แม้ว่าอุตสาหกรรรม Cybersecurity จะมีวิวัฒนาการก้าวหน้าอย่างต่อเนื่อง แต่ภัยคุกคามก็ยังคงเกิดมากขึ้นเรื่อย ๆ ไม่ว่าจะเป็นการทำ Social Engineering, Phishing หรือว่า Distributed Denial-of-Service (DDoS) ที่ยังคงเพิ่มจำนวนมากขึ้นอย่างต่อเนื่อง แม้ว่าเทคโนโลยี Cybersecurity หรือ AI ที่ใส่เข้าไปในอุปกรณ์ปกป้องความมั่นคงปลอดภัยต่าง ๆ จะพัฒนาไปมากแล้วก็ตาม
จากการไปร่วมงาน COMPUTEX 2024 ที่ไต้หวัน ทีมงานได้มีโอกาสไปเยี่ยมชมออฟฟิศของ A10 Networks ที่ไต้หวัน พร้อมทั้งพูดคุยกับคุณ Nick Chen, System Engineering Manager แห่ง A10 Networks ที่ดูแลลูกค้าในไต้หวันและในภูมิภาค APAC ซึ่งคุณ Nick ได้เล่าถึงเทรนด์ภัยคุกคามทางไซเบอร์ 3 อย่างที่แนวโน้มยังคงเกิดขึ้นจำนวนมาก รวมทั้งโซลูชันที่ A10 Networks มีพร้อมสนับสนุนในแต่ละเรื่อง โซลูชันของ A10 Networks ที่ว่านั้นมีอะไรบ้าง ติดตามได้ในบทความนี้
3 รูปแบบภัยคุกคามยอดนิยมโดย Verizon
เนื่องจากรูปแบบภัยคุกคามทางไซเบอร์สามารถเกิดขึ้นได้มากมายหลายรูปแบบ คุณ Nick จึงได้หยิบรายงาน 2023 Data Breach Investigations Report ของทาง Verizon ขึ้นมา เพื่อชี้ให้เห็นถึงรูปแบบการโจมตียอดนิยม 3 แบบ ได้แก่
- Web Application Attacks การโจมตีผ่านหน้าเว็บแอปพลิเคชัน ซึ่งมักจะไม่ได้มีการดำเนินการอะไรมากนัก แต่มักจะเป็นรูปแบบการเข้ามาเพื่อแอบดึงข้อมูลออกไปทีละน้อยแต่มาเรื่อย ๆ
- System Intrusion การโจมตีที่ใช้ประโยชน์จากมัลแวร์ (Malware) หรือการแฮก (Hack) เพื่อบรรลุวัตถุประสงค์หรือว่าการฝังแรนซัมแวร์ (Ransomware) เข้าไป ซึ่งมักจะมีความซับซ้อน
- Denial-of-Service (DoS) การโจมตีที่มุ่งหวังทำให้ความพร้อมใช้งาน (Availability) ของเน็ตเวิร์กหรือระบบมีปัญหา จนทำให้แอปพลิเคชันไม่สามารถให้บริการหรือดำเนินทางธุรกิจต่อไปได้
“รายงาน DBIR เป็นรายงานด้านความมั่นคงปลอดภัย (Security) อันเป็นที่รู้จักกันอย่างมากบนโลกอินเทอร์เน็ต มันคือรายงานที่สำรวจในเรื่องการละเมิดข้อมูล (Data Breach)” คุณ Nick กล่าว “จะเห็นว่าการโจมตีจะมีแบบแผน (Pattern) ตามที่แสดงในแผนภาพที่แบ่งออกมาเป็นหมวดหมู่การโจมตียอดนิยมในช่วงเวลาที่ผ่านมา”
ทั้งนี้ ทาง Verizon ได้ปล่อยรายงานฉบับปี 2024 Data Breach Investigations Report เป็นที่เรียบร้อยแล้ว ซึ่งจะเห็นว่าการสลับลำดับเล็กน้อย แต่ทั้ง 3 เรื่องก็ยังคงเป็นรูปแบบการโจมตีที่ยังคงเกิดขึ้นในจำนวนมากในลำดับต้น ๆ เช่นเคย
ป้องกัน Web Application Attacks ด้วย A10 Next-Gen WAF
คุณ Nick ชี้ให้เห็นว่าเรื่องของการโจมตีผ่านเว็บแอปพลิเคชันนั้นไม่ใช่เรื่องใหม่แต่อย่างใด ซึ่งใคร ๆ ก็อาจจะแก้ไขปัญหาด้วยการใส่อุปกรณ์ Firewall เข้าไปกั้นไว้ระหว่างทาง เพื่อปกป้องไม่ให้เกิดการโจมตีเกิดขึ้น แต่แล้วทำไมจำนวนการโจมตีรูปแบบดังกล่าวยังคงมีอยู่ ?
เหตุผลหลัก ๆ คือ Web Application Firewall (WAF) แบบดั้งเดิมนั้นไม่สามารถปกป้องได้อย่างมีประสิทธิภาพอีกต่อไปแล้ว ซึ่งคุณ Nick ได้ยก 4 ประเด็นปัญหาที่มักพบเจอใน WAF แบบดั้งเดิม ได้แก่
- 50% ของจำนวนการแจ้งเตือน (Alert) ที่ WAF สร้างขึ้นมานั้นคือ “False Positive”
- 57% เท่านั้นที่ใช้งาน WAF ด้วยการเปิดโหมดการปกป้องเต็มรูปแบบ กล่าวคือกว่าครึ่งจะไม่ได้เปิดการปกป้องไว้อย่างครบถ้วน
- 75% จำเป็นจะต้องมีการปรับจูน (Tuning) และต้องฝึกฝน (Learning) อย่างมาก ถึงจะมีประสิทธิภาพ
- อุปกรณ์ WAF และ ADC (Application Delivery Controller) มักจะแยกอุปกรณ์กัน ซึ่งจะทำให้ประสิทธิภาพในการรับส่งข้อมูลลดลงไป ไม่ว่าจะเรื่องความเร็ว หรือการเข้ารหัสถอดรหัสที่อาจจะทำให้มีความเสี่ยงเกิดขึ้นได้
ด้วยเหตุนี้ คุณ Nick จึงแนะนำ “A10 Next-Gen WAF” ของบริษัทที่ผสานนวัตกรรม A10 ร่วมกับ Fastly ที่จะมีการอัปเดตเชื่อมโยงข้อมูลภัยคุกคามระหว่างกันที่จะอัปเดตข้อมูลใหม่อย่างต่อเนื่อง จึงทำให้เกิดเป็น WAF สำหรับยุคถัดไปที่มีประสิทธิภาพ ที่สามารถแก้ไขทั้ง 4 ประเด็นปัญหาได้อย่างครบครัน ไม่ว่าเป็น
- การแจ้งเตือนที่จะมี False Positive เหลือแค่ 1%
- 90% สามารถเปิดโหมดการปกป้องบน A10 Next-Gen WAF ได้เต็มรูปแบบ
- อุปกรณ์มีเทคโนโลยี ML ที่สามารถเรียนรู้รูปแบบการโจมตีด้วยการตรวจจับบริบทได้อัตโนมัติ
- ประสิทธิภาพดีกว่าเพราะทั้ง A10 Next-Gen WAF มีฟังก์ชันการทำงานทั้ง WAF และ ADC อยู่ภายในตัวเดียวกัน
สำหรับรายละเอียดของ A10 Next-Gen WAF อื่น ๆ สามารถเข้าไปดูเพิ่มเติมได้ที่นี่
เข้ารหัสถอดรหัสอย่างมั่นใจด้วย A10 SSL Insight
หลังจากโลกมีอินเตอร์เน็ตใช้งานในวงกว้าง เรื่องการรับส่งข้อมูลให้มีความมั่นคงปลอดภัยและเพิ่มความเป็นส่วนตัวให้กับข้อมูลจึงเป็นสิ่งที่สำคัญถัดมา และการเข้ารหัส (Encryption) หรือ Secure Socket Layer (SSL) คือแนวทางหนึ่งในการแก้ไขปัญหา ซึ่งแม้การสื่อสารบนโลกอินเทอร์เน็ตจะถูกเข้ารหัสไว้แล้ว แต่ในรายงานการโจมตีก็ยังพบว่าเป็นการโจมตีนั้นเกิดจากมัลแวร์ที่เข้ารหัสมาถึงกว่า 85%
นอกจากนี้ แต่ละองค์กรยังมีสภาพแวดล้อมและเงื่อนไขที่แตกต่างกันในแต่ละแห่ง เช่น อาจจะมีระบบ Secure Web Gateway (SWG), Advanced Threat Protection (ATP), Intrusion Prevention System (IPS), Next-Gen Firewall (NGFW), Data Loss Prevention (DLP) ที่แตกต่างกันไป หากดำเนินการให้มีการเข้ารหัสถอดรหัสในแต่ละอุปกรณ์แยกกัน ปัญหาที่ตามมาคือเรื่องประสิทธิภาพ ความเร็วในการรับส่งข้อมูล จนอาจจะทำให้องค์กรเลือกปิดการตรวจสอบบางส่วน ซึ่งสิ่งนี้จึงกลายที่มาของการโจมตีโดยมัลแวร์หรือว่าแรนซัมแวร์ได้นั่นเอง
จากปัญหาดังกล่าว คุณ Nick จึงแนะนำให้รู้จักกับผลิตภัณฑ์ “A10 SSL Insight” อุปกรณ์หนึ่งตัวที่จะสร้าง Decrypt Zone ด้วยการทำหน้าที่ 2 ส่วนสำคัญคือ เป็นผู้ถอดรหัสข้อมูลตอนได้รับข้อมูลต้นทาง และเป็นผู้เข้ารหัสก่อนส่งข้อมูลต่อไปยังปลายทาง ซึ่งตรงกลางคือ Decrypt Zone ที่จะทำให้ระหว่างทางยังสามารถส่งข้อมูลไปดำเนินตามขั้นตอนต่าง ๆ ที่โครงสร้างพื้นฐานองค์กรแต่ละแห่งนั้นกำหนดไว้เช่นเดิม โดยที่ไม่จำเป็นต้องดำเนินการถอดรหัสแล้วเข้ารหัสในแต่ละอุปกรณ์แยกกันอีกต่อไป
นอกจากประสิทธิภาพความเร็วที่เพิ่มมากขึ้นและความมั่นใจในการเข้ารหัสถอดรหัสด้วยผลิตภัณฑ์ A10 Networks แล้ว คุณ Nick ยังเสริมด้วยว่าวิธีการดังกล่าวนี้ถือว่าเป็นแนวทางที่จะทำให้องค์กรสามารถประหยัดงบประมาณได้มากที่สุดเท่าที่จะทำได้แล้ว เพราะทั้งฝั่งต้นทางและปลายทางก็จะยังคงเป็นการรับส่งข้อมูลที่เข้ารหัสระหว่างกัน และที่สำคัญคือโครงสร้างพื้นฐานที่มีเงื่อนไขในแต่ละแห่งนั้นไม่จำเป็นต้องเปลี่ยนแปลงแต่อย่างใดอีกด้วย สำหรับรายละเอียดเพิ่มเติมของ A10 SSL Insight สามารถอ่านได้ที่นี่
ปกป้องการโจมตี DoS อย่างมั่นใจด้วย A10 Defend
คุณ Nick ได้เล่าถึงรูปแบบการโจมตีที่มีวิวัฒนาการมาอย่างยาวนานนั่นคือ Denial-of-Service (DoS) โดยตั้งแต่ยุคก่อนหน้านี้ที่จะพยายามทำ DoS เพื่อให้แบนด์วิดธ์ (Bandwidth) หรือช่องการจราจร (Traffic) เต็มจนติดขัดไม่สามารถรับส่งข้อมูลได้ หากแต่ปัจจุบันได้วิวัฒนาการโดยหันไปโจมตีในส่วนของทรัพยากร (Resource) ของเครื่องอย่างเช่นอุปกรณ์ IoT หรือ Security ขององค์กรให้มีปัญหาจนไม่สามารถทำงานได้ปกติ
โดยหนึ่งในตัวอย่างที่ทำให้เห็นภาพได้มากที่สุดคือมัลแวร์ Mirai Botnet ในปี 2016 ที่มีนักวิจัยคาดว่าสามารถเข้ายึดครองอุปกรณ์ Internet of Things (IoT) กว่า 6 แสนอุปกรณ์ เพื่อแปลงให้กลายเป็นบอท (Bot) และนำไปใช้โจมตีในลักษณะ Distributed Denial of Service (DDoS) ไปยังเป้าหมายที่ต้องการโจมตีได้พร้อมกันในจำนวนมหาศาล จนทำให้บริการขององค์กรไม่สามารถให้บริการได้อีกต่อไป
จากสิ่งที่เกิดขึ้น คุณ Nick ได้แนะนำหนึ่งในวิธีการปกป้อง DDoS ได้อย่างมั่นใจ นั่นคือการปรับใช้ผลิตภัณฑ์ “A10 Defend” ที่มาชุดเครื่องมือต่าง ๆ ที่พร้อมช่วยตรวจจับการโจมตีในรูปแบบ DDoS ซึ่งจะทำให้องค์กรสามารถรับมือเหตุการณ์ DDoS ได้อย่างมีกลยุทธ์ ด้วยการกำหนดนโยบายการบรรเทาเหตุการณ์ที่ปรับตัวเองได้อย่างยืดหยุ่น เช่น การกำหนดเงื่อนไขใน 5 ระดับ หรือการใช้ ML ในการเรียนรู้แบบแผน (Pattern) ของการโจมตีได้อย่างอัตโนมัติ ร่วมกับการประยุกต์ใช้ Threat Intelligence ที่อัปเดตใหม่อย่างต่อเนื่อง
สำหรับรายละเอียดของ A10 Defend ที่มีชุดเครื่องมืออื่น ๆ อย่าง A10 Defend Detector, A10 Defend Mitigator หรือ A10 Defend Orchestrator เป็นต้น สามารถอ่านเพิ่มเติมได้ที่นี่
บทส่งท้าย
ทั้งหมดนี้คือสิ่งที่ทางทีมงานได้พูดคุยกับทางคุณ Nick Chen, System Engineering Manager แห่ง A10 Networks ที่ดูแลลูกค้าในไต้หวันและในภูมิภาค APAC ณ กรุงไทเป ไต้หวัน ซึ่งทั้ง 3 เทรนด์ที่คุณ Nick ได้ยกขึ้นมานั้นล้วนเป็นภัยคุกคามที่ยังคงเกิดขึ้นจำนวนมากในโลกดิจิทัลปัจจุบัน ดังนั้นการปรับใช้อุปกรณ์หรือโซลูชัน Cybersecurity ต่าง ๆ ภายในองค์กร จึงเป็นสิ่งที่สำคัญที่ต้องพิจารณาให้ครบถ้วนที่สุดเท่าที่จะเป็นไปได้