เดอริค มันคี Chief, Security Insights & Global Threat Alliances ที่ฟอร์ติการ์ดแล็บส์ออกรายงานภูมิทัศน์ด้านภัยคุกคามประจำช่วง 6 เดือนแรกของปีพ.ศ. 2564 นี้ว่า “เราเห็นการโจมตีทางไซเบอร์ที่มีประสิทธิภาพและทำลายล้างเพิ่มขึ้นซึ่งส่งผลกระทบต่อองค์กรหลายพันแห่งในครั้งเดียว นับเป็นการเปลี่ยนแปลที่สำคัญในสงครามกับอาชญากรรมทางอินเทอร์เน็ต ตอนนี้ ทุกฝ่ายมีบทบาทสำคัญที่ทำให้ในกระบวนการคุกคามทำลายร้างที่เรียกว่า Killing chain แข็งแกร่งมากกว่าที่เคยเป็นมา ดังนั้น องค์กรที่จัดกองกำลังโต้สู้ภัยจำเป็นต้องทำงานร่วมกันและต้องจัดลำดับความสำคัญเพื่อขัดขวาง Killing chain ของอาชญากรไซเบอร์ และรวมถึงการแบ่งปันข้อมูลที่ใช้ร่วมกันและการทำงานกับพันธมิตรจะช่วยให้การตอบสนองภัยมีประสิทธิภาพมากขึ้นและสามารถคาดการณ์เทคนิคที่ผูประสงค์ร้ายจะใช้ในอนาคตได้ดีขึ้น นอกจากนี้ การจัดโปรแกรมฝึกอบรมให้ตระหนักถึงความปลอดภัยไซเบอร์อย่างต่อเนื่องตลอดจนใช้เทคโนโลยีการป้องกัน การตรวจจับ และการตอบสนองที่ใช้เอไอขับเคลื่อน ซึ่งทำงานผสานรวมสามารถปกป้องได้ถึงอุปกรณ์ปลายทาง เครือข่าย และระบบคลาวด์มีความสำคัญต่อการตอบโต้ภัยไซเบอร์เป็นอย่างมาก”
Fortinet(R) (NASDAQ: FTNT) ฟอร์ติเน็ตผู้นำระดับโลกด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์แบบอัตโนมัติและครบวงจรประกาศว่า ฟอร์ติการ์ดแล็บส์ได้จัดทำรายงานรายครึ่งปีแรกฉบับล่าสุด (FortiGuard Labs Global Threat Landscape Report) ของปี 2021 แสดงให้ว่า พบปริมาณและความซับซ้อนของการโจมตีที่กำหนดเป้าหมายไปยังบุคคล องค์กร และโครงสร้างพื้นฐานที่สำคัญเพิ่มมากขึ้นอย่างมีนัยยะสำคัญ พบการโจมตีไปที่ผู้ปฏิบัติงานแบบไฮบริดและกลุ่มนักศึกษานักเรียนที่เรียนที่บ้านมากขึ้น พบภัยเกิดขึ้นทั้งภายในและภายนอกเครือข่ายแบบดั้งเดิม จึงควรทำงานร่วมกับพันธมิตรและร่วมมือเร่งการบังคับใช้กฎหมายในภาครัฐและเอกชนโต้ตอบระบบนิเวศของอาชญากรไซเบอร์ในช่วงครึ่งหลังของปีนี้ ซึ่งมีรายละเอียดดังนี้:
1) Ransomware หวังมากกว่าเงิน: ข้อมูลจากฟอร์ติการ์ดแล็บส์แสดงให้เห็นว่าค่าเฉลี่ยของกิจกรรมภัยแรนซัมแวร์ประจำสัปดาห์ในเดือนมิถุนายนที่ผ่านมาสูงกว่าช่วง 12 เดือนที่ผ่านมาถึง 10 เท่า แสดงให้เห็นถึงแรนซัมแวร์ยังคุกคามเพิ่มขึ้นอย่างต่อเนื่องและสม่ำเสมอโดยรวมในช่วง 1 ปี
– ทั้งนี้ แรนซัมแวร์ส่งผลกระทบที่ห่วงโซ่อุปทานของหลายองค์กร โดยเฉพาะอย่างยิ่งในภาคธุรกิจและอุตสาหกรรมสำคัญอย่างยิ่ง และส่งผลกระทบต่อการดำเนินชีวิตประจำวัน ผลผลิตและการค้ามากกว่าที่เคยเป็นมา ทั้งนี้ องค์กรในภาคโทรคมนาคมตกเป็นเป้าหมายสูงสุด รองลงมาคือภาครัฐ ผู้ให้บริการด้านความปลอดภัยที่มีการจัดการ (Managed security service provider) ยานยนต์ และภาคการผลิต
– นอกจากนี้ ผู้ขายบริการแรนซัมแวร์บางรายเปลี่ยนกลยุทธ์จากการใช้อีเมลเป็นเพย์โหลดจุดปล่อยโค้ดที่ทำให้เกิดอันตราย (Email-initiated payloads) ไปเป็นการมุ่งเน้นที่การได้เข้าถึงและขายช่องทางการเข้าถึง (Gaining and selling initial access) ในขั้นต้นเข้าไปในเครือข่ายองค์กร ซึ่งแสดงให้เห็นถึงวิวัฒนาการอย่างต่อเนื่องของ Ransomware-as-a-Service (RaaS) ที่ก่อให้เกิดอาชญากรรมทางอินเทอร์เน็ต
– ประเด็นสำคัญคือแรนซัมแวร์ยังคงเป็นภัยอันตรายที่เห็นชัดเจนและเกิดในปัจจุบัน มุ่งคุกคามทุกองค์กรโดยไม่คำนึงถึงอุตสาหกรรมหรือขนาด องค์กรจึงจำเป็นต้องใช้แนวทางเชิงรุก อันหมายถึงโซลูชันการป้องกันปลายทางแบบเรียลไทม์ การตรวจจับ และการตอบสนองอัตโนมัติเพื่อรักษาความปลอดภัยสภาพแวดล้อมควบคู่ไปกับแนวทางการเข้าถึงที่มีความไว้วางใจเป็นศูนย์ (Zero-trust access) การแบ่งส่วนเครือข่าย (Network segmentation) และการเข้ารหัส (Encryption)
2) องค์กรมากกว่า 1 ใน 4 พบมัลแวร์: การจัดอันดับการตรวจจับมัลแวร์ตามกลุ่มแสดงให้เห็นว่า มีมัลแวร์ประเภททางวิศวกรรมโซเชียลหลอกลวงมากขึ้น ได้แก่ Malvertising (การใช้โฆษณาบนโลกออนไลน์เพื่อแพร่กระจายมัลแวร์) และ Scareware (สแกร์แวร์เป็นโปรแกรมที่ถูกเขียนขึ้น เพื่อทำให้ผู้ใช้งานคอมพิวเตอร์เข้าใจว่า เครื่องคอมพิวเตอร์ของตัวเองมีไวรัส และหลงเชื่อให้ข้อมูลบัตรเครดิต ซื้อหรือดาวน์โหลดซอฟแวร์) มากเพิ่มขึ้น
– องค์กรมากกว่าหนึ่งในสี่ตรวจพบตระกูล Cryxos ชื่อดังสะท้อนถึงความพยายามคุกคามของมัลแวร์หรือสแกร์แวร์ แม้ว่าพบมัลแวร์จำนวนมากที่รวมกับแคมเปญ JavaScript อื่นๆ ที่คล้ายกันซึ่งยังคงต้องถือว่าเป็นมัลแวร์ ซึ่งเกิดขึ้นมากจากผลของ WFH แบบผสมผสาน เนื่องจากผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากการสร้างความหวาดกลัวของเหยื่อ รวมถึงการกรรโชกด้วย
– ดังนั้น การรับรู้เรื่องความปลอดภัยไซเบอร์ที่เพิ่มขึ้นจึงเป็นสิ่งสำคัญ รวมถึงการจัดหาการฝึกอบรมและการศึกษาอย่างทันท่วงที เพื่อช่วยหลีกเลี่ยงการตกเป็นเหยื่อของกลวิธีหลอกลวงของ Malvertising และ Scareware
3) แนวโน้มของบ็อตเน็ตแสดงให้เห็นว่าผู้โจมตีจะไปถึงส่วนเอจด์: การติดตามตรวจจับบ็อตเน็ตแสดงให้เห็นว่ามีกิจกรรมเพิ่มขึ้นอย่างรวดเร็ว
– ในช่วงต้นปีนั้น พบองค์กรจำนวน 35% องค์กรตรวจพบกิจกรรมของบ็อตเน็ตไม่ทางใดก็ทางหนึ่ง และหกเดือนต่อมา จำนวนองค์กรเพิ่มเป็น 51% โดยในช่วงเดือนมิถุนายน พบกิจกรรมของ TrickBot ที่พุ่งสูงขึ้นมีส่วนทำให้กิจกรรมบ็อตเน็ตพุ่งสูงขึ้นโดยรวม ทั้งนี้ เดิมที TrickBot ปรากฏตัวในในฐานะโทรจันทางด้านการเงิน แต่หลังจากนั้น ได้รับการพัฒนาให้เป็นชุดเครื่องมือที่ซับซ้อนและมีหลายขั้นตอน เพื่อสนับสนุนกิจกรรมที่ผิดกฎหมายหลายประเภท
– ภัย Mirai เป็นที่แพร่หลายมากที่สุด และแซงหน้า Gh0st ในต้นปีพ.ศ. 2563 และรั้งตำแหน่งระดับสูงตั้งแต่นั้นมาจนถึงปี 2564 Mirai ยังคงเพิ่มอาวุธไซเบอร์ใหม่ๆ ให้กับตนเอง แต่มีแนวโน้มว่า Mirai ขยายตัวอย่างรวดเร็วได้นี้ บางส่วนก็เกิดจากอาชญากรที่แสวงหาประโยชน์จาก Internet-of-Things (IoT) ไปที่อุปกรณ์ที่บุคคลที่ทำงานจากที่บ้าน หรือกลุ่มนักศึกษาที่เรียนจากที่บ้านใช้อยู่
– Gh0st ยังคุกคามอย่างมากมาย ซึ่ง Gh0st เป็นบ็อตเน็ตที่ช่วยให้ผู้โจมตีเข้าถึงจากทางไกล ช่วยให้สามารถควบคุมระบบที่ติดไวรัสได้อย่างเต็มที่ จับภาพเว็บแคมสดและ ดักจับข้อความสนทนาสดทางไมโครโฟน หรือดาวน์โหลดไฟล์ ทั้งนี้ การ WFH และการเรียนทางไกลมีมานานมากกว่า 1 ปีจึงทำให้ศัตรูทางไซเบอร์สามารถติดตามพฤติกรรมประจำวันที่เปลี่ยนแปลงไปเพื่อฉวยโอกาสคุกคาม- เพื่อปกป้องเครือข่ายและแอปพลิเคชัน WFH และการเรียนทางไกล องค์กรจำเป็นต้องมีการเข้าถึงแบบ Zero-trust เพื่อให้สิทธิ์การเข้าถึงน้อยที่สุด เพื่อป้องกันอุปกรณ์ปลายทางที่เป็น IoT และอุปกรณ์ใช้เข้าเครือข่าย
4) หลังการหยุดชะงักของอาชญากรรมทางอินเทอร์เน็ต พบปริมาณการคุกคามลดลง: ในการรักษาความปลอดภัยทางไซเบอร์ไม่ใช่ทุกการกระทำที่มีผลทันทีหรือถาวร แต่หลายเหตุการณ์ในปี 2564 นี้แสดงให้เห็นถึงการพัฒนาในเชิงบวกโดยเฉพาะสำหรับผู้ที่รับผิดชอบด้านความปลอดภัย ผู้พัฒนาดั้งเดิมของ TrickBot ถูกฟ้องร้องหลายข้อหาในเดือนมิถุนายน
– นอกจากนี้ พบการโค่นล้มกระบวนการปฏิบัติการมัลแวร์ที่มีประสิทธิผลมากที่สุดในประวัติศาสตร์ของภัย Emotet เมื่อเร็วๆ นี้ ตลอดจนมีแรงผลักดันที่สำคัญจากผู้รับผิดชอบปกป้องทางไซเบอร์ รวมถึงรัฐบาลทั่วโลกและการบังคับใช้กฎหมายเพื่อควบคุมอาชญากรรมทางอินเทอร์เน็ต ร่วมกันขัดขวางการทำงานของแรนซัมแวร์ Egregor, NetWalker และ Cl0p
– ยิ่งไปกว่านั้น ความร่วมมือดังกล่าวมีความแข็งแกร่งมากขึ้น จนได้ทำให้ผู้คุกคามแรนซัมแวร์สองสามรายประกาศหยุดการดำเนินการ
– ข้อมูลจากฟอร์ติการ์ดแล็บส์แสดงให้เห็นว่า ภายหลังจากการหยุดยั้งภัย Emotet ได้สำเร็จ กิจกรรมการคุกคามมีการชะลอตัว แต่ยังคงมีกิจกรรมที่เกี่ยวข้องกับ TrickBot และ Ryuk อยู่ในระดับที่ลดลง ทั้งหมดนั้นแสดงถึงความยากลำบากในการกำจัดภัยคุกคามไซเบอร์หรือห่วงโซ่ Killing chain ของผู้ประสงค์ร้าย แต่ความยากลำบากเหล่านี้เป็นความสำเร็จครั้งสำคัญ
5) พบเทคนิคการเลี่ยงการป้องกันและการหลบหนีที่อาชญากรไซเบอร์ตั้งใจ: ฟอร์ติการ์ดแล็บส์ได้ศึกษาข่าวกรองภัยคุกคามที่มีความละเอียดสูงขึ้น และพบประเด็นสำคัญเกี่ยวกับการพัฒนาเทคนิคการโจมตีในปัจจุบัน
– ฟอร์ติการ์ดแล็บส์ใช้ฟังก์ชันเฉพาะในการตรวจพบมัลแวร์ เพื่อวิเคราะห์หาผลลัพธ์ที่อาชญากรไซเบอร์ตั้งใจ สิ่งที่พบคือ หากเพย์โหลดปล่อยโค้ดที่ทำให้เกิดอันตรายในสภาพแวดล้อมเป้าหมายแล้ว อาชญากรไซเบอร์จะพยายามแอบยกระดับสิทธิ์ของผู้ใช้งาน หลบเลี่ยงการป้องกัน แฝงกายไปทางด้านข้างผ่านระบบภายใน และกรองข้อมูลที่ถูกบุกรุก รวมถึงเทคนิคอื่นๆ
– ตัวอย่างเช่น สังเกตพบ 55% ของฟังก์ชันการเพิ่มระดับสิทธิ์ที่ถูกใช้ประโยชน์จาก hooking และอีก 40% เกิดจากการแทรกกระบวนการ
– ประเด็นสำคัญคือได้ค้นพบเทคนิคที่อาชญากรไซเบอร์มุ่งเน้นอย่างชัดเจนในการหลบเลี่ยงการป้องกันและกลยุทธ์การแอบเพิ่มสิทธิพิเศษ แม้ว่าเทคนิคเหล่านี้จะไม่สิ่งแปลกใหม่ แต่ผู้รับผิดชอบจะรู้ทันและสามารถป้องกันการโจมตีในอนาคตได้ทันท่วงที โดยเฉพาะอย่างยิ่ง องค์กรต้องใช้แพลตฟอร์มที่ขับเคลื่อนด้วยเอไอแบบบูรณาการและใช้ข่าวกรองภัยคุกคามที่ลงมือปฏิบัติได้ทันที อันเป็นแพลทฟอร์มที่จำเป็นในการป้องกันส่วนเอจด์ของเครือข่าย มีศักยภาพในการระบุและแก้ไขภัยคุกคามที่องค์กรเผชิญอยู่ในปัจจุบันได้แบบเรียลไทม์
สิ่งสำคัญนั้นคือ ความร่วมมือ การฝึกอบรม และการป้องกัน การตรวจจับ และการตอบสนองที่ขับเคลื่อนโดยเอไอ ในช่วงครึ่งแรกของปีนี้ อาจเป็นจุดเปลี่ยนที่สำคัญสำหรับอนาคตได้ ซึ่งหน่วยงานราชการและผู้บังคับด้านกฏหมายกำลังทำงานร่วมกับผู้จำหน่ายอุปกรณ์ องค์กรสำนักข่าวกรองภัยคุกคาม และองค์กรพันธมิตรระดับโลกอื่นๆ เพื่อรวมทรัพยากรและข้อมูลภัยคุกคามแบบเรียลไทม์ เพื่อจัดการกับอาชญากรไซเบอร์ได้ อย่างไรก็ตาม การตรวจจับภัยคุกคามแบบอัตโนมัติที่ใช้เอไอยังคงเป็นสิ่งจำเป็นในการช่วยให้องค์กรสามารถจัดการกับการโจมตีแบบเรียลไทม์และหยุดยั้งการโจมตีได้อย่างรวดเร็ว และปกป้องได้ทั่วเครือข่ายเอจด์ นอกจากนี้ การฝึกอบรมสร้างการตระหนักรู้ให้ผู้ใช้สร้างความปลอดภัยไซเบอร์ก็มีความสำคัญอยู่ไม่น้อย ทุกคนต้องการคำแนะนำอย่างสม่ำเสมอถึงแนวทางปฏิบัติที่ดีที่สุดเพื่อให้พนักงานแต่ละคนและองค์กรมีความปลอดภัยสูงสุด
เกี่ยวกับรายงานภูมิทัศน์ภัยคุกคามรายงานภูมิทัศน์ภัยคุกคามทั่วโลกล่าสุดนี้เป็นมุมมองที่แสดงถึงข่าวกรองโดยรวมของฟอร์ติการ์ดแล็บส์ซึ่งรับมาจากเซ็นเซอร์จำนวนมากของฟอร์ติเน็ต ที่รวบรวมเหตุการณ์ภัยคุกคามนับพันล้านครั้งทั่วโลกในช่วงครึ่งแรกของปี 2564 คล้ายกับที่กรอบงานของ MITER ATT&CK ที่ทำหน้าที่จำแนกกลยุทธ์ของผู้ประสงค์ร้าย เทคนิคและขั้นตอนของ 3 กลุ่มแรกที่สำคัญ ครอบคลุมถึง Renaissance และ Resource Development และ Initial Access ทั้งนี้ รายงานภูมิทัศน์ภัยคุกคามทั่วโลกของฟอร์ติการ์ดแล็บส์ใช้ประโยชน์จากโมเดลนี้ในการอธิบายถีงผู้คุกคามค้นหาช่องโหว่ สร้างโครงสร้างพื้นฐานที่เป็นอันตราย และใช้ประโยชน์จากเป้าหมายได้อย่างไร ซึ่งรายงานได้ให้รายละเอียดในระดับโลกและในระดับภูมิภาคอีกด้วย
เกี่ยวกับฟอร์ติการ์ดแล็บส์
ฟอร์ติการ์ดแล็บส์ (FortiGuard Labs) เป็นองค์กรวิจัยและข่าวกรองภัยคุกคามอันเป็นส่วนหนึ่งของฟอร์ติเน็ต ภารกิจของฟอร์ติการ์ดแล็บส์ คือการให้ลูกค้าของฟอร์ติเน็ตมีระบบข้อมูลภัยคุกคามที่ดีที่สุดในอุตสาหกรรม ซึ่งออกแบบมาเพื่อปกป้องจากกิจกรรมที่เป็นอันตรายและการโจมตีทางไซเบอร์ที่ซับซ้อน ฟอร์ติการ์ดแล็บส์ประกอบด้วยนักล่าภัยคุกคาม นักวิจัย นักวิเคราะห์ วิศวกร และนักวิทยาศาสตร์ข้อมูลที่มีความรู้มากที่สุดในอุตสาหกรรม ทำงานในห้องปฏิบัติการวิจัยภัยคุกคามโดยเฉพาะทั่วโลก ฟอร์ติการ์ดแล็บส์ตรวจสอบพื้นผิวการโจมตีทั่วโลกอย่างต่อเนื่องโดยใช้เซ็นเซอร์เครือข่ายนับล้านและพันธมิตรแบ่งปันข่าวกรองหลายร้อยราย วิเคราะห์และประมวลผลข้อมูลโดยใช้ปัญญาประดิษฐ์และเทคโนโลยีที่เป็นนวัตกรรมอื่นๆ เพื่อศึกษาขุดข้อมูลทั้งหมดเพื่อค้นหาภัยคุกคามใหม่ ความพยายามเหล่านี้ส่งผลให้เกิดข่าวกรองภัยคุกคามที่ทันท่วงทีและดำเนินการได้ในรูปแบบของการอัปเดตผลิตภัณฑ์ด้านความปลอดภัยของฟอร์ติเน็ต การวิจัยภัยคุกคามเชิงรุกเพื่อช่วยให้ลูกค้าของฟอร์ติเน็ตเข้าใจภัยคุกคามและภัยคุกคามที่ตนเผชิญได้ดีขึ้น และโดยการให้บริการให้คำปรึกษาด้านภัยคุกคามที่ชาญฉลาดเพื่อช่วยให้ลูกค้าของฟอร์ติเน็ตเข้าใจและสามารถป้องกันภูมิทัศน์ภัยคุกคามของตนเองได้ดีขึ้น รู้จักฟอร์ติการ์ดแล็บส์ เพิ่มเติมได้ที่ http://www.fortinet.com
เกี่ยวกับฟอร์ติเน็ต
ฟอร์ติเน็ต (NASDAQ: FTNT) ปกป้ององค์กร ผู้ให้บริการ และหน่วยงานรัฐบาล ขนาดใหญ่ทั่วโลกให้พ้นจากภัยไซเบอร์ ฟอร์ติเน็ตช่วยให้ลูกค้าสามารถมีข้อมูลเชิงลึกในภัยคุกคาม และสร้างการป้องกันที่ชาญฉลาดให้ธุรกิจลูกค้าดำเนินไปอย่างราบรื่น เพื่อตอบสนองความต้องการด้านประสิทธิภาพที่เพิ่มขึ้นตลอดเวลาต่อเครือข่ายไร้พรมแดนในวันนี้และในอนาคต ทั้งนี้ เครือข่ายด้านความปลอดภัยซีเคียวริตี้แฟบลิคอันเป็นสถาปัตยกรรมใหม่จากฟอร์ติเน็ตเท่านั้นที่สามารถมอบคุณสมบัติด้านความปลอดภัยโดยจะไม่ยอมแพ้แก่ภัยที่เข้ามา ไม่ว่าจะเป็นในเครือข่าย แอปพลิเคชัน มัลติ-คลาวด์ หรือ อุปกรณ์ปลายทาง เช่น โมบาย หรือไอโอที ฟอร์ติเน็ตดำรงตำแหน่งเป็น #1 ในการจัดส่งอุปกรณ์ด้านความปลอดภัยสู่ตลาดโลกมากที่สุด และมีลูกค้ามากกว่า 530,000 รายทั่วโลกไว้วางใจฟอร์ติเน็ตให้ปกป้องธุรกิจของตน ทั้งนี้ ศูนย์อบรม Fortinet Network Security Expert (NSE) Training Institute เป็นผู้จัดหลักสูตรการอบรมด้านความปลอดภัยไซเบอร์ที่ใหญ่ที่สุดและครอบคลุมมากที่สุดแห่งหนึงในอุตสาหกรรม รู้จักฟอร์ติเน็ตเพิ่มเติมได้ที่ www.fortinet.com
ที่มา: คอมมิวนิเคชั่น อาร์ต