news on January 05, 2017, 03:45:04 PM
แนวโน้มความปลอดภัยทางไซเบอร์ ทั้งในปัจจุบันและที่จะเกิดขึ้นในปี 2560 โดย Sophos













ปี 2559 ที่ผ่านมา เราพบการโจมตีทางไซเบอร์มากมายทั้งด้านปริมาณและความหลากหลาย ตั้งแต่การโจมตีแบบ DDoS ระดับสูงที่ใช้เครื่องมือเป็นกล้องวงจรปิดที่เชื่อมต่อกับอินเทอร์เน็ตที่ถูกเจาะระบบเข้าควบคุมจากระยะไกล ไปจนถึงการแฮ็กข้อมูลของเจ้าหน้าที่พรรคการเมืองระหว่างช่วงการเลือกตั้งของสหรัฐฯ นอกจากนี้เรายังเห็นจำนวนเหตุการณ์ข้อมูลรั่วไหลที่พุ่งสูงขึ้นมากในองค์กรต่างๆ ทั้งขนาดเล็กและขนาดใหญ่ รวมทั้งการรั่วไหลของข้อมูลส่วนตัวครั้งใหญ่อยู่หลายครั้ง ช่วงสิ้นปีที่กำลังจะมาถึงนี้จึงเป็นเวลาที่ดีในการประมวลเหตุการณ์ทั้งหมดเป็นแนวโน้มสถานการณ์ความปลอดภัยที่น่าจะเกิดขึ้นในปีหน้า

แนวโน้มการโจมตีทั้งในปัจจุบัน และที่กำลังจะเกิดขึ้น

การโจมตีแบบ DDoS ที่ใช้ IoT เป็นเครื่องมือ ที่เน้นการสร้างความเสียหายนั้น มีแนวโน้มพุ่งสูงขึ้นเรื่อยๆ ในปี 2559 ที่ผ่านมา บอทเน็ต Mirai ได้ทำให้เห็นอานุภาพของการโจมตีแบบ DDoS ที่เน้นสร้างความเสียหาย โดยใช้อุปกรณ์ IoT (Internet of Things) ที่ใช้งานในครัวเรือนซึ่งไม่มีการรักษาความปลอดภัยเพียงพอ มาเป็นเครื่องมือ แม้การโจมตีของ Mirai จะสร้างความเสียหายแก่อุปกรณ์จำนวนไม่มาก รวมทั้งใช้เทคนิคการเดาสุ่มรหัสผ่านแบบพื้นฐานได้เท่านั้น  แต่นี่ทำให้อาชญากรไซเบอร์ต่างๆ เห็นถึงความง่ายในการโจมตีลักษณะเดียวกัน เนื่องจากมีอุปกรณ์ IoT จำนวนมากที่ไม่มีการอัพเดต หรือทำงานบนระบบปฏิบัติการกับแอพพลิเคชั่นที่ไม่ได้รับการดูแล จนมีช่องโหว่ที่ได้รับการเผยแพร่รายละเอียดสู่สาธารณะแล้ว เราน่าจะได้เห็นการใช้ประโยชน์จากอุปกรณ์ IoT พร้อมทั้งกลไกการเดารหัสผ่านที่ซับซ้อนขึ้น รวมไปถึงมีอุปกรณ์ IoT ที่ตกเป็นเหยื่อนำไปใช้โจมตีอุปกรณ์อื่นๆ แบบ DDoS มากขึ้นเรื่อยๆ โดยเฉพาะกับอุปกรณ์ในเครือข่ายของคุณ

แนวโน้มที่เริ่มเปลี่ยนจากการเจาะระบบธรรมดา ไปใช้การโจมตีทางจิตวิทยาแทน อาชญากรไซเบอร์เริ่มมองหาช่องโหว่ที่เข้าถึงง่ายกว่าระบบทั่วไป ซึ่งก็คือมนุษย์ เราจะเห็นแนวโน้มการใช้เทคนิคจูงใจให้ผู้ใช้เจาะระบบตัวเอง ที่ซับซ้อนและมีประสิทธิภาพมากยิ่งขึ้น ตัวอย่างเช่น ปัจจุบันเราจะเห็นอีเมล์หลอกลวงจำนวนมากที่จ่าหน้าถึงชื่อบุคคล ด้วยเนื้อความทำนองว่าผู้รับมีหนี้หรือบิลที่ต้องชำระ นอกจากนี้ยังสร้างความตกใจให้เหยื่อเพิ่มเติมด้วยการปลอมตัวเป็นหน่วยงานทางกฎหมาย ในเมล์จะมีลิงค์อันตรายที่ให้ผู้ใช้ที่กำลังหวาดกลัวหลงคลิกเข้าไป เพื่อเปิดรับการโจมตีอื่นๆ ต่อไป นั่นคือการหลอกลวงต่อไปนี้จะทำให้เหยื่อหลงกลและมีสติฉุดคิดถึงความถูกต้องได้ไม่ทันอีกต่อไป

สถาบันการเงินกำลังตกในความเสี่ยงอย่างมาก ด้วยการหลอกลวงแบบเจาะจงเป้าหมายในลักษณะ “ตกเบ็ดล่อเหยื่อ” กำลังเติบโตอย่างรวดเร็ว การโจมตีลักษณะนี้จะใช้ข้อมูลเกี่ยวกับผู้บริหารของบริษัท เพื่อลวงหลอกให้พนักงานจ่ายเงินให้อาชญากร หรือยอมให้อาชญากรเข้ามาควบคุมบัญชีทางการเงิน ซึ่งเราเห็นกรณีตัวอย่างเพิ่มขึ้นมากมายโดยเฉพาะกับสถาบันทางการเงินที่สำคัญ อย่างเช่นการโจมตีที่เกี่ยวข้องกับการโอนเงินข้ามประเทศแบบ SWIFT ซึ่งทำให้ธนาคารกลางของบังคลาเทศเสียหายกว่า 81 ล้านดอลลาร์สหรัฐฯ เมื่อกุมภาพันธ์ที่ผ่านมา ทาง SWIFT ยอมรับว่ามีการโจมตีลักษณะนี้เกิดขึ้นอีกหลายครั้ง และมีแนวโน้มที่จะเกิดอีกเรื่อยๆ ในอนาคต โดยมีหนังสือชี้แจงไปยังธนาคารที่เป็นลูกค้าว่า “อันตรายลักษณะนี้มีแนวโน้มที่จะโจมตีอย่างต่อเนื่อง ปรับตัวได้หลากหลาย และมีกลไกซับซ้อนมาก”

ผู้โจมตีมุ่งหาเหยื่อที่ใช้เทคโนโลยีดั้งเดิมที่ไม่ปลอดภัยแล้วในปัจจุบัน ผู้ใช้งานอินเทอร์เน็ตทุกคนกำลังใช้โปรโตคอลพื้นฐานที่มีมาตั้งแต่ดึกดำบรรพ์ ซึ่งหลายตัวก็มีการใช้แทรกซึมทุกอนูในชีวิตจนถอนตัวไม่ได้ โปรโตคอลระดับบรรพกาลเหล่านี้ที่ฝังรากอยู่ในแกนกลางของอินเทอร์เน็ตและเครือข่ายของธุรกิจ บางครั้งอาจเปราะบางง่ายมากจนน่าแปลกใจ ตัวอย่างเช่น การโจมตี BGP (Border Gateway Protocol) ที่เปิดช่องให้รบกวน, เข้าควบคุม, หรือปิดกั้นการใช้งานอินเทอร์เน็ตเกือบทั้งระบบได้ หรือแม้แต่การโจมตี Dyn ด้วย DDoS เมื่อตุลาคมที่ผ่านมา (โดยกองทัพอุปกรณ์ IoT จำนวนมหาศาล) ได้ทำให้ระบบของผู้ให้บริการ DNS รายใหญ่นี้ล่ม จนกระทบกับการเข้าถึงเว็บไซต์จำนวนมากบนอินเทอร์เน็ตด้วย ซึ่งการโจมตีครั้งนี้ถือเป็นครั้งใหญ่ที่สุดครั้งหนึ่งเลยทีเดียว ผู้ที่ออกมาแสดงความรับผิดชอบก็แถลงว่าการโจมตีนี้เป็นแค่การทดสอบธรรมดาเท่านั้น ยังไม่ได้มุ่งร้ายอะไรเป็นพิเศษ ถือเป็นภาระหนักของ ISP และองค์กรต่างๆ ที่ต้องปฏิวัติระบบความปลอดภัยของตัวเองใหม่ โดยเฉพาะเมื่อมีผู้ไม่หวังดีใช้ช่องโหว่ที่เรายังหาทางป้องกันไม่ได้เช่นนี้

การโจมตีทวีความซับซ้อนมากขึ้น ด้วยการนำเอาเทคโนโลยีและเทคนิคทางจิตวิทยาสารพัดมาวางแผนซ้อนแผน โดยมีการตรวจสอบเครือข่ายองค์กรของเหยื่ออย่างละเอียดถี่ถ้วนก่อนลงมือ ผู้โจมตีจะเข้าไปควบคุมเซิร์ฟเวอร์และเครื่องไคลเอนต์หลายเครื่องในองค์กรอย่างเงียบๆ ก่อนจนพร้อมถึงจะลงมือขโมยข้อมูล หรือสร้างความเสียหายอย่างร้ายแรงในทีเดียว เบื้องหลังการโจมตีมักถูกจัดการโดยผู้เชี่ยวชาญที่วางกลยุทธ์อย่างจำเพาะ มุ่งทำความเสียหายให้แรงที่สุดในครั้งเดียว ถือว่าโลกของอันตรายทางไซเบอร์ได้เปลี่ยนจากหน้ามือเป็นหลังมือ จากที่เคยใช้มัลแวร์ที่มีการโปรแกรมหรือตั้งค่าให้ทำงานแบบอัตโนมัติอย่างเราเคยเห็นกัน เปลี่ยนมาเป็นการซุ่มจู่โจมและหลบการตรวจจับอย่างเงียบๆ และอดทน

มีการใช้ภาษาโปรแกรมมิ่งกับทูลแอดมินสำเร็จรูปมาประยุกต์ในการโจมตี อย่างที่เราเคยเห็นการนำภาษาโปรแกรมมิ่งในรูปสคริปต์ที่ใช้จัดการระบบอย่าง PowerShell ของไมโครซอฟท์ สำหรับทำงานระบบต่างๆ ให้รันอัตโนมัตินั้น มาเป็นช่องโหว่สำหรับฝ่าระบบป้องกันที่มุ่งตรวจจับแต่ไฟล์ Executable เราจะเห็นการโจมตีบ่อยขึ้นที่มข้ทูลแอดมินที่หลากหลายที่มีใช้งานอยู่บนเครือข่ายอยู่แล้วมาเป็นเครื่องมือ เพื่อไม่ให้ระบบความปลอดภัยตั้งข้อสงสัย ทูลและสคริปต์สำหรับดูแลระบบเหล่านี้จำเป็นต้องมีการควบคุมการใช้งานอย่างเข้มข้น

แรนซั่มแวร์เริ่มกลายพันธุ์ ขณะที่ผู้ใช้จดจำว่า ความเสี่ยงในการโดนแรนซั่มแวร์มักจะมาจากอีเมล์นั้น อาชญากรไซเบอร์ก็ได้ทดลองแนวทางอื่นๆ มาใช้เพิ่มเติม โดยบางกลุ่มมีการฝังตัวเองค้างไว้หลังจากเหยื่อยอมจ่ายค่าไถ่เพื่อแอบแพร่พันธุ์ตัวเองในภายหลัง ขณะที่อีกกลุ่มหันมาทำสคริปต์ที่ใช้ทูลแอดมินที่มีบนระบบของเหยื่อเองเป็นเครื่องมือในการสร้างความเสียหาย เพื่อป้องกันการตรวจจับจากระบบความปลอดภัยบนเอนพอยต์ที่มองแต่ไฟล์ Executable อย่างเมื่อเร็วๆ นี้ มีกรณีที่บังคับให้เหยื่อส่งแรนซั่มแวร์ให้เพื่อนอีกสองคนก่อนที่จะยอมถอดรหัสไฟล์ได้ ทำให้เพื่อนของเหยื่อที่โดนแรนซั่มแวร์ต้องยอมจ่ายค่าไถ่อีกเป็นลูกโซ่ นอกจากนี้คนเขียนแรนซั่มแวร์เริ่มใช้เทคนิคสร้างความเสียหายที่มากกว่าการเข้ารหัสไฟล์ เช่น การลบหรือแก้ไขไฟล์เฮดเดอร์ให้อ่านไม่ได้ เป็นต้น และอีกหนึ่งปัญหาที่น่ากลัวมากคือ แรนซั่มแวร์ “เก่าเก็บ ที่ถูกทอดทิ้งจากเจ้าของดั้งเดิม” ยังคงล่องลอยวนเวียนหลอกลอนอยู่บนอินเทอร์เน็ต ที่เมื่อเหยื่อหลงไปโดนเข้า เหยื่อจะไม่สามารถติดต่อใครให้ถอดรหัสไฟล์ให้ได้อีก เพราะข้อมูลติดต่อหรือโอนเงินที่แสดงนั้นใช้ไม่ได้แล้วในปัจจุบัน

มีการใช้อุปกรณ์ IoT ตามบ้านทั่วไปมาเป็นกองทัพโจมตี ผู้ใช้อุปกรณ์ IoT ในครัวเรือนอาจไม่ได้สังเกตหรือใส่ใจเท่าไร อย่างกรณีสมมติถ้าอุปกรณ์ที่ไว้สอดส่องลูกน้อยของตัวเองถูกเจาะระบบแล้วโดนนำไปใช้โจมตีเว็บไซต์ที่อื่นแทน แต่ผู้ใช้ดังกล่าวควรตระหนักด้วยว่า เมื่อแฮ็กเกอร์สามารถเข้า “ควบคุม” อุปกรณ์ในบ้านชิ้นใดชิ้นหนึ่งได้แล้ว ก็จะสามารถเจาะระบบไปยังอุปกรณ์อื่นๆ ที่สำคัญกว่าภายในบ้านนั้นๆ ได้ด้วย ไม่ว่าจะเป็นแล็ปท็อปที่มีข้อมูลส่วนตัวอยู่ เป็นต้น คาดการณ์ว่าจะเห็นการโจมตีลักษณะนี้มากขึ้น หรือแม้แต่การแฮ็กกล้องหรือไมโครโฟนเพื่อแอบส่องความเป็นไปภายในบ้านของคุณ พึงระลึกเสมอว่าอาชญากรไซเบอร์เฝ้าหาลู่ทางทำเงินจากทุกช่องทางตลอดเวลา

วงการโฆษณาออนไลน์จะเสื่อมโทรมลง การโฆษณาแบบน่ารำคาญจะเยอะมากขึ้น หรือแม้แต่โฆษณาอันตรายที่แพร่เชื้อมัลแวร์ผ่านเครือข่ายโฆษณาและเว็บเพจต่างๆ ได้โตขึ้นอย่างมากในปีนี้ เป็นการทำลายภาพลักษณ์และประสิทธิภาพของวงการโฆษณาโดยรวมลงอย่างรุนแรง ผู้คนต่างหวาดกลัวไม่ว่าจะเป็นการหลอกให้คลิกโฆษณาที่ไม่ตรงตามความต้องการที่แท้จริงของลูกค้า หรือแม้แต่โฆษณาอันตรายแบบออลอินวัน รวมมิตรตั้งแต่หลอกให้คลิก, หลอกล่อลูกค้าทางจิตวิทยา, แล้วขโมยข้อมูลทั้งฝั่งลูกค้าหรือแม้แต่ผู้ทำการโฆษณาโดยสุจริตไปพร้อมกัน

จุดบอดของการเข้ารหัสข้อมูล แม้การเข้ารหัสข้อมูลที่สื่อสารกันบนโลกออนไลน์จะช่วยป้องกันการดักข้อมูลไม่ให้รั่วไหล แต่ก็ทำให้ผลิตภัณฑ์ความปลอดภัยต่างๆ ตรวจสอบทราฟิกได้ยากตามไปด้วย แล้วกลายเป็นช่องทางให้อาชญากรแอบลอดเข้ามาในเครือข่ายของเราได้อย่างเงียบๆ แบบไม่โดนตรวจสอบ ปัจจุบันอาชญากรไซเบอร์ใช้การเข้ารหัสเป็นเครื่องมือที่หลากหลายซับซ้อนมากขึ้น ผลิตภัณฑ์ด้านความปลอดภัยจำเป็นต้องทำงานผสานกับเครือข่ายและลูกค้าอย่างแน่นแฟ้นกว่าเดิม เพื่อให้ตรวจสอบเหตุการณ์ด้านความปลอดภัยได้อย่างรวดเร็ว ในทันทีที่โค้ดถูกถอดรหัสที่เอนพอยต์

ระบบคลาวด์และเวอร์ช่วลไลเซชั่นเริ่มตกเป็นเหยื่อโดนโจมตีมากขึ้น ด้วยการสร้างความเสียกับฮาร์ดแวร์ทางกายภาพ (เช่น ใช้สคริปต์รันให้แรมพังหรือ Rowhammer) ซึ่งถือเป็นมิติใหม่ของช่องโหว่ด้านความปลอดภัยบนระบบคลาวด์และเวอร์ช่วล นอกจากนี้ผู้โจมตีอาจปลอมตัวเป็นผู้ใช้บริการหรือเกสต์ที่รันบนแชร์โฮสต์ แล้วเข้าควบคุมระบบจัดการสิทธิ์ เพื่อเข้าถึงข้อมูลของผู้ใช้รายอื่นอีกที ในปัจจุบันที่เทคโนโลยีเวอร์ช่วลแบบใหม่อย่าง Docker และ Container กำลังเป็นที่นิยม ก็เป็นไปได้อย่างยิ่งที่อาชญากรจะค้นหาช่องโหว่และใช้ประโยชน์จากเทคโนโลยีที่กำลังบูม (และระบบความปลอดภัยยังวิ่งตามไม่ทัน) ด้วยเช่นกัน

จะพบการโจมตีที่พุ่งเป้ายังภาครัฐ หรือหน่วยงานทางสังคมเพิ่มขึ้น เราได้ยินข่าวการโจมตีทางด้านไซเบอร์ที่เกี่ยวข้องกับการเมืองเพิ่มขึ้นมาก โดยสังคมมีความเสี่ยงมากขึ้นเรื่อยๆ ไม่ว่าจะเป็นเรื่องการกุข่าวหลอกลวง หรือแม้กระทั่งการเข้าควบคุมระบบเลือกตั้ง ตัวอย่างเช่น มีนักวิจัยที่สาธิตว่า สามารถแฮ็กระบบเข้าควบคุมให้ผู้ลงคะแนนเสียงสามารถลงคะแนนซ้ำๆ ได้โดยตรวจสอบไม่พบ แม้จะยังไม่เคยมีเหตุการณ์แฮ็กระบบเลือกตั้งเกิดขึ้นจริง แต่ความเป็นไปได้ที่จะมีการใช้เทคนิคนี้มาเป็นอาวุธอานุภาพสูงต่อประเทศถือว่ามีมากทีเดียว

แล้วเราองค์กรต่างๆ ควรป้องกันภัยร้ายเหล่านี้อย่างไร?
แม้ว่ามีหลายองค์กรที่ยังไม่มีพื้นฐานการปฏิบัติด้านความปลอดภัยอย่างถูกต้องเพียงพอ เราก็มีแนวทางง่ายๆ 6 ประการเพื่อรับมือกับอันตรายที่นับวันยิ่งทวีความซับซ้อนมากขึ้นเรื่อยๆ ดังนี้

เปลี่ยนระบบความปลอดภัยจากการแบ่งระดับชั้น เป็นการทำงานแบบผสาน มีอยู่หลายองค์กรที่กำลังใช้โซลูชั่นหลายตัวที่เคยใช้ได้ผลดีในอดีต แต่ปัจจุบันถือว่ามีค่าใช้จ่ายในการดูแลสูงและยากต่อการจัดการ ทางออกของปัญหานี้คือการหันมาใช้โซลูชั่นที่สามารถทำงานผสานร่วมกัน ติดต่อประสานงานและทำงานร่วมกันได้แทน ตัวอย่างเช่น ถ้ามีมัลแวร์ที่สามารถปิดการทำงานของซอฟต์แวร์ความปลอดภัยบนเอนด์พอยต์ได้ ระบบความปลอดภัยบนเครือข่ายควรต้องสามารถเข้าจำกัดบริเวณอุปกรณ์ดังกล่าวได้โดยอัตโนมัติ เพื่อลดความเสี่ยงของทั้งเครือข่าย

ติดตั้งระบบป้องกันแบบ Next-Gen ที่เอนพอยต์ ขณะที่แรนซั่มแวร์กำลังระบาดมากขึ้น และอุปกรณ์เอนพอยต์ก็มีความหลากหลายเพิ่มขึ้นมาก องค์กรควรเปลี่ยนมาให้ความสำคัญกับการป้องกันที่เอนพอยต์แทน แต่โซลูชั่นที่ต้องใช้ซิกเนเจอร์นั้นไม่สามารถปกป้องภัยที่เปลี่ยนแปลงอย่างรวดเร็วในปัจจุบันได้ โดยเฉพาะการโจมตีแบบ Zero-day ดังนั้นจึงควรเลือกโซลูชั่นที่สามารถจดจำ และสามารถป้องกันเทคนิคกับพฤติกรรมที่อันตรายทั้งหมดได้แทน

จัดลำดับความสำคัญของความปลอดภัยตามความเสี่ยง ไม่มีองค์กรไหนที่ทรัพยากรทั้งหมดมีความสำคัญเท่าเทียมกัน และเป็นไปไม่ได้ที่จะปกป้องทรัพยากรทั้งหมดครบ 100% ตลอดเวลา ควรประเมินความเสี่ยงของแต่ละระบบ แล้วจัดอันดับความสำคัญที่ต้องใส่ใจเป็นพิเศษ ระวังว่าความเสี่ยงนั้นเปลี่ยนแปลงเร็วมาก คุณควรมองหาทูลที่สามารถตรวจสอบระดับความเสี่ยงเหล่านี้ได้ตลอดเวลา รวมถึงตอบสนองได้อย่างรวดเร็ว และต้องแน่ใจว่าทูลดังกล่าวใช้งานได้ง่ายและมีประสิทธิภาพเพียงพอ

ทำงานพื้นฐานแบบอัตโนมัติ คุณไม่มีเวลามากพอที่จะนั่งทำรายงานแบบเดิมๆ หรือทำงานด้านความปลอดภัยพื้นฐานแบบเดิมๆ ที่จำเป็นต้องทำเป็นประจำ คุณควรเปลี่ยนการทำงานเป็นระบบอัตโนมัติกับทุกงานที่เป็นไปได้ โดยเฉพาะงานที่ทำได้ง่ายไม่ซับซ้อน เพื่อให้มีเวลาพอสำหรับให้ความสำคัญกับงานที่มีมูลค่าสูงกว่า หรือมีความเสี่ยงมากกว่าแทน

พัฒนาทีมงาน และกระบวนการเพื่อป้องกันการโจมตีที่ใช้จิตวิทยาโดยเฉพาะ เนื่องจากปัจจุบันการโจมตีมีแนวโน้มที่จะใช้จิตวิทยาทางสังคมมากยิ่งขึ้น การให้ความรู้แก่ผู้ใช้ และส่งเสริมให้มาเป็นส่วนหนึ่งการป้องกันภัยจึงมีความสำคัญอย่างยิ่ง เราควรมุ่งให้ความรู้เกี่ยวกับอันตรายแต่ละกลุ่มตามลำดับที่มีโอกาสเผชิญได้มากที่สุด และแนะนำข้อมูลที่อัพเดตล่าสุดตลอด เช่น หัวข้อเกี่ยวกับการหลอกลวงที่มีความซับซ้อนและการข่มขู่ที่ชวนให้หวาดกลัวมากยิ่งขึ้น จนขาดสติลืมคำนึงถึงหลักความปลอดภัย เป็นต้น

ยกระดับการป้องกันให้ทำงานประสานกันมากขึ้น เนื่องจากอาชญากรรมทางไซเบอร์มีการวางแผนและทำงานเป็นทีมกันมากขึ้น ดังนั้นทีมป้องกันก็ต้องทำงานร่วมกันเป็นทีมมากขึ้นเช่นกัน เพื่อให้ทุกคนสามารถรับมือกับการโจมตีเดียวกันได้อย่างรวดเร็ว ทั้งนี้รวมถึงการมองหาโอกาสทั้งทางกฎหมาย และการปฏิบัติงานที่ประสานร่วมกับบริษัทอื่นๆ หรือแม้แต่ภาครัฐด้วย เพื่อให้คุณสามารถจำกัดวงการโจมตี และศึกษาข้อมูลจากกรณีก่อนหน้าของบริษัทอื่นได้อย่างรวดเร็ว

คุณสามารถศึกษารายละเอียดเพิ่มเติมได้จาก Sophos.com
« Last Edit: January 05, 2017, 03:51:49 PM by news »

news on January 05, 2017, 03:53:37 PM
Cyber Security in 2017













2016 saw a huge number and variety of cyberattacks, ranging from a high-profile DDoS using hijacked Internet-facing security cameras to the alleged hacking of party officials during the US election. We also saw a rising tide of data breaches, from organizations big and small, and significant losses of people’s personal information. With the year almost over, we’re pondering how some of those trends might play out in 2017.

Current and emerging attack trends

Destructive DDoS IOT attacks will rise. In 2016, Mirai showed the massive destructive potential of DDoS attacks as a result of insecure consumer IoT (Internet of Things) devices. Mirai's attacks exploited only a small number of devices and vulnerabilities and used basic password guessing techniques. However, cybercriminals will find it easy to extend their reach because there are so many IoT devices containing outdated code based on poorly-maintained operating systems and applications with well-known vulnerabilities. Expect IoT exploits, better password guessing and more compromised IoT devices being used for DDoS or perhaps to target other devices in your network.

Shift from exploitation to targeted social attacks. Cybercriminals are getting better at exploiting the ultimate vulnerability - humans. Ever more sophisticated and convincing targeted attacks seek to coax users into compromising themselves. For example, it’s common to see an email that addresses the recipient by name and claims they have an outstanding debt the sender has been authorized to collect. Shock, awe or borrowing authority by pretending to be law enforcement are common and effective tactics. The email directs them to a malicious link that users are panicked into clicking on, opening them up to attack. Such phishing attacks can no longer be recognized by obvious mistakes.

Financial infrastructure at greater risk of attack. The use of targeted phishing and "whaling" continues to grow. These attacks use detailed information about company executives to trick employees into paying fraudsters or compromising accounts. We also expect more attacks on critical financial infrastructure, such as the attack involving SWIFT-connected institutions which cost the Bangladesh Central Bank $81 million in February. SWIFT recently admitted that there have been other such attacks and it expects to see more, stating in a leaked letter to client banks: "The threat is very persistent, adaptive and sophisticated – and it is here to stay".
Exploitation of the Internet’s inherently insecure infrastructure. All Internet users rely on ancient foundational protocols, and their ubiquity makes them nearly impossible to revamp or replace. These archaic protocols that have long been the backbone of the Internet and business networks are sometimes surprisingly flaky. For example, attacks against BGP (Border Gateway Protocol) could potentially disrupt, hijack, or disable much of the Internet. And the DDoS attack on Dyn in October (launched by a myriad of IoT devices), took down the DNS provider and, along with it, access to part of the internet. It was one of the largest assaults seen and those claiming responsibility said that it was just a dry run. Large-scale ISPs and enterprises can take some steps to respond, but these may well fail to prevent serious damage if individuals or states choose to exploit the Internet's deepest security flaws.

Increased attack complexity. Attacks increasingly bring together multiple technical and social elements, and reflect careful, lengthy probing of the victim organization's network. Attackers compromise multiple servers and workstations long before they start to steal data or act aggressively. Closely managed by experts, these attacks are strategic, not tactical, and can cause far more damage. This is a very different world to the pre-programmed and automated malware payloads we used to see – patient and evading detection. 

More attacks using built-in admin languages and tools. We see more exploits based on PowerShell, Microsoft's language for automating administrative tasks. As a scripting language, PowerShell evades countermeasures focused on executables. We also see more attacks using penetration testing and other administrative tools that may already exist on the network, need not be infiltrated, and may not be suspected. These powerful tools require equally strong controls.

Ransomware evolves. As more users recognize the risks of ransomware attack via email, criminals are exploring other vectors. Some are experimenting with malware that reinfects later, long after a ransom is paid, and some are starting to use built-in tools and no executable malware at all to avoid detection by endpoint protection code that focuses on executable files. Recent examples have offered to decrypt files after the victim shared the ransomware with two friends, and those friends paid to decrypt their files. Ransomware authors are also starting to use techniques other than encryption, for example deleting or corrupting file headers. And finally, with "old" ransomware still floating around the web, users may fall victim to attacks that can't be "cured" because payment locations no longer work.

Emergence of personal IoT attacks. Users of home IoT devices may not notice or even care if their baby monitors are hijacked to attack someone else's website. But once attackers "own" a device on a home network, they can compromise other devices, such as laptops containing important personal data. We expect to see more of this as well as more attacks that use cameras and microphones to spy on households. Cyber criminals always find a way to profit.

Growth of malvertising and corruption of online advertising ecosystems: Malvertising, which spreads malware through online ad networks and web pages, has been around for years. But in 2016, we saw much more of it. These attacks highlight larger problems throughout the advertising ecosystem, such as click fraud, which generates paying clicks that don't correspond to real customer interest. Malvertising has actually generated click fraud, compromising users and stealing from advertisers at the same time.   

The downside of encryption. As encryption becomes ubiquitous, it has become much harder for security products to inspect traffic, making it easier for criminals to sneak through undetected. Unsurprisingly, cybercriminals are using encryption in creative new ways. Security products will need to tightly integrate network and client capabilities, to rapidly recognize security events after code is decrypted on the endpoint.

Rising focus on exploits against virtualized and cloud systems. Attacks against physical hardware (e.g. Rowhammer) raise the possibility of dangerous new exploits against virtualized cloud systems. Attackers might abuse the host or other guests running on a shared host, attack privilege models, and conceivably access others' data. And, as Docker and the entire container (or ‘serverless’) eco-system become more popular, attackers will increasingly seek to discover and exploit vulnerabilities in this relatively new trend in computing. We expect active attempts to operationalize such attacks.
Technical attacks against states and societies. Technology-based attacks have become increasingly political. Societies face growing risks from both disinformation (e.g., "fake news") and voting system compromise. For instance, researchers have demonstrated attacks that might allow a local voter to fraudulently vote repeatedly without detection. Even if states never engage in attacks against their adversaries' elections, the perception that these attacks are possible is itself a powerful weapon.

What can organisations do to protect against new threats?

Unfortunately, many organizations still don’t have their security basics right. We offer six measures organizations should put in place to help keep more complex threats at bay.

Moving from layered to integrated security. Many organizations now possess multiple solutions that were once best-in-breed but are now too costly and difficult to manage. Moving towards integrated solutions where all components communicate and work together will help to solve this. For example, if malware knocks an endpoint's security software offline, network security should automatically quarantine that device, reducing the risk to your entire environment.

Deploying next-generation endpoint protection. As ransomware becomes ubiquitous and endpoints grow more diverse, organizations must refocus on endpoint protection. But signature-based solutions are no longer enough on their own, and can miss zero-day attacks. Choose solutions that recognize and prevent the techniques and behaviors used in nearly all exploits.

Prioritizing risk-based security. No organization possesses the resources to systematically protect everything, and 100% prevention is no longer realistic. Clarify the risks associated with each system, and focus your efforts accordingly. Risks change fast: look for tools that track them dynamically, and respond accordingly. But make sure those tools are easy and practical enough to use.

Automating the basics. You can't afford to waste time running the same reports and performing the same security tasks you always have. Automate wherever it can be done simply and easily, so you can focus scarce resources on serious risks and high-value tasks.

Building staff and process to deter and mitigate social attacks. Since social attacks now predominate, educating users and involving them in prevention is now even more important. Focus education on the threats each group is likeliest to encounter. Make sure it's up-to-date: outdated guidance on topics such as phishing can be counterproductive, offering a false sense of security.

Improving defender coordination. Cybercrime is organized crime: defense must be organized, too. That means choosing tools and processes that eliminate barriers within your organization, so everyone can respond quickly to the same attack. It may also mean looking for legal and practical opportunities to collaborate with other companies and the government, so you can mitigate widespread attacks and learn from others' postmortems.

For more information visit Sophos.com.