เมื่อ AI ช่วยให้แฮกเกอร์โจมตี “ง่าย” ขึ้น
การเติบโตของปฏิบัติการอาชญากรรมทางไซเบอร์ในรูปการบริการ หรือ Cybercrime-as-a-Service (CaaS) รวมถึงการเกิดขึ้นของ Generative AI ทำให้ผู้ก่อภัยคุกคามมีตัวช่วยให้ทำงาน “ง่าย” ยิ่งขึ้นเพียงแค่ปลายนิ้วสัมผัส ที่ช่วยให้โจมตีได้ง่ายดายกว่าที่ผ่านมา ซึ่งการใช้เครื่องมือที่มีประสิทธิภาพสูงขึ้น ทำให้กลุ่มผู้ไม่ประสงค์ดีสามารถเพิ่มความซับซ้อนในการโจมตีได้ดี ทำให้กลุ่มคนเหล่านี้สามารถโจมตีโดยเจาะจงเป้าหมายได้มากขึ้นและปกปิดตัวตนได้ดีขึ้น โดยเป็นการออกแบบเพื่อให้สามารถหลบหลีกมาตรการควบคุมความปลอดภัยที่แข็งแกร่ง และดำเนินการได้คล่องตัวมากขึ้นด้วยการทำให้ยุทธวิธีในการโจมตีทั้งหมดมีประสิทธิภาพมากยิ่งขึ้น
ในรายงานการคาดการณ์ภัยคุกคามปี 2024 ทีมทำงานจาก FortiGuard Labs ของฟอร์ติเน็ต ได้มองไปสู่ยุคใหม่ของอาชญากรรมไซเบอร์ขั้นสูง โดยตรวจสอบว่า AI กําลังเปลี่ยนเกมการโจมตีไปสู่รูปแบบใด พร้อมให้แนวโน้มภัยคุกคามใหม่ที่ต้องจับตามองทั้งในปีนี้และปีต่อๆ ไป รวมถึงให้คำแนะนำแก่องค์กรธุรกิจถึงวิธีการเสริมสร้างความยืดหยุ่นโดยรวมเพื่อรับมือกับภัยคุกคามทางไซเบอร์ที่มีพัฒนาการก้าวหน้าตลอดเวลา
วิวัฒนาการของภัยคุกคามที่นิยมใช้มานาน
เราได้เฝ้าสังเกตุพร้อมทั้งแลกเปลี่ยนความคิดเห็นเกี่ยวกับยุทธวิธีการโจมตีซึ่งเป็นที่นิยมใช้มานานหลายปี และได้รวบรวมหัวข้อเหล่านี้ไว้ในรายงานฉบับก่อนหน้า ซึ่งการโจมตีด้วยวิธีการ “คลาสสิค” ยังไม่ได้หายไปไหน ขณะเดียวกันก็มีการพัฒนาและก้าวหน้ามากขึ้น เพราะผู้โจมตีสามารถเข้าถึงทรัพยากรใหม่ๆ ได้ ยกตัวอย่าง เรื่องของอาชญากรรมไซเบอร์ขั้นสูงที่โจมตีต่อเนื่อง (Advanced Persistent Cybercrime) เราคาดการณ์ว่าจะมีกิจกรรมการโจมตีเพิ่มขึ้นในกลุ่มที่เป็นภัยคุกคามต่อเนื่องขั้นสูง (APT) นอกจากวิวัฒนาการในการโจมตีแบบ APT แล้ว เราคาดว่าในกลุ่มอาชญากรรมไซเบอร์โดยทั่วไปจะปรับเปลี่ยนเป้าหมายและวิธีการโจมตี โดยมุ่งเน้นการโจมตีโดยใช้วิธีการที่ซับซ้อนและสร้างความเสียหายมากขึ้น อีกทั้งยังพุ่งเป้าไปที่การทำให้ระบบให้บริการไม่ได้ (denial of service) รวมถึงการขู่กรรโชกทรัพย์
“สงครามแย่งชิงอาณาเขต” ของอาชญากรรมไซเบอร์ยังคงดำเนินต่อไป ผู้โจมตีหลายกลุ่มต่างพุ่งไปยังเป้าหมายเดียวกันและนำแรนซัมแวร์หลากหลายรูปแบบมาใช้ บ่อยครั้งการโจมตีจะเกิดขึ้นภายใน 24 ชั่วโมงหรือน้อยกว่านั้น ในความเป็นจริง เรายังสังเกตเห็นกิจกรรมการโจมตีรูปแบบดังกล่าวเพิ่มขึ้น อย่างที่ FBI ได้ออกคําเตือนไปยังองค์กรต่างๆ เกี่ยวกับเรื่องนี้มาตั้งแต่ช่วงต้นปี
อีกเรื่องที่ไม่ควรลืม คือวิวัฒนาการของ Generative AI การนำ AI ไปใช้เป็นอาวุธเพื่อการโจมตีถือเป็นการเติมเชื้อเพลิงให้กับกองไฟที่กำลังลุกโชน ด้วยการหยิบยื่นวิธีการง่ายๆ ให้ผู้โจมตีได้ใช้เพื่อยกระดับการโจมตีในหลายขั้นตอน ซึ่งจากที่เราเคยคาดการณ์ไว้ในอดีต เรากำลังได้เห็นอาชญากรไซเบอร์นำ AI มาใช้สนับสนุนกิจกรรมประสงค์ร้ายด้วยวิธีใหม่ๆ กันมากยิ่งขึ้น ไม่ว่าจะเป็นการหลบเลี่ยงการตรวจจับความพยายามในการหลอกลวงโดยใช้จิตวิทยาทางสังคม หรือ Social Engineering ไปจนถึงการเลียนแบบพฤติกรรมมนุษย์ เป็นต้น
แนวโน้มภัยคุกคามใหม่ล่าสุด ที่น่าจับตามองในปี 2024 และปีต่อๆ ไป
ในขณะที่อาชญากรไซเบอร์มักจะอาศัยยุทธวิธีและเทคนิคที่เคยลองแล้วได้ผลดีมาตลอด มาใช้หาเงินอย่างรวดเร็ว ปัจจุบัน บรรดาผู้โจมตีมีเครื่องมือมากมายที่พร้อมนำมาใช้สนับสนุนการโจมตี และเมื่ออาชญากรรมทางไซเบอร์มีการพัฒนาอย่างต่อเนื่อง เราคาดการณ์ว่าจะได้เห็นแนวโน้มใหม่อีกหลายอย่างเกิดขึ้นในปี 2024 และปีต่อๆ ไป และนี่คือภาพส่วนหนึ่งที่เราคาดว่าจะเกิดขึ้น
แผนการโจมตีเหนือชั้น – ในช่วงไม่กี่ปีที่ผ่านมา การโจมตีด้วยแรนซัมแวร์ทั่วโลกเพิ่มสูงขึ้นอย่างรวดเร็ว ทําให้องค์กรทุกแห่งไม่ว่าขนาดเล็กหรือใหญ่ หรือไม่ว่าอุตสาหกรรมใดก็ตาม ต่างตกเป็นเป้าหมายการโจมตีทั้งสิ้น อย่างไรก็ตาม ขณะที่อาชญากรไซเบอร์จำนวนมากใช้แรนซัมแวร์ในการโจมตีเพื่อกอบโกยรายได้ กลุ่มอาชญากรรมต่างๆ กำลังละความสนใจอย่างรวดเร็วจากกลุ่มเป้าหมายขนาดเล็กและโจมตีง่าย เมื่อมองไปข้างหน้า เราคาดการณ์ว่าผู้โจมตีทั้งหลายจะหันมาใช้กลยุทธ์ “มุ่งเป้าหมายใหญ่ แล้วไปให้สุด” โดยหันมามุ่งเป้าอุตสาหกรรมหลักสำคัญ อย่าง การแพทย์-สาธารณสุข การเงิน การขนส่ง จนถึงสาธารณูปโภค ซึ่งหากอุตสาหกรรมเหล่านี้ถูกโจมตีจะส่งผลกระทบที่รุนแรงต่อสังคม ทําให้ผู้โจมตีได้รับผลตอบแทนมหาศาล และผู้โจมตีก็จะขยายแผนการโจมตี ด้วยการสร้างกิจกรรมการโจมตีที่เน้นตัวบุคคลมากขึ้น รุนแรงขึ้น และทำลายล้างมากขึ้น
ยุคใหม่ของ Zero Days – ขณะที่องค์กรธุรกิจต่างขยายไปสู่การใช้งานแพลตฟอร์ม แอปพลิเคชัน และเทคโนโลยีต่างๆ มากมาย เพื่อการดำเนินงานในทุกวัน อาชญากรไซเบอร์เองก็มีโอกาสมากเป็นพิเศษที่จะค้นพบช่องโหว่และใช้ประโยชน์จากช่องโหว่เหล่านี้ เราสังเกตเห็นการโจมตีแบบ Zero Days จำนวนมากที่มีการบันทึกไว้ รวมถึงช่องโหว่ด้านความปลอดภัยที่มีการเปิดเผยสู่สาธารณะ หรือ Common Vulnerabilities and Exposures (CVEs) ที่เกิดขึ้นในปี 2023 ซึ่งยังคงมีปริมาณเพิ่มขึ้นอย่างต่อเนื่อง เนื่องจากช่องโหว่ Zero Days มีค่าอย่างยิ่งสำหรับบรรดาผู้โจมตี เราคาดว่าจะได้เห็นนายหน้า หรือโบรกเกอร์ของ Zero Days ซึ่งเป็นกลุ่มอาชญากรที่นำเอา Zero Days ไปขายในตลาดมืด (Dark Web) ให้กับผู้ซื้อจำนวนมาก ในชุมชน CaaS ขณะเดียวกัน ช่องโหว่แบบ N-day ก็ยังคงเป็นความเสี่ยงสำคัญต่อองค์กรเช่นกัน
การใช้กลยุทธ์ปรับเปลี่ยนตามเกม – หลายองค์กรกำลังยกระดับการควบคุมความปลอดภัยพร้อมกับนำเทคโนโลยีและกระบวนการใหม่ๆ มาช่วยเสริมการป้องกันให้แข็งแกร่ง การยกระดับการควบคุมนี้สร้างความลำบากให้กับผู้โจมตีในการแทรกซึมสู่เครือข่ายจากภายนอก ดังนั้น อาชญากรไซเบอร์จึงต้องหาวิธีการใหม่ๆ ในการเข้าถึงเป้าหมาย โดยในเรื่องนี้ เราคาดการณ์ว่าผู้โจมตีจะใช้วิธีเปลี่ยนกลยุทธ์ตามเกมการป้องกัน ไม่ว่าจะเป็นการศึกษาสภาพแวดล้อมโดยรอบ และการใช้ข้อมูลหรือเทคโนโลยีเพื่อสร้างความเสียหาย ไปพร้อมกับกลุ่มคนที่สรรหามาร่วมงานจากภายในองค์กรเป้าหมายด้วยวัตถุประสงค์เพื่อเข้าถึงภายในองค์กรให้ได้ก่อน
มุ่งโจมตีด้วย “กิจกรรมมวลชน” (We the People Attacks) – ในอนาคต เราคาดว่าจะเห็นผู้โจมตีใช้ประโยชน์จากเหตุการณ์ทางการเมืองและโอกาสที่ขับเคลื่อนโดยอีเว้นท์ต่างๆ อาทิ การเลือกตั้งประธานาธิบดีสหรัฐอเมริกาในปี 2024 และการแข่งขันกีฬาโอลิมปิกที่ปารีสในปี 2024 ในขณะที่ฝ่ายตรงข้ามมุ่งเป้าไปที่อีเว้นท์สำคัญๆ อาชญากรไซเบอร์ในปัจจุบันก็มีเครื่องมือใหม่ๆ เพื่อการใช้งาน โดยเฉพาะอย่างยิ่งคือ AI เชิงสร้างสรรค์ หรือ Generative AI เพื่อสนับสนุนการโจมตี
ลดพื้นที่การโจมตีด้วย TTP – ผู้โจมตีจะยังคงขยายการโจมตีแบบครบชุด ทั้งวิธีการ (Tactics) กลยุทธ์ (Technique) และขั้นตอนต่างๆ ในการโจมตี (Procedures) หรือ TTPs เพื่อสร้างช่องโหว่หรือจุดอ่อนให้กับองค์กรที่เป็นเป้าหมาย อย่างไรก็ตาม ฝ่ายป้องกันสามารถสร้างความได้เปรียบด้วยการหาวิธีที่ทำให้โจมตีไม่สำเร็จ ในขณะที่งานประจำในแต่ละวันของฝ่ายป้องกันความปลอดภัยบนไซเบอร์เกี่ยวข้องกับการบล็อก หรือป้องกันจุดที่ถูกบ่งชี้ว่าเป็นความเสี่ยง การเฝ้าระวังการโจมตีแบบ TTPs ที่ผู้โจมตีมักนำมาใช้บ่อยๆ ถือเป็นเรื่องที่มีประโยชน์อย่างมาก เพราะช่วยลดพื้นที่การโจมตีให้แคบลง อีกทั้งยังช่วยให้สามารถค้นพบจุดยุทธศาสตร์สำคัญในการวางหมากเพื่อรับมือ
สร้างพื้นที่การโจมตี 5G มากขึ้น – การเข้าถึงเทคโนโลยีที่เชื่อมต่อกันเป็นวงกว้างมากขึ้น จะทำให้อาชญากรไซเบอร์พบโอกาสใหม่ในการสร้างช่องโหว่ในระบบอย่างที่ไม่สามารถหลีกเลี่ยงได้ ยิ่งมีอุปกรณ์ใหม่ๆ เพิ่มเข้ามาในโลกออนไลน์มากขึ้นทุกวัน ทำให้เราคาดการณ์ว่าอาชญากรไซเบอร์จะใช้ข้อได้เปรียบที่เพิ่มขึ้นมากมายในการโจมตีอุปกรณ์ที่เชื่อมต่อกันเหล่านี้ในอนาคต การโจมตีโครงสร้างพื้นฐาน 5G ที่ประสบความสำเร็จสามารถสร้างความเสียหายให้กับอุตสาหกรรมหลักต่างๆ ได้อย่างง่ายดาย ไม่ว่าจะเป็นอุตสาหกรรมน้ำมันและก๊าซ การขนส่ง ความปลอดภัยสาธารณะ การเงิน ตลอดจนการแพทย์สาธารณสุข
การเดินทางสู่ยุคใหม่ของอาชญากรรมไซเบอร์
อาชญากรรมไซเบอร์ส่งผลกระทบต่อทุกคน และแผ่ขยายเป็นวงกว้าง อย่างไรก็ตาม ไม่ได้หมายความว่าผู้ก่อภัยคุกคามจะได้เปรียบเสมอไป ชุมชนด้านการรักษาความปลอดภัยของเราสามารถดำเนินการได้ในหลายรูปแบบเพื่อช่วยคาดการณ์ความเคลื่อนไหวขั้นต่อไปของอาชญากรไซเบอร์ อีกทั้งขัดขวางกิจกรรมก่อการร้ายเหล่านี้ได้ ด้วยความร่วมมือของภาครัฐและภาคเอกชนในการแบ่งปันข้อมูลความรู้เกี่ยวกับภัยคุกคาม รวมถึงการใช้มาตรการที่เป็นมาตรฐานในการรายงานเหตุการณ์ที่เกิดขึ้น และอื่นๆ มาช่วยรับมือ
นอกจากนี้ องค์กรยังมีบทบาทสำคัญในการขัดขวางกระบวนการทำงานของกลุ่มอาชญากรรมไซเบอร์ เริ่มจากการสร้างวัฒนธรรมการป้องกันและเตรียมความพร้อมในการรับมือกับการโจมตี ด้วยการกำหนดให้การรักษาความปลอดภัยบนไซเบอร์เป็นหน้าที่ของทุกคน โดยนำแนวคิดริเริ่มต่างๆ เข้ามาใช้ ยกตัวอย่าง โปรแกรมการฝึกอบรมด้านความมั่นคงปลอดภัยสำหรับองค์กรในองค์รวม รวมถึงกิจกรรมที่มุ่งเน้นมากขึ้น อาทิ การฝึกอบรมแบบ Tabletop Exercises สำหรับผู้บริหาร ที่จะเป็นการซักซ้อมเกี่ยวกับบทบาทและการตอบสนองของทีมในสถานการณ์ฉุกเฉิน รวมถึง การหาแนวทางในการลดช่องว่างของทักษะด้านไซเบอร์ซีเคียวริตี้ เช่น การหากลุ่มคนที่มีความสามารถใหม่ๆ เข้ามาทำในตำแหน่งงานที่ยังว่างอยู่ จะช่วยให้องค์กรเดินหน้ารับมือกับปัญหาเจ้าหน้าที่ด้าน IT และความปลอดภัยที่มีงานล้นมือ รวมถึงภาพรวมภัยคุกคามที่เพิ่มขึ้นได้ ทั้งนี้ การแบ่งปันข้อมูลด้านภัยคุกคามจะยิ่งทวีความสำคัญมากขึ้นในอนาคต เพราะนี่คือสิ่งที่จะช่วยให้เคลื่อนไหวในการป้องกันได้อย่างรวดเร็ว