10 วิธีเพิ่มความปลอดภัยในการใช้ Microsoft Office 365

Microsoft ครองแชมป์สามไตรมาสติดกัน! แต่เป็นแชมป์ในฐานะแบรนด์เป้าหมายอันดับหนึ่งที่มิจฉาชีพนิยมเล่นงานผู้ใช้งานด้วย Phishing และแอปพลิเคชันที่เป็นตัวผลักดันสถิติดังกล่าว ต้องยกให้ Office 365 ซึ่งเป็นแพลตฟอร์มหลายระบบที่รวมการใช้งานอีเมล ที่เก็บไฟล์ การทำงานแบบร่วมกันในองค์กร (Collaboration) และแอปพลิเคชันที่ช่วยเพิ่มประสิทธิภาพการทำงาน (Productivity) รวมถึงแอปฯ ในเครือ เช่น OneDrive และ SharePoint เห็นอย่างนี้ ก็ไม่ต้องสงสัยเลย Office 365 เปรียบเสมือน Supermarket ที่รวมข้อมูลส่วนบุคคลและฐานข้อมูลสำคัญขององค์กรที่เหล่าแฮกเกอร์ต่างจ้องเข้ามาเพื่อเลือกช้อปได้

Office 365 มีผู้ใช้งานต่อเดือนสูงถึงกว่า 155 ล้านราย และมักตกเป็นเหยื่อของการโจมตีโดยแฮกเกอร์มาเสมอ ประกอบกับแพลตฟอร์ม Cloud ได้รับความนิยมเพิ่มมากขึ้นกว่าในอดีต โดยปัจจุบันธุรกิจถึง 88% ใช้งาน Cloud แอปพลิเคชัน ส่วนหนึ่งเป็นผลมาจากการประหยัดต้นทุน ความสามารถในการปรับลดขนาดการใช้งานได้และการทำงานร่วมกัน ทำให้ผู้ใช้และองค์กรต่างๆ ไม่สามารถมองข้ามความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ที่เกี่ยวข้องได้ หากธุรกิจของเราใช้ Office 365 ซึ่งจำนวนมากใช้งานบน Cloud นั่นหมายถึงความเสี่ยงด้านความปลอดภัยที่เพิ่มขึ้นด้วยเช่นกัน

จากนี้ไปจะเป็นบทความที่ลงรายละเอียดที่มาที่ไปของภัยที่มาโจมตี Office 365 สำหรับผู้ที่ต้องการอ่าน 10 วิธีเพิ่มความปลอดภัยในการใช้ Microsoft Office 365 สามารถคลิกข้ามไปอ่านได้เลยครับ

การโจมตีต่อผู้ใช้ Office 365 โดยปกติที่ผ่านมา มีรูปแบบหลักๆ ดังนี้:

Display name spear-phishing attack

การโจมตีที่มุ่งเป้าไปที่กลุ่มบุคคลหรือองค์กรที่เฉพาะเจาะจง โดยทั่วไปแล้วการโจมตีลักษณะนี้ใช้ชื่อผู้ส่งอีเมลหรือข้อความอีเมลที่ดูเหมือนว่ามาจากผู้บริหารภายในองค์กรเอง วิธีนี้ทำให้ผู้รับหลงเชื่อว่าอีเมลฉบับนั้นเป็นของจริงโดยไม่ยาก เพื่อหลอกให้คลิกลิงค์ไปยังหน้าเว็บไซต์ Log-in ปลอม และกรอกรหัสผ่าน

Password Attack (Brute-force password / Password-spray)

การโจมตีรหัสผ่านด้วย Brute-force คือ การโจมตีด้วยการสุ่มรหัสผ่านหลังจากแฮกเกอร์เลือกรายชื่อผู้ใช้ที่มีความสำคัญจากรายการผู้ใช้อีเมลในองค์กรแล้ว การโจมตีนี้มุ่งเน้นไปที่การลองสุ่มชุดรหัสผ่านกับบัญชีผู้ใช้รายเดียว

ตรงข้ามกับ Brute-force password attack การโจมตีลักษณะ Password-spray นี้จะระดมสุ่มชุดรหัสผ่านไปยังบัญชีผู้ใช้หลายรายในองค์กรพร้อมกัน

กลลวงแนว Phishing ทุกวันนี้ ซับซ้อนมากขึ้น

1. กลลวงใหม่ที่ออกแบบมาเพื่อเลียนแบบการเชิญร่วมประชุมจากหัวหน้างาน เมื่อคลิกที่ลิงค์ก็จะนำเราไปยังหน้า Log-in เข้าใช้ Microsoft Outlook ที่ทำขึ้นปลอมเพื่อขโมยข้อมูลประจำตัวที่ป้อนเข้าไป
2. กลลวงที่ใช้คุณสมบัติของ Live Chat เพื่อทำให้กลลวงนั้นดูสมจริงขึ้น
3. กลลวงที่ปลอมเป็นฟังก์ชันที่แจ้งผู้ใช้ว่า การส่งอีเมลล้มเหลว (Non-delivery Notification) และมีคำสั่ง Pop up ขึ้นมาให้กด “ส่งอีกครั้ง” ซึ่งหากเมื่อคลิกที่ลิงค์นี้ผู้ใช้จะไปยังเว็บไซต์ที่ดูเหมือนหน้า Log-in เข้า Office 365

เทคนิคการแทรกซึมด้วยมัลแวร์แบบใหม่

เป็นที่รู้กันดีว่า การดาวน์โหลดเอกสารที่ส่งถึงเราจากแหล่งที่มาที่ไม่คุ้นเคยหรือดูน่าสงสัย เป็นสิ่งที่ไม่ควรอย่างยิ่ง ถึงแม้ผู้ใช้ส่วนมากจะระมัดระวังเรื่องนี้เป็นอย่างดี แต่อาชญากรไซเบอร์ก็เปลี่ยนไปใช้วิธีการที่เหนือเมฆในการโจมตีเหยื่อด้วยวิธีการใหม่โดยการแทรกมัลแวร์เข้าเครื่องได้แม้ผู้ใช้ไม่ได้คลิกเปิดเอกสาร วิธีนี้แค่เพียงผู้ใช้ดูตัวอย่างเอกสาร (Document Preview) ก็ติดมัลแวร์ได้แล้ว ทั้งนี้เนื่องจากกระบวนการ Preview ดูตัวอย่างเอกสารของ Office จะไม่มีตรวจสอบความปลอดภัยของแหล่งที่มาของเอกสารนั้นนั้น

การโจมตีอีกประเภทที่กำลังมาแรงคือการโจมตีที่ใช้ประโยชน์จากองค์ประกอบอื่นๆ ของ Office 365 โดยอีเมลปลอมจะถูกส่งไปยังผู้ใช้ด้วยเอกสารประเภท SharePoint ลิงก์ที่มีมัลแวร์ถูกแอบฝังในเอกสารเหล่านี้ ทำให้มัลแวร์สามารถหลุดรอดการรักษาความปลอดภัยของแพลตฟอร์มไปได้

การรักษาความปลอดภัยแบบดั้งเดิมอาจจะไม่เพียงพอ

ไม่ใช่เรื่องแปลกที่เหล่าวายร้ายจะพัฒนาวิธีใหม่ๆ ในการหลีกเลี่ยงการตรวจจับด้านความปลอดภัยแบบดั้งเดิม เช่น การใช้ซอฟต์แวร์ป้องกันไวรัสหรือไฟร์วอลล์ ในตัวอย่างล่าสุดของการโจมตี ชื่อ NoRelationship ใช้วิธีการข้ามแทรกผ่านตัวกรองไฟล์ (Filter) ของ Office 365 เนื่องจากตัวกรองเหล่านี้ไม่สามารถสแกนเอกสารทั้งฉบับเพื่อวิเคราะห์ความเสี่ยงหรือระดับของการคุกคาม การทำงานเพียงอาศัยไฟล์ xml.rels แทนเพื่อดักจับ URLs ที่แฝงอยู่ในเอกสาร อย่างไรก็ตามในการโจมตี NoRelationship แฮกเกอร์จะคอยลบ URLs เหล่านี้ออกหมด ซึ่งทำให้ตัวกรองใน Office 365 ไร้ประโยชน์

10 วิธีเพิ่มความปลอดภัยในการใช้ Microsoft Office 365

1. ตั้งค่าการยืนยันตนแบบหลายปัจจัย (MFA)
   การใช้การยืนยันตนแบบหลายปัจจัยเป็นวิธีที่ง่ายและมีประสิทธิภาพสูงสุดในการเพิ่มความปลอดภัยให้กับองค์กร เมื่อลงชื่อเข้าใช้การยืนยันตนแบบหลายปัจจัย หมายความว่า ผู้ใช้จะพิมพ์รหัสที่ได้รับจากมือถือเพื่อเข้าใช้งาน วิธีนี้จะช่วยป้องกัน Account ไว้ได้แม้แฮกเกอร์จะได้ Password ไป

2. ฝึกอบรมผู้ใช้ในองค์กร
   โดยการสร้างวัฒนธรรมองค์กรให้ตื่นตัวถึงภัยไซเบอร์ รวมทั้งการฝึกอบรมให้รู้จักการโจมตีแบบกลลวง Phishing เพื่อป้องกันภัยจากแฮกเกอร์และมัลแวร์ ผู้ใช้ควรใช้รหัสผ่านที่คาดเดายาก และการติดตั้ง Antivirus ในเครื่อง PC และ Mac เป็นต้น

3. ใช้บัญชีผู้ดูแลระบบ (Admin Account) แยกเป็นเอกเทศ
   บัญชีผู้ดูแลระบบที่ใช้เพื่อจัดการ Office 365 ในองค์กรเต็มไปด้วยสิทธิ์ระดับสูงมากมาย บัญชีเหล่านี้เป็นเป้าหมายที่มีค่าสำหรับแฮกเกอร์และอาชญากรไซเบอร์ ควรใช้บัญชีผู้ดูแลระบบ Office 365 สำหรับจัดการเรื่องงานเท่านั้น ผู้ดูแลระบบควรมีบัญชีผู้ใช้แยกต่างหากสำหรับการใช้งานทั่วไปที่อย่านำมาใช้ร่วมกัน โดยมีแนวทางเพิ่มความปลอดภัย ดังนี้
   • ตั้งค่าสำหรับการยืนยันตนแบบหลายปัจจัยสำหรับบัญชีผู้ดูแลระบบด้วยเช่นกัน
   • ก่อนที่จะใช้บัญชีผู้ดูแลระบบให้ปิด Browser และแอปฯ ที่ไม่เกี่ยวข้องทั้งหมดรวมถึงบัญชีอีเมลส่วนตัว
   • หลังจากเสร็จสิ้นภารกิจ ผู้ดูแลระบบควร Log out ออกจากระบบเสมอ

4. เพิ่มระดับการป้องกันมัลแวร์ในอีเมล
   ถึงแม้ Office 365 มีการป้องกันมัลแวร์แล้วระดับหนึ่งก็จริง แต่ควรเพิ่มการป้องกันโดยการ Block เอกสารแนบ ที่เป็นประเภทไฟล์ที่พบมัลแวร์บ่อยๆ โดยการเข้าไปตั้งค่าเปิด  Common Attachment Types Filter ใน Office 365
5. ป้องกัน Ransomware
   Ransomware จำกัดการเข้าถึงข้อมูลโดยการเข้ารหัสไฟล์หรือล็อคหน้าจอคอมพิวเตอร์ จากนั้นจะพยายามรีดไถเงินจากผู้ที่ตกเป็นเหยื่อโดยขอ “ค่าไถ่” โดยปกติจะอยู่ในรูปแบบของเงินดิจิทัล เช่น Bitcoin เพื่อแลกเปลี่ยนกับปลดล๊อคไฟล์
   เราสามารถป้องกันได้โดยการสร้าง Rule ในการรับส่งอีเมลอย่างน้อยหนึ่งข้อจากสองข้อดังนี้ เพื่อบล็อกนามสกุลไฟล์ที่แฮกเกอร์ใช้กันสำหรับ Ransomware หรือเตือนผู้ใช้ที่ได้รับไฟล์แนบเหล่านี้ในอีเมล
   • เตือนผู้ใช้ก่อนเปิดไฟล์แนบ Office ที่มีมาโคร Ransomware สามารถซ่อนอยู่ในมาโคร ดังนั้นเราจะเตือนผู้ใช้ไม่ให้เปิดไฟล์เหล่านี้จากผู้ส่งที่ไม่รู้จัก
   • บล็อกไฟล์ประเภทที่อาจมี Ransomware หรือมัลแวร์อันตรายอื่น ๆ แฝงอยู่
6. ยกเลิกฟังก์ชันการส่งอีเมลต่ออัตโนมัติ (Auto-forwading) แฮกเกอร์สามารถเข้าถึง Mailbox ของผู้ใช้ และตั้งคำสั่งให้ส่งต่ออีเมลโดยอัตโนมัติได้ โดยผู้ใช้ไม่มีทางรู้ตัว ป้องกันการแพร่มัลแวร์ได้โดยการตั้งค่างดการส่งอีเมลต่ออัตโนมัติ
7. ใช้การเข้ารหัสข้อความ (Message Encryption)  ใช้ฟังก์ชันการเข้ารหัสข้อความ Office เมื่อส่งและรับข้อความอีเมลระหว่างบุคคลภายในและภายนอกองค์กร การเข้ารหัสข้อความอีเมล์ช่วยให้มั่นใจได้ว่าผู้รับที่ตั้งใจไว้เท่านั้นที่สามารถดูเนื้อหาข้อความได้
8. ปกป้องอีเมลจากการโจมตีแบบ Phishing หากใช้โดเมนขององค์กร (Custom Domain) ควรกำหนดค่าการป้องกัน Phishing เพื่อเป็นการป้องกันการโจมตีแบบ Phishing โดยการปลอมเป็นบุคคลที่รู้จัก การตั้งค่านี้จะช่วยป้องกันอีเมลพนักงานและโดเมนจากการถูกแอบอ้างโดยมิจฉาชีพ
9. ป้องกันภัยเอกสารแนบและไฟล์ที่เป็นอันตรายด้วย ATP Safe Attachments Office 365 มีการป้องกันภัยจากไฟล์เอกสารแนบ (ATP Safe Attachment Protection) แต่การตั้งค่าการป้องกันนี้จะไม่เปิดเป็นค่า Default ผู้ใช้ต้องเปิดใช้งานเอง การป้องกันนี้ครอบคลุมถึงไฟล์ใน SharePoint, OneDrive และ Microsoft Teams
10. ป้องกันการโจมตีแบบ Phishing ด้วย ATP Safe Links บางครั้งแฮกเกอร์ซ่อนเว็บไซต์ที่เป็นอันตรายในลิงก์ในอีเมลหรือไฟล์อื่น ๆ Office 365 ATP Safe Links เป็นส่วนหนึ่งของการป้องกันภัยคุกคามขั้นสูงของ Office 365 สามารถช่วยยืนยันเวลาที่คลิกเว็บ (URLs Time-of-click Verification) ในข้อความอีเมลและเอกสาร เพื่อตรวจสอบว่า URLs ที่แฝงอยู่ในอีเมลหรือไฟล์แนบ มีภัยหรือไม่

อ้างอิงที่มา:

• https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/latest-techniques-hackers-office-365/
• https://www.forbes.com/sites/daveywinder/2019/05/02/microsoft-office-365-accounts-under-attack-what-you-need-to-know/#7c9c50d836cd
• https://betanews.com/2019/04/03/office-365-phishing-attacks/
• https://docs.microsoft.com/en-us/office365/admin/security-and-compliance/secure-your-business-data?view=o365-worldwide