เนื้อหาวันที่ : 2018-01-04 13:58:46 จำนวนผู้เข้าชมแล้ว : 711 views

ฟอร์ติเน็ตคาดภัยไซเบอร์ "Swarm" ที่เรียนรู้ได้ด้วยตนเองคุกคามและสร้างความเสียหายสูงในปี 2018

เดอริค แมนคี นักกลยุทธ์ความปลอดภัยเครือข่ายระดับโลกแห่งฟอร์ติเน็ต 

ธุรกิจอาชญากรรมไซเบอร์จะใช้ความก้าวหน้าในเทคโนโลยีเอไอและการทำงานแบบออโตเมชันเพื่อเรียกค่าไถ่บริการพาณิชย์ คุกคามอุปกรณ์ไอโอทีและโจมตีโครงสร้างพื้นฐานที่สำคัญ ฟอร์ติการ์ตแล็ปส์ ศูนย์วิเคราะห์ภัยของฟอร์ติเน็ตได้คาดการณ์ภัยคุกคามที่จะเกิดขึ้นในปี ค.ศ. 2018 ดังนี้

ดิจิทัลอีโคโนมีจะถูกใช้ไปในทางที่สร้างสรรค์และสร้างความเสียหาย
ใน 2 ปีข้างหน้านี้เราจะเห็นภัยเกิดในวงกว้างมากขึ้น ในขณะที่ความสามารถในการควบคุมโครงสร้างพื้นฐานในปัจจุบันจะลดน้อยลง ทั้งนี้ การขยายตัวในยุคดิจิทัลอีโคโนมีไม่ว่าจะเป็นความนิยมในอุปกรณ์ออนไลน์ที่สามารถเข้าถึงข้อมูลส่วนบุคคล ข้อมูลทางการเงิน การเชื่อมต่อทุกสิ่งของอุปกรณ์ไอโอที และโครงสร้างพื้นฐานที่สำคัญ อาทิ การเชื่อมโยงระหว่างรถยนต์ ที่อยู่อาศัยและสำนักงาน ไปจนถึงการเกิดเมืองอัจฉริยะมากขึ้นตลอดเวลา เปิดโอกาสให้อาชญากรไซเบอร์และภัยคุกคามอื่น ๆ เข้ามาคุกคามใหม่ ๆ อาชญากรไซเบอร์จะกลายเป็นผู้เชี่ยวชาญใช้ความก้าวหน้าล่าสุดในด้านต่าง ๆ เช่น เอไอ (Artificial Intelligence : AI) เพื่อสร้างการโจมตีที่มีประสิทธิภาพมากขึ้นโดยมีรายละเอียด ดังนี้

1. ภัย Self-learning Hivenets และ Swarmbots จะเติบโตมากยิ่งขึ้น
คาดว่าอาชญากรไซเบอร์จะใช้สิ่งที่เรียกว่า Hivenets (กลุ่มภัยคุกคามทำงานรวมกันคล้ายรังผึ้ง) ทดแทนบอตเน็ตทั่ว ๆ ไป ซึ่งเป็นการต่อยอดจากการโจมตีที่ผ่านมา เช่น Hajime, Devil’s Ivy และ Reaper โดย Hivenets เป็นภัยประเภทที่จะสืบหาอุปกรณ์ที่มีช่องโหว่และเจาะช่องโหว่เหล่านั้นเพื่อติดตั้งบอตเน็ตเป็นกลไกในการคุกคาม ในปีหน้า Hivenets จะสามารถเรียนรู้ได้ด้วยตนเอง ฉลาดมากขึ้น สามารถแบ่งปันข้อมูลระหว่าง Hivenets ด้วยกันเองได้ จึงสามารถโจมตีได้อย่างแม่นยำมากขึ้น
นอกจากนี้เครื่องที่ถูกยึดมาใช้แพร่กระจายอีเมลสแปมและทำให้เกิดปัญหาปฏิเสธการให้บริการที่เรียกว่าเครื่อง Zombies จะฉลาดมากขึ้น เครื่องจะทำงานได้โดยไม่ต้องอาศัยคำสั่งจากบอตเน็ตเหมือนก่อนหน้านี้ ดังนั้นการโจมดีด้วย Hivenets จะเติบโตขยายวงกว้างขึ้น ซึ่งรวมถึงพวกภัยที่เรียกว่า Swarms (ฝูงแมลง) ที่สามารถจู่โจมเหยื่อได้หลายครั้งพร้อมกัน สร้างอุปสรรคในการตอบสนองของเหยื่อ ผู้ไม่ประสงค์ดีจะใช้ Swarms จากอุปกรณ์ที่ถูกบุกรุกยึดมาได้หรือบอตที่เรียกว่า Swarmbots ในการระบุและกำหนดเป้าหมายโจมตีที่แตกต่างกันทั้งหมดได้ในครั้งเดียว ทำให้เป็นการโจมตีที่เร็วและมีขนาดใหญ่ ดังนั้นองค์กรจึงจำเป็นต้องมีศักยภาพในการคาดการณ์และกำจัดภัยที่รวดเร็วเช่นกัน
โดยในทุก ๆ ไตรมาสในปี ค.ศ. 2017 ทางฟอร์ติการ์ตแล็ปส์ตรวจพบการสื่อสารของเหล่าบอตเน็ตมากถึง 2,900 ล้านครั้งเลยทีเดียว จึงเป็นการเพิ่มบริบทความรุนแรงที่ Hivenets และ Swarmbots อาจก่อให้เกิดได้

2. เกิดธุรกิจขนาดใหญ่ที่เรียกค่าไถ่จากผู้ให้บริการเชิงพาณิชย์
ภัยคุกคาม Ransomware ได้เติบโตมากขึ้นถึง 35 เท่าในปีที่ผ่านมา และยังจะเกิดภัยเรียกค่าไถ่และการโจมตีประเภทอื่น ๆ มากขึ้นเรื่อย ๆ ซึ่งเป้าหมายใหญ่ต่อไปสำหรับ Ransomware น่าจะเป็นการสร้างรายได้จำนวนมหาศาลจากเหยื่อผู้ให้บริการระบบคลาวด์และบริการเชิงพาณิชย์อื่น ๆ เนื่องจากการที่ผู้ให้บริการระบบคลาวด์มักมีการเชื่อมต่อกับเครือข่ายต่าง ๆ ที่ซับซ้อน จึงเป็นจุดอ่อนที่สามารถทำให้ธุรกิจหน่วยงานภาครัฐ โครงสร้างพื้นฐานที่สำคัญ และองค์กรด้านการดูแลสุขภาพเกิดปัญหาบริการหยุดชะงักได้
เราคาดการณ์ว่าอาชญากรไซเบอร์จะเริ่มรวมเทคโนโลยีเอไอเข้ากับวิธีการโจมตีแบบหลายทางเพื่อสแกน ตรวจหา และใช้ประโยชน์จากจุดอ่อนในสภาพแวดล้อมของผู้ให้บริการระบบคลาวด์ ซึ่งผลกระทบจากการโจมตีดังกล่าวอาจสร้างรายได้มหาศาลให้แก่องค์กรอาชญากรรม ทำให้บริการของบริษัทต่าง ๆ นับร้อยนับพันแห่งหยุดชะงักลง หรืออาจขัดขวางการใช้บริการของผู้บริโภคนับล้านคนได้

3. เกิดเน็กซ์เจนมอร์ดิคมัลแวร์ที่ทำงานได้หลายรูปแบบ
ในเร็ว ๆ นี้เราจะเริ่มเห็นมัลแวร์ที่สร้างขึ้นเองทั้งหมดโดยเครื่องจักรที่ชำนาญด้านการตรวจจับความเสี่ยงโดยอัตโนมัติและด้านการวิเคราะห์ข้อมูลที่ซับซ้อนได้ ทั้งนี้ มัลแวร์ประเภทโพลีเมอร์ฟิลไม่ได้เป็นของใหม่ แต่ครั้งนี้จะเป็นเรื่องเกี่ยวกับโฉมหน้าใหม่ที่ใช้เอไอสร้างโค้ดที่มีความซับซ้อนใหม่ขึ้นมาได้ ซึ่งโค้ดนี้สามารถเรียนรู้การหลบเลี่ยงการตรวจจับได้เอง โดยใช้ขั้นตอนต่าง ๆ ที่เครื่องจักรเขียนขึ้นมาได้
ด้วยวิวัฒนาการตามธรรมชาติของเครื่องมือที่มีอยู่แล้ว ผู้ไม่หวังดีจะสามารถพัฒนาการโจมตีที่ดีที่สุดเท่าที่จะเป็นไปได้ตามลักษณะของจุดอ่อนแต่ละประเภท ซึ่งเดิมทีมัลแวร์เองสามารถใช้โมเดลด้านการเรียนรู้เพื่อหลีกเลี่ยงระบบความปลอดภัยได้อยู่แล้ว และยังสามารถผลิตสายพันธุ์ไวรัสได้มากกว่า 1 ล้านชุดใน 1 วัน
ฟอร์ติการ์ตแล็ปส์ได้บันทึกการตรวจจับมัลแวร์จำนวน 62 ล้านครั้งในระยะ 3 เดือนในปี ค.ศ. 2017 โดยจากการตรวจจับมัลแวร์นับล้านรายการที่เราบันทึกไว้นั้นพบว่ามีมัลแวร์จำนวนประมาณ 16,582 สายพันธุ์ที่มาจากตระกูลมัลแวร์จำนวน 2,534 ตระกูล นอกจากนี้มีองค์กรจำนวน 1 ใน 5 รายงานว่าพบมัลแวร์กำหนดเป้าหมายไปที่อุปกรณ์โทรศัพท์มือถือ เห็นได้ว่ามัลแวร์ที่ทำงานแบบอัตโนมัติได้ด้วยตนเองมีจำนวนเพิ่มขึ้น จึงควรแก้ไขสถานการณ์นี้อย่างเร่งด่วนในปีหน้า

4. โครงสร้างพื้นฐานที่สำคัญมีความเสี่ยงสูง
เมื่อพิจารณาด้านความเสี่ยงเชิงกลยุทธ์ เชิงเศรษฐกิจ และผู้ที่มีความกังวลสูงสุด พบว่าผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญยังคงติดอันดับต้น ๆ ของรายการ เนื่องจากองค์กรเหล่านี้ใช้เครือข่ายที่มีมูลค่าสูงในการปกป้องบริการและข้อมูลที่สำคัญ อย่างไรก็ตามโครงสร้างพื้นฐานที่สำคัญและเครือข่ายที่ให้บริการเทคโนโลยีให้กับกลุ่มธุรกิจดำเนินงานนั้นส่วนใหญ่มีความเปราะบางมาก เนื่องจากมีการออกแบบเครือข่ายเป็นลักษณะกระจายแยกตัวจากกัน แต่พนักงานและผู้บริโภคกลับคาดหวังให้การตอบสนองในการทำงานและบริการมีความเร็วในระดับดิจิทัล จึงส่งผลให้เริ่มการเปลี่ยนแปลงเครือข่ายที่ต้องมีความปลอดภัยครอบคลุมทั้งหมดในระดับขั้นสูง ทั้ง ๆ ที่เครือข่ายได้รับการออกแบบมาเพื่อให้ทำงานอย่างแยกจากกันก็ตาม
เนื่องจากเครือข่ายเหล่านี้มีความสำคัญสูง แต่กลับมีโอกาสโดนทำลายล้าง ส่งผลกระทบมากมายหากถูกบุกรุกหรือถูกระงับการให้บริการ ผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญจึงอยู่ในช่วงต่อสู้กับองค์กรอาชญากรรมไซเบอร์และผู้ก่อการที่ไม่หวังดีที่ทำงานร่วมกัน อีกทั้งเทคโนโลยีมีความแข็งแกร่งขึ้นเรื่อย ๆ ดังนั้นความปลอดภัยสำหรับโครงสร้างพื้นฐานจึงมีความสำคัญในปี ค.ศ. 2018 และต่อ ๆ ไป

5. ดาร์คเว็บและอาชญากรรมไซเบอร์ขายบริการคุกคามที่ทำงานแบบอัตโนมัติใหม่ ๆ
ดาร์คเว็บเป็นเว็บไซต์ที่ซ่อนตัวอยู่ ไม่สามารถเข้าถึงได้ด้วยวิธีปกติ มีการอำพรางการเข้าถึง โดยส่วนใหญ่มักมีจุดประสงค์เพื่อใช้ในเชิงผิดกฎหมาย ในปี ค.ศ. 2018 เราคาดว่าจะเห็นข้อเสนอและการบริการใหม่ ๆ ที่ใช้เทคโนโลยีระบบทำงานอัตโนมัติแบบใหม่จากดาร์คเว็บที่เป็นองค์กรประเภท Crime-as-a-Service เราจะได้เห็นดาร์คเว็บมาร์เก็ตเสนอบริการชั้นสูงที่ใช้เทคโนโลยีแมชีนเลิร์นนิ่งมาแล้ว เช่น บริการที่เรียกว่า FUD (Fully Undetectable) ที่ช่วยให้ผู้พัฒนาซอฟต์แวร์ผิดกฏหมายสามารถอัปโหลดโค้ดการโจมตีและมัลแวร์ไปยังบริการที่ทำหน้าที่วิเคราะห์ หลังจากนั้นเขาจะได้รับรายงานว่าเครื่องมือรักษาความปลอดภัยจากผู้ขายรายใดสามารถตรวจพบภัยที่โจมตีนั้นได้หรือไม่
ทั้งนี้ ฟอร์ติเน็ตได้ทดสอบในห้องแล็ปส์ ใช้แมชีนเลิร์นนิ่งพัฒนาโค้ดเพื่อให้ทูลส์อันตรายเหล่านี้ถูกตรวจจับได้ยากมากขึ้น พบว่าเครื่องมือแซนบ๊อกซ์ (Sandbox) ที่ใช้เทคโนโลยีแมชีนเลิร์นนิ่งเช่นกันนี้จะช่วยให้เราสามารถระบุภัยคุกคามที่มองไม่เห็นก่อนหน้านี้ได้อย่างรวดเร็ว รวมทั้งช่วยสร้างการปกป้องภัยคุกคามที่ไดนามิกมีประสิทธิภาพสูงได้

ก้าวให้ไกลกว่าภัยคุกคาม : ศึกษาเทรนด์และลงมือทำ
ดังนั้นฟอร์ติเน็ตจึงแนะนำว่าองค์กรจำเป็นต้องมีโซลูชันด้านความปลอดภัยที่สร้างขึ้นมาด้วยเทคโนโลยีด้านความปลอดภัยแบบหลอมรวมครบถ้วน มีข้อมูลอัจฉริยะด้านความปลอดภัยและผืนผ้าด้านความปลอดภัยที่กำหนดรูปแบบได้อย่างยืดหยุ่น
ระบบรักษาความปลอดภัยควรทำงานด้วยความเร็วแบบดิจิทัล พร้อมการตอบสนองแบบอัตโนมัติ รวมถึงเทคโนโลยีเอไอและการเรียนรู้ด้วยตนเองเพื่อให้เครือข่ายสามารถตัดสินใจได้อย่างมีประสิทธิภาพและเป็นอิสระ ระบบรักษาความปลอดภัยควรสามารถเพิ่มการมองเห็นและรวมการควบคุมไว้ที่ส่วนกลาง สามารถแบ่งกลุ่มเชิงกลยุทธ์เพื่อเพิ่มความปลอดภัยเชิงลึกให้กับโครงสร้างพื้นฐานของเครือข่ายได้อย่างรวดเร็ว ซึ่งจะช่วยแยกแยะและแก้ไขอุปกรณ์ที่ถูกบุกรุก ขัดขวางการโจมที่เกิดในเครือข่ายส่วนต่าง ๆ ตั้งแต่ระบบนิเวศต่าง ๆ ไปจนถึงอุปกรณ์ปลายทาง และทรัพยากรในเครือข่ายไปยังระบบคลาวด์ได้อีกด้วย

สงวนลิขสิทธิ์ ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2539 www.thailandindustry.com
Copyright (C) 2009 www.thailandindustry.com All rights reserved.

ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ www.thailandindustry.com ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฏหมายบัญญัติไว้สูงสุด