ADS


Breaking News

Home / ความปลอดภัยบนเครือข่าย / แคสเปอร์สกี้ / แคสเปอร์สกี้ แลป / ไอที-สื่อสาร / TH / “ไร้เบาะแสและข้อมูล ไม่พบเงื่อนงำ” แคสเปอร์สกี้ แลป คาดการณ์ทิศทางภัยไซเบอร์ ปี 2017

“ไร้เบาะแสและข้อมูล ไม่พบเงื่อนงำ” แคสเปอร์สกี้ แลป คาดการณ์ทิศทางภัยไซเบอร์ ปี 2017

18:17 , , , ,
     เมื่อปี 2016 แคสเปอร์สกี้ แลปค้นพบว่า APT สามารถสร้างทูลขึ้นมาใหม่เพื่อใช้เล่นงานเหยื่อแต่ละรายได้ทำให้ตัวบ่งชี้ช่องโหว่ หรือ ‘Indicators of Compromise’ ที่เคยเชื่อกันว่าเป็นวิธีการที่เชื่อถือได้ในการตรวจจับการติดเชื้อล้าสมัยไม่น่าเชื่อถืออีกต่อไป ทั้งนี้ตามรายงานการคาดการณ์ภัยคุกคามไซเบอร์ปี 2017 ของแคสเปอร์สกี้ แลป (Threat Predictions for 2017)
     รายงานการคาดการณ์นี้จัดเตรียมเป็นประจำทุกปีโดยกทีมผู้เชี่ยวชาญวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป หรือ Global Research and Analysis Team (ทีม GReAT) โดยอาศัยข้อมูลเชิงลึกผสานกับประสบการณ์ความเชี่ยวชาญ โดยรายการที่ปรากฎของปี 2017 นี้ประกอบด้วย ผลกระทบจากทูลตามสั่งแบบใช้แล้วทิ้ง การขยายตัวของการใช้ไอเดนติตี้ลวงของอาชญากร ความบอบบางของโลกอินเทอร์เน็ตยุคเชื่อมต่อไม่เลือกหน้า และการใช้การจู่โจมทางไซเบอร์เป็นอาวุธสงครามข้อมูล
มาถึงยุคที่ IoCs เริ่มถดถอย
ตัวระบุชี้ช่องโหว่ หรือ Indicators of Compromise (IoCs) ยืนยงเป็นหลักชี้ร่องรอยของบรรดามัลแวร์ต่างๆ มาช้านาน เป็นที่พึ่งของผู้ที่ต้องป้องกันตัวเองในการติดตามข่าวการแพร่เชื้อต่างๆ การค้นพบ ProjectSauron APT โดยทีมผู้เชี่ยวชาญวเคราะห์วิจัย หรือทีม GReAT นี้เปลี่ยนแปลงโลกทัศน์ทั้งหมด ทีมงานวิเคราะห์ว่ามีแพลตฟอร์ม bespoke malware platform ที่ซึ่งเปลี่ยนฟีเจอร์ได้ตามเหยื่อแต่ละราย ทำให้ IoCs เป็นเครื่องมือที่ไม่ครอบคลุมหนักแน่นอีกต่อไป ในการตรวจจับ เว้นเสียแต่ว่าจะต้องใช้งานควบคู่ไปกับมาตรการอื่นๆ เช่น กฎเกณฑ์ Yara ที่เข้มงวด 
การปรากฏตัวของการแพร่กระจายเชื้อแบบ ชั่วครู่ชั่วยาม
ในปี 2017 แคสเปอร์สกี้ แลปยังคาดการณ์ด้วยว่าจะมีมัลแวร์แบบ memory-resident malware หรือที่ซุ่มในหน่วยความจำ จึงไม่สนใจที่จะซ่อนตัวอยู่หลังบูทเครื่องซ้ำ ซึ่งก็จะลบมัลแวร์ออกไปจากหน่วยความจำของเครื่อง มัลแวร์เช่นนี้ มีเป้าหมายเพื่อสอดแนมข้อมูลสำคัญที่ตนสนใจสำหรับใช้ในสภาพแวดล้อมที่มีความอ่อนไหวสูง กระทำโดยอาชญากรที่มีลักษณะลับๆ ล่อๆ เลี่ยงการเป็นที่สงสัยหรือถูกจับได้
“ทิศทางเช่นนี้เป็นการเปลี่ยนแปลงอย่างต่อเนื่อง และน่าระทึกใจอยู่มาก แต่ผู้ที่ต้องป้องกันตนเองก็ไม่ต้องหวั่นวิตกว่าจะไม่มีหนทางอืนเหลือแล้ว เราเชื่อมั่นว่านี้คือช่วงเวลาสำคัญในการผลักดันการใช้กฎ Yara ให้เป็นที่ยอมรับใช้งานอย่างกว้างขวางยิ่งขึ้น ซึ่งจะเปิดทางให้เหล่านักวิจัยสามารถทำการสแกนตรวจหาได้ครอบคลุมทั่วทั้งองค์กร ตรวจจับและระบุร่องรอยในแบบไบนารีที่หลบนิ่งอยู่ และยังสแกนหน่วยความจำเพื่อตรวจหาแม้เศษเสี้ยวของการจู่โจมที่แม้จะผ่านมาแล้วก็ตาม การแพร่กระจายเชื้อมัลแวร์ที่ไม่อยู่นาน (Ephemeral infections) เช่นนี้ตอกย้ำความจำเป็นสำหรับการแก้ปัญหาแบบไม่มีแนวทางตายตัวและต้องเป็นในเชิงรุกและเชี่ยวชาญด้วยประสบการณ์ ตามที่แอนตี้มัลแวร์โซลูชั่นขั้นแอดว้านซ์ควรจะต้องเป็นและมี” ฮวน อานเดรส แกร์เรโร่-ซาด ผู้เชี่ยวชาญด้านความปลอดภัยอาวุโส ทีมวิเคราะห์และวิจัยระดับโลก (Global Research and Analysis Team) แคสเปอร์สกี้ แลป กล่าว
คาดการณ์ภัยไซเบอร์ตัวเอ้ของปี 2017
  • การระบุแหล่งที่มาของมัลแวร์จะสร้างสถานการณ์ความระส่ำระสายผ่านการแพร่กระจายของการแจ้งเตือนลวง (false flags): ขณะที่อาชญากรไซเบอร์มีบทบาทมากขึ้นในวงการความสัมพันธ์ระหว่างประเทศ การระบุแหล่งที่มาของภัยไซเบอร์จึงกลายมาเป็นประเด็นร้อนในการตัดสินใจทางการเมือง การติดตามแหล่งที่มาอาจส่งผลให้อาชญากรเร่งทำการร้ายต่อโครงสร้างพื้นฐาน หรือเทขายทูลในตลาดเปิด หรือหันไปจับมือกับโอเพ่นซอร์สและคอมเมอร์เชียลมัลแวร์เพื่อการค้า ไม่ต้องพูดถึงการแพร่กระจายของการแจ้งเตือนที่เป็นกลลวง (รู้จักกันในนาม false flags) เพื่อกวนสถานการณ์ให้ขุ่นปิดร่องรอยการติดตามแหล่งที่มานั่นเอง
  • สงครามข้อมูลมาถึงแล้ว: ในปี 2016 โลกเริ่มที่จะเผชิญกับการโจรกรรมข้อมูลเพื่อเป้าหมายที่ก้าวร้าวรุนแรงบางประการ ซึ่งพบว่ามีแนวโน้มเพิ่มสูงขึ้นในปี 2017 และมีความเสี่ยงว่าอาชญากรจะพยายามหาประโยชน์จากผู้คน ที่มักจะเต็มใจยอมรับข้อมูลบางอย่าง คือการบงการหรือเจาะจงเลือกใช้ประโยชน์จากข้อมูลหลอกล่อเป้าหมายนั่นเอง
  • นอกจากที่ได้กล่าวมาแล้ว แคสเปอร์สกี้ แลป ยังคาดว่าจะได้เห็นการปรากฎตัวของแฮกเกอร์วิจิลันเต้ (Vigilante) ผู้ถือเป็นธุระทำหน้าที่แฮคข้อมูลและนำมาเปิดเผยต่อสาธารณชนเพื่อสิ่งที่ดีกว่า
  • ความเปราะบางต่อการถูกลอบก่อวินาศกรรมบ่อนทำลายทางไซเบอร์ที่เพิ่มสูงขึ้น: ขณะที่ระบบการผลิตอุตสาหกรรมและโครงสร้างพื้นฐานสำคัญล้วนต่อเชื่อมเข้ากับอินเทอร์เน็ต แท้จริงแล้วยังเปราะบางและขาดการป้องกันที่ดี เป็นช่องทางให้เกิดความเสียหายหรือเสียระบบ ซึ่งเป็นช่องโหว่ที่ยั่วใจบรรดาอาชญากรไซเบอร์อย่างมาก โดยเฉพาะพวกที่มีทักษะชั้นแอดว้านซ์และในช่วงความตึงเครียดทางภูมิศาสตร์การเมือง
  • การจารกรรมก้าวสู่อุปกรณ์โมบายล์: แคสเปอร์สกี้ แลป คาดการณ์ว่าจะมีเคมเปญจารกรรมโดยมีเป้าหมายที่อุปกรณ์โมบายล์เพิ่มขึ้น โดยใช้ประโยชน์จากการที่อุตสาหกรรมระบบความปลอดภัยยังไล่ตามไม่ทันระบบปฏิบัติการโมบายล์ จึงยังไม่สามารถวิเคราะห์หาหลักฐานได้อยู่หมัด
  • การที่การจู่โจมวงการเงินนั้นกลายมาเป็นสินค้าเพื่อการซื้อขาย (Commoditization): แคสเปอร์สกี้ แลปคาดการจู่โจมเช่นการโจรกรรม SWIFT เมื่อปี 2016 จะกลายมาเป็นสินค้าพิเศษที่นำมาเสนอขายตามฟอรั่มซื้อขายในตลาดมืด หรือมาในรูปแบบแผนการร้ายเพื่อบริการ (as-a-service schemes)
  • ช่องโหว่ในระบบการชำระเงิน: ขณะที่ระบบชำระเงินเริ่มแพร่หลายเป็นที่นิยม แคสเปอร์สกี้ แลปคาดว่าจะเป็นที่สนใจของทางอาชญากรมากขึ้นเช่นกัน
  • มาถึงยุคเสื่อมของความไว้วางใจในแวดวงแรนซั่มแวร์: แคสเปอร์สกี้ แลป คาดการณ์ว่าแรนซั่มแวร์จะขยายตัวต่อเนื่อง แต่ว่าความไว้วางใจระหว่างเหยื่อและผู้จู่โจมจะลดน้อยลง เพราะกลุ่มอาชญากรระดับล่างมากขึ้นด้วยมองว่าระบบการชำระเงินจะส่งผลคืนมาเป็นข้อมูล นี่อาจเป็นจุดเปลี่ยนที่ทำให้ผู้คนหันมาชำระเงินเต็มจำนวนก็เป็นได้
  • ความพร้อมของอุปกรณ์ในโลกอินเทอร์เน็ตที่ประชากรหนาแน่น: ขณะที่ผู้ผลิตอุปกรณ์ IoT ส่งอุปกรณ์ที่ไม่มีระบบความปลอดภัยออกวางตลาดอย่างต่อเนื่องและก่อให้เกิดปัญหาในวงกว้าง จะมีความเสี่ยงกับวิจิลันเต้แฮคเกอร์ที่ถือวิสาสะเข้ามาปลดอุปกรณ์จากระบบเชื่อมต่อได้อย่างใจ
  • อาชญากรสนใจโฆษณาดิจิทัล: ในปีต่อๆ ไปเราจะเริ่มได้เห็นทูลเพื่อการติดตามและวางเป้าหมาย ถูกใช้งานในวงการโฆษณามากขึ้นเพื่อสอดส่องผู้ทำกิจกรรมและผู้ที่คัดค้าน เช่นเดียวกับ แวดวงโฆษณา ซึ่งเป็นเป้าหมายชั้นเลิศในการเก็บโปรไฟล์เป้าหมายผ่าน IPs ประวัติการใช้เบราเซอร์ ความสนใจสิ่งที่เรียกดู และล็อกอิน เหล่านี้จะถูกนำมาใช้โดยตัวก่อวินาศกรรมขั้นแอดว้านซ์ เพื่อเจาะกลุ่มเป้าหมายให้ได้อย่างแม่นยำ และปกป้องทูลคิทที่นำมาใช้ในการก่อการได้อีกด้วย
สามารถอ่านรายการฉบับสมบูรณ์ “Kaspersky Lab Threat Predictions for 2017” ได้ที่
https://securelist.com/analysis/kaspersky-security-bulletin/76660/kaspersky-security-bulletin-predictions-for-2017
สนใจอ่านรายงานการคาดการณ์ของปี 2016 ได้ที่
https://securelist.com/analysis/kaspersky-security-bulletin/72771/kaspersky-security-bulletin-2016-predictions/

     ข้อมูลสนับสนุน: YARA คือทูลที่ใช้ในการแกะไฟล์ที่มีมัลแวร์ หรือแกะรอยรูปแบบกิจกรรมที่น่าสงสัยบนระบบหรือบนเน็ยเวิร์ค ซึ่งจะมีความละม้ายคล้ายคลึงกัน กฎ YARA — โดยพื้นฐานคือ เสริช์สตริงช่วยให้นักวเคราะห์ทำการค้นหา จัดกลุ่ม และจัดหมวดหมู่ตัวอย่างมัลแวร์ที่เกี่ยวข้องกัน และมองหาความเชื่อมโยงระหว่างกัน เพื่อทำผังความเชื่อมโยงมัลแวร์ และเปิดโปงกลุ่มการจู่โจมซึ่งมิฉะนั้นอาจจะเล็ดลอดไปโดยไม่เป็นที่สังเกต
###
เกี่ยวกับแคสเปอร์สกี้ แลป
     แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก (deep threat intelligence) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270,000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com