ภัยไซเบอร์มุ่งคุกคามที่แอพที่มีผู้ใช้งานและในเวลาที่ผู้ใช้ออนไลน์

รายงานภูมิทัศน์ด้านภัยคุกคามของฟอร์ติเน็ตเผยเกือบ 60% ของภัยคุกคามที่แบ่งปันโดเมนอย่างน้อยหนึ่งโดเมนบ่งชี้ว่าบอทเน็ตส่วนใหญ่ใช้โครงสร้างพื้นฐานที่มีอยู่แล้วมากขึ้น

กรุงเทพฯ, 30 พฤษภาคม 2562 – นายฟิล เควด ประธานเจ้าหน้าที่ด้านความปลอดภัยข้อมูล แห่งฟอร์ติเน็ต กล่าวว่า

“ในไตรมาสนี้ เรายังคงเห็นขบวนการอาชญากรไซเบอร์ที่สะท้อนให้เห็นถึงกลยุทธ์และวิธีการของผู้คุกคามในระดับประเทศ และยังเห็นเป้าหมายที่เป็นอุปกรณ์และเครือข่ายที่อาชญากรกำลังเล็งอยู่  องค์กรต่างๆ จึงจำเป็นต้องทบทวนกลยุทธ์ของตนเสียใหม่ เพื่อให้ใช้งานในอนาคตได้ดีกว่าและจัดการความเสี่ยงทางไซเบอร์ได้ดีกว่า ขั้นตอนแรกที่สำคัญนั้นคือ ต้องบริหารเรื่องความปลอดภัยทางไซเบอร์ให้เป็นเชิงวิทยาศาสตร์ – คือทำสิ่งพื้นฐานให้ดีที่สุด – ซึ่งต้องใช้ประโยชน์จากความเร็วและการเชื่อมต่อของโครงสร้างด้านความปลอดภัยเพื่อการป้องกันที่ดีที่สุด ทั้งนี้ การประยุกต์ใช้เครือข่ายผืนผ้าหรือ Fabric ด้านความปลอดภัย การทำ Micro และ Macro segmentation ในระบบเครือข่าย และการใช้ประโยชน์จากเทคโนโลยีแมชชีนเลิร์นนิ่งและระบบอัตโนมัติเพื่อต่อยอดสร้างเอไอนั้น จะสามารถเป็นอาวุธสำคัญ ต้อนให้ผู้ประสงค์ร้ายถอยกลับออกไปได้”

ฟอร์ติเน็ต (Fortinet®, NASDAQ: FTNT) ผู้นำระดับโลกด้านโซลูชั่นการรักษาความปลอดภัยทางไซเบอร์ที่ครอบคลุมครบวงจรแบบบูรณาการและอัตโนมัติประกาศในวันนี้ ถึงรายงานภูมิทัศน์ด้านภัยคุกคามทั่วโลกรายไตรมาสล่าสุด (Quarter 1 – 2019) ซึ่งพบว่าอาชญากรไซเบอร์ยังคงพัฒนาวิธีการโจมตีที่ซับซ้อนต่อไป ตั้งแต่การเรียกค่าไถ่แรนซัมแวร์และการเข้ารหัสที่กำหนดเองสำหรับการโจมตี (Custom coding) ไปจนถึงเทคนิคการอยู่รอดของภัยได้ด้วยตนเอง (Living-off-the-land: LoTL) หรือการแบ่งปันโครงสร้างพื้นฐานเพื่อเพิ่มโอกาสในการคุกคามภัย

ท่านสามารถอ่านรายละเอียดของดัชนีภัยคุกคามและดัชนีย่อยสำหรับภัยเอ็กซปลอยท์ (Exploits)  มัลแวร์ (Malware) และบอทเน็ต (Botnets) รวมถึงประเด็นที่สำคัญบางประการสำหรับผู้บริหาร CISO โปรดอ่านที่บล็อกนี้ 

ทั้งนี้ ผลที่ค้นพบจากรายงานที่เด่นๆ มีดังต่อไปนี้:

ทราฟฟิคที่เกิดก่อนและหลังการถูกคุกคาม: ผลจากการวิเคราะห์ที่ศีกษาว่าผู้มีพฤติกรรมคุกคามดำเนินการตามขั้นตอนของการโจมตีของตนในวันต่างๆ ในสัปดาห์ แสดงให้เห็นว่าอาชญากรไซเบอร์กำลังมองหาโอกาสที่เป็นไปได้สูงสุดอยู่ตลอดเวลา ทั้งนี้ เมื่อเปรียบเทียบกับจำนวนของการกรองเว็บในการกำจัดภัยไซเบอร์ใน 2 ขั้นตอนในช่วงวันธรรมดาและวันหยุดสุดสัปดาห์แล้ว พบว่า มีแนวโน้มว่าเกิดพฤติกรรมก่อนถูกภัยประนีประนอม (Pre-compromise activity) ขึ้นประมาณ 3 ครั้งในช่วงสัปดาห์การทำงาน ในขณะที่พฤติกรรมหลังภัยประนีประนอม (Post-compromise activity) นั้นมีจำนวนน้อยกว่า ทั้งนี้เนื่องมาจาก กิจกรรมการคุกคามที่เป็นประเภทแสวงหาผลประโยชน์มักจะต้องการการลงมือกระทำอย่างใดอย่างหนึ่ง เช่น เหยื่อต้องคลิกที่อีเมลหลอกลวง ซึ่งในทางตรงกันข้าม กิจกรรมประเภทคำสั่งและการควบคุม (Command-and-Control: C2) จะไม่ต้องการให้ใครลงมือกระทำใดๆ และอันที่จริงสามารถเกิดขึ้นได้ทุกเวลา  ซึ่งอาชญากรไซเบอร์เข้าใจข้อแตกต่างนี้ จึงลงมือคุกคามเพื่อเพิ่มโอกาสในระหว่างสัปดาห์ซึ่งเป็นช่วงที่มีกิจกรรมทางอินเทอร์เน็ตมากที่สุด ดังนั้น การแยกแยะวิธีควรปฏิบัติของวิธีการกรองเว็บระหว่างในวันธรรมดาและวันหยุดสุดสัปดาห์จึงเป็นสิ่งที่สำคัญ เพื่อให้สามารถเข้าใจกระบวนการโจมตีของภัยต่างๆ ได้  

ภัยคุกคามส่วนใหญ่แบ่งปันใช้โครงสร้างพื้นฐานร่วมกัน: การที่ภัยคุกคามที่แตกต่างกันแบ่งปันโครงสร้างใช้ด้วยกันนั้นแสดงให้เห็นถึงเทรนด์แนวโน้มที่น่าจับตามองบางประการ  ภัยคุกคามบางอย่างใช้ประโยชน์จากโครงสร้างพื้นฐานที่ใช้กันแพร่หลายมากกว่าที่จะใช้โครงสร้างพื้นฐานเฉพาะ พบว่าภัยจำนวนเกือบ 60% ได้ใช้โดเมนร่วมกันอย่างน้อยหนึ่งโดเมน ซึ่งเป็นการบ่งชี้ว่าบอทเน็ตส่วนใหญ่นิยมใช้โครงสร้างพื้นฐานที่มีอยู่แล้วมากขึ้น ตัวอย่างของพฤติกรรม เช่น การใช้โทรจันชื่อ IcedID ที่ตอบสนองคำถามที่ว่า “จะซื้อหรือสร้างใหม่ทำไม เมื่อคุณสามารถยืมได้” นอกจากนี้ เมื่อภัยคุกคามแบ่งปันใช้โครงสร้างพื้นฐานกันแล้ว ภัยมักใช้โครงสร้างนั้นในขั้นตอนการคุกคามด้วยเช่นกัน  อย่างไรก็ตาม พบว่าเมื่อภัยคุกคามได้ใช้ประโยชน์จากโดเมนเพื่อหาประโยชน์ในตอนต้นแล้ว จากนั้นในช่วงการรับส่งข้อมูลแบบ C2 ภัยจะไม่ใช้ประโยชน์จากโดเมนซ้ำอีก  ซึ่งการค้นพบนี้ชี้ให้เห็นว่าโครงสร้างพื้นฐานมีบทบาทหรือหน้าที่เฉพาะในการคุกคาม  ดังนั้น การทำความเข้าใจว่าภัยใดแบ่งปันโครงสร้างใด ที่จุดการคุกคามใดนั้น จะช่วยให้องค์กรสามารถคาดการณ์ถึงวิวัฒนาการที่เป็นไปได้ของมัลแวร์หรือบอทเน็ตในอนาคตได้

การบริหารคอนเท้นต์ต้องการการจัดการที่ต่อเนื่อง: ผู้ประสงค์ร้ายมักเปลี่ยนเป้าหมายในการคุกคามจากโอกาสหนึ่งไปสู่โอกาสต่อไปในอีกกลุ่มหนึ่ง โดยมุ่งใช้ประโยชน์จากช่องโหว่ที่ถูกโจมตีและจุดที่เทคโนโลยีไม่ราบรื่น เพื่อขยายโอกาสคุกคามอย่างรวดเร็ว ตัวอย่างของเทคโนโลยีใหม่ล่าสุดที่เหล่าอาชญากรไซเบอร์สนใจมาก ได้แก่ แพลตฟอร์มด้านเว็บต่างๆ ที่ช่วยให้ผู้บริโภคและองค์กรธุรกิจสามารถสร้างตัวตนบนเว็บได้ง่ายขึ้น รวมไปถึงปลั๊กอินของบุคคลที่ 3 ที่เกี่ยวข้องในการใช้งาน สิ่งเหล่านี้เป็นการตอกย้ำว่า จำเป็นต้องใช้แพทช์ในทันที เพื่อให้เข้าใจในโลกของการหาประโยชน์จากช่องโหว่ เพื่อให้ก้าวอยู่ข้างหน้าภัยทั้งปวง 

แรนซัมแวร์ยังจะไม่หายไปง่ายๆ : โดยทั่วไปแล้ว จะพบจำนวนเป้าหมายที่ถูกโจมมากขึ้นทำให้อัตราคุกคามของแรนซัมแวร์น้อยลง แต่ถึงกระนั้น แรนซัมแวร์ยังจะไม่หายไปง่ายๆ  ยิ่งไปกว่านั้น พบว่าการโจมตีที่เดิมหลายๆ ครั้งนั้นเป็นการมุ่งโจมตีเป้าหมายที่มีมูลค่าสูงและเพื่อให้สิทธิ์แก่ผู้คุกคามให้เข้าถึงเครือข่ายได้  เช่น LockerGoga เป็นตัวอย่างของแรนซัมแวร์ที่ตั้งเป้าหมายในการโจมตีแบบหลายขั้นตอน  ตัว LockerGoga แตกต่างเหนือจากแรนซัมแวร์อื่นๆ ในแง่ของความซับซ้อนในการทำงาน  กล่าวคือ ในขณะที่แรนซัมแวร์ส่วนใหญ่ใช้วิธีการหลอกให้งงเพื่อหลีกเลี่ยงการตรวจพบ แต่ LockerGoga กลับใช้วิธีการหลอกนั้นเพียงเล็กน้อยเมื่ออยู่ในขั้นตอนวิเคราะห์ภัยคุกคาม สิ่งนี้ชี้ให้เห็นว่ามัลแวร์จะไม่ถูกตรวจพบได้โดยง่าย นอกจากนี้ แรนซัมแวร์ชื่อ Anatova มีเป้าหมายหลักเช่นเดียวกับแรนซัมแวร์อื่นๆ คือ การเข้ารหัสไฟล์ให้ได้มากที่สุดเท่าที่จะทำได้ในระบบของเหยื่อ ยกเว้นว่าจะหลีกเลี่ยงการเข้ารหัสสิ่งที่อาจส่งผลกระทบต่อเสถียรภาพของระบบที่กำลังคุกคามอยู่  นอกจากนี้ Anatova ยังสามารถหลีกเลี่ยง ไม่คุกคามคอมพิวเตอร์ตัวที่ดูเหมือนว่ากำลังถูกใช้ในการวิเคราะห์มัลแวร์หรือถูกใช้งานเป็นกับดักลวงพวกแฮกเกอร์อยู่ ดังนั้น แรนซัมแวร์อันแสนฉลาดทั้ง 2 นี้แสดงให้เห็นว่าองค์กรผู้นำด้านความปลอดภัยยังคงต้องให้ความสำคัญในเรื่องการใช้แพ็ตช์และสำรองข้อมูลให้ปลอดภัยจากแรนซัมแวร์ที่พบอยู่แล้ว และยังต้องตระหนักว่า แรนซัมแวร์ที่มีวิธีคุกคามอันเป็นเอกลักษณ์ไปยังเป้าหมายที่ต้องการ มักต้องการวิธีการป้องกันที่ดียิ่งขึ้นอีกด้วย

ทูลส์และเคล็ดลับเพื่อการอยู่รอดได้ด้วยตนเอง: เนื่องจากผู้มีพฤติกรรมคุกคามมักจะมีพฤติกรรมไปในทางเดียวกับเหยื่อของตน ตั้งแต่การคุกคามเข้ามาสำเร็จในครั้งแรกและจะพัฒนาต่อไป ทั้งนี้ ผู้มีพฤติกรรมคุกคามจะใช้ประโยชน์จากทูลส์แบบ Dual-use หรือทูลส์ที่ติดตั้งไว้แล้วในระบบของเหยื่อเป้าหมายเพื่อโจมตีครั้งต่อๆ ไป กลยุทธ์นี้เรียกว่า “การอยู่รอดได้ด้วยตนเอง (Living Off the Land: LoTL) จะช่วยให้แฮกเกอร์สามารถซ่อนกิจกรรมของตนในกระบวนการที่ปกติถูกต้องและทำให้ตรวจพบได้ยากขึ้น ทูลส์เหล่านี้ทำให้การระบุแหล่งที่มาของการโจมตียากยิ่งขึ้น ซึ่งเป็นที่น่าเสียดายที่ผู้ประสงค์ร้ายสามารถใช้ทูลส์ที่ถูกกฎหมายในการบรรลุเป้าหมายของตนและหลบซ่อนตัวได้ องค์กรจึงจำเป็นต้องจำกัดการเข้าถึงทูลส์ที่ใช้ในการดูแลระบบและใช้บันทึกรายการต่างๆ ในสภาพแวดล้อมของพวกเขา

ความต้องการข่าวกรองด้านภัยคุกคามที่เป็นแบบไดนามิกเชิงรุก

การปรับปรุงศักยภาพด้านการป้องกันภัยคุกคามขององค์กรไม่เพียงแต่เพื่อวัตถุประสงค์ในการป้องกันเทรนด์ของภัยคุกคามในปัจจุบันเท่านั้น แต่ยังเป็นการเตรียมความพร้อมสำหรับการโจมตีที่มีวิวัฒนาการและภัยที่ทำงานอย่างอัตโนมัติ ซึ่งการปรับปรุงศักยภาพด้านการป้องกันนี้จำเป็นต้องใช้ข่าวกรองด้านภัยคุกคามที่เป็นแบบไดนามิกเชิงรุกและสามารถใช้ได้ทั่วทั้งเครือข่ายแบบกระจาย  ทั้งนี้ ข้อมูลข่าวกรองด้านภัยคุกคามที่เป็นแบบไดนามิกนี้จะสามารถช่วยระบุแนวโน้มวิวัฒนาการของวิธีการโจมตีที่มุ่งเป้าไปที่พื้นผิวแบบดิจิตอลที่มีความเสี่ยงสูง อีกทั้งยังจะช่วยลำดับความสำคัญของวิธีป้องกันเมื่อพบว่าผู้ที่กำลังพยายามคุกคามเข้ามาที่จุดนั้นๆ ได้   แต่ถ้าองค์กรไม่สามารถมีอุปกรณ์รักษาความปลอดภัยที่สามารถโต้ตอบภัยได้อย่างเรียลไทม์ได้ จะทำให้ข้อมูลข่าวกรองด้านภัยคุกคามนั้นมีค่าน้อยลงและมีประโยชน์น้อยลง   ฟอร์ติเน็ตพบว่า เครือข่ายผืนผ้าความปลอดภัยซีเคียวริตี้แฟบริคที่มีคุณสมบัติ ทำงานแบบผสานรวมและอัตโนมัติ อย่างกว้างขวางครอบคลุมครบเท่านั้นที่จะสามารถให้การป้องกันเครือข่ายทั้งหมดได้ ตั้งแต่ไอโอทีไปจนถึงขอบเครือข่ายส่วนเอจ แกนของเครือข่ายและไปยังมัลติคลาวด์ด้วยความเร็วสูงและประสิทธิภาพสูง   

ภาพรวมของรายงานและดัชนีชี้วัด

รายงานภูมิทัศน์ด้านภัยคุกคามรายไตรมาสนี้ เป็นรายงานประจำไตรมาสที่ 1 ปีคศ. 2019 ซึ่งแสดงผลจากการวิเคราะห์ข่าวกรองด้านภัยคุกคามที่ได้มาจากอุปกรณ์เซ็นเซอร์ของฟอร์ติเน็ตที่ติดตั้งทั่วโลก และรวบรวมโดยศูนย์ฟอร์ติการ์ตแล็ปส์ (FortiGuard Labs) ข้อมูลจากการวิจัยนี้เป็นมุมมองทั้งในระดับโลกและในระดับภูมิภาค นอกจากนี้ ในรายงานนี้ยังมีดัชนี Fortinet Threat Landscape (TLI) ซึ่งประกอบด้วยดัชนีเฉพาะสำหรับภัยสำคัญ 3 ประเภท อันได้แก่ เอ็กซปลอยท์ (Exploits) มัลแวร์ (Malware) และบอทเน็ต (Botnets) ซึ่งจะแสดงให้เห็นความหนาแน่นและปริมาณในแต่ละไตรมาส พร้อมรายละเอียดประกอบอื่นๆ ของภูมิทัศน์อีกด้วย

สำหรับสถิติในประเทศไทย ฟอร์ติการ์ตแล็ปส์รายงาน 5 อันดับของภัยคุกคามแต่ละ 3 ประเภทนั้น สถิติของภัยเอ็กซปลอยท์ แสดงให้เห็นว่าผู้โจมตีพยายามสอดส่องระบุหาระบบที่มีช่องโหว่และพยายามใช้ช่องโหว่เหล่านั้นคุกคามเข้ามา  ทั้งนี้ การโจมตีช่องโหว่ที่ได้รับความนิยมสูงสุดคือการโจมตีที่เกี่ยวข้องกับสคริปต์ที่เข้ารหัสโดยใช้ JavaScript ตามด้วยการโจมตีช่องโหว่ใน ntpsec (NTPsec.ntpd.ctl_getitem.Out.of.Bounds.Read) ที่ได้เปิดเผยต่อสาธารณะไปเมื่อเดือนมกราคมที่ผ่านมา ถัดไปเป็นการโจมตีเป้าหมายเซิร์ฟเวอร์ที่มีช่องโหว่ของ Apache Struts 2 ที่เกี่ยวข้องกับเหตุการณ์ความไม่ปลอดภัยในปี 2017 Equifax รวมถึง กล้อง AVTech IP ที่มีช่องโหว่และการโจมตีที่มุ่งเป้าไปที่ช่องโหว่ DoS ใน Foxit Quick PDF Library

มัลแวร์จะอยู่ในขั้นตอนเกิดการโจมตี มัลแวร์ที่แพร่หลายมากที่สุด 5 อันดับแรกเกี่ยวข้องกับ Riskware รวมถึงระบบ ปฏิบัติการ Windows 32-bit ที่เป็นอันตรายและ Cryptominers ที่ใช้ JavaScript

บอทเน็ตแสดงให้เห็นช่วงการรับส่งข้อมูลแบบส่งคำสั่งและการควบคุม (Command-and Control: C2) ระหว่างระบบภายในที่ถูกบุกรุกและโฮสต์ภายนอกที่เป็นอันตราย ทั้งนี้ พบบอทเน็ตมากที่สุดคือ Bladabindi ซึ่งเป็นโทรจันที่ใช้ในการเข้าถึงระยะไกลอันเป็นที่รู้จักกันมาหลายปีแล้ว ตามด้วยบอทเน็ตชื่อ Andromeda, Gh0st.RAT, Sality และ Necurs

###

เกี่ยวกับฟอร์ติเน็ต

ฟอร์ติเน็ต (NASDAQ: FTNT) ปกป้ององค์กร ผู้ให้บริการ และหน่วยงานรัฐบาล ขนาดใหญ่ทั่วโลกให้พ้นจากภัยไซเบอร์ ฟอร์ติเน็ตช่วยให้ลูกค้าสามารถมีข้อมูลเชิงลึกในภัยคุกคาม และสร้างการป้องกันที่ชาญฉลาดให้ธุรกิจลูกค้าดำเนินไปอย่างราบรื่น เพื่อตอบสนองความต้องการด้านประสิทธิภาพที่เพิ่มขึ้นตลอดเวลาต่อเครือข่ายไร้พรมแดนในวันนี้และในอนาคต  ทั้งนี้ เครือข่ายด้านความปลอดภัยซีเคียวริตี้แฟบลิคอันเป็นสถาปัตยกรรมใหม่จากฟอร์ติเน็ตเท่านั้นที่สามารถมอบคุณสมบัติด้านความปลอดภัยโดยจะไม่ยอมแพ้แก่ภัยที่เข้ามา ไม่ว่าจะเป็นในเครือข่าย แอปพลิเคชั่น คลาวด์ โมบาย หรือไอโอที ฟอร์ติเน็ตดำรงตำแหน่งเป็น #1 ในการจัดส่งอุปกรณ์ด้านความปลอดภัยสู่ตลาดโลกมากที่สุด  และมีลูกค้ามากกว่า 400,000 รายทั่วโลกไว้วางใจฟอร์ติเน็ตให้ปกป้องธุรกิจของตน

รู้จักฟอร์ติเน็ตเพิ่มเติมได้ที่ www.fortinet.com   และ The Fortinet Blog  หรือ FortiGuard Labs  

About naruethai

Check Also

รายงานชี้ระดับช่องโหว่ไซเบอร์ทั่วโลก กระตุ้นองค์กรเพิ่มนวัตกรรมรับมือการรักษาความปลอดภัย

การจัดอันดับข้อมูล “ไซเบอร์ซีเคียวริตี้” ขององค์กรครั้งล่าสุดเผยให้เห็นถึงภาคอุตสาหกรรมที่ถูกพุ่งเป้าโจมตีมากที่สุดพร้อมแนวทางการรับมือภัยคุกคามที่มีการพัฒนาอยู่ตลอดเวลาได้อย่างมีประสิทธิภาพ กรุงเทพฯ : 17 พฤษภาคม 2562 – ไดเมนชั่น ดาต้า บริษัทผู้จัดจำหน่ายและให้บริการแบบครบวงจรด้านเทคโนโลยีสารสนเทศระดับโลก ทั้งการออกแบบ ติดตั้ง การให้คำปรึกษา …

NTT รายงานภัยคุกคามข้อมูลทั่วโลก ปี 2019 ภาคการเงินถูกโจมตีหนักสุดในช่วง 6 ปี

รายงานของเอ็นทีที ซีเคียวริตี้ แสดงให้เห็นว่าภาคการศึกษาเป็นกลุ่มใหม่ใน 5 อุตสาหกรรมที่ถูกโจมตีมากที่สุด รวมถึงการลงทุนในสกุลเงินดิจิทอล (coin) เป็นต้นเหตุใหญ่ของภัยคุกคาม กรุงเทพฯ – 29 เมษายน 2562 : NTT …