“เหรียญมีสองด้าน…เทคโนโลยีก็เช่นกัน” ยิ่งเทคโนโลยีมีประโยชน์และบทบาทต่อชีวิตประจำวัน และการทำธุรกิจมากเท่าใด ความเสี่ยงจากการโจมตีทางไซเบอร์ก็ยิ่งเพิ่มทวีคูณมากขึ้นเท่านั้น จึงไม่น่าแปลกใจว่าทำไมภัยคุกคามนี้ จึงกลายเป็นความกังวลใจอันดับต้น ๆ ขององค์กรทั่วโลก และยังสะท้อนผ่านแนวโน้มความเสียหายที่เพิ่มสูงขึ้นอย่างต่อเนื่อง
โดยมูลค่าความเสียหายจากการจู่โจมทางไซเบอร์ จะสูงถึง 6 ล้านล้านเหรียญสหรัฐ ในปี 2565 และจะแตะ 10.5 ล้านล้านเหรียญสหรัฐ ในปี 2568 หรือเพิ่มขึ้นเฉลี่ยประมาณ 15% ต่อปี คำถามสำคัญ คือ วันนี้องค์กรของคุณมีความพร้อมแค่ไหน หากต้องตกเป็น “เหยื่อ”
3 รูปแบบการจู่โจมองค์กรจากแฮกเกอร์
เป้าหมายหลักของการจู่โจมทางไซเบอร์ คือ การแสวงหาผลประโยชน์ทางการเงิน ซึ่งวิธีการที่ใช้จู่โจมมีมากมายตั้งแต่แบบง่ายไปจนถึงซับซ้อน สำหรับบทความนี้ทาง บลูบิค ไททันส์ (Bluebik Titans) ได้รวบรวมวิธีการที่แฮกเกอร์นิยมใช้คุกคามระบบขององค์กรมาไว้ที่นี่แล้ว ดังนี้
1. มัลแวร์เรียกค่าไถ่ (Ransomware)
เป็นการสร้างความเสียหายบนระบบปฏิบัติการ ด้วยการใช้แรนซัมแวร์เพื่อเรียกค่าไถ่ แลกกับการปลดล็อกข้อมูล และระบบการดำเนินงานขององค์กร
2. อีเมลหลอกลวง (Business Email Compromise – BEC)
เป็นการปลอมตัวเพื่อหลอกให้โอนเงิน หรือทำธุรกรรมทางการเงิน โดยมีเป้าหมายเป็นภาคธุรกิจและการค้าระหว่างประเทศที่สื่อสารผ่านอีเมลเป็นภาษาอังกฤษ
3. การละเมิดข้อมูล (Data Theft)
การขโมยข้อมูลส่วนบุคคลของลูกค้า ข้อมูลสำคัญ หรือความลับขององค์กร เพื่อเรียกค่าไถ่หรือนำไปขายในตลาดมืด
3 ช่องทางการจู่โจมที่ทำให้องค์กรตกเป็นเหยื่อโดยไม่รู้ตัว
การเปิดเกมบุกของแฮกเกอร์มักเริ่มต้นด้วยการโจมตีจุดอ่อน เพื่อเจาะระบบและเข้าไปฝังตัวบนระบบขององค์กร เพื่อแสวงหาผลประโยชน์และสร้างความเสียหายต่อองค์กรที่ตกเป็นเหยื่อ ซึ่งสามารถทำได้หลายรูปแบบ ได้แก่
1. Organization-Targeted
การจู่โจมโดยล็อกเป้าหมายที่องค์กรโดยตรง
2. Vulnerability-Targeted
การจู่โจมเพราะตรวจพบจุดอ่อนแล้วใช้โอกาสนั้นโจมตี
3. Malware-Infected Host
การติดมัลแวร์ที่มีการแพร่กระจายบนอินเทอร์เน็ตโดยทั่วไป

3 แนวทางปฏิบัติเมื่อองค์กรตกเป็นเหยื่อ Cyber Attack
โดยทั่วไปแล้วการโจมตีทางไซเบอร์มักถูกตรวจพบโดยผู้ดูแลระบบ หลังจากเกิดความเสียหายและสร้างผลกระทบในวงกว้างให้แก่องค์กร ซึ่งจำเป็นต้องใช้ทรัพยากรจำนวนมากในการแก้ไขปัญหาอย่างเร่งด่วน
แต่ในความเป็นจริง องค์กรส่วนใหญ่ที่ตกเป็นเหยื่อ มักต้องเผชิญหน้ากับปัญหา ทั้ง ๆ ที่ยังไม่มีแผนรับมือกับเหตุการณ์ภัยคุกคามทางไซเบอร์ (Cyber Incident Response Plan) หรือขาดแผนการที่สามารถใช้งานได้จริง ทำให้เกิดความสับสนในกิจกรรมที่ต้องปฏิบัติ หน้าที่ของผู้รับผิดชอบ รวมถึงการสื่อสารระหว่างหน่วยงานในองค์กร ซึ่งปัญหาเหล่านี้อาจทำให้ความเสียหายลุกลามมากยิ่งขึ้น
จากประสบการณ์ของ บลูบิค ไททันส์ (Bluebik Titans) ที่มีโอกาสร่วมมือกับองค์กรในหลายอุตสาหกรรมรับมือภัยคุกคามทางไซเบอร์ พบว่าส่วนใหญ่จะมุ่งแก้ปัญหาเฉพาะส่วนที่เกิดความเสียหาย และไม่ได้สืบสวนเหตุการณ์โดยละเอียด ซึ่งอาจมองข้ามหลักฐานแวดล้อมอื่น ๆ ที่แสดงให้เห็นถึงเหตุการณ์ในอดีตที่อาจเกิดขึ้นก่อนหน้า และเกี่ยวข้องกับการบุกรุกที่ตรวจพบ ทำให้ไม่สามารถเข้าใจถึงสาเหตุและจุดอ่อนที่แฮกเกอร์นำไปใช้ประกอบการโจมตี ซึ่งข้อบกพร่องเหล่านี้ทำให้เกิดการโจมตีซ้ำซ้อนขึ้นอีกภายในระยะเวลาไม่นาน
1. การวิเคราะห์เหตุการณ์และข้อมูลสนับสนุน
เป็นขั้นตอนอันดับต้น ๆ ที่ใช้รับมือกับเหตุการณ์โจมตีทางไซเบอร์ เช่น การตรวจสอบการแจ้งเตือนที่ตรวจพบ (Security Alert) ประเมินขอบเขตความเสียหายที่เกิดขึ้น (Observed Damages) และดำเนินการระงับเหตุการณ์และความเสียหายเบื้องต้น (Initial Response Activities) เป็นต้น
จากนั้นให้ผู้เชี่ยวชาญทำการเก็บหลักฐาน เพื่อความถูกต้องและครบถ้วน และวิเคราะห์ข้อมูลจากแหล่งต่าง ๆ ที่มีความเกี่ยวข้องโดยใช้หลักการและเทคนิค Digital Forensics ตั้งแต่การจัดเก็บหลักฐานข้อมูลให้ครบถ้วนถูกต้อง เพื่อนำไปใช้ในการวิเคราะห์เชิงลึก และสามารถใช้เป็นหลักฐานในกระบวนการทางกฎหมาย กรณีที่ผลการวิเคราะห์ชี้นำไปถึงตัวผู้กระทำผิด (Legally-admissible Evidence) ได้
2. การกำหนดแผนและขั้นตอนการกำจัด
เมื่อสามารถระบุสาเหตุที่แท้จริง (Root Cause Analysis) รวมถึงวิธีการและเส้นทางการโจมตีได้แล้ว (Indicator of Attack และ Attack Path) จึงจะกำหนดแผนและขั้นตอนในการกำจัดแฮกเกอร์ออกจากระบบสารสนเทศขององค์กร รวมไปถึงตัดช่องทาง ลบทำลายเครื่องมือ และโปรแกรมต่าง ๆ ที่ถูกใช้ระหว่างการโจมตี
นอกจากนั้นองค์กรควรจัดทำแผนการยกระดับมาตรการความมั่นคงปลอดภัย ปิดช่องโหว่ทั้งเชิงเทคนิคและกระบวนการทั้งระยะสั้นและยาว เพื่อลดความเสี่ยงทางไซเบอร์ที่เกี่ยวข้องกับเหตุการณ์โจมตีทั้งหมด ให้อยู่ในระดับที่องค์กรสามารถยอมรับได้ (Risk Appetite)
3. การจัดทำรายงานเหตุการณ์อย่างละเอียด
ในการจัดการรับมือเหตุการณ์โจมตีที่มีความสำคัญ (Major Incident) ควรมีการจัดทำรายงานเหตุการณ์อย่างละเอียดเป็นบันทึกเหตุการณ์ สำหรับหน่วยงานกำกับภายในและภายนอกตามที่กฎหมาย และกฎระเบียบของธุรกิจกำหนด หรือจัดทำรายงานการวิเคราะห์เหตุการณ์อย่างละเอียด ในกรณีที่ต้องการนำข้อมูลไปใช้ดำเนินการทางกฎหมาย
การรับมือภัยคุกคามทางไซเบอร์ ไม่อาจกล่าวว่าเป็นหน้าที่หรือความรับผิดชอบของฝ่ายเทคโนโลยีสารสนเทศขององค์กรเพียงฝ่ายเดียวอีกต่อไป แต่หมายรวมถึงฝ่ายบริหารระดับสูงขององค์กรที่ต้องร่วมรับผิดชอบและให้การสนับสนุน เนื่องจากการตัดสินใจในเรื่องที่เกี่ยวข้องกับความมั่นคงปลอดภัยทางไซเบอร์ต้องแข่งกับเวลา เพราะไม่มีใครรู้ว่าองค์กรจะตกเป็นเหยื่อเมื่อใด แต่สิ่งที่แน่นอนที่สุด คือ ความเสียหายที่เกิดขึ้นนั้นจะส่งผลกระทบกับองค์กร ทั้งด้านธุรกิจ การเงิน ชื่อเสียง และกฎหมาย
สำหรับองค์กรธุรกิจที่ต้องการแนวทางในการรับมือกับภัยคุกคามทางไซเบอร์ ‘บลูบิค ไททันส์ (Bluebik Titans)’ มีผู้เชี่ยวชาญด้าน Cybersecurity & Digital Trust ที่พร้อมจะช่วยยกระดับความมั่นคงปลอดภัยไซเบอร์ ครอบคลุมตั้งแต่การวางแผนกลยุทธ์ กรอบการบริหารจัดการ การยกระดับมาตรการป้องกัน และการรับมือเหตุละเมิดความมั่นคงปลอดภัย สามารถติดต่อสอบถามหรือปรึกษาได้ที่ [email protected]