บทสรุปรายงานความปลอดภัยประจำปี 2016 จากซิสโก้ ผู้เชี่ยวชาญด้านความปลอดภัยต้องใคร่ครวญใหม่ถึงกลยุทธ์การป้องกันองค์กรจากภัยคุกคาม
ทั้งผู้โจมตีและผู้ป้องกันต่างก็พัฒนาเทคโนโลยีและแผนการที่มีความซับซ้อนสูงยิ่งขึ้นเรื่อยๆ โดยเหล่าผู้โจมตีก็ได้ทำการสร้างระบบโครงสร้างพื้นฐานภายในที่แข็งแกร่งเพื่อใช้ในการเริ่มต้นโจมตีและสนับสนุนการโจมตีในแคมเปญของตน อีกทั้งอาชญากรออนไลน์เหล่านี้ก็ได้ทำการปรับปรุงเทคนิคของตนเพื่อให้สามารถสร้างรายได้จากการโจมตีเหยื่อแต่ละราย และหลบเลี่ยงการตรวจจับในขณะที่ทำการขโมยข้อมูลและทรัพย์สินทางปัญญาอย่างต่อเนื่อง
ในรายงานความปลอดภัยประจำปี 2016 จากซิสโก้ ซึ่งนำเสนอข้อมูลการค้นคว้า, องค์ความรู้ และมุมมองจาก Cisco Security Research ได้เน้นการนำเสนอถึงความท้าทายที่ผู้ป้องกันระบบต้องประสบในการตรวจจับและป้องกันผู้โจมตีซึ่งมีคลังแสงของเครื่องมือเป็นจำนวนมากและพร้อมที่จะเปลี่ยนแปลงเครื่องมือที่ใช้ในการโจมตีอยู่ตลอดเวลา รายงานนี้ยังรวมผลการค้นคว้าวิจัยจากผู้เชี่ยวชาญภายนอก อย่างเช่น Leve 3 Threat Research Lab เพื่อช่วยให้ข้อมูลแนวโน้มของภัยคุกคามในปัจจุบันมีความชัดเจนมากยิ่งขึ้น
เราได้ทำการวิเคราะห์เจาะลึกข้อมูลที่รวบรวมมาโดยเหล่านักวิจัยจากซิสโก้เพื่อแสดงให้เห็นถึงการเปลี่ยนแปลงที่เกิดขึ้นในช่วงระยะเวลาที่ผ่านมา, การตีความหมายของข้อมูลเพื่อให้เกิดความเข้าใจอย่างถ่องแท้ และอธิบายว่าผู้เชี่ยวชาญทางด้านความปลอดภัยควรจะโต้ตอบกับภัยคุกคามต่างๆ อย่างไร
ในรายงานฉบับนี้ เราได้นำเสนอและอภิปรายประเด็นดังนี้:
องค์ความรู้ทางด้านภัยคุกคาม (Threat Intelligence)
เจาะลึกบางส่วนของแนวโน้มที่น่าสนใจที่สุดในประเด็นทางด้านความปลอดภัยไซเบอร์จากการวิเคราะห์โดยนักวิจัยของเรา พร้อมกับการนำเสนอเป้าหมายและวิธีการโจมตีรูปแบบใหม่ๆ รวมถึงช่องโหว่ใหม่ๆ ด้วย และยังได้รวมข้อมูลเกี่ยวกับภัยคุกคามที่กำลังเติบโตอย่างเช่นซอฟต์แวร์เรียกค่าไถ่ (Ransomware) Cisco Security Research ได้ใช้ข้อมูลจากระบบเครือข่ายทั่วโลกเพื่อใช้ในการวิเคราะห์แนวโน้มต่างๆ เหล่านี้ที่เกิดขึ้นนปี 2015 ที่ผ่านมา
ข้อมูลเชิงลึกของอุตสาหกรรม (Industry Insights)
เจาะลึกในแนวโน้มทางด้านความปลอดภัยที่ส่งผลกระทบต่อองค์กร ซึ่งรวมถึงการเติบโตของการเข้ารหัสและความเสี่ยงทางด้านความปลอดภัยที่แอบแฝงอยู่ เราจะมุ่งเน้นไปที่จุดอ่อนของวิธีการที่องค์กรขนาดเล็กและขนาดกลาง (SMB) ใช้ในการปกป้องระบบเครือข่ายของตน และเราก็ได้นำเสนองานวิจัยเกี่ยวกับการที่องค์กรต้องพึ่งพาซอฟต์แวร์ที่ล้าสมัย ซึ่งไม่มีการสนับสนุน และผู้ผลิตเลิกพัฒนาต่อไปแล้วในการทำให้โครงสร้างพื้นฐานทางด้าน IT ขององค์กรยังคงทำงานต่อไปได้
ผลการศึกษาการชี้วัดความสามารถทางการรักษาความปลอดภัย
ครอบคลุมถึงผลการศึกษาทางด้าน Security Capabilities Benchmark ครั้งที่สองของซิสโก้ ที่จะมุ่งเน้นทางด้านมุมมองของผู้เชี่ยวชาญทางด้านความปลอดภัยที่มีต่อสถานการณ์ทางด้านความปลอดภัยภายในองค์กรของตน ด้วยการเปรียบเทียบผลการสำรวจจากปี 2015 เทียบกับปี 2014 ซิสโก้ก็พบว่าประธานเจ้าหน้าที่ฝ่ายรักษาความปลอดภัย (CSO) และผู้จัดการทางด้านงานรักษาความปลอดภัย (SecOps) มีความมั่นใจน้อยลงว่าโครงสร้างพื้นฐานทางด้านการรักษาความปลอดภัยของตนนั้นทันสมัยหรือสามารถยับยั้งการโจมตีได้ อย่างไรก็ดี ผลการสำรวจยังชี้อีกด้วยว่าองค์กรกำลังริเริ่มทำการฝึกอบรมและเพิ่มกระบวนการทางด้านความปลอดภัยเพื่อเสริมให้ระบบเครือข่ายมีความแข็งแกร่งมากยิ่งขึ้น
อนาคตถัดจากนี้
ซิสโก้นำเสนอมุมมองจากฝั่งของผู้บริหารที่มีต่อการรักษาความปลอดภัยขององค์กร เราได้ทำการอภิปรายถึงผลการศึกษาสองประเด็นของซิสโก้ ซึ่งประเด็นแรกจะมุ่งเน้นไปที่ข้อกังวลของผู้บริหารที่มีต่อความปลอดภัยไซเบอร์ และอีกประเด็นจะมุ่งเน้นไปที่มุมมองของผู้ตัดสินใจทางด้าน IT เกี่ยวกับความเสี่ยงและความน่าเชื่อถือของการรักษาความปลอดภัย และเรายังนำเสนอข้อมูลล่าสุดเกี่ยวกับความคืบหน้าของเราในการลดเวลาที่ใช้ในการตรวจจับภัยคุกคาม และเจาะลึกคุณค่าของการเปลี่ยนไปใช้สถาปัตยกรรมการป้องกันภัยคุกคามแบบผสมผสานในการโต้ตอบต่อภัยคุกคามต่างๆ
การเปลี่ยนแปลงที่เกิดขึ้นและข้อมูลใหม่ๆ ที่น่าสนใจ
อาชญากรไซเบอร์ได้ทำการปรับปรุงโครงสร้างพื้นฐานภายในเพื่อใช้ในการโจมตีให้มีประสิทธิภาพและสร้างรายได้เพิ่มขึ้น
- ซิสโก้ พร้อมด้วยความช่วยเหลือจาก Level 3 Threat Research Labs และความร่วมมือจาก Limestone Networks ผู้ให้บริการธุรกิจโฮสติ้ง ได้ตรวจพบและหยุดยั้งการโจมตีด้วยชุดเจาะช่องโหว่ Angler ครั้งที่ใหญ่ที่สุดในสหรัฐอเมริกา ที่พุ่งเป้าไปยังเหยื่อ 90,000 คนต่อวัน และสร้างรายรับให้แก่ผู้โจมตีที่อยู่เบื้องหลังแคมเปญนี้มากถึงหลายสิบล้านเหรียญดอลลาร์ต่อปี
- SSHPsychos (Group 93) หนึ่งใน Botnet สำหรับทำการโจมตีแบบ Distributed Denial of Service (DDoS) ครั้งใหญ่ที่สุดที่เคยถูกตรวจพบโดยนักวิจัยจากซิสโก้ และถูกบรรเทาความรุนแรงลงเป็นอย่างมากด้วยความร่วมมือกันระหว่างซิสโก้และ Level 3 Threat Research Labs ซึ่งความสำเร็จในครั้งนี้ก็ได้ชี้ให้เห็นถึงคุณค่าของความร่วมมือกันภายในอุตสาหกรรม IT ในการโต้ตอบผู้โจมตี เช่นเดียวกับกรณีศึกษาของ Angler ที่ได้กล่าวไปก่อนหน้านี้แล้ว
- การโจมตีผ่าน Browser Extention ที่เป็นอันตรายได้นั้น สามารถเป็นสาเหตุหลักในการรั่วไหลของข้อมูลจากธุรกิจต่างๆ และเป็นปัญหาที่แพร่กระจายไปอย่างรวดเร็ว เราได้ประมาณการณ์เอาไว้ว่าจะมีองค์กรที่ได้ทำการศึกษาในครั้งนี้ได้รับผลกระทับจาก Browser Extention ที่เป็นอันตรายมากกว่า 85% เลยทีเดียว
- Botnet ชื่อดังอย่าง Bedep, Gamarue และ Miuref ได้กลายเป็น Botnet ที่ทำการโจมตีด้วยวิธี Command-and-Control จากผลการวิเคราะห์องค์กรกลุ่มหนึ่งของเราในช่วงเดือนกรกฎาคมปี 2015 ที่ผ่านมา
- จากการวิเคราะห์มัลแวร์ที่ยืนยันแล้วว่าเป็นภัยคุกคามของซิสโก้นั้นพบว่ามัลแวร์ส่วนใหญ่มากถึง 3% ที่ใช้ Domain Name Service (DNS) เพื่อโจมตีในแต่ละแคมเปญ และด้วยการสืบสวนจากข้อมูล DNS Query ย้อนหลัง ซิสโก้ก็สามารถเปิดเผยถึง DNS Resolver เถื่อนที่ถูกใช้งานภายในระบบเครือข่ายของลูกค้า ซึ่งเหล่าลูกค้านั้นก็ไม่รู้ตัวว่ามีระบบ DNS Resolver อื่นที่นอกเหนือจากระบบ DNS ขององค์กรเองถูกใช้งานโดยพนักงานในองค์กรอีก
- ช่องโหว่ของ Adobe Flash ยังคงเป็นที่นิยมของเหล่าอาชญากรไซเบอร์มาอย่างต่อเนื่อง อย่างไรก็ดี เหล่าผู้ผลิตซอฟต์แวร์ก็ได้ลดความเสี่ยงที่ผู้ใช้งานจะถูกโจมตีด้วยมัลแวร์ลงด้วยการลดการใช้งานเทคโนโลยี Flash ลง
- จากการติดตามแนวโน้มต่างๆ ในปี 2015 นักวิจัยของเราแนะนำว่าทราฟฟิคที่เข้ารหัสด้วย HTTPS ได้มาถึงจุดเปลี่ยนผันที่จะกลายเป็นรูปแบบการสื่อสารหลักของระบบอินเตอร์เน็ตไปแล้ว ถึงแม้ว่าการเข้ารหัสจะสามารถช่วยปกป้องผู้บริโภคได้ก็ตาม แต่การเข้ารหัสนี้ก็ทำให้ผลิตภัณฑ์รักษาความปลอดภัยต่างๆ มีประสิทธิภาพในการทำงานลดน้อยลงด้วยเช่นกัน เนื่องจากการเข้ารหัสจะทำให้ผู้ดูแลทางด้านความปลอดภัยติดตามภัยคุกคามต่างๆ ได้ยากยิ่งขึ้น ไม่เพียงเท่านั้น มัลแวร์บางชนิดยังใช้การสื่อสารแบบการเข้ารหัสผ่านพอร์ตที่หลากหลาย ทำให้ความท้าทายเพิ่มขึ้นไปอีกด้วย
- ผู้โจมตีกำลังนิยมโจมตีผ่านระบบพัฒนาเว็บไซต์ซึ่งไม่ได้มีการดูแลรักษาความปลอดภัยที่เป็นที่นิยมอย่าง WordPress ในการก่ออาชญากรรมแต่ละครั้ง ด้วยวิธีการนี้ทำให้เหล่าผู้โจมตีสามารถเสริมทรัพยากรเครื่องแม่ข่ายสำหรับใช้ในการโจมตีและการหลบหลีกการตรวจจับได้
- โครงสร้างพื้นฐานทางด้าน IT ที่มีอายุยาวนานกำลังมีจำนวนเพิ่มขึ้น และทำให้องค์กรมีช่องโหว่ให้ถูกโจมตีได้มากขึ้นตามไปด้วย เราได้วิเคราะห์อุปกรณ์ซิสโก้จำนวนกว่า 115,000 ชิ้นบนอินเตอร์เน็ตและพบว่า 92% ของอุปกรณ์ที่ทำการตรวจสอบเหล่านั้นใช้งานซอฟต์แวร์รุ่นที่มีช่องโหว่ที่เป็นที่รู้จัก นอกจากนี้ 31% ของอุปกรณ์ซิสโก้ที่มีการใช้งานอยู่และถูกตรวจสอบในการวิเคราะห์นี้ยังเป็นรุ่นที่เลิกจำหน่ายไปแล้ว และ 8% เป็นรุ่นที่เลิกสนับสนุนแบบถาวรไปแล้วอีกด้วย
- อ้างอิงจากผลการศึกษา 2015 Security Capabilities Benchmark ของซิสโก้ ในปี 2015 เหล่าผู้บริหารทางด้านความปลอดภัยได้แสดงถึงความมั่นใจที่ลดน้อยลงต่อเครื่องมือรักษาความปลอดภัยและกระบวนการเมื่อเทียบกับปี 2014 ตัวอย่างเช่น 59% ขององค์กรกล่าวว่าระบบรักษาความปลอดภัยที่ใช้งานอยู่นั้นทันสมัย ในขณะที่ปี 2014 นั้นมีถึง 64% เลยทีเดียว อย่างไรก็ดี ความกังวลเกี่ยวกับประเด็นทางด้านความปลอดภัยที่เติบโตขึ้นนี้ก็เป็นแรงกระตุ้นให้องค์กรต่างๆ ปรับปรุงการป้องกันให้มีความปลอดภัยมากยิ่งขึ้น
- การศึกษาครั้งนี้ได้แสดงให้เห็นว่าธุรกิจขนาดเล็กและกลาง (SMB) มีการป้องกันที่น้อยกว่าองค์กรขนาดใหญ่กว่า ตัวอย่างเช่น 48% ของธุรกิจขนาดเล็กและกลางกล่าวว่ามีการใช้งาน Web Security ในปี 2015 แต่ที่ปี 2014 มีการใช้งานถึง 59% อีกทั้ง 29% ยังกล่าวว่ามีการใช้เครื่องมือการอุดช่องโหว่และการกำหนดค่าในปี 2015 ซึ่งลดลงจากปี 2014 ที่มี 39% โดยจุดอ่อนเหล่านี้จะทำให้ลูกค้าของธุรกิจขนาดเล็กและกลางตกอยู่ในความเสี่ยง เนื่องจากผู้โจมตีสามารถเจาะเข้าไปยังช่องโหว่ภายในระบบเครือข่ายของธุรกิจขนาดเล็กและกลางได้ง่ายกว่า
- ตั้งแต่เดือนพฤษภาคมปี 2015 ซิสโก้ได้ลดค่าเวลาเฉลี่ยที่ใช้ในการตรวจจับภัยคุกคามที่เป็นที่รู้จักอยู่แล้วภายในระบบเครือข่ายของตัวเองให้เหลือเพียง 17 ชั่วโมง ซึ่งเป็นเวลาที่น้อยกว่าหนึ่งวัน และถือว่ารวดเร็วกว่าค่าเฉลี่ยของอุตสาหกรรมนี้ในปัจจุบันที่ใช้เวลาเฉลี่ยในการตรวจจับภัยคุกคามให้พบได้ตั้งแต่ 100 วันไปจนถึง 200 วัน
