ทางทีมงาน TechTalkThai ได้มีโอกาสเข้าร่วมงานแถลงข่าว "แนวโน้มภัยคุกคามทางไซเบอร์ในปี 2561" จาก Trend Micro ประเทศไทย ซึ่งในงานนี้เราได้รับเกียรติจาก คุณ วุฒิไกร รัตนไมตรีเกียรติ ที่ปรึกษาด้านโซลูชันความมั่งคงปลอดภัยทางไซเบอร์ และ คุณ ปิยธิดา ตันตระกูล ผู้จัดการประจำประเทศไทย มาเป็นผู้บรรยายในครั้งนี้ เราจึงขอสรุปภาพรวมมุมมองของ Trend Micro ในด้านความมั่งคงปลอดภัยมาให้ได้ติดตามกัน
"การโจมตีมักเริ่มจากช่องโหว่เล็กๆ ไม่ว่าจาก คน เทคโนโลยี หรือกระบวนการปฏิบัติงาน หากปราศจากซึ่งช่องโหว่ไม่ว่าการโจมตีมีเทคนิคขั้นสูงหรือความรุนแรงขนาดไหนย่อมไร้ผล แต่ไม่มีทางที่ระบบใดๆ จะไร้ซึ่งช่องโหว่" — คุณ วฒิไกร ได้กล่าวเอาไว้ โดยทางบรฺิษัท Trend Micro ได้มีทัศนะ 7 ข้อเกี่ยวภัยคุกคามไซเบอร์ในปีหน้าดังนี้
- Ransomware จะยังมีต่อไป
- สาเหตุมาจากในเว็บใต้ดินมีการขายบริการ Ransomware (RaaS) ซึ่งหาได้ง่ายและมีราคาถูกทำให้ผู้พัฒนาสามารถทำมาต่อยอดจากของเดิมได้ง่าย อีกสาเหตุหนึ่งคือเทคโนโลยี Crytocurrency ที่ทำให้การจ่ายเงินเรียกค่าไถ่ติดตามผู้ร้ายได้ยาก
- การแพร่กระจายยังคงอาศัยการส่งผ่านอีเมลเพื่อหลอกล่อผู้ใช้งานเป็นหลัก
- เป้าหมายใหม่ที่อาจจะตกเป็นเหยื่อ เช่น Smart Device ต่างๆ เพราะราคาแพงที่คุ้มต่อการจ่ายเงินค่าไถ่หรือองค์กรที่ต้องเกี่ยวข้องกับกฏหมาย GDPR เพราะบทปรับของกฏหมายมีราคาแพงมากเมื่อเทียบกับการยอมจ่ายค่าไถ่ให้ผู้ร้าย
- วิธีการป้องกันคือต้องมีระบบป้องกันหลายระดับ เช่น Web, Email, Network, Server, Endpoint เป็นต้น
- อุปกรณ์ IoT จะถูกโจมตีมากขึ้นทั้งทางตรงและทางอ้อม
- สาเหตุคืออุปกรณ์ IoT ส่วนใหญ่เปิดให้เข้าถึงจากภายนอกได้ เช่น IP Camera, Smart Device, Router ดังนั้นจึงเป็นช่องทางที่ดีในการเข้าถึงผู้ใช้งาน
- เป้าหมายของการโจมตีคือ การใช้อุปกรณ์เป็นฐานในการโจมตีแบบ DDoS การขโมยข้อมูลส่วนตัวจำพวกโลเคชันของผู้ใช้จากมือถือ นาฬิกา หรืออื่นๆ การขโมยอุปกรณ์โดยการ Hijack ระบบควบคุม Drone ท้ายที่สุดอาจจะใช้อุปกรณ์ IoT เป็น Proxy เพื่อปกปิดร่องรอยการโจมตีแห่งอื่นๆ เพื่อให้ไม่สามารถติดตาม IP address กลับไปยังแฮ็กเกอร์ได้
- วิธีการป้องกัน ฝั่งผู้ใช้งานควรจะเปลี่ยน Default Password ใหม่และแข็งแรง ฝั่งอุปกรณ์เองควรจะเลือกผู้ผลิตที่มีความมั่นคงปลอดภัย และสุดท้ายที่ตัวผู้พัฒนาซอฟต์แวร์เองควรจะออกแบบความมั่นคงปลอดภัยตั้งแต่ต้นไม่ใช่มาเพิ่มฟังก์ชันในภายหลัง
- การเจาะระบบอีเมลระดับองค์กร
- วิธีการ คือแฮ็กเกอร์ต้องเจาะระบบในองค์กรเสียก่อนด้วยทางใดทางหนึ่ง จากนั้นเข้าไปดักจับแก้ไข เปลี่ยนแปลงข้อมูลในอีเมลหรือ Transaction การเงินเพื่อให้ได้รับสินค้าหรือเงิน
- วิธีการป้องกัน องค์กรควรจะมีโซลูชันเพื่อลดความเสี่ยงของภัยคุกคามและนอกจากนี้ควรจะมีกระบวนการให้ผู้ใช้แจ้งเตือนเมื่อพบกับอีเมลที่ต้องสงสัยว่าต้องแจ้งไปที่ไหนและอย่างไร
- วิกฤตการณ์ข่าวปลอมหรือ Cyber Propaganda
- เป้าหมาย คือสร้างกระแสโดยการทำให้ Ranking ข่าวที่ปลอมขึ้นมานั้นค่าสูง โดยอาจจะใช้ปั่นป่วนในประเทศที่จะมีการเลือกตั้ง
- วิธีการป้องกัน ทำได้โดยใช้โซลูชันด้าน Web, Endpoint และ Mobile ที่สามารถตรวจจับ IP แหล่งที่มาว่าน่าเชื่อถือแค่ไหน ฝั่งผู้ใช้เองควรจะมีวิจารณญานในการรับชมและมี Awareness ในด้านความมั่นคงปลอดภัย
- Machine Learning และ Blockchain
- Machine Learning ออกแบบมาให้ทำงานที่ซ้ำซากจำเจ แต่อย่างไรก็ตามความแม่นยำของตัวมันนั้นก็ขึ้นกับข้อมูลที่ใช้เรียนรู้และมีความเป็นไปได้ว่ามันอาจจะถูกทำให้ผิดพลาดด้วยการป้อนข้อมูลผิดๆ ดังนั้นมันอาจจะทรงพลังแต่ก็ไม่อาจมาแทนระบบป้องกันด้านความมั่นคงปลอดภัยด้านไซเบอร์ได้ทั้งหมด
- เทคโนโลยี Blockchain ได้ทำให้เกิดสกุลเงินดิจิตัลต่างๆ ด้วยจุดนี้เองแม้ว่าตัวอัลกอรึทึมเองจะยังมีความมั่นคงปลอดภัยแต่แฮ็กเกอร์ก็สามารถเจาะเข้าไปทางอื่นได้ เช่น Wallet ของผู้ใช้เป็นต้น
- องค์กรไม่ตื่นตัวกับ GDPR เท่าไหร่นัก
- แม้ว่าภายในปีหน้านี้เองจะมีกฏหมาย GDPR ที่ว่าด้วยการปกป้องข้อมูลผู้ใช้งานซึ่งระบุว่าข้อมูลชนิดใดจะถูกป้อง แต่ผลสำรวจกลับพบว่าบริษัทในยุโรปกว่า 2 ใน 3 ยังไม่ได้ทำอะไรจริงจัง อีก 44% ยังไม่ทราบว่าต้องทำอะไรอย่างไร ซึ่งมีเพียง 34% ที่เริ่มลงมือทำแล้ว แม้ว่าประเทศที่ไม่อยู่ในยุโรปโดยตรงแต่หากต้องมีการค้าขายกับประเทศเหล่านี้ที่บังคับใช้ GDPR คู่ค้าก็ต้องยอมรับกฏหมายโดยปริยาย
- วิธีการเตรียมตัว ใช้การเข้ารหัสข้อมูลมือถือหรือคอมพิวเตอร์ เพื่อว่าหากอุปกรณ์หายข้อมูลก็จะไม่รั่วไหลออกไป ใช้โซลูชัน DLP เพื่อตรวจสอบว่าการใช้งานข้อมูลนั้นๆ ปกติแล้วควรทำอะไรได้หรือไม่ได้บ้าง สุดท้ายการใช้งาน Cloud ต้องจัดเก็บอย่างไรเพื่อให้มั่นคงปลอดภัย
- แอปพลิเคชันระดับองค์กรหรือโรงงานมีความเสี่ยง
- เมื่อก่อนจักรกลในโรงงานต้องเข้าถึงที่หน้างานเท่านั้น แต่ปัจจุบันมีคอนเซปต์ที่เรียกว่า Digital Twin ซึ่งหมายความว่าจักรกลเหล่านั้นสามารถควบคุมด้วยซอฟต์แวร์ได้ (เหมือนมีอีกตัวตนหนึ่งบนดิจิตัล) ทำให้มีความเสี่ยงที่แฮ็กเกอร์จะโจมตีแบบ Remote เพื่อเข้าควบคุมจักรกลเหล่านั้น นอกจากนี้แอปพลิเคชันในระดับองค์กรอย่าง SAP ก็ตกเป็นเป้าด้วยเช่นกัน
- วิธีการป้องกัน จากผลสำรวจของ Trend Micro พบว่าภัยเหล่านี้มักเริ่มต้นที่ End User ดังนั้นควรจะมีโซลูชันป้องกัน Browser เช่น JavaScript เป็นต้น หรือการแชร์ไฟล์อย่าง SMB โปรโตคอล
ภาพรวมของโซลูชันเพื่อป้องกันภัยคุกคามควรจะทำดังนี้
- ระบบป้องกันสามารถสแกนค้นหาภัยคุกคามได้แบบ Real-time
- ต้องมีการตรวจสอบความน่าเชื่อถือของเว็บไซต์และไฟล์ เช่น ไฟล์นั้นมีมานานขนาดไหนแล้วน่าเชื่อถือมากน้อยเพียงใด
- สามารถวิเคราะห์พฤติกรรมของภัยเหล่านั้นได้ เช่น การตรวจสอบ Runtime ของโปรแกรม
- ใช้ Machine Learning ที่มีความแม่นยำสูงเพื่อช่วยตรวจสอบภัยคุกคามแบบ Known หรือ Unknown
- มีระบบตรวจสอบป้องกันพฤติกรรมที่ฝั่งปลายทางว่ามีกิจกรรมไหนที่น่าสงสัย
- แนวทางปฏิบัติสำหรับผู้ใช้งาน คือ เปลี่ยนรหัสผ่านและตั้งรหัสให้แข็งแรง ตั้งค่าอุปกรณ์ให้มั่นคงปลอดภัย อัปเดตแพตซ์สม่ำเสมอ มี Awareness รู้ทันการโจมตีแบบ Social Engineering
นอกจากนี้คุณ ปิยธิดา ยังได้กล่าวถึง 7 สิ่งที่ Trend Micro จะบอกกับผู้ใช้ในปี 2018 ว่า
- ระบบการป้องกันภัยคุกคามควรจะวิเคราะห์และตรวจจับได้ภัยคุกคามได้อย่างรวดเร็ว
- เทคโนโลยีในด้านความมั่นคงปลอดภัยไซเบอร์ควรจะมีความฉลาดมากขึ้นด้วย Machine Learning
- ระบบป้องกันภัยคุกคามบนฝั่ง Server จะต้องถูกออกแบบมาเพื่อการนั้นโดยเฉพาะไม่ว่าจะเป็น Cloud หรือ On-premise ก็ตาม
- ระบบป้องกันมีฐานข้อมูลดีพอหรือไม่ รวมถึงสามารถป้องกันภัยแบบ APT ได้หรือยัง
- โซลูชันที่ใช้ในองค์กรควรจะสามารถทำงานร่วมกันได้อย่างมีประสิทธิภาพเนื่องจากในองค์กรมักมีผลิตภัณฑ์จากผู้ผลิตหลายเจ้า
- หากสามารถทำงานร่วมกันได้แล้วจะจัดการได้จากที่เดียวกันเพื่อความง่ายในสำหรับใช้งานหรือไม่ เช่น อยู่บนหน้า Dashboard เดียวกัน
- ยิ่งเทคโนโลยีพัฒนาขึ้นเท่าไหร่ เช่น IoT Cloud หรือ Blockchain ภัยคุกคามก็ถูกพัฒนาให้ซับซ้อนขึ้นตามตลอดเวลา ดังนั้นผู้ใช้งานเองก็ควรจะมี Awareness ในด้าน Security ด้วยเช่นกัน
