารจาก Microsoft ที่เกี่ยวกับแนวทางปฏิบัติในการเพิ่มความปลอดภัย เพื่อทำให้สามารถควบคุมการเข้าถึงและจัดการได้อย่างเหมาะสม
เหตุการณ์นี้ทำให้เห็นว่าระบบจัดการปลายทางมีความเสี่ยงสูงต่อการโจมตี เนื่องจากมันทำหน้าที่เป็นเครื่องมือที่มีอำนาจในการเปลี่ยนแปลงการตั้งค่าต่างๆ ภายในเครือข่าย และการโจมตีที่คล้ายกันมีมานาน เช่น เหตุการณ์ SolarWinds Orion และ Kaseya VSA ที่เคยเกิดขึ้นในอดีต ซึ่งแสดงให้เห็นว่าผู้ร้ายกำลังมองหาวิธีการที่ง่ายที่สุดในการทำลายระบบ
ผู้เชี่ยวชาญยังแนะนำให้บังคับใช้การเข้าถึงแบบน้อยที่สุด (least-privilege access) ระบบการอนุมัติแบบคู่ (dual approval) สำหรับการดำเนินการที่สำคัญ รวมถึงการใช้การควบคุมตัวตนที่แข็งแกร่ง เพื่อเป็นการป้องกันการโจมตีทางไซเบอร์ในรูปแบบนี้
นอกจากนี้ ควรมีการตรวจสอบกิจกรรมที่ไม่ปกติ โดยเฉพาะการกระทำจากแอดมินช่วงเวลานอกเวลาทำการ หรือจากที่อยู่ IP ที่ไม่คุ้นเคย เพื่อให้แน่ใจว่าไม่มีการสร้างบทบาทใหม่หรือเพิ่มสิทธิ์ที่เป็นอันตราย สำหรับการติดตามการกระทำที่ผิดปกติ
ต้องยอมรับว่าทุกการโจมตีที่ผ่านมาล้วนมีแง่มุมที่แสดงให้เห็นถึงความสำคัญของระบบจัดการปลายทาง ดังนั้น องค์กรจึงควรเตรียมความพร้อมเพื่อให้ยืดหยุ่นต่อเหตุการณ์ที่ไม่คาดคิด และสามารถฟื้นตัวได้เร็วที่สุดเมื่อเกิดเหตุการณ์นี้ขึ้น
ในส่วนของ Stryker ล่าสุดได้ออกแถลงการณ์ยืนยันว่าทุกเทคโนโลยีที่ใช้โดยลูกค้าของพวกเขายังคงปลอดภัย และเหตุการณ์นี้ได้ถูกควบคุมอย่างมีประสิทธิภาพ แม้ว่าจะมีความเสียหายในด้านการผลิตและการจัดส่งก็ตาม
จากเหตุการณ์นี้เห็นได้ชัดว่า ความปลอดภัยทางไซเบอร์เป็นสิ่งที่ไม่สามารถละเลยได้ ดังนั้นองค์กรต่าง ๆ ควรสร้างมาตรการในการปัดป้องและยกระดับความปลอดภัยให้เป็นเรื่องสำคัญ ขายข่าวเทคโนโลยีในยุคนี้ให้เข้มแข็งกันเถอะ!
