การโจมตีด้วยแรนซัมแวร์ Black Basta: 5 วิธีที่บริษัทของคุณจะสามารถทำงานร่วมกันอย่างปลอดภัยบน Microsoft Teams

โดย Suhaas Kodagali - ผู้อำนวยการฝ่ายบริหารผลิตภัณฑ์

28 ตุลาคม 2567 4 อ่านนาที

ในเหตุการณ์ล่าสุด กลุ่มแรนซัมแวร์ Black Basta ได้ใช้ข้อความแชทของ Microsoft Teams เป็นช่องทางการสื่อสารที่หลอกลวง กับผู้ใช้เป้าหมาย ในการโจมตีด้วยแรนซัมแวร์ระลอกใหม่ กลุ่ม Black Basta ซึ่งมีสมาชิกได้แทรกซึมเครือข่ายขององค์กรโดยใช้การฟิชชิ่ง บอตเน็ตมัลแวร์ และวิศวกรรมสังคม กำลังใช้ Microsoft Teams เพื่อเข้าถึงข้อมูลขององค์กรแห่งหนึ่ง

กลุ่มนี้มักรู้จักการใช้อีเมลที่แอบอ้างเป็นเจ้าหน้าที่ฝ่ายช่วยเหลือด้านไอทีเพื่อเสนอความช่วยเหลือ จากนั้นจึงหลอกล่อพนักงานให้ให้สิทธิ์เข้าถึงโดยให้ข้อมูลประจำตัวหรือติดตั้งเครื่องมือการเข้าถึงระยะไกล ปัจจุบัน พวกเขากำลังแอบอ้างเป็นเจ้าหน้าที่ฝ่ายช่วยเหลือด้านไอทีใน Microsoft Teams โดยใช้บัญชีผู้ใช้ภายนอกที่มีชื่อหลอกลวง เช่น "Help Desk" โดยการเพิ่มผู้ใช้ลงในแชทโดยใช้บัญชีภายนอกจากผู้เช่า Entra ID ที่หลอกลวง ผู้โจมตีได้แอบอ้างเป็นฝ่ายสนับสนุน ผู้ดูแลระบบ หรือเจ้าหน้าที่ฝ่ายช่วยเหลือ โดยใช้ชื่อที่แสดงให้เข้าใจผิดเพื่อหลอกล่อผู้ใช้ให้เชื่อว่ากำลังโต้ตอบกับตัวแทนฝ่ายช่วยเหลือที่ถูกต้องตามกฎหมาย

กิจกรรมนี้เป็นการเตือนใจอย่างชัดเจนว่าเครื่องมือการทำงานร่วมกันนั้นแม้จะจำเป็นต่อเวิร์กโฟลว์สมัยใหม่ แต่ก็สามารถเปิดเผยข้อมูลที่ละเอียดอ่อนต่อภัยคุกคามทางไซเบอร์ได้ โดยเฉพาะอย่างยิ่งเมื่อผู้ใช้ที่เป็นแขกหรือผู้ใช้ภายนอกเข้ามาเกี่ยวข้อง การใช้ประโยชน์จากโซลูชัน Cloud Access Security Broker (CASB) ที่มีขั้นสูง Data Loss Prevention ความสามารถ (DLP) สามารถช่วยบรรเทาความเสี่ยงเหล่านี้ได้โดยการระบุและลบเนื้อหาที่ละเอียดอ่อนในการโต้ตอบที่ไม่ได้รับอนุญาต ซึ่งท้ายที่สุดแล้วจะช่วยเสริมความปลอดภัยข้อมูลขององค์กรจากการโจมตีด้วยแรนซัมแวร์แบบกำหนดเป้าหมาย นโยบาย DLP ที่ขับเคลื่อนโดย CASB สามารถช่วยระบุและลบเนื้อหาที่ละเอียดอ่อนใน Microsoft Teams, SharePoint และ OneDrive เพื่อสร้างสภาพแวดล้อมที่ปลอดภัยยิ่งขึ้นสำหรับการทำงานร่วมกันขององค์กร

ความสามารถหลักของ Skyhigh CASB สำหรับการรักษาความปลอดภัยข้อมูลของ Microsoft Teams

ด้วย Skyhigh CASB องค์กรสามารถควบคุมเนื้อหาละเอียดอ่อนที่แชร์ในสภาพแวดล้อม Microsoft Teams ได้อย่างละเอียด รวมถึงวิธีการทำงานร่วมกัน ผู้ดูแลระบบความปลอดภัยสามารถกำหนดได้ Data Loss Prevention (DLP) นโยบายในการระบุและลบข้อมูลละเอียดอ่อนที่แชร์กับผู้ใช้ที่ไม่ได้รับอนุญาต นอกจากนี้ ยังสามารถบังคับใช้นโยบายเกี่ยวกับการแชร์กับผู้ใช้ภายนอกและเพิกถอนสิทธิ์การเข้าถึงของผู้ใช้ภายนอกตามความจำเป็น เพื่อให้สามารถลดความเสี่ยงที่เกี่ยวข้องกับผู้กระทำความผิดหรือการแชร์ข้อมูลโดยไม่ได้ตั้งใจ

Skyhigh CASB ผสานรวมเข้ากับ Microsoft Teams, SharePoint และ OneDrive ได้อย่างราบรื่นเพื่อตรวจสอบและบังคับใช้การควบคุม DLP และการทำงานร่วมกันในทุกช่องทางที่เกี่ยวข้อง รวมถึง Teams Channels, ไฟล์ OneDrive และไซต์ SharePoint ผู้ดูแลระบบความปลอดภัยสามารถใช้ Skyhigh เพื่อบังคับใช้การควบคุมการทำงานร่วมกันได้ในหลายระดับ:

• การควบคุมการแบ่งปันตามโดเมน
  การทำงานร่วมกันภายนอกนั้นมีความเสี่ยง แต่ก็สามารถเป็นเครื่องมือเพิ่มผลผลิตที่มีคุณค่าในการทำงานกับผู้รับเหมาและพันธมิตร ลูกค้าของ Skyhigh ใช้การควบคุมการแชร์ตามโดเมน โดยสามารถจำกัดการแชร์เฉพาะกับโดเมนที่ได้รับการอนุมัติจากทีมรักษาความปลอดภัยให้เป็นพันธมิตร ผู้ขาย หรือผู้รับเหมาที่ได้รับอนุญาต ดังนั้น หากพนักงานพยายามเชิญผู้ใช้ภายนอกที่ไม่อยู่ในรายชื่อที่ได้รับการอนุมัติล่วงหน้านี้เข้าร่วมการสนทนาใน Teams Skyhigh จะเพิกถอนคำขอการแชร์นี้
• บล็อกการแบ่งปันข้อมูลที่ละเอียดอ่อนกับผู้ใช้ภายนอกในช่อง Teams
  ผู้ดูแลระบบความปลอดภัยสามารถใช้การควบคุมของ Skyhigh เพื่อบล็อกการแชร์ข้อมูลที่ละเอียดอ่อนกับผู้ใช้ภายนอก เมื่อผู้ใช้แชร์ข้อมูลที่ละเอียดอ่อนในช่อง Teams ที่มีผู้ใช้ภายนอก Skyhigh จะตรวจจับการมีอยู่ของข้อมูลที่ละเอียดอ่อนและยังทำเครื่องหมายว่าช่องนั้นมีผู้ใช้จากภายนอกบริษัท จากนั้นจะเพิกถอนการแชร์ข้อมูลนี้ การควบคุมแบบเดียวกันนี้สามารถนำไปใช้กับระดับผู้ใช้ได้เช่นกัน เมื่อมีการเพิ่มผู้ใช้ภายนอกลงในช่อง Teams ที่มีข้อมูลที่ละเอียดอ่อน Skyhigh จะสามารถเพิกถอนการเข้าถึงสำหรับผู้ใช้ภายนอกได้ ด้วยการอนุญาตให้ผู้ดูแลระบบความปลอดภัยรวมการควบคุมตามการทำงานร่วมกันและตามเนื้อหาไว้ในนโยบายเดียว Skyhigh จึงให้ทีมความปลอดภัยสามารถควบคุมการทำงานร่วมกันและการแชร์เนื้อหาบน Teams และแอป Office อื่นๆ ได้อย่างละเอียด
• เพิกถอนความร่วมมือที่ไม่ได้รับอนุญาตย้อนหลัง
  การควบคุมเนื้อหาและการทำงานร่วมกันของ Skyhigh จะถูกบังคับใช้ในเวลาใกล้เคียงกับเวลาจริง เพื่อให้แน่ใจว่าข้อมูลของลูกค้าได้รับการปกป้องในระดับสูง อย่างไรก็ตาม Skyhigh ยังให้ลูกค้ามีตัวเลือกในการบังคับใช้การควบคุมเหล่านี้ย้อนหลังโดยใช้การสแกนตามต้องการ ซึ่งมีประโยชน์เมื่อลูกค้ารายใหม่ของ Skyhigh ต้องการให้แน่ใจว่าการปรับใช้ Teams ของตนสอดคล้องกับนโยบายความปลอดภัยของบริษัท ลูกค้าสามารถดำเนินการตามนโยบายเนื้อหาและการทำงานร่วมกันเป็นกลุ่มบนช่องทางและแชทของ Teams ทั้งหมด และใช้การแก้ไขที่จำเป็นในกรณีที่มีการละเมิดนโยบาย ซึ่งช่วยให้ลูกค้ามั่นใจได้ว่าข้อมูลที่ละเอียดอ่อนภายใน Teams และแอปสำนักงานอื่นๆ ได้รับการปกป้องอย่างครบถ้วน
• นโยบายการปกป้องข้อมูลขั้นสูงบน Teams
  เมื่อใช้การควบคุมตามเนื้อหากับข้อมูลที่แชร์ผ่าน Teams Skyhigh จะมอบการควบคุมที่ครอบคลุมและละเอียดที่สุดในอุตสาหกรรมให้กับลูกค้า นอกเหนือจากการจำแนกประเภทข้อมูลทั่วไปแบบมาตรฐานแล้ว Skyhigh ยังให้ลูกค้าเข้าถึงการควบคุมการปกป้องข้อมูลขั้นสูงได้ ซึ่งรวมถึงการสร้างลายนิ้วมือแบบมีโครงสร้างและไม่มีโครงสร้าง และความสามารถ OCR ดังนั้น หากลูกค้าพยายามขโมยข้อมูลของลูกค้าในรูปแบบของภาพหน้าจอ Skyhigh จะสามารถตรวจจับการมีอยู่ของข้อมูลลูกค้าจากลายนิ้วมือข้อมูลที่มีโครงสร้างภายในภาพ และบล็อกการแชร์ไฟล์นี้ได้
• การควบคุมการทำงานร่วมกันระหว่างแอปพลิเคชัน Office
  การควบคุมเนื้อหาและการทำงานร่วมกันได้รับการหารือกันเป็นส่วนใหญ่ในบริบทของ Microsoft Teams เนื่องจากเป็นวิธีการแยกข้อมูลที่กลุ่ม Black Basta ใช้ แต่การควบคุมการทำงานร่วมกันและเนื้อหาของ Skyhigh สามารถนำไปใช้กับแอป Office ทั้งหมดได้ รวมถึง Microsoft SharePoint, OneDrive และ Exchange ทีมงานด้านความปลอดภัยไม่ค่อยใช้การควบคุมกับแอปพลิเคชันเดียวเท่านั้น โดยปกติแล้วพวกเขาจะกำหนดการควบคุมและขยายการควบคุมเหล่านี้ไปยังแอปทั้งหมดที่มีข้อมูลองค์กรที่ละเอียดอ่อน ดังนั้น Skyhigh จึงได้ออกแบบการควบคุมการทำงานร่วมกันแบบเดียวกันเพื่อใช้กับการแบ่งปันข้อมูลโดยไม่ได้รับอนุญาต ไม่ว่าจะเป็นในช่องทาง Teams หรือไซต์ SharePoint หรือไฟล์ OneDrive หรืออีเมลที่ส่งผ่าน Microsoft Exchange

การตั้งค่านโยบาย DLP เพื่อการปกป้อง Microsoft Teams ที่มีประสิทธิภาพ

ในการกำหนดค่านโยบาย DLP ที่จะปกป้องสภาพแวดล้อม Microsoft Teams ผู้ดูแลระบบสามารถทำตามขั้นตอนเหล่านี้:

• กำหนดประเภทเฉพาะของข้อมูลละเอียดอ่อน (เช่น หมายเลขบัตรเครดิต หมายเลขประกันสังคม) ที่ต้องมีการตรวจสอบ
• กำหนดกฎเกณฑ์เกี่ยวกับการทำงานร่วมกันและกำหนดผู้ร่วมงานภายนอกที่ได้รับอนุญาต
• ใช้เนื้อหาและนโยบายการทำงานร่วมกันระหว่าง Teams, SharePoint และอินสแตนซ์ OneDrive เพื่อให้ครอบคลุมข้อมูลอย่างครอบคลุม
• ตรวจสอบและอัปเดตนโยบายเป็นประจำเพื่อให้สอดคล้องกับข้อกำหนดด้านความปลอดภัยที่เปลี่ยนแปลง ประเภทข้อมูลใหม่ และผู้ทำงานร่วมกัน
• เสริมสร้างมาตรการรักษาความปลอดภัยของคุณต่อภัยคุกคามจาก Ransomware

การโจมตีด้วยแรนซัมแวร์ Black Basta บน Microsoft Teams เน้นย้ำถึงความจำเป็นในการกำกับดูแลและปกป้องข้อมูลอย่างแข็งแกร่งในเครื่องมือการทำงานร่วมกันขององค์กร ด้วย Skyhigh CASB องค์กรต่างๆ สามารถจัดการข้อมูลที่ละเอียดอ่อนได้อย่างมั่นใจ ลดความเสี่ยงในการเปิดเผยต่อผู้ใช้ที่ไม่ได้รับอนุญาต และก้าวล้ำหน้าภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงไป

Skyhigh CASB เป็นพันธมิตรที่เชื่อถือได้ของคุณในการปกป้องข้อมูลในสภาพแวดล้อม Microsoft Teams ช่วยให้คุณรักษาความปลอดภัยของข้อมูลที่ละเอียดอ่อนจากกลุ่มแรนซัมแวร์และผู้กระทำอันตรายอื่นๆ

กลับไปที่บล็อก