IBM ชี้ เอเชียโดนโจมตีไซเบอร์สูงสุด ภาคการผลิตตกเป็นเป้าสำคัญ หลังวิกฤตซัพพลายเชนเพิ่มขึ้น
IBM (NYSE: IBM) Security เปิดเผยรายงาน X-Force Threat Intelligence Index ประจำปี ชี้การเติบโตของแรนซัมแวร์ และการหาประโยชน์จากช่องโหว่ ในปี 2564 ได้ “จองจำ” และเพิ่ มภาระให้กับซัพพลายเชนทั่วโลก โดยภาคการผลิตกลายเป็นหนึ่งในอุ ตสาหกรรมที่ตกเป็นเป้าหมายมากที่ สุด ขณะที่การโจมตีช่องโหว่และฟิชชิ่ ง เป็นสาเหตุการโจมตีทางไซเบอร์ที่ พบบ่อยที่สุดในเอเชีย ในปีที่ผ่านมา X-Force สั งเกตเห็นถึงการโจมตีช่องโหว่ ของซอฟต์แวร์ที่ไม่ได้รั บการแพตช์เพิ่มขึ้น 33% ซึ่งเป็ นช่องที่อาชญากรแรนซัมแวร์อาศั ยใช้ในการโจมตีมากกว่าวิธีการอื่ นๆ และเป็นสาเหตุ 44% ของการโจมตี แรนซัมแวร์
รายงานของปี 2565 ยั งแสดงรายละเอียดของวิธีการที่ เหล่าอาชญากรแรนซัมแวร์ พยายามใช้เพื่อ “สร้างรอยร้าว” ให้กับโครงสร้างหลักของซั พพลายเชนทั่วโลกผ่านการโจมตี ภาคการผลิต โดยภาคการผลิตกลายเป็นหนึ่งในอุ ตสาหกรรมที่ได้รับการโจมตีสูงสุ ด (29%) ในเอเชียในปี 2564 รองจากบริการทางการเงินและประกั นภัยซึ่งเป็นอันดับหนึ่งมาอย่ างยาวนาน การที่ภาคการผลิตประสบกับเหตุ โจมตีด้วยแรนซัมแวร์มากกว่าอุ ตสาหกรรมอื่นๆ สะท้อนให้เห็นว่าอาชญากรหวังพึ่ งผลกระทบที่จะถูกกระเพื่ อมออกไปเป็นระลอกคลื่น เพราะเมื่อบริษัทหนึ่ งในภาคการผลิตหยุดชะงัก ย่อมกระทบบริษัทอื่นๆ ในซัพพลายเชนและส่งผลให้บริษั ทเหล่านั้นหันมากดดันให้องค์ กรที่โดนโจมตีต้องจ่ายยอมค่าไถ่ โดย 47% ของการโจมตีในภาคการผลิ ตมีสาเหตุมาจากช่องโหว่ที่องค์ กรเหยื่อยังไม่ได้แก้ไขด้ วยแพตช์หรือไม่สามารถแก้ไขได้ สิ่งนี้เน้นย้ำถึงความจำเป็นที่ องค์กรต้องให้ความสำคัญกับการจั ดการแก้ไขแพตช์ช่องโหว่
รายงาน IBM Security X-Force Threat Intelligence Index ปี 2565 เปิดเผยถึงเทรนด์ และแพทเทิร์นการโจมตีที่ IBM Security ได้สังเกตและวิเคราะห์ จากข้อมูลจากแหล่งต่างๆ อาทิ ข้อมูลจากดาต้าพอยท์หลายพันล้ านจุดจากทั่วโลกและประเทศไทย ไม่ว่าจะเป็นเครือข่ายหรืออุ ปกรณ์เอ็นด์พอยท์ ข้อมูลการตอบสนองต่อเหตุโจมตี การแทร็คการฟิชชิ่ง ฯลฯ รวมถึงข้อมูลที่ได้จาก Intezer
ข้อมูลไฮไลต์อื่นๆ จากรายงานประจำปีนี้ อาทิ
- แกงค์แรนซัมแวร์เกิดใหม่แม้ล่
มสลาย แรนซัมแวร์ยังคงเป็นวิธี การโจมตีอันดับต้นๆ ที่พบในปี 2564 และไม่มีแนวโน้ มว่าจะลดลงเลยแม้แต่น้อย แม้ว่าจะมีความพยายามในการกำจั ดแกงค์แรนซัมแวร์เพิ่มขึ้นก็ตาม จากรายงานในปี 2565 อายุเฉลี่ ยของกลุ่มแรนซัมแวร์ก่อนปิดตั วลงหรือรีแบรนด์ใหม่คือ 17 เดื อน - ช่องโหว่ ภัยน่ากลัวที่สุดของธุรกิจ X-
Force เปิดเผยว่าสำหรับในเอเชีย ช่องโหว่ที่ไม่ได้รับการแก้ ไขเป็นสาเหตุนำสู่ 46% ของการโจมตีในปี 2564 ตอกย้ำให้ เห็นถึงปัญหายากลำบากใหญ่ หลวงของธุรกิจ ซึ่งก็คือการอุดแพตช์ช่องโหว่ต่ างๆ - สัญญาณเตือนวิกฤตไซเบอร์
ในระบบคลาวด์ อาชญากรไซเบอร์ กำลังวางรากฐานเพื่อมุ่งเป้ าสภาพแวดล้อมคลาวด์ โดยรายงานล่าสุดชี้ให้เห็ นการเพิ่มขึ้นของโค้ดแรนซัมแวร์ ลินุกซ์ถึง 146% และการหันไปมุ่ งเป้า Docker ซึ่งน่าจะเป็นช่ องที่ทำให้อาชญากรไซเบอร์ สามารถใช้ประโยชน์จากสภาพแวดล้ อมระบบคลาวด์ได้ง่ายขึ้น
“โดยปกติแล้วอาชญากรไซเบอร์ จะไล่ตามเงิน แต่วันนี้สิ่งที่พวกเขากำลั งทำคือการใช้แรนซัมแวร์เพื่อเพิ่ มผลตอบแทนสูงสุด” นายชาร์ลส์ เฮ็นเดอร์สัน Head of IBM X-Force กล่าว“องค์กรควรตระหนั กว่าช่องโหว่ต่างๆ สามารถทำให้พวกเขาตกอยู่ ในภาวะหยุดชะงัก และอาชญากรแรนซัมแวร์ก็กำลังใช้ ช่องโหว่เหล่านี้เพื่อสร้ างประโยชน์ให้ตน นี่เป็นความท้าทายที่ไม่ได้มี ผลแค่สองทาง เพราะพื้นที่การโจมตีจะขยายใหญ่ ขึ้นเรื่อยๆ ดังนั้นแทนที่จะดำเนินการภายใต้ สมมติฐานที่ว่าทุกช่องโหว่ ในสภาพแวดล้อมของตนได้รับการแก้ ไขแล้ว ธุรกิจควรดำเนินการภายใต้สมมติ ฐานที่ว่าองค์กรตนถูกเจาะเรี ยบร้อยแล้ว และหันมายกระดับการจัดการช่ องโหว่ด้วยกลยุทธ์ Zero Trust แทน”
กลุ่มแรนซัมแวร์ “เก้าชีวิต”
เพื่อตอบสนองต่อการเดินหน้าเร่ งกำจัดกลุ่มแรนซัมแวร์ของหน่ วยงานบังคับใช้กฎหมาย กลุ่มแรนซัมแวร์อาจเริ่มใช้แผน disaster recovery การวิเคราะห์ของ X- Force ชี้ให้เห็นว่าอายุเฉลี่ ยของกลุ่มแรนซัมแวร์คือ 17 เดื อน ก่อนที่จะปิดตัวลงหรือรีแบรนด์ ใหม่ ยกตัวอย่างเช่น REvil ซึ่งเป็ นกลุ่มที่ก่อเหตุโจมตีถึง 37% ของเหตุแรนซัมแวร์ทั้งหมดที่เกิ ดขึ้นในปี 2564 สามารถอยู่มาได้ ยาวนานถึงสี่ปีโดยอาศัยการรี แบรนด์ตัวเอง สะท้อนความเป็นไปได้ที่ว่ากลุ่ มเหล่านี้จะกลับมาอีกครั้ง แม้ว่าจะถูกกำจัดลงโดยความร่ วมมือของหน่วยงานภาครัฐต่างๆ แล้วก็ตามในช่วงกลางปี 2564
แม้ว่าหน่วยงานบังคับใช้ กฎหมายจะสามารถชะลอการโจมตี ของแรนซัมแวร์ลงได้ และยังส่งผลให้กลุ่มแรนซัมแวร์ ต้องจัดหาเงินทุนสำหรับการรี แบรนด์หรือสร้างระบบโครงสร้างพื้ นฐานขึ้นมาใหม่ แต่เมื่อเวลาผ่านไป สิ่งสำคัญคือองค์กรต้องปรับปรุ งระบบโครงสร้างพื้นฐานของตนให้ ทันสมัย เพื่อให้สามารถจัดเก็บข้อมู ลในสภาพแวดล้อมที่ให้การปกป้ องข้อมูล ไม่ว่าจะบนระบบในองค์กรหรื อบนคลาวด์ การทำเช่นนี้จะช่วยให้องค์ กรสามารถจัดการ ควบคุม และปกป้องเวิร์คโหลดของตน และขจัดผู้คุกคามที่ใช้ประโยชน์ จากข้อมูลที่รั่ว โดยทำให้การเข้าถึงข้อมู ลในสภาพแวดล้อมแบบไฮบริดคลาวด์ เป็นไปได้ยากขึ้น
ช่องโหว่กลายเป็นวิกฤตสำหรั บบางองค์กร
รายงานของ X-Force เน้นถึ งจำนวนช่องโหว่ที่สูงเป็นประวั ติการณ์ในปี 2564 โดยช่องโหว่ ในระบบควบคุมอุตสาหกรรม (Industrial Control Systems: ICS) เพิ่มขึ้น 50% จากปีก่ อนหน้า แม้ว่าจะมีการเปิดเผยช่องโหว่ มากกว่า 146,000 รายการในช่ วงทศวรรษที่ผ่านมา แต่เนื่องจากในช่วงไม่กี่ปีที่ ผ่านมานี้ องค์กรต่างๆ ได้เร่งสปีดเส้นทางดิจิทัลของตน ซึ่งส่วนใหญ่แล้วล้วนเป็ นผลมาจากแรงหนุนจากการระบาดใหญ่ จึงคาดการณ์ได้ว่าความท้ าทายในการจัดการช่องโหว่ในปัจจุ บันยังไม่ถึงจุดสูงสุด
ในขณะเดียวกัน การแสวงหาประโยชน์ด้วยการโจมตี ช่องโหว่ก็ได้รับความนิยมมากขึ้ นเรื่อยๆ โดย X-Force พบการโจมตีในลั กษณะดังกล่าวเพิ่มขึ้น 33% เมื่ อเทียบกับปีก่อนหน้า พบช่องโหว่ที่ถูกโจมตีมากที่สุ ดในปี 2564 จำนวนสองจุด บนแอพพลิเคชันองค์กรที่มีการใช้ งานอย่างแพร่หลาย (Microsoft Exchange, Apache Log4J Library) เมื่อโครงสร้างพื้ นฐานดิจิทัลขยายตัว องค์กรจะเผชิญความท้าทายในการจั ดการช่องโหว่มากขึ้น การตรวจสอบและการดูแลให้ธุรกิ จปฏิบัติอย่างสอดคล้องต่อกฎข้ อบังคับต่างๆ จะกลายเป็นงานล้นมือขององค์กร สิ่งนี้ตอกย้ำถึงความสำคั ญของการดำเนินการตามสมมติฐานที่ ว่าองค์กรของตนได้ตกอยู่ ในความเสี่ยงแล้ว และต้องนำกลยุทธ์แบบ Zero Trust เข้ามาช่วยปกป้องสถาปั ตยกรรมของตนเอง
ผู้โจมตีมุ่งเป้าไปที่จุดร่ วมระหว่างคลาวด์
การสังเกตโดย X-Force ในปี 2564 พบว่าผู้โจมตีเปลี่ยนเป้ าหมายไปที่ container อย่าง Docker ซึ่งเป็นคอนเทนเนอร์รั นไทม์เอนจินที่โดดเด่นที่สุ ดตามข้อมูลจาก RedHat ผู้โจมตี ตระหนักดีว่าคอนเทนเนอร์เป็นพื้ นที่ร่วมในหลายองค์กร ดังนั้นจึงเพิ่มความพยายามเป็ นสองเท่าเพื่อเพิ่ม ROI ของตน ด้วยมัลแวร์ที่สามารถทำงานข้ ามแพลตฟอร์มและสามารถใช้เป็นจุ ดต่อไปยังคอมโพเนนท์อื่นๆ บนระบบโครงสร้างพื้นฐานของเหยื่ อ
รายงานดังกล่าว ยังเตือนว่าเหล่าอาชญากรได้ลงทุ นอย่างต่อเนื่องในมัลแวร์ Linux ซึ่งเรื่องนี้ไม่ ปรากฎในการสังเกตการณ์ครั้งก่ อนหน้านี้ โดยข้อมูลจาก Intezer ชี้ให้เห็ นการเพิ่มขึ้นของแรนซัมแวร์ Linux ที่มีโค้ดใหม่ถึง 146% วั นนี้อาชญากรยังคงมุ่งมั่ นแสวงหาวิธีในการสเกลการโจมตี บนสภาพแวดล้อมคลาวด์ ธุรกิจต่างๆ จึงต้องให้ความสำคัญกับการเพิ่ ม visibility ในโครงสร้างพื้ นฐานแบบไฮบริดของตน สภาพแวดล้อมไฮบริดคลาวด์ที่สร้ างขึ้นบนมาตรฐานที่เอื้อต่ อการทำงานข้ ามระบบและมาตรฐานแบบเปิด จะช่วยให้องค์กรสามารถตรวจจับจุ ดบอด เร่งสปีด และตอบสนองเหตุซิเคียวริตี้ได้ โดยอัตโนมัติ
ข้อค้นพบเพิ่มเติมจากรายงานปี 2565 ยังคลอบคลุมถึง
- เอเชียเป้าโจมตีสูงสุด จากการสั
งเกตของไอบีเอ็ม เอเชียประสบกับการโจมตีมากกว่า 1ใน 4 ของเหตุที่เกิดขึ้นทั่ วโลกในปี 2564 ซึ่งมากกว่าภูมิ ภาคอื่น โดยธุรกิจบริการทางการเงิ นและการผลิต ประสบกับเหตุโจมตีนับเป็นเกือบ 60% ของเหตุที่เกิดขึ้นทั้ งหมดในเอเชีย - การใช้โทรศัพท์ร่วมกับฟิชชิ่ง
ฟิชชิ่งเป็นสาเหตุการโจมตี ทางไซเบอร์ที่พบบ่อยที่สุดในปี 2564 ในการทดสอบการเจาะระบบของ X-Force Red อัตราการคลิกในแคมเปญฟิชชิ่ งเพิ่มขึ้นสามเท่าเมื่อทำร่วมกั บการโทรศัพท์
รายงานฉบับนี้ นำเสนอข้อมูลที่ไอบีเอ็ มรวบรวมจากทั่วโลกในปี 2564 เพื่ อมอบเป็นข้อมูลเชิงลึกเกี่ยวกั บแลนด์สเคปของภัยคุกคามทั่วโลก และเป็นมุมมองให้ผู้เชี่ยวชาญด้ านซิเคียวริตี้ได้ทราบถึงภัยคุ กคามที่เกี่ยวข้องกับองค์ กรตนมากที่สุด โดยสามารถดาวน์โหลด IBM Security X-Force Threat Intelligence Index ปี 2565 ฉบับเต็มได้ที่ h ttps://www.ibm.com/security/ data-breach/threat- intelligence/