“ฟอร์ติเน็ต เผยผลวิจัยภัยคุกคาม ชี้อาชญากรไซเบอร์ สร้างการโจมตีได้ 5 วันหลังจากมีการเปิดเผยช่องโหว่ใหม่สู่สาธารณะ ประเทศไทย ใช้จ่ายด้านการรักษาความปลอดภัยไซเบอร์ 0.2% เมื่อเทียบกับรายได้ องค์กรไทย 56% เกิดภัยคุกคาม Ransomware เพิ่มขึ้นอย่างน้อย 2 เท่า
ฟอร์ติเน็ต เผยผลรายงาน Global Threat Landscape Report ในช่วงครึ่งหลังของปี 2023 จาก FortiGuard Labs โดยรายงานฉบับล่าสุดสำหรับครึ่งปีหลัง ให้ภาพรวมสถานการณ์ภัยคุกคามปัจจุบัน รวมถึงแนวโน้มที่น่าจับตามองตั้งแต่ช่วงเดือนกรกฎาคม ถึงธันวาคม 2023
และการวิเคราะห์ความเร็วที่ผู้โจมตีทางไซเบอร์ใช้ประโยชน์จากช่องโหว่ใหม่ที่ถูกค้นพบทั่วทั้งอุตสาหกรรมความปลอดภัยทางไซเบอร์ และการเพิ่มขึ้นของแรนซัมแวร์ที่เจาะจงเป้าหมายและกิจกรรมของมัลแวร์แบบไวเปอร์ ที่มุ่งทำลายข้อมูลในภาค OT และภาคอุตสาหกรรม
ประเด็นสำคัญที่พบในช่วงครึ่งหลังของปี 2023
การโจมตีเกิดขึ้นโดยเฉลี่ย 4.76 วันหลังจากมีการเปิดเผยช่องโหว่ใหม่สู่สาธารณะ เช่นเดียวกับรายงาน Global Threat Landscape ในช่วงครึ่งแรกของปี 2566 ของ FortiGuard Labs ที่พยายามหาว่าตั้งแต่เริ่มมีการเปิดเผยช่องโหว่ (Vulnerabilities) จนถึงการนำช่องโหว่ไปใช้โจมตี (Exploitation) ใช้เวลานานแค่ไหน หรือช่องโหว่ที่มีคะแนนความเสี่ยงสูง (EPSS – Exploit Prediction Scoring System) จะถูกโจมตีได้เร็วขึ้นหรือไม่ และจะสามารถคาดการณ์ระยะเวลาเฉลี่ยที่ช่องโหว่จะถูกโจมตีโดยใช้ข้อมูลจาก EPSS ได้หรือไม่
ซึ่งจากการวิเคราะห์ พบว่าครึ่งหลังของปี 2023 ผู้โจมตีสามารถนำช่องโหว่ใหม่ๆ ที่มีการเปิดเผย ไปใช้โจมตีได้เร็วขึ้นถึง 43% เมื่อเทียบกับครึ่งแรกของปี 2023 เหตุการณ์ดังกล่าวแสดงให้เห็นว่า ผู้จำหน่ายจะต้องทุ่มเทอย่างจริงจังเพื่อค้นหาช่องโหว่ในผลิตภัณฑ์ของตัวเอง และพัฒนาแก้ไขให้ได้ก่อนที่จะถูกโจมตีจริง (เพื่อลดกรณีการเกิดของช่องโหว่แบบซีโร่-เดย์)
นอกจากนี้ รายงานยังเน้นย้ำว่าผู้จำหน่ายต้องเปิดเผยข้อมูลช่องโหว่ให้ลูกค้ารับทราบล่วงหน้าด้วยความรวดเร็วและโปร่งใส เพื่อให้แน่ใจว่าลูกค้ามีข้อมูลที่จำเป็นสำหรับป้องกันสินทรัพย์ของตนได้อย่างมีประสิทธิภาพ ก่อนที่ผู้โจมตีทางไซเบอร์จะสามารถโจมตีช่องโหว่นั้น (N-day Vulnerabilities)
ยังมีช่องโหว่ N-Day บางตัวที่ไม่ได้รับการแก้ไขแพตช์ (unpatched) นานเกิน 15 ปี ไม่ใช่แค่ช่องโหว่ที่เพิ่งระบุได้เท่านั้นที่ทำให้ CISOs และทีมดูแลด้านความปลอดภัยต้องกังวล จากการติดตามและเก็บข้อมูลของฟอร์ติเน็ต (Fortinet Telemetry) พบว่า 41% ขององค์กรตรวจพบการเจาะระบบจากลายเซ็น หรือ Signatures ที่มีอายุน้อยกว่าหนึ่งเดือน และเกือบทุกองค์กร (98%) ตรวจพบช่องโหว่ N-Day ที่อยู่ในระบบเป็นเวลาอย่างน้อย 5 ปี
นอกจากนี้ FortiGuard Labs ยังคงพบผู้โจมตีที่ใช้ช่องโหว่ที่มีอายุเกิน 15 ปีในการโจมตี ยิ่งเป็นการย้ำถึงความจำเป็นในการเฝ้าระวังความปลอดภัยอย่างต่อเนื่อง
อีกทั้งกระตุ้นให้องค์กรต่างๆ รีบดำเนินการอย่างรวดเร็วด้วยการแก้แพตช์พร้อมอัปเดตโปรแกรมอย่างสม่ำเสมอ โดยใช้แนวปฏิบัติที่ดีที่สุดและคำแนะนำจากองค์กรต่างๆ เช่น Network Resilience Coalition เพื่อสร้างความปลอดภัยให้เครือข่ายโดยรวมได้มีประสิทธิภาพยิ่งขึ้น
ช่องโหว่บนอุปกรณ์ปลายทาง (Endpoint) ที่รู้จักกันดี โดนโจมตีน้อยกว่า 9% ในปี 2022 FortiGuard Labs ได้เปิดเผยแนวคิดของ “Red Zone” ซึ่งช่วยให้ผู้อ่านเข้าใจได้ดีขึ้นว่าผู้โจมตีมีแนวโน้มที่จะใช้ช่องโหว่เฉพาะเจาะจงใดบ้างเพื่อการโจมตี เพื่อให้เห็นภาพ
รายงาน Global Threat Landscape สามฉบับล่าสุดได้ตรวจสอบจำนวนช่องโหว่ทั้งหมด โดยมุ่งเป้าที่อุปกรณ์ปลายทาง โดยในช่วงครึ่งหลังของปี 2023 การวิจัยพบว่า 0.7% ของช่องโหว่และช่องทางการโจมตีที่เป็นที่รู้จักในระบบคอมพิวเตอร์และเครือข่ายทั้งหมด (CVEs: Common Vulnerabilities and Exposures) ที่พบในอุปกรณ์ปลายทางกำลังโดนโจมตี
ซึ่งแสดงให้เห็นว่าพื้นที่การโจมตีมีขนาดเล็กลงมาก ทำให้ทีมรักษาความปลอดภัยสามารถมุ่งเน้นและให้ความสำคัญในการแก้ไขได้ก่อน
44% ของตัวอย่างแรนซัมแวร์ และมัลแวร์ ไวเปอร์ ทั้งหมดต่างมุ่งเป้าไปที่ภาคอุตสาหกรรม เซ็นเซอร์ทั้งหมดของฟอร์ติเน็ต มีการตรวจพบแรนซัมแวร์ลดลงถึง 70% เมื่อเทียบกับช่วงครึ่งแรกของปี 2023 การชะลอตัวของแรนซัมแวร์ ที่สังเกตได้ในปีที่ผ่านมา
สามารถอธิบายได้ว่าเป็นเพราะผู้โจมตีเปลี่ยนกลยุทธ์จากการส่งมัลแวร์แบบสุ่ม (Spray and Pray) ด้วยวิธีเดิมๆ เป็นการโจมตีแบบมุ่งเป้ามากขึ้น โดยส่วนใหญ่เน้นที่อุตสาหกรรมหลัก ทั้งภาคพลังงาน เฮลธ์แคร์ การผลิต การขนส่งและโลจิสติกส์ ตลอดจนยานยนต์
บอทเน็ตมีความยืดหยุ่นอย่างไม่น่าเชื่อ หลังตรวจพบครั้งแรก ใช้เวลาเฉลี่ยถึง 85 วันจึงจะหยุดการสื่อสารเพื่อออกคำสั่งและควบคุมมัลแวร์ได้ (C2) ในขณะที่บอททราฟิก ยังอยู่ในระดับคงที่เมื่อเทียบกับครึ่งแรกของปี 2023 โดย FortiGuard Labs ยังคงเห็นบอทเน็ตซึ่งเป็นที่รู้จักกันดีเพิ่มขึ้นในช่วงสองสามปีที่ผ่านมา เช่น Gh0st, Mirai, และ ZeroAccess แต่ก็มีบอทเน็ตใหม่ 3 ตัวปรากฏขึ้นในช่วงครึ่งหลังของปี 2023 ได้แก่ AndroxGh0st, Prometei, และ DarkGate
เป็นที่สังเกตุว่ากลุ่มภัยคุกคามขั้นสูง หรือ Advanced Persistent Threat (APT) จำนวน 38 กลุ่มจาก 143 กลุ่มที่ระบุโดย MITRE ยังมีการเคลื่อนไหวอยู่ในช่วงครึ่งหลังของปี 2023 โดย FortiRecon ซึ่งเป็นบริการป้องกันความเสี่ยงทางดิจิทัลของฟอร์ติเน็ต ระบุว่ากลุ่มภัยคุกคาม 38 ใน 143 กลุ่มที่ MITRE ติดตามมีการเคลื่อนไหวในช่วงครึ่งหลังของปี 2023 โดยจากทั้งหมด Lazarus Group, Kimusky, APT28, APT29, Andariel, และ OilRig คือกลุ่มที่เคลื่อนไหวมากที่สุด
ด้วยธรรมชาติของ APT และกลุ่มไซเบอร์ของภาครัฐ จะเน้นแคมเปญสั้นๆ และเจาะจง เมื่อเทียบกับอาชญากรไซเบอร์ที่ใช้แคมเปญโจมตียาวๆ จึงจำเป็นที่ FortiGuard Labs จะต้องติดตามทั้งวิวัฒนาการและปริมาณการโจมตีอย่างต่อเนื่อง
การสนทนาบนเว็บมืด (Dark Web Discourse) รายงาน Global Threat Landscape Report ในช่วงครึ่งหลังของปี 2023 จาก FortiRecon ให้ภาพรวมการสนทนาระหว่างผู้ก่อการคุกคามในฟอรัมบนเว็บมืด มาร์เก็ตเพลส ช่องทาง Telegram ซึ่งเป็นแอปพลิเคชันที่เผยแพร่ข้อมูลให้กับผู้ติดตามจำนวนมาก รวมถึงแหล่งข้อมูลอื่นๆ โดยข้อมูลที่พบมีดังต่อไปนี้
- ผู้ก่อการคุกคามมักพูดคุยโดยพุ่งเป้าไปที่องค์กรภาคการเงินมากที่สุด ตามด้วยภาคธุรกิจบริการและภาคการศึกษา
- มีการรั่วไหลของข้อมูลส่วนบุคคลที่ถูกแชร์ไปตามฟอรัมดังๆ บนเว็บมืดมากกว่า 3,000 ครั้ง
- มีการพูดคุยถึงช่องโหว่ 221 รายการอย่างจริงจังบนเว็บมืด (Darknet) อีกทั้งมีถกประเด็นเกี่ยวกับช่องโหว่ 237 รายการในช่องทาง Telegram
- บัตรชำระเงิน (Payment Cards) กว่า 850,000 ใบ ถูกนำมาประกาศขาย
ประเทศไทย คนไซเบอร์ซีเคียวริตี้มีน้อย ลงทุนการรักษาความปลอดภัยไซเบอร์ต่ำ
ภัคธภา ฉัตรโกเมศ ผู้จัดการประจำประเทศไทย ฟอร์ติเน็ต กล่าวว่า “จากการสำรวจของฟอร์ติเน็ต พบว่า ประเทศไทยมีจำนวนบุคลากรที่ทำงานด้านการรักษาความปลอดภัยไซเบอร์ที่ทำงานแบบเต็มเวลาเพียงแค่ 2 คน ต่อพนักงาน 1 พันคน รวมถึงมีการใช้จ่ายด้านระบบการรักษาความปลอดภัยไซเบอร์เพียง 0.2% เมื่อเทียบกับรายได้”
“ในขณะที่ภัยคุกคามที่พัฒนาและเปลี่ยนแปลงอย่างรวดเร็วในประเทศไทย ชี้ถึงความจำเป็นที่ต้องเปลี่ยนแนวทางการรับมือ ทั้งเรื่องการพัฒนาจำนวนและทักษะด้านความปลอดภัยทางไซเบอร์ในอุตสาหกรรม และให้ความสำคัญกับการใช้แพลตฟอร์มที่มีประสิทธิภาพเป็นศูนย์กลางในการรักษาความปลอดภัยทางไซเบอร์”
“เพราะโซลูชันแบบดั้งเดิมที่แยกส่วนกันทำงาน ไม่สามารถจัดการกับเทคโนโลยีหลากหลาย และโมเดลการทำงานแบบไฮบริด รวมถึงการผสานรวมของ IT/OT ที่เป็นลักษณะของเครือข่ายสมัยใหม่ได้”
“แพลตฟอร์มของฟอร์ติเน็ตที่รวมการทำงานของเครือข่ายและความปลอดภัยไว้ด้วยกัน และขับเคลื่อนการทำงานด้วย AI ช่วยตอบโจทย์ความซับซ้อนในเรื่องนี้ได้ ให้การป้องกันภัยคุกคามได้อย่างครอบคลุม ช่วยจัดการช่องโหว่ได้แบบอัตโนมัติ ช่วยเพิ่มประสิทธิภาพการดำเนินงานได้ดียิ่งขึ้น”
“กลยุทธ์แบบผสานรวมดังกล่าว นอกจากจะช่วยลดค่าใช้จ่ายและลดความซับซ้อนในการดำเนินงานแล้ว ยังช่วยให้มั่นใจว่า องค์กรจะสามารถปรับตัวเพื่อรับมือกับภัยคุกคามใหม่ๆ ได้อย่างรวดเร็ว ทำให้สามารถรักษาความปลอดภัยทางไซเบอร์ได้อย่างแข็งแกร่งทั้งปัจจุบันและในอนาคต”
องค์กรไทย 56% พบ Ransomware เพิ่มขึ้นอย่างน้อย 2 เท่า
ขณะที่ ดร.รัตติพงษ์ พุทธเจริญ ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ ฟอร์ติเน็ต ประเทศไทย ให้ข้อมูลเพิ่มเติมว่า “จากการสำรวจของ ฟอร์ติเน็ตและไอดีซี พบ 5 อันดับภัยคุกคามไซเบอร์ที่เกิดขึ้นในประเทศไทยคือ ภัยฟิชชิ่ง (Phishing), การโจรกรรมเอกลักษณ์บุคคล (Identity Theft), ภัยเรียกค่าไถ่ (Ransomware), ภัยช่องโหว่ด้านความปลอดภัยของระบบ (patching vulnerabilities) และ ภัยคุกคามที่อุปกรณ์ในระบบ IoT (IoT Based Attacks) โดยภัยสองตัวแรกรวมกันมีจำนวนครั้งมากกว่า 50%”
“ในส่วนของภาคอุตสาหกรรมที่ถูกการโจมตีมากที่สุด 5 อุตสาหกรรมคือ กลุ่มเทคโนโลยี, กลุ่มเฮลธ์แคร์, กลุ่มเทลเคอม, หน่วยงานของภาครัฐ และกลุ่มโรงงานอุตสาหกรรม โดย 72% ขององค์กรในประเทศไทยรายงานว่า มีการละเมิดระบบหรือข้อมูลมากขึ้น 2 เท่าในปี 2023”
“โดยเฉพาะองค์กรไทย 56% รายงานว่าเกิดภัยคุกคาม Ransomware เพิ่มขึ้นอย่างน้อย 2 เท่าในช่วงที่ผ่านมา ซึ่งเทคนิคหรือวิธีที่ผู้ประสงค์ร้ายนิยมใช้มากที่สุดคือ ฟิชชิ่ง (Phishing), มัลแวร์ (Malware), วิศวกรรมสังคม Social Engineering, ภัยคุมคามจากภายใน (Insider threat) และการโจมตีขั้นสูงที่ได้วางแผน ล็อกเป้าหมาย (Zero-Day Exploit)”
การโจมตีที่สร้างด้วยปัญญาประดิษฐ์
ดร.รัตติพงษ์ ให้ข้อมูลเสริมว่า “อาชญากรไซเบอร์ใช้ Al เพื่อยกระดับการโจมตีที่เป็นอันตราย สร้างการโจมตีที่รวมเอาระบบอัตโนมัติและเทคโนโลยี Al เพื่อลดขั้นตอนของการโจมตี ซึ่งทำให้สามารถลดเวลาเฉลี่ยในการโจมตีลงได้”
“นอกจากนั้นยังมีการเกิดขึ้นของการโจมตีแบบ Generative Profiling โดยใช้การปลอมแปลงเสียงด้วย Al ที่จะใช้ในขั้นตอนแรกของกระบวนการโจมตีด้วย Al ซึ่งพบในปี 2024 รวมถึง การโจมตีประเภทอื่นๆ ที่เกิดขึ้นใหม่ ได้แก่ การกระจายรหัสผ่านที่สร้างขึ้นด้วย AI และการโจมตีด้วย AI ที่ประสงค์ร้าย”