Forcepoint (Raytheon Cyber + Websense + Stonesoft) ผู้ให้บริการโซลูชันด้าน Cyber Security แบบครบวงจร ออกรายงานสรุปภัยคุกคามประจำปี 2016 โดยเก็บข้อมูลจาก 155 ประเทศทั่วโลก พบ Botnet แคมเปญใหม่ชื่อ Jaku ซึ่งมีฐานที่ตั้งในประเทศไทย และการโจมตีจากภายใน (Insider Threats) ทั้งที่ตั้งใจและไม่ตั้งใจ เป็นสาเหตุที่ทำให้องค์กรถูกเจาะระบบเพื่อขโมยข้อมูล (Data Breach) มากขึ้น
สรุปสถิติข้อมูลที่น่าสนใจ
- Content แปลกปลอมบนอีเมลเพิ่มขึ้นจากปี 2014 ถึง 250% สาเหตุมาจากแคมเปญมัลแวร์และ Ransomware ที่มีจำนวนมากขึ้น
- สหรัฐฯ เป็นแหล่งรวมเว็บ Phishing มากขนาดที่ทั่วโลกรวมกันยังเทียบไม่ได้
- Ransomware มีความฉลาด พุ่งเป้าไปยังประเทศ เศรษฐกิจ และอุตสาหกรรมที่พร้อมจ่ายค่าไถ่เมื่อได้รับผลกระทบ
- ภัยคุกคามจากภายใน (Insider Threats) ทั้งตั้งใจหรือไม่ตั้งใจก็ดี เป็นช่องโหว่ด้านความมั่นคงปลอดภัยที่ใหญ่ที่สุดขององค์กรในปัจจุบัน
- Advanced Evasion Technique เป็นที่นิยมมากยิ่งขึ้น โดยอาศัยการรวมเทคนิคสำหรับหลบหลีกหลายๆ วิธีเข้าด้วยกัน เพื่อให้สามารถ Bybass ระบบความมั่นคงปลอดภัยเข้าไปได้อย่างแนบเนียน
- พบ Botnet แคมเปญใหม่ เรียกว่า Jaku พุ่งเข้าประเทศในแถมเอเชีย ที่สำคัญคือ ฐานที่มั่นของ Jaku หลบซ่อนอยู่ในประเทศไทยนี้เอง
รวบรวมข้อมูลจาก 155 ประเทศทั่วโลก
รายงานภัยคุกคามประจำปี 2016 นี้ รวบรวมข้อมูลและประเมินผลโดยใช้ Threatseeker Intelligence Cloud ซึ่งทำงานแบบ 7/24 ตลอด 365 วัน โดยเก็บข้อมูลจาก Sensor กว่า 3,000 ล้านจุดที่ติดตั้งอยู่บน 155 ประเทศทั่วโลก พร้อมทั้งยังนำมาวิเคราะห์ร่วมกับข้อมูลที่ได้จากการตรวจสอบและสัมภาษณ์ผู้เชี่ยวชาญด้าน IT Security จากภูมิภาคต่างๆ เช่น ยุโรป ตะวันออกกลาง เอเชีย และอเมริกาเหนือ เพื่อให้ได้ภาพรวมและแนวโน้มของภัยคุกคามที่เกิดขึ้นอย่างถูกต้องและแม่นยำที่สุด
6 แนวโน้มภัยคุกคามสำคัญที่เกิดขึ้น
รายงานภัยคุกคามประจำปี 2016 รวบรวมข้อมูลแนวโน้มของภัยคุกคามที่ส่งผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ในปัจจุบัน โดยพิจารณาจากเทคนิคที่ใช้ รวมไปถึงผลกระทบต่อการปฏิบัติงานและความเสียหายที่เกิดขึ้น โดยแบ่งออกเป็นแนวโน้มที่สำคัญ 6 ประการ ดังนี้
1. ภัยคุกคามจากภายใน (Insider Threats): สาเหตุใหญ่ที่สุดของ Data Breach
จากการสำรวจของ Forrester เกี่ยวกับการเจาะระบบเพื่อขโมยข้อมูล (Data Breach) ระบุว่า สาเหตุหลักที่ระบบถูกเจาะมาจากบุคคลภายใน ซึ่งเกินครึ่งเกิดจากความประมาทเลินเล่อหรือความไม่ตั้งใจของผู้ใช้ เรียกว่า “Accidental Insider” เช่น เผลอเปิดไฟล์แนบอีเมลที่แฝงมัลแวร์ หยิบ Thumbdrive จากที่ไหนไม่รู้ว่าเสียบใช้งาน หรือละเมิดกฏของบริษัทแอบนำงานกลับไปทำที่บ้าน เป็นต้น ที่สำคัญคือ พฤติกรรมเหล่านี้ยากต่อการตรวจจับและป้องกันโดยระบบความมั่นคงปลอดภัย
“เกือบ 15% ของ Data Breach ในปี 2015 เกิดจากความผิดพลาดหรือความไม่รู้ของพนักงงานในองค์กรเอง” — Identify Theft Resource Center
Forcepoint แนะนำให้องค์กรมีการติดตั้งระบบควบคุมการใช้เครือข่ายภายในอย่างรัดกุม สร้างความตระหนักแก่พนักงาน และประเมินความเสี่ยงอย่างสม่ำเสมอ จะช่วยลดโอกาสที่ระบบจะถูกเจาะจากภายในองค์กรได้เป็นอย่างดี
2. กรณีศึกษาจากภัยคุกคามระดับสูง: Jaku Botnet
ทีมเก็บหลักฐานพิเศษของ Forcepoint (Special Investigations Team: SI) ค้นพบแคมเปญ Botnet ใหม่ ชื่อว่า Jaku เป็นมัลแวร์แบบ Multi-stage Tracking ซึ่งมีความสามารถในการจารกรรมข้อมูล แพร่กระจายไปตัวทั่วโลก มุ่งโจมตีเป้าหมายที่เป็นสมาชิก NGOs บริษัททางด้านวิศวกรรม มหาวิทยาลัย และหน่วยงานรัฐบาล โดยเฉพาะประเทศแถบเอเชีย เช่น เกาหลีใต้ ญี่ปุ่น และจีน จนถึงปัจจุบันนี้มีผู้ตกมัลแวร์แล้วกว่า 19,000 ราย และส่วนใหญ่ติดต่อผ่านทางไฟล์ BitTorrent หรือแฝงมากับซอฟต์แวร์เถื่อน
Jaku ถูกออกแบบมาให้มีเทคนิควิธีหลบหลีกระบบตรวจจับอันทันสมัย ไม่ว่าจะใช้วิธีเข้ารหัส ซ่อนพราง ปลอมประเภทของไฟล์ หรือทำ Stealth Injection เป็นต้น ที่น่าสนใจคือ หนึ่งในประเทศที่เป็นฐานที่มั่นของ C2 Server ที่ใช้ออกคำสั่งมัลแวร์คือประเทศไทยนั่นเอง
รายละเอียดเพิ่มเติม: https://blogs.forcepoint.com/security-labs/jaku
3. Evasion Technique มีการยกระดับเทคนิคให้สูงขึ้น
Evasion Technique ถูกพัฒนาให้สามารถรวมหลายๆ เทคนิคเข้าด้วยกันกลายเป็น Advanced Evasion Technique ซึ่งทำให้ระบบรักษาความมั่นคงปลอดภัยตรวจจับได้ยากขึ้นกว่าเดิม เช่น มีการทำ IP Fragmentation, TCP Segmentation & Out-of-order และ TCP URG Pointer เป็นต้น โดยจุดประสงค์หลักของ Advanced Evasion Technique 5 อันดับแรก ประกอบด้วย
- Bypass ระบบควบคุมการใช้งาน เพื่อให้สามารถเข้าถึงระบบเครือข่ายของเป้าหมายได้
- โจมตีแบบ Watering Hole เพื่อให้เหยื่อไม่ทราบว่าตนเองถูกโจมตีเป็นที่เรียบร้อย
- Botnet C2 โดยปลอมทราฟฟิคของ C2 Server ไม่ให้ถูกตรวจจับได้
- เจาะระบบ (Delivery & Execution) โดยการลอบส่งโค้ดแปลกปลอมเข้ามารัน ซึ่งตรวจจับได้ยาก
- จารกรรมข้อมูล โดยซ่อนข้อมูลที่จะขโมยไว้ในทราฟฟิคที่สามารถหลบหลีกการตรวจจับจาก Firewall ได้
4. เว็บและอีเมล: สองสหายเป้าหมายหลัก
เว็บและอีเมลยังคงเป็น 2 เป้าหมายหลักของอาชญากรไซเบอร์ในปัจจุบัน โดยในปี 2015 ที่ผ่านมา พบว่าการโจมตีผ่านทางอีเมลจะเน้นโฟกัสที่การแฝงมัลแวร์มากับไฟล์แนบ MS Office และ Zip ซึ่งมีจำนวนเพิ่มขึ้นถึง 250% เมื่อเทียบกับปี 2014 รวมถึงใช้วิธีการส่งลิงค์ Phishing เพื่อหลอกให้เหยื่อที่ไม่ทันระวังเผลอเปิดและดาวน์โหลดมัลแวร์ไปติดตั้ง เป็นต้น
จากรายงาน 2015 Data Breach โดย Identity Theft Resource Center ระบุว่า การส่งอีเมลผิดหรือเปิดเผยข้อมูลอินเทอร์เน็ตอย่างไม่ตั้งใจเป็นสาเหตุอันดับที่ 3 ที่ทำให้ข้อมูลถูกขโมยหรือถูกเข้าถึงโดยไม่ได้รับอนุญาต นอกจากนี้ 44.7% ของไฟล์ Macro ที่แนบมากับอีเมลมักจะถูกใช้เพื่อเป็นช่องทางในการส่ง Payload ของมัลแวร์มาติดตั้งอีกด้วย
5. ความมั่นคงปลอดภัยบนระบบ Cloud ยังเป็นประเด็นที่กล่าวขวัญถึง
Cloud Applications และ SaaS ถูกใช้งานกันอย่างแพร่หลายมากขึ้น จากการสำรวจของ Harvard Business Review Analytic Services ระบุว่า 85% บริษัทจะเตรียมขยับไปใช้ Cloud Apps ภายในอีก 3 ปีข้างหน้า อย่างไรก็ตาม กว่า 60% ของบริษัทก็ยังคงกังวลเรื่องความมั่นคงปลอดภัยของการใช้ระบบ Cloud
ถึงแม้ว่าองค์กรจะยังไม่เริ่มใช้ SaaS อย่างเป็นทางการ พนักงานหลายคน หลายแผนกกลับเริ่มนำ Cloud Apps เข้ามาใช้เนื่องจากช่วยเพิ่มประสิทธิภาพในการทำงานให้ดียิ่งขึ้น ปัญหาที่ตามมาคือ ฝ่าย IT Security ไม่สามารถติดตามและควบคุมการใช้ Cloud Apps เหล่านั้นได้ 100% ก่อให้เกิดความเสี่ยงที่เรียกว่า Shadow IT หรือก็คือภัยคุกคามเบื้องหลังระบบ IT ที่เกิดจากการนำเทคโนโลยีสมัยใหม่มาใช้โดยไม่มีการควบคุมให้ดีเพียงพอนั่นเอง
Shadow IT อาจส่งผลให้เกิดข้อมูลความลับขององค์กรรั่วไหลสู่ภายนอก (ระบบ Cloud) การละเมิดนโยบาย ข้อกำหนด และมาตรฐานต่างๆ ขององค์กร เช่น ISO 27001, PCI-DSS, HIPAA เป็นต้น
6. ความเห็นจาก CSO ของ Forcepoint
“ธุรกิจในปัจจุบันมีการเข้าซื้อและควบรวมกิจการกันมากขึ้น การผสานธุรกิจเข้าด้วยกันเพิ่มความซับซ้อนในการปกป้องข้อมูลสำคัญทั้งหลายขององค์กร ไม่ว่าจะเป็นข้อมูลลิขสิทธิ์ทางปัญญา ข้อมูลการตลาด หรือข้อมูลลูกค้า การรั่วไหลของข้อมูลเหล่านี้สู่ภายนอก หรือถูกขโมยส่งผลกระทบต่อชื่อเสียงและความเชื่อมั่นขององค์กรโดยตรง รวมไปถึงอาจนำไปสู่การฟ้องร้องจนสูญเสียโอกาสทางธุรกิจได้ การสร้างนโยบายการเข้าถึงข้อมูลให้เหมาะสมต่อแต่ละแผนก และป้องกันข้อมูลไม่ให้รั่วไหลหรือถูกใช้ในทางที่ผิดจึงเป็นความท้าทายที่สำคัญยิ่งของฝ่าย IT Security ในปัจจุบัน” — The Office of the CSO, Forcepoint
ผู้ที่สนใจสามารถอ่านรายงาน 2016 Global Threat Report ได้ที่ https://www.forcepoint.com/resources/whitepapers/forcepoint-2016-global-threat-report
เกี่ยวกับ Forcepoint
Forcepoint เป็นผู้นำด้านการให้บริการโซลูชัน Cyber Security แบบครบวงจร เกิดจากการรวมตัวกันของ 2 บริษัทยักษ์ใหญ่ คือ Raytheon ผู้ให้บริการโซลูชันทางการทหารรวมไปถึง Security Intelligence และ Websense ผู้ให้บริการ Content Security และ DLP ชั้นนำของโลกมานานกว่า 20 ปี กลายเป็น Raytheon|Websense จากนั้น ได้ควบรวมกิจการของ Stonesoft ผู้ผลิต Next-generation Firewall ชื่อดัง แล้วเปลี่ยนชื่อเป็น Forcepoint เมื่อวันที่ 14 มกราคมที่ผ่านมา
Forcepoint เป็นบริษัทชั้นนำด้านการคุ้มครองผู้ใช้ ข้อมูล และระบบเครือข่าย จากภัยคุกคามรูปแบบต่างๆ ที่เกิดจากความประมาทหรือความตั้งใจของบุคคลภายใน และการบุกรุกโจมตีจากบุคคลภายนอก โดยอาศัยโมเดล 4D Security ประกอบด้วย Defend, Detect, Decide และ Defeat ซึ่งครอบคลุมการรับมือกับภัยคุกคามตั้งแต่ก่อนเริ่มโจมตี ระหว่างโจมตี และหลังโจมตีสำเร็จ ช่วยให้ธุรกิจสามารถดำเนินต่อไปได้อย่างราบรื่น ภายใต้แนวคิด “Forward without Fear”