Digitel Tech & AI
แคสเปอร์สกี้ระบุปี2024เซิร์ฟเวอร์ไทยถูก ละเมิด-ใช้โจมตีทางไซเบอร์เพิ่ม125.91%
กรุงเทพฯ-รายงานKasperskySecurityNetworkบันทึกเหตุการณ์อันตรายที่เกิดจากเซิร์ฟเวอร์ที่โฮสต์ในประเทศไทยเพิ่มขึ้นอย่างมากในปี2024แคสเปอร์สกี้ตรวจพบเหตุการณ์ดังกล่าวจำนวน732,620รายการซึ่งเพิ่มขึ้น125.91%เมื่อเทียบกับปี2023ที่ตรวจพบจำนวน324,295รายการ
ย้อนกลับไปในปี2019แคสเปอร์สกี้ตรวจพบเหตุการณ์อันตรายจากเซิร์ฟเวอร์ในประเทศไทยมากที่สุดโดยตรวจพบจำนวน1,088,189รายการและลดลงในอีกสองปีถัดมาคือปี2020(273,458รายการ)และปี2021(192,217รายการ)อย่างไรก็ตามจำนวนเหตุการณ์อันตรายได้เพิ่มขึ้นอีกครั้งในปี2022(364,219รายการ)และปี2023(324,295รายการ)และเพิ่มสูงสุดอีกครั้งเมื่อปีที่แล้วโดยแคสเปอร์สกี้ตรวจพบเหตุการณ์จำนวนทั้งสิ้น732,620รายการ
ผู้ก่อภัยคุกคามจะโจมตีและใช้เซิร์ฟเวอร์ที่ถูกละเมิดเพื่อโฮสต์เว็บไซต์ใช้ส่งมัลแวร์ผู้ใช้อินเทอร์เน็ตที่ไม่ทันระวังจะถูกหลอกล่อเข้าสู่เว็บไซต์อันตรายโดยใช้โฆษณาปลอมลิงก์ฟิชชิงในอีเมลSMSและวิธีการอื่นๆจากนั้นคอมพิวเตอร์และอุปกรณ์ของเหยื่อจะถูกอาชญากรไซเบอร์สำรวจเพื่อหาช่องโหว่และช่องทางละเมิดในขณะที่ผู้ใช้เผชิญกับภัยคุกคามออนไลน์จากสถานการณ์ดังกล่าวโซลูชันของแคสเปอร์สกี้จะตรวจจับและบล็อกภัยคุกคามนั้นอีกทั้งยังค้นหาและบันทึกแหล่งที่มาของภัยคุกคามด้วย
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้หกปีแล้วนับตั้งแต่พ.ศ.2562(2019)ประเทศไทยประสบกับเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคลหลายครั้งซึ่งเกิดจากอาชญากรไซเบอร์ที่แทรกซึมเข้าระบบและเกิดจากมาตรการป้องกันที่ไม่เพียงพอเหตุการณ์สำคัญในประเทศมีทั้งการละเมิดข้อมูลและการโจมตีโรงพยาบาลท้องถิ่นและโรงพยาบาลรัฐหลายแห่งสายการบินธนาคารและสมาคมธนาคารบริษัทประกันภัยเครือร้านอาหารทั่วประเทศระบบส่วนกลางรับนักศึกษามหาวิทยาลัยและระบบการลงทะเบียนวัคซีนของรัฐ
นายเอเดรียนเฮียกรรมการผู้จัดการภูมิภาคเอเชียแปซิฟิกแคสเปอร์สกี้กล่าวว่า“เหตุการณ์ด้านความปลอดภัยไซเบอร์ที่เกิดจากเซิร์ฟเวอร์ที่ถูกละเมิดในประเทศไทยเพิ่มสูงขึ้นอย่างมากทั้งนี้ภาคส่วนศูนย์ข้อมูลของไทยกำลังขยายตัวอย่างรวดเร็วคาดการณ์ว่ามูลค่าตลาดจะเพิ่มขึ้นอย่างเห็นได้ชัดในอีกไม่กี่ปีข้างหน้าการเติบโตนี้ได้รับแรงหนุนจากปัจจัยต่างๆเช่นการใช้บริการคลาวด์ที่เพิ่มขึ้นการเปลี่ยนแปลงทางดิจิทัลที่มากขึ้นและความต้องการโซลูชันการจัดเก็บและประมวลผลข้อมูลที่เพิ่มขึ้นคาดว่าภายในปี2030ตลาดจะมีมูลค่าถึง1.5พันล้านดอลลาร์สหรัฐซึ่งสะท้อนถึงอัตราการเติบโตเฉลี่ยต่อปีแบบทบต้น(CAGR)ประมาณ13.1%เห็นได้ชัดว่าอาชญากรไซเบอร์รับรู้ถึงการเติบโตของศูนย์ข้อมูลในประเทศและเกาะกระแสนี้เพื่อหาประโยชน์”
ผลกระทบจากการโจมตีทางไซเบอร์ที่ร้ายแรงอาจขยายวงออกไปเกินขอบเขตของไอทีและความปลอดภัยทั้งหมดการตอบสนองต่อการโจมตีในเบื้องต้นควรให้ความสำคัญกับการระบุควบคุมและกู้คืนทั้งนี้การพิจารณาถึงสิ่งที่เกิดขึ้นหลังจากเหตุการณ์ผ่านไปก็มีความสำคัญไม่แพ้กันแม้ว่าการตอบสนองต่อเหตุการณ์อย่างรวดเร็วจะช่วยไม่ให้เกิดความเสียหายอย่างมีนัยสำคัญ แต่ประเด็นสำคัญคือองค์กรควรพิจารณาสิ่งต่างๆ เพื่อปรับปรุงความสามารถในการป้องกันการโจมตีที่คล้ายคลึงกันในอนาคต
แนวทางปฏิบัติหลังเกิดเหตุโจมตีทางไซเบอร์เพื่อยกระดับความปลอดภัยโดยรวมขององค์กร
•การมีส่วนร่วมของบุคลากร
นอกจากทีมไอทีและความปลอดภัยแล้ว ผู้บริหารระดับสูงผู้มีส่วนได้ส่วนเสียในระบบไอทีและเวนเดอร์บุคคลที่สามที่ได้รับผลกระทบจากเหตุการณ์หรือมีส่วนร่วมในการตอบสนองควรมีส่วนร่วมกันการสร้างบรรยากาศการทำงานที่มีประสิทธิภาพเป็นสิ่งสำคัญข้อผิดพลาดจะได้รับการแก้ไขควรหลีกเลี่ยงการกล่าวโทษและการจัดการข้อมูลเนื่องจากจะทำลายความปลอดภัยในระยะยาวขององค์กร
บริษัทหลายแห่งเลือกที่จะเก็บรายละเอียดของเหตุการณ์ไว้เป็นความลับเนื่องจากกังวลเรื่องความเสียหายต่อชื่อเสียงหรือเสี่ยงเผชิญกับการโจมตีที่คล้ายกันในอนาคตซึ่งเป็นเรื่องที่เข้าใจได้และข้อมูลบางส่วนควรเก็บเป็นส่วนตัวแต่สิ่งสำคัญคือต้องมุ่งเน้นให้มีความโปร่งใสสูงสุดในการตอบสนองต่อเหตุการร์ควรสื่อสารรายละเอียดของการโจมตีและมาตรการที่ดำเนินการแก่เครือข่ายที่เชื่อถือได้ในชุมชนความปลอดภัยไซเบอร์ซึ่งสามารถช่วยให้ผู้อื่นหลีกเลี่ยงเหตุการณ์ที่คล้ายกันได้
• การวิเคราะห์เหตุการณ์โดยละเอียด
การวิเคราะห์หลังเหตุการณ์ช่วยให้ได้ข้อมูลเชิงลึกที่ลึกซึ้งยิ่งขึ้น เช่น ผู้ไม่หวังดีเจาะเข้าไปในองค์กรได้อย่างไรและเมื่อใด จุดอ่อนและช่องโหว่ใดบ้างที่ถูกใช้ประโยชน์ การโจมตีเกิดขึ้นได้อย่างไร การระบุการกระทำของผู้โจมตีและความพยายามในการตอบสนองเป็นไทม์ไลน์จะช่วยระบุได้ว่าความผิดปกติถูกตรวจพบเมื่อใด ดำเนินการตอบสนองอย่างไร ทีมงานที่เกี่ยวข้องทั้งหมดได้รับการติดต่อทันทีหรือไม่ และปฏิบัติตามสถานการณ์การยกระดับปัญหาหรือไม่
ควรบันทึกคำตอบอย่างละเอียดถี่ถ้วน รวมถึงบันทึก SIEM ไทม์สแตมป์สำหรับตัวจัดการงาน ไทม์สแตมป์สำหรับอีเมลที่ส่ง เป็นต้น วิธีนี้จะช่วยสร้างภาพรวมที่สมบูรณ์และละเอียดถี่ถ้วน ทำให้ประเมินความเร็วและประสิทธิภาพของขั้นตอนการตอบสนองแต่ละขั้นตอนได้
นอกจากนี้ จำเป็นต้องประเมินผลกระทบต่อส่วนอื่นๆ ของธุรกิจ เช่น ความต่อเนื่องในการดำเนินงาน ความสมบูรณ์ของข้อมูลและการรั่วไหล การสูญเสียทางการเงิน และชื่อเสียงของบริษัท เพื่อช่วยสร้างสมดุลระหว่างขนาดและต้นทุนของเหตุการณ์กับขนาดและต้นทุนของมาตรการในการเสริมสร้างความปลอดภัยของข้อมูล
• การระบุจุดแข็งและจุดอ่อน
รายงานทางเทคนิคอาจระบุว่าผู้โจมตีเข้าสู่ระบบโดยใช้ช่องโหว่เฉพาะ องค์กรจึงต้องแก้ไขช่องโหว่นั้นบนเซิร์ฟเวอร์ทั้งหมด ทั้งนี้รายงานควรระบุรายละเอียดสำคัญ เช่น ช่องโหว่นี้ไม่ได้รับการแก้ไขนานเพียงใด มีช่องโหว่อื่นๆ บนเซิร์ฟเวอร์หรือไม่ มีการกำหนดลำดับความสำคัญของช่องโหว่ภายในบริษัทหรือไม่
แต่ละขั้นตอนที่ได้รับผลกระทบจากเหตุการณ์โจมตีจำเป็นต้องมีการสืบสวนเพื่อตรวจสอบปัญหาความปลอดภัยที่ทำให้เกิดเหตุการณ์นั้น การสืบสวนและการพิจารณาควรพิจารณาในเชิงบวกว่าทีมงานตอบสนองอย่างรวดเร็วและมีประสิทธิภาพหรือไม่ เทคโนโลยีที่มีอยู่ช่วยในการบรรเทาผลกระทบหรือไม่ ประสบการณ์นี้สามารถนำไปใช้ในที่อื่นได้หรือไม่
• การวางแผนการปรับปรุง
การวางแผนเพื่อการปรับปรุงเป็นขั้นตอนที่สร้างสรรค์ที่สุดและท้าทายที่สุดในการวิเคราะห์เหตุการณ์ องค์กรจำเป็นต้องพัฒนาขั้นตอนที่มีประสิทธิผลและทำได้จริงเพื่อแก้ไขจุดอ่อนทั้งที่ทรัพยากรจำกัด ประเด็นที่ควรพิจารณาในแผนงาน ได้แก่ การอัปเดตแผนที่ทรัพยากรไอที เทคโนโลยีการตรวจจับและการตอบสนอง กระบวนการและนโยบาย และปัจจัยด้านมนุษย์และพฤติกรรม การให้ผู้บริหารระดับสูงมีส่วนร่วมในกระบวนการนี้เป็นประโยชน์อย่างยิ่ง
การปฏิบัติตามกระบวนการใหม่อาจมีความท้าทายมากกว่าและต้องใช้ความพยายามเป็นพิเศษในการฝึกอบรม เอกสารแจ้งเตือนจากผู้บริหารและโปรแกรมจูงใจมีส่วนช่วยให้การนำกฎระเบียบใหม่มาใช้โดยสมบูรณ์
• การเตรียมพร้อมสำหรับเหตุการณ์ครั้งต่อไป
ในทางทฤษฎีมาตรการทั้งหมดที่ระบุไว้ข้างต้นจะช่วยเพิ่มความสามารถในการรับมือด้านความปลอดภัยไซเบอร์และความพร้อมสำหรับเหตุการณ์ต่างๆแต่เพื่อให้แน่ใจในผลลัพธ์ควรตรวจสอบประสิทธิผลของมาตรการด้วยการฝึกซ้อมด้านความปลอดภัยทางไซเบอร์การทดสอบการเจาะระบบการทำงานเป็นทีมการจำลองเหตุการณ์ทางไซเบอร์ที่เกิดขึ้นจริงเหล่านี้มีวัตถุประสงค์ที่แตกต่างกันดังนั้นการผสมผสานที่เหมาะสมที่สุดจึงขึ้นอยู่กับองค์กรและมาตรการที่ใช้หลังจากเกิดเหตุการณ์
การนำมาตรการด้านความปลอดภัยและการปรับปรุงทั้งหมดมาใช้เป็นกระบวนการที่ใช้เวลานานและเป็นระยะๆดังนั้นจำเป็นต้องมีการประชุมกับทุกฝ่ายที่เกี่ยวข้องเป็นประจำเพื่อรวบรวมข้อเสนอแนะหารือเรื่องการนำไปปฏิบัติจัดการกับความท้าทายสำรวจการปรับปรุงด้านความปลอดภัยเพิ่มเติมและติดตามความคืบหน้าอย่างมีประสิทธิภาพ
“มาตรการด้านความปลอดภัยหลายชั้นเป็นสิ่งจำเป็นเพื่อจัดการกับการเติบโตของการโจมตีไซเบอร์เราพบว่าการโจมตีมีความซับซ้อนเพิ่มขึ้นโดยใช้APT และช่องโหว่ในซัพพลายเชนที่กำหนดเป้าหมายไปที่โครงสร้างพื้นฐานที่สำคัญและข้อมูลที่ละเอียดอ่อนองค์กรควรเน้นที่มาตรการด้านความปลอดภัยเชิงรุกที่สอดคล้องกับโครงการของรัฐบาลความร่วมมือในแวดวงอุตสาหกรรมและความรับผิดชอบของแต่ละบุคคลซึ่งรวมถึงการแบ่งปันคลังข้อมูลภัยคุกคามที่มีประสิทธิภาพการตรวจสอบความปลอดภัยอย่างต่อเนื่องโดยใช้ความสามารถในการตรวจจับขั้นสูงเช่นAI และML รวมถึงการฝึกอบรมความตระหนักด้านความปลอดภัยแก่พนักงานเพื่อลดความเสี่ยงจากฟิชชิงและวิศวกรรมทางสังคม”นายเอเดรียนกล่าวเสริม
‘การป้องกันนั้นดีกว่าการแก้ไขเสมอ’ทั้งนี้แคสเปอร์สกี้ขอแนะนำให้ธุรกิจทุกขนาดดำเนินการเพื่อปกป้องระบบจากการถูกละเมิดดังต่อไปนี้
- ใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ที่เข้มงวดซึ่งรวมถึงการใช้ไฟร์วอลล์ระบบตรวจจับการบุกรุกและซอฟต์แวร์รักษาความปลอดภัยทางไซเบอร์KasperskyNextเพื่อปกป้องอุปกรณ์เอ็นด์พ้อยต์
- สำรองข้อมูลเป็นประจำหากถูกโจมตีการสำรองข้อมูลจะทำให้สามารถกู้คืนไฟล์ได้โดยไม่ต้องจ่ายค่าไถ่
- อัปเดตซอฟต์แวร์บนอุปกรณ์ทั้งหมดที่ใช้เพื่อป้องกันไม่ให้ผู้โจมตีใช้ประโยชน์จากช่องโหว่และแทรกซึมเครือข่าย
- สำหรับบริษัทขนาดใหญ่ควรพิจารณาพัฒนาโครงสร้างพื้นฐานที่แข็งแกร่งขึ้นโดยตั้งศูนย์ปฏิบัติการรักษาความปลอดภัยโดยใช้เครื่องมือSIEM(การจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย)เช่นKasperskyUnifiedMonitoringandAnalysisPlatform(KUMA)ซึ่งเป็นคอนโซลรวมสำหรับตรวจสอบและวิเคราะห์เหตุการณ์ด้านความปลอดภัยของข้อมูลและโซลูชันKasperskyNextXDRซึ่งเป็นโซลูชันรักษาความปลอดภัยไซเบอร์ที่แข็งแกร่งซึ่งป้องกันภัยคุกคามทางไซเบอร์ที่ซับซ้อนได้
- การให้ความรู้แก่พนักงานเกี่ยวกับความปลอดภัยทางไซเบอร์ผ่านเครื่องมือKasperskyAutomatedSecurityAwarenessPlatformพนักงานควรตระหนักถึงความเสี่ยงจากภัยคุกคามไซเบอร์และวิธีการป้องกันตนเองจากความเสี่ยงต่างๆ