การโจมตีผ่านอัตลักษณ์: กระบวนทัศน์ของภัยไซเบอร์ที่เปลี่ยนไป

ภัยคุกคามเหล่านี้มุ่งเป้าไปที่หน่วยงานภาครัฐ, กองทัพ, และโครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) โดยเฉพาะภาคสาธารณูปโภค แต่สถิติที่น่าสะพรึงที่สุดคือ การรั่วไหลของข้อมูลประจำตัว (Credential Leaks)

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (NCSA) รายงานว่าจำนวนเหตุการณ์ Username และ Password รั่วไหลเพิ่มขึ้นอย่างมหาศาลถึงร้อยละ 6,250 เมื่อเทียบกับปีก่อนหน้า (จาก 80,000 incidents เป็น 5 ล้าน incidents) 

นอกจากนี้มีภัยจากแก๊งคอลเซนเตอร์ที่เปลี่ยนวิธีการหลอกลวงจากการปลอมเป็นบุคคลของหน่วยงานภาครัฐที่น่าเชื่อถือ มาเป็นการปลอมเป็นบุคคลใกล้ชิด เป็นคนที่เรารู้จัก (Synthetic Identity) ผ่านการสังเคราะห์เสียงและภาพเคลื่อนไหวด้วย AI ที่แนบเนียนจนเราตกเป็นเหยื่อในที่สุด

ด้วยสถิติแบบนี้น่าจะถึงเวลาที่จะต้องเสริมสร้างแนวทางในการรับมือการโจมตีผ่านอัตลักษณ์ (Identity-Based Attacks) กันอย่างจริงจังแล้ว

จาก blog ของ Identity Management Institute ที่อ้างถึง กล่าวไว้ว่า ปัจจัยที่ทำให้กระบวนทัศน์ด้าน cybersecurity ต้องเปลี่ยนไปคือ การปรับตัวขององค์กรต่าง ๆ ในการนำเทคโนโลยีดิจิทัลแนวใหม่มาใช้

ซึ่งในบริบทของประเทศไทยอาทิเช่น การทำธุรกรรมทางการเงินที่เป็นดิจิทัลเกือบสมบุรณ์แบบผ่านอุปกรณ์โทรศัพท์มือถือ การย้ายระบบงานบางส่วนไปอยู่บนคลาวด์สาธารณะทั้งภาคเอกชนและภาครัฐ

รวมถึงระบบงานแนวใหม่ที่เป็นแบบ cloud native มีการเชื่อมโยงกันเองผ่าน APIs (Application Program Interfaces) และยังเชื่อมไปยังระบบที่อยู่ในศูนย์ของมูลขององค์กร การขยายตัวของ 5G และอุปกรณ์ IoT รวมถึงการที่พนักงานสามารถเข้าถึงระบบและใช้งานจากทุกสถานที่ที่มี Internet เป็นต้น

ปัจจัยต่างๆ เหล่านี้ทำให้ระบบดิจิทัลมีความสลับซับซ้อนและได้เปิดช่องทางการโจมตีมากขึ้น

 เหล่าบรรดา Hackers จึงปรับเปลี่ยนวิธีการโจมตีไปใช้อัตลักษณ์ของจริง (Valid Identity, Legitimate Credentials) ที่รั่วไหลหรือไปหลอกขโมยมาด้วยวิธี social engineering กันมากขึ้น

อันเปรียบเสมือนมิจฉาชีพได้ “กุญแจหลัก” ในการเข้าสู่ระบบงานต่าง ๆ สามารถเข้าไปเปิดแฟ้มข้อมูล (digital assets) และเข้าสู่ทรัพย์สินดิจิทัลที่สำคัญขององค์กรได้อย่างง่ายดาย และยากต่อการตรวจจับอีกด้วย

 เหมือนพระเอกในภาพยนตร์ Mission Impossible เกือบทุกตอนจะปลอมเป็นคนนั้นคนนี้ พร้อมทั้งก๊อปปี้ลายนิ้วมือ หรือจอม่านตาจากเจ้าของตัวจริงมาใช้อย่างครบถ้วนเลย 

นอกจากนี้ยังมีอัตลักษณ์ที่ไม่ใช่มนุษย์ (Non-Human Identities, NHIs)  ก็คืออัตลักษณ์ทางดิจิทัลที่ใช้เป็นตัวแทนของเครื่องจักร ระบบงาน และกระบวนการอัตโนมัติภายในโครงสร้างพื้นฐานด้านไอที เพื่อใช้ในการโต้ตอบระหว่างกัน

โดยเฉพาะในระบบงานแบบคลาวด์แท้ ที่แตกเป็นระบบงานย่อย (Microservices) จะมีการสร้างอัตลักษณ์ชั่วคราวจำนวนมากซึ่งอาจมีความเสี่ยงเพิ่มขึ้น เพราะ NHIs มักจะได้รับสิทธิสูงกว่าปรกติ

สำหรับแนวทางในการป้องกันการโจมตีผ่านอัตลักษณ์ ซึ่งกรอบแนวคิดสำคัญคือ Zero Trust ในเอกสารที่ท่านทั้งหลายสามารถไปหาอ่านได้จาก NIST SP 800-207 Zero Trust Architecture อย่างไรก็ดีจาก blog ดังกล่าวได้แนะนำหลักที่พอจะสรุปย่อยได้ดังนี้

1.การใช้เทคโนโลยีการป้องกัน User and Entity Behavior Analytics (UEBA) - ทำหน้าที่เหมือนรปภ.ที่รู้จักพฤติกรรมการทำงานของคนและระบบ (Entity) เป็นอย่างดี โดยจะแจ้งเตือนเมือตรวจพบพฤติกรรมที่ไม่ปรกติทันที

2.การแบ่งโครงสร้างเทคโนโลยีสารสนเทศเป็นส่วนย่อย ๆ (Micro-segmentation) ให้เข้าไปเป็นส่วนหนึ่งของสถาปัตยกรรมระบบไอที (Secure by Design)

เพื่อบังคับการใช้สิทธิให้อยู่ในขอบเขตที่จำกัดสำหรับการเข้าถึงทรัพยากรต่าง ๆ ในระบบ เสมือนเราแลกบัตรขึ้นอาคารก็จะไปได้แค่ชั้นที่เราแจ้งไว้เท่านั้น

3.Zero Standing Privilege, ZSP จะทำหน้าที่รับรองสิทธิอย่างมีกรอบเวลาและมีการพิสูจน์ก่อนการใช้งานเสมอ หลังจากเสร็จงานใด  ๆ ก็จะถอนสิทธินั้นออก จะไม่มีการให้สิทธิอย่างถาวรแบบ role base อีกต่อไป 

4.กระบวนการตรวจสอบความน่าเชื่อถือตลอดเส้นทางอย่างต่อเนื่อง (Continuous Trust Evaluation, CTE, in Access Paths) ในการเข้าระบบครั้งหนึ่งที่ต้องทำงานหลายอย่าง แต่ละอย่างจะถูกตรวจสอบใหม่ทุกครั้งตามความเสี่ยง

เสมือนเมื่อเราขึ้นอาคารไปชั้นที่เราแจ้งไว้ได้แล้ว พอจะเข้าไปออฟฟิตที่เจาะจงก็จะต้องผ่านอีกด่านคือการตอบพนักงานต้อนรับว่า “จะมาพบใคร”

คำถามสำคัญต่อไปคือ การประสานการทำงานข้างต้นให้ราบลื่นและเป็นแบบอัตโนมัติจะทำได้อย่างไร เพราะมีคำกล่าวว่า “เราไม่สามารถซื้อระบบรักษาความปลอดภัยทางไซเบอร์ได้ แต่เราต้องทำมันขึ้นมา และต้องทำอย่างถูกวิธีด้วย”

ความท้าทายของไทยเราคือ องค์กรมักจะขาดแผนและกลยุทธ์ที่ชัดเจน ด้วยระบบไอทีที่ซับซ้อน การจัดการวงจรข้อมูล การผสมผสานเทคโนโลยีหลากหลายยุคสมัยให้ทำงานร่วมกัน การต้องรักษาธรรมาภิบาลและปฏิบัติตามกฎหมายด้านไอที

รวมถึงความท้าทายสำคัญอีกประการหนึ่งคือ การขาดแคลนบุคลากรผู้ชำนาญการด้านนี้ ยังคงเป็นความท้าทายต่อไปสำหรับโลกดิจิทัลที่ไม่มีพรมแดน ทำให้การป้องกันอัตลักษณ์จะมีความสำคัญอย่างยิ่ง

ผู้เขียนหวังว่าบทความสั้น ๆ นี้จะมีส่วนช่วยสร้างการตระหนักรู้ถึงภัยคุกคามทางดิจิทัลที่กำลังเปลี่ยนแปลงไป

Reference: IMI. (2025, September 22). Identity Threats reshaping cybersecurity. Identity Management Institute®. https://identitymanagementinstitute.org/identity-threats-reshaping-cybersecurity/