“เหรียญมีสองด้าน…เทคโนโลยีก็เช่นกัน” ยิ่งเทคโนโลยีมีประโยชน์และบทบาทต่อชีวิตประจำวันและการทำธุรกิจมากเท่าใด ความเสี่ยงจากการโจมตีทางไซเบอร์ก็ยิ่งเพิ่มทวีคูณมากขึ้นเท่านั้น จึงไม่น่าแปลกใจว่าทำไมภัยคุกคามนี้จึงกลายเป็นความกังวลใจอันดับต้นๆ ขององค์กรทั่วโลก สะท้อนผ่านแนวโน้มความเสียหายที่เพิ่มสูงขึ้นอย่างต่อเนื่อง โดยมูลค่าความเสียหายจากการจู่โจมทางไซเบอร์คาดว่าจะสูงถึง 6 ล้านล้านเหรียญสหรัฐ ในปี 2565 และจะแตะ 10.5 ล้านล้านเหรียญสหรัฐ ในปี 2568 หรือเพิ่มขึ้นเฉลี่ยประมาณ 15% ต่อปี…คำถามสำคัญ คือ วันนี้องค์กรของคุณมีความพร้อมแค่ไหน หากต้องตกเป็น “เหยื่อ”
รูปแบบของการจู่โจมองค์กรที่แพร่หลายในหมู่แฮกเกอร์
เป้าหมายหลักของการจู่โจมทางไซเบอร์ คือ การแสวงหาผลประโยชน์ทางการเงิน ซึ่งวิธีการที่ใช้จู่โจมมีมากมายตั้งแต่แบบง่ายไปจนถึงซับซ้อน วันนี้ทาง บลูบิค ไททันส์ (Bluebik Titans) ได้รวบรวมวิธีการที่แฮกเกอร์นิยมใช้คุกคามระบบขององค์กรมาไว้ที่นี่แล้ว !!
- มัลแวร์เรียกค่าไถ่ (Ransomware) เป็นการสร้างความเสียหายบนระบบปฏิบัติการด้วยการใช้แรนซัมแวร์ เพื่อเรียกค่าไถ่ แลกกับการปลดล็อคข้อมูลและระบบการดำเนินงานขององค์กร
- อีเมลหลอกลวง (Business Email Compromise – BEC) เป็นการปลอมตัวเพื่อหลอกให้โอนเงินหรือทำธุรกรรมทางการเงิน โดยมีเป้าหมายเป็นภาคธุรกิจและการค้าระหว่างประเทศที่สื่อสารผ่านอีเมลเป็นภาษาอังกฤษ
- การละเมิดข้อมูล (Data Theft) การขโมยข้อมูลส่วนบุคคลของลูกค้า ข้อมูลสำคัญ หรือความลับขององค์กร เพื่อเรียกค่าไถ่หรือนำไปขายในตลาดมืด
ช่องทางการจู่โจมที่ทำให้องค์กรตกเป็นเหยื่อโดยไม่รู้ตัว
การเปิดเกมบุกของแฮกเกอร์มักเริ่มต้นด้วยการโจมตีจุดอ่อน เพื่อเจาะระบบและเข้าไปฝังตัวบนระบบขององค์กร เพื่อแสวงหาผลประโยชน์และสร้างความเสียหายต่อองค์กรที่ตกเป็นเหยื่อ ซึ่งสามารถทำได้หลายรูปแบบ ได้แก่
- Organization-targeted การจู่โจมโดยล็อคเป้าหมายที่องค์กรโดยตรง
- Vulnerability-targeted การจู่โจมเพราะตรวจพบจุดอ่อนแล้วใช้โอกาสนั้นโจมตี
- Malware-infected Host การติดมัลแวร์ที่มีการแพร่กระจายบนอินเทอร์เน็ตโดยทั่วไป
3 แนวปฏิบัติหากองค์กรต้องตกเป็นเหยื่อ Cyber Attack
โดยทั่วไปแล้วการโจมตีทางไซเบอร์มักถูกตรวจพบโดยผู้ดูแลระบบ หลังจากเกิดความเสียหายและสร้างผลกระทบในวงกว้างให้แก่องค์กร ซึ่งจำเป็นต้องใช้ทรัพยากรจำนวนมากในการแก้ไขปัญหาอย่างเร่งด่วน แต่ในความเป็นจริงองค์กรส่วนใหญ่ที่ตกเป็นเหยื่อมักต้องเผชิญหน้ากับปัญหา ทั้งๆ ที่ยังไม่มีแผนรับมือกับเหตุการณ์ภัยคุกคามทางไซเบอร์ (Cyber Incident Response Plan) หรือขาดแผนที่สามารถใช้งานได้จริง ทำให้เกิดความสับสนในกิจกรรมที่ต้องปฏิบัติ หน้าที่ของผู้รับผิดชอบ รวมถึงการสื่อสารระหว่างหน่วยงานในองค์กร ซึ่งปัญหาเหล่านี้อาจทำให้ความเสียหายลุกลามมากยิ่งขึ้น
จากประสบการณ์ของ บลูบิค ไททันส์ (Bluebik Titans) ที่มีโอกาสร่วมมือกับองค์กรในหลายอุตสาหกรรมรับมือภัยคุกคามทางไซเบอร์ พบว่าส่วนใหญ่มุ่งแก้ปัญหาเฉพาะส่วนที่เกิดความเสียหาย และไม่ได้สืบสวนเหตุการณ์โดยละเอียด ซึ่งอาจมองข้ามหลักฐานแวดล้อมอื่นๆ ที่แสดงให้เห็นถึงเหตุการณ์ในอดีตที่อาจเกิดขึ้นก่อนหน้า และเกี่ยวข้องกับการบุกรุกที่ตรวจพบ ทำให้ไม่สามารถเข้าใจถึงสาเหตุและจุดอ่อนที่แฮกเกอร์นำไปใช้ประกอบการโจมตี ซึ่งข้อบกพร่องเหล่านี้ทำให้เกิดการโจมตีซ้ำซ้อนขึ้นอีกภายในระยะเวลาไม่นาน
1) การวิเคราะห์เหตุการณ์และข้อมูลสนับสนุน เป็นขั้นตอนอันดับต้นๆ ที่ใช้รับมือกับเหตุการณ์โจมตีทางไซเบอร์ เช่น การตรวจสอบการแจ้งเตือนที่ตรวจพบ (Security Alert) ประเมินขอบเขตความเสียหายที่เกิดขึ้น (Observed Damages) และดำเนินการระงับเหตุการณ์และความเสียหายเบื้องต้น (Initial Response Activities) เป็นต้น จากนั้นให้ผู้เชี่ยวชาญทำการเก็บหลักฐานเพื่อความถูกต้องและครบถ้วน และวิเคราะห์ข้อมูลจากแหล่งต่างๆ ที่มีความเกี่ยวข้องโดยใช้หลักการและเทคนิค Digital Forensics ตั้งแต่การจัดเก็บหลักฐานข้อมูลให้ครบถ้วนถูกต้อง เพื่อนำไปใช้ในการวิเคราะห์เชิงลึก และสามารถใช้เป็นหลักฐานในกระบวนการทางกฎหมายกรณีที่ผลการวิเคราะห์ชี้นำไปถึงตัวผู้กระทำผิด (Legally-admissible Evidence) ได้
2) การกำหนดแผนและขั้นตอนการกำจัด เมื่อสามารถระบุสาเหตุที่แท้จริง (Root Cause Analysis) รวมถึงวิธีการและเส้นทางการโจมตีได้แล้ว (Indicator of Attack และ Attack Path) จึงจะกำหนดแผนและขั้นตอนในการกำจัดแฮกเกอร์ออกจากระบบสารสนเทศขององค์กร รวมไปถึงตัดช่องทาง ลบทำลายเครื่องมือและโปรแกรมต่างๆ ที่ถูกใช้ระหว่างการโจมตี นอกจากนั้นองค์กรควรจัดทำแผนการยกระดับมาตรการความมั่นคงปลอดภัย ปิดช่องโหว่ทั้งเชิงเทคนิคและกระบวนการทั้งระยะสั้นและยาว เพื่อลดความเสี่ยงทางไซเบอร์ที่เกี่ยวข้องกับเหตุการณ์โจมตีทั้งหมดให้อยู่ในระดับที่องค์กรสามารถยอมรับได้ (Risk Appetite)
3) การจัดทำรายงานเหตุการณ์อย่างละเอียด ในการจัดการรับมือเหตุการณ์โจมตีที่มีความสำคัญ (Major Incident) ควรมีการจัดทำรายงานเหตุการณ์อย่างละเอียดเป็นบันทึกเหตุการณ์ สำหรับหน่วยงานกำกับภายในและภายนอกตามที่กฎหมายและกฎระเบียบของธุรกิจกำหนด หรือจัดทำรายงานการวิเคราะห์เหตุการณ์อย่างละเอียดในกรณีที่ต้องการนำข้อมูลไปใช้ดำเนินการทางกฎหมาย
การรับมือภัยคุกคามทางไซเบอร์ ไม่อาจกล่าวว่าเป็นหน้าที่หรือความรับผิดชอบของฝ่ายเทคโนโลยีสารสนเทศขององค์กรเพียงฝ่ายเดียวอีกต่อไป แต่หมายรวมถึงฝ่ายบริหารระดับสูงขององค์กรที่ต้องร่วมรับผิดชอบและให้การสนับสนุน เนื่องจากการตัดสินใจในเรื่องที่เกี่ยวข้องกับความมั่นคงปลอดภัยทางไซเบอร์ต้องแข่งกับเวลา เพราะไม่มีใครรู้ว่าองค์กรจะตกเป็นเหยื่อเมื่อใด แต่สิ่งที่แน่นอนที่สุด คือ ความเสียหายที่เกิดขึ้นนั้นจะส่งผลกระทบกับองค์กร ทั้งด้านธุรกิจ การเงิน ชื่อเสียง และกฎหมาย
หากต้องการสอบถามเกี่ยวกับประเด็นต่างๆ ที่เกี่ยวข้องกับวิธีการรับมือเหตุการณ์โจมตีทางไซเบอร์ หรือกำลังประสบกับเหตุโจมตี สามารถปรึกษาทีมงาน บลูบิค ไททันส์ ได้ที่ [email protected]