บทความนี้อธิบายวิธีตั้งค่า Ransomware Protection บน Sangfor NGAF/NSF เพื่อสแกนหาความเสี่ยงด้าน Ransomware เช่น Port ที่เปิดอยู่, ช่องโหว่ของระบบ และ Weak Password รวมถึงสร้าง Security Policy อัตโนมัติเพื่อป้องกัน
ขั้นตอนการตั้งค่า
1. ไปที่ SOC > Specialized Protection > Ransomware Protection
2. คลิก Get Started เพื่อเปิดหน้า Settings
3. กำหนด Protected Objects:
- Network Object — เลือกกลุ่ม IP ของ Server/Asset ที่ต้องการป้องกัน (NGAF ต้องเข้าถึง IP เหล่านี้ได้)
- Dst Zone — Zone ที่ Asset อยู่
- Src Zone — Zone ที่คาดว่าการโจมตีจะมา
4. กำหนด Scan Options:
- Scan for open ports and weak passwords — ติ๊กเพื่อเปิดการสแกน Port, ช่องโหว่ และ Weak Password (ต้องยอมรับ Disclaimer ก่อน)
- Enable scheduled active scan — ตั้งเวลาสแกนอัตโนมัติ เช่น ทุกวันอาทิตย์ เวลา 00:00
5. กำหนด Ransomware Protection Policy:
- ติ๊กเลือก "Generate security policies automatically" — ระบบจะสร้าง Policy ป้องกัน Ransomware อัตโนมัติ (WAF, Vulnerability Protection, Content Security, Botnet Detection, Slow Brute-Force Attacks)
- คลิก Preview เพื่อดู Policy ที่จะถูกสร้างก่อน Save
6. คลิก Save — ระบบจะเริ่มประเมินความเสี่ยงอัตโนมัติ
ดูผลการสแกน
หลัง Save แล้ว Dashboard จะแสดงผลลัพธ์:
- Open Port — จำนวน Asset ที่มี Port เปิดอยู่ (เช่น RDP/3389, NetBIOS/445)
- System Vulnerability — จำนวน Asset ที่มีช่องโหว่
- Weak Password — จำนวน Asset ที่ใช้ Password อ่อนแอ
- Ransomware Infection / Attack — จำนวน Asset ที่ถูกติดเชื้อหรือถูกโจมตี
สามารถคลิก Start Scan เพื่อสแกนด้วยตนเองได้ตลอดเวลา
คำเตือนสำคัญ: ผลกระทบจากการ Scan
เมื่อเปิด "Scan for open ports and weak passwords" ตัว NGAF จะทำการสแกน Port, ทดสอบ Weak Password และตรวจหาช่องโหว่บน Asset ที่กำหนดไว้ ซึ่งอาจถูกอุปกรณ์ Security อื่นในเครือข่ายตรวจจับได้ เช่น:
- Brute-Force Detection — อุปกรณ์อื่น (Firewall, IPS, Server) อาจตรวจจับการทดสอบ Password ของ NGAF ว่าเป็น Brute-Force Attack และ Lock Account หรือ Block IP ของ NGAF
- Port Scan Detection — IDS/IPS หรือ Firewall อื่นอาจตรวจจับว่ามีการ Scan Port จาก NGAF และแจ้งเตือนหรือ Block
- Account Lockout — หากเปิด Account Lockout Policy บน Server (เช่น AD, Windows Server) การทดสอบ Weak Password อาจทำให้ Account ถูก Lock
แนวทางป้องกัน:
- เพิ่ม IP ของ NGAF ลงใน Whitelist/Exclusion ของอุปกรณ์ Security อื่นในเครือข่าย
- ตั้ง Scheduled Scan ในช่วงเวลาที่ไม่กระทบ Production (เช่น กลางคืนหรือวันหยุด)
- แจ้ง Admin ที่ดูแลอุปกรณ์อื่นให้ทราบก่อนเปิดใช้งาน
หมายเหตุ
- Policy ที่สร้างอัตโนมัติจะถูกเพิ่มที่ ด้านบนสุด ของ Network Security Policy — มี Priority สูงสุด
- ต้องเปิด "Scan for open ports and weak passwords" ก่อน จึงจะสามารถตั้ง Scheduled Scan ได้
- สามารถเพิ่ม Ransomware Protection Module ไว้ที่หน้า Home Dashboard เพื่อดูสถานะได้อย่างรวดเร็ว
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น