รายงานสรุปสถานการณ์ครึ่งปีแรกของปี 2561 - ข้อมูลโดยย่อ
ที่มาและวัตถุประสงค์
เทรนด์ไมโครได้ตีพิมพ์รายงานสรุปเหตุการณ์ในช่วงครึ่งปีแรกของปีพ.ศ.2561 ที่รวบรวมข้อมูลด้านอันตรายในช่วงเวลา 6 เดือนมาวิเคราะห์แนวโน้มสถานการณ์อันตรายทางไซเบอร์ทั่วโลก และความเสี่ยงล่าสุดที่กำลังคุกคามผู้ประกอบธุรกิจทั้งหลาย ซึ่งรายงานฉบับนี้มีเป้าหมายเพื่อให้แนวทางการรับมือแก่กลุ่มธุรกิจทั่วโลก ทั้งด้านยุทธศาสตร์ความปลอดภัยสำหรับองค์กร และการปรับระบบป้องกันให้รับมือกับอันตรายที่มีความรุนแรงมากที่สุดในปัจจุบันได้
ประเด็นสำคัญ
1. ตัวชี้วัดความเสี่ยงด้านความปลอดภัยที่เคยใช้กันมานั้นเริ่มไม่น่าเชื่อถือแล้ว เนื่องจากกลุ่มอาชญากรไซเบอร์เปลี่ยนจากการใช้เครื่องมือ, เทคนิค, และวิธีการแบบเดิมที่โดดเด่น เรียกความสนใจ มาใช้วิธีเงียบๆ ค่อยๆ แทรกซึมและทำเงินแบบที่เหยื่อไม่รู้ตัวแทน เช่น เปลี่ยนจากการปล่อยแรนซั่มแวร์ที่สร้างกระแสได้ง่าย มาใช้เทคนิคการโจมตีแบบแอบขุดเหมืองเงินคริปโต, มัลแวร์แบบ Fileless, การหลอกเชิงจิตวิทยาทางธุรกิจหรือ BEC, หรือใช้การโจมตีที่ซับซ้อนกว่าอย่างการใช้ข้อมูลเปย์โหลดยิงเราท์เตอร์ เป็นต้น
2. จากการดำเนินงานของทีม Zero Day Initiative (ZDI)ทำให้เทรนด์ไมโครได้ข้อมูลเชิงลึกเกี่ยวกับแนวโน้ม และผลวิเคราะห์คาดการณ์รูปแบบของการโจมตีที่กำลังจะเกิดขึ้นในอนาคตได้อย่างแม่นยำ ในช่วงครึ่งปีแรกของปีนี้นั้น ทาง ZDI ได้ทำนายและตรวจพบช่องโหว่มากกว่า 600 รายการ โดยเฉพาะบั๊กในกลุ่มระบบ Foxit และ SCADA ที่มีแนวโน้มเติบโตขึ้นอย่างน่าตกใจ จึงชี้ให้เห็นว่าเราจะพบการโจมตีที่พุ่งเป้าไปที่ตัว Foxit Reader และระบบอุตสาหกรรมอย่าง SCADA มากขึ้น ซึ่งเสี่ยงมากที่โครงสร้างพื้นฐานที่สำคัญจะได้รับผลกระทบหรือความเสียหาย
3. ในการต่อกรการโจมตีรูปแบบใหม่นี้ เราจำเป็นอย่างยิ่งที่ต้องให้ความสำคัญมากกว่าเดิมในการวางยุทธศาสตร์ระบบป้องกันแบบมัลติเลเยอร์ที่ครบวงจร ให้ปกป้องได้ทั้งการโจมตีแบบใหม่ และแบบที่มีการตรวจพบมาก่อนแล้ว โดยเฉพาะการโจมตีแบบล่าสุดนั้นต้องใช้ความสามารถในการตรวจจับที่พิเศษยิ่งขึ้น เพราะระบบป้องกันแบบเดิมนั้นมักใช้กลไกที่มองข้ามแนวโน้มการโจมตีแบบใหม่จนทำให้เกิดความเสี่ยงได้
มุมมองจากผู้เชี่ยวชาญ
• ความเปลี่ยนแปลงล่าสุดที่เห็นได้ชัดเจนคือ การเปลี่ยนจากแคมเปญการโจมตีด้วยการสแปมแรนซั่มแวร์แบบยิงกราด มาเป็นการโจมตีที่เจาะจงเลือกเหยื่อโดยใช้แรนซั่มแวร์เป็นเครื่องมือในการรบกวนหรือสร้างความปั่นป่วนให้กับกระบวนการทางธุรกิจที่สำคัญ
• เราพบกระแสการโจมตีแบบแอบซุ่มขุดเหมืองเงินคริปโต และการแฮ็กปล้นเงินดิจิตอลเพิ่มขึ้นจนกลายเป็นการโจมตีที่โดดเด่นที่สุดในปัจจุบัน ด้วยวัตถุประสงค์ของอาชญากรที่ต้องการผลาญทรัพยากรระบบของเหยื่อมาทำเงินให้ตนเองมากที่สุดเท่าที่ทำได้
• สำหรับองค์กรที่ให้บริการหรือดูแลโครงสร้างพื้นฐานที่สำคัญนั้น ต้องมองหาวิธีการยกระดับการป้องกันเครือข่าย ICS/SCADA ของตนเอง เนื่องจากเราพบแนวโน้มการของอาชญากรที่พุ่งเป้าโจมตีแบบเน้นสร้างความเสียหายมากกว่าแค่การรบกวนกระบวนการทำงานหรือทดลองเพื่อความสนุกแบบแต่ก่อน
• จากตัวเลขล่าสุดของ FBI ที่พบความเสียหายรวมทั้งหมดของการโจมตีแบบ BEC สูงถึง 1.2 หมื่นล้านดอลลาร์สหรัฐฯ แสดงให้เห็นว่าผู้โจมตีกำลังใช้วิธีนี้มากขึ้นด้วยเหตุผลด้านความง่ายและเม็ดเงินตอบแทนที่ได้นั้นมีมูลค่ามหาศาล
• บริษัทต่างๆ ควรมองหาวิธีรวมศูนย์กลาง และเชื่อมต่อระบบป้องกันให้เป็นหนึ่งเดียวกัน เพื่อให้สามารถอัพเดทการป้องกันอันตรายใหม่ๆ ได้ครอบคลุม และยกระดับความสามารถในการมองเห็นโครงสร้างพื้นฐานเครือข่ายทั้งหมด
• สุดท้ายนี้ แนะนำให้ลงทุนและเปิดใช้ระบบป้องกันอันตรายขั้นสูงที่ใช้เทคโนโลยีใหม่ในตลาดอย่างระบบสมองกลหรือ AI และแมชชีนเลิร์นนิ่ง แต่ก็ไม่ควรมองข้ามเทคโนโลยีการป้องกันแบบเดิมหลายตัวที่ยังมีประสิทธิภาพปกป้องระบบจากอันตรายที่ระบาดในวงกว้างอยู่ในปัจจุบันด้วย
ภาพรวมรายงานสถานการณ์
• รายงานช่องโหว่ที่พบ
o ทีม ZDI ได้ออกรายงานช่องโหว่แบบ Zero-day ถึง 602 รายการ มากกว่าช่วงครึ่งปีหลังของปีที่แล้วที่พบ 578 รายการ
o ช่องโหว่ของ Foxit Reader มีอัตราเพิ่มขึ้นมากที่สุด ซึ่งทำนายได้ว่าผู้พัฒนามัลแวร์อาจพุ่งเป้าไปยังรีดเดอร์ตัวอื่นนอกจาก Adobe Reader ที่ได้รับความนิยมด้วย
o หนึ่งในสามของช่องโหว่จากไมโครซอฟท์นั้นพบในบราวเซอร์ทั้ง Internet Explorer และ Edge
o แม้จำนวนรวมบั๊กของ Apple จะดูลดลง แต่ความเป็นจริงไม่ใช่ แม้จะมีจำนวนรวมน้อยกว่าช่วงครึ่งปีแรกของปี 2560 ก็ตาม เนื่องจากเมื่อตัดจำนวนบั๊กที่พบจากงานแข่งขัน Pwn2Own แล้วพบว่าช่องโหว่ที่ถูกค้นพบจริงภายนอกมีจำนวนมากกว่าช่วงเวลาเดียวกันของปีที่แล้วเสียอีก
o ช่องโหว่ของระบบ SCADA เพิ่มเป็นสองเท่าเมื่อเทียบกับช่วงครึ่งปีแรกของปี 2560 โดยส่วนใหญ่พบในระบบ Human Machine Interface (HMI)
• การแอบขุดเหมืองเงินคริปโต
o พบอัตราการแอบขุดเหมืองเงินคริปโตบนเครื่องเหยื่อในช่วงครึ่งปีแรกของปี 2561 มากกว่าทั้งปี 2560 ถึง 96%
o พบอัตราการแอบขุดเหมืองเงินคริปโตบนเครื่องเหยื่อในช่วงครึ่งปีแรกของปี 2561 มากกว่าช่วงครึ่งปีแรกของปี2560 ถึง 956%
• แรนซั่มแวร์
o หลังจากแรนซั่มแวร์เริ่มระบาดเป็นทางการครั้งแรกตั้งแต่ปี 2548 นั้น พบการลดลงของอัตราการพัฒนาแรนซั่มแวร์สายพันธุ์ใหม่
o จำนวนแรนซั่มแวร์ที่ตรวจพบค่อนข้างคงที่เท่ากับช่วงครึ่งปีหลังของปีที่แล้ว
• เหตุการณ์ข้อมูลรั่วไหล
o แม้กฎหมาย GDPR บังคับใช้แล้ว แต่ก็ยังพบรายงานเหตุข้อมูลรั่วไหลเกือบเท่าเดิม
o พบจำนวนเหตุการณ์ข้อมูลรั่วไหลในช่วงครึ่งปีแรกของปีนี 15 ครั้ง รวมจำนวนข้อมูลที่ถูกจารกรรมไปกว่า 1 ล้านรายการ
o กว่าครึ่งของข้อมูลรั่วไหลนั้นเกิดจากการเผลอเปิดเผยข้อมูลสู่สาธารณะโดยไม่ได้ตั้งใจ มากกว่าเกิดจากการโจมตีโดยเจตนา
o กรณีข้อมูลรั่วไหลส่วนใหญ่เกิดกับวงการแพทย์และบริการสุขภาพ
• เราท์เตอร์
o มัลแวร์VPNFilterทำให้การโจมตีเราท์เตอร์รุนแรงมากขึ้นอีกระดับ โดยกระทบกับเราท์เตอร์กว่า 5 แสนเครื่องใน 54 ประเทศแล้ว
• มัลแวร์แบบ Fileless, มาโคร, และที่อยู่ในรูปไฟล์ขนาดเล็กมาก
o มีการพัฒนามัลแวร์รูปแบบที่ต่างจากเดิมอย่างต่อเนื่องเพื่อพยายามเจาะผ่านระบบแอนติไวรัสที่ใช้กันในปัจจุบัน
o ระบบแมชชีนเลิร์นนิ่งที่รันไว้ก่อนนั้นไม่สามารถตรวจจับมัลแวร์แบบ filelessได้ จึงเป็นเหตุผลที่กลไกการตรวจสอบก่อนและหลังการรันโปรแกรมของเทรนด์ไมโครนั้นมีความจำเป็น
o พบการตรวจจับ TinyPOSเพิ่มขึ้นอย่างมีนัยสำคัญ โดยเพิ่มกว่า 250% เมื่อเทียบกับช่วงครึ่งปีหลังของปี 2560
• การโจมตีแบบ BEC
o ความเสียหายทั้งหมดที่เกิดจาก BEC สูงเกิดที่เทรนด์ไมโครเคยคาดการณ์ไว้ที่ 9 พันล้านดอลลาร์สหรัฐฯ ทั่วโลก โดยรายงานล่าสุดเมื่อเดือนมิถุนายนจาก FBI ระบุยอดทั้งหมดสูงถึง 1.25 หมื่นล้านดอลลาร์ฯ
o ระบบตรวจจับรูปแบบเอกลักษณ์การเขียนเมล์หรือ Writing Style DNA ถือเป็นกระบวนการสำคัญที่จะสกัดกั้นการโจมตีแบบ BEC
• สถานการณ์อันตรายโดยรวม
o เราสามารถสกัดกั้นอันตรายได้มากกว่า 2.04 หมื่นล้านรายการ
o Exploit Kit หรือชุดการเจาะระบบสำเร็จรูป เริ่มได้รับความนิยมนำมาใช้โจมตีอย่างต่อเนื่อง