Cybersecurity

Cyber Attack เปิดแนวปฏิบัติเมื่อองค์กรตกเป็นเหยื่อภัยคุกคามทางไซเบอร์ 

แนวทางปฏิบัติเมื่อองค์กรตกเป็นเหยื่อ Cyber Attack พร้อมแผนรับมือกับเหตุการณ์ภัยคุกคามทางไซเบอร์ที่สามารถใช้งานได้จริงและป้องกันการโจมตีซ้ำซ้อน

30 มกราคม 2566

By Bluebik

< 1 Mins Read

“เหรียญมีสองด้าน…เทคโนโลยีก็เช่นกัน” ยิ่งเทคโนโลยีมีประโยชน์และบทบาทต่อชีวิตประจำวัน และการทำธุรกิจมากเท่าใด ความเสี่ยงจากการโจมตีทางไซเบอร์ก็ยิ่งเพิ่มทวีคูณมากขึ้นเท่านั้น จึงไม่น่าแปลกใจว่าทำไมภัยคุกคามนี้ จึงกลายเป็นความกังวลใจอันดับต้น ๆ ขององค์กรทั่วโลก และยังสะท้อนผ่านแนวโน้มความเสียหายที่เพิ่มสูงขึ้นอย่างต่อเนื่อง 

โดยมูลค่าความเสียหายจากการจู่โจมทางไซเบอร์ จะสูงถึง 6 ล้านล้านเหรียญสหรัฐ ในปี 2565 และจะแตะ 10.5 ล้านล้านเหรียญสหรัฐ ในปี 2568 หรือเพิ่มขึ้นเฉลี่ยประมาณ 15% ต่อปี คำถามสำคัญ คือ วันนี้องค์กรของคุณมีความพร้อมแค่ไหน หากต้องตกเป็น “เหยื่อ” 

3 รูปแบบการจู่โจมองค์กรจากแฮกเกอร์ 

เป้าหมายหลักของการจู่โจมทางไซเบอร์ คือ การแสวงหาผลประโยชน์ทางการเงิน ซึ่งวิธีการที่ใช้จู่โจมมีมากมายตั้งแต่แบบง่ายไปจนถึงซับซ้อน สำหรับบทความนี้ทาง บลูบิค ไททันส์ (Bluebik Titans) ได้รวบรวมวิธีการที่แฮกเกอร์นิยมใช้คุกคามระบบขององค์กรมาไว้ที่นี่แล้ว ดังนี้ 

1. มัลแวร์เรียกค่าไถ่ (Ransomware) 

เป็นการสร้างความเสียหายบนระบบปฏิบัติการ ด้วยการใช้แรนซัมแวร์เพื่อเรียกค่าไถ่ แลกกับการปลดล็อกข้อมูล และระบบการดำเนินงานขององค์กร 

2. อีเมลหลอกลวง (Business Email Compromise – BEC) 

เป็นการปลอมตัวเพื่อหลอกให้โอนเงิน หรือทำธุรกรรมทางการเงิน โดยมีเป้าหมายเป็นภาคธุรกิจและการค้าระหว่างประเทศที่สื่อสารผ่านอีเมลเป็นภาษาอังกฤษ 

3. การละเมิดข้อมูล (Data Theft) 

การขโมยข้อมูลส่วนบุคคลของลูกค้า ข้อมูลสำคัญ หรือความลับขององค์กร เพื่อเรียกค่าไถ่หรือนำไปขายในตลาดมืด 

3 ช่องทางการจู่โจมที่ทำให้องค์กรตกเป็นเหยื่อโดยไม่รู้ตัว 

การเปิดเกมบุกของแฮกเกอร์มักเริ่มต้นด้วยการโจมตีจุดอ่อน เพื่อเจาะระบบและเข้าไปฝังตัวบนระบบขององค์กร เพื่อแสวงหาผลประโยชน์และสร้างความเสียหายต่อองค์กรที่ตกเป็นเหยื่อ ซึ่งสามารถทำได้หลายรูปแบบ ได้แก่ 

1. Organization-Targeted 

การจู่โจมโดยล็อกเป้าหมายที่องค์กรโดยตรง 

2. Vulnerability-Targeted 

การจู่โจมเพราะตรวจพบจุดอ่อนแล้วใช้โอกาสนั้นโจมตี 

3. Malware-Infected Host 

การติดมัลแวร์ที่มีการแพร่กระจายบนอินเทอร์เน็ตโดยทั่วไป

Cyber Attack คือ?

3 แนวทางปฏิบัติเมื่อองค์กรตกเป็นเหยื่อ Cyber Attack 

โดยทั่วไปแล้วการโจมตีทางไซเบอร์มักถูกตรวจพบโดยผู้ดูแลระบบ หลังจากเกิดความเสียหายและสร้างผลกระทบในวงกว้างให้แก่องค์กร ซึ่งจำเป็นต้องใช้ทรัพยากรจำนวนมากในการแก้ไขปัญหาอย่างเร่งด่วน  

แต่ในความเป็นจริง องค์กรส่วนใหญ่ที่ตกเป็นเหยื่อ มักต้องเผชิญหน้ากับปัญหา ทั้ง ๆ ที่ยังไม่มีแผนรับมือกับเหตุการณ์ภัยคุกคามทางไซเบอร์ (Cyber Incident Response Plan) หรือขาดแผนการที่สามารถใช้งานได้จริง ทำให้เกิดความสับสนในกิจกรรมที่ต้องปฏิบัติ หน้าที่ของผู้รับผิดชอบ รวมถึงการสื่อสารระหว่างหน่วยงานในองค์กร ซึ่งปัญหาเหล่านี้อาจทำให้ความเสียหายลุกลามมากยิ่งขึ้น 

จากประสบการณ์ของ บลูบิค ไททันส์ (Bluebik Titans) ที่มีโอกาสร่วมมือกับองค์กรในหลายอุตสาหกรรมรับมือภัยคุกคามทางไซเบอร์ พบว่าส่วนใหญ่จะมุ่งแก้ปัญหาเฉพาะส่วนที่เกิดความเสียหาย และไม่ได้สืบสวนเหตุการณ์โดยละเอียด ซึ่งอาจมองข้ามหลักฐานแวดล้อมอื่น ๆ ที่แสดงให้เห็นถึงเหตุการณ์ในอดีตที่อาจเกิดขึ้นก่อนหน้า และเกี่ยวข้องกับการบุกรุกที่ตรวจพบ ทำให้ไม่สามารถเข้าใจถึงสาเหตุและจุดอ่อนที่แฮกเกอร์นำไปใช้ประกอบการโจมตี ซึ่งข้อบกพร่องเหล่านี้ทำให้เกิดการโจมตีซ้ำซ้อนขึ้นอีกภายในระยะเวลาไม่นาน 

1. การวิเคราะห์เหตุการณ์และข้อมูลสนับสนุน 

เป็นขั้นตอนอันดับต้น ๆ ที่ใช้รับมือกับเหตุการณ์โจมตีทางไซเบอร์ เช่น การตรวจสอบการแจ้งเตือนที่ตรวจพบ (Security Alert) ประเมินขอบเขตความเสียหายที่เกิดขึ้น (Observed Damages) และดำเนินการระงับเหตุการณ์และความเสียหายเบื้องต้น (Initial Response Activities) เป็นต้น 

จากนั้นให้ผู้เชี่ยวชาญทำการเก็บหลักฐาน เพื่อความถูกต้องและครบถ้วน และวิเคราะห์ข้อมูลจากแหล่งต่าง ๆ ที่มีความเกี่ยวข้องโดยใช้หลักการและเทคนิค Digital Forensics ตั้งแต่การจัดเก็บหลักฐานข้อมูลให้ครบถ้วนถูกต้อง เพื่อนำไปใช้ในการวิเคราะห์เชิงลึก และสามารถใช้เป็นหลักฐานในกระบวนการทางกฎหมาย กรณีที่ผลการวิเคราะห์ชี้นำไปถึงตัวผู้กระทำผิด (Legally-admissible Evidence) ได้ 

2. การกำหนดแผนและขั้นตอนการกำจัด 

เมื่อสามารถระบุสาเหตุที่แท้จริง (Root Cause Analysis) รวมถึงวิธีการและเส้นทางการโจมตีได้แล้ว (Indicator of Attack และ Attack Path) จึงจะกำหนดแผนและขั้นตอนในการกำจัดแฮกเกอร์ออกจากระบบสารสนเทศขององค์กร รวมไปถึงตัดช่องทาง ลบทำลายเครื่องมือ และโปรแกรมต่าง ๆ ที่ถูกใช้ระหว่างการโจมตี 

นอกจากนั้นองค์กรควรจัดทำแผนการยกระดับมาตรการความมั่นคงปลอดภัย ปิดช่องโหว่ทั้งเชิงเทคนิคและกระบวนการทั้งระยะสั้นและยาว เพื่อลดความเสี่ยงทางไซเบอร์ที่เกี่ยวข้องกับเหตุการณ์โจมตีทั้งหมด ให้อยู่ในระดับที่องค์กรสามารถยอมรับได้ (Risk Appetite) 

3. การจัดทำรายงานเหตุการณ์อย่างละเอียด 

ในการจัดการรับมือเหตุการณ์โจมตีที่มีความสำคัญ (Major Incident) ควรมีการจัดทำรายงานเหตุการณ์อย่างละเอียดเป็นบันทึกเหตุการณ์ สำหรับหน่วยงานกำกับภายในและภายนอกตามที่กฎหมาย และกฎระเบียบของธุรกิจกำหนด หรือจัดทำรายงานการวิเคราะห์เหตุการณ์อย่างละเอียด ในกรณีที่ต้องการนำข้อมูลไปใช้ดำเนินการทางกฎหมาย 

การรับมือภัยคุกคามทางไซเบอร์ ไม่อาจกล่าวว่าเป็นหน้าที่หรือความรับผิดชอบของฝ่ายเทคโนโลยีสารสนเทศขององค์กรเพียงฝ่ายเดียวอีกต่อไป แต่หมายรวมถึงฝ่ายบริหารระดับสูงขององค์กรที่ต้องร่วมรับผิดชอบและให้การสนับสนุน เนื่องจากการตัดสินใจในเรื่องที่เกี่ยวข้องกับความมั่นคงปลอดภัยทางไซเบอร์ต้องแข่งกับเวลา เพราะไม่มีใครรู้ว่าองค์กรจะตกเป็นเหยื่อเมื่อใด แต่สิ่งที่แน่นอนที่สุด คือ ความเสียหายที่เกิดขึ้นนั้นจะส่งผลกระทบกับองค์กร ทั้งด้านธุรกิจ การเงิน ชื่อเสียง และกฎหมาย 

สำหรับองค์กรธุรกิจที่ต้องการแนวทางในการรับมือกับภัยคุกคามทางไซเบอร์ ‘บลูบิค ไททันส์ (Bluebik Titans)’ มีผู้เชี่ยวชาญด้าน Cybersecurity & Digital Trust ที่พร้อมจะช่วยยกระดับความมั่นคงปลอดภัยไซเบอร์ ครอบคลุมตั้งแต่การวางแผนกลยุทธ์ กรอบการบริหารจัดการ การยกระดับมาตรการป้องกัน และการรับมือเหตุละเมิดความมั่นคงปลอดภัย สามารถติดต่อสอบถามหรือปรึกษาได้ที่ [email protected] 

30 มกราคม 2566

By Bluebik