รายงาน Global Threat Landscape สำหรับครึ่งหลังของปี 2023 จาก FortiGuard Labs ย้ำว่าผู้จำหน่ายต้องยึดแนวปฏิบัติที่ดีที่สุดในการเปิดเผยช่องโหว่ด้านความปลอดภัย เพื่อช่วยให้องค์กรใช้แนวทางและหลักปฏิบัติด้าน ไซเบอร์ ไฮจีน ได้ดียิ่งขึ้น พร้อมบริหารจัดการแพตซ์ได้ดีขึ้น
ภัคธภา ฉัตรโกเมศ ผู้จัดการประจำประเทศไทย ฟอร์ติเน็ต กล่าวว่า “ภาพรวมภัยคุกคามที่พัฒนาและเปลี่ยนแปลงอย่างรวดเร็วในประเทศไทย ชี้ถึงความจำเป็นที่ต้องเปลี่ยนแนวทางการรับมือ โดยใช้แพลตฟอร์มเป็นศูนย์กลางในการรักษาความปลอดภัยทางไซเบอร์ เพราะโซลูชันแบบดั้งเดิมที่แยกส่วนกันทำงาน ไม่สามารถจัดการกับเทคโนโลยีหลากหลาย และโมเดลการทำงานแบบไฮบริด รวมถึงการผสานรวมของ IT/OT เป็นลักษณะของเครือข่ายสมัยใหม่ได้
แพลตฟอร์มของฟอร์ติเน็ตที่รวมการทำงานของเครือข่ายและความปลอดภัยไว้ด้วยกัน และขับเคลื่อนการทำงานด้วย AI ช่วยตอบโจทย์ความซับซ้อนในเรื่องนี้ได้ ให้การป้องกันภัยคุกคามได้อย่างครอบคลุม ช่วยจัดการช่องโหว่ได้แบบอัตโนมัติ ช่วยเพิ่มประสิทธิภาพการดำเนินงานได้ดียิ่งขึ้น กลยุทธ์แบบผสานรวมดังกล่าว นอกจากจะช่วยลดค่าใช้จ่ายและลดความซับซ้อนในการดำเนินงานแล้ว ยังช่วยให้มั่นใจว่า องค์กรจะสามารถปรับตัวเพื่อรับมือกับภัยคุกคามใหม่ๆ ได้อย่างรวดเร็ว ทำให้สามารถรักษาความปลอดภัยทางไซเบอร์ได้อย่างแข็งแกร่งทั้งปัจจุบันและในอนาคต”
สำหรับประเทศไทย พนักงานไอที 2 คน ต้องดูแลพนักงาน 1000 คน ส่วนงบประมาณ ในการใช้เพียงแค่ 0.2% เท่านั้น รวมถึง 72% ของผู้ตอบ ถูกแฮกข้อมูลถึง 2 เท่า มีถึง 56% ที่พบแรนซัมแวร์ เพิ่มขึ้น 2 เท่า และช่องโหว่ในการโจมตีมีถึง 220,000 จุด ซึ่งเรามีโอกาสที่จะหาทางป้องกันภายใน 5 วัน
รายงานฉบับล่าสุดสำหรับครึ่งปีหลัง จะให้ภาพรวมสถานการณ์ภัยคุกคามปัจจุบัน รวมถึงแนวโน้มที่น่าจับตามองตั้งแต่ช่วงเดือนกรกฏาคม ถึงธันวาคม 2023 และการวิเคราะห์ความเร็วที่ผู้โจมตีทางไซเบอร์ใช้ประโยชน์จากช่องโหว่ใหม่ที่ถูกค้นพบทั่วทั้งอุตสาหกรรมความปลอดภัยทางไซเบอร์ และการเพิ่มขึ้นของแรนซัมแวร์ที่เจาะจงเป้าหมายและกิจกรรมของมัลแวร์แบบไวเปอร์ ที่มุ่งทำลายข้อมูลในภาค OT และภาคอุตสาหกรรม
ประเด็นสำคัญที่พบในช่วงครึ่งหลังของปี 2023
· การโจมตีเกิดขึ้นโดยเฉลี่ย 4.76 วันหลังจากมีการเปิดเผยช่องโหว่ใหม่สู่สาธารณะ เช่นเดียวกับรายงาน Global Threat Landscape ในช่วงครึ่งแรกของปี 2566 ของ FortiGuard Labs ที่พยายามหาว่าตั้งแต่เริ่มมีการเปิดเผยช่องโหว่ (Vulnerabilities) จนถึงการนำช่องโหว่ไปใช้โจมตี (Exploitation) ใช้เวลานานแค่ไหน หรือช่องโหว่ที่มีคะแนนความเสี่ยงสูง (EPSS – Exploit Prediction Scoring System) จะถูกโจมตีได้เร็วขึ้นหรือไม่ และจะสามารถคาดการณ์ระยะเวลาเฉลี่ยที่ช่องโหว่จะถูกโจมตีโดยใช้ข้อมูลจาก EPSS ได้หรือไม่ ซึ่งจากการวิเคราะห์ พบว่าครึ่งหลังของปี 2023 ผู้โจมตีสามารถนำช่องโหว่ใหม่ๆ ที่มีการเปิดเผย ไปใช้โจมตีได้เร็วขึ้นถึง 43% เมื่อเทียบกับครึ่งแรกของปี 2023
เหตุการณ์ดังกล่าวแสดงให้เห็นว่า ผู้จำหน่ายจะต้องทุ่มเทอย่างจริงจังเพื่อค้นหาช่องโหว่ในผลิตภัณฑ์ของตัวเอง และพัฒนาแก้ไขให้ได้ก่อนที่จะถูกโจมตีจริง (เพื่อลดกรณีการเกิดของช่องโหว่แบบซีโร่-เดย์)นอกจากนี้ รายงานยังเน้นย้ำว่าผู้จำหน่ายต้องเปิดเผยข้อมูลช่องโหว่ให้ลูกค้ารับทราบล่วงหน้าด้วยความรวดเร็วและโปร่งใส เพื่อให้แน่ใจว่าลูกค้ามีข้อมูลที่จำเป็นสำหรับป้องกันสินทรัพย์ของตนได้อย่างมีประสิทธิภาพ ก่อนที่ผู้โจมตีทางไซเบอร์จะสามารถโจมตีช่องโหว่นั้น (N-day Vulnerabilities)
· ยังมีช่องโหว่ N-Day บางตัวที่ไม่ได้รับการแก้ไขแพตช์ (unpatched) นานเกิน 15 ปี ไม่ใช่แค่ช่องโหว่ที่เพิ่งระบุได้เท่านั้นที่ทำให้ CISOs และทีมดูแลด้านความปลอดภัยต้องกังวล จากการติดตามและเก็บข้อมูลของฟอร์ติเน็ต (Fortinet Telemetry) พบว่า 41% ขององค์กรตรวจพบการเจาะระบบจากลายเซ็น หรือ Signatures ที่มีอายุน้อยกว่าหนึ่งเดือน และเกือบทุกองค์กร (98%) ตรวจพบช่องโหว่ N-Day ที่อยู่ในระบบเป็นเวลาอย่างน้อย 5 ปี นอกจากนี้ FortiGuard Labs ยังคงพบผู้โจมตีที่ใช้ช่องโหว่ที่มีอายุเกิน 15 ปีในการโจมตี ยิ่งเป็นการย้ำถึงความจำเป็นในการเฝ้าระวังความปลอดภัยอย่างต่อเนื่อง อีกทั้งกระตุ้นให้องค์กรต่างๆ รีบดำเนินการอย่างรวดเร็วด้วยการแก้แพตช์พร้อมอัปเดตโปรแกรมอย่างสม่ำเสมอ โดยใช้แนวปฏิบัติที่ดีที่สุดและคำแนะนำจากองค์กรต่างๆ เช่น Network Resilience Coalition เพื่อสร้างความปลอดภัยให้เครือข่ายโดยรวมได้มีประสิทธิภาพยิ่งขึ้น
· ช่องโหว่บนอุปกรณ์ปลายทาง (Endpoint) ที่รู้จักกันดี โดนโจมตีน้อยกว่า 9% ในปี 2022 FortiGuard Labs ได้เปิดเผยแนวคิดของ “Red Zone” ช่วยให้ผู้อ่านเข้าใจได้ดีขึ้นว่าผู้โจมตีมีแนวโน้มที่จะใช้ช่องโหว่เฉพาะเจาะจงใดบ้างเพื่อการโจมตี เพื่อให้เห็นภาพ รายงาน Global Threat Landscape สามฉบับล่าสุดได้ตรวจสอบจำนวนช่องโหว่ทั้งหมด โดยมุ่งเป้าที่อุปกรณ์ปลายทาง โดยในช่วงครึ่งหลังของปี 2023 การวิจัยพบว่า 0.7% ของช่องโหว่และช่องทางการโจมตีที่เป็นที่รู้จักในระบบคอมพิวเตอร์และเครือข่ายทั้งหมด (CVEs: Common Vulnerabilities and Exposures) ที่พบในอุปกรณ์ปลายทางกำลังโดนโจมตี ซึ่งแสดงให้เห็นว่าพื้นที่การโจมตีมีขนาดเล็กลงมาก ทำให้ทีมรักษาความปลอดภัยสามารถมุ่งเน้นและให้ความสำคัญในการแก้ไขได้ก่อน
· 44% ของตัวอย่างแรนซัมแวร์ และมัลแวร์ ไวเปอร์ ทั้งหมดต่างมุ่งเป้าไปที่ภาคอุตสาหกรรมเซนเซอร์ทั้งหมดของฟอร์ติเน็ต มีการตรวจพบแรนซัมแวร์ลดลงถึง 70% เมื่อเทียบกับช่วงครึ่งแรกของปี 2023 การชะลอตัวของแรนซัมแวร์ ที่สังเกตได้ในปีที่ผ่านมา สามารถอธิบายได้ว่าเป็นเพราะผู้โจมตีเปลี่ยนกลยุทธ์จากการส่งมัลแวร์แบบสุ่ม (Spray and Pray) ด้วยวิธีเดิมๆ เป็นการโจมตีแบบมุ่งเป้ามากขึ้น โดยส่วนใหญ่เน้นที่อุตสาหกรรมหลัก ทั้งภาคพลังงาน เฮลธ์แคร์ การผลิต การขนส่งและโลจิสติกส์ ตลอดจนยานยนต์
· บอทเน็ตมีความยืดหยุ่นอย่างไม่น่าเชื่อ หลังตรวจพบครั้งแรก ใช้เวลาเฉลี่ยถึง 85 วันจึงจะหยุดการสื่อสารเพื่อออกคำสั่งและควบคุมมัลแวร์ได้ (C2) ในขณะที่บอททราฟฟิก ยังอยู่ในระดับคงที่เมื่อเทียบกับครึ่งแรกของปี 2023 โดย FortiGuard Labs ยังคงเห็นบอทเน็ตซึ่งเป็นที่รู้จักกันดีเพิ่มขึ้นในช่วงสองสามปีที่ผ่านมา เช่น Gh0st, Mirai, และ ZeroAccess แต่ก็มีบอทเน็ตใหม่ 3 ตัวปรากฏขึ้นในช่วงครึ่งหลังของปี 2023 ได้แก่ AndroxGh0st, Prometei, และ DarkGate
· เป็นที่สังเกตุว่ากลุ่มภัยคุกคามขั้นสูง หรือ Advanced Persistent Threat (APT) จำนวน 38กลุ่มจาก 143 กลุ่มที่ระบุโดย MITRE ยังมีการเคลื่อนไหวอยู่ในช่วงครึ่งหลังของปี 2023 โดย FortiRecon ซึ่งเป็นบริการป้องกันความเสี่ยงทางดิจิทัลของฟอร์ติเน็ต ระบุว่ากลุ่มภัยคุกคาม 38 ใน 143 กลุ่มที่ MITRE ติดตามมีการเคลื่อนไหวในช่วงครึ่งหลังของปี 2023 โดยจากทั้งหมด Lazarus Group, Kimusky, APT28, APT29, Andariel, และ OilRig คือกลุ่มที่เคลื่อนไหวมากที่สุด ด้วยธรรมชาติของ APT และกลุ่มไซเบอร์ของภาครัฐ จะเน้นแคมเปญสั้นๆ และเจาะจง เมื่อเทียบกับอาชญากรไซเบอร์ที่ใช้แคมเปญโจมตียาวๆ จึงจำเป็นที่ FortiGuard Labs จะต้องติดตามทั้งวิวัฒนาการและปริมาณการโจมตีอย่างต่อเนื่อง
การสนทนาบนเว็บมืด (Dark Web Discourse) รายงาน Global Threat Landscape Report ในช่วงครึ่งหลังของปี 2023 จาก FortiRecon ให้ภาพรวมการสนทนาระหว่างผู้ก่อการคุกคามในฟอรัมบนเว็บมืด มาร์เก็ตเพลส ช่องทาง Telegram ซึ่งเป็นแอปพลิเคชันที่เผยแพร่ข้อมูลให้กับผู้ติดตามจำนวนมาก รวมถึงแหล่งข้อมูลอื่นๆ โดยข้อมูลที่พบมีดังต่อไปนี้
· ผู้ก่อการคุกคามมักพูดคุยโดยพุ่งเป้าไปที่องค์กรภาคการเงินมากที่สุด ตามด้วยภาคธุรกิจบริการและภาคการศึกษา
· มีการรั่วไหลของข้อมูลส่วนบุคคลที่ถูกแชร์ไปตามฟอรัมดังๆ บนเว็บมืดมากกว่า 3,000 ครั้ง
· มีการพูดคุยถึงช่องโหว่ 221 รายการอย่างจริงจังบนเว็บมืด (Darknet) อีกทั้งมีถกประเด็นเกี่ยวกับช่องโหว่ 237 รายการในช่องทาง Telegram
· บัตรชำระเงิน (Payment Cards) กว่า 850,000 ใบ ถูกนำมาประกาศขาย
การพลิกสถานการณ์เพื่อต้านอาชญากรรมทางไซเบอร์ ประเด็นของการขยายพื้นที่การโจมตีต่อเนื่อง และการขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ในอุตสาหกรรม ทำให้เกิดปัญหาท้าทายสำหรับธุรกิจมากขึ้นกว่าที่ผ่านมาในการจัดการโครงสร้างพื้นฐานซับซ้อนที่ประกอบไปด้วยโซลูชันแตกต่างหลากหลายได้อย่างเหมาะสม โดยยังไม่รวมเรื่องการติดตามการแจ้งเตือนมากมายจากผลิตภัณฑ์แต่ละตัวให้ทัน รวมถึงกลยุทธ์ เทคนิคต่างๆ และขั้นตอนที่ผู้คุกคามใช้ในการโจมตีเหยื่อ
การพลิกสถานการณ์เพื่อต้านอาชญากรรมทางไซเบอร์ ต้องอาศัยวัฒนธรรมด้านการร่วมมือ ความโปร่งใส และความรับผิดชอบในการรักษาความปลอดภัยไซเบอร์ในสเกลที่ใหญ่กว่าการดูแลเฉพาะในองค์กรตนเท่านั้น ทุกองค์กรต่างมีบทบาทในการขัดขวางภัยคุกคามทางไซเบอร์ร่วมกัน การร่วมมือกับองค์กรชั้นนำที่เชื่อถือได้ทั้งภาครัฐและเอกชน รวมไปถึง CERTs หน่วยงานรัฐบาล และสถาบันทางศึกษา คือพื้นฐานสำคัญที่ฟอร์ติเน็ตมุ่งมั่น เพื่อเสริมสร้างความสามารถในการเตรียมตัวและตอบสนองต่อภัยไซเบอร์ทั่วโลก
การพัฒนาด้านนวัตกรรมเทคโนโลยีอย่างต่อเนื่องและความร่วมมือจากอุตสาหกรรม และกลุ่มทำงานต่างๆ เช่น กลุ่มพันธมิตร Cyber Threat Alliance กลุ่ม Network Resilience Coalition องค์การตำรวจอาชญากรรมระหว่างประเทศ (Interpol) สภาเศรษฐกิจโลก (WEF) พันธมิตรต่อต้านอาชญากรรมไซเบอร์ (Partnership Against Cybercrime) และ Cybercrime Atlas ของ WEF จะช่วยปรับปรุงมาตรการป้องกันต่างๆ ร่วมกันได้อย่างมีประสิทธิภาพมากขึ้น อีกทั้งช่วยกันต่อต้านอาชญากรรมไซเบอร์ในระดับสากล
