สรุปภาพรวมภัยไซเบอร์เจาะระบบอุตสาหกรรมและสาธารณูปโภค (OT) จากฟอร์ติเน็ต

ฟอร์ติเน็ตได้จัดการประชุมระดับนานาชาติ “Fortinet Secure Operational Technology Summit 2021” APAC Digital Edition ในรูปแบบเวอร์ชวล สำหรับตลาดในภูมิภาคเอเชียแปซิฟิกโดยเฉพาะระหว่าง 22 – 23 เมษายนที่ผ่านมา โดยเป็นเวทีที่รวบรวมผู้เชี่ยวชาญด้านความปลอดภัยสำหรับระบบในโรงงานอุตสาหกรรมจากฟอร์ติเน็ตและในอุตสาหกรรมต่างๆ มาแบ่งปันความรู้มากมาย รวมทั้งคุณโจนัส วอล์คเกอร์ ผู้เชี่ยวชาญด้านภัยคุกคามแห่งฟอร์ติเน็ตซึ่งให้ข้อมูลถึงภาพรวมของภัยคุกคามในหัวข้อ “OT Threat Landscape Predictions” ซึ่งสรุปเนื่อหาที่น่าสนใจได้ดังนี้

โจนัส วอล์คเกอร์ ผู้เชี่ยวชาญด้านภัยคุกคามแห่งฟอร์ติเน็ต

ภัยคุกคามที่เกิดที่ระบบในโรงงานอุตสาหกรรมอันรวมถึงระบบสาธารณูปโภคที่เรียกสั้นๆ ว่า “โอที” (Operational Technology: OT ) นั้นขยายตัวเพิ่มมากขึ้น มีรูปแบบการคุกคามที่ซับซ้อนมากยิ่งขึ้น เนื่องจากองค์กรต่างๆ ปฏิรูประบบโอทีให้เชื่อมโยงเข้าสู่โครงข่ายอินเทอร์เน็ตมากขึ้น ซึ่งเป็นการเปิดช่องให้ภัยคุกคามเข้ามาได้มากขึ้น

เมื่อย้อนกลับไป จะพบภัยคุกคามครั้งใหญ่ในปีค.ศ. 2010 ที่สร้างความตระหนกในอุตสาหกรรมระบบสาธารณูปโภค คือ Stuxnet ภัยคุกคามประเภทหนอน (Worm) ที่เข้าขัดขวางการทำงานของโปรแกรมวินโดวส์ในโรงงานผลิตพลังงานนิวเคลียร์ที่อิหร่านจนทำให้ต้องหยุดการปฏิบัติงานไปชั่วขณะ รวมถึงในปีค.ศ. 2019 พบภัยแรนซัมแวร์เรียกค่าไถ่คุกคามการทำงานของโรงงานอลูมิเนียมที่มีฐานการผลิตระดับโลกแห่งหนึ่ง ในกลางปีที่ผ่านมานี้เราได้ทราบถึงข่าวที่ผู้ผลิตชิ้นส่วนเครื่องบิน ASCO สัญชาติเบลเยี่ยมที่ได้ถูกภับมัลแวร์ขนาดใหญ่คุกคาม จนต้องปิดโรงงานบางแห่งในหลายประเทศ และล่าสุดเมื่อเดือนกุมภาพันธ์ที่ผ่านมา มีคำขู่ที่จะวางสารพิษในน้ำที่ผลิตโดย Tampa H2O Supply  

 

นอกจากภัยคุกคามระบบโอทีและระบบสาธารณูปโภคจะขยายตัวมากขึ้นแล้ว ภัยคุกคามยังทำงานได้อย่างรวดเร็วมากขึ้นด้วย  โดยคุณโจนัสอ้างอิงถึงรายงานที่ระบบ Shodan ที่ใช้ควบคุมโครงสร้างพื้นฐานสำคัญของประเทศ Industrial Control System (ICS) นั้นได้วิเคราะห์ภัยและพบว่า ผู้ประสงค์ร้ายใช้เวลาไม่นานในการค้นหาไอพีแอดเดรส เมลเซิร์ฟเวอร์ เว็บเซิร์ฟเวอร์และพอร์ตที่ใช้งานบนอินเทอร์เน็ตในขณะนั้น รวมถึงข้อมูลของผู้ใช้งาน เช่น รหัสผู้ใช้งาน รหัสผ่าน ซึ่งเป็นข้อมูลที่นำไปใช้หาช่องโหว่ในรูปแบบต่างๆ เข้าโจมตีระบบโอทีต่อไปได้

 

ฟอร์ติเน็ตจึงใช้ศักยภาพของศูนย์วิเคราะห์ภัยฟอร์ติการ์ตแล็บส์ (FortiGuard Labs) เข้ามาช่วยองค์กรและผู้ให้บริการระบบสาธารณูปโภคต่างๆ ให้สามารถมีการมองเห็น (Visibility) ถึงสิ่งต่างๆ ที่เกิดขึ้นได้กว้างขวางทั่วทั้งเครือข่ายทั้งในแง่ของการคุกคามและการทำงานของอุปกรณ์ โดยศูนย์ฯ จะทำหน้าที่รวบรวมอีเว้นท์คุกคามที่เกิดขึ้นมากมายทั่วโลก และใช้เทคโนโลยีแมชชีนเลิร์นนิ่งวิเคราะห์แพทเทิร์นและพฤติกรรม  ค้นพบภัยใหม่ๆ ที่ยังไม่เกิดขึ้นที่เรียกว่า Zero-day threat ได้  ส่งให้องค์กรและผู้ให้บริการต่างๆ มีข้อมูลขั้นสูงอันชาญฉลาดที่สามารถนำไปปฎิบัติใช้ได้ทันที ไม่ว่าจะสำหรับในช่วงการป้องกันภัย การกักกันภัย การแก้ไขสถานการณ์ การยกระดับนโยบายด้านความปลอดภัยให้แข็งแกร่งขึ้น และอื่นๆ 

 

ทั้งนี้ ฟอร์ติการ์ตแล็บส์ให้ความสำคัญกับการทำงานอย่างใกล้ชิดกับพันธมิตรที่เป็นองค์กรเอกชน หน่วยงานรัฐบาล ผู้กำกับดูแลและผู้บังคับกฏ  อาทิ ชไนเดอร์ ซีเมนส์ ในการแบ่งปันฐานข้อมูลด้านภัยระหว่างกันอย่างรวดเร็ว เพื่อสร้างบริการด้านความปลอดภัยที่รวดเร็วอยู่ตลอดเวลา จึงช่วยลดโอกาสที่ภัยจะแพร่กระจายและลดความเสียหาย อาทิ การรับข้อมูลภัยที่คุกคามที่ช่องโหว่ ฟอร์ติเน็ตจะสามารถออกแพทช์ได้ทันท่วงที การเตือนภัยที่กำลังเกิดขึ้น การช่วยแก้ไข การให้คำแนะนำแก่ลูกค้าทั่วโลก   

 

คุณโจนัสเน้นส่งท้ายว่า

1. ภัยคุกคามในระบบสาธารณูปโภคมีความซับซ้อนมากขึ้น โดยพบว่ามีเทคนิคการคุกคามแบบอัตโนมัติและแบบการโจมตีที่มีเป้าหมายชัดเจนมากกว่า 70 ประเภท
2. องค์กรควรทำความเข้าใจถึงวิธีและเทคนิคที่ผู้ประสงค์ร้ายใช้ Tactics, Techniques, and Procedures: TTP) เพื่อเข้าใจว่า เป็นภัยที่ต้องการขโมยข้อมูล หรือเรียกค่าไถ่ หรือขู่ โดยอาจใช้เทคนิค MITRE ATTACK ทดสอบระบบด้านการรักษาความปลอดภัยขององค์กรของท่าน
3. ควรใช้ทูลส์ที่ชาญฉลาด สามารถตรวจจับกิจกรรมที่กิดขึ้นได้ สามารถเห็นพฤติกรรมต่างๆ ได้สามารถแยกแยะพฤติกรรมที่ไม่ปกติได้ สามารถวิเคราะห์และเสนอแนะวิธีการปฏิบัติได้ เช่น แจ้งระดับประสิทธิภาพในการสำรองข้อมูล เป็นต้น
4. มีมาตรการโต้ตอบภัยที่เหมาะสม โดยองค์กรควรมีคู่มือด้านคงามปลอดภัยที่เรียกว่าเพลย์บุ๊ก (Playbook) ที่ทำงานได้อย่างอัตโนมัติ ครอบคลุมตั้งแต่ขั้นตอนการค้นพบภัย การวิเคราะห์ภัย การแก้ไขปัญหาการคุกคาม การฟื้นฟูระบบหลังถูกคุกคาม

     

 

************