CEO Blog

การจู่โจมที่ไร้ร่องรอย

By นักรบ เนียมนามธรรม17 ส.ค. 2020 เวลา 8:30 น.
การจู่โจมที่ไร้ร่องรอย

นับวันภัยคุกคามไซเบอร์จะยิ่งมีความแยบยลมากยิ่งขึ้น

ในโลกไซเบอร์การ ‘รู้เขารู้เรา’ เป็นเรื่องสำคัญ ก่อนหน้านี้เรามีโซลูชันที่ช่วยแจ้งเตือน เมื่อระบบถูกจู่โจมจากภัยคุกคาม ทั้งยังมี Inception Tool เครื่องมือที่ใช้หลอกผู้จู่โจมให้ติดกับในเครื่องเสมือน จนหลงคิดว่ากำลังจู่โจมอยู่บนเครื่องของเหยื่อจริงๆ มาวันนี้เหล่าแฮกเกอร์ก็รู้ทันผู้เชี่ยวชาญด้าน ไซเบอร์ ซิเคียวริตี้ จนได้ เมื่อโซลูชั่นที่ติดตามและแกะรอยการจู่โจมของแฮกเกอร์กลับถูกโจมตีเสียเอง 

ผลวิจัยจากบริษัทผู้เชี่ยวชาญด้านโซลูชั่นที่ใช้สำหรับแกะรอยการจู่โจมของภัยคุกคามพบว่า 33% มีการจู่โจมที่ตอบโต้ต่อระบบตอบสนองภัยคุกคาม (Incident Response - IR) ซึ่งเพิ่มขึ้นจากเดิมมากถึง 10% นอกจากนี้อีก 50% ของการจู่โจมพบว่าแฮกเกอร์พยายามลบร่องรอยการจู่โจมอีกด้วย เช่น การลบ Log ในการจู่โจม และอีก 44% พยายามที่จะเบี่ยงเบนข้อมูลการจู่โจม รวมทั้งยังมีการปลอมแปลงเวลาที่จู่โจม หรือการเปลี่ยนแปลง Subnet และหลอกลวงในเรื่องของการพิสูจน์สิทธิในการเข้าถึงระบบ เป็นต้น

 เป็นลำดับถัดมา ซึ่งบ่อยครั้งมักจะใช้ NetPetya-style Ransomware ปัจจุบันการตอบโต้ต่อระบบ IR นั้นมีจำนวนมากขึ้นและบ่อยครั้งที่สามารถสร้างความเสียหายได้อีกด้วย ซึ่งวิธีการลบข้อมูลการจู่โจมเช่นนี้เกิดบ่อยขึ้น โดยการลบ Log รวมถึงวิธีต่างๆนั้นถือเป็นส่วนหนึ่งของการจู่โจมขั้นสูงที่แฮกเกอร์เริ่มใช้กันมาเป็นระยะเวลาหนึ่งแล้ว

บางครั้งแฮกเกอร์ใช้วิธีจู่โจมที่สามารถถูกจับได้ง่ายๆ และจู่โจมเป็นวงกว้างไปยังเป้าหมาย เพื่อทำให้ระบบตอบสนองภัยคุกคามทำงานช้าลง รวมถึงทำให้ระบบหรือทีมงานด้านการรักษาความปลอดภัยเข้าใจจุดที่ถูกจู่โจมผิดเป็นจุดอื่นได้ นั่นทำให้ทีมงานการรักษาความปลอดภัยไซเบอร์ต้องเสียเวลาไปโฟกัสในจุดที่ไม่ใช่จุดที่เป็นเป้าโจมตีจริงๆ

ยังมีผลการวิจัยเพิ่มเติมถึงภัยคุกคามที่ระบาดในช่วงที่เกิดเหตุการณ์โควิด-19 ซึ่งพบว่า โดยภาพรวมทั้งหมด 53% ของผู้ตอบแบบสำรวจต่อเหตุการณ์ภัยคุกคามให้ข้อมูลว่า มีการเพิ่มขึ้นของภัยทางด้านไซเบอร์อยู่ไม่กี่ประเภทที่เพิ่มขึ้นในช่วงนั้น โดยส่วนใหญ่ภัยคุกคามจะเกิดขึ้นจากการทำงานนอกสถานที่อย่างไม่มีประสิทธิภาพ 52% จากช่องโหว่ของ วีพีเอ็น 45% และการขาดแคลนพนักงาน 36%

ส่วนภาคธุรกิจที่เป็นเป้าหมายจู่โจมนั้นมากกว่าครึ่ง คือ ธุรกิจทางด้านการเงิน ซึ่งสอดคล้องกับรายงานก่อนหน้านี้ ที่บอกว่าเรื่องผลประโยชน์ทางการเงินนั้น จูงใจเหล่าแฮกเกอร์เป็นอันมาก อีกจุดหนึ่งที่น่าสนใจ คือ 51% ของการตอบโตนั้นมาจากประเทศจีน และยังมีการจู่โจมมาจากสองชาติที่ถือว่ามีเปอร์เซ็นต์สูงมากพอสมควร คือ เกาหลีเหนือ 40% และรัสเซีย 38%

นับวันภัยคุกคามจะยิ่งมีความแยบยลมากขึ้น ทำให้ผู้พัฒนาโซลูชั่นการรักษาความปลอดภัยไซเบอร์ต้องหมั่นพัฒนาหาวิธีการมาป้องกันภัยคุกคามให้เหนือชั้นกว่า ในส่วนของผู้ใช้งานที่เป็นบริษัทก็ควรเลือกใช้และอัพเดทโซลูชันใหม่ๆอยู่เสมอ พร้อมทั้งเลือกวางระบบรักษาความปลอดภัยไซเบอร์ในทุกจุดที่มีความเสี่ยง เพื่อไม่เปิดโอกาสให้แฮกเกอร์เข้ามาสร้างความเสียหายให้กับบริษัทได้ครับ