xs
xsm
sm
md
lg

ฟอร์ติเน็ตโชว์ภัยไซเบอร์ต้นปี เน้นเจาะแอปฮิต มาตามนัดช่วงที่ผู้ใช้ออนไลน์

เผยแพร่:   โดย: ผู้จัดการออนไลน์


รายงานภาพรวมภัยคุกคามของฟอร์ติเน็ต (Fortinet) พบว่าเกือบ 60% ของภัยคุกคามสะท้อนว่าบอตเน็ตส่วนใหญ่หันมาใช้โครงสร้างพื้นฐานที่มีอยู่แล้วมากขึ้น ย้ำภาพภัยคุกคามส่วนใหญ่แบ่งปันใช้โครงสร้างพื้นฐานร่วมกัน ด้านสถิติในประเทศไทย การโจมตีช่องโหว่ที่ได้รับความนิยมสูงสุดคือการโจมตีที่เกี่ยวข้องกับสคริปต์ที่เข้ารหัสโดยใช้ JavaScript

ฟิล เควด ประธานเจ้าหน้าที่ด้านความปลอดภัยข้อมูล แห่งฟอร์ติเน็ต กล่าวว่าในไตรมาสที่ผ่านมา บริษัทเห็นขบวนการอาชญากรไซเบอร์ที่สะท้อนให้เห็นถึงกลยุทธ์และวิธีการของผู้คุกคามในระดับประเทศ และยังเห็นเป้าหมายที่เป็นอุปกรณ์และเครือข่ายที่อาชญากรกำลังเล็งอยู่ องค์กรต่างๆ จึงจำเป็นต้องทบทวนกลยุทธ์ของตนเสียใหม่ เพื่อให้ใช้งานในอนาคตได้ดีกว่าและจัดการความเสี่ยงทางไซเบอร์ได้ดีกว่า

“ขั้นตอนแรกที่สำคัญคือ ต้องบริหารเรื่องความปลอดภัยทางไซเบอร์ให้เป็นเชิงวิทยาศาสตร์ – คือทำสิ่งพื้นฐานให้ดีที่สุด - ซึ่งต้องใช้ประโยชน์จากความเร็วและการเชื่อมต่อของโครงสร้างด้านความปลอดภัยเพื่อการป้องกันที่ดีที่สุด ทั้งนี้ การประยุกต์ใช้เครือข่ายผืนผ้าหรือ Fabric ด้านความปลอดภัย การทำ Micro และ Macro segmentation ในระบบเครือข่าย และการใช้ประโยชน์จากเทคโนโลยีแมชชีนเลิร์นนิ่งและระบบอัตโนมัติเพื่อต่อยอดสร้างเอไอนั้น จะสามารถเป็นอาวุธสำคัญ ต้อนให้ผู้ประสงค์ร้ายถอยกลับออกไปได้”

ฟอร์ติเน็ต ประกาศรายงานภูมิทัศน์ด้านภัยคุกคามทั่วโลกรายไตรมาส 1 ปี 2019 ว่าอาชญากรไซเบอร์ยังคงพัฒนาวิธีการโจมตีที่ซับซ้อนต่อไป ตั้งแต่การเรียกค่าไถ่แรนซัมแวร์และการเข้ารหัสที่กำหนดเองสำหรับการโจมตี (Custom coding) ไปจนถึงเทคนิคการอยู่รอดของภัยได้ด้วยตนเอง (Living-off-the-land: LoTL) หรือการแบ่งปันโครงสร้างพื้นฐานเพื่อเพิ่มโอกาสในการคุกคามภัย

การสำรวจยังพบว่าพฤติกรรมคุกคามมีการดำเนินการตามขั้นตอนของการโจมตีตามตารางวันต่างๆ ในสัปดาห์ แสดงให้เห็นว่าอาชญากรไซเบอร์กำลังมองหาโอกาสที่เป็นไปได้สูงสุดอยู่ตลอดเวลา ทั้งนี้ เมื่อเปรียบเทียบกับจำนวนของการกรองเว็บในการกำจัดภัยไซเบอร์ใน 2 ขั้นตอนในช่วงวันธรรมดาและวันหยุดสุดสัปดาห์แล้ว พบว่า มีแนวโน้มว่าเกิดพฤติกรรมก่อนถูกภัยประนีประนอม (Pre-compromise activity) ขึ้นประมาณ 3 ครั้งในช่วงสัปดาห์การทำงาน ในขณะที่พฤติกรรมหลังภัยประนีประนอม (Post-compromise activity) นั้นมีจำนวนน้อยกว่า

เหตุผลเนื่องมาจาก กิจกรรมการคุกคามที่เป็นประเภทแสวงหาผลประโยชน์มักจะต้องการการลงมือกระทำอย่างใดอย่างหนึ่ง เช่น เหยื่อต้องคลิกที่อีเมลหลอกลวง ซึ่งในทางตรงกันข้าม กิจกรรมประเภทคำสั่งและการควบคุม (Command-and-Control: C2) จะไม่ต้องการให้ใครลงมือกระทำใดๆ และอันที่จริงสามารถเกิดขึ้นได้ทุกเวลา ซึ่งอาชญากรไซเบอร์เข้าใจข้อแตกต่างนี้ จึงลงมือคุกคามเพื่อเพิ่มโอกาสในระหว่างสัปดาห์ซึ่งเป็นช่วงที่มีกิจกรรมทางอินเทอร์เน็ตมากที่สุด ดังนั้น การแยกแยะวิธีควรปฏิบัติของวิธีการกรองเว็บระหว่างในวันธรรมดาและวันหยุดสุดสัปดาห์จึงเป็นสิ่งที่สำคัญ เพื่อให้สามารถเข้าใจกระบวนการโจมตีของภัยต่างๆ ได้

การสำรวจยังพบว่าภัยคุกคามส่วนใหญ่แบ่งปันใช้โครงสร้างพื้นฐานร่วมกัน การที่ภัยคุกคามที่แตกต่างกันแบ่งปันโครงสร้างใช้ด้วยกันนั้นแสดงให้เห็นถึงเทรนด์แนวโน้มที่น่าจับตามองบางประการ ภัยคุกคามบางอย่างใช้ประโยชน์จากโครงสร้างพื้นฐานที่ใช้กันแพร่หลายมากกว่าที่จะใช้โครงสร้างพื้นฐานเฉพาะ พบว่าภัยจำนวนเกือบ 60% ได้ใช้โดเมนร่วมกันอย่างน้อยหนึ่งโดเมน ซึ่งเป็นการบ่งชี้ว่าบอทเน็ตส่วนใหญ่นิยมใช้โครงสร้างพื้นฐานที่มีอยู่แล้วมากขึ้น

ตัวอย่างเช่น การใช้โทรจันชื่อ IcedID ที่ตอบสนองคำถามที่ว่า “จะซื้อหรือสร้างใหม่ทำไม เมื่อคุณสามารถยืมได้” นอกจากนี้ เมื่อภัยคุกคามแบ่งปันใช้โครงสร้างพื้นฐานกันแล้ว ภัยมักใช้โครงสร้างนั้นในขั้นตอนการคุกคามด้วยเช่นกัน อย่างไรก็ตาม พบว่าเมื่อภัยคุกคามได้ใช้ประโยชน์จากโดเมนเพื่อหาประโยชน์ในตอนต้นแล้ว จากนั้นในช่วงการรับส่งข้อมูลแบบ C2 ภัยจะไม่ใช้ประโยชน์จากโดเมนซ้ำอีก ซึ่งการค้นพบนี้ชี้ให้เห็นว่าโครงสร้างพื้นฐานมีบทบาทหรือหน้าที่เฉพาะในการคุกคาม ดังนั้น การทำความเข้าใจว่าภัยใดแบ่งปันโครงสร้างใด ที่จุดการคุกคามใดนั้น จะช่วยให้องค์กรสามารถคาดการณ์ถึงวิวัฒนาการที่เป็นไปได้ของมัลแวร์หรือบอทเน็ตในอนาคตได้

สิ่งสำคัญที่ฟอร์ติเน็ตพบคือการบริหารคอนเท้นต์ต้องการการจัดการที่ต่อเนื่อง เนื่องจากผู้ประสงค์ร้ายมักเปลี่ยนเป้าหมายในการคุกคามจากโอกาสหนึ่งไปสู่โอกาสต่อไปในอีกกลุ่มหนึ่ง โดยมุ่งใช้ประโยชน์จากช่องโหว่ที่ถูกโจมตีและจุดที่เทคโนโลยีไม่ราบรื่น เพื่อขยายโอกาสคุกคามอย่างรวดเร็ว

นอกจากนี้ แรนซัมแวร์ยังจะไม่หายไปง่ายๆ แม้ขณะนี้จะพบจำนวนเป้าหมายที่ถูกโจมมากขึ้นทำให้อัตราคุกคามของแรนซัมแวร์น้อยลง แต่แรนซัมแวร์ยังจะไม่หายไปง่ายๆ ยิ่งไปกว่านั้น พบว่าการโจมตีที่เดิมหลายๆ ครั้งนั้นเป็นการมุ่งโจมตีเป้าหมายที่มีมูลค่าสูงและเพื่อให้สิทธิ์แก่ผู้คุกคามให้เข้าถึงเครือข่ายได้

สำหรับสถิติในประเทศไทย ฟอร์ติการ์ตแล็ปส์รายงาน 5 อันดับของภัยคุกคาม 3 ประเภท โดยแยกเป็นสถิติของภัย Exploit ที่แสดงให้เห็นว่าผู้โจมตีพยายามสอดส่องหาระบบที่มีช่องโหว่และพยายามใช้ช่องโหว่เหล่านั้นคุกคามเข้ามา ทั้งนี้ การโจมตีช่องโหว่ที่ได้รับความนิยมสูงสุดคือการโจมตีที่เกี่ยวข้องกับสคริปต์ที่เข้ารหัสโดยใช้ JavaScript ตามด้วยการโจมตีช่องโหว่ใน ntpsec (NTPsec.ntpd.ctl_getitem.Out.of.Bounds.Read) ที่ได้เปิดเผยต่อสาธารณะไปเมื่อเดือนมกราคมที่ผ่านมา ถัดไปเป็นการโจมตีเป้าหมายเซิร์ฟเวอร์ที่มีช่องโหว่ของ Apache Struts 2 ที่เกี่ยวข้องกับเหตุการณ์ความไม่ปลอดภัยในปี 2017 Equifax รวมถึง กล้อง AVTech IP ที่มีช่องโหว่และการโจมตีที่มุ่งเป้าไปที่ช่องโหว่ DoS ใน Foxit Quick PDF Library

สำหรับ Top 5 มัลแวร์ที่แพร่หลายมากที่สุดในไทย 5 อันดับแรกคือ Riskware รวมถึงระบบ ปฏิบัติการ Windows 32-bit ที่เป็นอันตรายและ Cryptominers ที่ใช้ JavaScript ด้านบอตเน็ตแสดงให้เห็นช่วงการรับส่งข้อมูลแบบส่งคำสั่งและการควบคุม (Command-and Control: C2) ระหว่างระบบภายในที่ถูกบุกรุกและโฮสต์ภายนอกที่เป็นอันตราย ทั้งนี้ พบบอทเน็ตมากที่สุดคือ Bladabindi ซึ่งเป็นโทรจันที่ใช้ในการเข้าถึงระยะไกลอันเป็นที่รู้จักกันมาหลายปีแล้ว ตามด้วยบอทเน็ตชื่อ Andromeda, Gh0st.RAT, Sality และ Necurs


กำลังโหลดความคิดเห็น