8 กลยุทธ์การป้องกันภัยคุกคามไซเบอร์ – AI & Automation คือผู้ช่วยสำคัญ โดย Palo Alto Networks

ภัยคุกคามทางไซเบอร์ทวีความซับซ้อนและแยบยลขึ้นเรื่อยๆ หน่วยงานและองค์กรทั่วโลกต่างตกเป็นเป้าหมาย ไม่เว้นแม้แต่ประเทศไทย โดยเฉพาะภาคการก่อสร้าง ขนส่งและคมนาคม รวมถึงภาคการผลิต Palo Alto Networks ผู้ให้บริการ Next-generation Cybersecurity Platform ได้ออกมาอัปเดตแนวโน้มภัยคุกคามทางไซเบอร์ล่าสุดที่พบในไทย รวมถึงแนะนำ 8 กลยุทธ์ด้านความมั่นคงปลอดภัยเพื่อช่วยรับมือกับภัยคุกคามเหล่านั้น พร้อมการนำเทคโนโลยี AI และ Automation มาสนับสนุน ภายในงาน Ignite On Tour Thailand 2024: Cybersecurity for the AI Era ที่เพิ่งจัดไป

“เราพบการโจมตีทางไซเบอร์จำนวนมากในปัจจุบัน ทั้งยังซับซ้อน แนบเนียน และแยบยล เทคโนโลยี AI สามารถช่วยคัดกรองได้ว่า เหตุการณ์ไหนคือการโจมตีจริง เหตุการณ์ไหนคือการตรวจจับคลาดเคลื่อน (False Positive) ในขณะที่ Automation เข้ามาช่วยให้เกิดกระบวนการรับมือและตอบโต้การโจมตีโดยอัตโนมัติ เหล่านี้จะช่วยลดภาระของทีมรักษาความมั่นคงปลอดภัยได้มหาศาล” — Steven Scheurmann, Regional Vice President (ASEAN) จาก Palo Alto Networks กล่าวถึงการใช้ AI และ Automation สนับสนุนการรักษาความมั่นคงปลอดภัยไซเบอร์

Ransomware ยังเป็นปัญหาใหญ่ เน้นโจมตีระบบโลจิสติกส์ คมนาคม และภาคการผลิต

Steven กล่าวว่า ภัยคุกคามไซเบอร์เกิดขึ้นได้ทุกวัน ไม่ใช่แค่ในไทยเท่านั้น แต่พบเจอได้ทั่วโลก ทุกอุตสาหกรรม ไม่ว่าจะเป็นภาคการธนาคาร โทรคมนาคม หน่วยงานรัฐ รวมถึงโครงสร้างพื้นฐานที่สำคัญต่างๆ โดย “เงิน” ยังคงเป็นแรงจูงใจหลักของเหล่าอาชญากรไซเบอร์ และยิ่งมีการเดินหน้าทำ Digital Transformation อาชญากรไซเบอร์จึงมีช่องทางในการหารายได้เพิ่มมากขึ้น ยิ่งผลักดันให้เกิดการพัฒนาการโจมตีที่มีความซับซ้อนและแยบยล AI ก็เป็นหนึ่งในเครื่องมือที่เหล่าอาชญากรไซเบอร์เริ่มนำมาประยุกต์ใช้โจมตี

รายงาน Incident Response Report ปี 2024 โดย Unit 42 (Threat Intelligence Advisory Team ของ Palo Alto Networks) พบว่า ก่อนนี้ปี 2021 แฮ็กเกอร์ใช้เวลาเฉลี่ยในการโจมตีและขโมยข้อมูลนานถึง 9 วัน แต่ปี 2023 ที่ผ่านมากลับลดลงเหลือเฉลี่ยเพียง 2 วันเท่านั้น โดยมี 45% ที่ใช้เวลาไม่ถึง 1 วัน แสดงให้เห็นว่าการโจมตีทางไซเบอร์มีความรวดเร็วมากยิ่งขึ้น ทั้งยังวางแผนพุ่งเป้าโจมตีเป้าหมายเป็นอย่างดี นอกจากนี้ยังพบว่า ร้อยละ 39 ของการบุกรุกโจมตีมาจากการเจาะผ่านช่องโหว่ของระบบที่เชื่อมต่อผ่านอินเทอร์เน็ต

ในส่วนของ Ransomware พบว่ามีการเติบโตทั้งด้านจำนวนและปริมาณค่าไถ่ที่เรียก โดยปี 2023 มีองค์กรตกเป็นเหยื่อการโจมตีมากถึง 3,998 แห่ง ซึ่งเพิ่มขึ้นจากปีก่อนหน้านี้ถึง 49% ในขณะที่ค่าไถ่จากเดิมเรียกเพียงหลักหมื่นหรือแสนเหรียญสหรัฐฯ ก็เพิ่มสูงถึงหลักล้านเหรียญสหรัฐฯ เป็นที่เรียบร้อย โดย LockBit 3.0 เป็น Ransomware ที่ถูกรายงานเข้ามามากที่สุด คิดเป็น 23% (98 แห่ง) ทั้งยังเป็น Ransomware ที่สร้างปัญหามากที่สุดในประเทศไทยอีกด้วย โดยมีองค์กรตกเป็นเหยื่อทั้งหมด 19 แห่งจาก 32 แห่ง

“อาชญากรไซเบอร์จะพุ่งเป้าโจมตีอะไรก็ตามที่สำคัญและสามารถทำเงินได้ ซึ่งก็คือหน่วยงานโครงสร้างพื้นฐานที่สำคัญต่างๆ ถ้าหน่วยงานเหล่านี้หยุดชะงัก ย่อมส่งผลกระทบอย่างรุนแรงต่อประเทศ จึงมีแนวโน้มสร้างรายได้สูง โดยกลุ่มที่เป็นเป้าหมายหลักในไทย คือ ภาคการก่อสร้าง ขนส่งและคมนาคม และภาคการผลิต ซึ่งเป็นอุตสาหกรรมที่เศรษฐกิจไทยพึ่งพามากที่สุด” — Steven กล่าวถึงเป้าหมายการโจมตีในไทย

อ่านรายงานเกี่ยวกับ Ransomware เพิ่มเติมได้ที่ https://unit42.paloaltonetworks.com/unit-42-ransomware-leak-site-data-analysis/

8 กลยุทธ์การป้องกันภัยคุกคามไซเบอร์

เมื่อองค์กรวางกลยุทธ์ Digital Transformation การรักษาความมั่นคงปลอดภัยไซเบอร์ต้องเป็นส่วนหนึ่งของกลยุทธ์นั้นๆ ด้วยเสมอ Palo Alto Networks ได้ให้คำแนะนำสำหรับการป้องกันภัยคุกคามไซเบอร์ 8 ข้อ ดังนี้

1. Defense-in-Depth

วางกลยุทธ์การป้องกันแบบ Defense-in-depth หรือการมีมาตรการควบคุมด้านความมั่นคงปลอดภัยหลายๆ ชั้น โดยแต่ละชั้นควรมีการป้องกันคาบเกี่ยวกัน เพื่อให้มั่นใจ ถ้ามีภัยคุกคามหลุดรอดมาตรการควบคุมชั้นใดชั้นหนึ่งเข้ามาได้ ยังมีมาตรการควบคุมชั้นๆ อื่นคอยยับยั้งภัยคุกคามอยู่

2. Incident Response Plan

จัดเตรียม Incident Response Plan และหมั่นทบทวน อัปเดต และทดสอบโดยผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยอยู่เสมอ เพื่อให้มั่นใจว่าจะสามารถตรวจจับ รับมือ กักกัน และกู้คืนระบบกลับมาให้พร้อมใช้งานได้อย่างรวดเร็วที่สุด พึงระลึกไว้เสมอว่า สุดท้ายแล้วองค์กรของเราจะต้องถูกโจมตีแต่นอน ซึ่งถ้าเกิดขึ้นแล้ว เราจะเตรียมรับมืออย่างไร

3. Complete Visibility of Attack Surface

ปัจจุบันสินทรัพย์ขององค์กรอยู่ในรูปแบบดิจิทัล กระจายอยู่ทุกที่ อาชญากรไซเบอร์อาจเข้าถึงสินทรัพย์ผ่านช่องทางใดก็ได้ ไม่ว่าจะ Cloud, ระบบเครือข่าย หรืออุปกรณ์ปลายทาง การมีโซลูชันที่สามารถค้นหาและติดตามแต่ละช่องทางที่อาชญากรไซเบอร์อาจใช้บุกรุกโจมตีได้อย่างครอบคลุมจะช่วยให้องค์กรสามารถระบุและจัดการกับช่องโหว่ได้ก่อนที่จะถูกอาชญากรไซเบอร์เจาะ

4. Zero Trust Network Architecture

หลักการ Zero Trust คือ อย่าไว้ใจอะไรทั้งสิ้น ต้องตรวจสอบตัวตนของผู้ใช้ อุปกรณ์ และแอปพลิเคชันสม่ำเสมอและตลอดเวลา ห้ามคิดไปเองว่าสิ่งที่เห็นคืออะไร การวางสถาปัตยกรรมแบบ Zero Trust ให้ครอบคลุมทั้งระบบเครือข่ายจะช่วยให้องค์กรสามารถป้องกันไม่ให้อาชญากรไซเบอร์แทรกซึมหรือแอบเคลื่อนย้ายไปมาผ่านระบบเครือข่ายได้

5. Cloud Security Program & Platform

การมาถึงของยุค Cloud Transformation ทำให้อาชญากรไซเบอร์เริ่มพัฒนาเทคนิคและยุทธวิธีสำหรับโจมตี Workload บน Cloud โดยเฉพาะ  องค์กรที่ใช้กลยุทธ์ Multi-cloud จึงต้องมี Cloud Security Program & Platform แบบ Cloud-native ที่ครอบคลุมทุก Public Cloud เพื่อปกป้องโครงสร้างระบบ Cloud และแอปพลิเคชันที่รันอยู่บนนั้น

6. Enforce Multi-factor Authentication

กำหนดนโยบายและมาตรการควบคุมทางเทคนิคในการบังคับใช้ Multi-factor Authentication เพื่อยืนยันตัวตน ไม่ใช่แค่การใช้รหัสผ่าน เนื่องจากรหัสผ่านในปัจจุบันถูกแฮ็กและรั่วไหลสู่ภายนอกได้ง่าย การมีปัจจัยอื่นมายืนยันตัวตนของผู้ใช้จะช่วยยกระดับการรักษาความมั่นคงปลอดภัยได้เป็นอย่างมาก

7. Principle of Least Privilege

ประยุกต์ใช้หลักการ Least Privilege คือ การให้สิทธิ์ในการเข้าถึงระบบและข้อมูลแก่ผู้ใช้แต่ละรายเฉพาะเท่าที่ผู้ใช้คนนั้นๆ จำเป็นต้องใช้ เช่น พนักงานทั่วไปสามารถใช้งานแอปพลิเคชันทางธุรกิจขององค์กรได้ แต่ไม่ควรเข้าถึงระบบ HR หรือข้อมูลการเงินขององค์กรได้ เป็นต้น เพื่อลดผลกระทบของเหตุการณ์ไม่พึงประสงค์ด้านความมั่นคงปลอดภัยให้เหลือน้อยที่สุด

8. AI & Automation

การโจมตีทางไซเบอร์ในปัจจุบันมีจำนวนมหาศาล ทั้งยังมีความซับซ้อน แนบเนียน และแยบยล เทคโนโลยี AI สามารถช่วยคัดกรองได้ว่า Alert ใดคือการบุกรุกโจมตีจริง Alert ใดคือ False Positive ในขณะที่เทคโนโลยี Automation จะช่วยให้เกิดกระบวนการรับมือและตอบสนองต่อการโจมตีได้โดยอัตโนมัติ ซึ่งนอกจากจะช่วยลดภาระงานของผู้ดูแลระบบแล้ว ยังช่วยยกระดับการปฏิบัติงานด้านความมั่นคงปลอดภัยให้ทันสมัยอีกด้วย

บูรณาการการรักษาความมั่นคงปลอดภัยด้วย Next-gen Cybersecurity Platforms

โดยเฉลี่ยแล้ว องค์กรในปัจจุบันใช้เครื่องมือด้านความมั่นคงปลอดภัยไม่น้อยกว่า 32 รายการ จากบริษัทผู้ผลิตมากกว่า 13 แห่ง ในการรับมือกับภัยคุกคามทางไซเบอร์ แต่เครื่องมือเหล่านั้นส่วนใหญ่มักทำงานแบบอิสระต่อกัน ไม่เกิดการผสานความร่วมมือแบบบูรณาการ ทำให้มองเห็นภาพภัยคุกคามได้อย่างคลุมเครือ ไม่ชัดเจน หรือถ้าดีหน่อย ก็อาจเห็นภาพได้บางส่วน ทำให้องค์กรเหล่านั้นต้องคาดเดาเอาเองว่า เหตุไม่พึงประสงค์ที่ตรวจจับได้เป็นภัยคุกคามจริงหรือไม่ ซึ่งถ้าตัดสินใจผิดพลาด อย่างดีก็เป็นการเพิ่มภาระงานให้ทีมผู้ดูแลด้านความมั่นคงปลอดภัยโดยเปล่าประโยชน์ แต่ถ้าเป็นอย่างแย่ ธุรกิจองค์กรอาจหยุดชะงัก สูญเสียรายได้และชื่อเสียงได้

พันธกิจของ Palo Alto Networks คือ การทำให้องค์กรสามารถมองเห็นภาพภัยคุกคามทางไซเบอร์ได้อย่างชัดเจนและสมบูรณ์ ช่วยให้ตัดสินใจได้อย่างถูกต้องและแม่นยำว่า เหตุไม่พึงประสงค์ที่เกิดขึ้นเป็นภัยคุกคามต่อองค์กรหรือไม่ ต้องรับมือและจัดการอย่างไรให้มีประสิทธิภาพ โดยไม่มีการเดาสุ่ม

เพื่อให้บรรลุพันธกิจดังกล่าว Palo Alto Networks จึงได้นำเสนอ Next-gen Cybersecurity Platforms ที่ครอบคลุมการรักษาความมั่นคงปลอดภัยไซเบอร์ตั้งแต่ระดับ Endpoint, Network ไปจนถึง Cloud ทั้งยังบูรณาการการทำงานทุกภาคส่วนเข้าด้วยกัน ประมวลผลข้อมูลที่รวบรวมมาได้ด้วยเทคโนโลยี AI ซึ่งสนับสนุนด้วยข้อมูล Threat Intelligence จาก Unit 42 เพื่อสร้างการมองเห็นภาพเหตุไม่พึงประสงค์ที่เกิดขึ้นให้ชัดเจนและสมบูรณ์ที่สุด ซึ่งจะช่วยให้ผู้ดูแลระบบรักษาความมั่นคงปลอดภัยดำเนินการตอบโต้เหตุไม่พึงประสงค์ดังกล่าวได้อย่างถูกต้องและรวดเร็ว

AI & Automation หัวใจของ Next-gen SOC เริ่มนำร่องใช้ในไทยแล้ว

Palo Alto Networks ผสานเทคโนโลยี AI, ML และ Automation เข้าไปยังทุกๆ ผลิตภัณฑ์และโซลูชัน ด้วยข้อมูลภัยคุกคาม เทคนิค และประสบการณ์ที่รวบรวมมานานกว่า 18 ปี ก่อสร้างเป็น AI Model มากถึง 1,285 โมเดลและ Playbook มากกว่า 100 รายการที่ถูกพัฒนาโดย AI เพื่อสนับสนุนการตรวจจับและรับมือกับภัยคุกคามทางไซเบอร์ให้มีความรวดเร็วและแม่นยำมากยิ่งขึ้น โดยเฉพาะอย่างยิ่งการจัดการกับภัยคุกคามแบบ Zero-day ทั้งยังช่วยสร้างกระบวนการตอบโต้โดยอัตโนมัติ ลดภาระงานของผู้ดูแลด้านความมั่นคงปลอดภัยให้สามารถโฟกัสกับงานอื่นที่มีประโยชน์หรือสร้างคุณค่ามากกว่าได้แทน

ล่าสุด Palo Alto Networks ได้เปิดนำร่องการใช้เทคโนโลยี AI & Automation เพื่อสนับสนุนศูนย์ SOC ของลูกค้ารายหนึ่งในไทยอย่างเต็มศักยภาพ พบว่า 93% ของเหตุผิดปกติ (Incident) ที่เกิดขึ้นถูกตรวจพบและจัดการได้ด้วย AI โดยไม่จำเป็นต้องรอคำสั่งจากมนุษย์ ซึ่งช่วยขจัดปัญหา Alert Fatigue ของผู้ดูแล SOC ลงได้มหาศาล ในขณะที่มีเพียง 7% ของเหตุผิดปกติเท่านั้นที่ต้องให้ผู้ดูแล SOC ลงมาจัดการด้วยตนเอง

“ก้าวถัดไปของเราคือการทำ SOC Transformation คือ การพลิกโฉมการรับมือภัยคุกคามจากแบบเชิงรับไปเป็นเชิงรุก ลูกค้าจะไม่จำเป็นต้องรอให้เหตุผิดปกติเกิดขึ้นก่อนแล้วค่อยไปแก้ไขปัญหาอีกต่อไป แต่ Palo Alto Networks จะเก็บรวบรวมข้อมูล นำมาให้ AI ช่วยวิเคราะห์ แล้วคาดการณ์ว่าจะมีเหตุผิดปกติใดเกิดขึ้น เพื่อที่ลูกค้าจะได้เตรียมพร้อมรับมือได้ล่วงหน้า ความเสียหายก็จะไม่เกิดขึ้น” — Steven กล่าวถึงการนำ AI มาทำ SOC Transformation ปิดท้าย