'ฟอร์ติเน็ต' คาดการณ์ภัยคุกคามปี 2024 ที่ต้องจับตามอง

'ฟอร์ติเน็ต' คาดการณ์ภัยคุกคามปี 2024 ที่ต้องจับตามอง

"ฟอร์ติเน็ต" คาดการณ์ภัยคุกคามปี 2024 แฮกเกอร์โจมตี "ง่าย" ขึ้น ด้วย AI แบบลูกโซ่ พร้อมบริการ Cybercrime-as-a-Service ที่เพิ่มความซับซ้อนในการโจมตีได้ดี

การเติบโตของปฏิบัติการ อาชญากรรมทางไซเบอร์ ในรูปการบริการ หรือ Cybercrime-as-a-Service (CaaS) รวมถึงการเกิดขึ้นของ Generative AI ทำให้ผู้ก่อภัยคุกคามมีตัวช่วยให้ทำงาน "ง่าย" ยิ่งขึ้นเพียงแค่ปลายนิ้วสัมผัส ซึ่งช่วยให้การโจมตีง่ายดายกว่าที่ผ่านมา รวมถึงการใช้เครื่องมือต่างๆ ที่มีประสิทธิภาพสูงขึ้น ทำให้กลุ่มผู้ไม่ประสงค์ดีสามารถเพิ่มความซับซ้อนในการโจมตีได้ดี เจาะจงเป้าหมายได้มากขึ้นและปกปิดตัวตนได้ดีขึ้น โดยเป็นการออกแบบเพื่อให้สามารถหลบหลีกมาตรการควบคุมความปลอดภัยที่แข็งแกร่ง และดำเนินการได้คล่องตัวมากขึ้นด้วยการทำให้ยุทธวิธีในการโจมตีทั้งหมดมีประสิทธิภาพมากยิ่งขึ้น

ในรายงานการคาดการณ์ภัยคุกคามปี 2024 ทีมทำงานจาก FortiGuard Labs ของ "ฟอร์ติเน็ต" ได้มองไปสู่ยุคใหม่ของอาชญากรรมทางไซเบอร์ขั้นสูง โดยตรวจสอบว่า AI กําลังเปลี่ยนเกมการโจมตีไปสู่รูปแบบใด พร้อมให้แนวโน้มภัยคุกคามใหม่ที่ต้องจับตามองทั้งในปีนี้และปีต่อๆ ไป รวมถึงให้คำแนะนำแก่องค์กรธุรกิจถึงวิธีการเสริมสร้างความยืดหยุ่น เพื่อรับมือกับ ภัยคุกคามทางไซเบอร์ ที่มีพัฒนาการก้าวหน้าตลอดเวลา

วิวัฒนาการของภัยคุกคามที่นิยมใช้มานาน

ทีมงานได้เฝ้าสังเกต พร้อมทั้งแลกเปลี่ยนความคิดเห็นเกี่ยวกับยุทธวิธีการโจมตีซึ่งเป็นที่นิยมใช้มานานหลายปี และได้รวบรวมหัวข้อเหล่านี้ไว้ในรายงานฉบับก่อนหน้า ซึ่งการโจมตีด้วยวิธีการ "คลาสสิก" ยังไม่ได้หายไปไหน ขณะเดียวกันก็มีการพัฒนาและความก้าวหน้ามากขึ้น เพราะผู้โจมตีสามารถเข้าถึงทรัพยากรใหม่ๆ ได้ ยกตัวอย่างเรื่องของอาชญากรรมทางไซเบอร์ขั้นสูงที่โจมตีต่อเนื่อง (Advanced Persistent Cybercrime) เราคาดการณ์ว่าจะมีกิจกรรมการโจมตีเพิ่มขึ้นในกลุ่มที่เป็นภัยคุกคามต่อเนื่องขั้นสูง (APT) นอกจากวิวัฒนาการในการโจมตีแบบ APT แล้ว ยังคาดว่าในกลุ่มอาชญากรรมทางไซเบอร์โดยทั่วไปจะปรับเปลี่ยนเป้าหมายและวิธีการโจมตี โดยมุ่งเน้นการโจมตีโดยใช้วิธีการที่ซับซ้อนและสร้างความเสียหายมากขึ้น อีกทั้งยังพุ่งเป้าไปที่การทำให้ระบบให้บริการไม่ได้ (denial of service) รวมถึงการขู่กรรโชกทรัพย์

"สงครามแย่งชิงอาณาเขต" ของอาชญากรรมทางไซเบอร์ยังคงดำเนินต่อไป ผู้โจมตีหลายกลุ่มต่างพุ่งไปยังเป้าหมายเดียวกันและนำแรนซัมแวร์หลากหลายรูปแบบมาใช้ บ่อยครั้งการโจมตีจะเกิดขึ้นภายใน 24 ชั่วโมง หรือน้อยกว่านั้น ในความเป็นจริง ยังสังเกตเห็นกิจกรรมการโจมตีรูปแบบดังกล่าวเพิ่มขึ้น อย่างที่ FBI ได้ออกคําเตือน ไปยังองค์กรต่างๆ เกี่ยวกับเรื่องนี้มาตั้งแต่ช่วงต้นปี

อีกเรื่องที่ไม่ควรลืมคือ วิวัฒนาการของ Generative AI การนำ AI ไปใช้เป็นอาวุธเพื่อการโจมตี ถือเป็นการเติมเชื้อเพลิงให้กับกองไฟที่กำลังลุกโชน ด้วยการหยิบยื่นวิธีการง่ายๆ ให้ผู้โจมตีได้ใช้ เพื่อยกระดับการโจมตีในหลายขั้นตอน ซึ่งจากที่เคยคาดการณ์ไว้ในอดีต เรากำลังได้เห็น อาชญากรทางไซเบอร์ นำ AI มาใช้สนับสนุนกิจกรรมประสงค์ร้ายด้วยวิธีใหม่ๆ กันมากยิ่งขึ้น ไม่ว่าจะเป็นการหลบเลี่ยงการตรวจจับความพยายามในการหลอกลวงโดยใช้จิตวิทยาทางสังคม หรือ Social Engineering ไปจนถึงการเลียนแบบพฤติกรรมมนุษย์ เป็นต้น

แนวโน้มภัยคุกคามใหม่ล่าสุด ที่น่าจับตามองในปี 2024 และปีต่อๆ ไป

ในขณะที่อาชญากรไซเบอร์มักจะอาศัยยุทธวิธีและเทคนิคที่เคยลองแล้วได้ผลดีมาตลอด มาใช้หาเงินอย่างรวดเร็ว ปัจจุบันบรรดาผู้โจมตีมีเครื่องมือมากมายที่พร้อมนำมาใช้สนับสนุนการโจมตี และเมื่ออาชญากรรมทางไซเบอร์มีการพัฒนาอย่างต่อเนื่อง เราคาดการณ์ว่าจะได้เห็นแนวโน้มใหม่อีกหลายอย่างเกิดขึ้นในปี 2024 และปีต่อๆ ไป และนี่คือภาพส่วนหนึ่งที่คาดว่าจะเกิดขึ้น

  • แผนการโจมตีเหนือชั้น : ในช่วงไม่กี่ปีที่ผ่านมา การโจมตีด้วยแรนซัมแวร์ทั่วโลกเพิ่มสูงขึ้นอย่างรวดเร็ว ทําให้องค์กรทุกแห่งไม่ว่าขนาดเล็กหรือใหญ่ หรือไม่ว่าอุตสาหกรรมใดก็ตาม ต่างตกเป็นเป้าหมายการโจมตีทั้งสิ้น อย่างไรก็ตาม ขณะที่อาชญากรไซเบอร์จำนวนมากใช้แรนซัมแวร์ในการโจมตีเพื่อกอบโกยรายได้ กลุ่มอาชญากรรมต่างๆ กำลังละความสนใจอย่างรวดเร็วจากกลุ่มเป้าหมายขนาดเล็กและโจมตีง่าย เมื่อมองไปข้างหน้า เราคาดการณ์ว่าผู้โจมตีทั้งหลายจะหันมาใช้กลยุทธ์ "มุ่งเป้าหมายใหญ่ แล้วไปให้สุด" โดยหันมามุ่งเป้าอุตสาหกรรมหลักสำคัญอย่าง การแพทย์-สาธารณสุข การเงิน การขนส่ง ไปจนถึงสาธารณูปโภค ซึ่งหากอุตสาหกรรมเหล่านี้ถูกโจมตีจะส่งผลกระทบที่รุนแรงต่อสังคม ทําให้ผู้โจมตีได้รับผลตอบแทนมหาศาล และผู้โจมตีก็จะขยายแผนการโจมตี ด้วยการสร้างกิจกรรมการโจมตีที่เน้นตัวบุคคลมากขึ้น รุนแรงขึ้น และทำลายล้างมากขึ้น
  • ยุคใหม่ของ Zero Days : ขณะที่องค์กรธุรกิจต่างขยายไปสู่การใช้งานแพลตฟอร์ม แอปพลิเคชัน และเทคโนโลยีต่างๆ มากมาย เพื่อการดำเนินงานในทุกวัน อาชญากรไซเบอร์เองก็มีโอกาสมากเป็นพิเศษที่จะค้นพบช่องโหว่และใช้ประโยชน์จากช่องโหว่เหล่านี้ เราสังเกตเห็นการโจมตีแบบ Zero Days จำนวนมากที่มีการบันทึกไว้ รวมถึงช่องโหว่ด้านความปลอดภัยที่ได้มีการเปิดเผยสู่สาธารณะ หรือ Common Vulnerabilities and Exposures (CVEs) ที่เกิดขึ้นในปี 2023 ซึ่งยังคงมีปริมาณเพิ่มขึ้นอย่างต่อเนื่อง เนื่องจากช่องโหว่ Zero Days มีค่าอย่างยิ่งสำหรับบรรดาผู้โจมตี เราคาดว่าจะได้เห็นนายหน้า หรือโบรกเกอร์ของ Zero Days ซึ่งเป็นกลุ่มอาชญากรที่นำเอา Zero Days ไปขายในตลาดมืด (Dark Web) ให้กับผู้ซื้อจำนวนมาก ในชุมชน CaaS ขณะเดียวกัน ช่องโหว่แบบ N-day ก็ยังคงเป็นความเสี่ยงสำคัญต่อองค์กรเช่นกัน
  • การใช้กลยุทธ์ปรับเปลี่ยนตามเกม : หลายองค์กรกำลังยกระดับการควบคุมความปลอดภัยพร้อมกับนำเทคโนโลยีและกระบวนการใหม่ๆ มาช่วยเสริมการป้องกันให้แข็งแกร่ง การยกระดับการควบคุมนี้สร้างความลำบากให้กับผู้โจมตีในการแทรกซึมสู่เครือข่ายจากภายนอก ดังนั้นอาชญากรไซเบอร์จึงต้องหาวิธีการใหม่ๆ ในการเข้าถึงเป้าหมาย โดยในเรื่องนี้เราคาดการณ์ว่าผู้โจมตีจะใช้วิธีเปลี่ยนกลยุทธ์ตามเกมการป้องกัน ไม่ว่าจะเป็นการศึกษาสภาพแวดล้อมโดยรอบ และการใช้ข้อมูลหรือเทคโนโลยีเพื่อสร้างความเสียหาย ไปพร้อมกับกลุ่มคนที่สรรหามาร่วมงานจากภายในองค์กรเป้าหมายด้วยวัตถุประสงค์เพื่อเข้าถึงภายในองค์กรให้ได้ก่อน
  • มุ่งโจมตีด้วย "กิจกรรมมวลชน" (We the People Attacks) : ในอนาคต เราคาดว่าจะเห็นผู้โจมตีใช้ประโยชน์จากเหตุการณ์ทางการเมืองและโอกาสที่ขับเคลื่อนโดยอีเวนต์ต่างๆ อาทิ การเลือกตั้งประธานาธิบดีสหรัฐอเมริกาในปี 2024 และการแข่งขันกีฬาโอลิมปิกที่ปารีสในปี 2024 ในขณะที่ฝ่ายตรงข้ามมุ่งเป้าไปที่อีเวนต์สำคัญๆ อาชญากรไซเบอร์ในปัจจุบันก็มีเครื่องมือใหม่ๆ เพื่อการใช้งาน โดยเฉพาะอย่างยิ่งคือ AI เชิงสร้างสรรค์ หรือ Generative AI เพื่อสนับสนุนการโจมตี
  • ลดพื้นที่การโจมตีด้วย TTP : ผู้โจมตีจะยังคงขยายการโจมตีแบบครบชุด ทั้งวิธีการ (Tactics) กลยุทธ์ (Technique) และขั้นตอนต่างๆ ในการโจมตี (Procedures) หรือ TTPs เพื่อสร้างช่องโหว่หรือจุดอ่อนให้กับองค์กรที่เป็นเป้าหมาย อย่างไรก็ตามฝ่ายป้องกันสามารถสร้างความได้เปรียบด้วยการหาวิธีที่ทำให้การโจมตีไม่สำเร็จ ในขณะที่งานประจำในแต่ละวันของฝ่ายป้องกันความปลอดภัยบนไซเบอร์เกี่ยวข้องกับการบล็อก หรือป้องกันจุดที่ถูกบ่งชี้ว่าเป็นความเสี่ยง การเฝ้าระวังการโจมตีแบบ TTPs ที่ผู้โจมตีมักนำมาใช้บ่อยๆ ถือเป็นเรื่องที่มีประโยชน์อย่างมาก เพราะช่วยลดพื้นที่การโจมตีให้แคบลง อีกทั้งยังช่วยให้สามารถค้นพบจุดยุทธศาสตร์สำคัญในการวางหมากเพื่อรับมือ
  • สร้างพื้นที่การโจมตี 5G มากขึ้น : การเข้าถึงเทคโนโลยีที่เชื่อมต่อกันเป็นวงกว้างมากขึ้น จะทำให้อาชญากรไซเบอร์พบโอกาสใหม่ในการสร้างช่องโหว่ในระบบอย่างที่ไม่สามารถหลีกเลี่ยงได้ ยิ่งมีอุปกรณ์ใหม่ๆ เพิ่มเข้ามาในโลกออนไลน์มากขึ้นทุกวัน ทำให้เราคาดการณ์ว่าอาชญากรไซเบอร์จะใช้ข้อได้เปรียบที่เพิ่มขึ้นมากมายในการโจมตีอุปกรณ์ที่เชื่อมต่อกันเหล่านี้ในอนาคต การโจมตีโครงสร้างพื้นฐาน 5G ที่ประสบความสำเร็จสามารถสร้างความเสียหายให้กับอุตสาหกรรมหลักต่างๆ ได้ง่าย ไม่ว่าจะเป็นอุตสาหกรรมน้ำมันและก๊าซ การขนส่ง ความปลอดภัยสาธารณะ การเงิน ตลอดจนการแพทย์สาธารณสุข

การเดินทางสู่ยุคใหม่ของอาชญากรรมไซเบอร์

อาชญากรรมทางไซเบอร์ ส่งผลกระทบต่อทุกๆ คน และแผ่ขยายเป็นวงกว้าง อย่างไรก็ตามไม่ได้หมายความว่าผู้ก่อภัยคุกคามจะได้เปรียบเสมอไป ชุมชนด้านการรักษาความปลอดภัยของเรา สามารถดำเนินการได้ในหลายรูปแบบเพื่อช่วยคาดการณ์ความเคลื่อนไหวขั้นต่อไปของอาชญากรไซเบอร์ อีกทั้งขัดขวางกิจกรรมก่อการร้ายเหล่านี้ได้ ด้วย ความร่วมมือของภาครัฐและภาคเอกชน ในการแบ่งปันข้อมูลความรู้เกี่ยวกับภัยคุกคาม รวมถึงการใช้มาตรการที่เป็นมาตรฐานในการรายงานเหตุการณ์ที่เกิดขึ้น และอื่นๆ มาช่วยรับมือ

นอกจากนี้ องค์กรยังมีบทบาทสำคัญในการขัดขวางกระบวนการทำงานของกลุ่มอาชญากรรมทางไซเบอร์ เริ่มจากการสร้างวัฒนธรรมการป้องกันและเตรียมความพร้อมในการรับมือกับการโจมตี ด้วยการกำหนดให้การรักษาความปลอดภัยบนไซเบอร์เป็นหน้าที่ของทุกคน โดยนำแนวคิดริเริ่มต่างๆ เข้ามาใช้ ยกตัวอย่างโปรแกรมการฝึกอบรมด้านความมั่นคงปลอดภัยสำหรับองค์กรในองค์รวม รวมถึงกิจกรรมที่มุ่งเน้นมากขึ้น อาทิ การฝึกอบรมแบบ Tabletop Exercises สำหรับผู้บริหาร ที่จะเป็นการซักซ้อมเกี่ยวกับบทบาทและการตอบสนองของทีมในสถานการณ์ฉุกเฉิน รวมถึงการหาแนวทางในการลดช่องว่างของทักษะด้าน Cyber Security เช่น การหา กลุ่มคนที่มีความสามารถใหม่ๆ เข้ามาทำในตำแหน่งงานที่ยังว่างอยู่ จะช่วยให้องค์กรเดินหน้ารับมือกับปัญหาเจ้าหน้าที่ด้าน IT และความปลอดภัยที่มีงานล้นมือ รวมถึงภาพรวมภัยคุกคามที่เพิ่มขึ้นได้ ทั้งนี้การแบ่งปันข้อมูลด้านภัยคุกคามจะยิ่งทวีความสำคัญมากขึ้นในอนาคต เพราะนี่คือสิ่งที่จะช่วยให้เคลื่อนไหวในการป้องกันได้อย่างรวดเร็ว