Hacker ที่เปลี่ยนรูปแบบไปจากเดิม

       อาชญากรไซเบอร์หรือที่คุ้นเคยกันกับคำว่า Hacker นั้น มักเป็นผู้ที่อยู่เบื้องหลังการโจมตีหรือการโจรกรรมข้อมูลทางไซเบอร์ ซึ่งเป็นบุคคลนานาชาติที่ล้วนมีความรู้ ความสามารถ จึงทำให้การป้องกันภัยไซเบอร์กลายเป็นเรื่องน่าปวดหัวอยู่บ่อยครั้ง ซึ่งหากพูดถึงเรื่องนี้ในช่วง 3 ถึง 5 ปีก่อน หลายองค์กรในไทยอาจมองเป็นเรื่องไกลตัว เพราะเป้าโจมตีของกลุ่ม Hacker อาจเป็นการสร้างผลกระทบต่อสาธารณะชนหรือกับบริษัทใหญ่ ๆ ในต่างประเทศมากกว่ากลุ่มบริษัทของไทย การถูกโจมตีทางไซเบอร์ในไทยจึงมีเหตุการณ์เกิดขึ้นเพียงประปราย

       แต่ในปัจจุบัน นอกจากที่ทุกคนต่างปรับตัวสู่ยุคดิจิทัลแล้ว การเข้าถึงเครื่องมือ ความรู้ต่าง ๆ ก็สามารถทำได้ง่ายขึ้น ทำให้ Hacker มีจำนวนมากขึ้นและเก่งขึ้นเช่นเดียวกัน นอกจากนี้ จากเดิมที่การโจรกรรมข้อมูลไม่สามารถทำเงินได้ง่ายนัก เนื่องจากการโอนเงินผ่านธนาคารนั้นสามารถตรวจสอบไปยังต้นทางและปลายทางได้ แต่ในปัจจุบันได้มีการใช้สกุลเงินที่ไม่สามารถติดตามธุรกรรมได้ง่าย ๆ (Untraceable) อย่าง Cryptocurrency ทำให้สถิติการโจรกรรมข้อมูลเพื่อเรียกค่าไถ่ด้วยวิธีการแอบลักลอบขนข้อมูลออกไป และติดตั้งมัลแวร์​เพื่อเข้ารหัสข้อมูลไม่ให้เจ้าของข้อมูลสามารถใช้งานได้หากไม่ยอมจ่ายเงิน หรือที่เรียกว่า Ransomware เพิ่มสูงขึ้นอย่างมากในช่วงปีที่ผ่านมา อีกทั้งยังมีการพัฒนา Ransomware-as-a-Service (RaaS) ที่ให้บริการทั้งในส่วนของเครื่องมือ และบริการช่วยเหลือการใช้งาน รวมถึงมีโมเดลการบริการที่ยืดหยุ่น ทำให้การที่จะเป็นอาชญากรไซเบอร์นั้นยิ่งง่ายขึ้นไปอีก ซึ่งเพิ่มความน่ากังวลให้กับทั่วโลก และตอกย้ำให้เห็นว่าการโจมตีองค์กรจากผู้ไม่หวังดี อาจไม่ใช่เรื่องไกลตัวอีกต่อไป

วิธีการโจมตีที่ซับซ้อนและแนบเนียนยิ่งขึ้น

       มาตรการทางสารสนเทศ (IT Policy) คือมาตรฐานในการป้องกันภัยคุกคามทางไซเบอร์ ซึ่งถือเป็นเกราะป้องกันภัยขององค์กรที่มีประสิทธิภาพและประสบความสำเร็จมาโดยตลอด แต่ในปัจจุบันภัยคุกคามทางไซเบอร์ได้มีการพัฒนารูปแบบการโจมตีที่มีความซับซ้อนที่มากขึ้น ไม่ว่าจะเป็นข้อมูลจากทฤษฎี Cyber Kill Chain ของ Lockheed martin หรือองค์กรอิสระอย่าง MITRE ATT&CK ที่ได้อธิบายขั้นตอนการโจมตีระบบ IT ของ Hacker ไว้อย่างน่าสนใจ โดยสังเขปแล้ว Hacker จะแฝงตัวอยู่ในระบบเป็นระยะเวลาหนึ่ง เพื่อให้การโจมตีเป็นไปอย่างแนบเนียนและมีความผิดปกติน้อยที่สุด ซึ่งสามารถสรุปเนื้อหาสำคัญได้ ดังนี้

  1. การตรวจตราดูว่าระบบเป็นอย่างไร มีช่องโหว่อะไรบ้าง เพื่อเตรียมการโจมตีที่ถูกจุด
  2. การเข้าสู่ระบบ ผ่านช่องโหว่ที่ยังไม่ได้รับการแก้ไข หรือ Policy ที่หละหลวม รวมถึงการได้รหัสผู้ใช้งานจากอีเมลล์ปลอม หรือแม้กระทั่งการได้รับความร่วมมือจากคนภายใน
  3. ยกระดับสิทธิของตนเองให้อยู่ระดับที่เข้าถึงได้ทุกระบบภายในองค์กรและหลีกเลี่ยงระบบตรวจจับ Hacker เช่น พยายามเลียนแบบพฤติกรรมของผู้ใช้งานทั่วไป หรือแอบปิดการทำงานของระบบ Antivirus
  4. แฝงตัวอยู่ในเครื่องคอมพิวเตอร์หรือเซิร์ฟเวอร์หลายเครื่องก่อนจะเจอเครื่องเป้าหมายที่เก็บข้อมูลสำคัญ
  5. โจมตี โดยการติดตั้งไวรัส มัลแวร์ หรือการขโมยข้อมูลที่สำคัญเพื่อเรียกค่าไถ่
  6. ขนข้อมูลออกไป หากเป็นการขโมยข้อมูลเพื่อเรียกค่าไถ่แล้ว Hacker มักจะทำการแอบขนข้อมูลออกไปด้วยหลากหลายเทคนิค เพื่อไม่ให้ตรวจจับได้ เช่น การลอบขนข้อมูลด้วย User ที่ได้รับการยกเว้น Policy ในการขนข้อมูลออก เป็นต้น

ระบบการป้องกันที่ต้องมีการยกระดับ

       จากรูปแบบการโจมตีที่มีความซับซ้อนมากขึ้น ทำให้การป้องกันเดิมที่มีอยู่อาจไม่สามารถป้องกันได้เสมอไป การป้องกันเพียงระบบสารสนเทศขั้นพื้นฐาน (Infrastructure Protection) เช่น การติดตั้ง Firewall หรือการแยก Zone ของระบบเครือข่าย อาจดีไม่เพียงพอสำหรับโลกในยุคปัจจุบัน ซึ่งอาจต้องการระบบป้องกันที่มากขึ้นตั้งแต่ระบบตรวจจับมัลแวร์หรือไวรัสที่ครอบคลุมทั้งระบบขององค์กร เช่น Antivirus, EDR (Endpoint Detection and Response) ระบบรวบรวมข้อมูลบันทึกและแจ้งเตือนจากอุปกรณ์ในองค์กรเพื่อการป้องกันและแจ้งเตือนที่ดียิ่งขึ้น เช่น SIEM (Security Incident and Event Management)

       นอกจากนี้การประยุกต์ใช้เทคโนโลยี Big Data ถือเป็นกลยุทธ์สำคัญที่จะช่วยเพิ่มความปลอดภัยทางไซเบอร์ให้กับองค์กรได้อย่างมีประสิทธิภาพ โดยการนำข้อมูลที่เกี่ยวข้องทางด้านไซเบอร์ทั้งหมด ไม่ว่าจะเป็นข้อมูลบันทึกของอุปกรณ์ (Log) ข้อมูลจากแอพพลิเคชัน ข้อมูลจากระบบคลาวด์ขององค์กร รวมไปถึงข้อมูลทางด้านภัยคุกคามจากภายนอก (Threat intel) มาจัดเก็บและประมวลผล เพื่อทำการตรวจพิสูจน์หลักฐาน (Forensic) ทางดิจิทัลที่ครอบคลุมในทุกส่วนขององค์กร ซึ่งกล่าวได้ว่าเป็นการปลดล็อกขีดจำกัดของเครื่องมือเดิมที่รองรับเฉพาะอุปกรณ์ทางด้านไซเบอร์ที่รู้จักเท่านั้น ซึ่ง Big Data สามารถรองรับข้อมูลได้หลากหลายชนิดที่มีขนาดใหญ่ รวมไปถึงมีการเปลี่ยนแปลงของข้อมูลที่ค่อนข้างเร็ว อีกทั้งยังสามารถนำข้อมูล พฤติกรรม ความผิดปกติที่ตรวจสอบพบมาวางแนวทางในการป้องกันภัยไซเบอร์ในอนาคตได้อีกด้วย

Share