A10 Networks ไต้หวัน ชี้ 3 เทรนด์ภัยคุกคามไซเบอร์ DoS , แรนซัมแวร์ยังคงเพิ่มมากขึ้น

แม้ว่าอุตสาหกรรรม Cybersecurity จะมีวิวัฒนาการก้าวหน้าอย่างต่อเนื่อง แต่ภัยคุกคามก็ยังคงเกิดมากขึ้นเรื่อย ๆ ไม่ว่าจะเป็นการทำ Social Engineering, Phishing หรือว่า Distributed Denial-of-Service (DDoS) ที่ยังคงเพิ่มจำนวนมากขึ้นอย่างต่อเนื่อง แม้ว่าเทคโนโลยี Cybersecurity หรือ AI ที่ใส่เข้าไปในอุปกรณ์ปกป้องความมั่นคงปลอดภัยต่าง ๆ จะพัฒนาไปมากแล้วก็ตาม

จากการไปร่วมงาน COMPUTEX 2024 ที่ไต้หวัน ทีมงานได้มีโอกาสไปเยี่ยมชมออฟฟิศของ A10 Networks ที่ไต้หวัน พร้อมทั้งพูดคุยกับคุณ Nick Chen, System Engineering Manager แห่ง A10 Networks ที่ดูแลลูกค้าในไต้หวันและในภูมิภาค APAC ซึ่งคุณ Nick ได้เล่าถึงเทรนด์ภัยคุกคามทางไซเบอร์ 3 อย่างที่แนวโน้มยังคงเกิดขึ้นจำนวนมาก รวมทั้งโซลูชันที่ A10 Networks มีพร้อมสนับสนุนในแต่ละเรื่อง โซลูชันของ A10 Networks ที่ว่านั้นมีอะไรบ้าง ติดตามได้ในบทความนี้

เนื่องจากรูปแบบภัยคุกคามทางไซเบอร์สามารถเกิดขึ้นได้มากมายหลายรูปแบบ คุณ Nick จึงได้หยิบรายงาน 2023 Data Breach Investigations Report ของทาง Verizon ขึ้นมา เพื่อชี้ให้เห็นถึงรูปแบบการโจมตียอดนิยม 3 แบบ ได้แก่

  1. Web Application Attacks การโจมตีผ่านหน้าเว็บแอปพลิเคชัน ซึ่งมักจะไม่ได้มีการดำเนินการอะไรมากนัก แต่มักจะเป็นรูปแบบการเข้ามาเพื่อแอบดึงข้อมูลออกไปทีละน้อยแต่มาเรื่อย ๆ 
  2. System Intrusion การโจมตีที่ใช้ประโยชน์จากมัลแวร์ (Malware) หรือการแฮก (Hack) เพื่อบรรลุวัตถุประสงค์หรือว่าการฝังแรนซัมแวร์ (Ransomware) เข้าไป ซึ่งมักจะมีความซับซ้อน
  3. Denial-of-Service (DoS) การโจมตีที่มุ่งหวังทำให้ความพร้อมใช้งาน (Availability) ของเน็ตเวิร์กหรือระบบมีปัญหา จนทำให้แอปพลิเคชันไม่สามารถให้บริการหรือดำเนินทางธุรกิจต่อไปได้
คุณ Nick Chen, System Engineering Manager แห่ง A10 Networks ที่ดูแลลูกค้าในไต้หวันและในภูมิภาค APAC

“รายงาน DBIR เป็นรายงานด้านความมั่นคงปลอดภัย (Security) อันเป็นที่รู้จักกันอย่างมากบนโลกอินเทอร์เน็ต มันคือรายงานที่สำรวจในเรื่องการละเมิดข้อมูล (Data Breach)” คุณ Nick กล่าว “จะเห็นว่าการโจมตีจะมีแบบแผน (Pattern) ตามที่แสดงในแผนภาพที่แบ่งออกมาเป็นหมวดหมู่การโจมตียอดนิยมในช่วงเวลาที่ผ่านมา”

ทั้งนี้ ทาง Verizon ได้ปล่อยรายงานฉบับปี 2024 Data Breach Investigations Report เป็นที่เรียบร้อยแล้ว ซึ่งจะเห็นว่าการสลับลำดับเล็กน้อย แต่ทั้ง 3 เรื่องก็ยังคงเป็นรูปแบบการโจมตีที่ยังคงเกิดขึ้นในจำนวนมากในลำดับต้น ๆ เช่นเคย

คุณ Nick ชี้ให้เห็นว่าเรื่องของการโจมตีผ่านเว็บแอปพลิเคชันนั้นไม่ใช่เรื่องใหม่แต่อย่างใด ซึ่งใคร ๆ ก็อาจจะแก้ไขปัญหาด้วยการใส่อุปกรณ์ Firewall เข้าไปกั้นไว้ระหว่างทาง เพื่อปกป้องไม่ให้เกิดการโจมตีเกิดขึ้น แต่แล้วทำไมจำนวนการโจมตีรูปแบบดังกล่าวยังคงมีอยู่ ? 

เหตุผลหลัก ๆ คือ Web Application Firewall (WAF) แบบดั้งเดิมนั้นไม่สามารถปกป้องได้อย่างมีประสิทธิภาพอีกต่อไปแล้ว ซึ่งคุณ Nick ได้ยก 4 ประเด็นปัญหาที่มักพบเจอใน WAF แบบดั้งเดิม ได้แก่

  • 50% ของจำนวนการแจ้งเตือน (Alert) ที่ WAF สร้างขึ้นมานั้นคือ “False Positive”
  • 57% เท่านั้นที่ใช้งาน WAF ด้วยการเปิดโหมดการปกป้องเต็มรูปแบบ กล่าวคือกว่าครึ่งจะไม่ได้เปิดการปกป้องไว้อย่างครบถ้วน
  • 75% จำเป็นจะต้องมีการปรับจูน (Tuning) และต้องฝึกฝน (Learning) อย่างมาก ถึงจะมีประสิทธิภาพ
  • อุปกรณ์ WAF และ ADC (Application Delivery Controller) มักจะแยกอุปกรณ์กัน ซึ่งจะทำให้ประสิทธิภาพในการรับส่งข้อมูลลดลงไป ไม่ว่าจะเรื่องความเร็ว หรือการเข้ารหัสถอดรหัสที่อาจจะทำให้มีความเสี่ยงเกิดขึ้นได้

ด้วยเหตุนี้ คุณ Nick จึงแนะนำ “A10 Next-Gen WAF” ของบริษัทที่ผสานนวัตกรรม A10 ร่วมกับ Fastly ที่จะมีการอัปเดตเชื่อมโยงข้อมูลภัยคุกคามระหว่างกันที่จะอัปเดตข้อมูลใหม่อย่างต่อเนื่อง จึงทำให้เกิดเป็น WAF สำหรับยุคถัดไปที่มีประสิทธิภาพ ที่สามารถแก้ไขทั้ง 4 ประเด็นปัญหาได้อย่างครบครัน ไม่ว่าเป็น

  • การแจ้งเตือนที่จะมี False Positive เหลือแค่ 1% 
  • 90% สามารถเปิดโหมดการปกป้องบน A10 Next-Gen WAF ได้เต็มรูปแบบ 
  • อุปกรณ์มีเทคโนโลยี ML ที่สามารถเรียนรู้รูปแบบการโจมตีด้วยการตรวจจับบริบทได้อัตโนมัติ
  • ประสิทธิภาพดีกว่าเพราะทั้ง A10 Next-Gen WAF มีฟังก์ชันการทำงานทั้ง WAF และ ADC อยู่ภายในตัวเดียวกัน

สำหรับรายละเอียดของ A10 Next-Gen WAF อื่น ๆ สามารถเข้าไปดูเพิ่มเติมได้ที่นี่

หลังจากโลกมีอินเตอร์เน็ตใช้งานในวงกว้าง เรื่องการรับส่งข้อมูลให้มีความมั่นคงปลอดภัยและเพิ่มความเป็นส่วนตัวให้กับข้อมูลจึงเป็นสิ่งที่สำคัญถัดมา และการเข้ารหัส (Encryption) หรือ Secure Socket Layer (SSL) คือแนวทางหนึ่งในการแก้ไขปัญหา ซึ่งแม้การสื่อสารบนโลกอินเทอร์เน็ตจะถูกเข้ารหัสไว้แล้ว แต่ในรายงานการโจมตีก็ยังพบว่าเป็นการโจมตีนั้นเกิดจากมัลแวร์ที่เข้ารหัสมาถึงกว่า 85%

นอกจากนี้ แต่ละองค์กรยังมีสภาพแวดล้อมและเงื่อนไขที่แตกต่างกันในแต่ละแห่ง เช่น อาจจะมีระบบ Secure Web Gateway (SWG), Advanced Threat Protection (ATP), Intrusion Prevention System (IPS), Next-Gen Firewall (NGFW), Data Loss Prevention (DLP) ที่แตกต่างกันไป หากดำเนินการให้มีการเข้ารหัสถอดรหัสในแต่ละอุปกรณ์แยกกัน ปัญหาที่ตามมาคือเรื่องประสิทธิภาพ ความเร็วในการรับส่งข้อมูล จนอาจจะทำให้องค์กรเลือกปิดการตรวจสอบบางส่วน ซึ่งสิ่งนี้จึงกลายที่มาของการโจมตีโดยมัลแวร์หรือว่าแรนซัมแวร์ได้นั่นเอง

จากปัญหาดังกล่าว คุณ Nick จึงแนะนำให้รู้จักกับผลิตภัณฑ์ A10 SSL Insight อุปกรณ์หนึ่งตัวที่จะสร้าง Decrypt Zone ด้วยการทำหน้าที่ 2 ส่วนสำคัญคือ เป็นผู้ถอดรหัสข้อมูลตอนได้รับข้อมูลต้นทาง และเป็นผู้เข้ารหัสก่อนส่งข้อมูลต่อไปยังปลายทาง ซึ่งตรงกลางคือ Decrypt Zone ที่จะทำให้ระหว่างทางยังสามารถส่งข้อมูลไปดำเนินตามขั้นตอนต่าง ๆ ที่โครงสร้างพื้นฐานองค์กรแต่ละแห่งนั้นกำหนดไว้เช่นเดิม โดยที่ไม่จำเป็นต้องดำเนินการถอดรหัสแล้วเข้ารหัสในแต่ละอุปกรณ์แยกกันอีกต่อไป

นอกจากประสิทธิภาพความเร็วที่เพิ่มมากขึ้นและความมั่นใจในการเข้ารหัสถอดรหัสด้วยผลิตภัณฑ์ A10 Networks แล้ว คุณ Nick ยังเสริมด้วยว่าวิธีการดังกล่าวนี้ถือว่าเป็นแนวทางที่จะทำให้องค์กรสามารถประหยัดงบประมาณได้มากที่สุดเท่าที่จะทำได้แล้ว เพราะทั้งฝั่งต้นทางและปลายทางก็จะยังคงเป็นการรับส่งข้อมูลที่เข้ารหัสระหว่างกัน และที่สำคัญคือโครงสร้างพื้นฐานที่มีเงื่อนไขในแต่ละแห่งนั้นไม่จำเป็นต้องเปลี่ยนแปลงแต่อย่างใดอีกด้วย สำหรับรายละเอียดเพิ่มเติมของ A10 SSL Insight สามารถอ่านได้ที่นี่

คุณ Nick ได้เล่าถึงรูปแบบการโจมตีที่มีวิวัฒนาการมาอย่างยาวนานนั่นคือ Denial-of-Service (DoS) โดยตั้งแต่ยุคก่อนหน้านี้ที่จะพยายามทำ DoS เพื่อให้แบนด์วิดธ์ (Bandwidth) หรือช่องการจราจร (Traffic) เต็มจนติดขัดไม่สามารถรับส่งข้อมูลได้ หากแต่ปัจจุบันได้วิวัฒนาการโดยหันไปโจมตีในส่วนของทรัพยากร (Resource) ของเครื่องอย่างเช่นอุปกรณ์ IoT หรือ Security ขององค์กรให้มีปัญหาจนไม่สามารถทำงานได้ปกติ 

โดยหนึ่งในตัวอย่างที่ทำให้เห็นภาพได้มากที่สุดคือมัลแวร์ Mirai Botnet ในปี 2016 ที่มีนักวิจัยคาดว่าสามารถเข้ายึดครองอุปกรณ์ Internet of Things (IoT) กว่า 6 แสนอุปกรณ์ เพื่อแปลงให้กลายเป็นบอท (Bot) และนำไปใช้โจมตีในลักษณะ Distributed Denial of Service (DDoS) ไปยังเป้าหมายที่ต้องการโจมตีได้พร้อมกันในจำนวนมหาศาล จนทำให้บริการขององค์กรไม่สามารถให้บริการได้อีกต่อไป

จากสิ่งที่เกิดขึ้น คุณ Nick ได้แนะนำหนึ่งในวิธีการปกป้อง DDoS ได้อย่างมั่นใจ นั่นคือการปรับใช้ผลิตภัณฑ์ A10 Defend ที่มาชุดเครื่องมือต่าง ๆ ที่พร้อมช่วยตรวจจับการโจมตีในรูปแบบ DDoS ซึ่งจะทำให้องค์กรสามารถรับมือเหตุการณ์ DDoS ได้อย่างมีกลยุทธ์ ด้วยการกำหนดนโยบายการบรรเทาเหตุการณ์ที่ปรับตัวเองได้อย่างยืดหยุ่น เช่น การกำหนดเงื่อนไขใน 5 ระดับ หรือการใช้ ML ในการเรียนรู้แบบแผน (Pattern) ของการโจมตีได้อย่างอัตโนมัติ ร่วมกับการประยุกต์ใช้ Threat Intelligence ที่อัปเดตใหม่อย่างต่อเนื่อง 

สำหรับรายละเอียดของ A10 Defend ที่มีชุดเครื่องมืออื่น ๆ อย่าง A10 Defend Detector, A10 Defend Mitigator หรือ A10 Defend Orchestrator เป็นต้น สามารถอ่านเพิ่มเติมได้ที่นี่

ทั้งหมดนี้คือสิ่งที่ทางทีมงานได้พูดคุยกับทางคุณ Nick Chen, System Engineering Manager แห่ง A10 Networks ที่ดูแลลูกค้าในไต้หวันและในภูมิภาค APAC ณ กรุงไทเป ไต้หวัน ซึ่งทั้ง 3 เทรนด์ที่คุณ Nick ได้ยกขึ้นมานั้นล้วนเป็นภัยคุกคามที่ยังคงเกิดขึ้นจำนวนมากในโลกดิจิทัลปัจจุบัน  ดังนั้นการปรับใช้อุปกรณ์หรือโซลูชัน Cybersecurity ต่าง ๆ ภายในองค์กร จึงเป็นสิ่งที่สำคัญที่ต้องพิจารณาให้ครบถ้วนที่สุดเท่าที่จะเป็นไปได้

About chatchai

Tech Writer แห่ง TechTalk Thai ที่สนใจในทุกนวัตกรรมและเทคโนโลยี

Check Also

“TUC 2024” โดย Esri (Thailand) ชี้ GIS เชื่อมทั้งโลก เสริมแกร่ง AI ร่วมแก้ Climate Change

จบลงไปเป็นที่เรียบร้อยกับงาน Esri Thai GIS User Conference 2024 (TUC 2024) ณ โรงแรมมิราเคิล แกรนด์ คอนเวนชั่น ในวันที่ 15 …

Google ถอดซอฟต์แวร์ Antivirus ของ Kaspersky ออกจาก Play Store พร้อมปิดบัญชี

ช่วงวันหยุดสุดสัปดาห์ที่ผ่านมา Google ได้มีการถอดแอป Security ของทาง Kaspersky ออกจาก Google Play Store รวมทั้งปิดบัญชีนักพัฒนาของบริษัทสัญชาติรัสเซียไปอีกด้วย