Fortinet และ IDC เผยครึ่งแรกของปี 2021 พบแรนซัมแวร์เพิ่มขึ้น 10 เท่า

Fortinet

ฟอร์ติเน็ต (Fortinet) และ ไอดีซี (IDC) แนะองค์กรในเอเชียแปซิฟิกพัฒนากลยุทธ์ด้านความปลอดภัยไซเบอร์เพื่อเพิ่มศักยภาพให้องค์กรหลังพบแรนซัมแวร์เพิ่มขึ้น 10 เท่า…

Fortinet และ IDC เผยครึ่งแรกของปี 2021 พบ แรนซัมแวร์เพิ่มขึ้น 10 เท่า

องค์กรทั่วเอเชียแปซิฟิกต่างเร่งปฏิรูปด้านดิจิทัลอย่างรวดเร็วเพื่อรับมือกับการระบาดของไวรัสครั้งใหญ่ที่เกิดขึ้นทั่วโลก แต่อาจยังมีความล้าช้าอันเนื่องจากผู้บริหารในองค์กรจัดลำดับความสำคัญทางธุรกิจ และกลยุทธ์ทางเทคโนโลยีภายในองค์กรยังไม่ตรงกัน

แต่การจัดวางการรักษาความปลอดภัยแบบองค์รวมอย่างระมัดระวัง และความร่วมมือกับพันธมิตรที่เหมาะสมจะช่วยให้องค์กรสามารถสร้างศักยภาพทางดิจิทัลที่ตนต้องการได้อย่างรวดเร็ว ล่าสุด ไอดีซี ผู้ให้บริการชั้นนำด้านการวิจัย และคำแนะนำด้านไอทีระดับโลกได้ออกรายงานฉบับใหม่ ซึ่งแสดงให้เห็นถึงการจัดลำดับความสำคัญทางธุรกิจ

และทางเทคโนโลยีที่แตกแต่งกันอย่างชัดเจน ในขณะที่ฟอร์ติเน็ต ผู้นำด้านการรักษาความปลอดภัยทางไซเบอร์ได้แสดงความมุ่งมั่นที่จะช่วยให้ผู้บริหารด้านความปลอดภัย (CISO) และทีมงานขององค์กรประสบความสำเร็จในโลกนิยมดิจิทัลเป็นอันดับหนึ่ง (Digital-first world) ในขณะนี้

รายงาน หยุดการโต้ตอบ แล้วมาเริ่มวางแผนกลยุทธ์ จากไอดีซี (เดือนสิงหาคม พ.ศ. 2564) หรือ IDC InfoBrief : Stop Reacting, Start Strategizing (August 2021, IDC Doc #AP241253IB) ซึ่งได้รับการสนับสนุน โดย ฟอร์ติเน็ต นั้น ได้ระบุถึงแนวโน้ม ความเสี่ยง และความท้าทายมีเอกลักษณ์ที่เกิดขึ้นใน 6 ประเทศทั่วภูมิภาค ควบคู่ไปกับลำดับความสำคัญด้านธุรกิจและเทคโนโลยีที่ยังไม่ตรงกัน

ลำดับความสำคัญที่ยังไม่ตรงกัน

จากการวิจัยของ ไอดีซี พบว่า ผู้บริหารระดับสูง (CxOs) ให้ความสำคัญไปที่การสร้างความยืดหยุ่น/ลดความเสี่ยง (61%) และการลดต้นทุน/การใช้การลงทุนให้เหมาะสม (63%) เป็นลำดับความสำคัญสูงสุดทางธุรกิจ ในขณะที่ทีมเทคโนโลยีเชื่อมั่นว่าการลงทุนด้านการรักษาความปลอดภัยด้านไอที และการเปลี่ยนไปใช้โมเดลไฮบริดคลาวด์

เป็นแนวทางที่ได้รับการพิสูจน์แล้วว่าจะสามารถแก้ไขปัญหาความเสี่ยงที่ธุรกิจอาจหยุดชะงักและด้านความปลอดภัยไซเบอร์ได้ดี อย่างไรก็ตาม ไอดีซีพบว่าการนำเทคโนโลยีด้านความปลอดภัยมาใช้เพื่อลดความเสี่ยง เป็นหนึ่งในลำดับความสำคัญด้านเทคโนโลยีที่ต่ำที่สุด (33%)

Fortinet

CISO ในทุกประเทศต้องเผชิญกับความท้าทายในการสรรหาบุคลากรที่มีความสามารถ ซึ่งในทางตรงกันข้าม พบว่าผู้บริหารให้ความสำคัญด้านการปรับปรุงความสามารถในการดึงดูดและรักษาพนักงานที่ดีในปีพ.ศ. 2565 นั้นอยู่ในลำดับที่ 7  

ภายในความขัดแย้งของการจัดลำดับความสำคัญที่ไม่ตรงกันดังกล่าวนั้น องค์กรจำเป็นต้องปรับกลยุทธ์ด้านความปลอดภัยทางไซเบอร์มาพัฒนาเอื้อเสริมธุรกิจ และบรรลุถึงศักยภาพทางธุรกิจและทางเทคโนโลยีอันแท้จริงร่วมกัน

ชาญวิทย์ อิทธิวัฒนะ ผู้จัดการประจำประเทศไทย ฟอร์ติเน็ต กล่าวว่า CISO ย่อมจะมีความกังวลมากถึงการรักษาธุรกิจให้ปลอดภัยท่ามกลางสถานการณ์ที่เกิดภัยคุกคามทางไซเบอร์เพิ่มขึ้นมากและพื้นผิวเสี่ยงถูกโจมตีขององค์กรขยายกว้างออกไปอยู่ตลอดเวลานี้ ผู้บริหารที่รับผิดชอบด้านเทคโนโลยีจึงจำเป็นต้องปรับกลยุทธ์

การรักษาความปลอดภัยให้สอดคล้องกับลำดับความสำคัญของผู้บริหาร Csuite อื่น ๆ อันรวมถึง การปรับค่าใช้จ่ายให้เหมาะสมยิ่งขึ้น สนับสนุนธุรกิจให้เจริญเติบโต และช่วยพัฒนาความยืดหยุ่นของธุรกิจ ทั้งนี้ CISO ที่ทำงานร่วมกับพันธมิตรที่เหมาะสมจะสามารถจัดลำดับความสำคัญของผู้บริหารให้ตรงกันได้

และขจัดปัญหาด้านการสรรหาบุคลากรด้านไอที จะช่วยให้องค์กรสามารถกำหนดกลยุทธ์ความปลอดภัยทางไซเบอร์แบบองค์รวมได้ดีที่สุด และประสบความสำเร็จในด้านปฏิบัติการด้นความปลอดภัยไซเบอร์ต่าง ๆ 

ภูมิทัศน์ภัยคุกคามในประเทศไทย

จากรายงานของไอดีซี พบว่าความกังวลอันดับหนึ่งขององค์กรในประเทศไทยมุ่งเน้นไปที่เครือข่ายองค์กรที่มีอยู่ (38%) และเทคโนโลยีการดำเนินงานอันรวมถึงระบบสาธารณูปโภค (34%) นอกจากนี้ ยังเป็นที่น่าสังเกตว่า ถึงแม้ว่าคณะรัฐมนตรีมีมติเห็นให้ขยายเวลาบังคับใช้พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไปเป็นวันที่ 1 มิถุนายน 2565 แล้วก็ตาม องค์กรต่าง ๆ ยังจำเป็นจะต้องเริ่มเตรียมมาตรการที่เหมาะสมให้ทันการ

Fortinet

นอกจากนี้ จากข้อมูลภัยคุกคามอัจฉริยะจากฟอร์ติการ์ดแล็บส์ในช่วงครึ่งแรกของปีนี้พบว่าภัยคุกคามและความเสี่ยงด้านความปลอดภัยทางไซเบอร์นั้นมีจำนวนมากขึ้น และซับซ้อนมากขึ้น จากกลุ่มเป้าหมายเดิมที่เป็นกลุ่มผู้ใช้งานที่เป็นพนักงานแบบไฮบริดที่ทำงานทั้งบ้าน และที่ทำงาน

นักศึกษาที่ต้องเรียนที่บ้าน รวมถึงจุดอ่อนที่ส่วนใน และนอกเครือข่ายแบบดั้งเดิมนั้น ได้ขยายการคุกคามกว้างขวางขึ้นไปยังกลุ่มองค์กร ผู้ใช้งานตามบ้าน และโครงสร้างสาธารณูปโภคพื้นฐานที่สำคัญของประเทศ  ดังนี้

  • 49% ของเครือข่ายทั้งหมดติดมัลแวร์ Mirai Botnet
  • พบการโจมตีแบบฟิชชิ่ง และบ็อตเน็ตแพร่หลายมากที่สุด
  • Ransomware : Nemocod และ Locki Group ทำงานแพร่หลายมาก
  • พบอุปกรณ์เดสก์ท็อป และเซิร์ฟเวอร์จำนวนมากกว่า 18,000 เครื่อง ที่เชื่อมต่อโดยตรงกับอินเทอร์เน็ตและสามารถเข้าถึงได้จากระยะไกล
  • เราเตอร์ที่ใช้ในบ้าน และระบบ NAS ตกเป็นเป้าหมายสำคัญ พบจำนวนมากที่ยังมีช่องโหว่มากมาย ซึ่งเกิดจากเฟิร์มแวร์ที่ล้าสมัย

สำหรับในประเทศไทยนั้น องค์กรยังคงต้องเผชิญกับความเสี่ยง และภัยคุกคามจากการโจมตีทุกด้าน อย่างไรก็ตาม ไอดีซีเปิดเผยว่ามีองค์กรจำนวนเพียง 6.7% ขององค์กรในประเทศไทยที่วางแนวทางอันแข็งแกร่งในการรักษาความปลอดภัยไซเบอร์

Fortinet

ฟอร์ติเน็ตแนะนำการปฏิบัติที่ดีที่สุด ดังนี้

เมื่อพิจารณาถึงแนวโน้มและความท้าทายเหล่านี้แล้ว องค์กรต่าง ๆ จะต้องปรับใช้กลยุทธ์ทางธุรกิจ และความปลอดภัยหลายประการ เพื่อให้แน่ใจว่าองค์กรจะสามารถปฏิบัติงานได้อย่างราบรื่นและธุรกิจมีความยืดหยุ่น ในขณะที่พัฒนาสถาปัตยกรรมไอที และความเสี่ยงด้านความปลอดภัยให้รวดเร็วมากขึ้น คำแนะนำรวมถึง

 

  • ปรับลำดับความสำคัญ และกระบวนการทางธุรกิจและด้านเทคโนโลยีเข้าหากัน : ระดับผู้บริหารในทุกระดับจำเป็นสนับสนุนกระบวนการรักษาความปลอดภัยที่มีประสิทธิภาพขององค์กรอย่างต่อเนื่อง องค์กรต้องทบทวนกลยุทธ์ด้านความปลอดภัย และตรวจสอบให้แน่ใจว่าสอดคล้องกับลำดับความสำคัญทางธุรกิจของตน โดยเฉพาะในยุคนิวนอร์มัลนี้ พนักงานสามารถปฏิบัติงานได้จากทุกที่ องค์กรจึงจำเป็นต้องจัดกระบวนการทางธุรกิจ เช่น การเงินและฝ่ายทรัพยากรมนุษย์ให้สอดคล้องกับแนวทางปฏิบัติที่ดีที่สุดในด้านความลับของข้อมูลและการยืนยันตัวตนในกระบวนการสื่อสารเพื่อสร้างวิธีการทำงานจากทางไกลให้ปลอดภัย
  • ตรวจสอบว่าสถาปัตยกรรมการรักษาความปลอดภัยไซเบอร์ขององค์กรสามารถสนับสนุนสถาปัตยกรรมธุรกิจใหม่ได้ : เพื่อจัดการด้านความปลอดภัยให้กับพนักงานที่ปฏิบัติงานอยู่นอกองค์กร องค์กรจำเป็นต้องปรับปรุงสถาปัตยกรรมเครือข่ายและคำนึงถึงความเป็นส่วนตัว (Data Privacy) ความถูกต้องสมบูรณ์ (Integrity) และด้านความลับของข้อมูล (Confidentiality) ที่ผู้ปฏิบัติงานทางไกลเกี่ยวข้องด้วย เนื่องจากมีการใช้งานและรับ-ส่งแอปพลิเคชันทางธุรกิจและเวิร์กโฟลว์ตั้งแต่อุปกรณ์ปลายทางไปยังเครือข่ายหลัก จนถึงขอบเครือข่ายนอกองค์กรในคลาวด์ (Distributed edge) จึงทำให้การรักษาความปลอดภัยสภาพแวดล้อมแบบกระจายนี้ต้องใช้โซลูชันการรักษาความปลอดภัยไซเบอร์ที่เป็นแบบบูรณาการและทำงานเองได้อย่างอัตโนมัติ
  • ปรับใช้โซลูชันการรักษาความปลอดภัยแบบองค์รวม : ขณะที่องค์กรเร่งพัฒนานวัตกรรมดิจิทัลของตนเอง องค์กรจำเป็นต้องมั่นใจว่าการรักษาความปลอดภัยของตนนั้นตามทันกับสมรภูมิภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็วในปัจจุบัน โดยเฉพาะอย่างยิ่งในขณะนี้ เครือข่ายส่วนเอดจ์มีการใช้งานมากขึ้น การทำงานได้จากทุกที่ขยายตัวมากขึ้นและโมเดลมัลติคลาวด์ที่เกิดขึ้นใหม่ ๆ มีผลส่งให้ขอบเขตของเครือข่ายที่เรียกว่า “Network parameter” ได้ขยายตัวไปทั่วโครงสร้างพื้นฐาน องค์กรจึงต้องการกลยุทธ์การรักษาความปลอดภัยไซเบอร์ที่ครอบคลุมได้กว้างไกล อีกทั้งต้องใช้แพลตฟอร์มที่มีการรักษาความปลอดภัยแบบตั้งแต่ต้นทางจนปลายทาง และศักยภาพการจัดการได้จากหน้าจอเดียวเพื่อให้มองเห็นทั่วทั้งพื้นผิวการโจมตีได้อย่างสมบูรณ์
  • ใช้โมเดล Zero Trust : แนวทางปฏิบัติที่ดีที่สุดในขณะนี้เพื่อตอบสนองต่อภัยคุกคามใหม่ๆ ที่เพิ่มขึ้นนั้น คือ ใช้โมเดล Zero Trust ที่ “ไม่ไว้วางใจใคร ไม่ไว้วางใจอะไร” ในระบบการเข้าถึงเครือข่าย ซึ่งหมายความว่าผู้ใช้ทั้งหมด อุปกรณ์ทั้งหมด และเว็บแอปพลิเคชันทั้งหมดจากคลาวด์ต้องได้รับความเชื่อถือ รับรองความถูกต้องและมีสิทธิ์ในการเข้าถึงในปริมาณที่เหมาะสมเท่านั้น

Fortinet

ด้าน ไซม่อน พิฟ รองประธานฝ่ายปฏิบัติด้านความปลอดภัยของไอดีซี เอเชีย/แปซิฟิก กล่าวว่า รายงาน IDC InfoBrief นี้เน้นย้ำถึงความเกี่ยวข้องอย่างต่อเนื่องของผู้บริหาร และทีมรักษาความปลอดภัยในโลกยุคดิจิทัล เราเห็นความจำเป็นที่ผู้บริหารด้านความปลอดภัยต้องพิจารณา และปรับกลยุทธ์ด้านความปลอดภัยของตนเอง

ให้สอดคล้องกับเป้าหมายของบริหารองค์กร  นอกจากนี้ ไอดีซีเห็นว่าการเลือกทำงานร่วมกับพันธมิตรด้านความปลอดภัยที่เชื่อถือได้ และมีความเชี่ยวชาญ สามารถให้ข้อมูลเชิงลึกที่องค์กรไม่อาจเข้าถึงเองได้นั้นจะเป็นกลยุทธ์ในการแก้ไขปัญหาด้านความซับซ้อนของภัย และการขาดแคลนทรัพยากรไอทีในปัจจุบันได้ดีอีกด้วย

ฟอร์ติเน็ตผู้มีประสบการณ์ในอุตสาหกรรมความปลอดภัยทางไซเบอร์มีกลุ่มผลิตภัณฑ์โซลูชันการรักษาความปลอดภัยทางไซเบอร์ที่ช่วยส่งเสริมให้การปฏิบัติงานเป็นไปอย่างมีประสิทธิภาพ สามารถแก้ไขปัญหาด้วยตนเองได้ และตอบสนองต่อภัยคุกคามที่รู้จัก และไม่รู้จักได้อย่างรวดเร็ว

แพลทฟอร์มด้านความปลอดภัยซีเคียวริตี้แฟบริคของฟอร์ติเน็ตสามารถมอบการรักษาความปลอดภัยแบบองค์รวมแบบตั้งแต่ต้นทางจนปลายทางให้แก่องค์กรในทุกขนาด เพื่อเพิ่มศักยภาพในการมองเห็นได้ในวงกว้าง การผสานรวมที่ราบรื่น และการทำงานอย่างอัตโนมัติทั่วทั้งพื้นผิวการโจมตีทางดิจิทัล ด้วยการรักษาความปลอดภัยที่ผสานรวมเข้ากับการเชื่อมโยงเครือข่ายข้ามขอบเอดจ์ คลาวด์ อุปกรณ์ปลายทางปลาย และผู้ใช้งานทั้งหมด

Fortinet

รายงานภัยคุกคามครึ่งแรกของปี 2021

เดอริค มันคี Chief, Security Insights & Global Threat Alliances ที่ฟอร์ติการ์ดแล็บส์ กล่าวว่า เราเห็นการโจมตีทางไซเบอร์ที่มีประสิทธิภาพและทำลายล้างเพิ่มขึ้นซึ่งส่งผลกระทบต่อองค์กรหลายพันแห่งในครั้งเดียว นับเป็นการเปลี่ยนแปลที่สำคัญในสงครามกับอาชญากรรมทางอินเทอร์เน็ต

ตอนนี้ ทุกฝ่ายมีบทบาทสำคัญที่ทำให้ในกระบวนการคุกคามทำลายร้างที่เรียกว่า Killing chain แข็งแกร่งมากกว่าที่เคยเป็นมา ดังนั้น องค์กรที่จัดกองกำลังโต้สู้ภัยจำเป็นต้องทำงานร่วมกัน และต้องจัดลำดับความสำคัญเพื่อขัดขวาง Killing chain ของอาชญากรไซเบอร์ และรวมถึงการแบ่งปันข้อมูลที่ใช้ร่วมกัน

และการทำงานกับพันธมิตรจะช่วยให้การตอบสนองภัยมีประสิทธิภาพมากขึ้นและสามารถคาดการณ์เทคนิคที่ผูประสงค์ร้ายจะใช้ในอนาคตได้ดีขึ้น นอกจากนี้ การจัดโปรแกรมฝึกอบรมให้ตระหนักถึงความปลอดภัยไซเบอร์อย่างต่อเนื่องตลอดจนใช้เทคโนโลยีการป้องกัน การตรวจจับ และการตอบสนองที่ใช้เอไอขับเคลื่อน

ซึ่งทำงานผสานรวมสามารถปกป้องได้ถึงอุปกรณ์ปลายทาง เครือข่าย และระบบคลาวด์มีความสำคัญต่อการตอบโต้ภัยไซเบอร์เป็นอย่างมาก

จากรายงานฟอร์ติการ์ดแล็บส์ฉบับล่าสุด (FortiGuard Labs Global Threat Landscape Report) ของปี 2021 แสดงให้ว่า พบปริมาณ และความซับซ้อนของการโจมตีที่กำหนดเป้าหมายไปยังบุคคล องค์กร และโครงสร้างพื้นฐานที่สำคัญเพิ่มมากขึ้นอย่างมีนัยยะสำคัญ

Fortinet

พบการโจมตีไปที่ผู้ปฏิบัติงานแบบไฮบริด และกลุ่มนักศึกษานักเรียนที่เรียนที่บ้านมากขึ้น พบภัยเกิดขึ้นทั้งภายในและภายนอกเครือข่ายแบบดั้งเดิม จึงควรทำงานร่วมกับพันธมิตร และร่วมมือเร่งการบังคับใช้กฎหมายในภาครัฐและเอกชนโต้ตอบระบบนิเวศของอาชญากรไซเบอร์ในช่วงครึ่งหลังของปีนี้ ซึ่งมีรายละเอียดดังนี้

  • Ransomware หวังมากกว่าเงิน : ข้อมูลจากฟอร์ติการ์ดแล็บส์แสดงให้เห็นว่าค่าเฉลี่ยของกิจกรรมภัยแรนซัมแวร์ประจำสัปดาห์ในเดือนมิถุนายนที่ผ่านมาสูงกว่าช่วง 12 เดือนที่ผ่านมาถึง 10 เท่า แสดงให้เห็นถึงแรนซัมแวร์ยังคุกคามเพิ่มขึ้นอย่างต่อเนื่องและสม่ำเสมอโดยรวมในช่วง 1 ปี
  • ทั้งนี้ แรนซัมแวร์ส่งผลกระทบที่ห่วงโซ่อุปทานของหลายองค์กร โดยเฉพาะอย่างยิ่งในภาคธุรกิจและอุตสาหกรรมสำคัญอย่างยิ่ง และส่งผลกระทบต่อการดำเนินชีวิตประจำวัน ผลผลิตและการค้ามากกว่าที่เคยเป็นมา ทั้งนี้ องค์กรในภาคโทรคมนาคมตกเป็นเป้าหมายสูงสุด รองลงมาคือภาครัฐ ผู้ให้บริการด้านความปลอดภัยที่มีการจัดการ (Managed security service provider) ยานยนต์ และภาคการผลิต
  • นอกจากนี้ ผู้ขายบริการแรนซัมแวร์บางรายเปลี่ยนกลยุทธ์จากการใช้อีเมลเป็นเพย์โหลดจุดปล่อยโค้ดที่ทำให้เกิดอันตราย (Email-initiated payloads) ไปเป็นการมุ่งเน้นที่การได้เข้าถึงและขายช่องทางการเข้าถึง (Gaining and selling initial access) ในขั้นต้นเข้าไปในเครือข่ายองค์กร ซึ่งแสดงให้เห็นถึงวิวัฒนาการอย่างต่อเนื่องของ Ransomware-as-a-Service (RaaS) ที่ก่อให้เกิดอาชญากรรมทางอินเทอร์เน็ต
  • ประเด็นสำคัญคือแรนซัมแวร์ยังคงเป็นภัยอันตรายที่เห็นชัดเจนและเกิดในปัจจุบัน มุ่งคุกคามทุกองค์กรโดยไม่คำนึงถึงอุตสาหกรรมหรือขนาด องค์กรจึงจำเป็นต้องใช้แนวทางเชิงรุก อันหมายถึงโซลูชันการป้องกันปลายทางแบบเรียลไทม์ การตรวจจับ และการตอบสนองอัตโนมัติเพื่อรักษาความปลอดภัยสภาพแวดล้อมควบคู่ไปกับแนวทางการเข้าถึงที่มีความไว้วางใจเป็นศูนย์ (Zero-trust access) การแบ่งส่วนเครือข่าย (Network segmentation) และการเข้ารหัส (Encryption)
Fortinet
การเติบโตของการตรวจพบแรนซัมแวร์ในช่วง 12 เดือนที่ผ่านมา (กรกฎาคม 2563 – มิถุนายน 2564)
  • พบมัลแวร์ถึง 1 ใน 4 องค์กร : การจัดอันดับการตรวจจับมัลแวร์ตามกลุ่มแสดงให้เห็นว่า มีมัลแวร์ประเภททางวิศวกรรมโซเชียลหลอกลวงมากขึ้น ได้แก่ Malvertising (การใช้โฆษณาบนโลกออนไลน์เพื่อแพร่กระจายมัลแวร์) และ Scareware (สแกร์แวร์เป็นโปรแกรมที่ถูกเขียนขึ้น เพื่อทำให้ผู้ใช้งานคอมพิวเตอร์เข้าใจว่า เครื่องคอมพิวเตอร์ของตัวเองมีไวรัส และหลงเชื่อให้ข้อมูลบัตรเครดิต ซื้อหรือดาวน์โหลดซอฟแวร์) มากเพิ่มขึ้น
  • องค์กรมากกว่าหนึ่งในสี่ตรวจพบตระกูล Cryxos ชื่อดังสะท้อนถึงความพยายามคุกคามของมัลแวร์หรือสแกร์แวร์ แม้ว่าพบมัลแวร์จำนวนมากที่รวมกับแคมเปญ JavaScript อื่นๆ ที่คล้ายกันซึ่งยังคงต้องถือว่าเป็นมัลแวร์ ซึ่งเกิดขึ้นมากจากผลของ WFH แบบผสมผสาน เนื่องจากผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากการสร้างความหวาดกลัวของเหยื่อ รวมถึงการกรรโชกด้วย
  • ดังนั้น การรับรู้เรื่องความปลอดภัยไซเบอร์ที่เพิ่มขึ้นจึงเป็นสิ่งสำคัญ รวมถึงการจัดหาการฝึกอบรมและการศึกษาอย่างทันท่วงที เพื่อช่วยหลีกเลี่ยงการตกเป็นเหยื่อของกลวิธีหลอกลวงของ Malvertising และ Scareware

Fortinet

แนวโน้มของบ็อตเน็ตแสดงให้เห็นว่าผู้โจมตีจะไปถึงส่วนเอจด์ : การติดตามตรวจจับบ็อตเน็ตแสดงให้เห็นว่ามีกิจกรรมเพิ่มขึ้นอย่างรวดเร็ว

  • ในช่วงต้นปีนั้น พบองค์กรจำนวน 35% องค์กรตรวจพบกิจกรรมของบ็อตเน็ตไม่ทางใดก็ทางหนึ่ง และหกเดือนต่อมา จำนวนองค์กรเพิ่มเป็น 51% โดยในช่วงเดือนมิถุนายน พบกิจกรรมของ TrickBot ที่พุ่งสูงขึ้นมีส่วนทำให้กิจกรรมบ็อตเน็ตพุ่งสูงขึ้นโดยรวม  ทั้งนี้ เดิมที TrickBot ปรากฏตัวในในฐานะโทรจันทางด้านการเงิน แต่หลังจากนั้น ได้รับการพัฒนาให้เป็นชุดเครื่องมือที่ซับซ้อนและมีหลายขั้นตอน เพื่อสนับสนุนกิจกรรมที่ผิดกฎหมายหลายประเภท
  • ภัย Mirai เป็นที่แพร่หลายมากที่สุด และแซงหน้า Gh0st ในต้นปีพ.ศ. 2563 และรั้งตำแหน่งระดับสูงตั้งแต่นั้นมาจนถึงปี 2564 Mirai ยังคงเพิ่มอาวุธไซเบอร์ใหม่ๆ ให้กับตนเอง แต่มีแนวโน้มว่า Mirai ขยายตัวอย่างรวดเร็วได้นี้ บางส่วนก็เกิดจากอาชญากรที่แสวงหาประโยชน์จาก Internet-of-Things (IoT) ไปที่อุปกรณ์ที่บุคคลที่ทำงานจากที่บ้าน หรือกลุ่มนักศึกษาที่เรียนจากที่บ้านใช้อยู่  
  • Gh0st ยังคุกคามอย่างมากมาย ซึ่ง Gh0st เป็นบ็อตเน็ตที่ช่วยให้ผู้โจมตีเข้าถึงจากทางไกล ช่วยให้สามารถควบคุมระบบที่ติดไวรัสได้อย่างเต็มที่ จับภาพเว็บแคมสดและ ดักจับข้อความสนทนาสดทางไมโครโฟน หรือดาวน์โหลดไฟล์ ทั้งนี้ การ WFH และการเรียนทางไกลมีมานานมากกว่า 1 ปีจึงทำให้ศัตรูทางไซเบอร์สามารถติดตามพฤติกรรมประจำวันที่เปลี่ยนแปลงไปเพื่อฉวยโอกาสคุกคาม
  • เพื่อปกป้องเครือข่ายและแอปพลิเคชัน WFH และการเรียนทางไกล องค์กรจำเป็นต้องมีการเข้าถึงแบบ Zero-trust เพื่อให้สิทธิ์การเข้าถึงน้อยที่สุด เพื่อป้องกันอุปกรณ์ปลายทางที่เป็น IoT และอุปกรณ์ใช้เข้าเครือข่าย

Fortinet

หลังการหยุดชะงักของอาชญากรรมทางอินเทอร์เน็ต พบปริมาณการคุกคามลดลง : ในการรักษาความปลอดภัยทางไซเบอร์ไม่ใช่ทุกการกระทำที่มีผลทันทีหรือถาวร แต่หลายเหตุการณ์ในปี 2564 นี้แสดงให้เห็นถึงการพัฒนาในเชิงบวกโดยเฉพาะสำหรับผู้ที่รับผิดชอบด้านความปลอดภัย ผู้พัฒนาดั้งเดิมของ TrickBot ถูกฟ้องร้องหลายข้อหาในเดือนมิถุนายน

นอกจากนี้ พบการโค่นล้มกระบวนการปฏิบัติการมัลแวร์ที่มีประสิทธิผลมากที่สุดในประวัติศาสตร์ของภัย Emotet เมื่อเร็ วๆ นี้ ตลอดจนมีแรงผลักดันที่สำคัญจากผู้รับผิดชอบปกป้องทางไซเบอร์ รวมถึงรัฐบาลทั่วโลกและการบังคับใช้กฎหมายเพื่อควบคุมอาชญากรรมทางอินเทอร์เน็ต ร่วมกันขัดขวางการทำงานของแรนซัมแวร์ Egregor, NetWalker และ Cl0p

ยิ่งไปกว่านั้น ความร่วมมือดังกล่าวมีความแข็งแกร่งมากขึ้น จนได้ทำให้ผู้คุกคามแรนซัมแวร์สองสามรายประกาศหยุดการดำเนินการ โดย ข้อมูลจากฟอร์ติการ์ดแล็บส์แสดงให้เห็นว่า ภายหลังจากการหยุดยั้งภัย Emotet ได้สำเร็จ กิจกรรมการคุกคามมีการชะลอตัว

แต่ยังคงมีกิจกรรมที่เกี่ยวข้องกับ TrickBot และ Ryuk อยู่ในระดับที่ลดลง ทั้งหมดนั้นแสดงถึงความยากลำบากในการกำจัดภัยคุกคามไซเบอร์หรือห่วงโซ่ Killing chain ของผู้ประสงค์ร้าย แต่ความยากลำบากเหล่านี้เป็นความสำเร็จครั้งสำคัญ

พบเทคนิคการเลี่ยงการป้องกันและการหลบหนีที่อาชญากรไซเบอร์ตั้งใจ : ฟอร์ติการ์ดแล็บส์ได้ศึกษาข่าวกรองภัยคุกคามที่มีความละเอียดสูงขึ้น และพบประเด็นสำคัญเกี่ยวกับการพัฒนาเทคนิคการโจมตีในปัจจุบัน

  • ฟอร์ติการ์ดแล็บส์ใช้ฟังก์ชันเฉพาะในการตรวจพบมัลแวร์ เพื่อวิเคราะห์หาผลลัพธ์ที่อาชญากรไซเบอร์ตั้งใจ สิ่งที่พบคือ หากเพย์โหลดปล่อยโค้ดที่ทำให้เกิดอันตรายในสภาพแวดล้อมเป้าหมายแล้ว อาชญากรไซเบอร์จะพยายามแอบยกระดับสิทธิ์ของผู้ใช้งาน  หลบเลี่ยงการป้องกัน  แฝงกายไปทางด้านข้างผ่านระบบภายใน  และกรองข้อมูลที่ถูกบุกรุก รวมถึงเทคนิคอื่นๆ
  • ตัวอย่างเช่น สังเกตพบ 55% ของฟังก์ชันการเพิ่มระดับสิทธิ์ที่ถูกใช้ประโยชน์จาก hooking และอีก 40% เกิดจากการแทรกกระบวนการ
  • ประเด็นสำคัญคือได้ค้นพบเทคนิคที่อาชญากรไซเบอร์มุ่งเน้นอย่างชัดเจนในการหลบเลี่ยงการป้องกันและกลยุทธ์การแอบเพิ่มสิทธิพิเศษ แม้ว่าเทคนิคเหล่านี้จะไม่สิ่งแปลกใหม่ แต่ผู้รับผิดชอบจะรู้ทันและสามารถป้องกันการโจมตีในอนาคตได้ทันท่วงที โดยเฉพาะอย่างยิ่ง องค์กรต้องใช้แพลตฟอร์มที่ขับเคลื่อนด้วยเอไอแบบบูรณาการและใช้ข่าวกรองภัยคุกคามที่ลงมือปฏิบัติได้ทันที อันเป็นแพลทฟอร์มที่จำเป็นในการป้องกันส่วนเอจด์ของเครือข่าย มีศักยภาพในการระบุและแก้ไขภัยคุกคามที่องค์กรเผชิญอยู่ในปัจจุบันได้แบบเรียลไทม์

สิ่งสำคัญนั้นคือ ความร่วมมือ การฝึกอบรม และการป้องกัน การตรวจจับ และการตอบสนองที่ขับเคลื่อนโดยเอไอ

ในช่วงครึ่งแรกของปีนี้ อาจเป็นจุดเปลี่ยนที่สำคัญสำหรับอนาคตได้ ซึ่งหน่วยงานราชการและผู้บังคับด้านกฏหมายกำลังทำงานร่วมกับผู้จำหน่ายอุปกรณ์ องค์กรสำนักข่าวกรองภัยคุกคาม และองค์กรพันธมิตรระดับโลกอื่น ๆ เพื่อรวมทรัพยากรและข้อมูลภัยคุกคามแบบเรียลไทม์ เพื่อจัดการกับอาชญากรไซเบอร์ได้

อย่างไรก็ตาม การตรวจจับภัยคุกคามแบบอัตโนมัติที่ใช้เอไอยังคงเป็นสิ่งจำเป็นในการช่วยให้องค์กรสามารถจัดการกับการโจมตีแบบเรียลไทม์ และหยุดยั้งการโจมตีได้อย่างรวดเร็ว และปกป้องได้ทั่วเครือข่ายเอจด์

นอกจากนี้ การฝึกอบรมสร้างการตระหนักรู้ให้ผู้ใช้สร้างความปลอดภัยไซเบอร์ก็มีความสำคัญอยู่ไม่น้อย ทุกคนต้องการคำแนะนำอย่างสม่ำเสมอถึงแนวทางปฏิบัติที่ดีที่สุดเพื่อให้พนักงานแต่ละคน และองค์กรมีความปลอดภัยสูงสุด

ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก N/A

สามารถกดติดตามข่าวสาร และบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th

Itdayleadger

This site uses Akismet to reduce spam. Learn how your comment data is processed.