ခေတ်သစ် Ransomware (ငွေညှစ်ဆော့ဖ်ဝဲလ်) တိုက်ခိုက်မှုတွေဟာ အလွန်မြန်ဆန်လှပါတယ်။ များသောအားဖြင့် သင့်ရဲ့ဖိုင်တွေ စတင်ပြီး Encryption လုပ်ခံရ (ဖိုင်တွေသော့ခတ်ခံရ) တဲ့အချိန်မှာ… တိုက်ခိုက်သူ Hackers တွေဟာ သင့်စနစ်ထဲကို ဝင်ရောက်ပြီး၊ Password တွေကိုခိုးယူကာ ကုမ္ပဏီတစ်ခုလုံးရဲ့ ကွန်ရက်ပတ်ဝန်းကျင်ထဲအထိ နေရာအနှံ့ ရောက်ရှိနေနှင့်ပြီးသား ဖြစ်နေတတ်ပါတယ်။

ပုံမှန် လုံခြုံရေး Tool အများစုဟာ မသင်္ကာစရာ လှုပ်ရှားမှုတွေ “စတင်ဖြစ်ပွားပြီးမှသာ” လိုက်လံထောက်လှမ်း တားဆီးလေ့ရှိပါတယ်။ ဒါပေမဲ့ Microsoft ကတော့ ဒီထက်မက ပိုမိုစမတ်ကျပြီး ကြိုတင်ကာကွယ်နိုင်မည့် ချဉ်းကပ်မှုအသစ်တစ်ခုကို မိတ်ဆက်ပေးလိုက်ပါတယ်။ အဲဒါကတော့ Ransomware Payload တွေ အလုပ်မလုပ်ခင်နဲ့ ဖိုင်တွေ သော့မခတ်ခံရခင်ကတည်းက ကြိုတင်ထောက်လှမ်း ပိတ်ဆို့ပေးမည့် Predictive shielding in Defender ပဲ ဖြစ်ပါတယ်။

Microsoft ရဲ့ Case Study (ဖြစ်ရပ်မှန်လေ့လာချက်) တစ်ခုဖြစ်တဲ့ Group Policy Object (GPO) ကိုအသုံးပြုပြီး တိုက်ခိုက်လာတဲ့ Ransomware ကို ဘယ်လိုတားဆီးခဲ့လဲဆိုတဲ့အချက်က… လုံခြုံရေးနည်းပညာတွေဟာ အဖြစ်မှန်ပြီးမှ လိုက်ရှင်းရတဲ့ Reactive စနစ်ကနေ ကြိုတင်တွက်ချက်ကာကွယ်တဲ့ Predictive Protection (ကြိုတင်ဟန့်တားရေးစနစ်) ဆီကို ဘယ်လိုပြောင်းလဲလာလဲဆိုတာ သက်သေပြနေပါတယ်။

Predictive shielding in Defender

Predictive Shielding ဆိုတာ ဘာလဲ?

Predictive shielding in Defender ဆိုတာ AI၊ Threat Intelligence (ခြိမ်းခြောက်မှုဆိုင်ရာသတင်းအချက်အလက်)၊ Behavioral Analysis (အပြုအမူပိုင်းဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာမှု) နဲ့ Attack Pattern (တိုက်ခိုက်မှုပုံစံ) တွေကို ပေါင်းစပ်ပြီး… Ransomware ဗိုင်းရပ်စ် စတင်အလုပ်မလုပ်ခင်ကတည်းက မကောင်းတဲ့လှုပ်ရှားမှုတွေကို ကြိုတင်တွက်ချက် ပိတ်ဆို့ပေးတဲ့ အဆင့်မြင့် လုံခြုံရေးစွမ်းဆောင်ရည် ဖြစ်ပါတယ်။

ဖိုင်တွေ အဖျက်ဆီးခံရမယ့်အချိန်အထိ ထိုင်စောင့်မနေဘဲ တိုက်ခိုက်မှုတစ်ခု ဖြစ်တော့မယ်ဆိုတာကို ညွှန်ပြနေတဲ့ အောက်ပါ “အစောပိုင်းအချက်ပြလက္ခဏာများ” ကို ရှာဖွေတာ ဖြစ်ပါတယ်

  • Admin Tool များကို ပုံမှန်မဟုတ်ဘဲ သံသယဖြစ်ဖွယ် အသုံးပြုခြင်း
  • Group Policy အပြောင်းအလဲများ ပုံမှန်မဟုတ်ဘဲ ဖြစ်ပေါ်လာခြင်း
  • အကောင့် Password နှင့် Credential များကို အလွဲသုံးစားလုပ်ခြင်း
  • ကွန်ရက်အတွင်း တစ်စက်မှတစ်စက် ကူးစက်ရန် ကြိုးပမ်းခြင်း (Lateral movement)
  • Ransomware တပ်ဆင်ဖြန့်ဝေမည့် ပုံစံများကို ထောက်လှမ်းမိခြင်း

စနစ်ကနေ ဒီအပြုအမူတွေဟာ ရာခိုင်နှုန်းအပြည့် တိုက်ခိုက်မှုပုံစံနဲ့ ကိုက်ညီနေတယ်လို့ ဆုံးဖြတ်လိုက်တာနဲ့ တစ်ပြိုင်နက်… အလိုအလျောက် ချက်ချင်း ကြိုတင်ကာကွယ်ရေး အရေးယူမှုများ ပြုလုပ်တော့တာ ဖြစ်ပါတယ်။

၎င်းက ဘာကြောင့် အရေးကြီးတာလဲ?

Ransomware ရဲ့ အကြီးမားဆုံး စိန်ခေါ်မှုကတော့ “သိတဲ့အချိန်မှာ နောက်ကျသွားပြီ” ဆိုတဲ့အချက်ပါပဲ။

မိနစ်ပိုင်းမျှ နောက်ကျရုံနဲ့တင်

  • ထောင်နဲ့ချီတဲ့ လုပ်ငန်းသုံးဖိုင်တွေ သော့ခတ်ခံရခြင်း
  • လုပ်ငန်းလည်ပတ်မှု တစ်ခုလုံး ရပ်ဆိုင်းသွားခြင်း
  • Backups ဖိုင်များပါ အဖျက်ဆီးခံရခြင်း
  • ကုမ္ပဏီတစ်ခုလုံး (Domain-wide) ထိခိုက်ပျက်စီးခြင်းနှင့် ငွေကြေး၊ ဂုဏ်သိက္ခာပိုင်း ဆုံးရှုံးခြင်းများ ဖြစ်ပေါ်စေနိုင်ပါတယ်။

Predictive Shielding ဟာ တိုက်ခိုက်မှုရဲ့ “ဖျက်ဆီးခြင်းအဆင့် (Destruction Stage)” ရောက်မှ လိုက်တားတာမဟုတ်ဘဲ “ပြင်ဆင်ခြင်းအဆင့် (Preparation Stage)” မှာတင် ဖြတ်တောက်လိုက်တာမို့ လုပ်ငန်းခွင် ထိခိုက်နိုင်ခြေကို အနည်းဆုံးအထိ လျှော့ချပေးနိုင်ပါတယ်။

GPO-Based Ransomware ဖြစ်ရပ်မှန်လေ့လာချက် (Case Study)

Microsoft ဟာ တိုက်ခိုက်သူတွေက Group Policy Objects (GPOs) ကိုသုံးပြီး Ransomware ဖြန့်ဖို့ ကြိုးစားခဲ့တဲ့ ဖြစ်ရပ်မှန်တစ်ခုကို ချပြခဲ့ပါတယ်။

GPOs ဆိုတာ Windows ပတ်ဝန်းကျင်ကို စီမံခန့်ခွဲဖို့အတွက် အိုင်တီသမားတွေ သုံးစွဲတဲ့ တရားဝင် အုပ်ချုပ်ရေး Tool တစ်ခု ဖြစ်ပါတယ်။ သူက စိတ်ချရပြီး လုပ်ငန်းခွင်မှာ ကျယ်ကျယ်ပြန့်ပြန့် သုံးတာမို့ တိုက်ခိုက်သူ Hackers တွေက ဒါကို အလွဲသုံးစားလုပ်ပြီး ကွန်ပျူတာ အမြောက်အမြားဆီ ဗိုင်းရပ်စ်တွေ တစ်ပြိုင်နက် ဖြန့်ဝေဖို့ ကြိုးစားခဲ့ကြတာပါ။

ဒီဖြစ်ရပ်မှာ Microsoft Defender ဟာ Ransomware စတင်အလုပ်မလုပ်ခင် (Execution Phase) မတိုင်မီကတည်းက တိုက်ခိုက်မှုပုံစံကို ကြိုတင်သိရှိသွားပြီး ကွန်ပျူတာတွေဆီ ဖြန့်ဝေမည့်လမ်းကြောင်းကို ကြိုတင်ပိတ်ဆို့ (Block) ပေးခဲ့လို့ တစ်ကုမ္ပဏီလုံး ဖိုင်တွေသော့ခတ်ခံရမယ့်အန္တရာယ်ကနေ သီသီလေး လွတ်မြောက်ခဲ့ရပါတယ်။

Predictive Shielding ဘယ်လိုအလုပ်လုပ်သလဲ?

ဒီနည်းပညာဟာ လုပ်ငန်းခွင်အတွင်းက ကွဲပြားခြားနားတဲ့ လုံခြုံရေးအချက်ပြချက် (Security Signals) တွေကို စနစ်တကျ ပေါင်းစပ်တွက်ချက်ပြီး အလုပ်လုပ်တာ ဖြစ်ပါတယ်။

  1. အပြုအမူပိုင်းဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာခြင်း (Behavioral Analysis)
    Microsoft Defender ဟာ လုပ်ငန်းခွင်ထဲမှာရှိတဲ့ ဝန်ထမ်းတွေ၊ စက်ပစ္စည်းတွေနဲ့ အုပ်ချုပ်ရေးပိုင်းဆိုင်ရာ Admin Tool တွေရဲ့ ပုံမှန်အလုပ်လုပ်ပုံ အလေ့အထတွေကို အမြဲမပြတ် စောင့်ကြည့်နေပါတယ်။ အကယ်၍ လုပ်ဆောင်ချက်တစ်ခုခုဟာ ပုံမှန်အခြေအနေကနေ သိသိသာသာ သွေဖည်ပြီး ထူးဆန်းနေမယ်ဆိုရင် စနစ်ကနေ နောက်ထပ် ခွဲခြမ်းစိတ်ဖြာဖို့အတွက် သတိပေးချက် (Flagged) ပြုလုပ်လိုက်ပါတယ်။
  2. ခြိမ်းခြောက်မှုဆိုင်ရာ ထောက်လှမ်းရေးသတင်း (Threat Intelligence)
    Microsoft ဟာ ကမ္ဘာတစ်ဝှမ်းမှာရှိတဲ့ ၎င်းတို့ရဲ့ စနစ်ပေါင်းများစွာဆီကနေ နေ့စဉ် ဘီလီယံနဲ့ချီတဲ့ လုံခြုံရေးအချက်ပြချက်တွေကို အမြဲတမ်း စုဆောင်းနေတာ ဖြစ်ပါတယ်။ ဒါကြောင့် ဆိုက်ဘာတိုက်ခိုက်သူ Hackers တွေရဲ့ နည်းဗျူဟာအသစ်တွေနဲ့ အခုမှအသစ်ထွက်လာတဲ့ Ransomware Campaign တွေရဲ့ ပုံစံတွေကို ကြိုတင်သိရှိပြီး အလွယ်တကူ ခွဲခြားသတ်မှတ်နိုင်တာ ဖြစ်ပါတယ်။
  3. တိုက်ခိုက်မှုအချိတ်အဆက်ကို ရှာဖွေခြင်း (Attack Correlation)
    ဖြစ်စဉ်တစ်ခုချင်းစီကို သီးခြားစီ ကြည့်နေမည့်အစား Microsoft Defender XDR ဟာ လုပ်ငန်းခွင်သုံး ကွန်ပျူတာ (Endpoints)၊ အကောင့်စနစ် (Identities)၊ အီးမေးလ် (Email) နဲ့ Cloud ဝန်ဆောင်မှုတွေအထိ နေရာအနှံ့မှာ ဖြစ်ပျက်နေသမျှ လှုပ်ရှားမှုအားလုံးကို ကြိုးနီတစ်ခုတည်းနဲ့ သီကုံးပြီး တိုက်ခိုက်သူတွေ ဘာလုပ်ဖို့ ကြံစည်နေလဲဆိုတဲ့ ဇာတ်ကြောင်းတစ်ခုလုံး (Attack Story) ကို ဖော်ထုတ်ပေးပါတယ်။
  4. ကြိုတင်တွက်ချက် ဆုံးဖြတ်ချက်ချခြင်း (Predictive Decision-Making)
    ယုံကြည်စိတ်ချရမှုနှုန်း မြင့်မားတဲ့ အချက်ပြလက္ခဏာတွေ အများကြီး တစ်ပြိုင်နက်တည်း ထွက်ပေါ်လာတဲ့အခါမှာတော့… စနစ်ကနေ “Ransomware တိုက်ခိုက်မှုတစ်ခု ဖြစ်ပေါ်လာဖို့ အလွန်နီးစပ်နေပြီ” လို့ ကြိုတင်တွက်ချက်ပြီး လူသားတွေ ဝင်ရောက်မကိုင်တွယ်ရသေးခင်မှာတင် ကြိုတင်ကာကွယ်ရေး လုပ်ဆောင်ချက်တွေကို အလိုအလျောက် (Automatically) စတင်မောင်းနှင် လိုက်တော့တာ ဖြစ်ပါတယ်။

Predictive Shielding အသုံးပြုခြင်း၏ အဓိက အကျိုးကျေးဇူးများ

  • ခြိမ်းခြောက်မှုများကို အစောဆုံး ထောက်လှမ်းနိုင်ခြင်း (Earlier Threat Detection): ဖိုင်တွေ သော့ခတ်ဖျက်ဆီးခံရမည့်အချိန်အထိ စောင့်မနေတော့ဘဲ တိုက်ခိုက်သူတွေ ဗိုင်းရပ်စ်ဖြန့်ဖို့ ပြင်ဆင်နေတဲ့အဆင့် (Preparation Phase) မှာတင် ကြိုတင်ဖော်ထုတ်နိုင်ပါတယ်။
  • လုပ်ငန်းထိခိုက်မှုကို လျှော့ချပေးနိုင်ခြင်း (Reduced Business Impact): Ransomware ဗိုင်းရပ်စ်ဟာ ကုမ္ပဏီရဲ့ Server တွေ၊ မျှဝေသုံးစွဲနေတဲ့ Shared Folders တွေနဲ့ အရေးကြီးတဲ့ စနစ်တွေဆီ ပျံ့နှံ့မသွားခင် လမ်းခုလတ်မှာတင် ရပ်တန့်သွားစေပါတယ်။
  • အလိုအလျောက် ကာကွယ်ပေးခြင်း (Automated Protection): လူကိုယ်တိုင် လိုက်လံစုံစမ်းစစ်ဆေးတာထက် AI အခြေပြု ခွဲခြမ်းစိတ်ဖြာမှုကို အသုံးပြုတာမို့ ဆိုက်ဘာတိုက်ခိုက်မှုတွေကို အဆပေါင်းများစွာ ပိုမိုမြန်ဆန်စွာ တုံ့ပြန်နိုင်ပါတယ်။
  • ဘက်စုံလွှမ်းခြုံ မြင်တွေ့နိုင်ခြင်း (Cross-Domain Visibility): Microsoft Defender XDR ရဲ့ အကူအညီကြောင့် ကွန်ပျူတာ၊ အီးမေးလ်၊ အကောင့်စနစ်နဲ့ Cloud App တွေဆီက အချက်အလက်အားလုံးကို တစ်နေရာတည်းမှာ စုစည်းမြင်တွေ့နိုင်ပါတယ်။
  • လုံခြုံရေးအဖွဲ့များအတွက် အချိန်ပိုရရှိစေခြင်း (More Time for Security Teams): တိုက်ခိုက်မှုတွေကို စနစ်ကနေ အလိုအလျောက် ချက်ချင်း ထိန်းချုပ်ပေးလိုက်တဲ့အတွက်ကြောင့် အိုင်တီအဖွဲ့တွေအနေနဲ့ ဖြစ်စဉ်ကို အသေးစိတ် စုံစမ်းစစ်ဆေးဖို့နဲ့ စနစ်တွေကို ပြန်လည်ကောင်းမွန်အောင် ပြင်ဆင်ဖို့အတွက် အချိန်ပိုမို ရရှိစေပါတယ်။

ပုံမှန်ထောက်လှမ်းရေးစနစ် နှင့် ကြိုတင်ကာကွယ်ရေးစနစ် နှိုင်းယှဉ်ချက်

Feature (လုပ်ဆောင်ချက်) Traditional Detection (ပုံမှန်စနစ်) Predictive Shielding (ကြိုတင်စနစ်)
တားဆီးသည့် အချိန် မကောင်းတဲ့ လှုပ်ရှားမှု စတင်ပြီးမှ သိရသည်။ Ransomware မပွင့်ခင်ကတည်းက သိရသည်။
အဓိက အာရုံစိုက်မှု သိပြီးသား မော်လ်ဝဲလ်လုပ်ရပ်များကို လိုက်ဖမ်းသည်။ တိုက်ခိုက်မှုပုံစံနှင့် ရည်ရွယ်ချက်ကို ကြည့်သည်။
ပျက်စီးဆုံးရှုံးမှု အစောပိုင်းဖိုင်အချို့ ပျက်စီးဆုံးရှုံးနိုင်သည်။ ပျက်စီးဆုံးရှုံးမှု လုံးဝမရှိအောင် ရည်ရွယ်သည်။
အလုပ်လုပ်ပုံ လူကိုယ်တိုင် စုံစမ်းစစ်ဆေးမှု အရင်လိုတတ်သည်။ AI သုံးပြီး အလိုအလျောက် ကာကွယ်ပေးသည်။

နိဂုံးချုပ်

ဆိုက်ဘာလုံခြုံရေးလောကဟာ “Ransomware ကို ဘယ်လောက်မြန်မြန် ထောက်လှမ်းနိုင်မလဲ?” ဆိုတဲ့ မေးခွန်းကနေ “Ransomware မစတင်ခင်ကတည်းက ဘယ်လိုကြိုတားမလဲ?” ဆိုတဲ့ဘက်ကို ကူးပြောင်းလာနေပါပြီ။

Predictive shielding in Defender ဟာ AI နဲ့ Cross-domain intelligence ကို အသုံးပြုပြီး တိုက်ခိုက်သူတွေ ဖိုင်တွေကို မဖျက်ဆီးခင် လမ်းခုလတ်မှာတင် အမြစ်ပြတ်ချေမှုန်းပေးနိုင်တဲ့အတွက်ကြောင့် ခေတ်သစ်လုပ်ငန်းခွင်တွေအတွက် တကယ့်ကို အားကိုးရမည့် အဆင့်မြင့် ဆိုက်ဘာလုံခြုံရေး အလွှာတစ်ခု ဖြစ်လာတော့မှာ အသေအချာပါပဲ။

Microsoft 365 နဲ့ အခြားသော Products များအကြောင်းစိတ်ဝင်စားပါက သို့မဟုတ် ပိုမို သိရှိလိုပါက Thetys Myanmar သို့ ဆက်သွယ်ပြီး အသေးစိတ် မေးမြန်းဆွေးနွေးနိုင်ပါတယ်ခင်ဗျ။

reference website : Fusion SolutionFusion Solution Vietnam

Related Articles

Fusionsol blog in Thai

Fusionsol blog in Vietnamese