xs
xsm
sm
md
lg

อัปเดทเศรษฐกิจโจรไซเบอร์ยุคใหม่ ทำไมการป้องกันต้องทันกับภัยคุกคาม / ณัฐวิชช์ ว่องสิทธิโรจน์

เผยแพร่:   ปรับปรุง:   โดย: ผู้จัดการออนไลน์


บทความโดย ณัฐวิชช์ ว่องสิทธิโรจน์ Regional technical head ManageEngine
ตลอดหลายทศวรรษที่ผ่านมา อาชญากรรมไซเบอร์มักถูกมองว่าเป็นฝีมือของแฮ็กเกอร์เพียงไม่กี่คนที่ทำงานอยู่ลำพังจากห้องมืด โดยมีแรงจูงใจจากความต้องการชื่อเสียงหรือความคึกคะนอง แต่ภาพจำดังกล่าวไม่ถือว่าสอดคล้องกับความเป็นจริงในปัจจุบันและอาจทำให้ประเมินภัยคุกคามต่ำกว่าความเป็นจริง

ที่จริงแล้ว อาชญากรรมไซเบอร์ได้พัฒนาก้าวไปสู่เครือข่ายอาชญากรรมที่มีการดำเนินงานอย่างเป็นระบบและมีมูลค่าความเสียหายมหาศาล

ตัวอย่างเช่น ข้อมูลจากสำนักงานตำรวจแห่งชาติระบุว่า ประเทศไทยได้รับความเสียหายทางการเงินจากอาชญากรรมไซเบอร์มากกว่า 2 พันล้านดอลลาร์สหรัฐ ระหว่างเดือนมีนาคม 2565 ถึงเดือนเมษายน 2568 หรือคิดเป็นความเสียหายเฉลี่ยประมาณ 2 ล้านดอลลาร์สหรัฐต่อวัน ซึ่งสะท้อนให้เห็นถึงขนาดและความรุนแรงของปัญหาที่กำลังเพิ่มขึ้นอย่างต่อเนื่อง

ความจริงที่อาจยากจะยอมรับคือ ในขณะที่หลายองค์กรยังคงวางแนวทางป้องกันภัยไซเบอร์ราวกับกำลังรับมือกับผู้โจมตีเพียงรายบุคคล ในความเป็นจริงแล้ว พวกเขากำลังเผชิญกับเครือข่ายอาชญากรรมที่ทำงานกันอย่างเป็นระบบ มีการประสานงานเป็นองค์กร และถูกออกแบบมาเพื่อขยายการดำเนินงานในวงกว้าง พร้อมมุ่งสร้างผลตอบแทนจากการลงทุนอย่างชัดเจน

กลุ่มอาชญากรไซเบอร์ในปัจจุบันมีรูปแบบการดำเนินงานที่เป็นระบบไม่ต่างจากองค์กรธุรกิจที่ถูกกฎหมาย โดยมีการแบ่งบทบาทหน้าที่อย่างเฉพาะทางอย่างชัดเจน ตั้งแต่ทีมวิจัยและพัฒนา ที่ทำหน้าที่พัฒนาเครื่องมือหรือช่องโหว่ใหม่สำหรับการโจมตี หน่วยปฏิบัติการที่รับผิดชอบการดำเนินการโจมตีจริง ไปจนถึงฝ่ายการตลาดที่โปรโมตบริการบนฟอรัมใต้ดิน นอกจากนี้ ยังมีทีมสนับสนุนลูกค้าที่คอยช่วยเหลือ “ลูกค้า” ในการติดตั้งใช้งาน และแก้ไขปัญหาที่เกิดขึ้น ซึ่งสะท้อนให้เห็นว่าอาชญากรรมไซเบอร์ในปัจจุบันมีโครงสร้างการดำเนินงานที่เป็นระบบและมีการจัดการอย่างเป็นขั้นตอน


ภาพดังกล่าวเห็นได้ชัดเจนจากการเติบโตของ Ransomware-as-a-Service (RaaS) ซึ่งสะท้อนรูปแบบการดำเนินงานแบบ “บริการ” ในโลกอาชญากรรมไซเบอร์ โดยกลุ่มผู้พัฒนาเครื่องมือสำหรับอาชญากรรมไซเบอร์จะสร้างแพลตฟอร์มขึ้นมา และเปิดให้ผู้ร่วมขบวนการ (affiliates) เช่าใช้งาน แลกกับค่าสมาชิกหรือส่วนแบ่งจากผลกำไรที่เกิดขึ้น แพลตฟอร์มเหล่านี้มักมีองค์ประกอบที่ไม่ต่างจากบริการซอฟต์แวร์ทั่วไป โมเดลมีความคล้ายคลึงกับธุรกิจ Software-as-a-Service (SaaS) ในโลกธุรกิจ เพียงแต่ผลิตภัณฑ์ที่นำเสนอคือการขู่กรรโชก

นอกเหนือจากแรนซัมแวร์แล้ว ปัจจุบันยังมีตลาดใต้ดินที่เติบโตอย่างต่อเนื่องสำหรับการซื้อขายข้อมูลและเครื่องมือที่ใช้ในการก่ออาชญากรรมไซเบอร์ มีการขายสิทธิ์การเข้าถึงระบบที่ถูกบุกรุกแล้ว เพียงปรับเปลี่ยนรายละเอียดเล็กน้อย การโจมตีที่ประสบความสำเร็จในภูมิภาคหนึ่งก็สามารถนำไปปรับใช้กับเป้าหมายในพื้นที่อื่นได้อย่างรวดเร็ว และกลุ่มอาชญากรไซเบอร์ยังนำผลกำไรที่ได้กลับไปลงทุนพัฒนาเครื่องมือและขีดความสามารถใหม่ ๆ อย่างต่อเนื่อง

เมื่อกลุ่มอาชญากรไซเบอร์มีแรงจูงใจทางการเงินที่ชัดเจน สามารถทดลองวิธีการโจมตีใหม่ ๆ ได้อย่างรวดเร็ว แทบไม่มีข้อจำกัดด้านกฎระเบียบ และยังมีการแลกเปลี่ยนข้อมูลข่าวสารระหว่างเครือข่ายได้อย่างรวดเร็ว ขณะที่ผู้โจมตีเพียงค้นหาและใช้ประโยชน์จากช่องโหว่เพียงจุดเดียว ดังนั้น ฝ่ายป้องกันจึงต้องดูแลสภาพแวดล้อมดิจิทัลที่มีขนาดใหญ่และซับซ้อน พร้อมทั้งต้องรักษาความต่อเนื่องของธุรกิจและปฏิบัติตามข้อกำหนดด้านกฎระเบียบต่าง ๆ ไปพร้อมกัน ส่งผลให้ทีมด้านความปลอดภัยไซเบอร์ของหลายองค์กรต้องทำงานในลักษณะตามแก้ปัญหามากกว่าการป้องกันเชิงรุก

วันนี้ องค์กรจำนวนมากยังคงพึ่งพาการปรับปรุงระบบป้องกันบริเวณขอบเครือข่าย (perimeter defences) แบบค่อยเป็นค่อยไป หรือใช้โซลูชันเฉพาะจุดที่ทำงานแยกจากกัน อย่างไรก็ตาม ในยุคของคลาวด์คอมพิวติ้ง การทำงานแบบไฮบริด และห่วงโซ่อุปทานที่เชื่อมโยงถึงกันมากขึ้น แนวทางเช่นนี้ไม่เพียงพออีกต่อไปในการรับมือกับภัยคุกคามไซเบอร์ที่มีความซับซ้อนและพัฒนาอย่างรวดเร็ว


แนวทางด้านความมั่นคงปลอดภัยไซเบอร์ที่จำเป็นต้องปรับตัวให้สอดคล้องกับความเปลี่ยนแปลงดังกล่าว คือการเปลี่ยนแปลงในเชิงแนวคิด โดยต้องยอมรับว่าการถูกโจมตีหรือการถูกเจาะระบบนั้นมีโอกาสเกิดขึ้นได้ ไม่มีระบบใดที่ปลอดภัยอย่างสมบูรณ์ คำถามจึงไม่ใช่ว่าการโจมตีจะเกิดขึ้นหรือไม่ แต่คือจะเกิดขึ้นเมื่อใด

แนวคิดนี้ทำให้มุมมองด้านความปลอดภัยไซเบอร์เปลี่ยนจากการมุ่งเน้นการป้องกันเพียงอย่างเดียว ไปสู่การสร้าง ความสามารถในการรับมือและฟื้นตัว (resilience) จากเหตุการณ์ที่อาจเกิดขึ้น ดังนั้น องค์กรจึงควรดำเนินการในประเด็นสำคัญ ทั้งการจำกัดขอบเขตความเสียหาย เมื่อเกิดการละเมิดหรือการเจาะระบบ, ตรวจจับความผิดปกติให้ได้ตั้งแต่ระยะแรกที่สุด ก่อนที่เหตุการณ์จะลุกลาม, ควบคุมและตอบสนองต่อภัยคุกคามโดยอัตโนมัติด้วยความเร็วระดับเครื่องจักร และรักษาความต่อเนื่องของการดำเนินงานขององค์กร แม้อยู่ภายใต้สถานการณ์การโจมตี

แนวทางเหล่านี้จะช่วยให้องค์กรไม่เพียงสามารถ ป้องกันการโจมตี แต่ยังช่วยจำกัดผลกระทบจากเหตุการณ์ที่เกิดขึ้น และเร่งกระบวนการฟื้นตัวและการดำเนินงานให้กลับสู่ภาวะปกติได้รวดเร็วขึ้น

แนวทางการป้องกันแบบตั้งรับเพียงอย่างเดียวไม่เพียงพออีกต่อไป เมื่อเผชิญกับอาชญากรรมไซเบอร์ที่พัฒนาไปสู่รูปแบบอุตสาหกรรม การรับมืออย่างมีประสิทธิภาพจึงต้องอาศัย กลยุทธ์เชิงรุกที่มีหลายชั้น (layered strategies) ซึ่งสามารถดำเนินการผ่านแนวทางสำคัญ 5 ขั้นตอน

ขั้นแรกคือการนำแนวคิด Zero Trust มาใช้ ตำแหน่งของเครือข่ายไม่ใช่ตัวบ่งชี้ความปลอดภัยที่เชื่อถือได้อีกต่อไป ดังนั้น ผู้ใช้ อุปกรณ์ และคำขอเข้าถึงระบบทุกครั้งควรได้รับการตรวจสอบก่อนได้รับอนุญาตให้เข้าถึง แนวคิด Zero Trust ตั้งอยู่บนหลักการที่ว่า ความไว้วางใจต้องได้รับการยืนยันอย่างต่อเนื่อง ไม่ใช่ถูกมอบให้โดยอัตโนมัติ ซึ่งช่วยลดความเสี่ยงจากการเคลื่อนย้ายภายในระบบ (lateral movement) และจำกัดความเสียหายหากข้อมูลรับรองตัวตนถูกนำไปใช้ในทางที่ผิด


ขั้นที่ 2 คือใช้ระบบอัตโนมัติในการตรวจจับและตอบสนองต่อภัยคุกคาม เพราะผู้เชี่ยวชาญด้านความปลอดภัยเพียงอย่างเดียวไม่สามารถรับมือกับความเร็วของการโจมตีแบบอัตโนมัติได้ เครื่องมืออย่าง Unified Endpoint Management (UEM) และ Extended Detection and Response (XDR) สามารถช่วยตรวจจับความผิดปกติได้ตั้งแต่ระยะเริ่มต้น ก่อนที่เหตุการณ์จะขยายกลายเป็นการโจมตีเต็มรูปแบบ ช่วยลดระยะเวลาที่ผู้โจมตีสามารถแฝงตัวอยู่ในระบบได้อย่างมีนัยสำคัญ

ขั้นที่ 3 คือบูรณาการการจัดการตัวตนและการเข้าถึง (Identity and Access Controls) อัตลักษณ์ หรือ Identity ได้กลายเป็นเส้นเขตแดนใหม่ การยืนยันตัวตนที่เข้มแข็ง การกำหนดสิทธิ์การเข้าถึงตามหลัก least privilege และนโยบายการเข้าถึงตามบริบท ช่วยจำกัดสิ่งที่ผู้ใช้สามารถทำได้และเมื่อใดที่จะทำได้ ลดผลกระทบที่อาจเกิดขึ้นจากการถูกขโมยข้อมูลยืนยันตัวตน

ขั้นที่ 4 คือลงทุนด้านการมองเห็นระบบและการเฝ้าระวังอย่างต่อเนื่อง การเฝ้าติดตามระบบอย่างต่อเนื่องในทุกส่วนของโครงสร้างพื้นฐาน ไม่ว่าจะเป็นอุปกรณ์ปลายทาง เครือข่าย ระบบคลาวด์ หรือแอปพลิเคชัน มีความสำคัญอย่างยิ่งต่อการตรวจจับสัญญาณผิดปกติ ความสามารถในการมองเห็นข้อมูลภาพรวมของระบบจะช่วยเชื่อมโยงสัญญาณเตือนที่กระจัดกระจายให้กลายเป็นภาพสถานการณ์ที่ชัดเจน ทำให้องค์กรสามารถเข้าดำเนินการได้ตั้งแต่ระยะเริ่มต้น

และ ขั้นที่ 5 ผสานความมั่นคงปลอดภัยไซเบอร์เข้ากับกลยุทธ์ธุรกิจ ความมั่นคงปลอดภัยไซเบอร์ไม่ควรถูกมองว่าเป็นเพียงหน้าที่ของฝ่าย IT อีกต่อไป แต่ควรถูกบูรณาการเข้าเป็นส่วนหนึ่งของการบริหารความเสี่ยงขององค์กรและกลยุทธ์การเปลี่ยนผ่านสู่ดิจิทัล คณะผู้บริหารและบอร์ดองค์กรควรมองความสามารถในการรับมือและฟื้นตัวจากภัยไซเบอร์ (Cyber Resilience) เป็นขีดความสามารถหลักของธุรกิจ ไม่ใช่เพียงข้อกำหนดด้านการปฏิบัติตามกฎระเบียบเท่านั้น.

บทความโดย ณัฐวิชช์ ว่องสิทธิโรจน์ Regional technical head ManageEngine
อัปเดทเศรษฐกิจโจรไซเบอร์ยุคใหม่ ทำไมการป้องกันต้องทันกับภัยคุกคาม / ณัฐวิชช์ ว่องสิทธิโรจน์
อัปเดทเศรษฐกิจโจรไซเบอร์ยุคใหม่ ทำไมการป้องกันต้องทันกับภัยคุกคาม / ณัฐวิชช์ ว่องสิทธิโรจน์
อัปเดทเศรษฐกิจโจรไซเบอร์ยุคใหม่ ทำไมการป้องกันต้องทันกับภัยคุกคาม / ณัฐวิชช์ ว่องสิทธิโรจน์