"ในไตรมาสนี้ เรายังคงเห็นขบวนการอาชญากรไซเบอร์ที่สะท้อนให้เห็นถึงกลยุทธ์และวิธีการของผู้คุกคามในระดับประเทศ และยังเห็นเป้าหมายที่เป็นอุปกรณ์และเครือข่ายที่อาชญากรกำลังเล็งอยู่ องค์กรต่างๆ จึงจำเป็นต้องทบทวนกลยุทธ์ของตนเสียใหม่ เพื่อให้ใช้งานในอนาคตได้ดีกว่าและจัดการความเสี่ยงทางไซเบอร์ได้ดีกว่า ขั้นตอนแรกที่สำคัญนั้นคือ ต้องบริหารเรื่องความปลอดภัยทางไซเบอร์ให้เป็นเชิงวิทยาศาสตร์ – คือทำสิ่งพื้นฐานให้ดีที่สุด - ซึ่งต้องใช้ประโยชน์จากความเร็วและการเชื่อมต่อของโครงสร้างด้านความปลอดภัยเพื่อการป้องกันที่ดีที่สุด ทั้งนี้ การประยุกต์ใช้เครือข่ายผืนผ้าหรือ Fabric ด้านความปลอดภัย การทำ Micro และ Macro segmentation ในระบบเครือข่าย และการใช้ประโยชน์จากเทคโนโลยีแมชชีนเลิร์นนิ่งและระบบอัตโนมัติเพื่อต่อยอดสร้างเอไอนั้น จะสามารถเป็นอาวุธสำคัญ ต้อนให้ผู้ประสงค์ร้ายถอยกลับออกไปได้"
ฟอร์ติเน็ต (Fortinet(R), NASDAQ: FTNT) ผู้นำระดับโลกด้านโซลูชั่นการรักษาความปลอดภัยทางไซเบอร์ที่ครอบคลุมครบวงจรแบบบูรณาการและอัตโนมัติประกาศในวันนี้ ถึงรายงานภูมิทัศน์ด้านภัยคุกคามทั่วโลกรายไตรมาสล่าสุด (Quarter 1 - 2019) ซึ่งพบว่าอาชญากรไซเบอร์ยังคงพัฒนาวิธีการโจมตีที่ซับซ้อนต่อไป ตั้งแต่การเรียกค่าไถ่แรนซัมแวร์และการเข้ารหัสที่กำหนดเองสำหรับการโจมตี (Custom coding) ไปจนถึงเทคนิคการอยู่รอดของภัยได้ด้วยตนเอง (Living-off-the-land: LoTL) หรือการแบ่งปันโครงสร้างพื้นฐานเพื่อเพิ่มโอกาสในการคุกคามภัย
ท่านสามารถอ่านรายละเอียดของดัชนีภัยคุกคามและดัชนีย่อยสำหรับภัยเอ็กซปลอยท์ (Exploits) มัลแวร์ (Malware) และบอทเน็ต (Botnets) รวมถึงประเด็นที่สำคัญบางประการสำหรับผู้บริหาร CISO โปรดอ่านที่บล็อกนี้
ทั้งนี้ ผลที่ค้นพบจากรายงานที่เด่นๆ มีดังต่อไปนี้:
ทราฟฟิคที่เกิดก่อนและหลังการถูกคุกคาม: ผลจากการวิเคราะห์ที่ศีกษาว่าผู้มีพฤติกรรมคุกคามดำเนินการตามขั้นตอนของการโจมตีของตนในวันต่างๆ ในสัปดาห์ แสดงให้เห็นว่าอาชญากรไซเบอร์กำลังมองหาโอกาสที่เป็นไปได้สูงสุดอยู่ตลอดเวลา ทั้งนี้ เมื่อเปรียบเทียบกับจำนวนของการกรองเว็บในการกำจัดภัยไซเบอร์ใน 2 ขั้นตอนในช่วงวันธรรมดาและวันหยุดสุดสัปดาห์แล้ว พบว่า มีแนวโน้มว่าเกิดพฤติกรรมก่อนถูกภัยประนีประนอม (Pre-compromise activity) ขึ้นประมาณ 3 ครั้งในช่วงสัปดาห์การทำงาน ในขณะที่พฤติกรรมหลังภัยประนีประนอม (Post-compromise activity) นั้นมีจำนวนน้อยกว่า ทั้งนี้เนื่องมาจาก กิจกรรมการคุกคามที่เป็นประเภทแสวงหาผลประโยชน์มักจะต้องการการลงมือกระทำอย่างใดอย่างหนึ่ง เช่น เหยื่อต้องคลิกที่อีเมลหลอกลวง ซึ่งในทางตรงกันข้าม กิจกรรมประเภทคำสั่งและการควบคุม (Command-and-Control: C2) จะไม่ต้องการให้ใครลงมือกระทำใดๆ และอันที่จริงสามารถเกิดขึ้นได้ทุกเวลา ซึ่งอาชญากรไซเบอร์เข้าใจข้อแตกต่างนี้ จึงลงมือคุกคามเพื่อเพิ่มโอกาสในระหว่างสัปดาห์ซึ่งเป็นช่วงที่มีกิจกรรมทางอินเทอร์เน็ตมากที่สุด ดังนั้น การแยกแยะวิธีควรปฏิบัติของวิธีการกรองเว็บระหว่างในวันธรรมดาและวันหยุดสุดสัปดาห์จึงเป็นสิ่งที่สำคัญ เพื่อให้สามารถเข้าใจกระบวนการโจมตีของภัยต่างๆ ได้
ภัยคุกคามส่วนใหญ่แบ่งปันใช้โครงสร้างพื้นฐานร่วมกัน: การที่ภัยคุกคามที่แตกต่างกันแบ่งปันโครงสร้างใช้ด้วยกันนั้นแสดงให้เห็นถึงเทรนด์แนวโน้มที่น่าจับตามองบางประการ ภัยคุกคามบางอย่างใช้ประโยชน์จากโครงสร้างพื้นฐานที่ใช้กันแพร่หลายมากกว่าที่จะใช้โครงสร้างพื้นฐานเฉพาะ พบว่าภัยจำนวนเกือบ 60% ได้ใช้โดเมนร่วมกันอย่างน้อยหนึ่งโดเมน ซึ่งเป็นการบ่งชี้ว่าบอทเน็ตส่วนใหญ่นิยมใช้โครงสร้างพื้นฐานที่มีอยู่แล้วมากขึ้น ตัวอย่างของพฤติกรรม เช่น การใช้โทรจันชื่อ IcedID ที่ตอบสนองคำถามที่ว่า "จะซื้อหรือสร้างใหม่ทำไม เมื่อคุณสามารถยืมได้" นอกจากนี้ เมื่อภัยคุกคามแบ่งปันใช้โครงสร้างพื้นฐานกันแล้ว ภัยมักใช้โครงสร้างนั้นในขั้นตอนการคุกคามด้วยเช่นกัน อย่างไรก็ตาม พบว่าเมื่อภัยคุกคามได้ใช้ประโยชน์จากโดเมนเพื่อหาประโยชน์ในตอนต้นแล้ว จากนั้นในช่วงการรับส่งข้อมูลแบบ C2 ภัยจะไม่ใช้ประโยชน์จากโดเมนซ้ำอีก ซึ่งการค้นพบนี้ชี้ให้เห็นว่าโครงสร้างพื้นฐานมีบทบาทหรือหน้าที่เฉพาะในการคุกคาม ดังนั้น การทำความเข้าใจว่าภัยใดแบ่งปันโครงสร้างใด ที่จุดการคุกคามใดนั้น จะช่วยให้องค์กรสามารถคาดการณ์ถึงวิวัฒนาการที่เป็นไปได้ของมัลแวร์หรือบอทเน็ตในอนาคตได้
การบริหารคอนเท้นต์ต้องการการจัดการที่ต่อเนื่อง: ผู้ประสงค์ร้ายมักเปลี่ยนเป้าหมายในการคุกคามจากโอกาสหนึ่งไปสู่โอกาสต่อไปในอีกกลุ่มหนึ่ง โดยมุ่งใช้ประโยชน์จากช่องโหว่ที่ถูกโจมตีและจุดที่เทคโนโลยีไม่ราบรื่น เพื่อขยายโอกาสคุกคามอย่างรวดเร็ว ตัวอย่างของเทคโนโลยีใหม่ล่าสุดที่เหล่าอาชญากรไซเบอร์สนใจมาก ได้แก่ แพลตฟอร์มด้านเว็บต่างๆ ที่ช่วยให้ผู้บริโภคและองค์กรธุรกิจสามารถสร้างตัวตนบนเว็บได้ง่ายขึ้น รวมไปถึงปลั๊กอินของบุคคลที่ 3 ที่เกี่ยวข้องในการใช้งาน สิ่งเหล่านี้เป็นการตอกย้ำว่า จำเป็นต้องใช้แพทช์ในทันที เพื่อให้เข้าใจในโลกของการหาประโยชน์จากช่องโหว่ เพื่อให้ก้าวอยู่ข้างหน้าภัยทั้งปวง
แรนซัมแวร์ยังจะไม่หายไปง่ายๆ : โดยทั่วไปแล้ว จะพบจำนวนเป้าหมายที่ถูกโจมมากขึ้นทำให้อัตราคุกคามของแรนซัมแวร์น้อยลง แต่ถึงกระนั้น แรนซัมแวร์ยังจะไม่หายไปง่ายๆ ยิ่งไปกว่านั้น พบว่าการโจมตีที่เดิมหลายๆ ครั้งนั้นเป็นการมุ่งโจมตีเป้าหมายที่มีมูลค่าสูงและเพื่อให้สิทธิ์แก่ผู้คุกคามให้เข้าถึงเครือข่ายได้ เช่น LockerGoga เป็นตัวอย่างของแรนซัมแวร์ที่ตั้งเป้าหมายในการโจมตีแบบหลายขั้นตอน ตัว LockerGoga แตกต่างเหนือจากแรนซัมแวร์อื่นๆ ในแง่ของความซับซ้อนในการทำงาน กล่าวคือ ในขณะที่แรนซัมแวร์ส่วนใหญ่ใช้วิธีการหลอกให้งงเพื่อหลีกเลี่ยงการตรวจพบ แต่ LockerGoga กลับใช้วิธีการหลอกนั้นเพียงเล็กน้อยเมื่ออยู่ในขั้นตอนวิเคราะห์ภัยคุกคาม สิ่งนี้ชี้ให้เห็นว่ามัลแวร์จะไม่ถูกตรวจพบได้โดยง่าย นอกจากนี้ แรนซัมแวร์ชื่อ Anatova มีเป้าหมายหลักเช่นเดียวกับแรนซัมแวร์อื่นๆ คือ การเข้ารหัสไฟล์ให้ได้มากที่สุดเท่าที่จะทำได้ในระบบของเหยื่อ ยกเว้นว่าจะหลีกเลี่ยงการเข้ารหัสสิ่งที่อาจส่งผลกระทบต่อเสถียรภาพของระบบที่กำลังคุกคามอยู่ นอกจากนี้ Anatova ยังสามารถหลีกเลี่ยง ไม่คุกคามคอมพิวเตอร์ตัวที่ดูเหมือนว่ากำลังถูกใช้ในการวิเคราะห์มัลแวร์หรือถูกใช้งานเป็นกับดักลวงพวกแฮกเกอร์อยู่ ดังนั้น แรนซัมแวร์อันแสนฉลาดทั้ง 2 นี้แสดงให้เห็นว่าองค์กรผู้นำด้านความปลอดภัยยังคงต้องให้ความสำคัญในเรื่องการใช้แพ็ตช์และสำรองข้อมูลให้ปลอดภัยจากแรนซัมแวร์ที่พบอยู่แล้ว และยังต้องตระหนักว่า แรนซัมแวร์ที่มีวิธีคุกคามอันเป็นเอกลักษณ์ไปยังเป้าหมายที่ต้องการ มักต้องการวิธีการป้องกันที่ดียิ่งขึ้นอีกด้วย
ทูลส์และเคล็ดลับเพื่อการอยู่รอดได้ด้วยตนเอง: เนื่องจากผู้มีพฤติกรรมคุกคามมักจะมีพฤติกรรมไปในทางเดียวกับเหยื่อของตน ตั้งแต่การคุกคามเข้ามาสำเร็จในครั้งแรกและจะพัฒนาต่อไป ทั้งนี้ ผู้มีพฤติกรรมคุกคามจะใช้ประโยชน์จากทูลส์แบบ Dual-use หรือทูลส์ที่ติดตั้งไว้แล้วในระบบของเหยื่อเป้าหมายเพื่อโจมตีครั้งต่อๆ ไป กลยุทธ์นี้เรียกว่า "การอยู่รอดได้ด้วยตนเอง (Living Off the Land: LoTL) จะช่วยให้แฮกเกอร์สามารถซ่อนกิจกรรมของตนในกระบวนการที่ปกติถูกต้องและทำให้ตรวจพบได้ยากขึ้น ทูลส์เหล่านี้ทำให้การระบุแหล่งที่มาของการโจมตียากยิ่งขึ้น ซึ่งเป็นที่น่าเสียดายที่ผู้ประสงค์ร้ายสามารถใช้ทูลส์ที่ถูกกฎหมายในการบรรลุเป้าหมายของตนและหลบซ่อนตัวได้ องค์กรจึงจำเป็นต้องจำกัดการเข้าถึงทูลส์ที่ใช้ในการดูแลระบบและใช้บันทึกรายการต่างๆ ในสภาพแวดล้อมของพวกเขา
ความต้องการข่าวกรองด้านภัยคุกคามที่เป็นแบบไดนามิกเชิงรุก
การปรับปรุงศักยภาพด้านการป้องกันภัยคุกคามขององค์กรไม่เพียงแต่เพื่อวัตถุประสงค์ในการป้องกันเทรนด์ของภัยคุกคามในปัจจุบันเท่านั้น แต่ยังเป็นการเตรียมความพร้อมสำหรับการโจมตีที่มีวิวัฒนาการและภัยที่ทำงานอย่างอัตโนมัติ ซึ่งการปรับปรุงศักยภาพด้านการป้องกันนี้จำเป็นต้องใช้ข่าวกรองด้านภัยคุกคามที่เป็นแบบไดนามิกเชิงรุกและสามารถใช้ได้ทั่วทั้งเครือข่ายแบบกระจาย ทั้งนี้ ข้อมูลข่าวกรองด้านภัยคุกคามที่เป็นแบบไดนามิกนี้จะสามารถช่วยระบุแนวโน้มวิวัฒนาการของวิธีการโจมตีที่มุ่งเป้าไปที่พื้นผิวแบบดิจิตอลที่มีความเสี่ยงสูง อีกทั้งยังจะช่วยลำดับความสำคัญของวิธีป้องกันเมื่อพบว่าผู้ที่กำลังพยายามคุกคามเข้ามาที่จุดนั้นๆ ได้ แต่ถ้าองค์กรไม่สามารถมีอุปกรณ์รักษาความปลอดภัยที่สามารถโต้ตอบภัยได้อย่างเรียลไทม์ได้ จะทำให้ข้อมูลข่าวกรองด้านภัยคุกคามนั้นมีค่าน้อยลงและมีประโยชน์น้อยลง ฟอร์ติเน็ตพบว่า เครือข่ายผืนผ้าความปลอดภัยซีเคียวริตี้แฟบริคที่มีคุณสมบัติ ทำงานแบบผสานรวมและอัตโนมัติ อย่างกว้างขวางครอบคลุมครบเท่านั้นที่จะสามารถให้การป้องกันเครือข่ายทั้งหมดได้ ตั้งแต่ไอโอทีไปจนถึงขอบเครือข่ายส่วนเอจ แกนของเครือข่ายและไปยังมัลติคลาวด์ด้วยความเร็วสูงและประสิทธิภาพสูง
ภาพรวมของรายงานและดัชนีชี้วัด
รายงานภูมิทัศน์ด้านภัยคุกคามรายไตรมาสนี้ เป็นรายงานประจำไตรมาสที่ 1 ปีคศ. 2019 ซึ่งแสดงผลจากการวิเคราะห์ข่าวกรองด้านภัยคุกคามที่ได้มาจากอุปกรณ์เซ็นเซอร์ของฟอร์ติเน็ตที่ติดตั้งทั่วโลก และรวบรวมโดยศูนย์ฟอร์ติการ์ตแล็ปส์ (FortiGuard Labs) ข้อมูลจากการวิจัยนี้เป็นมุมมองทั้งในระดับโลกและในระดับภูมิภาค นอกจากนี้ ในรายงานนี้ยังมีดัชนี Fortinet Threat Landscape (TLI) ซึ่งประกอบด้วยดัชนีเฉพาะสำหรับภัยสำคัญ 3 ประเภท อันได้แก่ เอ็กซปลอยท์ (Exploits) มัลแวร์ (Malware) และบอทเน็ต (Botnets) ซึ่งจะแสดงให้เห็นความหนาแน่นและปริมาณในแต่ละไตรมาส พร้อมรายละเอียดประกอบอื่นๆ ของภูมิทัศน์อีกด้วย
สำหรับสถิติในประเทศไทย ฟอร์ติการ์ตแล็ปส์รายงาน 5 อันดับของภัยคุกคามแต่ละ 3 ประเภทนั้น สถิติของภัยเอ็กซปลอยท์ แสดงให้เห็นว่าผู้โจมตีพยายามสอดส่องระบุหาระบบที่มีช่องโหว่และพยายามใช้ช่องโหว่เหล่านั้นคุกคามเข้ามา ทั้งนี้ การโจมตีช่องโหว่ที่ได้รับความนิยมสูงสุดคือการโจมตีที่เกี่ยวข้องกับสคริปต์ที่เข้ารหัสโดยใช้ JavaScript ตามด้วยการโจมตีช่องโหว่ใน ntpsec (NTPsec.ntpd.ctl_getitem.Out.of.Bounds.Read) ที่ได้เปิดเผยต่อสาธารณะไปเมื่อเดือนมกราคมที่ผ่านมา ถัดไปเป็นการโจมตีเป้าหมายเซิร์ฟเวอร์ที่มีช่องโหว่ของ Apache Struts 2 ที่เกี่ยวข้องกับเหตุการณ์ความไม่ปลอดภัยในปี 2017 Equifax รวมถึง กล้อง AVTech IP ที่มีช่องโหว่และการโจมตีที่มุ่งเป้าไปที่ช่องโหว่ DoS ใน Foxit Quick PDF Library
มัลแวร์จะอยู่ในขั้นตอนเกิดการโจมตี มัลแวร์ที่แพร่หลายมากที่สุด 5 อันดับแรกเกี่ยวข้องกับ Riskware รวมถึงระบบ ปฏิบัติการ Windows 32-bit ที่เป็นอันตรายและ Cryptominers ที่ใช้ JavaScript
บอทเน็ตแสดงให้เห็นช่วงการรับส่งข้อมูลแบบส่งคำสั่งและการควบคุม (Command-and Control: C2) ระหว่างระบบภายในที่ถูกบุกรุกและโฮสต์ภายนอกที่เป็นอันตราย ทั้งนี้ พบบอทเน็ตมากที่สุดคือ Bladabindi ซึ่งเป็นโทรจันที่ใช้ในการเข้าถึงระยะไกลอันเป็นที่รู้จักกันมาหลายปีแล้ว ตามด้วยบอทเน็ตชื่อ Andromeda, Gh0st.RAT, Sality และ Necurs