การจู่โจมที่ไร้ร่องรอย

ในโลกไซเบอร์การ ‘รู้เขารู้เรา’ เป็นเรื่องสำคัญครับ ก่อนหน้านี้เรามีโซลูชันที่ช่วยแจ้งเตือนเมื่อระบบถูกจู่โจมจากภัยคุกคาม ทั้งยังมี Inception Tool เครื่องมือที่ใช้หลอกผู้จู่โจมให้ติดกับในเครื่องเสมือน จนหลงคิดว่ากำลังจู่โจมอยู่บนเครื่องของเหยื่อจริงๆ มาวันนี้เหล่าแฮกเกอร์ก็รู้ทันผู้เชี่ยวชาญด้าน Cybersecurity จนได้ครับ เมื่อโซลูชันที่ทำการติดตามและแกะรอยการจู่โจมของแฮกเกอร์กลับถูกโจมตีเสียเอง โดยผลการวิจัยจากบริษัทผู้เชี่ยวชาญด้านโซลูชันที่ใช้สำหรับแกะรอยการจู่โจมของภัยคุกคามพบว่า 33% มีการจู่โจมที่ตอบโต้ต่อระบบตอบสนองภัยคุกคาม (Incident Response – IR) ซึ่งเพิ่มขึ้นจากเดิมมากถึง 10%

นอกจากนี้อีก 50% ของการจู่โจมพบว่าแฮกเกอร์พยายามลบร่องรอยการจู่โจมอีกด้วย เช่น การลบ Log ในการจู่โจม และอีก 44% พยายามที่จะเบี่ยงเบนข้อมูลการจู่โจม รวมทั้งยังมีการปลอมแปลงเวลาที่จู่โจม หรือการเปลี่ยนแปลง Subnet และหลอกลวงในเรื่องของการพิสูจน์สิทธิในการเข้าถึงระบบ เป็นต้น

ซึ่งหากแฮกเกอร์สามารถลบประวัติการจู่โจม และสามารถเบี่ยงเบนข้อมูลการจู่โจมได้ พวกเขาก็จะใช้ Ransomware ในการโจมตีเป็นลำดับถัดมา ซึ่งบ่อยครั้งมักจะใช้ NetPetya-style Ransomware ปัจจุบันการตอบโต้ต่อระบบ IR นั้นมีจำนวนมากขึ้นและบ่อยครั้งที่สามารถสร้างความเสียหายได้อีกด้วย ซึ่งวิธีการลบข้อมูลการจู่โจมเช่นนี้เกิดบ่อยขึ้น โดยการลบ Log รวมถึงวิธีต่างๆนั้นถือเป็นส่วนหนึ่งของการจู่โจมขั้นสูงที่แฮกเกอร์เริ่มใช้กันมาเป็นระยะเวลาหนึ่งแล้ว

ในบางครั้งแฮกเกอร์ใช้วิธีจู่โจมที่สามารถถูกจับได้ง่ายๆและจู่โจมเป็นวงกว้างไปยังเป้าหมาย เพื่อทำให้ระบบตอบสนองภัยคุกคามทำงานช้าลง รวมถึงทำให้ระบบหรือทีมงานด้านการรักษาความปลอดภัยเข้าใจจุดที่ถูกจู่โจมผิดเป็นจุดอื่นได้ นั่นทำให้ทีมงานด้านการรักษาความปลอดภัยไซเบอร์ต้องเสียเวลาไปโฟกัสในจุดที่ไม่ใช่จุดที่เป็นเป้าโจมตีจริงๆ

ยังมีผลการวิจัยเพิ่มเติมถึงภัยคุกคามที่ระบาดในช่วงที่เกิดเหตุการณ์ COVID-19 ซึ่งพบว่าโดยภาพรวมทั้งหมด53% ของผู้ตอบแบบสำรวจต่อเหตุการณ์ภัยคุกคามให้ข้อมูลว่า มีการเพิ่มขึ้นของภัยทางด้านไซเบอร์อยู่ไม่กี่ประเภทที่เพิ่มขึ้นในช่วงนั้น โดยส่วนใหญ่ภัยคุกคามจะเกิดขึ้นจากการทำงานนอกสถานที่อย่างไม่มีประสิทธิภาพ 52% จากช่องโหว่ของ VPN 45% และการขาดแคลนพนักงาน 36%

ในส่วนของภาคธุรกิจที่เป็นเป้าหมายในการจู่โจมนั้นมากกว่าครึ่งคือธุรกิจทางด้านการเงิน ซึ่งสอดคล้องกับรายงานก่อนหน้านี้ที่บอกว่าเรื่องของผลประโยชน์ทางการเงินนั้นจูงใจเหล่าแฮกเกอร์เป็นอันมาก อีกจุดหนึ่งที่น่าสนใจคือ 51% ของการตอบโตนั้นมาจากประเทศจีน และยังมีการจู่โจมมาจากสองชาติที่ถือว่ามีเปอร์เซ็นต์ที่สูงขึ้นมากพอสมควรคือเกาหลีเหนือ 40% และรัสเซีย 38%

นับวันภัยคุกคามจะยิ่งมีความแยบยลมากยิ่งขึ้น ทำให้ผู้พัฒนาโซลูชันทางด้านการรักษาความปลอดภัยไซเบอร์ต้องหมั่นพัฒนาหาวิธีการมาป้องกันภัยคุกคามให้เหนือชั้นกว่า ในส่วนของผู้ใช้งานที่เป็นบริษัทก็ควรเลือกใช้และอัพเดทโซลูชันใหม่ๆอยู่เสมอ พร้อมทั้งเลือกวางระบบรักษาความปลอดภัยไซเบอร์ในทุกจุดที่มีความเสี่ยง เพื่อไม่เปิดโอกาสให้แฮกเกอร์เข้ามาสร้างความเสียหายให้กับบริษัทได้ครับ