ช่องโหว่ Zero – Day คืออะไร และป้องกันได้อย่างไร?
- kwanjira2
- 24 ก.ย.
- ยาว 1 นาที
Zero-Day Exploit คือช่องโหว่ของความปลอดภัยในระบบซอร์ฟแวร์หรือฮาร์ดแวร์ที่ไม่ทราบที่มาของ Software Vendor หรือ Developer และเจ้าของระบบยังไม่ทราบการมีอยู่ และยังไม่มีแพตช์หรือวิธีแก้ไขออกมาในเวลานั้น
คำว่า Zero-Day นั้นมาจาก ผู้พัฒนาที่มี “0 วัน” สำหรับการเตรียมตัวหรือแก้ไขระบบก่อนที่ช่องโหว่นี้จะถูกโจมตีจริง
หนึ่งในวิธีสำคัญในการรู้ว่ามีช่องโหว่คือการติดตาม Threat Intelligence & Advisory จากแหล่งข่าวสารความปลอดภัย เช่น CISA, NVD, MITRE CVE, และ Security Advisory จากผู้ผลิต (Microsoft, Cisco, Adobe ฯลฯ) รวมถึง Threat Feed ที่เชื่อมต่อกับ SOC/SIEM หรือถ้าองค์กรของคุณยังรู้จะเริ่มต้นอย่างไร ที่ BMSP เรามี Threat Intelligence Platform ที่ทำงานแบบ Real-Time สามารถแจ้งเตือนข่าวสารภัยคุกคามและ Zero-Day Vulnerability ได้ทันทีที่มีการเปิดเผยหรือถูกใช้โจมตีจริง
ตัวอย่างเหตุการณ์ที่เกิดขึ้นจริง
Microsoft Exchange Zero-Day
Microsoft ตรวจพบการใช้ Zero‑Day หลายรายการโจมตีเซิร์ฟเวอร์ Microsoft Exchange Server 2021 (On‑Premises) ในลักษณะการโจมตีแบบเป้าหมาย (targeted attacks) ซึ่งถูกระบุว่าเป็นฝีมือกลุ่ม HAFNIUM โดยใช้ช่องโหว่ CVE‑2021‑26855, CVE‑2021‑26857, CVE‑2021‑26858 และ CVE‑2021‑27065
Zoom Zero Day
เมื่อเดือนเมษายน 2020 พบช่องโหว่ Zero‑Day ใน Zoom ที่เปิดให้ผู้โจมตีสามารถส่งลิงก์แบบ UNC path injection ผ่าน chat แล้วหากผู้ใช้คลิก ระบบจะส่ง Windows login credentials และ NTLM hash ไปยังเซิร์ฟเวอร์ผู้โจมตี เล่นการโจมตีในลักษณะ phishing ที่ร้ายแรง
วิธีป้องกัน
สแกนหาช่องโหว่ (Vulnerability Scanning)
▸ ใช้เครื่องมือสแกนช่องโหว่ที่สามารถตรวจจับช่องโหว่ที่ยังไม่ได้รับการแก้ไข หรือช่องโหว่ที่อาจถูกใช้ประโยชน์ในภายหลัง
▸ ทำการสแกนระบบอย่างสม่ำเสมอเพื่อค้นหาช่องโหว่ที่ยังไม่ได้รับการแก้ไขและสามารถถูกโจมตีได้
ใช้การแพตช์และการอัปเดตระบบ (Patch Management)
▸ เมื่อ Zero-Day ถูกเปิดเผย และมีการออกแพตช์จาก Vendor ควรอัปเดตระบบทันที
▸ ใช้ระบบ Automated Patch Management เพื่อให้มั่นใจว่าเครื่องมือทุกตัวได้รับการอัปเดตอย่างรวดเร็ว
▸ ตั้งค่าให้ระบบอัปเดตอัตโนมัติ โดยเฉพาะซอฟต์แวร์ที่เปิดสู่สาธารณะ เช่น เว็บเซิร์ฟเวอร์, VPN หรือโปรแกรมที่ต้องเชื่อมต่อกับอินเทอร์เน็ต
ใช้ Virtual Patching
▸ เมื่อช่องโหว่ยังไม่มีแพตช์จาก Vendor หรือไม่สามารถอัปเดตได้ในทันที ใช้ Virtual Patching เพื่อป้องกันการโจมตีโดยไม่ต้องอัปเดตซอฟต์แวร์
▸ ใช้เครื่องมือเช่น Web Application Firewall (WAF) หรือ Intrusion Prevention System (IPS) ที่สามารถปิดช่องโหว่ชั่วคราวได้
▸ เพิ่มการกรองและการตรวจจับที่ระดับเครือข่ายเพื่อป้องกันการส่ง payload ที่ exploit ช่องโหว่
ตรวจจับพฤติกรรมและการตอบสนอง (Behavioral Detection & Response)
▸ ใช้ Endpoint Detection and Response (EDR) เพื่อระบุและตรวจจับพฤติกรรมที่ผิดปกติในระบบที่อาจเกิดจาก Zero-Day Exploit
▸ SIEM (Security Information and Event Management) ช่วยในการตรวจจับและตอบสนองต่อเหตุการณ์ที่เกิดขึ้นในระหว่างการโจมตี
ควบคุมการเข้าถึง (Access Control)
▸ ใช้การควบคุมการเข้าถึงที่เข้มงวด เช่น Least Privilege Access เพื่อจำกัดสิทธิ์ของผู้ใช้งานในระบบ ลดความเสี่ยงจากการใช้ Zero-Day Exploit
▸ ตรวจสอบการเข้าถึงและการใช้งานระบบอย่างต่อเนื่อง
Zero-Day Vulnerability เป็นความเสี่ยงที่ใหญ่ที่สุด เพราะเราไม่รู้จักและยังไม่มีทางแก้ในตอนแรกการป้องกันจึงควรเน้นไปที่การตรวจจับพฤติกรรม การเตรียมระบบให้ resilient และการตอบสนองรวดเร็วเมื่อ vendor ออกแพตช์
ที่ BMSP เราเข้าใจดีว่า Zero-Day Vulnerability เป็น ภัยคุกคามร้ายแรงที่สุด เพราะ ไม่รู้จัก ไม่มีแพตช์ และป้องกันได้ยาก เราจึงมีบริการที่จะช่วยดูและลูกค้าตลอด 24 ชั่วโมง พร้อมกับการแจ้งเตือนภัยคุกคามและการวิเคราะห์ความเสี่ยงที่อาจเกิดขึ้นในระบบ พร้อมแนะนำแนวทางเพื่อเสริมสร้างความมั่นคงและความปลอดภัยของระบบให้มีประสิทธิภาพสูงสุดในทุกสถานการณ์
ติดต่อ BMSP เพื่อสอบถามข้อมูลเพิ่มเติมเกี่ยวกับโซลูชันตรวจจับภัยคุกคามได้ที่ marketing@bangkokmsp.com
ความคิดเห็น