สกมช. ร่วมกับ กองทุนดีอี จัดประชุมเสวนา “สถานการณ์ภัยคุกคามทางไซเบอร์ในประเทศไทย และแนวทางในการตรวจจับ (Detection) พร้อมรับมือกับภัยคุกคามฯ (Response) กับสถานการณ์ในปัจจุบัน” เพื่อยกระดับการป้องกันภัยทางไซเบอร์
สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ร่วมกับ กองทุนพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม จัดประชุมเสวนาในหัวข้อ “สถานการณ์ภัยคุกคามทาง ไซเบอร์ในประเทศไทย และแนวทางในการตรวจจับ (Detection) พร้อมรับมือกับภัยคุกคามฯ (Response) กับสถานการณ์ในปัจจุบัน” ภายใต้โครงการจัดหาระบบวิเคราะห์การโจมตีบนเครือข่ายสำหรับตรวจจับภัยคุกคามทางไซเบอร์ (GMS) และโครงการจัดหาระบบตรวจจับพฤติกรรมและวิเคราะห์ข้อมูลอาชญากรรมทางไซเบอร์เชิงรุก (PCW) โดยจัดขึ้น ณ โรงแรมเซ็นทารา ไลฟ์ ศูนย์ราชการและคอนเวนชันเซนเตอร์ แจ้งวัฒนะ ศูนย์ประชุมวายุภักษ์ ห้องประชุมวายุภักษ์ 3 กรุงเทพมหานคร
พันตำรวจเอก ณัทกฤช พรหมจันทร์ ผู้อำนวยการ สำนักปฏิบิติการ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) กล่าวรายงานว่า สกมช.ได้มีโครงการจัดหาระบบวิเคราะห์การโจมตีบนเครือข่ายสำหรับตรวจจับภัยคุกคามทาง ไซเบอร์ (GMS) และโครงการจัดหาระบบตรวจจับพฤติกรรมและวิเคราะห์ข้อมูลอาชญากรรมทาง ไซเบอร์เชิงรุก (PCW) สำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศและหน่วยงานภาครัฐ โดยสถานการณ์ภัยคุกคามทางไซเบอร์ต่อภาครัฐในปัจจุบันรุนแรง และซับซ้อนมากขึ้น สถิติการโจมตีทางไซเบอร์มีแนวโน้มเพิ่มสูงขึ้นอย่างต่อเนื่อง การจัดประชุมเสวนาครั้งนี้มีเป้าหมายเพื่อจัดเตรียมระบบวิเคราะห์การโจมตีบนเครือข่ายสำหรับตรวจจับภัยคุกคามทางไซเบอร์ และโครงการจัดหาระบบตรวจจับพฤติกรรมและวิเคราะห์ข้อมูลอาชญากรรมทางไซเบอร์เชิงรุก เตรียมทีมงานผู้เชี่ยวชาญเฝ้าระวัง สนับสนุนหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศและหน่วยงานภาครัฐที่สำคัญ ยกระดับมาตรการการป้องกันภัยทางไซเบอร์เชิงรุกพร้อมเพิ่มประสิทธิภาพการตรวจสอบ และการประเมินความเสี่ยง เพื่อลดผลกระทบจากการโจมตีที่อาจจะเกิดขึ้นต่อหน่วยงานได้ทันท่วงที และให้ข้อมูลที่เป็นประโยชน์สำหรับหน่วยงานที่ต้องการเข้าร่วมทั้ง 2 โครงการได้รับทราบ โดยการเข้ารวมโครงการนี้จะไม่เสียค่าใช้จ่าย
พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เป็นประธานในพิธีเปิด กล่าวว่า “วัตุประสงค์หลักการจัดงานครั้งนี้ อยากจะชวนให้หน่วยงานที่มีความพร้อม และความจำเป็นที่จะต้องเฝ้าระวังภัยคุกคามในรูปแบบต่าง ๆ ให้มาเข้าร่วมโครงการ โดยวันนี้จะได้รับทราบถึงลักษณะของภัยคุกคาม และนำเสนอทางออก โดยนำเสนอ 2 โครงการ ได้แก่โครงการระบบวิเคราะห์การโจมตีบนเครือข่ายสำหรับตรวจจับภัยคุกคามทาง ไซเบอร์ (GMS) และโครงการจัดหาระบบตรวจจับพฤติกรรมและวิเคราะห์ข้อมูลอาชญากรรมทาง ไซเบอร์เชิงรุก (PCW) แม้การเข้าร่วมโครงการ หน่วยงานจะไม่เสียค่าใช้จ่าย แต่ต้องมีทีมงานที่มีความพร้อมจะร่วมทำงานกับทาง สกมช. เพื่อร่วมกันเข้าแก้ปัญหา สกมช.เตรียมปัจจัยทาง เทคโนโลยี เครื่องมือ อุปกรณ์ให้ แต่ต้องการความร่วมมือจากหน่วยงานต่าง ๆ ในการเตรียมความพร้อมของคน มาทำงานร่วมกัน เพื่อประสบความสำเร็จในการเพิ่มความมั่นคงปลอดภัยไซเบอร์ให้แก่หน่วยงานของท่าน และประเทศของเรา”
ต่อไปเป็นการเสวนา โดยตัวแทนของ 4 หน่วยงาน ได้แก่ พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ คุณตติยรัตน์ หอมสำอางค์ ผู้อำนวยการส่วนระบบโครงสร้างพื้นฐานสำนักเทคโนโลยีสารสนเทศ กรมที่ดิน คุณชูเกียรติ ประเสริฐสุข ผู้อำนวยการส่วนความมั่นคงปลอดภัยไซเบอร์ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กระทรวงการต่างประเทศ และ นพ.สุรัคเมธ มหาศิริมงคล ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานปลัดกระทรวงสาธารณสุข ในหัวข้อ “สถานการณ์ภัยคุกคามทางไซเบอร์ในประเทศไทย และแนวทางในการตรวจจับ (Detection) พร้อมรับมือกับภัยคุกคามฯ (Response) กับสถานการณ์ในปัจจุบัน” โดยกล่าวถึงภัยคุกคามทางไซเบอร์ที่แต่ละหน่วยงานเคยประสบ และภารกิจของ สกมช. ตาม พรบ. การรักษาความมั่นคงไซเบอร์ พ.ศ.2562
คุณวีระยุทธ์ เพริดพราว ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ ได้ชี้ให้เห็นข้อมูลจาก MITRE ATT&CK 2024 ซึงเป็นการสรุปข้อมูลกิจกรรมภัยคุกคามไซเบอร์ทั่วโลกในปี 2023 พบว่ามีกลุ่มคนแฮกเกอร์กว่า 4,000 กลุ่ม เป็นจำนวนแฮกเกอร์ล้านกว่าคน โดยมุ่งวัตถุประสงค์ต่าง ๆ กันทั้งที่ชัดเจนอย่างเช่นทางการเงิน และที่ไม่ชัดเจน พร้อมที่จะโจมตีหน่วยงานใด ๆ ได้ตลอดเวลา สกมช.จึงตั้งโครงการ GMS และ PWC ขึ้นมาเพื่อให้หน่วยงานต่าง ๆ ของรัฐ ตะหนักว่าตนมีความพร้อมรับการรับการโจมตีแค่ไหน และเพิ่มศักยภาพในการรับมือการโจมตี
“Ransomware เป็นตัวอย่างที่คุ้นเคยกันดี โดยมีการโจมตีหน่วยงานต่าง ๆ ทั่วโลก นาทีละ 4 หน่วยงาน ถ้าเราไม่มีองค์ความรู้ที่ถูกต้อง เราจะรับมือย่างผิดวิธี ทำให้เพิ่มปัญหามากขึ้น ปัจจุบัน Ransomware ซับซ้อนขึ้น มีการโจมตีหลายละลอกเพื่อดูว่าหน่วยงานนั้นตอบสนองอย่างไร เดิมถ้า Server โดน มักจะทำการ Cleaned หรือ Formatted ขึ้น Backup กลับมา แต่ไม่รู้ว่า Ransomware ไปฝังตัวอยู่ที่ไหน ซุ้มดูอยู่ภายใน ทำให้การโจมตีละลอกถัดมารุนแรง และขยายวงกว้างมากขึ้น ที่หนักที่สุดไม่มี Backup ให้ recover ถ้าเรามีการ backup ที่ไม่ดี การเตรียมพร้อมที่ไม่ดี รวมทั้งรูปแบบการตอบสนองภัยคุกคามที่ไม่ถูกวิธี จะซ้ำทำให้อาการหนักขึ้น”
ในงานเสวนา ได้กล่าวถึง MITRE ATT&CK คือฐานข้อมูลที่รวบรวมลักษณะเฉพาะ และสิ่งที่บ่งบอกว่ารูปแบบของภัยคุกคามการโจมตีเพื่อให้สามารถรับมือกับภัยคุกคามนั้นได้อย่างเหมาะสม การโจมตีทางไซเบอร์ที่เกิดขึ้นมากที่สุด 5 รูปแบบได้แก่ Malware, Ransomware, Web Application Hacking, Insider Privilege and Misuse และ Targeted Intrusions ถ้าสามารถระบุพฤติกรรมการโจมตีได้ตามตารางของ MITRE ATT&CK จะสามารถตอบสนองในรูปแบบที่เหมาะสมได้อย่างครอบคลุมสมบูรณ์ เข้าใจภาพรวม เห็นและตอบสนองภัยคุกคามไปในทิศทางเดียวกัน แล้วจะรับมือภัยคุกคามได้อย่างมีประสิทธฺภาพ
สกมช. นำเสนอโครงการจัดหาระบบวิเคราะห์การโจมตีบนเครือข่ายสำหรับตรวจจับภัยคุกคามทางไซเบอร์ (GMS) เพื่อต่อสู้กับภัยคุกคามไซเบอร์ที่รุนแรง และซับซ้อนขึ้นทุกวัน โดยใช้แนวทาง ที่ช่วยหน่วยงานให้มากที่สุดด้วยการลงแรง และงบประมาณที่น้อยที่สุดกับหน่วยงานภาครัฐ ที่มีความสำคัญที่เป็นโครงสร้างพื้นฐานสำคัญของประเทศ และหน่วยงานภาครัฐที่สำคัญ โครงการนี้จะประกอบด้วย
- NDR (Network Detection and Response) : ตรวจจับ Traffic ที่ต้องสงสัยและเป็นภัยคุกคามด้วย Machine Learning,
- EDR (Endpoint Detection and Response) : ติดตั้งเพื่อช่วยยับยั้ง/หาสาเหตุเชิงลึกในระดับเครื่อง (Endpoint) ที่ก้าวหน้ามากขึ้น มากกว่า Antivirus แบบเดิม
- ศูนย์เฝ้าระวังภัยคุกคามทางไซเบอร์ (Security Operation Center) : แจ้งเตือน พร้อมให้คำปรึกษาในกรณีตรวจพบเหตุการณ์ที่อยู่ในข่ายเป็นภัยคุกคามฯ
การเข้าร่วมโครงการ GMS กับ สกมช. จะช่วยให้หน่วยงานต่าง ๆ ได้ประโยชน์คือ
- ได้ทัพเสริม Border Security Monitoring (Improve MTTD) ช่วยระวังภัยจากภัยคุกคามภายนอกให้ตลอด 24 ชั่วโมง
- เพิ่มการเห็นภัยคุกคามภายในหน่วยงาน (improve East-West Visibility)
- ทีมช่วยสนับสนุนการรับมือและตอบสนองต่อภัยคุกคามไซเบอร์ (Fry-Away IR Team)
- เกิดความร่วมมือและเครือข่ายในการป้องกันภัยคุกคามทางไซเบอร์ทั้งในระดับหน่วยงานและระดับประเทศ (Center for Threat-Informed Defense)
คุณสฤษดิ์พงษ์ บับพาน ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ ได้ให้รายละเอียดของแผนการดำเนินงาน รูปแบบการติดตั้ง และการเตรียมความพร้อมของหน่วยงานที่ต้องการเข้าร่วมในโครงการ GMS
คุณชญา ลิมจิตติ ที่ปรึกษามูลนิธิศูนย์สารสนเทศเครือข่ายไทย ได้บรรยายในหัวข้อ ลดภัยไซเบอร์ด้วยระบบชื่อโดเมน โดยปัจจุบันภัยไซเบอร์ที่เกี่ยวข้องกับชื่อโดเมนมีมากขึ้น จึงแนะนำแนวทางลดภัยไซเบอร์ด้วยระบบชื่อโดเมน โดยมีแนวทางดังนี้
- ชื่อโดเมนที่ลงท้ายด้วย .com หรืออื่นๆ เสี่ยงกว่าที่ลงท้ายด้วย .th ซึ่งควบคุมดูแลโดยมูลนิธิศูนย์สารสนเทศไทย ผู้ใช้ต้องประเมินเองว่าเจ้าของ .com มีตัวตนจริงหรือไม่ และชื่อโดเมนนั้นเป็นมิจฉาชีพหรือไม่ และการใช้ https:// ใม่ช่วยลดภัยไซเบอร์
- บริการของรัฐ / โครงการของรัฐ / หน่วยงานของรัฐ จดทะเบียนชื่อบริการ ชื่อโครงการหรือชื่อหน่วยงาน ด้วยชื่อโดเมนที่ลงท้ายด้วย th หรือ or.th
- ถ้าใช้ชื่อเว็บเป็นภาษาไทย ควรใช้ .ไทย ตัวอย่างเช่น https://แบ่งปั่น.ไทย
คุณสาธิต ชัยวิวัฒน์ตระกูล ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ ได้นำเสนอหลักการ แนวคิดและเทคโนโลยีที่ใช้ในโครงการตรวจจับพฤติกรรมและวิเคราะห์ข้อมูลอาชญากรรมทางไซเบอร์เชิงรุก (Proactive Cyber Watch : PCW) พร้อมกรณีศึกษา โดยโครงการนี้จะประกอบด้วย
- DNS Security Service ป้องกันการโจมตีระบบเครือข่ายและการขโมยข้อมูลผ่านทาง DNS ซึ่ง 95% ของมัลแวร์จะใช้ช่องทาง DNS ในการโจมตี
- Attack Surface Services แจ้งเตือนหน่วยงานก่อนที่ผู้ไม่หวังดี หรือกลุ่มแฮกเกอร์ โจมตีระบบจากมุมมองการเข้าถึงจากภายนอก (Internet Facing)
- Threat Intelligence Service แจ้งเตือนจากข่าวกรองทางไซเบอร์ (Cyber Threat Intelligence) เมื่อมีข้อมูลส่วนบุคคล ข้อมูลสำคัญ ข้อมูลความลับของหน่วยงานฯ รั่วไหล
คุณอรรถพงษ์ หาบสา ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ ได้ให้รายละเอียดของแผนการดำเนินงาน รูปแบบการติดตั้งและการเตรียมความพร้อมเข้าร่วมในโครงการ
พันตำรวจเอก ณัทกฤช พรหมจันทร์ ผู้อำนวยการ สำนักปฏิบิติการ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) กล่าวสรุปว่า การเสวนาครั้งนี้ หน่วยงานภาครัฐที่เข้าร่วมจะได้รับทราบถึงแน้วโน้มสถานการณ์ภัยคุกคามทางไซเบอร์ต่อภาครัฐที่เพิ่มขึ้น และรับทราบถึงหลักการ แนวคิด และเทคโนโลยีของโครงการระบบวิเคราะห์การโจมตีบนเครือข่ายสำหรับตรวจจับภัยคุกคามทางไซเบอร์ (GMS) และโครงการระบบตรวจจับพฤติกรรมและวิเคราะห์ข้อมูลอาชญากรรมทางไซเบอร์เชิงรุก (PCW)
โดย GMS เปิดรับสมัครและคัดเลือกหน่วยงานเข้าร่วมโครงการในปีนี้ 100 หน่วยงาน โดยให้หน่วยงาน ตาม พ.ร.บ.ไซเบอร์ก่อน คือหน่วยงานที่มีโครงสร้างพื้นฐานสำคัญ ถ้าโดนโจมตีจะกระทบต่อคนหมู่มาก กลุ่มที่ 2 หน่วยงานภาครัฐสำคัญ ตามด้วยหน่วยงานภาครัฐที่เคยถูกโจมตี โดยในปีที่ผ่านมามีหน่วยงานภาครัฐถูกโจมตีถึง 1,800 หน่วยงาน ส่วนในปีนี้มีถึง 1,500 หน่วยงานที่ถูกโจมตีและมีแนวโน้มเพิ่มขึ้น ส่วนโครงการ PCW จะรับสมัครและคัดเลือก 200 หน่วยงานภาครัฐ และภาคเอกชนอีก 10 หน่วยงานที่ใหญ่ และสำคัญซึ่งถ้าถูกโจมตีมีผลกระทบต่อคนจำนวนมาก หลังจากวันนี้ทางหน่วยงานต่าง ๆ จะได้รับ QR แบบประสงค์ และแบบประเมินความพร้อมของหน่วยงาน ให้กรอกข้อมูลภายในวันที่ 28 กรกฎาคมนี้ ส่งเข้ามาเพื่อคัดเลือกเข้าร่วมทั้ง 2 โครงการ