พบช่องโหว่ใหม่ ‘ชนิดร้ายแรง’ ต้นตอโจรไซเบอร์โจมตีธุรกิจ

การเร่งเดินหน้าทำดิจิทัลทรานส์ฟอร์เมชันทำให้โครงสร้างเครือข่ายระดับองค์กรมีจำนวนมากขึ้นทั้งที่รู้ตัว และไม่รู้ตัว จนกลายสภาพเป็นระบบที่มีความซับซ้อนสูงในด้านการรักษาความปลอดภัย

ที่ผ่านมาการมีระบบที่เปิดเผยต่อสาธารณะยังส่งผลทำให้องค์กรตกเป็นเหยื่อของคนร้ายที่เฝ้ารอโอกาสโดยไม่จำเป็นต้องใช้วิธีการโจมตีแบบมุ่งเป้าเจาะจง

พาโล อัลโต เน็ตเวิร์กส์ ได้วิเคราะห์ข้อมูลระดับหลายเพตะไบต์ขององค์กรกว่า 250 แห่งทั่วโลก ในช่วงระหว่างปี 2565 ถึง 2566 เพื่อศึกษาบรรดาช่องโหว่ที่เข้าถึงได้จากอินเทอร์เน็ต

โดยในรายงานภัยคุกคามระบบบริหารจัดการความเสี่ยงการโดนโจมตีจากภายนอกองค์กร ประจำปี 2023 ของ Unit 42 (2023 Unit 42 Attack Surface Threat Report) พบว่า อาชญากรไซเบอร์ใช้ช่องโหว่ที่เพิ่งค้นพบใหม่ล่าสุดเพื่อโจมตีเป้าหมายอย่างรวดเร็วจนแทบจะทันทีหลังมีการเปิดเผยรายงานเรื่องช่องโหว่

ทั้งนี้ทำให้องค์กรต่างๆ ยากที่จะป้องกันได้ทัน ทั้งในแง่ระยะเวลาที่สั้น และขอบเขตกว้างขวางที่ต้องป้องกัน และรับมือกับระบบอัตโนมัติของคนร้าย

 ‘คลาวด์’ เป้าหมายหลัก

ข้อมูลที่น่าสนใจจากรายงานฉบับนี้ประกอบด้วย ระบบคลาวด์ตกเป็นเป้าหมายหลักที่สำคัญในการโจมตีผ่านช่องโหว่ ความปลอดภัยส่วนใหญ่อยู่บนระบบคลาวด์ โดยคิดเป็น 80% เมื่อเทียบกับช่องโหว่ของระบบที่ติดตั้งภายในสถานที่ขององค์กรที่มีเพียงราว 19%

ปัจจุบัน โครงสร้างพื้นฐานระบบไอทีบนคลาวด์มีการเปลี่ยนแปลงอยู่ตลอดเวลา ทุกภาคอุตสาหกรรมมีการเปลี่ยนแปลงมากกว่า 20% ในแต่ละเดือน

สำหรับองค์กรส่วนใหญ่นั้น 45% ของช่องโหว่ความเสี่ยงสูงที่อยู่บนคลาวด์ในแต่ละเดือนเกิดจากการเปลี่ยนแปลงเซอร์วิสต่างๆ บนระบบคลาวด์ที่เกิดขึ้นอย่างต่อเนื่อง เช่น การออนไลน์เซอร์วิสใหม่และ/หรือการแทนที่เซอร์วิสเดิมบนคลาวด์

โดยกว่า 75% ของช่องโหว่ในโครงสร้างระบบด้านการพัฒนาซอฟต์แวร์ที่เข้าถึงได้จากสาธารณะล้วนอยู่บนคลาวด์

เข้าถึงเหยื่อได้ในไม่กี่นาที

คนร้ายโจมตีด้วยความเร็วระดับจักรกล : วันนี้คนร้ายสามารถสแกนหมายเลข IPv4 ทั้งระบบ (ซึ่งมีที่อยู่กว่า 4 พันล้านรายการ) ในเวลาเพียงไม่กี่นาทีเพื่อหาเป้าหมายที่มีช่องโหว่

จากการวิเคราะห์จุดเปราะบาง และช่องโหว่ที่พบในวงกว้าง 30 รายการ มีอยู่ 3 รายการที่ถูกใช้เจาะระบบภายในเวลาไม่กี่ชั่วโมงหลังจากเปิดเผยช่องโหว่ต่อสาธารณะ ขณะที่ราว 63% โดนนำไปเจาะระบบภายใน 12 สัปดาห์หลังจากนั้น

การเจาะระบบโดยเข้าถึงจากทางไกลกำลังระบาดหนัก : กว่า 85% ขององค์กรที่เก็บข้อมูลมีการเข้าถึง Remote Desktop Protocol (RDP) ผ่านอินเทอร์เน็ตอย่างน้อย 25% ในแต่ละเดือน

พบด้วยว่า 8 ใน 9 อุตสาหกรรมที่ Unit 42 เก็บข้อมูล มีช่องโหว่ RDP ที่เข้าถึงได้ผ่านอินเทอร์เน็ตซึ่งโดนโจมตีด้วยการสุ่มเดาข้อมูลการเข้าสู่ระบบ คิดเป็นอย่างน้อย 25% ในแต่ละเดือน โดยเฉลี่ยแล้วภาคบริการทางการเงิน และหน่วยงานภาครัฐ โดนโจมตีผ่าน RDP ตลอดทั้งเดือน

‘ภาคการผลิต’ เสี่ยงสูงสุด

สำหรับ อุตสาหกรรมสำคัญตกเป็นเป้าหมาย พบว่าภาคการผลิตเผชิญกับความเสี่ยงระดับสูงสุด (48%) ในด้านโครงสร้างระบบไอที, การรักษาความปลอดภัย และระบบเครือข่าย ซึ่งอาจทำให้เกิดปัญหาในด้านการผลิตและส่งผลกระทบต่อรายได้

ขณะที่ สถาบันการเงินมักเผชิญปัญหาเรื่องเซอร์วิสด้านการแชร์ไฟล์ (38%) อยู่บ่อยครั้ง สำหรับหน่วยงานภาครัฐ นั้น ปัญหาการแชร์ไฟล์ และฐานข้อมูลที่ไม่ปลอดภัยเป็นความเสี่ยงสำคัญของการโจมตี Attach Surfave ที่ต้องเผชิญ คิดเป็นกว่า 46% ของการโจมตีทั้งหมดในหน่วยงานภาครัฐ

ด้านสถานพยาบาลต่างๆ ก็ต้องเผชิญกับปัญหาจากการกำหนดค่าระบบที่ไม่ถูกต้อง และบรรดาช่องโหว่ต่างๆ ที่ทำให้เกิดช่องโหว่สาธารณะในระบบที่ใช้พัฒนาคิดเป็นราว 56%

ส่วนหน่วยงานด้านสาธารณูปโภค และพลังงานต้องเผชิญกับปัญหาระบบควบคุมโครงสร้างพื้นฐานด้าน IT ที่เข้าถึงได้ผ่านอินเทอร์เน็ต คิดเป็นราว 47%

แนะเคล็ดลับป้องภัยองค์กร

ดังนั้นองค์กรควรที่จะ สำรวจระบบและองค์ประกอบทุกส่วนอย่างต่อเนื่อง: ตรวจสอบส่วนต่างๆ ที่เข้าถึงได้ผ่านอินเทอร์เน็ตให้ครบถ้วนแบบเรียลไทม์ รวมถึงระบบ และบริการบนคลาวด์

วางขั้นตอนการแก้ไขปัญหา: ให้ความสำคัญกับช่องโหว่ และความเสี่ยงร้ายแรงตาม CVSS (Common Vulnerability Scoring System) และ EPSS (Exploit Prediction Scoring System)

รักษาความปลอดภัยให้เซอร์วิสด้านการเข้าถึงจากทางไกล: ใช้วิธีการยืนยันตัวตนแบบหลายปัจจัย (MFA) และติดตามเซอร์วิสการเข้าถึงจากทางไกลทั้งหมดอย่างต่อเนื่อง เพื่อหาร่องรอยหรือสัญญาณการเข้าถึงที่ไม่ได้รับอนุญาต

ตรวจสอบการกำหนดค่าระบบคลาวด์ที่ไม่ถูกต้อง: หมั่นตรวจสอบ และอัปเดตการกำหนดค่าบนระบบคลาวด์ที่ไม่ถูกต้องเป็นประจำเพื่อให้เป็นไปตามมาตรฐานรักษาความปลอดภัยที่ควรปฏิบัติ

 

 

 

พิสูจน์อักษร....สุรีย์  ศิลาวงษ์