ความเข้าใจผิดที่พบบ่อยในหมู่องค์กรและผู้ใช้ของพวกเขานําไปสู่ความเชื่อที่ว่าสภาพแวดล้อมระบบคลาวด์มีภูมิคุ้มกันต่อภัยคุกคามของแรนซัมแวร์ อย่างไรก็ตาม ในการค้นพบล่าสุดโดยนักวิจัยของ Proofpoint ผู้ประสงค์ร้ายสามารถกระตุ้นการโจมตีของแรนซัมแวร์โดยใช้ประโยชน์จากการสํารองข้อมูลเวอร์ชันไฟล์ Microsoft 365 ซึ่งพร้อมใช้งานด้วยคุณสมบัติ "บันทึกอัตโนมัติ" ของไฟล์ดั้งเดิมของแพลตฟอร์ม
พูดง่ายๆ ก็คือ อาชญากรไซเบอร์สามารถเข้ารหัสไฟล์เวอร์ชันที่รู้จักทั้งหมด แม้กระทั่งไฟล์ที่สํารองไว้ ในลักษณะที่ทําให้ไม่สามารถแก้ไขได้หากไม่มีการสํารองข้อมูลเฉพาะหรือคีย์ถอดรหัสจากผู้โจมตี
รูป 1 จํานวนมัลแวร์ที่พบในแอปพลิเคชัน SaaS รวมถึง MS Teams
น่าเสียดายที่นี่ไม่ใช่ครั้งแรกที่แรนซัมแวร์ข้ามเส้นเข้าสู่โลกของ Microsoft 365 ย้อนกลับไปเมื่อ 6 ปีที่แล้ว สายพันธุ์แรนซัมแวร์ Cerber ได้ตั้งเป้าไปที่ Microsoft 365 และจัดการเพื่อเปิดเผยผู้ใช้หลายล้านคนด้วยการโจมตีซีโร่เดย์แบบใหม่ที่มีความสามารถในการหลีกเลี่ยงความปลอดภัยของ Microsoft 365 ดั้งเดิม
คุณถามอย่างไร? การใช้เทคนิคที่คล้ายกันยังคงใช้อยู่ในปัจจุบัน: อีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตรายหลอกให้ผู้ใช้อนุญาตเนื้อหามาโครแอปพลิเคชันของบุคคลที่สามเป็นอาวุธและวิธีการอื่น ๆ
เนื่องจากบริการคลาวด์สะสมผู้ใช้จํานวนมากในระบบนิเวศเดียวพวกเขาจึงกลายเป็นเป้าหมายหลักสําหรับอาชญากรไซเบอร์ ลองนึกภาพความเสียหายที่การโจมตีแรนซัมแวร์ที่ออกแบบมาอย่างดีสามารถสร้างความเสียหายให้กับองค์กรส่วนใหญ่ที่ใช้บริการ Microsoft 365 ทั้งหมด ในปี 2020 ดังที่เราเห็นในการโจมตี SolarWinds และ Microsoft ที่ประสบความสําเร็จเป็นครั้งแรก ผลกระทบทางเศรษฐกิจมีศักยภาพที่จะทําลายล้าง
การละเมิดเหล่านี้เกิดขึ้นได้อย่างไร?
บริการและแอปพลิเคชันระบบคลาวด์มีความสําคัญต่อภารกิจสําหรับธุรกิจมากกว่าที่เคยเป็นมา ไม่น่าแปลกใจเลยว่าทําไมผู้กระทําความผิดทางอาญายังคงวางแพลตฟอร์มคลาวด์เช่น Microsoft 365 ไว้ในกากบาทโดยรู้ว่าเหยื่อมีแนวโน้มที่จะจ่ายค่าไถ่มากขึ้น เวกเตอร์การโจมตีที่นี่เกี่ยวข้องกับการใช้ประโยชน์จากฟีเจอร์ดั้งเดิมของ Microsoft 365 สําหรับการสํารองข้อมูลบนคลาวด์ ภัยคุกคามที่ "อาศัยอยู่นอกแผ่นดิน" โดยใช้เครื่องมือและพารามิเตอร์ในตัวมักจะบรรเทาได้ยากกว่า เนื่องจากสามารถนําไปใช้ในทางที่ผิดได้ง่ายขึ้นและตรวจจับและป้องกันได้ยากกว่า
สิ่งที่สามารถทําได้?
การผสมผสานแนวทางปฏิบัติที่ดีที่สุดสามารถช่วยลดผลกระทบของการโจมตีเช่นนี้ได้อย่างมาก โดยเฉพาะอย่างยิ่งเมื่อเวกเตอร์การโจมตีเริ่มต้นที่นี่ยังคงเกี่ยวข้องกับการประนีประนอมของบัญชี Microsoft 365 โดยการเข้าครอบครอง
ไม่ควรมองข้ามมาตรการพื้นฐาน เช่น การบังคับใช้ Step-Up และ Multi-Factor Authentication (MFA) การบังคับใช้มาตรฐานรหัสผ่านที่รัดกุม การรักษาการควบคุมการเข้าถึงข้อมูลประจําตัวที่เข้มงวด และการลงทุนอย่างต่อเนื่องในโปรแกรมการฝึกอบรมความตระหนักรู้ของพนักงาน
รูป 2 Skyhigh Security: หมวดหมู่ความผิดปกติสําหรับพฤติกรรมที่ตรวจพบ
การป้องกันความเสี่ยงดังกล่าวทันทีจะเป็นเรื่องที่ท้าทายเสมอด้วยเหตุผลที่กล่าวมาข้างต้น ด้วยเหตุผลดังกล่าว ให้ตั้งค่าทริกเกอร์และพารามิเตอร์ความผิดปกติเพื่อตรวจหาค่าผิดปกติและกิจกรรมที่น่าสงสัยซึ่งอาจเป็นอันตราย เช่น การดําเนินการด้านการดูแลระบบที่ผิดปกติหรือคําขอเข้าถึงข้อมูลที่อาจเป็นสัญญาณเตือนสําหรับการแก้ไขขีดจํากัดการสํารองข้อมูลเวอร์ชันและการกําหนดค่าการบันทึกอัตโนมัติ
แอปพลิเคชันของบริษัทอื่นจํานวนมากเชื่อมต่อกับแพลตฟอร์ม SaaS (เช่น Microsoft 365 ในกรณีนี้) ผ่านโทเค็น OAuth โทเค็น OAuth ไม่จําเป็นต้องตรวจสอบสิทธิ์ผ่านผู้ให้บริการข้อมูลประจําตัวหลังจากให้สิทธิ์ครั้งแรกซึ่งแตกต่างจากผู้ใช้ใหม่ที่เข้าสู่ระบบ เมื่อแอปมีสิทธิ์เข้าถึง Microsoft 365 และข้อมูลผ่าน OAuth แอปจะรักษาการเข้าถึงนั้นไว้อย่างไม่มีกําหนดจนกว่าจะมีการเพิกถอนการเข้าถึง ด้วยเหตุนี้ ตรวจสอบให้แน่ใจว่าคุณเพิกถอนโทเค็นและเข้าถึงแอปที่น่าสงสัยที่ติดต่อกลับเข้าสู่การเช่า Microsoft 365 ของคุณ
องค์กรควรวางแผนสําหรับสิ่งที่เลวร้ายที่สุดเสมอโดยใช้ความคิดแบบ "ถือว่าละเมิด" ดังนั้นในช่วงเวลาเช่นนี้การสํารองข้อมูลแบบออฟไลน์จึงไม่ใช่ความคิดที่ไม่ดีนอกเหนือจากขั้นตอนการกู้คืน BC / DR ที่ผ่านการทดลองและทดสอบแล้ว
รูปที่ 3 Skyhigh Security: เพิกถอนการเข้าถึงแอพที่เชื่อมต่อ