[PR] ซิสโก้เผยรายงานกลางปีไซเบอร์ซีเคียวริตี้ 2559 คาด “มัลแวร์เรียกค่าไถ่รุ่นอนาคต” ( Next-Gen Ransomware ) จะใช้วิธีการใหม่ ๆ สร้างรายได้มากขึ้น

กรุงเทพฯ, 16 สิงหาคม 2559 – ซิสโก้ ( NASDAQ: CSCO ) เปิดเผยรายงานความปลอดภัยกลางปีทางไซเบอร์ ( The Cisco 2016 Midyear Cybersecurity Report – MCR ) ระบุองค์กรต่าง ๆ ไม่มีความพร้อมสำหรับการเตรียมรับปัญหาในอนาคตที่เกิดจากมัลแวร์เรียกค่าไถ่ ( Ransomware ) ซึ่งจะมีความซับซ้อนมากขึ้น ด้วยโครงสร้างพื้นฐานที่เปราะบาง เครือข่ายที่มีสิ่งแปลกปลอม และการตรวจจับที่ล่าช้าเปิดโอกาสให้คนร้ายมีเวลาและพื้นที่เหลือเฟือในการดำเนินการ รายงานดังกล่าวชี้ให้เห็นว่าความพยายามในการจำกัดพื้นที่ดำเนินการของผู้โจมตีเป็นปัญหาท้าทายและสำคัญที่สุดซึ่งองค์กรธุรกิจต้องเผชิญ ทั้งยังคุกคามต่อโครงสร้างพื้นฐานที่จำเป็นสำหรับการปฏิรูประบบดิจิตอล ( Digital Transformation ) ข้อมูลสำคัญอื่น ๆ ที่พบในรายงาน MCR ได้แก่ คนร้ายกำลังขยายไปสู่การโจมตีทางฝั่งเซิร์ฟเวอร์ โดยพัฒนาวิธีการโจมตีใหม่ ๆ และใช้การเข้ารหัสเพิ่มมากขึ้นเพื่อปกปิดการโจมตี

 

จนกระทั่งปีนี้ “มัลแวร์เรียกค่าไถ่” ได้กลายเป็นมัลแวร์ประเภทที่สร้างกำไรให้แก่คนร้ายมากที่สุดในประวัติศาสตร์ ซิสโก้คาดว่าแนวโน้มนี้จะยังคงดำเนินไปอย่างต่อเนื่อง โดยมัลแวร์เรียกค่าไถ่จะมีอำนาจทำลายล้างเพิ่มมากขึ้น สามารถแพร่กระจายด้วยตัวเอง เข้ายึดเครือข่ายทั้งหมด และจับบริษัทไว้เป็นตัวประกัน มัลแวร์เรียกค่าไถ่สายพันธุ์ใหม่จะสามารถปรับเปลี่ยนกลวิธีได้อย่างรวดเร็วเพื่อให้เกิดประสิทธิภาพสูงสุด ตัวอย่างเช่น การโจมตีด้วยมัลแวร์เรียกค่าไถ่ในอนาคตจะเล็ดลอดการตรวจจับ โดยจะสามารถจำกัดการใช้ซีพียู และยกเลิกการดำเนินการควบคุมและสั่งการ มัลแวร์เรียกค่าไถ่ชนิดใหม่นี้จะแพร่กระจายได้รวดเร็วกว่า และสามารถคัดลอกตัวเอง ( Self-replicate ) ภายในเครือข่ายขององค์กร ก่อนที่จะทำงานร่วมกันเพื่อดำเนินกิจกรรมเรียกค่าไถ่ต่อไป

ความสามารถในการตรวจสอบเครือข่ายและอุปกรณ์ลูกข่ายอย่างทั่วถึงถือเป็นความท้าทายที่สำคัญ โดยเฉลี่ยแล้ว องค์กรจะต้องใช้เวลามากถึง 200 วันในการระบุภัยคุกคามใหม่ ๆ อย่างไรก็ตาม เวลาเฉลี่ยในการตรวจจับของซิสโก้ ( Time to detection: TTD ) ยังคงแซงหน้าค่าเฉลี่ยของอุตสาหกรรม โดยใช้เวลาเพียงแค่ 13 ชั่วโมงในการตรวจภัยคุกคามที่ไม่เคยรู้จักมาก่อนในรอบ 6 เดือนจนถึงเดือนเมษายน 2559 โดยลดลงจาก 17.5 ชั่วโมงสำหรับรอบระยะเวลาที่สิ้นสุดในเดือนตุลาคม 2558 เวลาในการตรวจจับภัยคุกคามที่รวดเร็วกว่านี้นับว่าจำเป็นอย่างยิ่งต่อการจำกัดพื้นที่ปฏิบัติการของผู้โจมตี และลดความเสียหายที่เกิดจากการบุกรุก ตัวเลขนี้อ้างอิงจากข้อมูลการตรวจวัดด้านความปลอดภัยที่เก็บรวบรวมจากผลิตภัณฑ์ด้านการรักษาความปลอดภัยของซิสโก้ที่ติดตั้งและใช้งานในองค์กรต่าง ๆ ทั่วโลก

ขณะที่ผู้โจมตีสร้างสรรค์นวัตกรรมใหม่ ๆ ฝ่ายที่ทำหน้าที่ป้องกันก็พยายามที่จะรักษาความปลอดภัยให้กับอุปกรณ์และระบบต่าง ๆ ระบบที่ไม่ได้รับการสนับสนุนและไม่ได้ติดตั้งแพตช์จะเพิ่มโอกาสให้แก่ผู้โจมตีในการเจาะเข้าสู่ระบบอย่างง่ายดายโดยไม่ถูกตรวจจับ และสร้างความเสียหายต่อระบบเพื่อทำกำไรสูงสุด รายงานความปลอดภัยไซเบอร์ฉบับกลางปี 2559 ของซิสโก้แสดงให้เห็นว่าปัญหาท้าทายนี้ยังคงมีอยู่ทั่วโลก ขณะที่องค์กรต่าง ๆ ในอุตสาหกรรมสำคัญ ๆ อย่างเช่นสถานพยาบาล ประสบปัญหาการโจมตีที่เพิ่มขึ้นอย่างมากในหลายเดือนที่ผ่านมา รายงานฉบับนี้ยังระบุอีกด้วยว่าตลาดที่เฉพาะเจาะจงทั้งหมดและภูมิภาคต่าง ๆ ทั่วโลกล้วนตกเป็นเป้าหมายเช่นเดียวกัน สมาคม หน่วยงาน องค์กรการกุศล องค์กรเอกชน และธุรกิจอิเล็กทรอนิกส์ล้วนประสบปัญหาการโจมตีที่เพิ่มมากขึ้นในครึ่งแรกของปี 2559 ส่วนในระดับโลกนั้น มีปัญหาทางด้านการเมืองภูมิศาสตร์ เช่น กฎระเบียบที่ซับซ้อน นโยบายไซเบอร์ซีเคียวริตี้ที่ขัดแย้งกันในแต่ละประเทศ ความต้องการที่จะควบคุมหรือเข้าถึงข้อมูลอาจจำกัดและขัดแย้งกับการดำเนินการค้าระหว่างประเทศท่ามกลางสถานการณ์ภัยคุกคามที่ซับซ้อน

ผู้โจมตีดำเนินการอย่างไม่มีข้อจำกัด

สำหรับผู้โจมตี เวลาที่มากขึ้นในการดำเนินการโดยไม่ถูกตรวจจับย่อมหมายถึงผลกำไรที่เพิ่มมากขึ้น ทั้งนี้ในช่วงครึ่งแรกของปี 2559 ซิสโก้รายงานว่าผู้โจมตีได้รับผลกำไรเพิ่มสูงขึ้นอย่างมากเนื่องจากเหตุผลดังต่อไปนี้:

1). การขยายขอบเขตเป้าหมาย: ผู้โจมตีขยายขอบเขตจากการโจมตีทางฝั่งลูกข่าย ( client-side ) ไปสู่ฝั่งเซิร์ฟเวอร์ ( server-side ) เพื่อหลีกเลี่ยงการตรวจจับ เพิ่มความเสียหาย และสร้างผลกำไรเพิ่มมากขึ้น

• ช่องโหว่ใน Adobe Flash ยังคงเป็นหนึ่งในเป้าหมายหลักสำหรับโฆษณาอันตรายและการเจาะระบบ โดยในการเจาะระบบด้วยชุดเครื่องมือ Nuclear พบว่า Flash มีสัดส่วนถึง 80 เปอร์เซ็นต์ของการเจาะระบบที่ประสบความสำเร็จ
• นอกจากนี้ ซิสโก้ยังพบแนวโน้มใหม่ในการโจมตีด้วยมัลแวร์เรียกค่าไถ่ ( Ransomware ) ซึ่งอาศัยช่องโหว่ของเซิร์ฟเวอร์ โดยเฉพาะอย่างยิ่งภายในเซิร์ฟเวอร์ JBoss โดย 10 เปอร์เซ็นต์ของเซิร์ฟเวอร์ JBoss ที่เชื่อมต่ออินเทอร์เน็ตทั่วโลกพบว่ามีช่องโหว่ ทั้งนี้ช่องโหว่ JBoss จำนวนมากที่ใช้ในการเจาะระบบเหล่านี้ได้ถูกตรวจพบเมื่อ 5 ปีที่แล้ว นั่นหมายความว่าการติดตั้งแพตช์พื้นฐานและโปรแกรมอัพเดตจากเวนเดอร์สามารถช่วยป้องกันการโจมตีดังกล่าวได้อย่างง่ายดาย

2). การพัฒนาวิธีการโจมตี: ในครึ่งแรกของปี 2559 คนร้ายยังคงพัฒนาวิธีการโจมตีอย่างต่อเนื่อง เพื่อใช้ประโยชน์จากความบกพร่องของฝ่ายป้องกันในการตรวจสอบระบบเครือข่าย

• การใช้ช่องโหว่ของ Windows Binary กลายเป็นวิธีการโจมตีทางเว็บที่แพร่หลายที่สุดในช่วง 6 เดือนที่ผ่านมา วิธีการนี้ช่วยให้สามารถเจาะเข้าสู่โครงสร้างพื้นฐานเครือข่ายได้อย่างแน่นอนมากขึ้น และเพิ่มความยากลำบากในการระบุและกำจัดการโจมตีเหล่านี้
• ภายในระยะเวลาเดียวกันนี้ การหลอกลวงแบบ Social Engineering ผ่านทางเฟซบุ๊กลดลง จากเดิมที่เคยครองอันดับ 1 แต่ตอนนี้ร่วงลงไปอยู่ที่อันดับ 2

3). การปกปิดร่องรอย: คนร้ายหันมาใช้การเข้ารหัสเพิ่มมากขึ้นเพื่อปิดบังการดำเนินการในส่วนต่าง ๆ ซึ่งทำให้ฝ่ายป้องกันทำการตรวจสอบได้ยากยิ่งขึ้น

• ซิสโก้พบว่ามีการใช้เงินดิจิตอล การเข้ารหัสด้วย Transport Layer Security และ Tor ซึ่งรองรับการติดต่อสื่อสารบนเว็บโดยไม่เปิดเผยชื่อ
• สิ่งสำคัญก็คือ มัลแวร์ที่เข้ารหัส HTTPS ซึ่งใช้ในแคมเปญโฆษณาอันตราย เพิ่มขึ้น 300 เปอร์เซ็นต์ในเดือนธันวาคม 2558 ถึงมีนาคม 2559 มัลแวร์ที่เข้ารหัสนี้ยังช่วยให้คนร้ายสามารถปิดบังกิจกรรมบนเว็บและเพิ่มเวลาในการดำเนินการอีกด้วย

ฝ่ายป้องกันพยายามที่จะลดช่องโหว่และปิดช่องว่างที่นำไปสู่ภัยคุกคาม

ขณะที่ต้องเผชิญกับการโจมตีที่ซับซ้อน ทรัพยากรที่จำกัด และโครงสร้างพื้นฐานที่ล้าสมัย ฝ่ายป้องกันพยายามที่จะก้าวให้ทันกับคนร้าย ข้อมูลที่พบระบุว่า ฝ่ายป้องกันไม่สามารถตรวจสอบดูแลเครือข่ายได้อย่างเพียงพอ เช่น การติดตั้งแพตช์ โดยเฉพาะอย่างยิ่งในส่วนของเทคโนโลยีที่มีความสำคัญอย่างมากต่อการดำเนินธุรกิจ ตัวอย่างเช่น:

• ในส่วนของเบราว์เซอร์ Google Chrome ซึ่งใช้การอัพเดตอัตโนมัติ มีผู้ใช้ราว 75 ถึง 80 เปอร์เซ็นต์ที่ใช้เบราว์เซอร์เวอร์ชั่นล่าสุด หรือล้าสมัยกว่าที่มีอยู่หนึ่งเวอร์ชั่น
• เมื่อเราหันไปพิจารณาในส่วนของซอฟต์แวร์ ก็จะพบว่า Java มีการโยกย้ายที่ล่าช้า โดยหนึ่งในสามของระบบที่ถูกตรวจสอบยังคงรัน Java SE 6 ซึ่ง Oracle ยกเลิกการสนับสนุนแล้ว ( เวอร์ชั่นปัจจุบันคือ SE 10 )
• ใน Microsoft Office 2013 เวอร์ชั่น 15x พบว่ามีไม่เกิน 10 เปอร์เซ็นต์ที่ใช้เซอร์วิสแพ็ครุ่นล่าสุด

นอกจากนี้ ซิสโก้ยังพบว่าโครงสร้างพื้นฐานจำนวนมากไม่ได้รับการสนับสนุน หรือยังคงถูกใช้งานอยู่โดยที่มีช่องโหว่ที่รู้จัก ปัญหานี้เกิดขึ้นกับระบบของผู้ผลิตหลายราย รวมไปถึงอุปกรณ์ลูกข่าย ทั้งนี้ คณะนักวิจัยของซิสโก้ได้ตรวจสอบอุปกรณ์ของซิสโก้จำนวน 103, 121 เครื่องที่เชื่อมต่อกับอินเทอร์เน็ต และพบว่าอ:

• โดยเฉลี่ยแล้ว อุปกรณ์แต่ละเครื่องมีช่องโหว่ที่รู้จัก 28 ช่องโหว่
• อุปกรณ์ถูกใช้งานมานานโดยเฉลี่ย 64 ปีทั้ง ๆ ที่มีช่องโหว่ที่รู้จัก
• กว่า 9 เปอร์เซ็นต์มีช่องโหว่ที่ตรวจพบมานานกว่า 10 ปี

นอกจากนี้ ซิสโก้ยังได้ตรวจสอบโครงสร้างพื้นฐานซอฟต์แวร์จากกลุ่มตัวอย่างกว่า 3 ล้านระบบที่ติดตั้ง โดยส่วนใหญ่เป็นระบบ Apache และ OpenSSH ที่มีช่องโหว่ที่รู้จักโดยเฉลี่ย 16 ช่องโหว่ และถูกใช้งานโดยเฉลี่ยมานานราว 5.05 ปี

อัพเดตของเบราว์เซอร์เป็นอัพเดตขนาดเล็กที่สุดสำหรับอุปกรณ์ลูกข่าย ขณะที่แอพพลิเคชั่นระดับองค์กรและโครงสร้างพื้นฐานทางฝั่งเซิร์ฟเวอร์ดำเนินการอัพเดตได้ยากกว่า และอาจก่อให้เกิดปัญหาต่อการดำเนินธุรกิจอย่างต่อเนื่อง โดยสาระสำคัญก็คือ ยิ่งแอพพลิเคชั่นมีความสำคัญต่อการดำเนินธุรกิจมากเท่าใด ก็จะยิ่งมีการอัพเดตน้อยลงเท่านั้น จึงก่อให้เกิดช่องว่างและโอกาสสำหรับผู้โจมตีเพิ่มมากขึ้น

ซิสโก้แนะนำขั้นตอนง่าย ๆ ในการปกป้องสภาพแวดล้อมทางด้านธุรกิจ

คณะนักวิจัย Talos ของซิสโก้พบว่า องค์กรที่ดำเนินขั้นตอนที่เรียบง่ายแต่เป็นขั้นตอนที่สำคัญ 2-3 ขั้นตอน สามารถปรับปรุงการดำเนินงานด้านความปลอดภัยได้เป็นอย่างมาก เช่น:

• ปรับปรุงความเป็นระเบียบเรียบร้อยของเครือข่าย ด้วยการตรวจสอบดูแลเครือข่าย การติดตั้งแพตช์และการอัพเกรดตามกำหนดเวลา การแบ่งเครือข่ายเป็นส่วน ๆ การปรับใช้ระบบป้องกันที่ส่วนรอบนอกของเครือข่าย รวมถึงการปกป้องอีเมลและเว็บ ไฟร์วอลล์รุ่นอนาคต ( Next-Generation Firewall ) และระบบป้องกันการบุกรุกรุ่นอนาคต ( Next-Generation IPS )
• ผนวกรวมระบบป้องกันเข้าด้วยกัน โดยใช้แนวทางเชิงสถาปัตยกรรมสำหรับการรักษาความปลอดภัย แทนที่จะติดตั้งเฉพาะจุด
• ตรวจวัดเวลาในการตรวจจับ โดยเฉพาะอย่างยิ่งเวลาที่เร็วที่สุดในการตรวจพบภัยคุกคาม แล้วแก้ไขปัญหาอย่างทันท่วงที ทำให้การตรวจวัดเวลาในการตรวจจับ กลายเป็นส่วนหนึ่งของนโยบายการรักษาความปลอดภัยขององค์กรอย่างต่อเนื่อง
• ปกป้องผู้ใช้ของคุณทุกที่ทุกเวลา ไม่ว่าผู้ใช้จะอยู่หรือทำงานที่ใดก็ตาม ไม่ใช่ปกป้องเพียงแค่ระบบที่ผู้ใช้ใช้งานหรือขณะที่ผู้ใช้ใช้งานอยู่บนเครือข่ายของบริษัทเท่านั้น
• แบ็คอัพข้อมูลสำคัญ และทดสอบประสิทธิภาพอย่างสม่ำเสมอ พร้อมทั้งตรวจสอบว่าข้อมูลแบ็คอัพไม่มีความเสี่ยงที่จะได้รับความเสียหาย

คำกล่าวสนับสนุน

“ขณะที่องค์กรต่าง ๆ ใช้ประโยชน์จากรูปแบบธุรกิจใหม่ ๆ ที่เป็นผลมาจากการปฏิรูประบบดิจิตอล ( Digital Transformation ) ความปลอดภัยถือเป็นรากฐานที่สำคัญอย่างยิ่ง ปัจจุบันผู้โจมตีระบบสามารถหลบหลีกการตรวจจับ และมีเวลาเพิ่มมากขึ้นในการดำเนินการ ในการปิดช่องว่างและลดโอกาสสำหรับการโจมตี ลูกค้าจำเป็นที่จะต้องยกระดับความสามารถในการตรวจสอบเครือข่ายอย่างทั่วถึง และจะต้องปรับปรุงกิจกรรมต่าง ๆ เช่น การติดตั้งแพตช์ และการยกเลิกการใช้งานโครงสร้างพื้นฐานที่ล้าสมัย ซึ่งขาดความสามารถด้านการรักษาความปลอดภัยขั้นสูง”

“คนร้ายยังคงสร้างรายได้จากการโจมตีอย่างต่อเนื่อง และคิดค้นรูปแบบธุรกิจที่สร้างรายได้เป็นจำนวนมาก ด้วยเหตุนี้ซิสโก้จึงทำงานร่วมกับลูกค้าของเรา เพื่อช่วยให้ลูกค้ายกระดับความก้าวหน้า ความสามารถในการตรวจสอบและควบคุมให้ใกล้เคียงหรือเหนือกว่าคนร้าย” มาร์ตี้ โรช รองประธานและหัวหน้าสถาปนิก กลุ่มธุรกิจการรักษาความปลอดภัยของซิสโก้ กล่าว

เกี่ยวกับรายงาน

รายงานความปลอดภัยทางไซเบอร์ของซิสโก้กลางปี 2559 ตรวจสอบข้อมูลข่าวกรองเกี่ยวกับภัยคุกคามล่าสุดที่เก็บรวบรวมโดยหน่วยงานข่าวกรองด้านความปลอดภัย Cisco Collective Security Intelligence รายงานดังกล่าวให้ข้อมูลเชิงลึกเกี่ยวกับอุตสาหกรรมที่ขับเคลื่อนด้วยข้อมูล รวมถึงแนวโน้มด้านความปลอดภัยทางไซเบอร์ในช่วงครึ่งแรกของปีนี้ พร้อมด้วยคำแนะนำในการปรับปรุงสถานะความปลอดภัย รายงานฉบับนี้อ้างอิงข้อมูลจากแหล่งต่าง ๆ มากมาย รวมถึงข้อมูลรายวันจากระบบตรวจวัดและระบบส่งข้อมูลทางไกลกว่า 4 หมื่นล้านแห่ง นักวิจัยของซิสโก้ได้ทำการเปลี่ยนข้อมูล ( Intelligence ) ให้เป็นมาตรการป้องกันแบบเรียลไทม์ ( real-time protection ) สำหรับผลิตภัณฑ์และบริการของซิสโก้ให้กับลูกค้าของซิสโก้ในประเทศต่าง ๆ ทั่วโลกในทันที

ทรัพยากรสนับสนุน

วิดีโอของซิสโก้ เดวิด เกอเคเลอร์, สตีฟ มาร์ติโน่: รายงานความปลอดภัยทางไซเบอร์ของซิสโก้ประจำกลางปี 2559

รายงานความปลอดภัยทางไซเบอร์ของซิสโก้ประจำกลางปี 2559

บล็อกของซิสโก้: เวลาคือสิ่งสำคัญ: เปิดเผยรายงานความปลอดภัยทางไซเบอร์ของซิสโก้ประจำกลางปี 2559

ภาพอินโฟกราฟิกของซิสโก้

กราฟิกในรายงานความปลอดภัยทางไซเบอร์ของซิสโก้ประจำกลางปี 2559

ติดตามซิสโก้บน Twitter @CiscoSecurity

ถูกใจ Cisco Security บน Facebook

 

เกี่ยวกับ ซิสโก้

ซิสโก้ ( NASDAQ: CSCO ) เป็นผู้นำระดับโลกด้านเทคโนโลยีที่ทำงานกับอินเทอร์เน็ตตั้งแต่ปี ค.ศ. 1984 บุคลากรของเรา ผลิตภัณฑ์ และ พันธมิตรช่วยเหลือสังคมเชื่อมต่อโอกาสทางดิจิตอลอย่างปลอดภัย ดูข่าวและข้อมูลเพิ่มเติมเกี่ยวกับซิสโก้ได้ที่ newsroom.cisco.com และติดตามข่าวสารของซิสโก้บนทวิตเตอร์ที่ @Cisco