IBM ชี้ เอเชีย ตกเป็นเป้าสำคัญ หลังวิกฤตซัพพลายเชนเพิ่มขึ้น

ซึ่งเป็นอันดับหนึ่งมาอย่างยาวนาน การที่ภาคการผลิตประสบกับเหตุโจมตีด้วยแรนซัมแวร์มากกว่าอุตสาหกรรมอื่น ๆ สะท้อนให้เห็นว่าอาชญากรหวังพึ่งผลกระทบที่จะถูกกระเพื่อมออกไปเป็นระลอกคลื่น เพราะเมื่อบริษัทหนึ่งในภาคการผลิตหยุดชะงัก ย่อมกระทบบริษัทอื่น ๆ

ในซัพพลายเชน และส่งผลให้บริษัทเหล่านั้นหันมากดดันให้องค์กรที่โดนโจมตีต้องจ่ายยอมค่าไถ่ โดย 47% ของการโจมตีในภาคการผลิตมีสาเหตุมาจากช่องโหว่ที่องค์กรเหยื่อยังไม่ได้แก้ไขด้วยแพตช์หรือไม่สามารถแก้ไขได้ สิ่งนี้เน้นย้ำถึงความจำเป็นที่องค์กรต้องให้ความสำคัญกับการจัดการแก้ไขแพตช์ช่องโหว่

รายงาน ไอบีเอ็ม ซีเคียวริตี้ X–Force Threat Intelligence Index ปี 2565 เปิดเผยถึงเทรนด์ และแพทเทิร์นการโจมตีที่ ไอบีเอ็ม ซีเคียวริตี้ ได้สังเกต และวิเคราะห์จากข้อมูลจากแหล่งต่าง ๆ อาทิ ข้อมูลจากดาต้าพอยท์หลายพันล้านจุดจากทั่วโลกและประเทศไทย ไม่ว่าจะเป็นเครือข่ายหรืออุปกรณ์เอ็นด์พอยท์ ข้อมูลการตอบสนองต่อเหตุโจมตี การแทร็คการฟิชชิ่ง ฯลฯ รวมถึงข้อมูลที่ได้จาก Intezer

ข้อมูลไฮไลต์อื่น ๆ จากรายงานประจำปีนี้ อาทิ

ชาร์ลส์ เฮ็นเดอร์สัน Head of IBM X-Force กล่าวว่า องค์กรควรตระหนักว่าช่องโหว่ต่าง ๆ สามารถทำให้พวกเขาตกอยู่ในภาวะหยุดชะงัก และอาชญากรแรนซัมแวร์ก็กำลังใช้ช่องโหว่เหล่านี้เพื่อสร้างประโยชน์ให้ตน นี่เป็นความท้าทายที่ไม่ได้มีผลแค่สองทาง เพราะพื้นที่การโจมตีจะขยายใหญ่ขึ้นเรื่อย ๆ

ดังนั้นแทนที่จะดำเนินการภายใต้สมมติฐานที่ว่าทุกช่องโหว่ในสภาพแวดล้อมของตนได้รับการแก้ไขแล้ว ธุรกิจควรดำเนินการภายใต้สมมติฐานที่ว่าองค์กรตนถูกเจาะเรียบร้อยแล้ว และหันมายกระดับการจัดการช่องโหว่ด้วยกลยุทธ์ Zero Trust แทน”

กลุ่มแรนซัมแวร์ “เก้าชีวิต“

เพื่อตอบสนองต่อการเดินหน้าเร่งกำจัดกลุ่มแรนซัมแวร์ของหน่วยงานบังคับใช้กฎหมาย กลุ่มแรนซัมแวร์อาจเริ่มใช้แผน disaster recovery การวิเคราะห์ของ X–Force ชี้ให้เห็นว่าอายุเฉลี่ยของกลุ่มแรนซัมแวร์คือ 17 เดือน ก่อนที่จะปิดตัวลงหรือรีแบรนด์ใหม่ ยกตัวอย่างเช่น REvil

ซึ่งเป็นกลุ่มที่ก่อเหตุโจมตีถึง 37% ของเหตุแรนซัมแวร์ทั้งหมดที่เกิดขึ้นในปี 2564 สามารถอยู่มาได้ยาวนานถึงสี่ปีโดยอาศัยการรีแบรนด์ตัวเอง สะท้อนความเป็นไปได้ที่ว่ากลุ่มเหล่านี้จะกลับมาอีกครั้ง แม้ว่าจะถูกกำจัดลงโดยความร่วมมือของหน่วยงานภาครัฐต่าง ๆ แล้วก็ตามในช่วงกลางปี 2564 

แม้ว่าหน่วยงานบังคับใช้กฎหมายจะสามารถชะลอการโจมตีของแรนซัมแวร์ลงได้ และยังส่งผลให้กลุ่มแรนซัมแวร์ต้องจัดหาเงินทุนสำหรับการรีแบรนด์ หรือสร้างระบบโครงสร้างพื้นฐานขึ้นมาใหม่ แต่เมื่อเวลาผ่านไป สิ่งสำคัญคือองค์กรต้องปรับปรุงระบบโครงสร้างพื้นฐานของตนให้ทันสมัย

เพื่อให้สามารถจัดเก็บข้อมูลในสภาพแวดล้อมที่ให้การปกป้องข้อมูล ไม่ว่าจะบนระบบในองค์กรหรือบนคลาวด์ การทำเช่นนี้จะช่วยให้องค์กรสามารถจัดการ ควบคุม และปกป้องเวิร์คโหลดของตน และขจัดผู้คุกคามที่ใช้ประโยชน์จากข้อมูลที่รั่ว โดยทำให้การเข้าถึงข้อมูลในสภาพแวดล้อมแบบไฮบริดคลาวด์เป็นไปได้ยากขึ้น

ช่องโหว่กลายเป็นวิกฤตสำหรับบางองค์กร

รายงานของ X–Force เน้นถึงจำนวนช่องโหว่ที่สูงเป็นประวัติการณ์ในปี 2564 โดยช่องโหว่ในระบบควบคุมอุตสาหกรรม (Industrial Control Systems: ICS) เพิ่มขึ้น 50% จากปีก่อนหน้า แม้ว่าจะมีการเปิดเผยช่องโหว่มากกว่า 146,000 รายการ ในช่วงทศวรรษที่ผ่านมา

แต่เนื่องจากในช่วงไม่กี่ปีที่ผ่านมานี้ องค์กรต่าง ๆ ได้เร่งสปีดเส้นทางดิจิทัลของตน ซึ่งส่วนใหญ่แล้วล้วนเป็นผลมาจากแรงหนุนจากการระบาดใหญ่ จึงคาดการณ์ได้ว่าความท้าทายในการจัดการช่องโหว่ในปัจจุบันยังไม่ถึงจุดสูงสุด

ในขณะเดียวกัน การแสวงหาประโยชน์ด้วยการโจมตีช่องโหว่ก็ได้รับความนิยมมากขึ้นเรื่อย ๆ โดย X–Force พบการโจมตีในลักษณะดังกล่าวเพิ่มขึ้น 33% เมื่อเทียบกับปีก่อนหน้า พบช่องโหว่ที่ถูกโจมตีมากที่สุดในปี 2564 จำนวน 2 จุด บนแอพพลิเคชันองค์กรที่มีการใช้งานอย่างแพร่หลาย (Microsoft Exchange, Apache Log4J Library)

เมื่อโครงสร้างพื้นฐานดิจิทัลขยายตัว องค์กรจะเผชิญความท้าทายในการจัดการช่องโหว่มากขึ้น การตรวจสอบและการดูแลให้ธุรกิจปฏิบัติอย่างสอดคล้องต่อกฎข้อบังคับต่าง ๆ จะกลายเป็นงานล้นมือขององค์กร

สิ่งนี้ตอกย้ำถึงความสำคัญของการดำเนินการตามสมมติฐานที่ว่าองค์กรของตนได้ตกอยู่ในความเสี่ยงแล้ว และต้องนำกลยุทธ์แบบ Zero Trust เข้ามาช่วยปกป้องสถาปัตยกรรมของตนเอง

ผู้โจมตีมุ่งเป้าไปที่จุดร่วมระหว่างคลาวด์

การสังเกตโดย X–Force ในปี 2564 พบว่าผู้โจมตีเปลี่ยนเป้าหมายไปที่ container อย่าง Docker ซึ่งเป็นคอนเทนเนอร์รันไทม์เอนจินที่โดดเด่นที่สุดตามข้อมูลจาก RedHat ผู้โจมตีตระหนักดีว่าคอนเทนเนอร์เป็นพื้นที่ร่วมในหลายองค์กร ดังนั้นจึงเพิ่มความพยายามเป็น 2 เท่า

เพื่อเพิ่ม ROI ของตน ด้วยมัลแวร์ที่สามารถทำงานข้ามแพลตฟอร์มและสามารถใช้เป็นจุดต่อไปยังคอมโพเนนท์อื่น ๆ บนระบบโครงสร้างพื้นฐานของเหยื่อ

รายงานดังกล่าว ยังเตือนว่าเหล่าอาชญากรได้ลงทุนอย่างต่อเนื่องในมัลแวร์ Linux ซึ่งเรื่องนี้ไม่ปรากฎในการสังเกตการณ์ครั้งก่อนหน้านี้ โดยข้อมูลจาก Intezer ชี้ให้เห็นการเพิ่มขึ้นของแรนซัมแวร์ Linux ที่มีโค้ดใหม่ถึง 146% วันนี้อาชญากรยังคงมุ่งมั่นแสวงหาวิธีในการสเกลการโจมตีบนสภาพแวดล้อมคลาวด์

ธุรกิจต่าง ๆ จึงต้องให้ความสำคัญกับการเพิ่ม visibility ในโครงสร้างพื้นฐานแบบไฮบริดของตน สภาพแวดล้อมไฮบริดคลาวด์ที่สร้างขึ้นบนมาตรฐานที่เอื้อต่อการทำงานข้ามระบบและมาตรฐานแบบเปิด จะช่วยให้องค์กรสามารถตรวจจับจุดบอด เร่งสปีด และตอบสนองเหตุซิเคียวริตี้ได้โดยอัตโนมัติ

ข้อค้นพบเพิ่มเติมจากรายงานปี 2565 ยังคลอบคลุมถึง

• เอเชียเป้าโจมตีสูงสุด จากการสังเกตของไอบีเอ็ม เอเชียประสบกับการโจมตีมากกว่า 1ใน 4 ของเหตุที่เกิดขึ้นทั่วโลกในปี 2564 ซึ่งมากกว่าภูมิภาคอื่น โดยธุรกิจบริการทางการเงินและการผลิต ประสบกับเหตุโจมตีนับเป็นเกือบ 60% ของเหตุที่เกิดขึ้นทั้งหมดในเอเชีย
• การใช้โทรศัพท์ร่วมกับฟิชชิ่ง ฟิชชิ่งเป็นสาเหตุการโจมตีทางไซเบอร์ที่พบบ่อยที่สุดในปี 2564 ในการทดสอบการเจาะระบบของ X-Force Red อัตราการคลิกในแคมเปญฟิชชิ่งเพิ่มขึ้นสามเท่าเมื่อทำร่วมกับการโทรศัพท์

รายงานฉบับนี้ นำเสนอข้อมูลที่ไอบีเอ็มรวบรวมจากทั่วโลกในปี 2564 เพื่อมอบเป็นข้อมูลเชิงลึกเกี่ยวกับแลนด์สเคปของภัยคุกคามทั่วโลก และเป็นมุมมองให้ผู้เชี่ยวชาญด้านซิเคียวริตี้ได้ทราบถึงภัยคุกคามที่เกี่ยวข้องกับองค์กรตนมากที่สุด

โดยสามารถดาวน์โหลด ไอบีเอ็ม ซีเคียวริตี้ X–Force Threat Intelligence Index ปี 2565 ฉบับเต็มได้ที่ https://www.ibm.com/security/data-breach/threat-intelligence/

ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก N/A

สามารถกดติดตามข่าวสาร และบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th