Breaking News

[PR] ซิสโก้เผยรายงานกลางปีไซเบอร์ซีเคียวริตี้ 2559 คาด “มัลแวร์เรียกค่าไถ่รุ่นอนาคต” ( Next-Gen Ransomware ) จะใช้วิธีการใหม่ ๆ สร้างรายได้มากขึ้น

กรุงเทพฯ, 16 สิงหาคม 2559ซิสโก้ ( NASDAQ: CSCO ) เปิดเผยรายงานความปลอดภัยกลางปีทางไซเบอร์ ( The Cisco 2016 Midyear Cybersecurity Report – MCR ) ระบุองค์กรต่าง ๆ ไม่มีความพร้อมสำหรับการเตรียมรับปัญหาในอนาคตที่เกิดจากมัลแวร์เรียกค่าไถ่ ( Ransomware ) ซึ่งจะมีความซับซ้อนมากขึ้น ด้วยโครงสร้างพื้นฐานที่เปราะบาง เครือข่ายที่มีสิ่งแปลกปลอม และการตรวจจับที่ล่าช้าเปิดโอกาสให้คนร้ายมีเวลาและพื้นที่เหลือเฟือในการดำเนินการ รายงานดังกล่าวชี้ให้เห็นว่าความพยายามในการจำกัดพื้นที่ดำเนินการของผู้โจมตีเป็นปัญหาท้าทายและสำคัญที่สุดซึ่งองค์กรธุรกิจต้องเผชิญ ทั้งยังคุกคามต่อโครงสร้างพื้นฐานที่จำเป็นสำหรับการปฏิรูประบบดิจิตอล ( Digital Transformation ) ข้อมูลสำคัญอื่น ๆ ที่พบในรายงาน MCR ได้แก่ คนร้ายกำลังขยายไปสู่การโจมตีทางฝั่งเซิร์ฟเวอร์ โดยพัฒนาวิธีการโจมตีใหม่ ๆ และใช้การเข้ารหัสเพิ่มมากขึ้นเพื่อปกปิดการโจมตี

cisco-midyear-report-2016-ransomware-infographic

 

จนกระทั่งปีนี้ “มัลแวร์เรียกค่าไถ่” ได้กลายเป็นมัลแวร์ประเภทที่สร้างกำไรให้แก่คนร้ายมากที่สุดในประวัติศาสตร์ ซิสโก้คาดว่าแนวโน้มนี้จะยังคงดำเนินไปอย่างต่อเนื่อง โดยมัลแวร์เรียกค่าไถ่จะมีอำนาจทำลายล้างเพิ่มมากขึ้น สามารถแพร่กระจายด้วยตัวเอง เข้ายึดเครือข่ายทั้งหมด และจับบริษัทไว้เป็นตัวประกัน มัลแวร์เรียกค่าไถ่สายพันธุ์ใหม่จะสามารถปรับเปลี่ยนกลวิธีได้อย่างรวดเร็วเพื่อให้เกิดประสิทธิภาพสูงสุด ตัวอย่างเช่น การโจมตีด้วยมัลแวร์เรียกค่าไถ่ในอนาคตจะเล็ดลอดการตรวจจับ โดยจะสามารถจำกัดการใช้ซีพียู และยกเลิกการดำเนินการควบคุมและสั่งการ มัลแวร์เรียกค่าไถ่ชนิดใหม่นี้จะแพร่กระจายได้รวดเร็วกว่า และสามารถคัดลอกตัวเอง ( Self-replicate ) ภายในเครือข่ายขององค์กร ก่อนที่จะทำงานร่วมกันเพื่อดำเนินกิจกรรมเรียกค่าไถ่ต่อไป

ความสามารถในการตรวจสอบเครือข่ายและอุปกรณ์ลูกข่ายอย่างทั่วถึงถือเป็นความท้าทายที่สำคัญ โดยเฉลี่ยแล้ว องค์กรจะต้องใช้เวลามากถึง 200 วันในการระบุภัยคุกคามใหม่ ๆ อย่างไรก็ตาม เวลาเฉลี่ยในการตรวจจับของซิสโก้ ( Time to detection: TTD ) ยังคงแซงหน้าค่าเฉลี่ยของอุตสาหกรรม โดยใช้เวลาเพียงแค่ 13 ชั่วโมงในการตรวจภัยคุกคามที่ไม่เคยรู้จักมาก่อนในรอบ 6 เดือนจนถึงเดือนเมษายน 2559 โดยลดลงจาก 17.5 ชั่วโมงสำหรับรอบระยะเวลาที่สิ้นสุดในเดือนตุลาคม 2558 เวลาในการตรวจจับภัยคุกคามที่รวดเร็วกว่านี้นับว่าจำเป็นอย่างยิ่งต่อการจำกัดพื้นที่ปฏิบัติการของผู้โจมตี และลดความเสียหายที่เกิดจากการบุกรุก ตัวเลขนี้อ้างอิงจากข้อมูลการตรวจวัดด้านความปลอดภัยที่เก็บรวบรวมจากผลิตภัณฑ์ด้านการรักษาความปลอดภัยของซิสโก้ที่ติดตั้งและใช้งานในองค์กรต่าง ๆ ทั่วโลก

ขณะที่ผู้โจมตีสร้างสรรค์นวัตกรรมใหม่ ๆ ฝ่ายที่ทำหน้าที่ป้องกันก็พยายามที่จะรักษาความปลอดภัยให้กับอุปกรณ์และระบบต่าง ๆ ระบบที่ไม่ได้รับการสนับสนุนและไม่ได้ติดตั้งแพตช์จะเพิ่มโอกาสให้แก่ผู้โจมตีในการเจาะเข้าสู่ระบบอย่างง่ายดายโดยไม่ถูกตรวจจับ และสร้างความเสียหายต่อระบบเพื่อทำกำไรสูงสุด รายงานความปลอดภัยไซเบอร์ฉบับกลางปี 2559 ของซิสโก้แสดงให้เห็นว่าปัญหาท้าทายนี้ยังคงมีอยู่ทั่วโลก ขณะที่องค์กรต่าง ๆ ในอุตสาหกรรมสำคัญ ๆ อย่างเช่นสถานพยาบาล ประสบปัญหาการโจมตีที่เพิ่มขึ้นอย่างมากในหลายเดือนที่ผ่านมา รายงานฉบับนี้ยังระบุอีกด้วยว่าตลาดที่เฉพาะเจาะจงทั้งหมดและภูมิภาคต่าง ๆ ทั่วโลกล้วนตกเป็นเป้าหมายเช่นเดียวกัน สมาคม หน่วยงาน องค์กรการกุศล องค์กรเอกชน และธุรกิจอิเล็กทรอนิกส์ล้วนประสบปัญหาการโจมตีที่เพิ่มมากขึ้นในครึ่งแรกของปี 2559 ส่วนในระดับโลกนั้น มีปัญหาทางด้านการเมืองภูมิศาสตร์ เช่น กฎระเบียบที่ซับซ้อน นโยบายไซเบอร์ซีเคียวริตี้ที่ขัดแย้งกันในแต่ละประเทศ ความต้องการที่จะควบคุมหรือเข้าถึงข้อมูลอาจจำกัดและขัดแย้งกับการดำเนินการค้าระหว่างประเทศท่ามกลางสถานการณ์ภัยคุกคามที่ซับซ้อน

ผู้โจมตีดำเนินการอย่างไม่มีข้อจำกัด

สำหรับผู้โจมตี เวลาที่มากขึ้นในการดำเนินการโดยไม่ถูกตรวจจับย่อมหมายถึงผลกำไรที่เพิ่มมากขึ้น ทั้งนี้ในช่วงครึ่งแรกของปี 2559 ซิสโก้รายงานว่าผู้โจมตีได้รับผลกำไรเพิ่มสูงขึ้นอย่างมากเนื่องจากเหตุผลดังต่อไปนี้:

1). การขยายขอบเขตเป้าหมาย: ผู้โจมตีขยายขอบเขตจากการโจมตีทางฝั่งลูกข่าย ( client-side ) ไปสู่ฝั่งเซิร์ฟเวอร์ ( server-side ) เพื่อหลีกเลี่ยงการตรวจจับ เพิ่มความเสียหาย และสร้างผลกำไรเพิ่มมากขึ้น

  • ช่องโหว่ใน Adobe Flash ยังคงเป็นหนึ่งในเป้าหมายหลักสำหรับโฆษณาอันตรายและการเจาะระบบ โดยในการเจาะระบบด้วยชุดเครื่องมือ Nuclear พบว่า Flash มีสัดส่วนถึง 80 เปอร์เซ็นต์ของการเจาะระบบที่ประสบความสำเร็จ
  • นอกจากนี้ ซิสโก้ยังพบแนวโน้มใหม่ในการโจมตีด้วยมัลแวร์เรียกค่าไถ่ ( Ransomware ) ซึ่งอาศัยช่องโหว่ของเซิร์ฟเวอร์ โดยเฉพาะอย่างยิ่งภายในเซิร์ฟเวอร์ JBoss โดย 10 เปอร์เซ็นต์ของเซิร์ฟเวอร์ JBoss ที่เชื่อมต่ออินเทอร์เน็ตทั่วโลกพบว่ามีช่องโหว่ ทั้งนี้ช่องโหว่ JBoss จำนวนมากที่ใช้ในการเจาะระบบเหล่านี้ได้ถูกตรวจพบเมื่อ 5 ปีที่แล้ว นั่นหมายความว่าการติดตั้งแพตช์พื้นฐานและโปรแกรมอัพเดตจากเวนเดอร์สามารถช่วยป้องกันการโจมตีดังกล่าวได้อย่างง่ายดาย

2). การพัฒนาวิธีการโจมตี: ในครึ่งแรกของปี 2559 คนร้ายยังคงพัฒนาวิธีการโจมตีอย่างต่อเนื่อง เพื่อใช้ประโยชน์จากความบกพร่องของฝ่ายป้องกันในการตรวจสอบระบบเครือข่าย

  • การใช้ช่องโหว่ของ Windows Binary กลายเป็นวิธีการโจมตีทางเว็บที่แพร่หลายที่สุดในช่วง 6 เดือนที่ผ่านมา วิธีการนี้ช่วยให้สามารถเจาะเข้าสู่โครงสร้างพื้นฐานเครือข่ายได้อย่างแน่นอนมากขึ้น และเพิ่มความยากลำบากในการระบุและกำจัดการโจมตีเหล่านี้
  • ภายในระยะเวลาเดียวกันนี้ การหลอกลวงแบบ Social Engineering ผ่านทางเฟซบุ๊กลดลง จากเดิมที่เคยครองอันดับ 1 แต่ตอนนี้ร่วงลงไปอยู่ที่อันดับ 2

3). การปกปิดร่องรอย: คนร้ายหันมาใช้การเข้ารหัสเพิ่มมากขึ้นเพื่อปิดบังการดำเนินการในส่วนต่าง ๆ ซึ่งทำให้ฝ่ายป้องกันทำการตรวจสอบได้ยากยิ่งขึ้น

  • ซิสโก้พบว่ามีการใช้เงินดิจิตอล การเข้ารหัสด้วย Transport Layer Security และ Tor ซึ่งรองรับการติดต่อสื่อสารบนเว็บโดยไม่เปิดเผยชื่อ
  • สิ่งสำคัญก็คือ มัลแวร์ที่เข้ารหัส HTTPS ซึ่งใช้ในแคมเปญโฆษณาอันตราย เพิ่มขึ้น 300 เปอร์เซ็นต์ในเดือนธันวาคม 2558 ถึงมีนาคม 2559 มัลแวร์ที่เข้ารหัสนี้ยังช่วยให้คนร้ายสามารถปิดบังกิจกรรมบนเว็บและเพิ่มเวลาในการดำเนินการอีกด้วย

ฝ่ายป้องกันพยายามที่จะลดช่องโหว่และปิดช่องว่างที่นำไปสู่ภัยคุกคาม

ขณะที่ต้องเผชิญกับการโจมตีที่ซับซ้อน ทรัพยากรที่จำกัด และโครงสร้างพื้นฐานที่ล้าสมัย ฝ่ายป้องกันพยายามที่จะก้าวให้ทันกับคนร้าย ข้อมูลที่พบระบุว่า ฝ่ายป้องกันไม่สามารถตรวจสอบดูแลเครือข่ายได้อย่างเพียงพอ เช่น การติดตั้งแพตช์ โดยเฉพาะอย่างยิ่งในส่วนของเทคโนโลยีที่มีความสำคัญอย่างมากต่อการดำเนินธุรกิจ ตัวอย่างเช่น:

  • ในส่วนของเบราว์เซอร์ Google Chrome ซึ่งใช้การอัพเดตอัตโนมัติ มีผู้ใช้ราว 75 ถึง 80 เปอร์เซ็นต์ที่ใช้เบราว์เซอร์เวอร์ชั่นล่าสุด หรือล้าสมัยกว่าที่มีอยู่หนึ่งเวอร์ชั่น
  • เมื่อเราหันไปพิจารณาในส่วนของซอฟต์แวร์ ก็จะพบว่า Java มีการโยกย้ายที่ล่าช้า โดยหนึ่งในสามของระบบที่ถูกตรวจสอบยังคงรัน Java SE 6 ซึ่ง Oracle ยกเลิกการสนับสนุนแล้ว ( เวอร์ชั่นปัจจุบันคือ SE 10 )
  • ใน Microsoft Office 2013 เวอร์ชั่น 15x พบว่ามีไม่เกิน 10 เปอร์เซ็นต์ที่ใช้เซอร์วิสแพ็ครุ่นล่าสุด

นอกจากนี้ ซิสโก้ยังพบว่าโครงสร้างพื้นฐานจำนวนมากไม่ได้รับการสนับสนุน หรือยังคงถูกใช้งานอยู่โดยที่มีช่องโหว่ที่รู้จัก ปัญหานี้เกิดขึ้นกับระบบของผู้ผลิตหลายราย รวมไปถึงอุปกรณ์ลูกข่าย ทั้งนี้ คณะนักวิจัยของซิสโก้ได้ตรวจสอบอุปกรณ์ของซิสโก้จำนวน 103, 121 เครื่องที่เชื่อมต่อกับอินเทอร์เน็ต และพบว่าอ:

  • โดยเฉลี่ยแล้ว อุปกรณ์แต่ละเครื่องมีช่องโหว่ที่รู้จัก 28 ช่องโหว่
  • อุปกรณ์ถูกใช้งานมานานโดยเฉลี่ย 64 ปีทั้ง ๆ ที่มีช่องโหว่ที่รู้จัก
  • กว่า 9 เปอร์เซ็นต์มีช่องโหว่ที่ตรวจพบมานานกว่า 10 ปี

นอกจากนี้ ซิสโก้ยังได้ตรวจสอบโครงสร้างพื้นฐานซอฟต์แวร์จากกลุ่มตัวอย่างกว่า 3 ล้านระบบที่ติดตั้ง โดยส่วนใหญ่เป็นระบบ Apache และ OpenSSH ที่มีช่องโหว่ที่รู้จักโดยเฉลี่ย 16 ช่องโหว่ และถูกใช้งานโดยเฉลี่ยมานานราว 5.05 ปี

อัพเดตของเบราว์เซอร์เป็นอัพเดตขนาดเล็กที่สุดสำหรับอุปกรณ์ลูกข่าย ขณะที่แอพพลิเคชั่นระดับองค์กรและโครงสร้างพื้นฐานทางฝั่งเซิร์ฟเวอร์ดำเนินการอัพเดตได้ยากกว่า และอาจก่อให้เกิดปัญหาต่อการดำเนินธุรกิจอย่างต่อเนื่อง โดยสาระสำคัญก็คือ ยิ่งแอพพลิเคชั่นมีความสำคัญต่อการดำเนินธุรกิจมากเท่าใด ก็จะยิ่งมีการอัพเดตน้อยลงเท่านั้น จึงก่อให้เกิดช่องว่างและโอกาสสำหรับผู้โจมตีเพิ่มมากขึ้น

ซิสโก้แนะนำขั้นตอนง่าย ๆ ในการปกป้องสภาพแวดล้อมทางด้านธุรกิจ

คณะนักวิจัย Talos ของซิสโก้พบว่า องค์กรที่ดำเนินขั้นตอนที่เรียบง่ายแต่เป็นขั้นตอนที่สำคัญ 2-3 ขั้นตอน สามารถปรับปรุงการดำเนินงานด้านความปลอดภัยได้เป็นอย่างมาก เช่น:

  • ปรับปรุงความเป็นระเบียบเรียบร้อยของเครือข่าย ด้วยการตรวจสอบดูแลเครือข่าย การติดตั้งแพตช์และการอัพเกรดตามกำหนดเวลา การแบ่งเครือข่ายเป็นส่วน ๆ การปรับใช้ระบบป้องกันที่ส่วนรอบนอกของเครือข่าย รวมถึงการปกป้องอีเมลและเว็บ ไฟร์วอลล์รุ่นอนาคต ( Next-Generation Firewall ) และระบบป้องกันการบุกรุกรุ่นอนาคต ( Next-Generation IPS )
  • ผนวกรวมระบบป้องกันเข้าด้วยกัน โดยใช้แนวทางเชิงสถาปัตยกรรมสำหรับการรักษาความปลอดภัย แทนที่จะติดตั้งเฉพาะจุด
  • ตรวจวัดเวลาในการตรวจจับ โดยเฉพาะอย่างยิ่งเวลาที่เร็วที่สุดในการตรวจพบภัยคุกคาม แล้วแก้ไขปัญหาอย่างทันท่วงที ทำให้การตรวจวัดเวลาในการตรวจจับ กลายเป็นส่วนหนึ่งของนโยบายการรักษาความปลอดภัยขององค์กรอย่างต่อเนื่อง
  • ปกป้องผู้ใช้ของคุณทุกที่ทุกเวลา ไม่ว่าผู้ใช้จะอยู่หรือทำงานที่ใดก็ตาม ไม่ใช่ปกป้องเพียงแค่ระบบที่ผู้ใช้ใช้งานหรือขณะที่ผู้ใช้ใช้งานอยู่บนเครือข่ายของบริษัทเท่านั้น
  • แบ็คอัพข้อมูลสำคัญ และทดสอบประสิทธิภาพอย่างสม่ำเสมอ พร้อมทั้งตรวจสอบว่าข้อมูลแบ็คอัพไม่มีความเสี่ยงที่จะได้รับความเสียหาย

คำกล่าวสนับสนุน

“ขณะที่องค์กรต่าง ๆ ใช้ประโยชน์จากรูปแบบธุรกิจใหม่ ๆ ที่เป็นผลมาจากการปฏิรูประบบดิจิตอล ( Digital Transformation ) ความปลอดภัยถือเป็นรากฐานที่สำคัญอย่างยิ่ง ปัจจุบันผู้โจมตีระบบสามารถหลบหลีกการตรวจจับ และมีเวลาเพิ่มมากขึ้นในการดำเนินการ ในการปิดช่องว่างและลดโอกาสสำหรับการโจมตี ลูกค้าจำเป็นที่จะต้องยกระดับความสามารถในการตรวจสอบเครือข่ายอย่างทั่วถึง และจะต้องปรับปรุงกิจกรรมต่าง ๆ เช่น การติดตั้งแพตช์ และการยกเลิกการใช้งานโครงสร้างพื้นฐานที่ล้าสมัย ซึ่งขาดความสามารถด้านการรักษาความปลอดภัยขั้นสูง”

“คนร้ายยังคงสร้างรายได้จากการโจมตีอย่างต่อเนื่อง และคิดค้นรูปแบบธุรกิจที่สร้างรายได้เป็นจำนวนมาก ด้วยเหตุนี้ซิสโก้จึงทำงานร่วมกับลูกค้าของเรา เพื่อช่วยให้ลูกค้ายกระดับความก้าวหน้า ความสามารถในการตรวจสอบและควบคุมให้ใกล้เคียงหรือเหนือกว่าคนร้าย” มาร์ตี้ โรช รองประธานและหัวหน้าสถาปนิก กลุ่มธุรกิจการรักษาความปลอดภัยของซิสโก้ กล่าว

เกี่ยวกับรายงาน

รายงานความปลอดภัยทางไซเบอร์ของซิสโก้กลางปี 2559 ตรวจสอบข้อมูลข่าวกรองเกี่ยวกับภัยคุกคามล่าสุดที่เก็บรวบรวมโดยหน่วยงานข่าวกรองด้านความปลอดภัย Cisco Collective Security Intelligence รายงานดังกล่าวให้ข้อมูลเชิงลึกเกี่ยวกับอุตสาหกรรมที่ขับเคลื่อนด้วยข้อมูล รวมถึงแนวโน้มด้านความปลอดภัยทางไซเบอร์ในช่วงครึ่งแรกของปีนี้ พร้อมด้วยคำแนะนำในการปรับปรุงสถานะความปลอดภัย รายงานฉบับนี้อ้างอิงข้อมูลจากแหล่งต่าง ๆ มากมาย รวมถึงข้อมูลรายวันจากระบบตรวจวัดและระบบส่งข้อมูลทางไกลกว่า 4 หมื่นล้านแห่ง นักวิจัยของซิสโก้ได้ทำการเปลี่ยนข้อมูล ( Intelligence ) ให้เป็นมาตรการป้องกันแบบเรียลไทม์ ( real-time protection ) สำหรับผลิตภัณฑ์และบริการของซิสโก้ให้กับลูกค้าของซิสโก้ในประเทศต่าง ๆ ทั่วโลกในทันที

ทรัพยากรสนับสนุน

วิดีโอของซิสโก้ เดวิด เกอเคเลอร์, สตีฟ มาร์ติโน่: รายงานความปลอดภัยทางไซเบอร์ของซิสโก้ประจำกลางปี 2559

รายงานความปลอดภัยทางไซเบอร์ของซิสโก้ประจำกลางปี 2559

บล็อกของซิสโก้: เวลาคือสิ่งสำคัญ: เปิดเผยรายงานความปลอดภัยทางไซเบอร์ของซิสโก้ประจำกลางปี 2559

ภาพอินโฟกราฟิกของซิสโก้

กราฟิกในรายงานความปลอดภัยทางไซเบอร์ของซิสโก้ประจำกลางปี 2559

ติดตามซิสโก้บน Twitter @CiscoSecurity

ถูกใจ Cisco Security บน Facebook

 

เกี่ยวกับ ซิสโก้

cisco_logo_2

ซิสโก้ ( NASDAQ: CSCO ) เป็นผู้นำระดับโลกด้านเทคโนโลยีที่ทำงานกับอินเทอร์เน็ตตั้งแต่ปี ค.ศ. 1984 บุคลากรของเรา ผลิตภัณฑ์ และ พันธมิตรช่วยเหลือสังคมเชื่อมต่อโอกาสทางดิจิตอลอย่างปลอดภัย ดูข่าวและข้อมูลเพิ่มเติมเกี่ยวกับซิสโก้ได้ที่ newsroom.cisco.com และติดตามข่าวสารของซิสโก้บนทวิตเตอร์ที่ @Cisco


About TechTalkThai_PR

Check Also

NetApp เปิดตัว Memory Accelerated FlexPod เสริม MAX Data และ Intel Optane DC Persistent Memory เร่งความเร็วให้สูงยิ่งขึ้น

NetApp ได้ออกมาประกาศเปิดตัวโซลูชันใหม่ล่าสุดสำหรับ Converged Infrastructure (CI) ภายใต้ชื่อ NetApp Memory Accelerated FlexPod ที่ได้ผสานนวัตกรรมใหม่อย่าง NetApp MAX Data และ Intel Optane DC Persistent Memory เพื่อเพิ่มประสิทธิภาพการทำงานของระบบโดยรวมให้สูงยิ่งขึ้น โดยมีจุดเด่นที่น่าสนใจดังนี้

Intel เปิดตัวอุปกรณ์เร่งการประมวลผล AI รุ่นใหม่ พร้อมชิปรับส่งข้อมูลเครือข่ายระดับ Tbps

ในงาน Hot Chips 2019 ทาง Intel ได้ออกมาประกาศเปิดตัวเทคโนโลยีใหม่ๆ สำหรับเร่งการประมวลผล AI และการรับส่งข้อมูลเครือข่ายที่ระดับความเร็วถึง Tbps ดังนี้