ไอบีเอ็มเปิดเผยรายงานแนวโน้มและความเสี่ยง X-Force ประจำครึ่งปี 2556 ชี้ลักษณะการโจมตีมีการเปลี่ยนแปลงอย่างต่อเนื่อง องค์กรธุรกิจจำเป็นที่จะต้องเพิ่มความรู้เกี่ยวกับช่องโหว่ และจุดอ่อนด้านความปลอดภัย เพื่อรับมือกับภัยคุกคามได้อย่างมีประสิทธิภาพ...

ไอบีเอ็มเปิดเผยรายงานแนวโน้มและความเสี่ยง X-Force ประจำครึ่งปี 2556 ระบุว่า องค์กรธุรกิจจำเป็นที่จะต้องเพิ่มพูนความรู้เกี่ยวกับช่องโหว่และจุดอ่อนด้านความปลอดภัยเพราะลักษณะการโจมตีมีการเปลี่ยนแปลงอย่างต่อเนื่อง ด้วยปัจจัยทางเทคโนโลยีโมบายล์และโซเชียล องค์กรจึงต้องพร้อมต่อสู้กับภัยคุกคามด้านความปลอดภัยใหม่ๆ ได้อย่างมีประสิทธิภาพ

ขณะนี้ ผู้บริหารฝ่ายรักษาความปลอดภัยสารสนเทศ หรือ ซีไอเอสโอ (Chief Information Security Officer) ตระหนักดีว่าการโจมตีในรูปแบบต่างๆ ไม่ว่าจะประสบผลสำเร็จหรือไม่ สามารถก่อให้เกิดความเสียหายอย่างมากต่อองค์กร และจุดอ่อนด้านความปลอดภัยที่ไม่ได้รับการแก้ไขป้องกันในเว็บแอพพลิเคชั่น รวมไปถึงซอฟต์แวร์บนเซิร์ฟเวอร์ และอุปกรณ์ของผู้ใช้ ก็เสี่ยงต่อการเปิดให้ถูกโจมตีในภายหลัง  แอพพลิเคชั่นและซอฟต์แวร์ที่มีช่องโหว่ ยังคงถูกใช้เป็นช่องทางในการละเมิดระบบรักษาความปลอดภัยปีแล้วปีเล่า 

อย่างไรก็ตาม รายงาน X-Force ฉบับล่าสุดชี้ว่า แฮกเกอร์หรือผู้โจมตีในปัจจุบันได้พัฒนาทักษะของตนเอง เพื่อเพิ่มผลตอบแทนจากการเจาะเข้าสู่ระบบขององค์กร ผู้โจมตีเหล่านี้ใช้ประโยชน์จากความไว้ใจของผู้ใช้เพื่อดำเนินการโจมตีในรูปแบบใหม่ๆ เช่น การใช้โซเชียลมีเดีย เทคโนโลยีโมบายล์ และการโจมตีด้วยการฝังโค้ดอันตรายไว้ในเว็บไซต์ยอดนิยม หรือที่เรียกว่าการโจมตีในรูปแบบ Watering Hole

ฉวยประโยชน์จากสังคมออนไลน์ที่ได้รับความไว้วางใจ

ในช่วงกลางปี 2556 ผู้โจมตียังคงมุ่งเน้นการใช้ประโยชน์จากสัมพันธภาพที่ได้รับความไว้วางใจผ่านทางโซเชียลเน็ตเวิร์ก ตั้งแต่การส่งอีเมล์สแปมที่ดูเป็นมืออาชีพ ไปจนถึงการส่งลิงก์อันตรายที่ดูเหมือนว่าจะมาจากเพื่อนหรือคนที่คุณกำลัง “ติดตาม” การโจมตีเหล่านี้ใช้การได้จริง และเป็นช่องทางที่ทำให้แฮกเกอร์สามารถเจาะเข้าสู่ระบบขององค์กร เพื่อรับมือกับการโจมตีดังกล่าว โซเชียลเน็ตเวิร์กได้ดำเนินมาตรการเชิงรุกมากขึ้นในการสแกนลิงก์ต่างๆ ที่ปรากฏอยู่ในโพสต์ ทั้งข้อความสาธารณะและส่วนตัว

อาชญากรกำลังขายบัญชีหรือแอคเคาท์บนโซเชียลเน็ตเวิร์ก โดยบางบัญชีมีเจ้าของอยู่แล้ว แต่ข้อมูลรหัสผ่านถูกเปิดเผย ส่วนบัญชีอื่นๆ ก็เป็นบัญชีที่สร้างขึ้นและออกแบบให้ดูน่าเชื่อถือด้วยโปรไฟล์และเครือข่ายการติดต่อที่ดูสมจริง ทั้งยังมีการสร้างยอด ‘ไลค์’ หรือปลอมแปลงความคิดเห็น และขณะเดียวกันก็ปกปิดตัวตนที่แท้จริงเพื่อก่ออาชญากรรม ซึ่งเปรียบได้กับการปลอมแปลงบัตรประชาชน แต่เพิ่มความน่าเชื่อถือให้ตนเองด้วยกลุ่มเพื่อนๆ

ทีมงาน X-Force ของไอบีเอ็มคาดว่าการใช้ เทคนิคล่อลวง (Social Engineering) จะมีความก้าวหน้ามากขึ้น โดยผู้โจมตีจะสร้างเครือข่ายตัวตนผู้ใช้ที่ซับซ้อน พร้อมทั้งปรับแต่งวิธีการหลอกล่อเหยื่ออย่างแนบเนียน แม้ว่าองค์กรจะใช้เทคโนโลยีและระบบควบคุมที่ทันสมัย และมีการกำหนดและปรับใช้แนวทางปฏิบัติที่เหมาะสม แต่ท้ายที่สุดแล้วความไว้วางใจของผู้ใช้ก็อาจนำไปสู่การหลบเลี่ยงมาตรการต่างๆ ของฝ่ายรักษาความปลอดภัย

การวางยาในเว็บไซต์ยอดนิยม

วิธีการโจมตีแบบหนึ่งที่ใช้งานได้อย่างมีประสิทธิภาพก็คือ ผู้โจมตีเจาะกลุ่มเป้าหมายด้วยการฝังมัลแวร์ไว้ในเว็บไซต์ที่ผู้ใช้เป้าหมายมักจะเข้าเยี่ยมชม บางเว็บไซต์อาจไม่มีโซลูชั่นและนโยบายการรักษาความปลอดภัยที่รัดกุมและแข็งแกร่งเพียงพอ หรือถึงแม้ว่าจะมีระบบรักษาความปลอดภัยที่เข้มงวด บรรดาแฮกเกอร์ก็ยังถือว่าคุ้มค่า ที่จะพยายามเจาะเข้าสู่ระบบเพื่อให้เข้าถึงฐานผู้ใช้

การโจมตีด้วยเทคนิค “Watering Hole” นี้ นับเป็นตัวอย่างของการโจมตี ที่มีการใช้การดำเนินการที่ซับซ้อน เพื่อเข้าถึงกลุ่มเป้าหมายที่ไม่ทันรู้ตัว ด้วยการเจาะระบบของเว็บไซต์ศูนย์กลาง และใช้เป็นฐานสำหรับการแพร่กระจายมัลแวร์ ผู้โจมตีจึงสามารถเข้าถึงเหยื่อที่มีความรู้ทางด้านเทคนิคค่อนข้างดี และไม่หลงกลการหลอกลวง ด้วย อีเมล์ฟิชชิ่ง (Phishing) แต่กลับไว้ใจเว็บไซต์ที่ว่านี้ และไม่คิดว่าจะเป็นอันตรายแต่อย่างใด

เทคนิคการเบี่ยงเบนและหันเหความสนใจ

การโจมตีแบบ DDoS (Distributed-Denial-of-Service) อาจถูกใช้เพื่อเบี่ยงเบนความสนใจ ซึ่งจะช่วยให้ผู้โจมตีสามารถเจาะเข้าสู่ระบบอื่นๆ ในองค์กร โดยมีการใช้วิธีแบบใหม่ นั่นคือ ระดมส่งข้อมูลเพื่อใช้แบนด์วิธจนทำให้บริการออนไลน์และระบบธุรกิจหยุดชะงัก ในขณะที่พนักงานฝ่ายไอทีกำลังวุ่นวายอยู่กับการตัดสินใจเรื่องความเสี่ยงนี่เอง ก็จะไม่ทันสังเกตว่ามีอะไรเกิดขึ้นบ้างในภาพรวมทั้งหมด เช่นเดียวกับขอบเขตและความถี่ของการเจาะระบบเพื่อโจรกรรมข้อมูลมีแนวโน้มเพิ่มสูงขึ้นอย่างต่อเนื่อง องค์กรจึงจำเป็นที่จะต้องย้อนกลับไปสู่หลักการพื้นฐานของการรักษาความปลอดภัย โดยจะต้องมีการปรับใช้เทคโนโลยีที่เหมาะสมเพื่อป้องกันความเสี่ยง ควบคู่ไปกับการอบรมให้ความรู้แก่ผู้ใช้ทั่วทั้งองค์กร เพื่อลดปัญหาที่อาจเกิดขึ้นในอนาคต.