ทางทีมงาน TechTalkThai มีโอกาสได้สัมภาษณ์เดี่ยวกับทางคุณ David Holmes ผู้ดำรงตำแหน่ง Security Evangelist แห่ง F5 Networks ที่ทำงานอยู่ภายใน F5 Labs ซึ่งเป็น Threat Intelligence Research Team ที่ดูแลในส่วนของ Global Security และมีประเด็นน่าสนใจทางด้านแนวโน้มความมั่นคงปลอดภัยทั่วโลกในแง่มุมที่ไม่ค่อยได้ฟังกันบ่อยนัก จึงขอนำมาสรุปแบ่งปันกันดังนี้ครับ
สรุปรายงาน The Hunt for IoT Volume 2 วิเคราะห์การโจมตีที่เกิดขึ้นในปี 2016
การตามล่าอุปกรณ์ IoT ที่ไม่ปลอดภัย กลายเป็นกิจกรรมที่เกิดขึ้นทุกวันทุกเวลา
ในช่วงปี 2016 ทางทีม F5 Threat Intelligence Research ได้ตรวจพบเหตุการณ์การ Scan ค้นหาอุปกรณ์ Internet of Things (IoT) ที่ไม่ปลอดภัยบน Public IT โดยเฉพาะเป็นจำนวนมากด้วยการใช้ Telnet และ SSH โดยการค้นหาอุปกรณ์ในครั้งนี้ก็ยังไม่มีสาเหตุระบุที่แน่ชัดว่าจะนำไปสู่การโจมตีใดๆ ต่อ โดยแนวโน้มของการค้นหาอุปกรณ์ IoT เหล่านี้เติบโตอย่างต่อเนื่องในแบบ Exponential ตลอดทั้งปี 2016 ที่ผ่านมา
อย่างไรก็ดี เมื่อแคมเปญ Mirai ที่ใช้อุปกรณ์ IoT ที่มีช่องโหว่ไปทำการโจมตีแบบ DDoS เริ่มต้นขึ้นในไตรมาสที่ 3 ของปี 2016 นั้น ความพยายามในการค้นหาอุปกรณ์ IoT ที่มีช่องโหว่ก็ยิ่งเติบโตขึ้นไปอีก และทำให้ภาพรวมของไตรมาสที่ 4 ในปี 2016 มีการโจมตีสูงกว่า 3 ไตรมาสก่อนหน้ารวมกันถึง 1.5 เท่าเลยทีเดียว
อีกประเด็นหนึ่งที่น่าสนใจก็คือ การเดารหัสผ่านนั้นมีแนวโน้มที่เปลี่ยนไป โดยความหลากหลายของชื่อผู้ใช้งานและรหัสผ่านที่ถูกเดาในการโจมตีอุปกรณ์ IoT เหล่านี้ลดน้อยลงในไตรมาสที่ 4 ของปี 2016 ซึ่งทาง F5 นั้นคาดว่าผู้โจมตีเริ่มรู้แล้วว่าชื่อผู้ใช้งานหรือรหัสผ่านใดบ้างที่ไม่ควรเสียเวลาไปทดลองเดาสุ่ม
จีนเป็นผู้โจมตีอันดับหนึ่ง แต่ประเทศอื่นๆ ก็เริ่มโจมตีผู้อื่นเพิ่มขึ้นเป็นอย่างมาก
ในไตรมาสที่ 3 ของปี 2016 นั้น จีนถือเป็นผู้โจมตีอันดับ 1 ด้วยส่วนแบ่ง 44% ตามมาด้วยเวียดนาม 7% และสหรัฐอเมริกา 6% แต่ในไตรมาสที่ 4 นั้น จีนที่ครองอันดับหนึ่งกลับมีส่วนแบ่งลดลงเหลือเพียง 21% ตามมาด้วยรัสเซีย 14% และอังกฤษ 11% แทน ตัวเลขนี้ถือว่าน่าสนใจเพราะแนวโน้มหลังจาก Mirai ปรากฎตัวออกมา ก็มีผู้ประสงค์โจมตีระบบ IoT เกิดขึ้นจำนวนมากตามมา
แต่ตัวเลขเหล่านี้ไม่ได้บอกว่าประเทศใดเป็นผู้ที่มีประสงค์ร้ายแต่อย่างใด เพราะการโจมตีที่เกิดขึ้นจาก IP Address ในประเทศนั้นๆ จริงๆ แล้วอาจเป็นฝีมือของผู้โจมตีตัวจริงในประเทศอื่นที่เจาะช่องโหว่ของอุปกรณ์ IT ในประเทศนั้นๆ เพื่อนำไปโจมตีก็เป็นได้ ที่น่าสนใจก็คือประเทศไทยก็ติดอยู่ใน 50 อันดับแรกของบริษัทที่ทำการโจมตีผู้อื่นในไตรมาสที่ 3 โดย IP Address ที่นำไปใช้โจมตีผู้อื่นนั้นมาจาก TOT และติดอยู่ที่อันดับ 45 ของการสำรวจในครั้งนี้
รัสเซีย, สเปน, สหรัฐอเมริกาตกเป็นเป้าถูกโจมตี, Smart City เป็นเหยื่อชั้นดีของเหล่า Hacker
สำหรับผู้ที่ตกเป็นเป้าของการโจมตีในครั้งนี้อันดับหนึ่งทั้งในไตรมาส 3 และ 4 คือรัสเซียที่ส่วนแบ่ง 31%/40% ตามมาด้วยสเปนที่ 19%/20% และสหรัฐอเมริกาที่ 12%/13% จะเห็นได้ว่าเป้าหมายที่ถูกโจมตีนั้นไม่เปลี่ยนแปลงมากนัก แต่สิ่งที่ทำให้ทีมงาน F5 สงสัยก็คือ วัตถุประสงค์ในการโจมตีรัสเซียครั้งนี้คืออะไร?
ส่วนการโจมตีสเปนนั้น ทาง F5 คาดว่าอาจเป็นเพราะแนวโน้มการทำโครงการ Smart City ของสเปนนั้นกำลังเติบโต ซึ่งก็ทำให้สเปนมีการใช้งานอุปกรณ์ IoT เป็นจำนวนมากและตกเป็นเหยื่อได้ง่าย ในขณะที่สหรัฐอเมริกานั้นมีเป้าให้ถูกโจมตีเยอะมากอยู่แล้วจากการเป็นประเทศใหญ่และมีเทคโนโลยี IoT เกิดใหม่จำนวนมาก จากที่เราเห็นเป็นข่าวการถูกโจมตีบ่อยๆ นั่นเอง
สำหรับรายงานฉบับเต็มสามารถโหลดได้ที่ https://f5.com/labs/articles/threat-intelligence/ddos/the-hunt-for-iot-the-networks-building-death-star-sized-botnets-26796 เลยครับ
วงการ IoT ยังขาดการพัฒนาเทคโนโลยีที่ใส่ใจด้านความมั่นคงปลอดภัย มาตรฐานความมั่นคงปลอดภัยในเชิงกฎหมายระดับโลกคือสิ่งที่จำเป็น
ปัญหาส่วนใหญ่ที่เกิดขึ้นก้ับระบบ IoT ในทุกวันนี้ ก็คือการที่เหล่านักพัฒนานั้นยังไม่ได้ให้ความสำคัญกับความมั่นคงปลอดภัยเท่าที่ควร อีกทั้งยังขาดแคลนความรู้ในการจัดการให้อุปกรณ์ IoT, ระบบปฏิบััติการ หรือ Software ที่นำมาใช้งานมีความมั่นคงปลอดภัย ในขณะที่เหล่าผู้ใช้งานเองก็ยังขาดกระบวนการการทดสอบความมั่นคงปลอดภัยของอุปกรณ์ที่จะนำมาใช้งาน
ทางด้านภาครัฐ การออกกฎหมายหรือบังคับใช้มาตรฐานเพื่อเพิ่มความมั่นคงปลอดภัยนั้นก็ถือเป็นสิ่งสำคัญ แต่ก็ต้องศึกษาให้ดีเพื่อให้สิ่งที่บังคับใช้นั้นตรงกับประเทศใหญ่ๆ เพื่อไม่ให้กฎหมายกลายเป็นปัญหาที่ทำให้ภาคธุรกิจในแต่ละประเทศไม่สามารถเติบโตได้ไปเสียเอง
ประยุกต์ใช้การทำ Risk Assessment ในการเสริมความปลอดภัยให้ผลิตภัณฑ์ IoT
ทางคุณ David Holmes ได้แนะนำว่าเหล่าผู้พัฒนาโซลูชันทางด้าน IoT นั้น ควรนำหลักคิดของการทำ Risk Assessment มาใช้ในการพัฒนา โดยการวิเคราะห์ว่าอุปกรณ์ IoT ที่ตนเองพัฒนานั้นจะถูกโจมตีได้จากช่องทางใดบ้าง และสร้างความเสียหายได้มากน้อยเท่าใด รวมถึงมีโอกาสเกิดมากน้อยแค่ไหน และนำค่าเหล่านี้ไปวัดเป็นคะแนนว่าควรเริ่มต้นให้ความสำคัญแก้ไขปัญหาในประเด็นใดก่อน จนอุปกรณ์ IoT มีช่องโหว่น้อยที่สุด
อีกแนวทางหนึ่งที่น่าสนใจ คือการปรับ Best Practice ในการรักษาความมั่นคงปลอดภัยสำหรับ Web Application, Mobile Application และ Application ทั่วๆ ไปมาใช้กับโซลูชันทางด้าน IoT และคิดให้รอบคอบถึงระดับ Hardware เพิ่มด้วย ก็จะทำให้ระบบมีความมั่นคงปลอดภัยสูงขึ้นได้ รวมถึงการนำเทคโนโลยีพื้นฐานอื่นๆ ด้านความมั่นคงปลอดภัยมาใช้เสริม โดยเฉพาะเรื่องราวของการเข้ารหัสและการยืนยันตัวตนนั้นก็ถือเป็นสิ่งที่ควรพิจารณา
การออกแบบระบบให้มีเป็นแบบ Redundant และมีความทนทานสูง รวมถึงการคิดเผื่อกรณีที่บริการ IoT ถูก DDoS ได้โดยไม่ล่มนั้นก็ถือเป็นอีกประเด็นสำคัญที่เหล่าผู้พัฒนา IoT ต้องคิดเผื่อเอาไว้ด้วยเช่นกัน
นอกจากนี้ การคอยติดตามเทคโนโลยีและมาตรฐานใหม่ๆ ทางด้าน IoT ก็เป็นสิ่งที่ควรจะทำอย่างต่อเนื่อง เพราะในวงการนี้เริ่มตื่นตัวกันในประเด็นนี้แล้ว และเราอาจได้เห็นเทคโนโลยีหรือมาตรฐานใหม่ๆ ที่สามารถช่วยตอบโจทย์ด้านความมั่นคงปลอดภัยได้ดีขึ้นก็เป็นได้
อนาคตของ IoT แบบ Specific Purpose จะทำให้ช่องโหว่ที่ถูกโจมตีได้ลดน้อยลง
คุณ David Holmes ได้เล่าเสริมต่อไปว่าในอนาคต เมื่อโลกของ IoT ก้าวเข้าสู่ยุคของ Specific Purpose Hardware แล้ว อุปกรณ์ต่างๆ ที่มีส่วนประกอบน้อยลงนี้ก็จะมีช่องโหว่น้อยลงไปด้วย ทำให้การโจมตีค่อยๆ เกิดขึ้นได้น้อยลงในอนาคต โดยเฉพาะอุปกรณ์กลุ่มที่ทำหน้าที่วิเคราะห์ Artificial Intelligence (AI) หรือ Machine Learning ที่จะเน้นไปที่พลังในการประมวลผลข้อมูลเป็นหลัก เป็นต้น แต่ก็ต้องระวังไว้เช่นกันเพราะหากอุปกรณ์เหล่านี้ถูกเจาะระบบและเข้าควบคุมได้สำเร็จ อุปกรณ์ที่มีพลังประมวลผลมาก, มีความสำคัญต่อระบบอื่นๆ และมีข้อมูลที่อาจนำไปใช้โจมตีได้นี้ก็อาจกลายเป็นดาบสองคมได้เช่นกัน
AI และ Machine Learning กับคำถามถึงผลในการนำมาใช้งานจริงด้าน Cybersecurity
ในช่วงนี้เราอาจได้เห็นข่าวคราวการนำเทคโนโลยี AI และ Machine Learning มาใช้ในงานด้าน Cybersecurity มากขึ้นเรื่อยๆ แต่ทางคุณ David Holmes ยังมองว่าเป็นเรื่องใหม่ อาจต้องใช้เวลาในการติดตามกันไปอีกระยะหนึ่งว่าจะมีนวัตกรรมอะไรใหม่ๆ เกิดขึ้นมาจากเทคโนโลยีเหล่านี้บ้าง
Hybrid Cloud + Multi-Cloud = Shadow IT ปริมาณมหาศาลที่องค์กรต้องรับมือ
สำหรับการมาของ Hybrid Cloud และ Multi-Cloud นั้น คุณ David Holmes ได้ให้ความเห็นเอาไว้ว่าสองแนวโน้มนี้จะสร้างให้เกิดปัญหา Shadow IT ให้กับองค์กรมากขึ้นอย่างไม่เคยเป็นมาก่อน และองค์กรต้องเตรียมรับมือให้ดี เพราะ Cloud จะกลายเป็นเทคโนโลยีที่พนักงานทุกคนเข้าถึงได้ด้วยตนเอง และการใช้งาน Cloud โดยพนักงานแต่ละคนแต่ละแผนกที่องค์กรไม่สามารถควบคุมได้นี้ ก็จะทำให้เกิด Shadow IT ที่องค์กรไม่สามารถควบคุมการจัดการข้อมูลความลับสำคัญขององค์กรได้ต่อไป
F5 Networks เองก็มีแนวทางในการจัดการกับปัญหาเหล่านี้ด้วยการร่วมมือกับ Cloud Service Provider เพื่อทำหน้าที่เป็น Cloud Gateway กลางที่ช่วยทั้ง Optimize Traffic ให้มีคุณภาพมากยิ่งขึ้น, มีความมั่นคงปลอดภัยมากยิ่งขึ้น และสามารถติดตามการใช้ Cloud ของพนักงานภายในองค์กรได้เป็นอย่างดี โดยไม่มีข้อจำกัดว่าพนักงานจะย้ายไปใช้บริการ Cloud ของค่ายใดก็ตาม โดยโซลูชันนี้มีชื่อว่า F5 Cloud Application Connector นั่นเอง
SSL Decryption: อีกหนึ่งเทคโนโลยีที่องค์กรใช้ตรวจจับ Malware
อีกหนึ่งโซลูชันที่ได้รับความนิยมสูงเป็นอย่างมากของ F5 ที่ผ่านมานี้ก็คือโซลูชัน SSL Decryption สำหรับการถอดรหัสในระดับองค์กร ที่จะช่วยให้อุปกรณ์อย่าง Sandbox และ IDS/IPS สามารถตรวจจับภัยคุกคามที่แอบซ่อนตัวอยู่ภายใน Encrypted Traffic ขององค์กรได้ ซึ่ง F5 ที่มีเทคโนโลยีการเข้ารหัสและถอดรหัสประสิทธิภาพสูงก็จะรับหน้าที่การประมวลผลเหล่านี้ไป ก่อนจะส่งข้อมูลที่ถูกถอดรหัสแล้วไปทำการวิเคราะห์ และทำการเข้ารหัสกลับเข้าไปใหม่ก่อนจะส่งให้กับผู้ใช้งาน
แนวทางนี้ทำให้องค์กรต้องออกแบบพื้นที่เพิ่มเติมภายใน Data Center เป็นพื้นที่ที่เรียกว่า Decrypted Zone ซึ่งจะนำข้อมูลที่ถูกเข้ารหัสเอาไว้มาถอดรหัสออกอย่างปลอดภัย และเข้ารหัสกลับไปใหม่ก่อนส่งออกไปยังผู้รับปลายทาง
โซลูชันนี้ได้รับความนิยมอย่างมากในกลุ่มธุรกิจด้านการเงิน ที่ต้องการตรวจจับภัยคุกคามให้ได้มากที่สุดก่อนที่ปัญหาใดๆ จะเกิดขึ้นนั่นเอง
โซลูชันเด่นในเมืองไทย
สำหรับในประเทศไทย F5 นั้นมีลูกค้าหลักคือกลุ่มธุรกิจการเงิน ที่นำ F5 ไปใช้ทั้งในเชิงของ Application Delivery Controller, Web Application Firewall, DDoS Protection, SSL Decryption และ Cloud Security โดยทาง F5 ยังมีโซลูชันเฉพาะสำหรับทำ Fraud Detection ให้กับเหล่าธุรกิจการเงินโดยเฉพาะอีกด้วย
สุดท้ายนี้ทางทีมงาน TechTalkThai ต้องขอขอบคุณทาง F5 Networks Thailand ที่ให้โอกาสในการพูดคุยครั้งนี้ด้วยครับ