สรุปสถิติภัยคุกคามประจำปี 2562 จาก ศูนย์ปฏิบัติการ Security Operation Center

10 มีนาคม 2020

จารุณี กัมพลาวลี
จารุณี กัมพลาวลีทำงานด้าน IT security ชอบติดตามข่าวสารด้านความปลอดภัย และ พร้อมดูแลความปลอดภัยให้หัวใจของทุกคน การันตีด้วย certificate ด้านความใส่ใจ

ในปีที่ผ่านมา ข่าวที่เกี่ยวกับภัยคุกคามบนโลกไซเบอร์นั้นเกิดขึ้นอย่างต่อเนื่องตลอดปี ไม่ว่าจะเป็นการการโดนแฮกระบบ , Phishing หรือ พบช่องโหว่เว็บไซต์ต่าง ๆ ฯลฯ ซึ่งล้วนแต่เป็นภัยคุกคามส่งผลกระทบกับองค์กรต่าง ๆ หนักเบาต่างกันไป สำหรับผู้ดูแลระบบที่ต้องการจะป้องกันองค์กร การคาดการณ์ล่วงหน้าว่าจะเกิดอะไรขึ้นได้นั้น อาจต้องอาศัยข้อมูลจากอดีตเพื่อนำมาวิเคราะห์ และเตรียมตัวในการป้องกันให้ดียิ่งขึ้น

NT cyfence ผู้ให้บริการดูแลความปลอดภัยเทคโนโลยีสารสนเทศ ได้ทำการรวบรวมข้อมูลสถิติภัยคุกคามที่อาจส่งผลกระทบกับระบบเทคโนโลยีสารสนเทศเกิดขึ้นในประเทศไทยจากในปี 2562 ที่ผ่านมา (ข้อมูลจากศูนย์ปฏิบัติการ Security Operation Center (SOC) ของ NT cyfence) โดยได้รวบรวมข้อมูลดังต่อไปนี้

6 อันดับภัยคุกคามที่เกิดขึ้น (แบ่งตาม Incident Category)

1. Authentication Failed

ภัยคุกคาม Authentication Failed คือการยืนยันตัวตนล้มเหลว จริง ๆ แล้วสาเหตุนั้นอาจเกิดจากเครื่องมือที่ช่วยในการสุ่มรหัสผ่าน (Brute Force Attack) แต่จากสถิติของ SOC กลับพบว่า อาจเกิดขึ้นจากปัญหาของแป้นพิมพ์ การพิมพ์ผิด หรือการไม่ได้เข้าใช้งานนานจนลืมรหัสผ่าน หรือหลังจากแก้รหัสผ่านไปแล้ว แต่ไม่สามารถจำรหัสผ่านใหม่ได้ หรือ ใช้การจดจำรหัสไว้ในโปรแกรมและใช้การบันทึกรหัสผ่านไว้บนเบราว์เซอร์ แม้จะมีการแก้ไขข้อมูลแล้ว แต่ไม่ได้ไปแก้ไขการจดจำในโปรแกรมและในเบราว์เซอร์ ก็ทำให้เข้าบัญชีไม่ได้อยู่ดี ซึ่งพฤติกรรมเหล่านี้พบได้มากที่สุดจากตัวผู้ใช้งานเอง

ในฐานะผู้ดูแลระบบ ควรมีการตั้ง Policy และระบบ Authentication ที่เข้มงวด และควรกำหนดจำนวนการ Login ผิดพลาด ในกรณีที่เกินกำหนด ควรทำการระงับผู้ใช้ชั่วคราว เป็นต้น จะสามารถป้องกันได้ทั้งความผิดพลาดได้ทั้งจากผู้ใช้ และการโจมตีจากแฮกเกอร์

2. Malware

Malware หรือ Malicious Software คือ โปรแกรมประสงค์ร้ายต่าง ๆ ที่เกิดจากผู้ใช้งานติดตั้งลงบนเครื่องคอมพิวเตอร์โดยไม่รู้ตัว ซึ่งเป็นภัยที่พบมากเป็นอันดับ 2 สาเหตุอาจมาจากการเปิดอีเมลที่ไม่ปลอดภัย (Spam Mail) คลิกลิงก์แปลกที่แนบในอีเมล ดาวน์โหลดโปรแกรมต่าง ๆ จากเว็บไซต์ฟรี หรือการเสียบ USB ในคอมพิวเตอร์สาธารณะ เป็นต้น สำหรับผู้ใช้งานก่อนจะดาวน์โหลด หรือเสียบ USB ลงบนคอมพิวเตอร์ใด ๆ ก็ตาม ควรสแกนไวรัสก่อนด้วยโปรแกรม Anti-virus และหมั่น Update เวอร์ชันอย่างสม่ำเสมอ ถึงแม้จะไม่สามารถป้องกัน Malware ได้ 100% แต่ก็เป็นสิ่งแรกที่ควรทำ

นอกจากนั้นสิ่งที่ควรทำที่สุดสำหรับองค์กรก็คือการสร้างความตระหนักด้านความปลอดภัยให้กับพนักงานทุกคน หมั่นอัปเดตภัยมัลแวร์จากสถานการณ์ข่าวในปัจจุบัน ให้ทุกคนในองค์กรเกิดความระมัดระวังในการใช้งานอินเทอร์เน็ต ควรให้ความรู้ ความเข้าใจด้านความปลอดภัยเบื้องต้น ก็จะสามารถช่วยลดความเสี่ยงที่อาจจะเกิดขึ้นได้

3. Reconnaissance

Reconnaissance หรือที่แปลว่า การลาดตะเวน ซึ่งเป็นพฤติกรรมของ BOT หรือ Attacker ในการค้นหาข้อมูลของเป้าหมาย เพื่อหาช่องโหว่ ก่อนที่จะดำเนินการ exploit หรือโจมตีในรูปแบบอื่น ๆ ยกตัวอย่างการทำ Reconnaissance เช่น การสแกนเพื่อค้นหา IP address, Port ที่เปิดให้เข้าถึงผ่านช่องทางอินเทอร์เน็ต เป็นต้น โดยข้อมูลดังกล่าวจะทำให้ BOT หรือ Attacker สามารถคาดเดาชนิดของอุปกรณ์ ระบบปฏิบัติการ และแอปพลิเคชันที่ติดตั้งไว้บนเครื่องเป้าหมายได้ ดังนั้นผู้ดูแลระบบควรหมั่นตรวจสอบ Policy ของ Firewall ว่ามีการเปิดให้เข้าถึงผ่านช่องทางอินเทอร์เน็ต อย่างถูกต้องและเหมาะสมหรือไม่

ขอให้ท่องไว้ว่า “ช่องทางไหนไม่ได้ใช้ขอให้ปิด ช่องทางที่เปิดอยู่ต้องระแวดระวังเสมอ” ก็จะลดความเสี่ยงที่เกิดจากการทำ Reconnaissance ได้

4. Intrusion/Attempted Exploit

Intrusion/Attempted Exploit เป็นพฤติกรรมของ Attacker ที่พยายามโจมตีมายังเป้าหมายโดยตรง หลังจากที่แฮกเกอร์ได้ข้อมูล ชนิดของอุปกรณ์  ระบบปฏิบัติการ แอปพลิเคชัน รวมถึงช่องโหว่ที่ตรวจพบเบื้องต้นไปแล้ว (จากการ Reconnaissance แล้ว) แฮกเกอร์จะทำการทดลองเจาะระบบเข้ามาในรูปแบบต่าง ๆ ว่าสามารถเจาะระบบหรือขโมยข้อมูลได้หรือไม่

สำหรับการป้องกันภัยคุกคามประเภทนี้ แต่ละองค์กรควรมีอุปกรณ์ Security ที่ทำการป้องกันการโจมตีในระดับ Application เช่น Next generation firewall, Intrusion Prevention System (IPS) และ Web Application Firewall (WAF) รวมถึงควรหมั่น Update และปิดช่องโหว่ระบบอย่างสม่ำเสมอ

5. Phishing Website

Phishing Website คือ พฤติกรรมที่แฮกเกอร์พยายามสร้างหน้าเว็บไซต์ปลอมให้คล้ายกับเว็บไซต์จริง เพื่อหลอกให้ผู้ใช้งานกรอกข้อมูลส่วนตัว เช่น Username , Password รวมทั้งข้อมูลส่วนตัวอื่น ๆ เช่น เลขบัญชีธนาคาร รหัสบัตรเครดิต ฯลฯ หากผู้ใช้งานหลงเชื่อก็อาจตกเป็นเหยื่อแบบไม่รู้ตัว เมื่อแฮกเกอร์ได้ข้อมูลของเหยื่อไปแล้ว อาจสร้างความเสียหายที่ร้ายแรงได้

ดังนั้นผู้ให้บริการควรมีการเตรียมพร้อมเพื่อรับมือภัยด้านนี้ เช่น อบรมพนักงานให้มีความรู้ด้าน Phishing เพิ่มเติม เพราะ Phishing ไม่ได้มีแค่อีเมลเท่านั้น ยังมีรูปแบบอื่นที่แฮกเกอร์สามารถหลอกขอข้อมูลได้ เพื่อจะได้ประชาสัมพันธ์ แจ้งเตือนให้ผู้ใช้บริการรับทราบ เช่น บริษัทไม่มีนโยบายขอข้อมูลหรือแจ้งเตือนข้อมูลผู้ใช้งานทางอีเมล เป็นต้น เพื่อสร้างความเข้าใจให้แก่ผู้รับบริการ โดยเฉพาะผู้ให้บริการด้านธุรกรรมการเงิน ถือว่าเป็นเรื่องที่จำเป็นอย่างยิ่งที่ควรระมัดระวัง

6. Potentially Unwanted Program (Application)

เป็นประเภทของโปรแกรมที่ไม่พึงประสงค์ประเภทหนึ่ง (Unwanted Programs) ซึ่งโปรแกรมดังกล่าวอาจมีพฤติกรรมที่สอดแทรกเข้ามา เช่น โทรจัน (Trojans), สปายแวร์ (Spyware), แอดแวร์ (Adware) หรือ มัลแวร์ (Malware) โปรแกรมเหล่านี้มักแอบแฝงมากับซอฟท์แวร์ฟรี หรือซอฟท์แวร์ที่ละเมิดลิขสิทธิ์ โดยหลังจากติดตั้งโปรแกรมแล้ว อาจจะมีหน้าต่างโฆษณาแสดงขึ้นมา หรือการทำการเปลี่ยนค่าหน้าเริ่มต้นของเบราว์เซอร์ หรือแม้กระทั่งการแอบเก็บข้อมูลการใช้งาน เป็นต้น

การสร้างตระหนักด้านความปลอดภัยให้กับผู้ใช้งานจะเป็นส่วนสำคัญที่สุด ที่จะช่วยลด ภัยคุกคามประเภทนี้

Top 5 ประเทศต้นทาง ที่มีพฤติกรรม Reconnaissance

การทำ Reconnaissance นั้น พบว่ามาจากประเทศจีนมากถึง 21% รองลงมาคือ สหรัฐอเมริกา ที่ 18%

ด้านการโจมตี (Exploit )

สถิติด้านการโจมตีก็สอดคล้องกัน คือมาจากจีนมาเป็นอันดับ 1 ที่ 20% รองลงมาคือ สหรัฐอเมริกาและรัสเซีย ที่ 8%

รูปแบบการโจมตี (Pattern) ที่ถูกใช้มากที่สุด

การโจมตีประเภท Web Exploit

ซึ่งเป็นการใช้เทคนิค โจมตีไปยัง Web Server ผ่านทาง Port ต่าง ๆ ที่เปิดไว้ นอกเหนือจาก Port มาตรฐาน 80 และ 443 หรือการอาศัยช่องโหว่โจมตีระบบปฏิบัติการหรือแอปพลิเคชันของเว็บไซต์โดยตรง และการทำ SQL injection

Remote Shell Communication with Suspicious Host

เป็นการเข้าใช้งานระยะไกลผ่าน Remote Access Protocol ต่าง ๆ ได้แก่ SSH, Telnet และ Remote Desktop จาก IP Address ที่ถูกรายงานว่ามีพฤติกรรมที่ไม่ประสงค์ดี

การโจมตีตามช่องโหว่ตาม CVE (Common Vulnerabilities and Exposures)

การโจมตีตามช่องโหว่  CVE เป็นพฤติกรรมการพยายามโจมตีมายังระบบปลายทาง เพื่อมุ่งหวังที่จะขโมยข้อมูล หรือยึดครองระบบผ่านช่องโหว่ต่าง ๆ ที่มีหมายเลข CVE เผยแพร่เป็นสาธารณะอยู่แล้ว ซึ่งมีรูปแบบเป็น CVE-xxx-xxx หนึ่งในสถิติของช่องโหว่ที่มีผลกระทบมากคือ Apache Struts 2 ที่มีความรุนแรงระดับสูงสุด ทั้งนี้การประกาศตรวจพบช่องโหว่ใหม่ ๆ ของแต่ละระบบจากนักวิจัย มีผลดีในแง่การแก้ไขระบบและปิดช่องโหว่ให้แก่ผู้ดูแลระบบได้อย่างทันท่วงที แต่อีกแง่หนึ่งก็เป็นช่องทางให้เหล่าแฮกเกอร์ที่ใช้ข้อมูลเหล่านี้ไปพัฒนาเครื่องมือในการโจมตีเหยื่อได้

5 ประเภท Malware ที่ถูกพบมากที่สุด

Ransomware หรือ มัลแวร์เรียกค่าไถ่

ยังคงเป็นมัลแวร์ที่มีอัตราการติดมากที่สุด โดยตัวมัลแวร์เองมีการปรับปรุงเวอร์ชันอยู่ตลอดเวลา แต่รูปแบบในการสร้างปัญหานั้นยังคงเดิม คือหลังจากการติดตั้งตัวเองลงบนเครื่องเหยื่อแล้ว มันจะทำการเข้ารหัสไฟล์ในเครื่อง จากนั้นทำการเปลี่ยนนามสกุลไฟล์ พร้อมขึ้นข้อความเพื่อเรียกค่าไถ่ และเรียกเก็บเงินเพื่อกู้คืนข้อมูล และพบว่ามีการติดจากช่องทางอีเมลมากที่สุด

LNK/Trojan

เป็นการปรับแต่งไฟล์ลัด Shortcut File ที่มีนามสกุล .LNK ทำให้ User หลงคลิกและรันไฟล์ที่เป็นอันตราย โดยแฮกเกอร์อาจทำให้ Shortcut ไฟล์นั้นชี้ไปยังไฟล์อันตราย หรือโปรแกรมที่แอบติดตั้งไว้บนเครื่องเหยื่อ ไอคอนที่มักถูกนำมาใช้ได้แก่พวกโปรแกรมที่ได้รับความนิยมสูง เช่น Notepad , Word หรือ PDF เป็นต้น
การแพร่กระจายทำได้โดยการติดตั้งไฟล์ LNK หลอกลวง ไว้ในส่วนของ Payload และมักพบในพวก Removable Drive อย่างเช่นซ่อนไฟล์อันตรายไว้ แต่แสดงเป็นไอคอนของ shortcut ทำให้ผู้ใช้หลงเชื่อแล้วคลิกไป

Task-Starter.a

โทรจันที่ติดมากับมัลแวร์ตัวอื่น หรือเป็นไฟล์ที่ถูกดาวน์โหลดมาหลังจากเข้าไปยังเว็บไซต์ที่มีมัลแวร์ฝังอยู่

GenericR

เป็นมัลแวร์ที่เชื่อมโยงกับโทรจัน โดยถูกออกแบบมาให้ทำการเก็บรวบรวมข้อมูลของเครื่องที่ติดมัลแวร์ตัวนี้ และช่วยในการเตรียมการสร้างความเสียหายในรูปแบบต่าง ๆ นักวิจัยพบว่ามัลแวร์ตัวนี้ถูกใช้ในการสร้าง Botnet โดยอนุญาตให้แฮกเกอร์ใช้เครื่องในการโจมตีแบบ DDoS ขโมยข้อมูลและรหัสผ่านต่างๆ อีกทั้งแอบติดตั้งโปรแกรมอันตรายด้วย

Crypto Mining

กระแสตลาดเงินดิจิทัล หรือ Cryptocurrency แม้ไม่อยู่ในกระแสหลัก แต่ก็ยังคงเป็นกระแสในแวดวงผู้ที่สนใจในเงินดิจิทัลอยู่ ทำให้มัลแวร์ที่เกี่ยวข้องกับ Cryptocurrency เป็นแหล่งทำเงินของเหล่าแฮกเกอร์ การทำงานของมัลแวร์ประเภทนี้ จะทำการดึงเอาทรัพยากรของระบบคอมพิวเตอร์ (CPU) เพื่อใช้ในการกระบวนการขุดเหมือง (Mining) ให้เหยื่อช่วยขุดเงิน หรือที่เรียกกันว่า “ขุดบิทคอยน์ (Bitcoin)” โดยส่วนใหญ่แล้วมัลแวร์ขุดเหมือง จะแฝงตัวมาในรูปแบบของ Malvertising (โฆษณา) บนเว็บไซต์ เพียงแค่ผู้ใช้งานเข้าเยี่ยมชมเว็บไซต์ที่มีการฝัง Script ของการขุดเหมือง CPU ของผู้ใช้งานก็จะถูกดึงไปเข้าสู่กระบวนการดังกล่าวในทันที

จากการรวบรวมข้อมูลสถิติภัยคุกคามของศูนย์ปฏิบัติการ Security Operation Center (SOC) ของ NT cyfence จะพบว่าภัยคุกคามต่าง ๆ ที่เข้ามาไม่ใช่ของใหม่ เป็นเรื่องที่ทั้งผู้ใช้งาน และ ผู้ดูแลระบบ ต่างรู้จักมันดีอยู่แล้ว สำหรับผู้ใช้งาน แนวทางการป้องกันที่ดีที่สุดคือความใส่ใจ และระมัดระวังในการใช้งานอินเทอร์เน็ต สร้างภูมิคุ้มกันภัยไซเบอร์โดยเริ่มจากตัวผู้ใช้เอง สำหรับผู้ดูแลระบบ การเลือกใช้เครื่องมือที่ดี หรือหาที่ปรึกษาด้านความปลอดภัยที่ดูแลด้านนี้โดยตรง ก็จะช่วยลดความเสี่ยงต่าง ๆ กับระบบที่ดูแลอยู่ได้ 

และหากต้องการเฝ้าระวังความปลอดภัยระบบเครือข่ายและเทคโนโลยีสารสนเทศ แต่ไม่รู้จะเริ่มอย่างไร หรือต้องการข้อมูลเพิ่มเติม ทีมงาน NT cyfence โดยตรงพร้อมให้คำปรึกษา/แนะนำ โดยติดต่อเราได้ผ่านทาง www.cyfence.com/contact-us หรือโทร 1322

ปรับปรุงเมื่อ : 2020-03-18

 

 

บทความที่เกี่ยวข้อง