[PR] หน่วยงานราชการทั่วโลกกำลังเผชิญกับภัยไซเบอร์

เมื่อเดือนธันวาคมปีที่แล้ว มีผู้ไม่ประสงค์ดีได้ใช้ภัยคุกคามถาวรขั้นสูงหรือที่เรียกว่า Advanced Persistent Threats ( APT ) ในการต่อต้านรัฐบาลยูเครน ซึ่งนับว่าเป็นเหตการณ์การบุกรุกทางไซเบอร์แรกที่สามารถปิดการทำงานของระบบพลังงานของรัฐบาลลงได้สำเร็จ จากนั้นมา หน่วยงานรัฐบาลทั่วโลกตกอยู่ในความกังวลต่อการโจมตีที่จะทำลายโครงสร้างพื้นฐานที่สำคัญ ๆ ตลอดมา ในครั้งนั้น แฮกเกอร์ได้ใช้มัลแวร์ BlackEnergy เข้ามาเปลี่ยนอุปกรณ์เบรคเกอร์จากระยะไกล ปิดแหล่งพลังงานของผู้ใช้งาน 225,000 คน และศูนย์บริการลูกค้าจึงทำให้ลูกค้าที่แท้จริงโทรศัพท์เข้ามาติดต่อไม่ได้ [1]

fortinet-governments-now-in-crosshairs-of-cyber-attackers

ในปีที่ผ่านมานี้ ยังมีเหตการณ์ภัยบุกรุกที่มีหน่วยงานราชการเป็นเป้าหมายที่สำคัญ ๆ มากมาย

ในปีคศ. 2015 รัฐบาลของประเทศสหรัฐอเมริกา ไอริส และเตอร์กีเผชิญกับภัยคุกคาม DDoS ที่มีเป้าหมายในการก่อความเสียหายและรบกวนการปฏิบัติงาน และในประเทศไทยเอง เราได้เห็นภัยแปลกปลอมที่สร้างความเสียหายให้กับเว็ปไซต์ของรัฐบาลมากกว่า 300 แห่ง ในเดือนเดียวกัน มีแฮกเกอร์ทำงานร่วมมือกับกลุ่มแอโนนีมัส ( กลุ่มนิรนาม ) สร้างภัยคุกคามที่คล้าย ๆ กันที่หน่วยงานรัฐบาลหลายแห่งของประเทศซาอุดิอาราเบียและไนจีเรีย

ภัยไซเบอร์คุกคามบนเว็ปแอปพลิเคชั่นและ DDoS ที่อาศัยใช้ช่องโหว่ต่าง ๆ ของภาครัฐเกิดบ่อยขึ้นและอันตรายมากขึ้น ทั้งนี้ จากรายงานประจำปี Riskmap Report 2016[2] ผลิตโดย Control Risks ซึ่งเป็นสถาบันที่ปรึกษาด้านภัยคุกคามทั่วโลก ได้ระบุว่าภัยจำนวน 36% ที่เกิดขึ้นทั่วโลกนั้นมีเป้าหมายไปที่หน่วยงานรัฐบาล

การคุกคามแบบ DDoS ( Distributed denial-of-service attack ) ที่เป็นรูปแบบการโจมตีออนไลน์เพื่อให้ระบบหยุดการทำงาน ไม่สามารถใช้งานได้ หรือทำให้ใช้งานอินเทอร์เน็ตไม่ได้นั้น ได้กลายเป็นเครื่องมือการทำลายที่สำคัญโดยเหล่าผู้ต้องการแบล็คเมล์และผู้ก่อการร้ายดิจิตอล DDoS มีหลายรูปแบบ อาทิ เข้ามาทำความเสียหายให้กับระบบโดยตรง หรือเข้ามาในระบบเพือร้องขอทรัพยากรบางอย่าง เช่น แบนด์วิธ จำนวนเวลาการทำงานที่นานขึ้น จำนวนดิกส์สเปสที่มากขึ้น เป็นต้น และพบว่ามีภัยที่เกิดขึ้นบนชั้นแอปพลิเคชั้น Application layer 7 มากขึ้นมากและมีวิธีการซับซ้อนขึ้นมากกว่าเดิมทั้งนี้เพื่อต้องการปิดเครือข่ายและหยุดบริการต่าง ๆ ของภาครัฐ ภัยคุกคาม DDoS นี้มิได้เพียงใช้ทราฟฟิคและเซชั่นแปลกปลอมจำนวนมากเข้ามากวนการทำงานของเครือข่ายเท่านั้น แต่ยังพยายามหลีกเลี่ยงกลไกการตรวจสอบของเครือข่ายแบบดั้งเดิมและมุ่งโจมตีที่แอปพลิเคชั่นและบริการเป้าหมายที่ต้องการ เพื่อให้การใช้ทรัพยากรบางประเภทในระดับชั้นแอปพลิเคชั่นช้าลง

ฟอร์ติเน็ตพบว่ามีจำนวนภัยคุกคามเกิดมากขึ้นตลอดมา จากช่วงระยะ 10 ปีที่ผ่านมานี้ ได้เห็นภัยที่ 50 Gbps เกิดขึ้นครั้งหรือสองครั้งต่อปีเท่านั้น แต่ทุกวันนี้ เกิดภัยประเภทนี้ขึ้นแทบทุกสัปดาห์ ในเดือนธันวาคมปีที่แล้ว องค์กร BBC พบภัยคุกคาม 602 Gbps DDoS ซึ่งถือว่ามากที่สุดในประวัติศาสตร์ที่เคยมีมา[3] จึงทำให้ทีมนักวิเคราะห์จาก Quadrant Knowledge Solutions คาดว่า ระบบการกำจัดภัย DDoS ที่เรียกว่า Global DDoS mitigation ทั่วโลกนี้ จะมีมูลค่าโตขึ้นถึง 27.6% CAGR และเป็น US$2 billion ภายในปี 2020[4] เลยทีเดียว

ภัย APTs สามารถจู่โจมด้วยรูปแบบของมัลแวร์ ที่เข้ามาใช้ประโยชน์จากระบบคอมพิวเตอร์ เช่น การจู่โจมที่ระบบควบคุมพลังงานพาวเวอร์กริดที่ประเทศยูเครน และอาจเข้ามาในรูปแบบพวกฟิชชิ่งที่หลอกโดยการสร้างอีเมล์หรือเว็ปปลอม เมื่อเหยื่อหลงกลคลิ้กอ่านเมล์หรือเข้าเว็ปนั้น จะเข้าควบคุมคอมพิวเตอร์ของเหยื่อทันที จึงทำให้ภัยสามารถเข้ามาอยู่ภายในองค์กรได้ และจะขโมยข้อมูลสำคัญ ๆ อาทิ รหัสผ่าน ไฟล์ ดาต้าเบส บัญชีอีเมล์ออกมาจากระบบอย่างรวดเร็ว และ ถึงแม้ว่าจะได้ขโมยข้อมูลไปแล้ว อาญชกรยังอยู่ในระบบของเหยื่ออยู่และสามารถสอดส่องหาข้อมูลที่มีค่าต่อไปได้อีก

ในแถบเอเชีย พบว่าเกิดภัย APTs ขี้นมากมายจากความขัดแย้งระหว่างประเทศจีน อินเดียและประเทศในเอเชียตะวันออกเฉียงใต้ ซึ่งนับวันจะเพิ่มมากขึ้นเรื่อย ๆ โดยในปีที่ผ่าน ๆ มา ได้พบกลุ่มภัยที่เรียกว่า APT 30 ที่ใช้มัลแวร์แอบเข้ามาขโมยข้อมูลสำคัญ ๆ ของเหยื่อต่าง ๆ รวมทั้งในเครือข่ายของรัฐบาล

โดยภัยบางประเภทใช้อีเมล์ที่เขียนเป็นภาษาท้องถิ่นและมีเอกสารแนบ ซึ่งดูแล้วน่าจะถูกต้องไม่มีภัย แต่แท้จริงแล้วมีมัลแวร์ซ่อนอยู่ แฮกเกอร์จะสร้างอัลกอรึทึมที่ดูเหมือนเป็นหนอน แต่จะฝั่งตัวเองลงไปที่ฮาร์ดแวร์ เช่น ที่ดราฟยูเอสบี และฮาร์ดดิกส์ และเมื่ออุปกรณ์นี้สัมผัสกับระบบอื่น ภัยจะแพร่กระจายต่อไปทันที[5]

จะป้องกัน DDoS และ APT ได้อย่างไร

ฟอร์ติเน็ตแนะนำว่าควรใช้กลยุทธ์ที่เป็นมัลติเลเยอร์ที่ครบถ้วนจะเป็นวิธีในการป้องกันภัยที่ดีที่สุด

  • เกราะป้องกันภัยที่มีประสิทธิภาพมากที่สุดมักสร้างอยู่บนเฟรมเวิร์คด้านการป้องกันภัยที่รัดกุมและครอบคลุมครบถ้วน เฟรมเวิร์คด้านการป้องกันภัยนี้มีความสำคัญมาก เนื่องจากเป็นการผสมผสานรวมศักยภาพด้านความปลอดภัยในปัจจุบันทั้งหมด เทคโนโลยีใหม่ ๆ และกระบวนการเรียนรู้ที่มาจากการพบภัยใหม่ ๆ ให้พัฒนาเกิดเป็นความรู้ใหม่ ๆ อยู่ตลอดเวลา
  • ยังมีมาตรการอื่น ๆ ที่จำเป็นอาทิ การสำรวจสถานภาพของเครือข่ายตลอดเวลา และการปรับแผนโต้ตอบเมื่อเกิดภัยขึ้นจริงอยู่เสมอ นอกจากนี้ ยังควรรักษาจุดรวมเครือข่ายที่สำคัญให้ปลอดภัยอยู่เสมอ ๆ หมั่นตรวจตราเครือข่าย มั่นใจว่าสามารถเห็นภัยคุกคามใหญ่ ๆ และมีแผนแก้ไขสถานการณ์ภัยคุกคามในรูปแบบต่าง ๆ ได้อย่างแน่นอน
  • และ แทนที่องค์กรจะมุ่งลบล้างทราฟฟิคที่มี DDoS ออกให้หมด องค์กรควรมีกลยุทธ์ที่ช่วยให้บริการต่าง ๆ มีไปอย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งบริการที่จำเป็น ๆ ขององค์กรให้มีผลกระทบน้อยที่สุด ดังนั้น แผนงานที่สมบูรณ์ควรรวมถึงกระบวนการทำสำรองและการนำกลับมาใช้ การตรวจตรา และเริ่มต้นบริการใหม่อีกครั้งที่เร็วที่สุดและมีประสิทธิภาพมากที่สุดเท่าที่จะทำได้
  • กลยุทธ์ที่เป็นมัลติเลเยอร์ที่ครบถ้วนจะเกี่ยวข้องกับโซลูชั่นที่ละเอียดอ่อน ที่ได้รับการออกแบบมาให้ป้องกันและกำจัดภัยออกจากทุกมุมในเครือข่ายได้
  • ในการกำจัดภัย APT ออกจากเครือข่าย ภาครัฐควรต้องพัฒนากระบวนการด้านความปลอดภัยที่สามารถหยุดแอปพลิเคชั่นและมัลแวร์อันตรายได้ และยังต้องมีศักยภาพป้องกันไม่ให้ข้อมูลสำคัญออกจากเครือข่ายไปได้ ทางหนึ่งที่เป็นทางออกที่ดี คือ การแบ่งเครือข่ายให้เป็นส่วน ( Network segregation ) ที่จะช่วยป้องกันไม่ให้เกิดการแพร่กระจายภัย APT ภายในเครือข่าย
  • และผู้บริหารไอทีควรจำด้วยว่า ไม่จำเป็นที่พนักงานทุกคนจะสามารถเข้าถึงส่วนที่มีข้อมูลสำคัญขององค์กรได้ ทั้งนี้ ศักยภาพในการจำกัดการเข้าถึงในเวลาที่ต้องการ จะยิ่งช่วยให้องค์กรสามารถกำจัดภัยออกจากเครือข่ายได้ นอกจากนี้ การใช้ Two-factor authentication สำหรับผู้ใช้งานจากข้างนอกหรือกับกลุ่มผู้ใช้งานที่ต้องเข้าไปยังข้อมูลที่สำคัญจะช่วยให้ขโมยข้อมูลเป็นไปได้ยากมากยิ่งขึ้น
  • นอกจากนี้ การเป็นพันธมิตรกับผู้ให้บริการด้านความปลอดภัยยังเป็นเรื่องที่จำเป็นเช่นกัน พันธมิตรดังกล่าวจะช่วยให้ข้อมูลใหม่ล่าสุดและความรู้ด้านภัยคุกคามแก่พนักงานไอที และช่วยแนะนำวิธีการปฏิบัติเมื่อเกิดภัยคุกคามขึ้น ทั้งนี้ หน่วยงานราชการควรให้ความร่วมมือกับพันธมิตรด้านความปลอดภัยไซเบอร์อย่างใกล้ชิดและกับผู้ให้บริการด้านความปลอดภัยเพื่อแบ่งปันข้อมูลใหม่ ๆ อยู่เสมอ เพื่อช่วยให้สามารถติดตามภัยที่เกิดขึ้นทั่วโลกได้ทันและสามารถแก้ไขรับมือกับภัยได้ดีขึ้น
  • และนอกจากจะมีแผนและการประเมินด้านความปลอดภัยที่รัดกุมแล้ว ควรจะต้องให้ความรู้แก่พนักงานของภาครัฐเกี่ยวกับภัยไซเบอร์ ควรต้องจัดการอบรมพิเศษให้กับพนักงานที่มีสิทธิ์เข้าถึงข้อมูลสำคัญให้เข้าใจว่าควรจะจัดการกับข้อมูลดังกล่าวให้เหมาะสมได้อย่างไรบ้าง อาทิ การจำกัดการใช้ USB drive เมื่อพิจารณาแล้วว่าจำเป็นเท่านั้น เป็นหนทางหนึ่งในการป้องกันเครือข่าย

ไม่ว่าจะเป็น APTs การแพร่กระจายของหนอน worm outbreaks หรือ DDoS และ botnets หรือภัยที่เกิดจากภายในสู่ภายนอก หรือภายนอกสู่ภายใน ภัยคุกคามปัจจุบันมีความซับซ้อนมากยิ่งขึ้นและก้าวร้าวขึ้นมาก องค์กรต่าง ๆ รวมถึงภาครัฐควรต้องพิจารณาระบบความปลอดภัยอย่างรอบคอบ และใช้กลยุทธ์แบบมัลติเลเยอร์เพื่อสู้กับภัยที่กำลังเผชิญอยู่ในทุก ๆ วันนี้

 

บทความโดย

โดยมร. เดอริค แมนคี Global Security Strategist, Fortinet

fortinet-derek-manky

 

[1] http://www.nytimes.com/2016/03/01/us/politics/utilities-cautioned-about-potential-for-a-cyberattack-after-ukraines.html?_r=0

[2] http://www.cityam.com/230831/cybersecurity-targeted-cyber-attacks-doubled-in-the-year-to-october-2015-with-government-and-the-finance-sector-bearing-the-brunt-of-cybercrime

[3] http://www.slideshare.net/mastel_indonesia/outlook-briefing-2016-cyber-security

[4] http://expressions-media.com/ddos-mitigation-market-driven-growing-ddos-attacks-says-quadrant-knowledge-solutions/

[5] http://techspective.net/2015/04/14/fireeye-warns-of-apt-30-cyber-espionage-operation/



About TechTalkThai_PR

Check Also

สรุปงานสัมมนาออนไลน์ Easily Deploy K8s Cluster on VMware Cloud Foundation with Tanzu

Kubernetes เป็นหนึ่งในปัจจัยที่องค์กรต่างแสวงหาเพื่อเปลี่ยนโฉม Infrastructure ของตน ให้สอดรับกับนโนบายการทำ Modernize Application ขององค์กร ด้วยเหตุนี้วันที่ 15 กันยายนที่ผ่านมา ทาง VMware จึงได้งานสัมมนาออนไลน์เพื่อให้ความรู้เกี่ยวกับการเริ่มต้นใช้งาน Kubernetes …

สรุปงานสัมมนาออนไลน์ VMware Cloud As An Operating Model: A Hybrid Cloud Blueprint for Modern Applications

ความท้าทายในการพัฒนาองค์กรจาก Infrastructure แบบเดิมสู่ Hybrid Cloud นั้นมีไม่น้อย แต่ในเมื่อเทคโนโลยีอันล้ำค่าจาก Cloud เป็นสิ่งที่หลีกเลี่ยงไม่ได้ ดังนั้นแล้วจะทำอย่างไรองค์กรจึงสามารถก้าวข้ามอุปสรรคสู่เป้าหมายดังกล่าวโดยกระทบกับผู้ปฏิบัติงานให้น้อยที่สุด จึงเป็นที่มาของหัวข้อสัมมนาในโซลูชัน VMware Cloud on AWS …