TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
อุตสาหกรรม Healthcare ยังคงเป็นหนึ่งในเป้าหมายหลักของอาชญากรไซเบอร์ เนื่องจากระบบ IT เข้ามามีบทบาทและผูกติดกับชีวิตผู้ป่วยมากขึ้น โดยเฉลี่ยแล้ว หน่วยงานด้านสาธารณสุขต้องจ่ายสูงถึง $1,400,000 ในการฟื้นฟูระบบจากเหตุการณ์ Security Breach ในแต่ละครั้ง
เพื่อให้ Healthcare สามารถรู้เท่าทันอาชญากรไซเบอร์ในปัจจุบัน Fortinet ได้ออกรายงาน Threat Landscape Report ซึ่งเก็บข้อมูลการโจมตีตลอดช่วงไตรมาสที่ 1 ของปี 2019 ซึ่งสามารถสรุปภัยคุกคามที่ควรจับตามองและวิธีรับมือได้ ดังนี้
1. Living of the Land
เป็นรูปแบบการโจมตีที่พบบ่อยในไตรมาสที่ 1 โดยแฮ็กเกอร์จะเจาะช่องโหว่ของเครื่องมือที่ติดตั้งบนระบบมาตั้งแต่แรก เช่น PowerShell เพื่อใช้เป็นฐานโจมตี, โหลด Ransomware หรือลอบส่ง Malicious Payload วิธีนี้ทำให้ระบบรักษาความมั่นคงปลอดภัยทั่วไปตรวจจับไม่ได้เพราะ Malicious Code จะแฝงอยู่ใน Process ปกติ แนะนำให้ผู้ดูแลระบบหมั่นตรวจสอบอุปกรณ์ โดยเฉพาะ IoT ว่ามีการอัปเดตแพตช์ด้านความมั่นคงปลอดภัยล่าสุด เพื่อให้มั่นใจว่าเครื่องมือต่างๆ ที่ติดตั้งบนระบบมาตั้งแต่แรกจะไม่ถูกใช้เป็นเครื่องมือโจมตีตัวเอง
2. Targeted Ransomware
ช่วงต้นปีมี Ransomware ขั้นสูงหลายตัวที่ถูกออกแบบและมีการวางแผนโจมตีมาเป็นอย่างดี เช่น LockerGoga หรือ Anatova ซึ่ง Ransomware เหล่านี้แสดงให้เห็นว่าแฮ็กเกอร์เริ่มเปลี่ยนแผนจากการกระจาย Ransomware ไปมั่วๆ มาเป็นการพุ่งเป้าส่ง Ransomware เฉพาะเป้าหมายที่ต้องการ เพื่อให้การโจมตีมีประสิทธิภาพดียิ่งขึ้น แน่นอนว่า Ransomware ถือเป็นภัยร้ายสำคัญสำหรับ Healthcare เนื่องจากการทำให้ระบบหยุดปฏิบัติการอาจส่งผลกระทบต่อชีวิตผู้ป่วยได้ ดังนั้นจึงควรวางมาตรการควบคุมที่รัดกุม รวมไปถึงวางแผนการสำรองและกู้คืนข้อมูลให้ดี
3. Pre- and Post-Compromise Activity
Cyber Kill Chain ยังคงเป็นแนวคิดที่ควรศึกษาเพื่อให้ทราบถึงรูปแบบและขั้นตอนการโจมตีของแฮ็กเกอร์ ส่วนมากแล้ว กิจกรรมก่อนการแฮ็กจะดำเนินช่วงวันทำงาน เนื่องจากการโจมตีมักต้องอาศัยปฏิสัมพันธ์ของเหยื่อช่วย ในขณะที่กิจกรรมหลังแฮ็กได้แล้วจะดำเนินช่วงวันหยุด เพราะสามารถทำได้อย่างเงียบๆ ไม่ต้องรอเหยื่อมากระทำการใดๆ ดังนั้นแล้ว การทำ Segmentation ระบบ IT จึงเป็นสิ่งสำคัญ ถ้าพบว่ามีเหตุการณ์ใดๆ เกิดขึ้นในช่วงวันหยุดที่บางแผนกหรือบางฝ่ายไม่ได้ทำงาน นั่นเป็นสัญญาณที่แสดงให้เห็นว่าระบบกำลังถูกโจมตี
ผู้ที่สนใจสามารถดาวน์โหลดรายงานฉบับเต็มได้ที่นี่ [PDF]
ที่มา: Fortinet Thailand User Group
