กรุงเทพฯ--5 พ.ย.--ไอบีเอ็ม ประเทศไทย
ไอบีเอ็มเปิดเผยรายงานแนวโน้มและความเสี่ยง X-Force ประจำครึ่งปี 2556 ซึ่งระบุว่าองค์กรธุรกิจจำเป็นที่จะต้องเพิ่มพูนความรู้เกี่ยวกับช่องโหว่และจุดอ่อนด้านความปลอดภัยเพราะลักษณะการโจมตีมีการเปลี่ยนแปลงอย่างต่อเนื่อง ด้วยปัจจัยทางเทคโนโลยีโมบายล์และโซเชียล องค์กรจึงต้องพร้อมต่อสู้กับภัยคุกคามด้านความปลอดภัยใหม่ๆ ได้อย่างมีประสิทธิภาพ
ปัจจุบันผู้บริหารฝ่ายรักษาความปลอดภัยสารสนเทศ หรือ ซีไอเอสโอ (Chief Information Security Officer) ตระหนักดีว่าการโจมตีในรูปแบบต่างๆ ไม่ว่าจะประสบผลสำเร็จหรือไม่ สามารถก่อให้เกิดความเสียหายอย่างมากต่อองค์กร และจุดอ่อนด้านความปลอดภัยที่ไม่ได้รับการแก้ไขป้องกันในเว็บแอพพลิเคชั่น รวมไปถึงซอฟต์แวร์บนเซิร์ฟเวอร์และอุปกรณ์ของผู้ใช้ ก็เสี่ยงต่อการเปิดให้ถูกโจมตีในภายหลัง แอพพลิเคชั่นและซอฟต์แวร์ที่มีช่องโหว่ยังคงถูกใช้เป็นช่องทางในการละเมิดระบบรักษาความปลอดภัยปีแล้วปีเล่า
อย่างไรก็ตาม รายงาน X-Force ฉบับล่าสุดชี้ว่าแฮคเกอร์หรือผู้โจมตีในปัจจุบันได้พัฒนาทักษะของตนเอง เพื่อเพิ่มผลตอบแทนจากการเจาะเข้าสู่ระบบขององค์กร ผู้โจมตีเหล่านี้ใช้ประโยชน์จากความไว้ใจของผู้ใช้เพื่อดำเนินการโจมตีในรูปแบบใหม่ๆ เช่น การใช้โซเชียลมีเดีย เทคโนโลยีโมบายล์ และการโจมตีด้วยการฝังโค้ดอันตรายไว้ในเว็บไซต์ยอดนิยม หรือที่เรียกว่าการโจมตีในรูปแบบ Watering Hole
ฉวยประโยชน์จากสังคมออนไลน์ที่ได้รับความไว้วางใจ
ในช่วงกลางปี 2556 ผู้โจมตียังคงมุ่งเน้นการใช้ประโยชน์จากสัมพันธภาพที่ได้รับความไว้วางใจผ่านทางโซเชียลเน็ตเวิร์ก ตั้งแต่การส่งอีเมลสแปมที่ดูเป็นมืออาชีพ ไปจนถึงการส่งลิงก์อันตรายที่ดูเหมือนว่าจะมาจากเพื่อนหรือคนที่คุณกำลัง “ติดตาม” การโจมตีเหล่านี้ใช้การได้จริง และเป็นช่องทางที่ทำให้แฮคเกอร์สามารถเจาะเข้าสู่ระบบขององค์กร เพื่อรับมือกับการโจมตีดังกล่าว โซเชียลเน็ตเวิร์กได้ดำเนินมาตรการเชิงรุกมากขึ้นในการสแกนลิงก์ต่างๆ ที่ปรากฏอยู่ในโพสต์ ทั้งข้อความสาธารณะและส่วนตัว
อาชญากรกำลังขายบัญชีหรือแอคเคาท์บนโซเชียลเน็ตเวิร์ก โดยบางบัญชีมีเจ้าของอยู่แล้ว แต่ข้อมูลรหัสผ่านถูกเปิดเผย ส่วนบัญชีอื่นๆ ก็เป็นบัญชีที่สร้างขึ้นและออกแบบให้ดูน่าเชื่อถือด้วยโปรไฟล์และเครือข่ายการติดต่อที่ดูสมจริง ทั้งยังมีการสร้างยอด ‘ไลค์’ หรือปลอมแปลงความคิดเห็น และขณะเดียวกันก็ปกปิดตัวตนที่แท้จริงเพื่อก่ออาชญากรรม ซึ่งเปรียบได้กับการปลอมแปลงบัตรประชาชน แต่เพิ่มความน่าเชื่อถือให้ตนเองด้วยกลุ่มเพื่อนๆ
ทีมงาน X-Force ของไอบีเอ็มคาดว่าการใช้เทคนิคล่อลวง (Social Engineering) จะมีความก้าวหน้ามากขึ้น โดยผู้โจมตีจะสร้างเครือข่ายตัวตนผู้ใช้ที่ซับซ้อน พร้อมทั้งปรับแต่งวิธีการหลอกล่อเหยื่ออย่างแนบเนียน แม้ว่าองค์กรจะใช้เทคโนโลยีและระบบควบคุมที่ทันสมัย และมีการกำหนดและปรับใช้แนวทางปฏิบัติที่เหมาะสม แต่ท้ายที่สุดแล้วความไว้วางใจของผู้ใช้ก็อาจนำไปสู่การหลบเลี่ยงมาตรการต่างๆ ของฝ่ายรักษาความปลอดภัย
การวางยาในเว็บไซต์ยอดนิยม
วิธีการโจมตีแบบหนึ่งที่ใช้งานได้อย่างมีประสิทธิภาพก็คือ ผู้โจมตีเจาะกลุ่มเป้าหมายด้วยการฝังมัลแวร์ไว้ในเว็บไซต์ที่ผู้ใช้เป้าหมายมักจะเข้าเยี่ยมชม บางเว็บไซต์อาจไม่มีโซลูชั่นและนโยบายการรักษาความปลอดภัยที่รัดกุมและแข็งแกร่งเพียงพอ หรือถึงแม้ว่าจะมีระบบรักษาความปลอดภัยที่เข้มงวด บรรดาแฮคเกอร์ก็ยังถือว่าคุ้มค่าที่จะพยายามเจาะเข้าสู่ระบบเพื่อให้เข้าถึงฐานผู้ใช้
การโจมตีด้วยเทคนิค “Watering Hole” นี้นับเป็นตัวอย่างของการโจมตีที่มีการใช้การดำเนินการที่ซับซ้อนเพื่อเข้าถึงกลุ่มเป้าหมายที่ไม่ทันรู้ตัว ด้วยการเจาะระบบของเว็บไซต์ศูนย์กลางและใช้เป็นฐานสำหรับการแพร่กระจายมัลแวร์ ผู้โจมตีจึงสามารถเข้าถึงเหยื่อที่มีความรู้ทางด้านเทคนิคค่อนข้างดีและไม่หลงกลการหลอกลวงด้วยอีเมลฟิชชิ่ง (Phishing) แต่กลับไว้ใจเว็บไซต์ที่ว่านี้และไม่คิดว่าจะเป็นอันตรายแต่อย่างใด
เทคนิคการเบี่ยงเบนและหันเหความสนใจ
การโจมตีแบบ DDoS (Distributed-Denial-of-Service) อาจถูกใช้เพื่อเบี่ยงเบนความสนใจ ซึ่งจะช่วยให้ผู้โจมตีสามารถเจาะเข้าสู่ระบบอื่นๆ ในองค์กร โดยมีการใช้วิธีแบบใหม่ นั่นคือ ระดมส่งข้อมูลเพื่อใช้แบนด์วิธจนทำให้บริการออนไลน์และระบบธุรกิจหยุดชะงัก ในขณะที่พนักงานฝ่ายไอทีกำลังวุ่นวายอยู่กับการตัดสินใจเรื่องความเสี่ยงนี่เอง ก็จะไม่ทันสังเกตว่ามีอะไรเกิดขึ้นบ้างในภาพรวมทั้งหมด
ขอบเขตและความถี่ของการเจาะระบบเพื่อโจรกรรมข้อมูลมีแนวโน้มเพิ่มสูงขึ้นอย่างต่อเนื่อง องค์กรจึงจำเป็นที่จะต้องย้อนกลับไปสู่หลักการพื้นฐานของการรักษาความปลอดภัย โดยจะต้องมีการปรับใช้เทคโนโลยีที่เหมาะสมเพื่อป้องกันความเสี่ยง ควบคู่ไปกับการอบรมให้ความรู้แก่ผู้ใช้ทั่วทั้งองค์กร เพื่อลดปัญหาที่อาจเกิดขึ้นในอนาคต
สื่อมวลชนสอบถามข้อมูลเพิ่มเติม:
บริษัท ไอบีเอ็ม ประเทศไทย จำกัด
กฤษณา วิทยานนท์
ฝ่ายสื่อสารองค์กร
โทรศัพท์: 02 273 4261
อีเมล: krisna@th.ibm.com