บทความนี้เป็นสรุปบทสัมภาษณ์พิเศษจากผู้เชี่ยวชาญด้าน Security 2 ท่านจาก Trend Micro และ CrowdStrike คือ Macro Balduzzi และ Michael Sentonas ในงาน Black Hat Asia 2017 หัวข้อเรื่อง “Understanding Today’s Threat Actors” ซึ่งเนื้อหาจะประกอบด้วยลักษณะของแฮ็คเกอร์ในปัจจุบัน กลยุทธ์ที่แฮ็คเกอร์เหล่านั้นใช้ รวมไปถึงวิธีการเลือกเป้าหมาย และวิธีการรับมือกับแฮ็คเกอร์
1. แฮ็คเกอร์ในปัจจุบันมีลักษณะอย่างไร และต่างจากอดีตอย่างไร
Balduzzi: ผมอยู่ในวงการ Security ตั้งแต่อายุ 16 ปี หรือก็คือประมาณยุค 90 พบว่าสมัยก่อนนั้น แฮ็คเกอร์ส่วนใหญ่มีเป้าหมายเพียงเพื่อความสนุกของตนเอง ต้องการพิสูจน์ว่าตัวเองสามารถแฮ็คระบบได้ไหม แต่ในปัจจุบันนี้ Threat Landscape เปลี่ยนแปลงไปจากเดิมมาก แฮ็คเกอร์เริ่มรวมตัวกันเป็นองค์กรใหญ่ บางทีก็มีหน่วยงานรัฐสนับสนุน และเคลื่อนไหวโดยมีจุดประสงค์ทางเศรษฐกิจและการเมือง และมีเป้าหมายเพื่อเงินมากขึ้น
Sentonas: เช่นเดียวกันครับ เป้าหมายหลักของแฮ็คเกอร์ในปัจจุบันคือ เพื่อเงิน ที่สำคัญคือ 2 – 5 ปีที่ผ่านมานี้มีแฮ็คเกอร์มีการพัฒนาเทคนิคการแฮ็คใหม่ๆ มากมาย และมีเทคนิคหลบหลีกระบบรักษาความมั่นคงปลอดภัย ทำให้องค์กรตรวจจับได้ยากขึ้น ที่น่าหวั่นเกรงคือ งานวิจัยทางด้านการแฮ็คที่มีจุดประสงค์เพื่อแจ้งเตือนองค์กรต่างๆ กลับถูกแฮ็คเกอร์นำมาใช้เป็นเครื่องมือที่ใช้โจมตีจริงๆ แทน
2. กลยุทธ์ของแฮ็คเกอร์ในปัจจุบันเป็นอย่างไร
Sentonas: ผมคิดว่ากลยุทธ์ขึ้นอยู่กับแรงบันดาลใจของแฮ็คเกอร์ เช่น ถ้าแฮ็คเกอร์ต้องการเงิน เขาก็คงเลือกใช้เทคนิคแบบ Ransomware อย่างไรก็ตาม ปัจจุบันนี้มีแนวโน้มว่าแฮ็คเกอร์จะใช้มัลแวร์น้อยลงเรื่อยๆ แต่จะโจมตีผ่าน PowerShell, WMI หรือใช้ Fileless Malware แทน เพื่อหลีกเลี่ยงไม่ให้ระบบ Sandbox สามารถตรวจจับได้
Balduzzi: หลังๆ นี้การโจมตีที่เห็นได้บ่อยคือ Click Fraud ซึ่งเป็นการโจมตีแบบ Phishing ประเภทหนึ่ง การมีเทคโนโลยีดีแค่เพียงอย่างเดียวไม่เพียงพออีกต่อไป ต้องอาศัยความร่วมมือจากผู้ใช้ด้วย องค์กรควรสร้างความตระหนักด้านความมั่นคงปลอดภัยแก่ผู้ใช้ ที่สำคัญคือต้องบอกว่าอะไรควรทำ อะไรไม่ควรทำ
3. แฮ็คเกอร์เลือกเป้าหมายที่ตัวเองต้องการโจมตีอย่างไร
Sentonas: การจารกรรมไซเบอร์หรือ Cyber-espionage ยังคงมีเป้าหมายเหมือนเดิม แต่แฮ็คเกอร์เริ่มมีการทำ Intelligence Gathering มากขึ้น แฮ็คเกอร์สามารถค้นหาข้อมูลต่างๆ ได้ง่ายและมากกว่าในอดีต เมื่อได้ข้อมูลเพียงพอก็ทำให้แฮ็คเกอร์สามารถเลือกเป้าหมายที่คิดว่าการโจมตีของตนจะสัมฤทธิ์ผลได้ง่าย
4. ธุรกิจต้องเตรียมรับมือกับภัยคุกคามในปัจจุบันอย่างไรบ้าง
Sentonas: การป้องกันโดยพื้นฐานคงไม่ต่างจากเดิมมากนัก แต่องค์กรควรเพิ่มมาตรการควบคุมเพื่อให้ตรวจจับบการโจมตีได้เร็วขึ้น จากสถิติโดยเฉลี่ยแล้ว พบว่าองค์กรต้องใช้เวลา 200 – 300 วันถึงจะทราบว่าระบบของตนถูกโจมตี ซึ่งไม่ควรเป็นแบบนั้น ยิ่งเราตรวจจับภัยคุกคามได้เร็วเท่าไหร่ ก็ยิ่งกักกันและลดความเสียหายได้มากขึ้นเท่านั้น
Balduzzi: ผมคิดว่าแต่ละองค์กรควรมีการแชร์ Intelligence ระหว่างกัน มีการแลกเปลี่ยนข้อมูลและพูดคุยกันมากขึ้นเพื่อให้รู้ว่าขณะนี้มีภัยคุกคามอะไรใหม่ๆ ที่ต้องระวังบ้าง ใครกำลังดำเนินการโจมตี หรือองค์กรข้างเคียงของเรากำลังเจอกับปัญหาอะไรอยู่ เพื่อให้เราสามารถวางแผนรับมือกับภัยคุกคามได้อย่างทันท่วงที
5. เทคโนโลยีใหม่ เช่น IoT ก่อให้เกิดการเปลี่ยนแปลงของกลยุทธ์ของแฮ็คเกอร์อย่างไร
Balduzzi: เทคโนโลยีใหม่ๆ เช่น สมาร์ทโฟน ทีวี ตู้เย็น หรือแม้แต่รถยนต์อัจฉริยะ ก่อให้เกิดช่องทางใหม่ๆ ที่ช่วยให้แฮ็คเกอร์สามารถนำไปใช้โจมตีเหยื่อรายใหม่ๆ ได้มากยิ่งขึ้น Internet of Things ก่อให้เกิดยุคใหม่ของโลกเรา แต่ก็ทำให้เกิดภัยคุกคามรูปแบบใหม่ๆ ตามมา องค์กรจึงควรพิจารณาถึงโอกาสและความเสี่ยงให้ดีก่อนที่จะนำเทคโนโลยีใหม่ๆ เข้ามาใช้