กาฝากกับศาสตร์มืดส่งท้ายปีเก่า จับตาดูแนวโน้มเรื่อง Security กับ Symantec Intelligence Report เดือน พ.ย. 2554 (ตอนที่ 1)

image

ทุกสื่อเวลาถึงช่วงสิ้นปี ก็มักจะมีการพูดคุยกันถึงเรื่องสิ่งที่ผ่านมาในรอบปีครับ ในฐานะซีรี่ส์ กาฝากกับศาสตร์มืด ผมก็อยากจะสรุปเรื่องราวด้าน Security ที่ผ่านมาในรอบปี โดยหยิบยกรายงาน Symantec Intelligence Report ประจำเดือนพฤศจิกายน พ.ศ. 2554 มาเล่าสู่กันอ่านครับ แต่ว่าแน่นอนครับ รายงานเป็นภาษาอังกฤษและอาจมีเนื้อหาบางส่วนที่เข้าใจยาก ผมก็จะพยายามหาข้อมูลเพิ่มเติมมาช่วยให้ย่อยกันง่ายขึ้นครับ

แต่ก่อนอื่น ผมว่าสถิติเหล่านี้ที่ Symentec รวบรวมมาให้มันน่าสนใจครับ

  • สแปม (Spam) – คิดเป็น 70.5% ของอีเมล์ทั้งหมดที่มีการส่ง (ลดลง 3.7% จากเดือนตุลาคมที่ผ่านมา)
  • ฟิชชิ่ง (Phishing) – 1 ใน 302 อีเมล์ถูกระบุว่าเป็นฟิชชิ่ง (เพิ่มขึ้น 0.04% จากเดือนตุลาคมที่ผ่านมา)
  • มัลแวร์ (Malware) – ในอีเมล์ทุกๆ 255.8 ฉบับ จะพบว่ามีมัลแวร์แนบมาด้วย 1 ฉบับ (ลดลง 0.03% จากเดือนตุลาคมที่ผ่านมา)
  • เว็บไซต์อันตราย (Malicious Web sites) – ในแต่ละวันจะมีเว็บไซต์ถูกบล็อก 4,915 เว็บ ในฐานะเว็บอันตราย (เพิ่มขึ้น 47.8% จากเดือนตุลาคมที่ผ่านมา)

การโจมตีแบบกำหนดเป้าหมาย (Targeted Attacks) และ ภัยคุกคามแบบฝังตัวขั้นสูง (Advanced Persistent Threats)

Symantec ให้คำจำกัดความของ การโจมตีแบบกำหนดเป้าหมาย (Targeted Attacks) เอาไว้ว่าแบบนี้ครับ

การโจมตีไปที่บุคคลหรือองค์กรเป็นการจำเพาะเจาะจง ส่วนใหญ่เพื่อหลบเลี่ยงระบบรักษาความปลอดภัยแบบเดิมๆ และมักใช้เทคนิควิศวกรสังคม

image

ส่วนความหมายของ ภัยคุกคามแบบฝังตัวขั้นสูง (Advanced Persistent Threats) นั้น ผมว่าบทความเรื่อง APT ภัยคุกคามใหม่หรือแค่ชื่อใหม่ของภัยเดิม ให้คำจำกัดความเอาไว้ได้ชัดเจนมากครับ

APT หรือ Advanced Persistent Threat คือประเภทหนึ่งของอาชญากรรมทางคอมพิวเตอร์ ที่มีเป้าหมายเพื่อโจมตีหน่วยงานที่มีข้อมูลสำคัญ เช่น หน่วยงานทางทหารหรือหน่วยงานทางด้านความมั่นคงปลอดภัยของประเทศ หน่วยงานทางการเมือง หรือองค์กรธุรกิจขนาดใหญ่ รูปแบบการโจมตีแบบ APT ส่วนใหญ่ผู้ดำเนินการมักจะเป็นกลุ่มบุคคลมากกว่าเป็นการดำเนินการของบุคคลใดบุคคลหนึ่ง ซึ่งอาจเป็นไปได้ว่า กลุ่มบุคคลนี้มักจะมีองค์กรหรือรัฐบาลของประเทศใดประเทศหนึ่งคอยให้การสนับสนุนอยู่เบื้องหลัง การโจมตีมีเป้าหมายที่แน่ชัด ผู้โจมตีมักพยายามแฝงตัวอยู่ในระบบของเป้าหมายให้ได้นานที่สุด และใช้ทุกวิถีทางเพื่อให้การโจมตีสำเร็จผล

องค์ประกอบสำคัญ 3 ประการของภัยคุกคามแบบฝังตัวขั้นสูงนั้น คือ เทคนิคที่ใช้ในการคุมคามนั้นเป็นระดับสูง โดยเฉพาะในเรื่องของการหลบเลี่ยงการถูกตรวจจับได้ (Advanced), มีการโจมตีอย่างค่อยเป็นค่อยไปแต่สม่ำเสมอ (Persistent) และเป็นภัยคุกคามที่มุ่งหวังที่จะขโมยข้อมูลหรือขัดขวางการทำงานของเป้าหมาย (Threat)

imageจะเห็นได้ว่าการโจมตีแบบกำหนดเป้าหมายนั้นสามารถนำไปสู่การเป็นภัยคุกคามแบบฝังตัวขั้นสูงได้ เพียงแต่ว่าไม่ใช่ทุกครั้งที่เกิดการโจมตีแบบกำหนดเป้าหมายจะเป็นภัยคุกคามแบบฝังตัวขั้นสูง

การโจมตีโดยโทรจันชื่อ Zeus ที่มีเป้าหมายอยู่ที่ข้อมูลธนาคาร ใช้เทคนิควิศวกรรมสังคมในการหลอกให้เหยื่อติดมัลแวร์ แต่ว่า Zeus ไม่ใช่ภัยคุกคามแบบฝังตัวขั้นสูง แต่ Stuxnet ที่พุ่งเป้าไปที่ระบบควบคุมของ Siemens ที่ถูกใช้งานในโรงไฟฟ้าพลังนิวเคลียร์ในประเทศอิหร่าน ถือเป็นภัยคุกคามแบบฝังตัวขั้นสูงครับ

ภัยคุกตามแบบแฝงตัวขั้นสูงนั้นถูกออกแบบมาสมชื่อมากครับ เป้าหมายคือการแฝงตัวเงียบไม่ให้ใครจับได้ ให้อยู่แบบนั้นให้นานที่สุดเท่าที่จะเป็นไปได้ และในขณะเดียวกันก็ค่อยๆ รุกคืบเข้าไปในระบบป้องกัน โดยอาจมีเป้าหมายอยู่ที่การทหาร, การเมือง, การเก็บข้อมูลด้านเศรษฐกิจและความลับทางการค้าต่างๆ, การก่อกวนการปฏิบัติงาน หรือแม้แต่การทำลายอุปกรณ์ … ซึ่งในจุดนี้ Stuxnet ที่ถูกค้นพบเมื่อเดือนมิถุนายน พ.ศ. 2553 ที่ผ่านมา เป็นตัวอย่างที่ดีทีเดียว

ข้อมูลการโจมตีแบบกำหนดเป้าหมายที่ถูกบล็อกเอาไว้ได้โดย Symantec.cloud ในแต่ละวันถูกแสดงในกราฟด้านล่างนี้ สังเกตว่าม่จำนวนค่อนข้างมากตลอดทั้งปีที่ผ่านมา นับตั้งแต่เดือนมีนาคา พ.ศ. 2554 รูปแบบการจู่โจมมาในรูปแบบของ Kill-chains คือ โจมตีโดยวิธีการที่หลากหลาย ผ่านมัลแวร์หลายๆ รูปแบบ ใช้ช่องโหว่หลายๆ จุด ในช่วงระยะเวลานานๆ

 

image

 

เมื่อแยกออกเป็นกลุ่มอุตสาหกรรมแล้ว พบว่า Top 3 ที่ถูกโจมตีบ่อยครั้งที่สุดก็ได้แก่

  1. หน่วยงานภาครัฐ (Public Sector) ซึ่งพบว่ามีการโจมตีที่ถูกบล็อกเอาไว้ได้ 20.5 ครั้งต่อวันโดยเฉลี่ย
  2. อุตสาหกรรมยาและเคมี (Chemical & Pharmaceutical) ซึ่งพบว่ามีการโจมตีที่ถูกบล็อกเอาไว้ได้โดยเฉลี่ย 18.6 ครั้งต่อวัน
  3. อุตสาหกรรมการผลิต (Manufacturing) พบว่ามีการโจมตีที่ถูกบล็อกเอาไว้ได้โดยเฉลี่ย 13.6 ครั้งต่อวัน

ที่สำคัญที่สุดคือ เมื่อพิจารณาตามขนาดขององค์กรแล้ว จะเห็นว่าองค์กรที่ถูกโจมตีบ่อยครั้งคือองค์กรที่มีขนาดใหญ่มากๆ ระดับที่มีพนักงาน 2,500 คนขึ้นไป (การโจมตีถูกบล็อกเอาไว้ได้ 36.7 ครั้งต่อวัน) ตรงนี้เราได้เห็นอะไร? เราจะเห็นว่าการคุกคามนั้นมีเป้าหมายไปยังจุดที่จะส่งผลกระทบในวงกว้าง ซึ่งเป็นเรื่องที่น่าวิตกไม่น้อยทีเดียว

จุดที่ทำให้การโจมตีแบบกำหนดเป้าหมายน่ากลัวก็คือการที่เป้าหมายถูกกำหนดนี่แหละครับ เพราะนั่นทำให้ผู้โจมตีสามารถออกแบบการโจมตีให้เหมาะสมกับเป้าหมาย และยิ่งทำให้เทคนิควิศวกรรมสังคมที่ใช้ในการเสริมการโจมตีนั้นได้ผลยิ่งขึ้นอีกด้วย

 

เรื่องราวของเรายังไม่จบ เดี๋ยวเรามาต่อกันอีกทีตอนหน้าครับ

 

ข้อมูลอ้างอิงเพิ่มเติม

@kafaak

ในอดีตเมื่อครั้งยังไม่ต๊อกต๋อย เคยเป็นผู้บริหารฝ่ายผลิตของโรงงานอุตสาหกรรม แต่ภายหลังเลือกงานที่ให้เวลากับชีวิต เพื่อมาอัพเดตเทรนด์เทคโนโลยีมากกว่า ปัจจุบันเป็นทั้งไอทีต๊อกต๋อยในสถานศึกษา เป็นบล็อกเกอร์ต๊อกต๋อยที่เขียนไปเรื่อยทั้งเรื่องเทคโนโลยี โซเชียลมีเดีย การตลาดดิจิตอล และจิตวิทยา เป็นที่ปรึกษาด้านการตลาดดิจิตอลให้กับธุรกิจ SMEs หลายแห่ง และเป็นวิทยากรรับเชิญด้านเทคโนโลยี การตลาดดิจิตอล และโซเชียลมีเดีย เป็นบางครา

You may also like...

Leave a Reply

%d bloggers like this: