The Next Tier: มุมมองความปลอดภัยในปี 2560 จาก Trend Micro
หลังจากผู้คนตื่นขึ้นมาในวันแรกของปีใหม่
2560 ก็คงยังไม่มีอะไรน่าประหลาดใจ ทุกอย่างดูคุ้นเคยเหมือนเดิม
ปกติทุกอย่าง เหมือนที่เคยเป็นมา
แม้ว่าสิ่งที่เราทำนายไว้กับปีนี้จะกลายเป็นจริงก็ตาม
แต่อย่าลืมว่าสิ่งที่เกิดขึ้นมาแล้วในปีนี้ล้วนเป็นการเตรียมปูทางไปสู่ฉากการโจมตีที่ตื่นเต้นเร้าใจกว่าทั้งสิ้น
โดยเฉพาะขอบเขตความเสียหายที่มีแนวโน้มขยายวงกว้างมากขึ้นเรื่อยๆ
โดยในปีที่ผ่านมา ทั้งเรื่องของการรีดไถเงินแบบออนไลน์,
อุปกรณ์อัจฉริยะที่ทำงานผิดพลาดจนเกิดความเสียหาย,
หรือแม้แต่ความจำเป็นที่ต้องตั้งเจ้าหน้าที่สำหรับปกป้องข้อมูลหรือ DPO
แยกต่างหากโดยเฉพาะนั้น ต่างทวีความเข้มข้นมากขึ้นเรื่อยๆ
โดยเฉพาะเรื่องข้อมูลรั่วไหลที่กลายเป็นอะไรที่พบเห็นดาษดื่นเหมือนผักปลาในตลาด
ปัญหาด้านความปลอดภัยครั้งยิ่งใหญ่ระลอกใหม่กำลังจะซัดเข้ามาในปี 2560 นี้ ตั้งแต่การแยกร่างทำงานเป็นทีมเวิร์กของแรนซั่มแวร์ (Ransomware) เพื่อรีดเงินจากทุกช่องทาง ไม่ว่าจะเป็นสารพัดสายพันธุ์ที่ถูกพัฒนาขึ้น, กลไกการโจมตีที่เลือกเป้าหมายอย่างจำเพาะ วางแผนเป็นอย่างดี และซับซ้อนมากขึ้นเรื่อยๆ, รวมทั้งการเบนเข็มออกจากเครื่องเดสก์ท็อปไปยังอุปกรณ์พกพาหรืออุปกรณ์อัจฉริยะต่างๆ นอกจากไวรัสเรียกค่าไถ่แล้ว การโจมตีทางจิตวิทยาอย่างอีเมล์หลอกลวงเชิงธุรกิจอย่างง่าย (BEC) ก็ถือเป็นของโปรดของอาชญากรไซเบอร์ไม่แพ้กัน เห็นได้จากการโจมตีทางจิตวิทยาครั้งใหญ่ที่ทำให้ธนาคารของบังคลาเทศเสียหายไปกว่า 81 ล้านดอลลาร์สหรัฐฯ มาแล้ว เรายังจะเห็นการใช้ประโยชน์จากช่องโหว่ของแอพจาก Adobe และ Apple มากขึ้น รวมไปถึงการใช้ประโยชน์จากอุปกรณ์อัจฉริยะต่างๆ ที่ระบบความปลอดภัยไม่ได้อัจฉริยะตามชื่อ เช่น การนำอุปกรณ์ IoT ที่ใช้ในวงการอุตสาหกรรมไปเป็นกองทัพขนาดใหญ่สำหรับโจมตีแบบ DDoS ทางด้านกฎหมายก็ดุเดือดไม่แพ้กัน โดยเฉพาะกฎใหม่สดจากเตาของอียูที่บีบให้ชาติสมาชิกบังคับใช้ภายในกลางปี 2561 อย่าง General Data Protection Regulation (GDPR) ย่อมทำให้องค์กรต่างๆ ดิ้นตามเป็นไฟลนก้น จนทำให้ค่าใช้จ่ายในการดูแลเพิ่มเติมพุ่งสูงขึ้นเป็นจรวดอย่างรวดเร็ว ยังไม่นับรวมถึงความพยายามของอาชญากรกลุ่มอื่นๆ ทั่วทุกมุมโลกที่ช่วงนี้กระหายเงินมากเป็นพิเศษ และมุ่งจะเจาะถลุงเงินจากเครือข่ายองค์กรเหล่านี้แบบทุกวิถีทาง จึงถือว่านี่คือสัญญาณของยุคใหม่ ยุคกระหายเลือดและเงินทองของอาชญากรไซเบอร์ตัวร้าย ที่ต้องใช้โซลูชั่นความปลอดภัยยุคใหม่ที่วิ่งไล่ตามทัน
ปัญหาด้านความปลอดภัยครั้งยิ่งใหญ่ระลอกใหม่กำลังจะซัดเข้ามาในปี 2560 นี้ ตั้งแต่การแยกร่างทำงานเป็นทีมเวิร์กของแรนซั่มแวร์ (Ransomware) เพื่อรีดเงินจากทุกช่องทาง ไม่ว่าจะเป็นสารพัดสายพันธุ์ที่ถูกพัฒนาขึ้น, กลไกการโจมตีที่เลือกเป้าหมายอย่างจำเพาะ วางแผนเป็นอย่างดี และซับซ้อนมากขึ้นเรื่อยๆ, รวมทั้งการเบนเข็มออกจากเครื่องเดสก์ท็อปไปยังอุปกรณ์พกพาหรืออุปกรณ์อัจฉริยะต่างๆ นอกจากไวรัสเรียกค่าไถ่แล้ว การโจมตีทางจิตวิทยาอย่างอีเมล์หลอกลวงเชิงธุรกิจอย่างง่าย (BEC) ก็ถือเป็นของโปรดของอาชญากรไซเบอร์ไม่แพ้กัน เห็นได้จากการโจมตีทางจิตวิทยาครั้งใหญ่ที่ทำให้ธนาคารของบังคลาเทศเสียหายไปกว่า 81 ล้านดอลลาร์สหรัฐฯ มาแล้ว เรายังจะเห็นการใช้ประโยชน์จากช่องโหว่ของแอพจาก Adobe และ Apple มากขึ้น รวมไปถึงการใช้ประโยชน์จากอุปกรณ์อัจฉริยะต่างๆ ที่ระบบความปลอดภัยไม่ได้อัจฉริยะตามชื่อ เช่น การนำอุปกรณ์ IoT ที่ใช้ในวงการอุตสาหกรรมไปเป็นกองทัพขนาดใหญ่สำหรับโจมตีแบบ DDoS ทางด้านกฎหมายก็ดุเดือดไม่แพ้กัน โดยเฉพาะกฎใหม่สดจากเตาของอียูที่บีบให้ชาติสมาชิกบังคับใช้ภายในกลางปี 2561 อย่าง General Data Protection Regulation (GDPR) ย่อมทำให้องค์กรต่างๆ ดิ้นตามเป็นไฟลนก้น จนทำให้ค่าใช้จ่ายในการดูแลเพิ่มเติมพุ่งสูงขึ้นเป็นจรวดอย่างรวดเร็ว ยังไม่นับรวมถึงความพยายามของอาชญากรกลุ่มอื่นๆ ทั่วทุกมุมโลกที่ช่วงนี้กระหายเงินมากเป็นพิเศษ และมุ่งจะเจาะถลุงเงินจากเครือข่ายองค์กรเหล่านี้แบบทุกวิถีทาง จึงถือว่านี่คือสัญญาณของยุคใหม่ ยุคกระหายเลือดและเงินทองของอาชญากรไซเบอร์ตัวร้าย ที่ต้องใช้โซลูชั่นความปลอดภัยยุคใหม่ที่วิ่งไล่ตามทัน
Trend
Micro อยู่ในวงการความปลอดภัยมาแล้วมากกว่าสองทศวรรษ
ด้วยการเฝ้าตรวจสอบความเคลื่อนไหวของอันตรายต่างๆ,
ร่วมกับการค้นพบของทีมงาน Forward-Looking Threat Research (FTR) ของเรา
ทำให้เราสามารถเข้าใจแรงขับเคลื่อนต่างๆ
ที่กำหนดทิศทางของอันตรายที่กำลังจะเกิดขึ้นในอนาคต
และนี่คือสิ่งที่เรามองโลกของความปลอดภัยในปี 2560 และแนวโน้มต่อไปในอนาคต:
- การเติบโตของแรนซั่มแวร์จะถึงจุดสูงสุดในปี 2560 แต่วิธีการและการเลือกเป้าหมายโจมตีจะทวีความหลากหลายมากขึ้นไม่มีที่สิ้นสุด
เราคาดการณ์ค่อนข้างแน่นอนว่า
ปี 2560 นี้จะเป็น “ปีแห่งการรีดไถเงินจากทุกช่องทาง”
ด้วยการโจมตีของแรนซั่มแวร์แบบลูกโซ่
ที่ใช้การผสานวิธีการแพร่เชื้อที่หลากลาย
ร่วมกับเทคนิคการเข้ารหัสที่แก้ไขได้ยากมาก
และขับเคลื่อนด้วยการสร้างความหวาดกลัวเป็นหลัก
ที่เปลี่ยนหน้าต่างข้อความรีดไถแบบเดิมๆ
ให้ดูเหมือนมาจากหน่วยงานที่น่าเชื่อถือมากยิ่งขึ้น
นอกจากนี้ยังเพิ่มช่องทางทำเงินด้วยการบริการแรนซั่มแวร์แบบคลาวด์ หรือ
Ransomware-as-a-Service
ที่เปิดให้อาชญากรที่อาจไม่รู้เรื่องเกี่ยวกับเทคนิคมาเช่าโครงสร้างพื้นฐานด้านไอทีที่วางไว้เป็นอย่างดีแล้วสำหรับโจมตีผู้อื่นได้
ในปีที่ผ่านมานั้น
มีการแบ่งปันโค้ดแรนซั่มแวร์ออกสู่สาธารณะทำนองโอเพ่นซอร์ส
เปิดให้แฮ็กเกอร์สามารถนำไปดัดแปลงเป็นเวอร์ชั่นของตนเองได้
ทั้งหมดนี้ทำให้จำนวนตระกูลแรนซั่มแวร์มีอัตราเพิ่มขึ้นพุ่งสูงอย่างรวดเร็วมากในช่วงเดือนมกราคมถึงกันยายนที่ผ่านมา
รูปที่ 1: จำนวนตระกูลแรนซั่มแวร์ที่พบในแต่ละปี รวมทั้งการคาดการณ์ในปี 2560
เราทำนายการเติบโตของแรนซั่มแวร์สายพันธุ์ใหม่ๆ
ในปีหน้าอยู่ที่ 25%
โดยพิจารณาจากจำนวนแรนซั่มแวร์ตระกูลใหม่ที่พบโดยเฉลี่ยอยู่ที่ 15
สายพันธุ์ต่อเดือน
แม้ว่าปีที่ผ่านมาถือว่าอัตราการเพิ่มจำนวนสายพันธุ์จะพ้นจุดอิ่มตัวมาแล้ว
แต่นั่นย่อมเป็นการผลักดันให้อาชญากรไซเบอร์ทั้งหลายคิดค้นวิธีการที่หลากหลายขึ้น,
มองหาเหยื่อกลุ่มที่มีศักยภาพมากขึ้น, รวมทั้งแพลตฟอร์ม
และเป้าหมายที่สามารถทำงานได้มากขึ้นตามไปด้วย
เรายังมองเห็นแนวโน้มที่แรนซั่มแวร์จะพบได้แพร่หลายทั่วไป
โดยเป็นสาเหตุของเหตุการณ์ข้อมูลรั่วไหลมากขึ้น
อาชญากรไซเบอร์จะเริ่มจากการขโมยข้อมูลที่เป็นความลับเพื่อนำไปจำหน่ายในตลาดมืด
จากนั้นจึงติดตั้งแรนซั่มแวร์เพื่อเอาเซิร์ฟเวอร์ที่มีข้อมูลดังกล่าวไว้เป็นประกัน
เพื่อยกระดับการทำกำไรให้ได้มากที่สุด
ส่วนแรนซั่มแวร์บนอุปกรณ์พกพาก็มีแนวโน้มการเติบโตในลักษณะเดียวกับบนเดสก์ท็อป
ทำให้ผู้ใช้อุปกรณ์พกพากลายเป็นเหยื่อของแรนซั่มแวร์ไม่ต่างจากผู้ใช้พีซีเลย
นอกจากนี้ยังลามไปถึงอุปกรณ์ประมวลผลอื่นๆ ที่ไม่ใช่เดสก์ท็อปด้วย เช่น
ระบบแคชเชียร์หรือ PoS หรือแม้แต่ตู้ ATM
ที่อาจตกเป็นเหยื่อรีดค่าไถ่ได้ไม่แพ้กัน
แม้การโจมตีของแรนซั่มแวร์จะเริ่มลามมายังพวกอุปกรณ์ควบคุมอัจฉริยะต่างๆ
แต่เรายังมองไม่เห็นความคุ้มทุนในการทำให้อุปกรณ์เหล่านี้เป็นตัวประกันได้
เช่น ถ้าหลอดไฟส่องสว่างอัจฉริยะถูกแฮ็กแล้ว
เราคงเลือกที่จะซื้อหลอดใหม่มาเปลี่ยนแทนการจ่ายค่าไถ่เนื่องจากทั้งถูกและง่ายกว่า
เป็นต้น อาจมีบางเหตุการณ์ที่แฮ็กเกอร์มองว่าน่าจะทำเงินได้ เช่น
การเข้าควบคุมระบบเบรกของรถขณะที่ขับอยู่บนทางด่วน
แต่ก็ยังไม่เห็นถึงความคุ้มค่าในการลงทุนโจมตีในลักษณะดังกล่าวนั้นอยู่ดี
องค์กรส่วนใหญ่เริ่มตระหนักกันแล้วว่า
การโดนโจมตีจากแรนซั่มแวร์ทำให้เกิดความเสียหายมูลค่ามหาศาล
โดยเฉพาะการกระทบความต่อเนื่องทางธุรกิจ
โดยเฉพาะแรนซั่มแวร์ที่โจมตีสภาพแวดล้อมการทำงานในอุตสาหกรรม
และการโจมตีระบบ IoT อาจทำให้เกิดความเสียหายอย่างมาก
มากขนาดที่เหล่าอาชญากรไซเบอร์น่าจะพุ่งเป้าเพื่อรีดค่าไถ่แลกกับการนำสายการผลิตทั้งหมดกลับมาออนไลน์อีกครั้ง
หรือการนำระบบควบคุมอุณหภูมิที่วิกฤติกลับมาสู่ภาวะที่ปลอดภัยอีกครั้งหนึ่ง
เป็นต้น
แม้ว่าเราไม่มีโซลูชั่นสำเร็จรูปที่สามารถปกป้องเป้าหมายเสี่ยงจากการโจมตีของแรนซั่มแวร์ได้ครบ 100% ตลอดเวลา แต่เราก็ควรป้องกันอันตรายตั้งแต่แหล่งกำเนิดด้วยการใช้โซลูชั่นความปลอดภัยบนเกตเวย์ทั้งบนเว็บและอีเมล์ เทคโนโลยีการเรียนรู้ด้วยตนเองหรือ Machine-Learning ถือเป็นอาวุธสำคัญที่เติมเต็มระบบความปลอดภัยให้สามารถตรวจจับแรนซั่มแวร์ โดยเฉพาะตัวใหม่ๆ หรือตัวที่มีคุณลักษณะจำเพาะได้
แม้ว่าเราไม่มีโซลูชั่นสำเร็จรูปที่สามารถปกป้องเป้าหมายเสี่ยงจากการโจมตีของแรนซั่มแวร์ได้ครบ 100% ตลอดเวลา แต่เราก็ควรป้องกันอันตรายตั้งแต่แหล่งกำเนิดด้วยการใช้โซลูชั่นความปลอดภัยบนเกตเวย์ทั้งบนเว็บและอีเมล์ เทคโนโลยีการเรียนรู้ด้วยตนเองหรือ Machine-Learning ถือเป็นอาวุธสำคัญที่เติมเต็มระบบความปลอดภัยให้สามารถตรวจจับแรนซั่มแวร์ โดยเฉพาะตัวใหม่ๆ หรือตัวที่มีคุณลักษณะจำเพาะได้
- อุปกรณ์ IoT จะมีบทบาทสำคัญในฐานะส่วนหนึ่งของการโจมตีแบบ DDoS โดยเฉพาะอุปกรณ์ IoT ในวงการอุตสาหกรรม (IIoT)
เว็บแคมจำนวนหลายพันตัวที่ผู้คนไม่เคยนึกถึงเรื่องของระบบความปลอดภัยมาก่อนนั้น
ถูกนำมาเป็นกองกำลังสำคัญในการโจมตี Mirai DDoS
ที่ยิงเว็บไซต์จำนวนมากร่วงไปแล้ว อุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตทั้งหลาย
อาจกลายเป็นแหล่งเพาะเชื้อที่รอการตื่นออกมาแผลงฤทธิ์ตามคำสั่งของอาชญากรไซเบอร์ได้
เราทำนายว่าในปี 2560 นี้ จะพบการโจมตีทางไซเบอร์ที่ใช้อุปกรณ์ Internet
of Things (IoT) และโครงสร้างพื้นฐานที่เกี่ยวข้องมาเป็นเครื่องมือมากขึ้น
ไม่ว่าจะเป็นการเข้าควบคุมเราเตอร์ตามบ้านและสำนักงานจำนวนมากเพื่อนำมาใช้โจมตีแบบ
DDoS
หรือการเข้าควบคุมรถยนต์ที่เชื่อมต่ออินเทอร์เน็ตเพื่อนำไปทำอาชญากรรมบางอย่าง
เป็นต้น
เราจะเห็นเหล่าอาชญากรไซเบอร์นำมัลแวร์ลักษณะคล้าย
Mirai มาใช้โจมตีแบบ DDoS ซึ่งตั้งแต่ปี 2560 เป็นต้นไป เว็บไซต์ดังต่างๆ
ไม่ว่าจะเป็นสำนักข่าว, เว็บบริษัท, หรือเว็บทางการเมือง จะถูกทราฟฟิก HTTP
มหึมา ถาโถมยิงเข้าใส่ โดยมีวัตถุประสงค์ไม่ว่าจะเพื่อรีดไถเงิน, ก่อกวน,
หรือแม้แต่บีบบังคับให้ทำตามความต้องการบางอย่าง
น่าเป็นห่วงที่ว่า
ผู้จำหน่ายผลิตภัณฑ์ IoT
หรืออุปกรณ์เชื่อมต่อส่วนใหญ่ไม่น่าจะออกมาแก้ปัญหาการโจมตีเหล่านี้ได้ทันท่วงที
อย่างการโจมตีของ Mirai นั้น
ผู้จำหน่ายมีการเรียกเว็บแคมคืนเพื่อตรวจสอบทันที
แต่ก็ไม่ได้ตรวจสอบโค้ดโปรแกรมบนอุปกรณ์เชื่อมต่อตัวอื่นที่ไม่ได้รับผลกระทบในการโจมตีครั้งนั้นไปด้วยพร้อมกัน
นั่นหมายความว่า
แม้แต่ปัจจุบันก็ยังมีโอกาสที่อาชญากรจะใช้อุปกรณ์ที่เหลือนี้มาเป็นอาวุธโจมตีได้อยู่
รูปที่ 2: บอทเน็ต Mirai ไม่จำเป็นต้องอาศัยเซิร์ฟเวอร์ Domain Name System (DNS) ในการยิงเครื่องเป้าหมาย ก็สามารถส่งข้อมูลระดมยิงจนเว็บปลายทางล่มได้เช่นกัน นั่นคือ บอทเน็ตที่มาในคราบของกองทัพ IoT สามารถยกระดับความรุนแรงของการโจมตีแบบ DDoS เดิมที่มีอยู่ และสร้างความเสียหายได้เยอะกว่ามาก
รูปที่ 2: บอทเน็ต Mirai ไม่จำเป็นต้องอาศัยเซิร์ฟเวอร์ Domain Name System (DNS) ในการยิงเครื่องเป้าหมาย ก็สามารถส่งข้อมูลระดมยิงจนเว็บปลายทางล่มได้เช่นกัน นั่นคือ บอทเน็ตที่มาในคราบของกองทัพ IoT สามารถยกระดับความรุนแรงของการโจมตีแบบ DDoS เดิมที่มีอยู่ และสร้างความเสียหายได้เยอะกว่ามาก
เทคโนโลยี
IoT ได้ให้ประสิทธิภาพการทำงานแก่วงการอุตสาหกรรม
โดยเฉพาะด้านงานผลิตและพลังงานเป็นอย่างมาก
ซึ่งด้านมืดของมันก็กลายเป็นแหล่งทรัพยากรสำคัญสำหรับอาชญากรไซเบอร์ได้ด้วยเช่นกัน
ทั้งนี้จากตัวเลขช่องโหว่ที่พบบนระบบควบคุมกระบวนการผลิตและรวบรวมข้อมูลหรือ
SCADA มีแนวโน้มพุ่งสูงขึ้นอย่างมีนัยสำคัญเช่นเดียวกัน (คิดเป็น 30%
ของจำนวนช่องโหว่ทั้งหมดที่พบโดย TippingPoint ในปีที่ผ่านมา)
ถือว่าการเข้ามาใช้ IoT สำหรับอุตสาหกรรม หรือ IIoT
จะนำมาซึ่งความเสี่ยงและอันตรายที่จะกระทบกับทั้งองค์กรเอง
และผู้บริโภคอย่างมากในปี 2560
อันตรายเหล่านี้สามารถป้องกันได้ถ้าผู้จำหน่ายอุปกรณ์และเครื่องจักรอัจฉริยะเหล่านี้มีขั้นตอนการพัฒนาผลิตภัณฑ์ที่เน้นด้านความปลอดภัยเป็นหลัก
นอกจากนี้ผู้ที่ใช้งานทั้ง IoT และ IIoT
ต่างจำเป็นต้องจำลองสถานการณ์การถูกโจมตีเพื่อค้นหาจุดบอดหรือช่องโหว่ที่ร้ายแรงอยู่เสมอ
โดยเฉพาะการติดตั้งเทคโนโลยีความปลอดภัยเพื่อปกป้องเครือข่ายของโรงงานถือเป็นความจำเป็นอย่างยิ่ง
ตัวอย่างเช่น
การที่ต้องมีความสามารถในการตรวจจับและคัดแยกแพ็คเก็ตข้อมูลอันตรายผ่านระบบป้องกันการบุกรุกหรือ
IPS ของเครือข่าย เป็นต้น
- จากความง่ายดายในการหลอกลวงผ่านอีเมล์ธุรกิจ จะเป็นตัวการที่ทำให้การโจมตีด้วยเมล์หลอกลวงเพิ่มขึ้นอย่างมากในปี 2560
ด้วยการเจาะกลุ่มเหยื่อที่เป็นสถาบันและหน่วยงานทางการเงินทั่วโลกนั้น
ทำให้การโจมตีด้วยเมล์หลอกลวงเชิงธุรกิจหรือ Business Email Compromise
(BEC) อยู่ในรูปของการแฮ็กบัญชีอีเมล์
หรือหลอกลวงพนักงานเพื่อให้โอนเงินมายังบัญชีของอาชญากร
แม้จะไม่มีการใช้เทคโนโลยีที่ซับซ้อนเป็นพิเศษสำหรับการโจมตีในลักษณะนี้
แต่ความพยายามที่จะบรรจงซอกแซกข้อมูลภายในองค์กรเพื่อให้สามารถแต่งอีเมล์ให้น่าเชื่อถือมากขึ้นเรื่อยๆ
ก็ถือว่าเป็นแนวโน้มที่ค่อนข้างน่ากลัว
โดยเฉพาะองค์กรที่สามารถค้นข้อมูลภายในบางอย่างได้ผ่านเสิร์ชเอนจิ้น
เราคาดการณ์ว่า
จากความง่ายดายในการโจมตีแบบ BEC โดยเฉพาะการปลอมเป็นเมล์จาก CEO
จะได้รับความนิยมจากอาชญากรไซเบอร์มากขึ้น เนื่องจากไม่ต้องลงทุนมากมาย
แถมทำได้ง่าย ไม่ต้องพึ่งพาเทคโนโลยีที่ซับซ้อน
แต่กลับได้ผลตอบแทนเฉลี่ยมากถึง 140,000 ดอลลาร์สหรัฐฯ
ซึ่งมากพอที่จะซื้อบ้านหลังเล็กๆ ได้จากเหยื่อรายเดียว
ตัวเลขความเสียหายที่ประมาณการณ์ไว้จากการโจมตีแบบ BEC
ในช่วงสองปีที่ผ่านมาอยู่ที่ 3 พันล้านดอลลาร์ฯ
ขณะที่ถ้าเปรียบเทียบกับการโจมตีด้วยแรนซั่มแวร์ที่ได้ผลตอบแทนเฉลี่ยต่อครั้งอยู่ที่
722 ดอลลาร์ฯ (ประมาณ 1 บิทคอยน์) หรืออาจจะมากถึง 30,000 ดอลลาร์ฯ
ได้ถ้าโดนทั่วทั้งเครือข่ายขององค์กร
แรนซั่มแวร์
|
เมล์หลอกลวงเชิงธุรกิจ (BEC)
|
มูลค่าเสียหายอยู่ที่
17,000 – 30,000 ดอลลาร์ฯ
เป็นตัวเลขจากค่าไถ่ที่รีดจากเหยื่อที่เป็นโรงพยาบาลและมหาวิทยาลัยในปี
2559 ที่ผ่านมา
|
140,000 ดอลลาร์ฯ คิดเป็นผลตอบแทนเฉลี่ยต่อเหยื่อหนึ่งรายตามรายงานของ FBI
|
รูปที่ 3: การเปรียบเทียบผลตอบแทนโดยเฉลี่ยของการโจมตีด้วยแรนซั่มแวร์ กับแบบ BEC
นอกจากนี้
ความเร็วในการจ่ายเงินของเหยื่อยังเป็นสิ่งดึงดูดอาชญากรให้เลือกวิธีนี้มากขึ้น
โดยจากการวิจัยด้าน BEC ของเราโดยพิจารณาจากกรณีของ Predator Pain แล้ว
ผู้โจมตีสามารถเรียกเงินได้มากถึง 75 ล้านดอลลาร์ฯ ภายในแค่ 6 เดือน
รวมทั้งความล่าช้าในการดำเนินคดีโดยเฉพาะเมื่อเป็นคดีที่เกิดขึ้นระหว่างประเทศ
ยิ่งทำให้อาชญากรชื่นชอบวิธีการนี้มากขึ้นตามไปด้วย ตัวอย่างเช่น
กรณีชาวไนจีเรียถูกจับกุมในข้อหาหลอกลวงเอาทรัพย์จากหลายบริษัทในต่างประเทศตั้งแต่ปี
2557 นั้น ใช้เวลาในการดำเนินการจับกุมถึง 2 ปี
BEC
ถือว่ายากต่อการตรวจจับ
เนื่องจากอีเมล์เหล่านี้ไม่ได้มีข้อมูลหรือโค้ดอันตรายที่ระบบปกติคัดกรองได้
แต่องค์กรก็ควรคัดกรองอันตรายเหล่านี้ที่แหล่งกำเนิดด้วยโซลูชั่นความปลอดภัยบนเกตเวย์ทั้งเว็บและอีเมล์
ด้วยเทคโนโลยีความปลอดภัยลักษณะนี้จะช่วยระบุทราฟฟิกผิดปกติ
และพฤติกรรมของไฟล์หรือองค์ประกอบอื่นๆ ที่ดูเป็นอันตรายได้ แต่อย่างไรก็ดี
การป้องกัน BEC ก็ยังยากอยู่ดี
ถ้าเกิดเหยื่อยังคงยอมโอนเงินให้แก่อาชญากรอย่างต่อเนื่อง
บริษัทควรมีโพลิซีที่แข็งแกร่งสำหรับการโอนเงินในกรณีต่างๆ
โดยเฉพาะการเพิ่มลำดับชั้นการพิจารณา
และให้มีขั้นตอนการตรวจสอบเป็นพิเศษสำหรับการอนุมัติจ่ายเงินปริมาณมาก
เป็นต้น
- การเจาะระบบกระบวนการทางธุรกิจจะเข้มข้นมากขึ้นตามไปด้วย โดยพุ่งเป้าไปที่เหยื่อที่เป็นหน่วยงานทางการเงินเป็นหลัก
จากกรณีการจารกรรมเงินของธนาคารของบังคลาเทศ
ที่สร้างความเสียหายมากถึง 81 ล้านดอลลาร์สหรัฐฯ นั้น
ถือว่าแตกต่างจากการโจมตีแบบ BEC ที่อาศัยจิตวิทยากับมนุษย์เป็นหลัก
การเจาะระบบเชิงธุรกิจนี้เป็นวิธีที่ต้องทำเข้าความใจอย่างลึกซึ้งเกี่ยวกับขั้นตอนการทำธุรกรรมทางการเงินของสถาบันการเงินขนาดใหญ่
เราจึงเรียกว่าโจมตีนี้ว่า Business Process Compromise หรือ BPC
เราคาดการณ์ว่า
BPC จะเกิดขึ้นขยายวงกว้างออกจากฝ่ายการเงิน
แม้ว่าขั้นตอนสุดท้ายยังคงต้องอาศัยการโอนเงินของเหยื่ออยู่
กรณีที่เป็นไปได้มีตั้งแต่การเจาะเข้าระบบสั่งซื้อเพื่อให้อาชญากรไซเบอร์สามารถรับเงินค่าสินค้าจากผู้จำหน่ายที่มีตัวตนจริงได้
การเจาะเข้าสู่ระบบชำระเงินก็สามารถชักนำให้เกิดการโอนเงินที่ไม่ถูกต้องได้ด้วยเช่นกัน
หรืออาชญากรอาจจะเจาะระบบเข้าศูนย์บริหารการจัดส่งสินค้า
แล้วเปลี่ยนที่อยู่จัดส่งสินค้าที่มีมูลค่าสูง
เหตุการณ์ดังกล่าวเคยเกิดขึ้นแล้วเมื่อปี 2556 เมื่อบริษัทชิปปิ้งอย่าง
Antwerp Seaport ถูกเจาะระบบเพื่อใช้ประโยชน์ในการขนส่งยาเสพติด
รูปที่ 4: เปรียบเทียบการโจมตีแบบ BEC กับ BPC
รูปที่ 4: เปรียบเทียบการโจมตีแบบ BEC กับ BPC
อาชญากรไซเบอร์ที่ทำการโจมตีแบบ
BPC
ยังมีแนวโน้มที่จะทำเพื่อหาเงินมากกว่าเพื่อแรงจูงใจทางการเมืองหรือเพื่อล้วงข้อมูล
แต่ว่าวิธีการและกลยุทธ์ที่ใช้ในการโจมตียังคงมีลักษณะคล้ายกัน
ถ้าเราเปรียบเทียบผลตอบแทนระหว่างการโจมตีด้วยแรนซั่มแวร์บนเครือข่ายขององค์กร
กับการโจมตีแบบ BEC และ BPC ตามลำดับแล้ว (ประมาณ 20,000 ดอลลาร์ฯ,
140,000 ดอลลาร์ฯ, และ 81 ล้านดอลลาร์สหรัฐฯ ตามลำดับ)
ยิ่งเห็นได้ชัดถึงเหตุผลที่เหล่าอาชญากรไซเบอร์
หรือแม้แต่ผู้ก่อการร้ายข้ามชาติที่ต้องการเงินจำนวนมหาศาลจะเลือกวิธีการโจมตีแบบนี้แทน
องค์กรมักมีความสามารถในการมองเห็นความเสี่ยงที่เกี่ยวข้องกับการโจมตีกระบวนการทางธุรกิจดังกล่าวค่อนข้างต่ำ ระบบความปลอดภัยทั่วไปมักจำกัดอยู่ที่การป้องกันไม่ให้อุปกรณ์ถูกเจาะระบบ ซึ่งอาชญากรไซเบอร์ต่างใช้ประโยชน์จากการตื่นตัวที่ล่าช้าขององค์กร มีเทคโนโลยีความปลอดภัยอย่างการควบคุมแอพพลิเคชั่น ที่สามารถปิดกั้นการเข้าถึงอุปกรณ์ปลายทางที่สำคัญทางธุรกิจได้ ซึ่งควรใช้ร่วมกับการปกป้องอุปกรณ์เอ็นด์พอยท์ เพื่อตรวจจับความเคลื่อนไหวที่ส่อเค้าอันตรายได้ ระบบความปลอดภัยเหล่านี้ควรใช้ควบคู่กับนโยบายและแนวทางปฏิบัติที่เข้มแข็งเกี่ยวกับการรับมือการโจมตีทางจิตวิทยา ซึ่งควรทำให้อยู่เป็นพื้นฐานของวัฒนธรรมองค์กร
องค์กรมักมีความสามารถในการมองเห็นความเสี่ยงที่เกี่ยวข้องกับการโจมตีกระบวนการทางธุรกิจดังกล่าวค่อนข้างต่ำ ระบบความปลอดภัยทั่วไปมักจำกัดอยู่ที่การป้องกันไม่ให้อุปกรณ์ถูกเจาะระบบ ซึ่งอาชญากรไซเบอร์ต่างใช้ประโยชน์จากการตื่นตัวที่ล่าช้าขององค์กร มีเทคโนโลยีความปลอดภัยอย่างการควบคุมแอพพลิเคชั่น ที่สามารถปิดกั้นการเข้าถึงอุปกรณ์ปลายทางที่สำคัญทางธุรกิจได้ ซึ่งควรใช้ร่วมกับการปกป้องอุปกรณ์เอ็นด์พอยท์ เพื่อตรวจจับความเคลื่อนไหวที่ส่อเค้าอันตรายได้ ระบบความปลอดภัยเหล่านี้ควรใช้ควบคู่กับนโยบายและแนวทางปฏิบัติที่เข้มแข็งเกี่ยวกับการรับมือการโจมตีทางจิตวิทยา ซึ่งควรทำให้อยู่เป็นพื้นฐานของวัฒนธรรมองค์กร
- Adobe และ Apple จะแซงหน้าไมโครซอฟท์ในแง่ของการเป็นแพลตฟอร์มที่พบช่องโหว่จำนวนมาก
Adobe
ได้แซงหน้าไมโครซอฟท์เป็นครั้งแรกในปี 2559 นี้
ในแง่ของจำนวนช่องโหว่ที่ถูกค้นพบ
โดยจากตัวเลขช่องโหว่ที่ถูกเปิดเผยทั้งหมดแบบ Zero-Day ในปีที่ผ่านมา
ผลิตภัณฑ์ของ Adobe มีถึง 135 ช่องโหว่ ขณะที่ผลิตภัณฑ์ของไมโครซอฟท์มีแค่
76 ช่องโหว่ นอกจากนี้ ปี 2559 ยังถือเป็นปีที่ผลิตภัณฑ์ของ Apple
พบช่องโหว่สูงมากขึ้นเป็นประวัติการณ์
ด้วยตัวเลขช่องโหว่ที่พบเมื่อนับถึงเดือนพฤศจิกายนถึง 50 ช่องโหว่
เมื่อเทียบกับตัวเลขแค่ 25 ช่องโหว่ในปีก่อนหน้านี้
เรามองว่าจะพบช่องโหว่ของซอฟต์แวร์มากขึ้นเรื่อยๆ
ในผลิตภัณฑ์ของทั้ง Adobe และ Apple นอกจากผลิตภัณฑ์ของไมโครซอฟท์เอง
ซึ่งจากข้อเท็จจริงที่ตัวเลขยอดจำหน่ายพีซีที่ใช้ผลิตภัณฑ์ของไมโครซอฟท์ได้ลดลงอย่างต่อเนื่องในช่วง
2 – 3 ปีนี้
โดยผู้ใช้หันไปเลือกสมาร์ทโฟนและแท็ปเล็ตระดับมืออาชีพในการทำงานแทน
นอกจากนี้การพัฒนาและเร่งแก้ไขปัญหาความปลอดภัยของไมโครซอฟท์อย่างต่อเนื่องทำให้ผู้โจมตีรู้สึกยากในการมองหาช่องโหว่บนโอเอสตัวนี้อีก
รูปที่ 5: จำนวนช่องโหว่ที่ถูกค้นพบในรูปของ Zero-Day ในผลิตภัณฑ์ Microsoft, Adobe, และ Apple
การค้นพบช่องโหว่ในผลิตภัณฑ์ของ
Adobe จำนวนมาก
ย่อมหลีกเลี่ยงไม่ได้ที่จะนำไปสู่การพัฒนาโค้ดอันตรายที่นำมาผสานรวมกันกลายเป็นชุดโจมตีสำเร็จรูป
ซึ่งชุดโค้ดอันตรายนี้จะก้าวเข้ามาเป็นส่วนหนึ่งของอันตรายที่พบได้ทั่วไป
และอาชญากรอาจสามารถใช้ประโยชน์จากชุดโค้ดดังกล่าวในการแพร่กระจายแรนซั่มแวร์ต่อไปได้
แม้การใช้ชุดโค้ดอันตรายจะพบน้อยลงหลังจากมีการจับกุมผู้พัฒนาชุดโค้ด
Angler แต่ปัจจุบันก็มีชุดโค้ดอันตรายอื่นๆ
เข้ามาแทนที่ตำแหน่งในตลาดแล้วอย่างเช่น BlackHole และ Nuclear
ซอฟต์แวร์ของ
Apple ก็ตกอยู่ในชะตากรรมเดียวกัน เนื่องจากมีผู้ใช้ซื้อเครื่อง Mac
มากขึ้นเรื่อยๆ โดยสามารถทำตลาดในสหรัฐฯ ได้มากกว่าปีก่อนอย่างมหาศาล
ดังนั้นเมื่อพิจารณาร่วมกับการยกระดับด้านความปลอดภัยของไมโครซอฟท์แล้ว
ย่อมทำให้เหล่าอาชญากรไซเบอร์เบนเข็มมายังแพลตฟอร์มอื่นนอกเหนือจากของไมโครซอฟท์มากขึ้น
อีกทั้งจากการที่ Apple ได้หยุดการซัพพอร์ต iPhone 4S แล้ว
เราน่าจะได้เห็นการใช้ช่องโหว่ที่มีการแพทช์ไปแล้วในโทรศัพท์รุ่นใหม่กว่า
มาโจมตีโทรศัพท์รุ่นที่ไม่มีแพทช์ออกมาให้อัพเดตมากขึ้นตามไปด้วย
การป้องกันและอุดช่องโหว่ถือเป็นวิธีเดียวที่จะปกป้องได้อย่างมีประสิทธิภาพ
และยั่งยืนเพียงพอ จากช่องโหว่ต่างๆ ที่ยังไม่ได้รับการแพทช์
และช่องโหว่แบบ Zero-day ยิ่งเราพบช่องโหว่จำนวนมากในองค์กรส่วนใหญ่
โดยเฉพาะองค์กรที่ยังใช้ซอฟต์แวร์เก่าที่ถูกยกเลิกการซัพพอร์ตไปแล้ว
ยิ่งทำให้การปกป้องช่องโหว่มีความสำคัญเป็นอย่างยิ่ง
โดยเฉพาะเมื่อซอฟต์แวร์ที่ได้รับความนิยมระดับสูง
และมีการใช้งานอย่างแพร่หลายอย่างผลิตภัณฑ์ของ Apple และ Adobe
เริ่มตกเป็นเหยื่อมากขึ้นอย่างชัดเจน ผู้ใช้ผลิตภัณฑ์ของทั้ง Apple และ
Adobe
ควรปกป้องเอ็นด์พอยท์และอุปกรณ์พกพาจากมัลแวร์ที่เตรียมใช้ประโยชน์จากช่องโหว่ของผลิตภัณฑ์ดังกล่าวด้วย
- การชวนเชื่อทางอินเทอร์เน็ตจะเป็นเรื่องที่พบได้อย่างแพร่หลาย
ในปี
2559 ที่ผ่านมานั้น เกือบครึ่งหนึ่งของประชากรโลกทั้งหมด (46.1%)
สามารถเข้าถึงอินเทอร์เน็ตได้ ไม่ว่าจะผ่านสมาร์ทโฟน,
คอมพิวเตอร์พื้นฐานดั้งเดิม,
หรือแม้แต่ซุ้มหรือเคาเตอร์ที่ให้ใช้งานอินเทอร์เน็ต นั่นหมายความว่า
มีผู้คนจำนวนมากขึ้นเรื่อยๆ สามารถเข้าถึงข้อมูลได้อย่างรวดเร็วและง่ายดาย
โดยไม่ได้ตรวจสอบความน่าเชื่อถือของข้อมูลนั้นก่อน
การเติบโตของบริเวณที่อินเทอร์เน็ตเข้าถึงได้นี้
ได้เปิดโอกาสให้บุคคลบางกลุ่มสามารถใช้อินเทอร์เน็ตในฐานะเครื่องมือที่ไม่มีค่าใช้จ่าย
ในการแสดงความเห็นโน้มน้าว หรือมีอิทธิพลให้ผู้คนเชื่อไปทางใดทางหนึ่งได้
อย่างเช่นตัวอย่างการเลือกตั้งที่เกิดขึ้นในหลายประเทศนั้น
ที่แสดงให้เห็นถึงพลังของโซเชียลมีเดีย
และแหล่งข้อมูลออนไลน์ทั้งหลายที่มีอิทธิพลอย่างมากต่อการตัดสินใจทางการเมือง
และเมื่อเร็วๆ
นี้ เราได้เห็นแพลตฟอร์มของ WikiLeaks ที่นำมาใช้โฆษณาชวนเชื่อ
ด้วยเนื้อหาที่ดูน่าเชื่อถือเป็นอย่างมากมาเผยแพร่บนเว็บไซต์เพียงแค่สัปดาห์เดียวก่อนจะถึงวันเลือกตั้งประธานาธิบดีสหรัฐฯ
นอกจากนี้
จากการเฝ้าตรวจสอบความเคลื่อนไหวของอาชญกรทางไซเบอร์ที่อยู่ใต้ดินนั้น
เรายังพบการว่าจ้างนักข่าวสมัครเล่นให้เผยแพร่ข่าวลวงที่เกี่ยวข้องกับการเลือกตั้ง
โดยมีค่าจ้างเฉลี่ยอยู่ราวๆ 20 ดอลลาร์สหรัฐฯ
ต่อเดือนเพียงแค่คอยโพสเนื้อหาที่เกี่ยวข้องกับตัวผู้สมัครลงเลือกตั้ง
อีกทั้งเรายังพบกลุ่มเฉพาะกิจบนโลกไซเบอร์ที่ได้รับเงินให้คอยโพสข่าวชวนเชื่อบนโซเชียลมีเดียอย่างเฟซบุ๊กและ
LinkedIn ด้วย
ถือเป็นการใช้ประโยชน์จากกลไกการคัดกรองการแสดงเนื้อหาของแพลตฟอร์มดังกล่าวเพื่อยกระดับการแสดงผลเนื้อหาของตัวเองในช่วงเลือกตั้งด้วย
การขาดความถูกต้องแม่นยำของข้อมูล
เมื่อผนวกเข้ากับกลุ่มนักกดแชร์ที่ต้องการชักจูงผู้คนให้เปลี่ยนความเชื่อ
หรือยกระดับความน่าเชื่อถือของความเชื่อในกลุ่มตนเองนั้น
ทำให้การทำข่าวปลอมได้รับความนิยมอย่างมาก
มากจนกระทั่งความเป็นมืออาชีพในการหลอกลวงทำให้ผู้ใช้งานอินเทอร์เน็ตทั่วไป
โดยเฉพาะผู้ที่ยังไม่ประสีประสา ไม่สามารถแยกแยะข่าวจริงกับข่าวลวงได้
แม้จะมีความเคลื่อนไหวจากเจ้าของแพลตฟอร์มอย่าง
Facebook และ Google ที่คอยยกเลิกการโฆษณาบนเว็บไซต์ที่แสดงข่าวปลอม
รวมทั้งที่ Twitter ยกระดับฟังก์ชั่นการปิดกั้นการแสดงผล (Mute)
เพื่อให้ผู้ใช้เลือกรับข่าวสารและบทสนทนาได้ตามต้องการแล้ว
แต่ก็ยังไม่เห็นผลกระทบในเชิงป้องปรามได้มากเท่าไร
สำหรับการเลือกตั้งที่กำลังจะเกิดขึ้นทั้งในฝรั่งเศสและเยอรมัน
รวมทั้งความเคลื่อนไหวในลักษณะคล้ายกับการถอนตัวจากกลุ่มสหภาพยุโรปหรือ EU
ของสหราชอาณาจักร หรือที่รู้จักกันในชื่อ Bretix ที่จะพบมากขึ้นนั้น
ย่อมจะได้รับอิทธิพลจากเนื้อหาที่ถูกแชร์หรือกระจายผ่านทางสื่ออิเล็กทรอนิกส์
แน่นอนที่เราจะได้เห็นการนำข้อมูลที่อ่อนไหวมาใช้โฆษณาชวนเชื่อบนโลกไซเบอร์มากขึ้นอันมาจากปฏิบัติการล้วงความลับอย่าง
PawnStorm
กลุ่มบุคคลที่สามารถชักจูงความเห็นของคนหมู่มากโดยใช้กลยุทธ์ต่างๆ
จะสามารถสร้างผลลัพธ์ได้ตามที่ตัวเองต้องการ โดยในปี 2560 นี้
เราจะเห็นการใช้โซเชียลมีเดีย รวมทั้งการใช้เป็นเครื่องมือ
หรือใช้เป็นอาวุธห้ำหั่นกันมากขึ้นอย่างแน่นอน
- การบังคับใช้และปฏิบัติตามกฎหมายเกี่ยวกับการปกป้องข้อมูลฉบับใหม่ จะเป็นการเพิ่มค่าใช้จ่ายในการบริหารจัดการของแอดมินในแต่ละองค์กรขึ้นเป็นอย่างมาก
กฎหมาย
GDPR ซึ่งเป็นการตอบสนองของ EU ต่อปัญหาความเป็นส่วนตัวของข้อมูลนั้น
จะไม่ได้กระทบเฉพาะประเทศสมาชิกสหภาพยุโรปเท่านั้น
แต่ยังกระเทือนถึงทุกภาคส่วนทั่วโลกที่มีการใช้, ประมวลผล,
หรือจัดเก็บข้อมูลส่วนตัวของคนใน EU ด้วย จากกำหนดการบังคับใช้ในปี 2561
นั้น จะทำให้องค์กรถูกปรับเป็นมูลค่ามากถึง 4%
ของรายรับของบริษัททั้งหมดได้ถ้าไม่สามารถทำให้สอดคล้องตามกฎหมายใหม่
เราคาดการณ์ว่า
กฎหมาย GDPR จะบีบให้เกิดการเปลี่ยนแปลงในบริษัทที่ได้รับผลกระทบ
ทั้งด้านนโยบายและกระบวนการทางธุรกิจ
ซึ่งทำให้เกิดค่าใช้จ่ายในการบริหารงานเพิ่มขึ้น จากกฎ GDPR
ทำให้องค์กรต้องมีการเปลี่ยนแปลงดังต่อไปนี้:
- ต้องมีเจ้าหน้าที่ดูแลความปลอดภัยของข้อมูลหรือ DPO จากที่เราเคยวิเคราะห์ว่า องค์กรกว่าครึ่งหนึ่งจำเป็นต้องจัดจ้างเจ้าหน้าที่ DPO เพิ่มภายในปี 2559 ที่ผ่านมานี้ ตัวเลขที่ออกมาจริงถือว่าค่อนข้างแม่นยำมาก ซึ่งหมายความว่า ค่าใช้จ่ายของบริษัทจะพุ่งสูงขึ้นจากการจัดจ้าง, อบรม, และรักษาพนักงานระดับอาวุโสเอาไว้
- ผู้ใช้จะต้องได้รับการแจ้งสิทธิที่ได้รับใหม่ตามกฎหมายนี้ และบริษัทจะต้องทำให้แน่ใจได้ว่าผู้ใช้สามารถใช้สิทธิดังกล่าวได้ โดยยึดหลักว่า ประชาชนของ EU ถือเป็นเจ้าของข้อมูลส่วนตัวของตัวเอง ดังนั้นข้อมูลที่ถูกจัดเก็บจะถือเป็นแค่การ “ยืม” มาใช้ชั่วคราว ซึ่งหลักการนี้จะนำไปสู่การเปลี่ยนแปลงกระบวนการจัดการข้อมูลของธุรกิจเกือบทั้งหมด
- ต้องจัดเก็บข้อมูลน้อยที่สุดเท่าที่จำเป็นต่อบริการนั้นๆ โดยองค์กรต่างๆ จะต้องปรับเปลี่ยนวิธีการจัดเก็บข้อมูลให้สอดคล้องกับกฎหมายใหม่นี้
การเปลี่ยนแปลงดังกล่าวข้างต้น
จะเป็นการบังคับให้องค์กรต้องปฏิรูประบบการประมวลผลใหม่ทั้งหมด
เพื่อให้แน่ใจว่าสอดคล้องตามข้อกำหนด
หรือมีการแยกส่วนของข้อมูลส่วนตัวของคนใน EU
ออกจากผู้ที่อยู่ในภูมิภาคอื่นของโลกอย่างชัดเจน
ซึ่งเป็นการยากโดยเฉพาะบริษัทข้ามชาติทั้งหลายที่อาจต้องสร้างระบบสตอเรจใหม่ทั้งหมดเฉพาะสำหรับประชากรในภูมิภาค
EU โดยเฉพาะ
นอกจากนี้ยังต้องตรวจสอบการปกป้องความเป็นส่วนตัวของข้อมูลบนบริการคลาวด์สตอเรจที่ตกเองใช้อยู่ด้วย
องค์กรจำเป็นต้องลงทุนกับโซลูชั่นความปลอดภัยของข้อมูลที่ครอบคลุม
อันรวมไปถึงการฝึกอบรมเจ้าหน้าที่ เพื่อบังคับใช้ให้สอดคล้องกับกฎ GDPR
ด้วย
- ผู้โจมตีเตรียมพัฒนากลยุทธ์การโจมตีแบบใหม่ๆ ที่สามารถหลบเลี่ยงโซลูชั่นความปลอดภัยที่ใช้กันโดยทั่วไปในปัจจุบันได้
การโจมตีที่มีการวางกลยุทธ์และระบุเป้าหมายจำเพาะนั้นเริ่มเกิดขึ้นอย่างเป็นรูปธรรมตั้งแต่
10 ปีที่แล้ว และมีการพัฒนามาอย่างต่อเนื่อง
ขณะที่โครงสร้างพื้นฐานที่องค์กรส่วนใหญ่ใช้งานอยู่ยังคงย่ำอยู่ที่เดิม
จากที่เราเห็นความเคลื่อนไหวของผู้โจมตี
และความสามารถในการปรับแต่งเครื่องมือ, กลยุทธ์,
และวิธีการให้สามารถจัดการเป้าหมายในองค์กรที่หลากหลาย
ในหลายประเทศพร้อมกันได้แล้ว เราจึงคาดการณ์ว่า
จะได้เห็นเทคนิคแปลกใหม่ในการโจมตีมากขึ้น
ชนิดที่เราคาดไม่ถึงกันเลยทีเดียว
โดยมองว่า
อัตราความเร็วในการเรียนรู้ของอาชญากรไซเบอร์ในขณะนี้จะสามารถพัฒนาวิธีการโจมตีที่หลบเลี่ยงเทคโนโลยีด้านความปลอดภัยที่มีการพัฒนาในช่วง
2 – 3 ปีที่ผ่านมาได้อย่างรวดเร็ว ยกตัวอย่างเช่น
จากเดิมที่เหล่าอาชญากรจะเริ่มต้นจากการใช้โค้ดไบนารี
ก็ย้ายมาโจมตีผ่านไฟล์เอกสารต่างๆ
จนในปัจจุบันก็เริ่มหันมาใช้สคริปต์และไฟล์ Batch แทน
นอกจากนี้ยังมีความพยายามในการตรวจจับกลไก Sandbox
โดยศึกษากลไกการที่เครือข่ายผลักดันไฟล์ที่ไม่รู้จักเข้าไปอยู่ในแซนด์บ็อกซ์
เพื่อหลบเลี่ยงหรือแม้กระทั่งจัดการกับระบบแซนด์บ็อกซ์เสียเอง
และนอกเหนือจากการหลบเลี่ยงกลไกแซนด์บ็อกซ์แล้ว
เรายังจะได้เห็นการโจมตีที่วิ่งข้ามเวอร์ช่วลแมชชีนหรือ VM ได้
ซึ่งจะกลายเป็นส่วนหนึ่งของกระบวนการโจมตีแบบลูกโซ่ชั้นสูง
โดยจะมีการปรับแต่งการโจมตีที่หลากหลายโดยใช้บั๊กของเวอร์ช่วลแมชชีน
เน้นเป้าหมายเป็นแอพพลิเคชั่นบนคลาวด์
พัฒนาการทางเทคนิคที่แพรวพราวของอาชญากรเหล่านี้
จะทำให้มีการเรียกร้องความต้องการด้านความปลอดภัยจากเหล่าแอดมินด้านไอทีมากขึ้น
โดยจำเป็นต้องหาเทคโนโลยีด้านความปลอดภัยที่ทำให้ได้การมองเห็นและความสามารถในการควบคุมอย่างสมบูรณ์
ทั้งเครือข่ายและทราฟฟิกข้อมูล
รวมทั้งความสามารถในการระบุตำแหน่งที่ไม่เพียงแค่ตำแหน่งที่โดนโจมตีเท่านั้น
แต่ยังต้องระบุตั้งแต่ต้นตอของการโจมตีได้ด้วย
อันตรายที่ไม่รู้จัก
อาจเป็นได้ทั้งสายพันธุ์ที่พัฒนามาจากอันตรายที่รู้จักอยู่แล้ว
หรืออาจเป็นอันตรายแบบใหม่ที่ไม่เคยมีการค้นพบมาก่อนก็ได้
โซลูชั่นความปลอดภัยที่ใช้เทคโนโลยีเรียนรู้ด้วยตนเอง หรือ Machine
Learning จะสามารถปกป้องจากอันตรายทั้งที่มีการพัฒนาจากตัวที่รู้จักมาก่อน
และสามารถใช้แซนด์บ็อกซ์จำกัดบริเวณอันตรายที่ไม่รู้จักให้สามารถจัดการในลำดับต่อไปได้อย่างทันท่วงที
แทนที่จะยึดติดกับกลยุทธ์ความปลอดภัยอันเดียว
เราควรใช้เทคโนโลยีหลากหลายที่ผสานการทำงานร่วมกันได้เป็นอย่างดี
ทั้งด้านการตรวจสอบ, ตอบสนอง,
และจัดการรับมือกับการโจมตีที่ระบุเป้าหมายได้
ซึ่งถือเป็นสิ่งสำคัญมากในการต่อกรกับการโจมตีที่พัฒนาอย่างรวดเร็วเช่นนี้
จะทำอย่างไรจึงจะก้าวทันการโจมตีเหล่านี้?
Machine
Learning
ไม่ใช่แค่เทคโนโลยีความปลอดภัยที่ใหม่เอี่ยมที่ไพเราะแต่ชื่อเท่านั้น
แต่ยังถือเป็นองค์ประกอบสำคัญในการสู้รบกับอันตรายจากแรนซั่มแวร์และโค้ดอันตรายต่างๆ
ทั้งที่รู้จักและไม่รู้จักด้วย Machine
Learning
นั้นถูกติดตั้งบนระบบทำงานแบบผสานที่รับข้อมูลจากทั้งมนุษย์และคอมพิวเตอร์เพื่อนำมาประมวลผลด้วยอัลกอริทึมทางคณิตศาสตร์
ซึ่งจะถูกนำมาใช้บริหารจัดการทราฟฟิกบนเครือข่าย
เพื่อให้ระบบสามารถตัดสินใจได้อย่างรวดเร็วและแม่นยำว่าเนื้อหาข้อมูลบนเครือข่ายดังกล่าว
ทั้งเนื้อหาและพฤติกรรมของไฟล์นั้น เป็นอันตรายหรือไม่
องค์กรต่างๆ จำเป็นต้องเตรียมพร้อมในการป้องกันเทคนิคการหลบเลี่ยงระบบความปลอดภัยต่างๆ ที่เหล่าอาชญากรไซเบอร์จะพัฒนามาใช้ในปี 2560 นี้ ซึ่งจำเป็นต้องใช้หลายกลยุทธ์ หลายเทคโนโลยีความปลอดภัยมาทำงานผสานกันเป็นระบบป้องกันบนเครือข่ายที่เชื่อมต่อกันอย่างสมบูรณ์ เทคโนโลยีต่างๆ ได้แก่:
องค์กรต่างๆ จำเป็นต้องเตรียมพร้อมในการป้องกันเทคนิคการหลบเลี่ยงระบบความปลอดภัยต่างๆ ที่เหล่าอาชญากรไซเบอร์จะพัฒนามาใช้ในปี 2560 นี้ ซึ่งจำเป็นต้องใช้หลายกลยุทธ์ หลายเทคโนโลยีความปลอดภัยมาทำงานผสานกันเป็นระบบป้องกันบนเครือข่ายที่เชื่อมต่อกันอย่างสมบูรณ์ เทคโนโลยีต่างๆ ได้แก่:
- แอนตี้มัลแวร์ระดับสูง (ที่เป็นมากกว่าการทำแบล็กลิสต์)
- แอนตี้สแปม และระบบป้องกันการหลอกลวง บนเกตเวย์ทั้งบนเว็บ และระบบส่งข้อความ
- ระบบจัดความน่าเชื่อถือเว็บไซต์
- ระบบตรวจจับการรั่วไหลของข้อมูล
- การควบคุมแอพพลิเคชั่น (ทำไวท์ลิสต์)
- การคัดกรองเนื้อหาข้อมูล
- การปกป้องช่องโหว่
- การจัดความน่าเชื่อถือแอพบนอุปกรณ์พกพา
- ระบบป้องกันการบุกรุก ทั้งบนเครื่องโฮสต์ และบนเครือข่าย
- ระบบป้องกันด้วยไฟร์วอลล์บนเครื่องโฮสต์
อันตรายในปัจจุบันส่วนใหญ่สามารถตรวจจับได้ด้วยการผสานการทำงานกันของเทคนิคต่างๆ
ข้างต้น แต่ในการตรวจจับอันตรายที่ “ไม่รู้จัก” หรือบั๊กแบบ Zero-day แล้ว
องค์กรเหล่านั้นจำเป็นต้องใช้ระบบตรวจสอบความถูกต้องและพฤติกรรมของข้อมูล
รวมทั้งระบบแซนด์บ็อกซ์ด้วย
เทคโนโลยี
IoT นั้นให้ทั้งความสะดวกสบายและความเสี่ยง ผู้ใช้อุปกรณ์อัจฉริยะต่างๆ
ควรเรียนรู้วิธีการรักษาความปลอดภัยของเราเตอร์
ก่อนที่อุปกรณ์อัจฉริยะของตัวเองจะถูกเข้าควบคุมผ่านอินเทอร์เน็ต
นอกจากนี้ยังควรคำนึงถึงความปลอดภัยเป็นหลักเวลาเลือกซื้ออุปกรณ์อัจฉริยะอีกด้วย
เช่น มีการยืนยันตนหรือเปลี่ยนรหัสผ่านได้หรือไม่? อัพเดตได้หรือไม่?
เข้ารหัสข้อมูลที่ส่งต่อบนเครือข่ายได้หรือไม่? มีการเปิดใช้พอร์ตใดบ้าง?
และผู้จำหน่ายได้ออกตัวอัพเดตเฟิร์มแวร์เป็นประจำหรือไม่? เป็นต้น
องค์กรที่มีการเรียกใช้ข้อมูลจากประชากรใน
EU
ควรเตรียมการรองรับค่าใช้จ่ายด้านการบริหารจัดการที่จะพุ่งสูงขึ้นจากการเปลี่ยนแปลงกระบวนการทำงานส่วนใหญ่
และการจัดจ้างเจ้าหน้าที่ DPO เพื่อให้สอดคล้องกับกฎ GDPR
ซึ่งจำเป็นต้องการมีการทวนสอบกลยุทธ์การปกป้องข้อมูลของบริษัททั้งหมดเพื่อให้ผ่านการออดิต
ปัญหาใหม่ๆ
เหล่านี้จำเป็นต้องอาศัยระบบความปลอดภัยบนเอ็นด์พอยท์
ร่วมกับโซลูชั่นความปลอดภัยแบบผสานที่รวมเอาเทคนิคการตรวจจับอันตรายที่ได้รับการพิสูจน์ว่าได้ผลจริงมาแล้ว
ทั้งอันตรายแบบที่รู้จักและไม่รู้จัก
รวมทั้งใช้เทคนิคการป้องกันขั้นสูงอย่างเช่น ระบบควบคุมแอพพลิเคชั่น,
การป้องกันการใช้ประโยชน์จากช่องโหว่, และการวิเคราะห์พฤติกรรม,
การตรวจจับด้วยแซนด์บ็อกซ์, รวมทั้งระบบ Machine Learning
แบบความละเอียดสูง
การฝึกอบรมพนักงานให้รับมือกับการโจมตีเชิงจิตวิทยา และเรียนรู้รูปแบบการโจมตีใหม่ๆ อย่างเช่น BEC ให้เข้าไปอยู่ในสายเลือด ในวัฒนธรรมขององค์กรนั้น จะช่วยเติมเต็มระบบความปลอดภัยโดยรวมขององค์กรให้รับมือกับภัยร้ายในปี 2560 และอนาคตได้
การฝึกอบรมพนักงานให้รับมือกับการโจมตีเชิงจิตวิทยา และเรียนรู้รูปแบบการโจมตีใหม่ๆ อย่างเช่น BEC ให้เข้าไปอยู่ในสายเลือด ในวัฒนธรรมขององค์กรนั้น จะช่วยเติมเต็มระบบความปลอดภัยโดยรวมขององค์กรให้รับมือกับภัยร้ายในปี 2560 และอนาคตได้
เกี่ยวกับเทรนด์ไมโคร
เทรนด์ไมโคร
อินคอร์ปอเรทเต็ด
ผู้นำระดับโลกด้านโซลูชั่นความปลอดภัยไซเบอร์ที่มุ่งมั่นในการจะช่วยให้การแลกเปลี่ยนข้อมูลดิจิตอลในโลกของเรามีความปลอดภัย
เทรนด์ไมโครมีโซลูชั่นเปี่ยมนวัตกรรมเพื่อให้บริการผู้ใช้ทั่วไป
องค์กรธุรกิจ และหน่วยงานภาครัฐ
โดยนำเสนอระบบรักษาความปลอดภัยหลายระดับให้กับดาต้าเซ็นเตอร์, คลาวด์,
เน็ตเวิร์ค และเครื่องลูกข่าย
ผลิตภัณฑ์และโซลูชั่นทั้งหมดของเทรนด์ไมโครผสานการทำงานร่วมกันเพื่อให้ข้อมูลเชิงลึกเกี่ยวกับการป้องกันภัยคุกคามอย่างชาญฉลาด
และสร้างการป้องกันภัยคุกคามที่เกี่ยวโยงกันหลายส่วน
ด้วยการควบคุมและแสดงผลแบบรวมศูนย์
ซึ่งช่วยให้สามารถป้องกันภัยคุกคามได้อย่างรวดเร็วและมีประสิทธิภาพมากขึ้น
เทรนด์ไมโครมีพนักงานมากกว่า 5,000 คนในกว่า 50 ประเทศ มีผลิตภัณฑ์
โซลูชั่น และความเชี่ยวชาญในการป้องกันภัยคุกคามที่ทันสมัยที่สุดในโลก
เทรนด์ไมโครช่วยให้องค์กรต่าง ๆ
เดินทางสู่การใช้งานระบบคลาวด์ได้อย่างปลอดภัย ดูข้อมูลเพิ่มเติมได้ที่
www.trendmicro.co.th หรือ www.trendmicro.com