พาโล อัลโต เน็ตเวิร์กส์ เผยช่องโหว่ใหม่ชนิดร้ายแรง พบในระบบคลาวด์ไดนามิกมากกว่า 45% ในแต่ละเดือน ระบุช่องโหว่ความปลอดภัยส่วนใหญ่อยู่บนระบบคลาวด์ โดยคิดเป็น 80% เมื่อเทียบกับช่องโหว่ของระบบที่ติดตั้งภายในสถานที่ขององค์กรที่มีเพียงราว 19%
พาโล อัลโต เน็ตเวิร์กส์ อธิบายว่าการเร่งเดินหน้าทำดิจิทัลทรานส์ฟอร์เมชันทำให้โครงสร้างเครือข่ายระดับองค์กรมีจำนวนมากขึ้นทั้งที่รู้ตัวและไม่รู้ตัว จนกลายสภาพเป็นระบบที่มีความซับซ้อนสูงในด้านการรักษาความปลอดภัย การมีระบบที่เปิดเผยต่อสาธารณะทำให้องค์กรตกเป็นเหยื่อของคนร้ายที่เฝ้ารอโอกาสโดยไม่จำเป็นต้องใช้วิธีการโจมตีแบบมุ่งเป้าเจาะจง
ที่ผ่านมา พาโล อัลโต เน็ตเวิร์กส์ ได้วิเคราะห์ข้อมูลระดับหลายเพตะไบต์ขององค์กรกว่า 250 แห่งทั่วโลก ในช่วงระหว่างปี 2565 ถึง 2566 เพื่อศึกษาบรรดาช่องโหว่ที่เข้าถึงได้จากอินเทอร์เน็ต โดยในรายงานภัยคุกคามระบบบริหารจัดการความเสี่ยงการโดนโจมตีจากภายนอกองค์กร ประจำปี 2023 ของ Unit 42 (2023 Unit 42 Attack Surface Threat Report) พบว่า อาชญากรไซเบอร์ใช้ช่องโหว่ที่เพิ่งค้นพบใหม่ล่าสุดเพื่อโจมตีเป้าหมายอย่างรวดเร็วแทบจะทันทีหลังมีการเปิดเผยรายงานเรื่องช่องโหว่ จนทำให้องค์กรต่างๆ ยากที่จะป้องกันได้ทัน ทั้งในแง่ระยะเวลาที่สั้นและขอบเขตกว้างขวางที่ต้องป้องกันและรับมือกับระบบอัตโนมัติของคนร้าย
หนึ่งในข้อมูลที่น่าสนใจจากรายงานฉบับนี้ คือระบบคลาวด์ตกเป็นเป้าหมายหลักที่สำคัญในการโจมตีผ่านช่องโหว่ เบื้องต้นพบว่าช่องโหว่ความปลอดภัยส่วนใหญ่อยู่บนระบบคลาวด์ โดยคิดเป็น 80% เมื่อเทียบกับช่องโหว่ของระบบที่ติดตั้งภายในสถานที่ขององค์กรที่มีเพียงราว 19%
นอกจากนี้ โครงสร้างพื้นฐานระบบ IT บนคลาวด์มีการเปลี่ยนแปลงอยู่ตลอดเวลา ทุกภาคอุตสาหกรรมมีการเปลี่ยนแปลงมากกว่า 20% ในแต่ละเดือน และสำหรับองค์กรส่วนใหญ่นั้น 45% ของช่องโหว่ความเสี่ยงสูงที่อยู่บนคลาวด์ในแต่ละเดือนเกิดจากการเปลี่ยนแปลงเซอร์วิสต่างๆ บนระบบคลาวด์ที่เกิดขึ้นอย่างต่อเนื่อง เช่น การออนไลน์เซอร์วิสใหม่และ/หรือการแทนที่เซอร์วิสเดิมบนคลาวด์
ในอีกด้าน กว่า 75% ของช่องโหว่ในโครงสร้างระบบด้านการพัฒนาซอฟต์แวร์ที่เข้าถึงได้จากสาธารณะล้วนอยู่บนคลาวด์
***คนร้ายโจมตีด้วยความเร็วระดับจักรกล
พาโล อัลโต เน็ตเวิร์กส์ มองว่าวันนี้คนร้ายสามารถสแกนหมายเลข IPv4 ทั้งระบบ (ซึ่งมีที่อยู่กว่า 4 พันล้านรายการ) ในเวลาเพียงไม่กี่นาทีเพื่อหาเป้าหมายที่มีช่องโหว่ ซึ่งจากการวิเคราะห์จุดเปราะบางและช่องโหว่ที่พบในวงกว้าง 30 รายการ มีอยู่ 3 รายการที่ถูกใช้เจาะระบบภายในเวลาไม่กี่ชั่วโมงหลังจากเปิดเผยช่องโหว่ต่อสาธารณะ ขณะที่ราว 63% โดนนำไปเจาะระบบภายใน 12 สัปดาห์หลังจากนั้น
การสำรวจยังพบว่าการเจาะระบบโดยเข้าถึงจากทางไกลกำลังระบาดหนัก เช่น กว่า 85% ขององค์กรที่เก็บข้อมูลมีการเข้าถึง Remote Desktop Protocol (RDP) ผ่านอินเทอร์เน็ตอย่างน้อย 25% ในแต่ละเดือน
นอกจากนี้ 8 ใน 9 อุตสาหกรรมที่ Unit 42 เก็บข้อมูล มีช่องโหว่ RDP ที่เข้าถึงได้ผ่านอินเทอร์เน็ตซึ่งโดนโจมตีด้วยการสุ่มเดาข้อมูลการเข้าสู่ระบบ คิดเป็นอย่างน้อย 25% ในแต่ละเดือน ซึ่งโดยเฉลี่ยแล้วภาคบริการทางการเงิน และหน่วยงานภาครัฐโดนโจมตีผ่าน RDP ตลอดทั้งเดือน
****อุตสาหกรรมสำคัญตกเป็นเป้าหมาย
พาโล อัลโต เน็ตเวิร์กส์ เชื่อว่าภาคการผลิตเผชิญกับความเสี่ยงระดับสูงสุด (48%) ในด้านโครงสร้างระบบ IT การรักษาความปลอดภัย และระบบเครือข่าย ซึ่งอาจทำให้เกิดปัญหาในด้านการผลิตและส่งผลกระทบต่อรายได้
การสำรวจพบว่าสถาบันการเงินมักเผชิญปัญหาเรื่องเซอร์วิสด้านการแชร์ไฟล์ (38%) อยู่บ่อยครั้ง และสำหรับหน่วยงานภาครัฐนั้น ปัญหาการแชร์ไฟล์และฐานข้อมูลที่ไม่ปลอดภัยเป็นความเสี่ยงสำคัญของการโจมตี Attach Surfave ที่ต้องเผชิญ คิดเป็นกว่า 46% ของการโจมตีทั้งหมดในหน่วยงานภาครัฐ
ด้านสถานพยาบาล พาโล อัลโต เน็ตเวิร์กส์ เชื่อว่ายังมีปัญหาจากการกำหนดค่าระบบที่ไม่ถูกต้องและบรรดาช่องโหว่ต่างๆ ที่ทำให้เกิดช่องโหว่สาธารณะในระบบที่ใช้พัฒนาคิดเป็นราว 56% นอกจากนี้ หน่วยงานด้านสาธารณูปโภคและพลังงานต้องเผชิญกับปัญหาระบบควบคุมโครงสร้างพื้นฐานด้าน IT ที่เข้าถึงได้ผ่านอินเทอร์เน็ต คิดเป็นราว 47%
คำแนะนำจากพาโล อัลโต เน็ตเวิร์กส์ คือการสำรวจระบบและองค์ประกอบทุกส่วนอย่างต่อเนื่อง โดยควรตรวจสอบส่วนต่างๆ ที่เข้าถึงได้ผ่านอินเทอร์เน็ตให้ครบถ้วนแบบเรียลไทม์ รวมถึงระบบและบริการบนคลาวด์
ขณะเดียวกัน ควรวางขั้นตอนการแก้ไขปัญหา และให้ความสำคัญกับช่องโหว่และความเสี่ยงร้ายแรงตาม CVSS (Common Vulnerability Scoring System) และ EPSS (Exploit Prediction Scoring System) คู่ไปกับการรักษาความปลอดภัยให้เซอร์วิสด้านการเข้าถึงจากทางไกล โดยใช้วิธีการยืนยันตัวตนแบบหลายปัจจัย (MFA) และติดตามเซอร์วิสการเข้าถึงจากทางไกลทั้งหมดอย่างต่อเนื่องเพื่อหาร่องรอย หรือสัญญาณการเข้าถึงที่ไม่ได้รับอนุญาตหรือการโจมตีด้วยการสุ่มเดาข้อมูลการเข้าสู่ระบบ
ที่สำคัญคือควรตรวจสอบการกำหนดค่าระบบคลาวด์ที่ไม่ถูกต้อง: หมั่นตรวจสอบและอัปเดตการกำหนดค่าบนระบบคลาวด์ที่ไม่ถูกต้องเป็นประจำเพื่อให้เป็นไปตามมาตรฐานรักษาความปลอดภัยที่ควรปฏิบัติ