TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Radware ผู้นำในด้านโซลูชันด้านความมั่นคงปลอดภัยได้ออกรายงานวิเคราะห์ผลสถิติของปีที่ผ่านมา ซึ่งการที่ Radware ได้ให้บริการในประเทศต่างๆทั่วโลกทำให้พวกเขามองเห็นเทรนด์การโจมตีที่เกิดขึ้นภูมิภาคต่างๆ ที่นอกจากมีความซับซ้อนมากยิ่งขึ้นแล้ว เทคโนโลยีใหม่เองอย่าง AI และ API ยังได้กลายเป็นความเสี่ยงให้แก่องค์กร และโดยภาพรวมทั้งหมดนั้นมีแต่จะยิ่งทวีความรุนแรงขึ้นเรื่อย
ฉากทัศน์ของ DDoS ในสงครามไซเบอร์ทั่วโลก
DDoS Attack เป็นภัยคุกคามที่ยังคงดำเนินเรื่อยมา โดยการโจมตีของ DDoS สามารถกระทำได้หลายระดับชั้นตาม OSI Model คือ
1.) L7 DDoS Attack
การโจมตีระดับ L7 DDoS Attack เป็นวิธีการที่สร้างความซับซ้อนได้มากกว่า เพราะต้องประมวลผลในระดับชั้นที่สูงขึ้น ที่กลไกการป้องระดับ L3/L4 ไม่สามารถสกัดกั้นได้ แถมยังมีตัวแปรที่สามารถผสมผสานได้มากขึ้น จากรายงานของ Radware กล่าวถึงการโจมตี L7 DDoS Attack สองประเภท ดังนี้
- DNS DDoS Attack – การโจมตีที่บริการ DNS เป็นช่องทางการโจมตีแบบ L7 DDoS หนึ่งที่ได้รับความนิยมในครึ่งปีแรกของ 2024 ที่โตขึ้นกว่าปี 2023 โดยการทำ DNS Query Flood เพิ่มขึ้นถึง 87% ซึ่งองค์กรภาคการเงินเป็นเป้าอันดับหนึ่งต่อเนื่องจากปีก่อน ทั้งในแง่ปริมาณ(44%) ด้วยสถิติสูงสุดถึง 2.3 QPS(Query per second) ตามมาด้วยอุตสาหกรรมบริการสุขภาพที่ 13% และโทรคมนาคม 10% สื่อสาร 8% เท่ากันกับเกมและการพนัน 8% โดยในเชิงเทคนิคคนร้ายเลือกใช้ DNS-A record ในการตอบที่อยู่ IPv4 มากที่สุดถึง 97%
- Web DDoS Attack – เป็นช่องทางที่เพิ่มขึ้นถึง 550% จากปีก่อนหน้า อันที่จริงแล้วในปี 2023 มีช่องโหว่ HTTP/2 Rapid Reset ที่สนับสนุนงาน Web DDoS นับแต่นั้นบริการจ้างยิง DDoS ก็เน้น L7 DDoS Attack เพิ่มขึ้นจากระดับ Network เช่นกันในปี 2024 มีปัจจัยช่องโหว่ใหม่คือ HTTP/2 Continuation Flood ที่เร่งเร้าการโจมตีให้เพิ่มขึ้นต่อเนื่อง โดยมีการโจมตีถึง 4.4% ที่มีความรุนแรงเกิน 1 ล้าน RPS (request per second) จากปี 2023 ที่มีแค่ 2% ของการโจมตีทั้งหมด ไม่เพียงเท่านั้นเทรนด์ของปี 2024 คือมีการโจมตีด้วยอัตรา RPS ที่เข้มข้นมากขึ้นอย่างมีนัยสำคัญ โดยการโจมตีของ Web DDoS Attack จะหนักหน่วงที่สุดใน กลุ่มสหภาพยุโรป ตะวันออกกลาง และ แอฟฟริกา ซึ่งทั้งสามภูมิภาคมีสัดส่วนรวมกันถึง 78% ของทั้งโลก
สาเหตุที่ความหนักหน่วงรุนแรงของ Web DDoS Attack ตึงเครียดใน 3 ภูมิภาคข้างต้น เนื่องจากประเด็นความขัดแย้งและการเมือง เช่น การเลือกตั้งสหภาพยุโรป การจัดอีเว้นต์คอนเสิร์ตหรือกีฬาโอลิมปิก ในขณะที่ตะวันออกกลางความขัดแย้งของอิสราเอลและปาเลสไตน์ ส่งผลให้มีนักเคลื่อนไหวมากมายเข้าร่วมสร้างกลุ่มก้อนที่ร่วมมือกันเพื่อถล่มฝ่ายตรงข้าม อีกด้านหนึ่งแอฟริกาที่เริ่มขยายโครงสร้างดิจิทัลทำให้ตกเป็นเป้าต่อผู้ที่เห็นต่างการแย้งชิงดินแดน เช่น ธุรกิจไหนสนับสนุนรัฐบาลที่อีกฝ่ายไม่เห็นด้วย สำหรับภูมิภาคเอเชียที่มีสัดส่วนราว 8% ของ Web DDoS Attack แม้ตัวเลขจะไม่มากแต่ก็เพิ่มขึ้นจากปีก่อน ปัจจัยจากความขัดแย้งระหว่างจีนและไต้หวัน หรือ เกาหลีเหนือและใต้ ก็ครุกรุ่นนำพาไปสู่การโจมตี Web DDoS หรือการโจมตีทางไซเบอร์ต่างๆ
2.) Network DDoS
Network DDoS หรือการโจมตี L3/L4 ที่แม้จะไม่เติบโตโดดเด่นเหมือนกับการโจมตีระดับ L7 แต่มีความน่าสนใจคือวิธีการที่เปลี่ยนไปจากการเน้นเชิงปริมาณสู่แนวคิดในการเพิ่มความยาวนานมากขึ้น ที่เรียกว่า ‘Low & Slow’ โดยกลยุทธ์เช่นนี้จะช่วยให้การตรวจจับทำได้ยากขึ้นด้วย โดยในปี 2024 ท่ามกลางยุทธวิธี Network DDoS ที่เพิ่มขึ้น 3% กลับมีแนวทาง Low & Slow เพิ่มขึ้นถึง 38% และจากค่าเฉลี่ยระยะเวลายาวนานขึ้นถึง 2 เท่าจากปีก่อนหรือ 4.6 ชั่วโมงสู่ 9.7 ชั่วโมงในปี 2024
Radware ได้นำเสนอ Network DDoS เป็นการประเมินตามเชิงปริมาณ(Volume) และการคิดจำนวนของ Packet อันตราย ซึ่ง EU คือภูมิภาคอันดับหนึ่งในกิจกรรม Network DDoS เป็นอันดับหนึ่งทั้งแง่ของปริมาณ(44.5%) และ Packet(32.5%) แต่หากนับตามปริมาณเพียงอย่างเดียวอันดับ 2 และ 3 คือ อเมริกาเหนือ(21%) และโอเชียเนีย (14%) (เขตเกาะแถบตะวันออกนับรวมหลายประเทศทั้ง ออสเตรเลีย นิวซีแลนด์ และอื่นๆ) ในจำนวนของทราฟฟิคภูมิภาคตะวันออกกลางที่เป็นอันดับ 4 ในแง่ปริมาณ กลับรั้งอันดับ 2 เมื่อพูดถึงจำนวน Packet
สหรัฐและอิสราเอลคือผู้สร้างทราฟฟิค Network DDoS และยังเป็นปลายทางการโจมตีอันดับ 1 และ 2 หรือกล่าวคือทราฟฟิคโจมตีจากภายใน ร่วมถึงยังมีการส่งออกไปประเทศอื่นด้วย โดยผ่านทางผู้ให้บริการภาในประเทศ ประกอบกับโครงข่าย Botnet และ IoT ได้กลายเป็นแหล่งกำเนิดหรือจุดส่งต่อการโจมตีได้ง่าย แต่อันที่จริงแล้วความเป็นอเมริกาและอิสราเอลก็ดึงดูดการโจมตีอยู่แล้ว ในสถานการณ์ของสหราชอาณาจักรต้นตอทราฟฟิค Network DDoS ต่างออกไปตรงที่เป็นผู้สร้างแต่ไม่ได้เป็นเป้าใหญ่ กลับกลายเป็นอิตาลีที่เป็นเป้าหมายอันดับ 3 ที่รับแรงส่งของ Network DDoS มาจากสหรัฐฯ ไอร์แลนด์ และภายในประเทศ รวมถึงจีน
โทรคมนาคมเป็นธุรกิจอันดับหนึ่งที่ได้รับผลกระทบจาก Network DDoS ซึ่งนับเป็น 43% จากปริมาณทราฟฟิคอันตรายทั่วโลก ตามมาด้วยธุรกิจการเงิน 30% รองลงมาเป็นกลุ่มเทคโนโลยี 11% รั้งท้ายด้วยผู้ให้บริการและหน่วยงานภาครัฐ อย่างไรก็ตามสิ่งที่น่าสนใจคือแม้ธุรกิจอีคอมเมิร์ซและผู้ให้บริการจะไม่อยู่ในเป้าหมายต้นๆแต่สถิติก็ชี้ว่าปริมาณการโจมตีต่อเหยื่อเพิ่มขึ้นเกือบ 300% ในขณะที่โดยเฉลี่ยการปริมาณ Network DDoS โตขึ้นราว 120% กลับกันก็มีบางธุรกิจที่ถูกโจมตีน้อยลง เช่น ค้าปลีก ยานยนต์ ศาสนา การวิจัยและการศึกษา เป็นต้น
ในด้านเทคนิคเบื้องหลังของ Network DDoS ทาง Radware ได้สรุปเทคนิคที่คนร้ายนิยมในแง่ของปริมาณคือ UDP Fragment (52%), TCP 0ut-of-state (11.7%), UDP Flood (9.21%) อีกมุมหนึ่งเทคนิคเบื้องหลังการโจมตีที่นับตามจำนวน Packet ตกเป็นของ DNS-A Flood (19.3%), SYN Flood (17.8%), UDP Flood(13%) และ UDP Fragment (13%)
Web Application Attack ที่กำลังซับซ้อนขึ้นด้วย API
Web Application ในปัจจุบันได้อาศัยสิ่งที่เรียกว่า API ช่วยในการทำงานร่วมกันของฟังก์ชันหรือระหว่างธุรกิจ ซึ่งความซับซ้อนก็คือ API ยังกลายเป็นช่องทางที่ทำให้คนร้ายสามารถแฝงตัวได้อย่างแนบเนียน ด้วยปัญหาจาก API ที่ถูกสร้างขึ้นแต่ไม่ได้ทำบันทึกหรือขาดการดูแลอย่างต่อเนื่อง นั่นทำให้คนร้ายสามารถใช้งาน API เพื่อเข้าถึงข้อมูลได้อย่างลับๆ นี่คือความท้าทายใหม่ของ Web Application
โดยจากสถิติการโจมตีในด้าน Web Application Attack & API ได้สะท้อนให้เห็นถึงกลุ่มเป้าการโจมตีในประเทศที่ก้าวหน้า ซึ่ง 66% เป็นของทวีปอเมริกาเหนือ และอีก 26% อยู่ในกลุ่ม EMEA (ยุโรป ตะวันออกกลาง และแอฟริกา) ซึ่งโดยภาพรวมแล้ว Radware สังเกตเห็นถึงการเติบโตขึ้นอย่างต่อเนื่องที่ 41% จากปี 2023 และจากการที่ Radware ได้เพิ่มกลไกการป้องกัน Web DDoS อัตโนมัติทำให้การโจมตีประเภท Web Application เหลือเพียงการโจมตีจากช่องโหว่ที่ 34.5% ตามมาด้วยการละเมิดการเข้าถึง เพราะสามารถค้นหาเจอแหล่งเก็บข้อมูล ไดเรกทอรี ไฟล์ เช่น ข้อมูลสำรองเก่า ไฟล์คอนฟิกระบบ หรือเอกสารที่ยังไม่เผยแพร่ เป็นต้น
ความท้าทายของ Bot และ AI
บอทเป็นปัญหาที่ดำเนินมาอย่างต่อเนื่องมาหลายปี และสำหรับปี 2024 ปริมาณทราฟฟิคของบอทไม่ดียังเพิ่มขึ้น 35% โดยมีความสอดคล้องกับช่วงแคมเปญการตลาดอย่าง Black Friday หรือฤดูลดกระหน่ำราคาสินค้าส่งท้ายช่วงเวลาต่างๆ โดยเมื่อกิจกรรมออนไลน์เยอะขึ้นกิจกรรมของบอทก็เพิ่มขึ้นด้วย และภูมิภาคอเมริกาเหนือนับเป็นอันดับหนึ่งของทราฟฟิคบอทที่ 50% ตามมาด้วย EMEA 20% และ APAC 16.6%
อย่างไรก็ตามต้องยอมรับว่าบอทมีทั้งดีและไม่ดี เช่น บอทเพื่อการส่งเสริม SEO บอทดีอ่านคอมเม้นต์โซเชียลมีเดียนำไปปรับปรุงสินค้า หรือบอทไม่ดีที่มาจากการขโมยบัญชี ดูดข้อมูลไปทำเว็บปลอม บอทที่เผยแพร่ข้อมูลปลอมในโลกออนไลน์ หรือบอททางการตลาดที่พยายามเข้ากวาดข้อมูลผลิตภัณฑ์และบริการต่างๆ ทั้งนี้ในยุคของ AI ยังนำมาซึ่งบอทที่อยู่ระหว่างความถูกต้องและชั่วร้าย(Grey Bot) เช่น บอทที่เข้ามาแอบดูดข้อมูลไปใช้เทรนโมเดล AI แต่ไม่ได้มีการขออนุญาตจากเจ้าของข้อมูล นี่คือความท้าทายของประเด็นเรื่องบอทที่องค์กรต้องจำแนกความต่างระหว่างทราฟฟิคให้ได้
รายงานจาก Radware ยังได้กล่าวถึงประเด็นของการใช้ AI ในด้านที่ไม่ดี เช่น การสร้างเนื้อหาจูงใจในแคมเปญหลอกลวง แม้กระทั่งการปลอมแปลงวีดีโอที่แนบเนียนด้วย Deepfake ทั้งนี้สิ่งที่น่าสนใจคือ AI ยังเสริมสมรรถนะให้แก่ผู้ไม่หวังดีได้อีกมากมาย ไม่ว่าจะเป็นการค้นหาจุดอ่อนได้ต่อเนื่องและช่วยเร่งกระบวนการการโจมตี แม้กระทั่งโมเดล Generative AI ดัดแปลงในอีกมุมให้ช่วยพัฒนาโค้ดมัลแวร์ หรือสร้างแคมเปญหลอกลวงได้ ซึ่งนี่คือเหรียญอีกด้านของ AI กระนั้นเองตัวโมเดล AI เองยังกลายเป็นจุดอ่อนที่นำไปสู่การเปิดเผยข้อมูล โดยมีวิธีการมากมายที่สามารถโจมตีตัวโมเดลได้
แรงสนับสนุนจากเทคโนโลยี และ พฤติกรรมของผู้โจมตี
ฉากทัศน์การโจมตีทางไซเบอร์จะยังไม่สมบูรณ์ หากไม่มีการกล่าวถึงปัจจัยด้านเทคโนโลยีที่ส่งเสริมต่อการโจมตี แรงจูงใจ และพฤติกรรมของผู้โจมตี โดยในมุมของ DDoS บริการรับยิงจ่ายจบหรือที่เรียกว่า DDoS as a Service ได้เฟื่องฟูขึ้นมาก เนื่องด้วยปัจจัยของการโจมตี L7 ที่รุนแรงมากขึ้น อีกแง่หนึ่งคือความง่ายในการเข้าถึงและใช้งานบริการเหล่านี้กำลังดีขึ้นกว่าในอดีต เรียกได้ว่าไม่ว่าใครก็สามารถใช้บริการได้ นอกจากนี้แพลตฟอร์มการสื่อสารอย่าง Telegram ก็เป็นช่องทางที่ส่งเสริมกิจกรรมร้ายๆได้เช่นกัน ด้วยฟีเจอร์การเข้ารหัสที่ช่วยปิดบังการสื่อสาร หรือช่องทางการใช้จ่ายแบบคริปโต รวมไปถึงบอทพร้อมใช้งาน กลายเป็นว่าผู้ใช้งานสามารถจ่ายเงินเพื่อดำเนินการได้ง่ายๆ กำหนดเงื่อนไขเวลากระทำการ และทุกอย่างเป็นความลับ
แนวโน้มของการโจมตี DDoS ยังเกิดจากการจับมือกันจากหลายกลุ่มที่มีเป้าหมายเดียวกัน นั่นส่งเสริมให้แคมเปญการโจมตีที่มีเทคนิคผสมผสานยกระดับความประสิทธิภาพของการโจมตี นอกจากนี้ยังมีกิจกรรมทางการเมืองหรือความขัดแย้งเพิ่มขึ้นในภูมิภาคต่างๆรอบโลก โดยกล่าวได้ว่านักเคลื่อนไหวถือเป็นตัวแปรหลักจากอุดมการณ์ทางการเมือง เชื้อชาติ ศาสนา และความขัดแย้งระหว่างประเทศ
บทบาทของ Radware Cloud ในการป้องกันการโจมตี
จะเห็นได้ว่าการ DDoS Attack ยังคงมีอยู่รวมถึงเติบโตมากขึ้นด้วย รวมถึงมีการเปลี่ยนกลยุทธ์เพื่อให้ตรวจจับได้ยากขึ้น ซึ่งการโจมตีระดับ L7 ที่มีความซับซ้อนกำลังเพิ่มจำนวนขึ้นเรื่อยๆ และมีอัตราการโจมตีที่เข้มข้นอย่างที่ไม่เคยมีมาก่อน ประเด็นคือความซับซ้อนนี่ยังเป็นเรื่องท้าทายในด้านการป้องกันเพราะต้องมีการประมวลผลอย่างหนักหน่วง สนใจติดตามเทคนิคการโจมตี Web DDoS เพิ่มเติมได้ที่ https://www.techtalkthai.com/learn-about-rippersec-ddos-attack-tool-megamedusa-by-radware/
กลางปี 2024 โซลูชัน Radware Cloud DDoS Protection ได้ช่วยให้ลูกค้ากลุ่มธุรกิจการเงินในตะวันออกกลางให้รอดพ้นจากการโจมตีด้วย Web DDoS กว่า 10 ระลอกที่มีระยะเวลากว่า 100 ชั่วโมงตลอดความกดดัน 6 วัน โดยมีสถิติสุดสุดที่ 14.7 ล้านการร้องข้อต่อวินาที (RPS) ด้วยความสามารถในการสร้าง Signature เพื่อตอบโต้การโจมตีได้แบบทันทีซึ่งเป็นสิทธิบัตรของ Radware รวมถึงการโจมตีด้วยอัตรา 16 ล้านการร้องข้อต่อวินาที (RPS) ในเดือนตุลาคม ต่อสถาบันการเงินในตะวันออกกลาง
Radware ยังมีโซลูชันอีกหลายตัวที่ช่วยในการป้องกันภัยคุกคามทางไซเบอร์อีกมากมาย เช่น Bot Manager, API Protection, Cloud WAF และ WAAP ซึ่งผู้สนใจโซลูชันจาก Radware สามารถติดต่อเพื่อขอข้อมูลเพิ่มเติมได้ที่
Radware Sale Director
Atichart Wala (Paint)
โทร: 094-594-4639
อีเมล: atichartw@radware.com
