เทรนด์ไมโครออกรายงานทำนายสถานการณ์ด้านความปลอดภัยประจำปี 2019

เทรนด์ไมโครออกรายงานทำนายสถานการณ์ด้านความปลอดภัยประจำปี 2019 เคยสงสัยกันไหมว่ามีปัจจัยใดบ้างที่ส่งผลให้การคาดการณ์เรื่องความปลอดภัยในอนาคตนั้นดีเพียงพอที่จะให้ความสนใจ

8 มกราคม 2562, ทุก ๆ ปี เทรนด์ไมโครจะทำรายงานประจำปีในชื่อ Security Predictions Report ซึ่งการคาดการณ์ด้านความปลอดภัยที่ใกล้เคียงความเป็นจริงนั้นเป็นสิ่งที่ทำได้ค่อนข้างยาก ทั้งบริษัทและผู้ใช้ระดับคอนซูเมอร์ทั้งหลายจึงจำเป็นต้องพิจารณาว่าคำแนะนำด้านความปลอดภัยไหนบ้างที่ควรนำมาประยุกต์ใช้ อย่างไรก็ดี เทรนด์ไมโครมองว่าการคาดการณ์ด้านความปลอดภัยที่ดีนั้นประกอบด้วย 4 ปัจจัยหลักด้วยกัน ได้แก่

1. การคาดการณ์ใด ๆ ก็ตาม ควรระบุข้อมูลที่ผู้ใช้สามารถนำไปใช้ประโยชน์ได้จริง

2. การคาดการณ์ที่เกิดขึ้นไปแล้ว หรือน่าจะไม่ได้เกิดขึ้นเร็ว ๆ นี้ ไม่มีประโยชน์ แม้คำแนะนำบางอย่างจะสามารถนำไปวางแผนจัดการตามกำหนดเวลา เช่น ภายใน 1 – 2 ปีได้ แต่ถ้าบอกให้ทราบกะทันหันเกินไป ก็ทำให้ผู้ใช้ไม่สามารถจัดการบางอย่างได้อย่างเหมาะสมและทันท่วงทีได้เช่นกัน โดยเฉพาะถ้าจำเป็นต้องมีการลงทุนจัดซื้อ หรือเปลี่ยนแปลงในระดับสถาปัตยกรรม

3. ยิ่งมีความน่าจะเป็นมากเท่าไร ยิ่งมีผลต่อความสามารถในการจัดการรับมือมากเท่านั้น ดังนั้น การคาดการณ์ที่มีความน่าจะเป็นเพียง 1% จึงไม่มีประโยชน์ ส่วนการคาดการณ์ที่มีความน่าจะเป็น 100% จะมีประโยชน์ต่อเมื่อมีผลกระทบต่อการดำเนินงาน รวมทั้งต้องพิจารณาด้วยว่าการคาดการณ์ที่ชัดเจนว่าจะเกิดขึ้นแน่นอนนั้น จะยังมีแนวโน้มที่จะเกิดขึ้นอย่างต่อเนื่องไปอีกหรือไม่ด้วย

4. ต้องอยู่บนรากฐานของข้อเท็จจริง โดยมีสูตรสำเร็จของการคาดการณ์อยู่ที่ข้อมูลหนึ่งส่วน และการวิเคราะห์สองส่วน จำเป็นที่ต้องมีการวิเคราะห์ควบคู่กับข้อมูลเสมอเพื่อให้การคาดการณ์ด้านความปลอดภัยมีความหมาย การคาดการณ์นั้นไม่ใช่แค่การคำนวณทางสถิติ และแค่เรื่องของสถิตินั้นก็เป็นแค่ข้อมูลดิบ ไม่ใช่ข้อมูลที่นำมาใช้ประโยชน์ได้ อย่างไรก็ดี การทำนายนั้นควรมาจากการวิเคราะห์ที่มีรากฐานจากการเฝ้าสังเกตสิ่งที่เป็นข้อเท็จจริง แม้จะเป็นข้อมูลที่ไม่ได้เป็นตัวแทนกลุ่มตัวอย่างชัดเจน โดยต้องวิเคราะห์หาเหตุการณ์ที่มีแนวโน้มจะเกิดขึ้น และเป็นข้อมูลที่นำไปประยุกต์ใช้ได้ ซึ่งเทรนด์ไมโครได้เปรียบตรงที่เป็นบริษัทด้านความปลอดภัยขนาดใหญ่ที่มีที่ตั้งกระจายอยู่ทั่วทุกมุมโลก และจากการอยู่เบื้องหลังการค้นพบช่องโหว่ด้านความปลอดภัยหรือ CVE จำนวนมากจนถือเป็นองค์กรที่มีข้อมูลเรื่องอันตรายทางไซเบอร์มากที่สุดในโลกในปีนี้ จึงมีแหล่งข้อมูลสำคัญมากพอที่จะคาดการณ์ได้อย่างแม่นยำ และนำไปใช้ประโยชน์ได้จริง

รายงานการคาดการณ์ด้านความปลอดภัยประจำปี 2019
การคาดการณ์เรื่องสถานการณ์ความปลอดภัยประจำปีนี้ ครอบคลุมหลายบริเวณตั้งแต่คลาวด์, คอนซูเมอร์, การมีส่วนร่วมของพลเมืองทางดิจิตอล, วงการผู้จำหน่ายผลิตภัณฑ์ด้านความปลอดภัย, โรงงานอุตสาหกรรมและกลุ่ม SCADA, โครงสร้างพื้นฐานบนคลาวด์, และระบบบ้านอัจฉริยะ โดยมีการคาดการณ์เหตุการณ์ที่สำคัญมากอย่างการโจมตีแบบหลอกลวงด้วยอีเมล์ทางธุรกิจหรือ BEC และการที่เป้าหมายในการโจมตีเริ่มหันไปหาบุคคลในตำแหน่งถัดลงมาตามแผนผังโครงสร้างองค์กร อันเนื่องมาจากเหล่าอาชญากรไซเบอร์เริ่มพบความลำบากในการใช้เทคนิค BEC รูปแบบเดิม เพราะเหล่าผู้บริหารต่างตื่นตัวและออกมาป้องกันตัวเองจากการโจมตีลักษณะดังกล่าวมากขึ้น ตัวอย่างของระบบความปลอดภัยที่ป้องกัน BEC นั้นได้แก่ การใช้แมชชีนเลิร์นนิ่งเพื่อวิเคราะห์รูปแบบการเขียนเมล์ของผู้บริหารที่จำเพาะ อย่างเช่น ระบบ Writing Style DNA ของเทรนด์ไมโคร

การคาดการณ์เหล่านี้ค่อนข้างนำไปใช้ได้จริง ด้วยทูลและเทคนิคต่างๆ ที่เสนอในรายงานนี้ ให้กลุ่มผู้บริหารสามารถนำไปใช้พิจารณาในการเลือกลงทุนหรือติดตั้งตามความเหมาะสมและลำดับความสำคัญขององค์กรตนเอง

ทั้งนี้ เทรนด์ไมโครยินดีอย่างยิ่งที่จะรับฟังความคิดเห็นที่เกี่ยวข้องกับรายงานฉบับนี้ เนื่องจากประโยชน์ที่ผู้อ่านได้รับก็ถือเป็นประโยชน์ที่มีผลต่อการพัฒนาของเทรนด์ไมโครด้วยเช่นกัน

รายงานพิเศษ : Mapping the Future:Dealing With Pervasive and Persistent Threats  เทรนด์ไมโคร คาดการณ์ภัยคุกคามที่จะเกิดขึ้นในปี 2019 ซึ่งจะมีการคุกคามและโจมตีต่อเนื่องเข้มข้นกว่าเดิม

การคาดการณ์ด้านความปลอดภัยประจำปี 2019 ของเทรนด์ไมโคร มาจากการวิเคราะห์ของผู้เชี่ยวชาญเกี่ยวกับความก้าวหน้าของเทคโนโลยีทั้งในปัจจุบันและที่จะเกิดขึ้นในอนาคต รวมถึงพฤติกรรมการใช้งานของผู้ใช้, เทรนด์ของตลาด, และผลกระทบของอันตรายในวงกว้าง ซึ่งมีการแบ่งประเภทตามบริเวณหลักที่ได้รับผลกระทบไว้ดังต่อไปนี้

1. กลุ่มผู้ใช้ระดับคอนซูเมอร์การโจมตีในลักษณะหลอกลวงทางจิตวิทยาผ่านอีเมล์และข้อความต่างๆ จะเข้ามาแทนที่การโจมตีระบบผ่านช่องโหว่แบบตรงๆ ในอดีต เรียกว่าการโจมตีที่เน้นการหลอกลวงหรือฟิชชิ่งจะเพิ่มขึ้นในปี 2019 อย่างที่ไม่เคยเป็นมาก่อน ปัจจุบันซอฟต์แวร์และระบบปฏิบัติการ (OS) ที่มีการใช้งานในตลาดนั้นมีความหลากหลายมาก จนถือได้ว่าไม่มีโอเอสใดเลยที่ครองส่วนแบ่งตลาดเกินครึ่ง (โดยเฉพาะเมื่อเทียบกับช่วง 5 ปีก่อน) ดังนั้น อาชญากรไซเบอร์จึงปรับตัวจากการเน้นโจมตีช่องโหว่ของระบบปฏิบัติการตัวใดตัวหนึ่ง มาเจาะตัวคนผู้ใช้ที่มักมีช่องโหว่ทางอารมณ์เหมือนๆ กันแทน ทำให้มีแนวโน้มการโจมตีแบบฟิชชิ่งมากขึ้นในอีกไม่กี่ปีข้างหน้า ซึ่งเห็นได้จากปริมาณ URL ของเว็บที่เกี่ยวกับการหลอกลวงดังกล่าวเพิ่มขึ้นอย่างรวดเร็ว ขณะที่ชุดโค้ดสำหรับใช้ประโยชน์จากช่องโหว่ของระบบต่างๆ กลับพบการพัฒนาน้อยลงอย่างรวดเร็วเช่นกัน

2. กลุ่มผู้ใช้ระดับองค์กรความเสี่ยงด้านความปลอดภัยจากการเปิดให้พนักงานทำงานจากบ้านหรือระยะไกลนั้น กำลังคุกคามองค์กรเหมือนกับสมัยที่ BYOD ได้รับความนิยมใหม่ๆ โดยพนักงานที่ทำงานแบบเชื่อมต่อผ่านเน็ตจากบ้านนั้นจะเป็นการเปิดจุดเข้าถึงเครือข่ายขององค์กรเพิ่มขึ้นเป็นจำนวนมาก อันเป็นที่มาของเทรนด์สองประการได้แก่ ความท้าทายในการจัดการการทำงานภายนอกสำนักงาน ที่องค์กรจะต้องพยายามรักษาความสามารถในการมองเห็นการเคลื่อนไหวของข้อมูลบริษัทไม่ว่าพนักงานจะเข้าถึงผ่านแอพบนคลาวด์ หรือซอฟต์แวร์ประสานงานทั้งโปรแกรมแชท, ประชุมผ่านวิดีโอ, และการแชร์ไฟล์จากบ้าน และประการที่สองได้แก่การนำอุปกรณ์อัจฉริยะมาใช้ในบ้านมากขึ้น จนทำให้พนักงานมองว่าถ้านำมาใช้กับการทำงานด้วยก็จะยิ่งอำนวยความสะดวกมากขึ้นเช่นกัน จนนำไปสู่สภาพแวดล้อมการทำงานที่มีส่วนผสมของอุปกรณ์ที่หลากหลาย

3. หน่วยงานภาครัฐยังคงต้องคอยรับมือกับการแพร่กระจายของข่าวหลอกลวงอย่างต่อเนื่อง โดยเฉพาะระหว่างที่มีแรงกดดันจากการเลือกตั้งต่าง ๆ เมื่อมองย้อนไปถึงบทบาทที่มีอิทธิพลอย่างมากของสังคมออนไลน์ต่อการเลือกตั้งครั้งที่ผ่าน ๆ มา โดยเฉพาะการแพร่กระจายข่าวเท็จนั้น เป็นการสร้างความท้าทายต่อการจัดการการเลือกตั้งของประเทศอื่น ๆ ในอนาคตเป็นอย่างมาก ซึ่งมีหลายปัจจัยที่ทำให้ข่าวหลอกลวงนั้นมีผลกระทบมากและต่อเนื่อง เช่น แรงจูงใจ, เครื่องมือที่นำมาใช้ได้, และความสามารถในการเข้าถึงแต่ละแพลตฟอร์ม ที่ผ่านมาหลายรัฐบาลได้แสดงความพยายามในการควบคุมแพลตฟอร์มโซเชียลมีเดียมากมาย แต่ก็ถือว่ายังไม่เพียงพอที่จะสามารถปิดกั้นการกระจายข่าวเท็จบนเน็ตได้อย่างทันท่วงที

4. วงการผู้ผลิตผลิตภัณฑ์ด้านความปลอดภัยอาชญากรไซเบอร์จะใช้เทคนิคที่หลากหลายในการแฝงและฝังตัวเอง เพื่อที่จะต่อกรกับเทคโนโลยีที่ผู้จำหน่ายผลิตภัณฑ์ด้านความปลอดภัยพัฒนาขึ้นอย่างรวดเร็ว โดยเฉพาะการนำแมชชีนเลิร์นนิ่งมาใช้ป้องกันอันตรายทางไซเบอร์ เรียกว่าเหล่าผู้ไม่ประสงค์ดีพยายามจะหาเทคนิคที่แพรวพราวเพื่อรับมือหรือ “ปรับตัว” เข้ากับรูปแบบของระบบความปลอดภัยใหม่ด้วยเช่นกัน โดยมีการมองหารูปแบบการใช้ประโยชน์จากองค์ประกอบของระบบต่าง ๆ แบบที่คนทั่วไปคาดไม่ถึง ยึดแนวการ “คิดนอกกรอบ” เป็นเทรนด์ใหม่ที่สร้างความท้าทายในกลุ่มแฮ็กเกอร์ ทำนองว่าใครคิดวิธีแหกคอกได้จะได้รับการยกย่องให้เป็นเทพ พร้อมมีการเรียบเรียงเทคนิควิธีแฮ็กดังกล่าวเป็นเอกสารที่เข้าใจง่ายและแบ่งปันกันในวงการมืดอย่างรวดเร็วตัวอย่างเช่น การใช้ประโยชน์จากไฟล์สกุลที่คนทั่วไปมองข้ามอย่าง.URL, .IQY, .PUB, .ISO, และ .WIZ, การลดการพึ่งพาไฟล์ Executable หันมาใช้ลักษณะ “ไร้ไฟล์” หรือ Fileless ไปจนถึงสคริปต์ Powershell และมาโคร, มัลแวร์ที่มีการลงลายเซ็นแบบดิจิตอลเพื่อเพิ่มความน่าเชื่อถือ เป็นต้น

5. ระบบควบคุมในโรงงานอุตสาหกรรมการโจมตีระบบ ICS ตามโรงงานอุตสาหกรรมจริงในวงกว้างนั้นจะกลายเป็นปัญหาที่ร้ายแรงมากขึ้น เนื่องจากหลายประเทศที่มีการพัฒนาความสามารถทางด้านไซเบอร์มีแนวโน้มจะสนับสนุนหรืออยู่เบื้องหลังการโจมตีโครงสร้างพื้นฐานสำคัญของประเทศเล็ก ๆ ประเทศอื่น ไม่ว่าจะเพื่อความได้เปรียบทางด้านการเมืองหรือการทหาร หรือแม้แต่แค่ทดสอบความสามารถของตนเองกับประเทศที่ยังไม่มีศักยภาพพอที่จะต่อต้านการโจมตีเหล่านี้ได้ หรือแม้แต่ด้วยแรงจูงใจอื่น ๆ ที่คาดไม่ถึงไม่ว่าจะเป็นโครงสร้างพื้นฐานอย่างประปา, ไฟฟ้า, หรือแม้แต่ระบบควบคุมทางอุตสาหกรรมหรือ ICS ที่ใช้กันในโรงงานผู้ผลิตต่าง ๆ ซึ่งช่องโหว่ในกลุ่มโครงสร้างพื้นฐานเหล่านี้ได้รับความสนใจมากขึ้น เห็นได้จากการที่ทาง EU NIS Directive ออกกฎหมายเพิ่มเติมให้ผู้ให้บริการโครงสร้างพื้นฐานเหล่านี้ปฏิบัติตาม เพราะการโจมตีระบบ ICS ที่สำเร็จ ย่อมส่งผลตั้งแต่การปิดทำการของผู้ให้บริการ, สร้างความเสียหายแก่อุปกรณ์และเครื่องจักร, สร้างความเสียหายทางการเงินทางอ้อม, และที่ร้ายแรงที่สุดคือ ความเสี่ยงต่อความปลอดภัยและสุขภาพของพลเมือง

6. โครงสร้างพื้นฐานบนคลาวด์จะมีการค้นพบช่องโหว่บนซอฟต์แวร์เกี่ยวกับคลาวด์มากขึ้น ไม่ว่าจะเป็น Docker, โปรแกรมด้านคอนเทนเนอร์, หรือตัว Kubernetes เอง, หรือแม้แต่ระบบที่ดูแลคอนเทนเนอร์อยู่เบื้องหลัง ที่มีการนำมาใช้ติดตั้งบนระบบคลาวด์อย่างแพร่หลาย ไม่กี่ปีที่ผ่านมามีการค้นพบช่องโหว่บน Kubernetes จำนวนหนึ่ง และเริ่มจะพบปัญหาด้านความปลอดภัย “ระดับวิกฤติ” ในช่วงก่อนสิ้นปี

นอกจากนี้ทาง Kromtech ยังพบอิมเมจ Docker มากกว่าหลายสิบรายการที่ถูกดาวน์โหลดสู่สาธารณะมากถึง 5 ล้านครั้งในช่วงปีที่ผ่านมาก่อนที่เจ้าของจะรู้ตัวแล้วดึงออกยิ่งมีองค์กรย้ายระบบของตัวเองขึ้นไปอยู่บนคลาวด์มากเท่าไร เราก็จะยิ่งเห็นการค้นพบช่องโหว่บนโครงสร้างพื้นฐานของคลาวด์มากขึ้นเท่านั้น โดยเฉพาะในกลุ่มสังคมผู้พัฒนาโอเพ่นซอร์สที่มองหาประโยชน์จากการเจาะดูซอฟต์แวร์ที่เกี่ยวกับคลาวด์

7. ระบบสมาร์ทโฮมอาชญากรไซเบอร์จะแย่งกันเข้ามาเจาะระบบ IoT จนได้ชื่อว่าเป็น “สงครามฝังซอมบี้” โดยเราท์เตอร์จะยังเป็นเหยื่ออันโอชะของผู้โจมตีที่จ้องเข้ามาควบคุมอุปกรณ์เชื่อมต่อจำนวนมากด้านหลังเราท์เตอร์ ซึ่งจะดุเดือดนองเลือดเหมือนเทศกาลแร้งรุมทึ้งผู้ใช้ระบบควบคุมบ้านอัจฉริยะในช่วงต้นทศวรรษ 2000 นี้ตัวอย่างเช่น การโจมตีผ่านเราท์เตอร์ที่เข้าถึงอุปกรณ์อัจฉริยะภายในบ้าน หรือการโจมตีที่เจาะจงเล่นงาน IoT นั้น มักใช้ซอร์ทโค้ดเดียวกันกับตัวมัลแวร์ Miraiหรือมัลแวร์ที่มีพฤติกรรมคล้ายกัน ซึ่งมีการสแกนอินเทอร์เน็ตโดยอัตโนมัติเพื่อค้นหาอุปกรณ์เหยื่อที่เข้าโจมตีได้ และเนื่องจากจำนวนอุปกรณ์ที่จะฝังซอมบี้นั้นมีจำนวนจำกัด และโค้ดมัลแวร์ที่ใช้ควบคุมอุปกรณ์เหล่านี้ให้เป็นเครื่องมือในการโจมตีแบบ Denial of Service (DDoS) ก็หน้าตาเหมือน ๆ กันอาชญากรไซเบอร์ทั้งหลายจึงพยายามเขียนโค้ดเพิ่มเติมเพื่อปิดกั้นแฮ็กเกอร์รายอื่นไม่ให้มาใช้วิธีเดียวกันในการติดเชื้ออุปกรณ์

สำหรับรายงานฉบับเต็มสามารถดาวน์โหลดได้ที่นี่  https://documents.trendmicro.com/assets/rpt/rpt-mapping-the-future.pdf

2019 Security Predictions Report Released

8 January 2019, Each year Trend Micro releases its annual Security Predictions Report. Good security predictions are very difficult to develop, and companies and consumers need to be selective about the security advice they take. What makes a good security prediction? Four key aspects:

1. It is the prime directive that any forecast must have information that you can take action on.

2. Something that already happened or will not happen anytime soon is not helpful. Whereas some action you can take within a timely manner, usually 1 to 2 years is within a timespan of utility. However, if it is too short notice, you cannot take major action either, especially if it requires any procurement or architecture changes.

If it is too far into the future not only will it be of low impact and actionability, but the margin of error increases over time: Technology and threat changes move too widely for any security predictions based to remain likely over the long term.

This timeliness and actionability maps together like this (with a flying car to illustrate the uncertain future – I’m still waiting for my jetpack!):

3. The higher the likelihood, the greater the impact of actionability. 1% likelihood predictions are not useful. 100% likelihood predictions are useful if they have impact on operations or are less obvious, whereas 100% likelihood of an obvious and continuing trend is not.

4. Fact Anchored. The recipe for Fact-Anchored is one part data to two parts of analysis. Analysis and data must be present for a security prediction to be meaningful. Predictions aren’t just statistical exercises, and statistics alone are data – not information. However, predictions must be from analysis based on some observation that is factual, even if anecdotal, and that analysis is what makes it likely, and thus actionable. The good news is that being a very large security vendor, with worldwide locations, and the greatest number of CVEs credited this year to an organization (yup, the biggest) we have a significant pool of data and observations to derive meaningful predictions.

The 2019 Security Predictions Report
This year’s security predictions span the categories of cloud, consumer, digital citizenship, security industry, SCADA/manufacturing, cloud infrastructure, and smart home. I won’t spoil your reading of it, but one of the predictions that jumped out for me was regarding Business Email Compromise (BEC) and how targeted threats will go lower down in the org chart. This makes a lot of sense given that CxOs are getting harder to exploit via BEC. They are becoming more aware of the threat and more BEC safeguards are deployed to protect them. An example of such a safeguard is machine learning to fingerprint executive writing styles, like our Writing Style DNA.

This prediction is quite actionable, especially given there are tools and techniques being deployed to protect the C-suite, that can be expanded to protect their direct reports as this threat pivots.
Give us your feedback on the report, as its value to us is only based upon its value to you.

A Bonus Prediction

Here’s my bonus prediction as an addition to the report and a reward for being a reader of this blog – and a marker that predictions are an ongoing task for us and not just at the end of a calendar year:

Exploits Derived From Reverse-Engineering Patches for Otherwise Undisclosed Vulnerabilities will Triple by 2020.

It is a common misunderstanding that patches related to security are always in response to a publicly disclosed vulnerability or CVE. This is not the case, as many product vendors that are made aware of a vulnerability either through internal means or via a restrictive bug bounty program will patch that vulnerability with little detail and no CVE.

Developing an exploit involves three key steps: Finding a vulnerability, then crafting a working proof of concept, and then an exploit. By reverse engineering patches, attackers can reduce the effort in the first and most resource intensive step, finding a flaw. When a patch related to a vaguely described security issue is made, attackers go from “is there a flaw somewhere?” to “there is a flaw, and there is a patch involving code I could potentially reverse engineer or examine to find it.” Patches are usually scoped to a component or feature, further easing the attacker’s work.

Ethical threat researchers are already employing this technique with considerable success, so it follows that threat actors will use similar techniques. The action to be taken involves providing greater emphasis to patching timeliness, and selecting IPS and AV solutions that have signatures based on reverse-engineering vulnerability sets.