สรุปรายงานภัยคุกคามประจำปี 2016 โดย Forcepoint พบ Jaku Botnet ตั้งฐานที่มั่นในประเทศไทย

forcepoint_logo_2

Forcepoint (Raytheon Cyber + Websense + Stonesoft) ผู้ให้บริการโซลูชันด้าน Cyber Security แบบครบวงจร ออกรายงานสรุปภัยคุกคามประจำปี 2016 โดยเก็บข้อมูลจาก 155 ประเทศทั่วโลก พบ Botnet แคมเปญใหม่ชื่อ Jaku ซึ่งมีฐานที่ตั้งในประเทศไทย และการโจมตีจากภายใน (Insider Threats) ทั้งที่ตั้งใจและไม่ตั้งใจ เป็นสาเหตุที่ทำให้องค์กรถูกเจาะระบบเพื่อขโมยข้อมูล (Data Breach) มากขึ้น

สรุปสถิติข้อมูลที่น่าสนใจ

  • Content แปลกปลอมบนอีเมลเพิ่มขึ้นจากปี 2014 ถึง 250% สาเหตุมาจากแคมเปญมัลแวร์และ Ransomware ที่มีจำนวนมากขึ้น
  • สหรัฐฯ เป็นแหล่งรวมเว็บ Phishing มากขนาดที่ทั่วโลกรวมกันยังเทียบไม่ได้
  • Ransomware มีความฉลาด พุ่งเป้าไปยังประเทศ เศรษฐกิจ และอุตสาหกรรมที่พร้อมจ่ายค่าไถ่เมื่อได้รับผลกระทบ
  • ภัยคุกคามจากภายใน (Insider Threats) ทั้งตั้งใจหรือไม่ตั้งใจก็ดี เป็นช่องโหว่ด้านความมั่นคงปลอดภัยที่ใหญ่ที่สุดขององค์กรในปัจจุบัน
  • Advanced Evasion Technique เป็นที่นิยมมากยิ่งขึ้น โดยอาศัยการรวมเทคนิคสำหรับหลบหลีกหลายๆ วิธีเข้าด้วยกัน เพื่อให้สามารถ Bybass ระบบความมั่นคงปลอดภัยเข้าไปได้อย่างแนบเนียน
  • พบ Botnet แคมเปญใหม่ เรียกว่า Jaku พุ่งเข้าประเทศในแถมเอเชีย ที่สำคัญคือ ฐานที่มั่นของ Jaku หลบซ่อนอยู่ในประเทศไทยนี้เอง

forcepoint_threat_report_2016_7

รวบรวมข้อมูลจาก 155 ประเทศทั่วโลก

รายงานภัยคุกคามประจำปี 2016 นี้ รวบรวมข้อมูลและประเมินผลโดยใช้ Threatseeker Intelligence Cloud ซึ่งทำงานแบบ 7/24 ตลอด 365 วัน โดยเก็บข้อมูลจาก Sensor กว่า 3,000 ล้านจุดที่ติดตั้งอยู่บน 155 ประเทศทั่วโลก พร้อมทั้งยังนำมาวิเคราะห์ร่วมกับข้อมูลที่ได้จากการตรวจสอบและสัมภาษณ์ผู้เชี่ยวชาญด้าน IT Security จากภูมิภาคต่างๆ เช่น ยุโรป ตะวันออกกลาง เอเชีย และอเมริกาเหนือ เพื่อให้ได้ภาพรวมและแนวโน้มของภัยคุกคามที่เกิดขึ้นอย่างถูกต้องและแม่นยำที่สุด

6 แนวโน้มภัยคุกคามสำคัญที่เกิดขึ้น

รายงานภัยคุกคามประจำปี 2016 รวบรวมข้อมูลแนวโน้มของภัยคุกคามที่ส่งผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ในปัจจุบัน โดยพิจารณาจากเทคนิคที่ใช้ รวมไปถึงผลกระทบต่อการปฏิบัติงานและความเสียหายที่เกิดขึ้น โดยแบ่งออกเป็นแนวโน้มที่สำคัญ 6 ประการ ดังนี้

1. ภัยคุกคามจากภายใน (Insider Threats): สาเหตุใหญ่ที่สุดของ Data Breach

จากการสำรวจของ Forrester เกี่ยวกับการเจาะระบบเพื่อขโมยข้อมูล (Data Breach) ระบุว่า สาเหตุหลักที่ระบบถูกเจาะมาจากบุคคลภายใน ซึ่งเกินครึ่งเกิดจากความประมาทเลินเล่อหรือความไม่ตั้งใจของผู้ใช้ เรียกว่า “Accidental Insider” เช่น เผลอเปิดไฟล์แนบอีเมลที่แฝงมัลแวร์ หยิบ Thumbdrive จากที่ไหนไม่รู้ว่าเสียบใช้งาน หรือละเมิดกฏของบริษัทแอบนำงานกลับไปทำที่บ้าน เป็นต้น ที่สำคัญคือ พฤติกรรมเหล่านี้ยากต่อการตรวจจับและป้องกันโดยระบบความมั่นคงปลอดภัย

“เกือบ 15% ของ Data Breach ในปี 2015 เกิดจากความผิดพลาดหรือความไม่รู้ของพนักงงานในองค์กรเอง” — Identify Theft Resource Center

Forcepoint แนะนำให้องค์กรมีการติดตั้งระบบควบคุมการใช้เครือข่ายภายในอย่างรัดกุม สร้างความตระหนักแก่พนักงาน และประเมินความเสี่ยงอย่างสม่ำเสมอ จะช่วยลดโอกาสที่ระบบจะถูกเจาะจากภายในองค์กรได้เป็นอย่างดี

forcepoint_threat_report_2016_1

2. กรณีศึกษาจากภัยคุกคามระดับสูง: Jaku Botnet

ทีมเก็บหลักฐานพิเศษของ Forcepoint (Special Investigations Team: SI) ค้นพบแคมเปญ Botnet ใหม่ ชื่อว่า Jaku เป็นมัลแวร์แบบ Multi-stage Tracking ซึ่งมีความสามารถในการจารกรรมข้อมูล แพร่กระจายไปตัวทั่วโลก มุ่งโจมตีเป้าหมายที่เป็นสมาชิก NGOs บริษัททางด้านวิศวกรรม มหาวิทยาลัย และหน่วยงานรัฐบาล โดยเฉพาะประเทศแถบเอเชีย เช่น เกาหลีใต้ ญี่ปุ่น และจีน จนถึงปัจจุบันนี้มีผู้ตกมัลแวร์แล้วกว่า 19,000 ราย และส่วนใหญ่ติดต่อผ่านทางไฟล์ BitTorrent หรือแฝงมากับซอฟต์แวร์เถื่อน

Jaku ถูกออกแบบมาให้มีเทคนิควิธีหลบหลีกระบบตรวจจับอันทันสมัย ไม่ว่าจะใช้วิธีเข้ารหัส ซ่อนพราง ปลอมประเภทของไฟล์ หรือทำ Stealth Injection เป็นต้น ที่น่าสนใจคือ หนึ่งในประเทศที่เป็นฐานที่มั่นของ C2 Server ที่ใช้ออกคำสั่งมัลแวร์คือประเทศไทยนั่นเอง

รายละเอียดเพิ่มเติม: https://blogs.forcepoint.com/security-labs/jaku

forcepoint_threat_report_2016_2

3. Evasion Technique มีการยกระดับเทคนิคให้สูงขึ้น

Evasion Technique ถูกพัฒนาให้สามารถรวมหลายๆ เทคนิคเข้าด้วยกันกลายเป็น Advanced Evasion Technique ซึ่งทำให้ระบบรักษาความมั่นคงปลอดภัยตรวจจับได้ยากขึ้นกว่าเดิม เช่น มีการทำ IP Fragmentation, TCP Segmentation & Out-of-order และ TCP URG Pointer เป็นต้น โดยจุดประสงค์หลักของ Advanced Evasion Technique 5 อันดับแรก ประกอบด้วย

  1. Bypass ระบบควบคุมการใช้งาน เพื่อให้สามารถเข้าถึงระบบเครือข่ายของเป้าหมายได้
  2. โจมตีแบบ Watering Hole เพื่อให้เหยื่อไม่ทราบว่าตนเองถูกโจมตีเป็นที่เรียบร้อย
  3. Botnet C2 โดยปลอมทราฟฟิคของ C2 Server ไม่ให้ถูกตรวจจับได้
  4. เจาะระบบ (Delivery & Execution) โดยการลอบส่งโค้ดแปลกปลอมเข้ามารัน ซึ่งตรวจจับได้ยาก
  5. จารกรรมข้อมูล โดยซ่อนข้อมูลที่จะขโมยไว้ในทราฟฟิคที่สามารถหลบหลีกการตรวจจับจาก Firewall ได้

forcepoint_threat_report_2016_3

4. เว็บและอีเมล: สองสหายเป้าหมายหลัก

เว็บและอีเมลยังคงเป็น 2 เป้าหมายหลักของอาชญากรไซเบอร์ในปัจจุบัน โดยในปี 2015 ที่ผ่านมา พบว่าการโจมตีผ่านทางอีเมลจะเน้นโฟกัสที่การแฝงมัลแวร์มากับไฟล์แนบ MS Office และ Zip ซึ่งมีจำนวนเพิ่มขึ้นถึง 250% เมื่อเทียบกับปี 2014 รวมถึงใช้วิธีการส่งลิงค์ Phishing เพื่อหลอกให้เหยื่อที่ไม่ทันระวังเผลอเปิดและดาวน์โหลดมัลแวร์ไปติดตั้ง เป็นต้น

จากรายงาน 2015 Data Breach โดย Identity Theft Resource Center ระบุว่า การส่งอีเมลผิดหรือเปิดเผยข้อมูลอินเทอร์เน็ตอย่างไม่ตั้งใจเป็นสาเหตุอันดับที่ 3 ที่ทำให้ข้อมูลถูกขโมยหรือถูกเข้าถึงโดยไม่ได้รับอนุญาต นอกจากนี้ 44.7% ของไฟล์ Macro ที่แนบมากับอีเมลมักจะถูกใช้เพื่อเป็นช่องทางในการส่ง Payload ของมัลแวร์มาติดตั้งอีกด้วย

forcepoint_threat_report_2016_4

5. ความมั่นคงปลอดภัยบนระบบ Cloud ยังเป็นประเด็นที่กล่าวขวัญถึง

Cloud Applications และ SaaS ถูกใช้งานกันอย่างแพร่หลายมากขึ้น จากการสำรวจของ Harvard Business Review Analytic Services ระบุว่า 85% บริษัทจะเตรียมขยับไปใช้ Cloud Apps ภายในอีก 3 ปีข้างหน้า อย่างไรก็ตาม กว่า 60% ของบริษัทก็ยังคงกังวลเรื่องความมั่นคงปลอดภัยของการใช้ระบบ Cloud

ถึงแม้ว่าองค์กรจะยังไม่เริ่มใช้ SaaS อย่างเป็นทางการ พนักงานหลายคน หลายแผนกกลับเริ่มนำ Cloud Apps เข้ามาใช้เนื่องจากช่วยเพิ่มประสิทธิภาพในการทำงานให้ดียิ่งขึ้น ปัญหาที่ตามมาคือ ฝ่าย IT Security ไม่สามารถติดตามและควบคุมการใช้ Cloud Apps เหล่านั้นได้ 100% ก่อให้เกิดความเสี่ยงที่เรียกว่า Shadow IT หรือก็คือภัยคุกคามเบื้องหลังระบบ IT ที่เกิดจากการนำเทคโนโลยีสมัยใหม่มาใช้โดยไม่มีการควบคุมให้ดีเพียงพอนั่นเอง

Shadow IT อาจส่งผลให้เกิดข้อมูลความลับขององค์กรรั่วไหลสู่ภายนอก (ระบบ Cloud) การละเมิดนโยบาย ข้อกำหนด และมาตรฐานต่างๆ ขององค์กร เช่น ISO 27001, PCI-DSS, HIPAA เป็นต้น

forcepoint_threat_report_2016_5

6. ความเห็นจาก CSO ของ Forcepoint

“ธุรกิจในปัจจุบันมีการเข้าซื้อและควบรวมกิจการกันมากขึ้น การผสานธุรกิจเข้าด้วยกันเพิ่มความซับซ้อนในการปกป้องข้อมูลสำคัญทั้งหลายขององค์กร ไม่ว่าจะเป็นข้อมูลลิขสิทธิ์ทางปัญญา ข้อมูลการตลาด หรือข้อมูลลูกค้า การรั่วไหลของข้อมูลเหล่านี้สู่ภายนอก หรือถูกขโมยส่งผลกระทบต่อชื่อเสียงและความเชื่อมั่นขององค์กรโดยตรง รวมไปถึงอาจนำไปสู่การฟ้องร้องจนสูญเสียโอกาสทางธุรกิจได้ การสร้างนโยบายการเข้าถึงข้อมูลให้เหมาะสมต่อแต่ละแผนก และป้องกันข้อมูลไม่ให้รั่วไหลหรือถูกใช้ในทางที่ผิดจึงเป็นความท้าทายที่สำคัญยิ่งของฝ่าย IT Security ในปัจจุบัน” — The Office of the CSO, Forcepoint

forcepoint_threat_report_2016_6

ผู้ที่สนใจสามารถอ่านรายงาน 2016 Global Threat Report ได้ที่ https://www.forcepoint.com/resources/whitepapers/forcepoint-2016-global-threat-report

เกี่ยวกับ Forcepoint

Forcepoint เป็นผู้นำด้านการให้บริการโซลูชัน Cyber Security แบบครบวงจร เกิดจากการรวมตัวกันของ 2 บริษัทยักษ์ใหญ่ คือ Raytheon ผู้ให้บริการโซลูชันทางการทหารรวมไปถึง Security Intelligence และ Websense ผู้ให้บริการ Content Security และ DLP ชั้นนำของโลกมานานกว่า 20 ปี กลายเป็น Raytheon|Websense จากนั้น ได้ควบรวมกิจการของ Stonesoft ผู้ผลิต Next-generation Firewall ชื่อดัง แล้วเปลี่ยนชื่อเป็น Forcepoint เมื่อวันที่ 14 มกราคมที่ผ่านมา

Forcepoint เป็นบริษัทชั้นนำด้านการคุ้มครองผู้ใช้ ข้อมูล และระบบเครือข่าย จากภัยคุกคามรูปแบบต่างๆ ที่เกิดจากความประมาทหรือความตั้งใจของบุคคลภายใน และการบุกรุกโจมตีจากบุคคลภายนอก โดยอาศัยโมเดล 4D Security ประกอบด้วย Defend, Detect, Decide และ Defeat ซึ่งครอบคลุมการรับมือกับภัยคุกคามตั้งแต่ก่อนเริ่มโจมตี ระหว่างโจมตี และหลังโจมตีสำเร็จ ช่วยให้ธุรกิจสามารถดำเนินต่อไปได้อย่างราบรื่น ภายใต้แนวคิด “Forward without Fear”

forcepoint_logo_big

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

True IDC แนะนำ! เพิ่ม Productivity ให้สูงปรี๊ด ด้วย Gemini for Google Cloud

ทุกวันนี้ แทบทุกองค์กรต่างเร่งหา Generative AI หรือ AI มาเพิ่ม Productivity ให้ธุรกิจในหลากหลายรูปแบบ เช่น การให้บริการลูกค้า (Customer Service), การพัฒนาซอฟต์แวร์ (Software …

OpenAI ปล่อย Sora Turbo เครื่องมือ AI สร้างวิดีโอสมจริงยิ่งยวดสู่สาธารณะแล้ว

OpenAI ปล่อย Sora ซอฟต์แวร์สร้างวิดีโอแบบสมจริงยิ่งยวด (hyperrealistic) ด้วย AI ให้ใช้งานสาธารณะแล้ว หลังจากการรั่วไหลสู่ชุมชนแชร์โค้ด AI บน Hugging Face โดยผู้ทดสอบรุ่นเบตาประมาณสองสัปดาห์ก่อน โดย …