เมื่อเดือนธันวาคมปีที่แล้ว มีผู้ไม่ประสงค์ดีได้ใช้ภัยคุกคามถาวรขั้นสูงหรือที่เรียกว่า Advanced Persistent Threats (APT) ในการต่อต้านรัฐบาลยูเครน ซึ่งนับว่าเป็นเหตการณ์การบุกรุกทางไซเบอร์แรกที่สามารถปิดการทำงานของระบบพลังงานของรัฐบาลลงได้สำเร็จ จากนั้นมา หน่วยงานรัฐบาลทั่วโลกตกอยู่ในความกังวลต่อการโจมตีที่จะทำลายโครงสร้างพื้นฐานที่สำคัญๆ ตลอดมา ในครั้งนั้น แฮกเกอร์ได้ใช้มัลแวร์ BlackEnergy เข้ามาเปลี่ยนอุปกรณ์เบรคเกอร์จากระยะไกล ปิดแหล่งพลังงานของผู้ใช้งาน 225,000 คน และศูนย์บริการลูกค้าจึงทำให้ลูกค้าที่แท้จริงโทรศัพท์เข้ามาติดต่อไม่ได้ [1]
ในปีที่ผ่านมานี้ ยังมีเหตการณ์ภัยบุกรุกที่มีหน่วยงานราชการเป็นเป้าหมายที่สำคัญๆ มากมาย
ในปีคศ. 2015 รัฐบาลของประเทศสหรัฐอเมริกา ไอริส และเตอร์กีเผชิญกับภัยคุกคาม DDoS ที่มีเป้าหมายในการก่อความเสียหายและรบกวนการปฏิบัติงาน และในประเทศไทยเอง เราได้เห็นภัยแปลกปลอมที่สร้างความเสียหายให้กับเว็ปไซต์ของรัฐบาลมากกว่า 300 แห่ง ในเดือนเดียวกัน มีแฮกเกอร์ทำงานร่วมมือกับกลุ่มแอโนนีมัส (กลุ่มนิรนาม) สร้างภัยคุกคามที่คล้ายๆ กันที่หน่วยงานรัฐบาลหลายแห่งของประเทศซาอุดิอาราเบียและไนจีเรีย
ภัยไซเบอร์คุกคามบนเว็ปแอปพลิเคชั่นและ DDoS ที่อาศัยใช้ช่องโหว่ต่างๆ ของภาครัฐเกิดบ่อยขึ้นและอันตรายมากขึ้น ทั้งนี้ จากรายงานประจำปี Riskmap Report 2016[2] ผลิตโดย Control Risks ซึ่งเป็นสถาบันที่ปรึกษาด้านภัยคุกคามทั่วโลก ได้ระบุว่าภัยจำนวน 36% ที่เกิดขึ้นทั่วโลกนั้นมีเป้าหมายไปที่หน่วยงานรัฐบาล
การคุกคามแบบ DDoS (Distributed denial-of-service attack) ที่เป็นรูปแบบการโจมตีออนไลน์เพื่อให้ระบบหยุดการทำงาน ไม่สามารถใช้งานได้ หรือทำให้ใช้งานอินเทอร์เน็ตไม่ได้นั้น ได้กลายเป็นเครื่องมือการทำลายที่สำคัญโดยเหล่าผู้ต้องการแบล็คเมล์และผู้ก่อการร้ายดิจิตอล DDoS มีหลายรูปแบบ อาทิ เข้ามาทำความเสียหายให้กับระบบโดยตรง หรือเข้ามาในระบบเพือร้องขอทรัพยากรบางอย่าง เช่น แบนด์วิธ จำนวนเวลาการทำงานที่นานขึ้น จำนวนดิกส์สเปสที่มากขึ้น เป็นต้น และพบว่ามีภัยที่เกิดขึ้นบนชั้นแอปพลิเคชั้น Application layer 7 มากขึ้นมากและมีวิธีการซับซ้อนขึ้นมากกว่าเดิมทั้งนี้เพื่อต้องการปิดเครือข่ายและหยุดบริการต่างๆ ของภาครัฐ ภัยคุกคาม DDoS นี้มิได้เพียงใช้ทราฟฟิคและเซชั่นแปลกปลอมจำนวนมากเข้ามากวนการทำงานของเครือข่ายเท่านั้น แต่ยังพยายามหลีกเลี่ยงกลไกการตรวจสอบของเครือข่ายแบบดั้งเดิมและมุ่งโจมตีที่แอปพลิเคชั่นและบริการเป้าหมายที่ต้องการ เพื่อให้การใช้ทรัพยากรบางประเภทในระดับชั้นแอปพลิเคชั่นช้าลง
ฟอร์ติเน็ตพบว่ามีจำนวนภัยคุกคามเกิดมากขึ้นตลอดมา จากช่วงระยะ 10 ปีที่ผ่านมานี้ ได้เห็นภัยที่ 50 Gbps เกิดขึ้นครั้งหรือสองครั้งต่อปีเท่านั้น แต่ทุกวันนี้ เกิดภัยประเภทนี้ขึ้นแทบทุกสัปดาห์ ในเดือนธันวาคมปีที่แล้ว องค์กร BBC พบภัยคุกคาม 602 Gbps DDoS ซึ่งถือว่ามากที่สุดในประวัติศาสตร์ที่เคยมีมา[3] จึงทำให้ทีมนักวิเคราะห์จาก Quadrant Knowledge Solutions คาดว่า ระบบการกำจัดภัย DDoS ที่เรียกว่า Global DDoS mitigation ทั่วโลกนี้ จะมีมูลค่าโตขึ้นถึง 27.6% CAGR และเป็น US$2 billion ภายในปี 2020[4] เลยทีเดียว
ภัย APTs สามารถจู่โจมด้วยรูปแบบของมัลแวร์ ที่เข้ามาใช้ประโยชน์จากระบบคอมพิวเตอร์ เช่น การจู่โจมที่ระบบควบคุมพลังงานพาวเวอร์กริดที่ประเทศยูเครน และอาจเข้ามาในรูปแบบพวกฟิชชิ่งที่หลอกโดยการสร้างอีเมล์หรือเว็ปปลอม เมื่อเหยื่อหลงกลคลิ้กอ่านเมล์หรือเข้าเว็ปนั้น จะเข้าควบคุมคอมพิวเตอร์ของเหยื่อทันที จึงทำให้ภัยสามารถเข้ามาอยู่ภายในองค์กรได้ และจะขโมยข้อมูลสำคัญๆ อาทิ รหัสผ่าน ไฟล์ ดาต้าเบส บัญชีอีเมล์ออกมาจากระบบอย่างรวดเร็ว และ ถึงแม้ว่าจะได้ขโมยข้อมูลไปแล้ว อาญชกรยังอยู่ในระบบของเหยื่ออยู่และสามารถสอดส่องหาข้อมูลที่มีค่าต่อไปได้อีก
ในแถบเอเชีย พบว่าเกิดภัย APTs ขี้นมากมายจากความขัดแย้งระหว่างประเทศจีน อินเดียและประเทศในเอเชียตะวันออกเฉียงใต้ ซึ่งนับวันจะเพิ่มมากขึ้นเรื่อยๆ โดยในปีที่ผ่านๆ มา ได้พบกลุ่มภัยที่เรียกว่า APT 30 ที่ใช้มัลแวร์แอบเข้ามาขโมยข้อมูลสำคัญๆ ของเหยื่อต่างๆ รวมทั้งในเครือข่ายของรัฐบาล
โดยภัยบางประเภทใช้อีเมล์ที่เขียนเป็นภาษาท้องถิ่นและมีเอกสารแนบ ซึ่งดูแล้วน่าจะถูกต้องไม่มีภัย แต่แท้จริงแล้วมีมัลแวร์ซ่อนอยู่ แฮกเกอร์จะสร้างอัลกอรึทึมที่ดูเหมือนเป็นหนอน แต่จะฝั่งตัวเองลงไปที่ฮาร์ดแวร์ เช่น ที่ดราฟยูเอสบี และฮาร์ดดิกส์ และเมื่ออุปกรณ์นี้สัมผัสกับระบบอื่น ภัยจะแพร่กระจายต่อไปทันที[5]
จะป้องกัน DDoS และ APT ได้อย่างไร
ฟอร์ติเน็ตแนะนำว่าควรใช้กลยุทธ์ที่เป็นมัลติเลเยอร์ที่ครบถ้วนจะเป็นวิธีในการป้องกันภัยที่ดีที่สุด
- เกราะป้องกันภัยที่มีประสิทธิภาพมากที่สุดมักสร้างอยู่บนเฟรมเวิร์คด้านการป้องกันภัยที่รัดกุมและครอบคลุมครบถ้วน เฟรมเวิร์คด้านการป้องกันภัยนี้มีความสำคัญมาก เนื่องจากเป็นการผสมผสานรวมศักยภาพด้านความปลอดภัยในปัจจุบันทั้งหมด เทคโนโลยีใหม่ๆ และกระบวนการเรียนรู้ที่มาจากการพบภัยใหม่ๆ ให้พัฒนาเกิดเป็นความรู้ใหม่ๆ อยู่ตลอดเวลา
- ยังมีมาตรการอื่นๆ ที่จำเป็นอาทิ การสำรวจสถานภาพของเครือข่ายตลอดเวลา และการปรับแผนโต้ตอบเมื่อเกิดภัยขึ้นจริงอยู่เสมอ นอกจากนี้ ยังควรรักษาจุดรวมเครือข่ายที่สำคัญให้ปลอดภัยอยู่เสมอๆ หมั่นตรวจตราเครือข่าย มั่นใจว่าสามารถเห็นภัยคุกคามใหญ่ๆ และมีแผนแก้ไขสถานการณ์ภัยคุกคามในรูปแบบต่างๆ ได้อย่างแน่นอน
- และ แทนที่องค์กรจะมุ่งลบล้างทราฟฟิคที่มี DDoS ออกให้หมด องค์กรควรมีกลยุทธ์ที่ช่วยให้บริการต่างๆ มีไปอย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งบริการที่จำเป็นๆ ขององค์กรให้มีผลกระทบน้อยที่สุด ดังนั้น แผนงานที่สมบูรณ์ควรรวมถึงกระบวนการทำสำรองและการนำกลับมาใช้ การตรวจตรา และเริ่มต้นบริการใหม่อีกครั้งที่เร็วที่สุดและมีประสิทธิภาพมากที่สุดเท่าที่จะทำได้
- กลยุทธ์ที่เป็นมัลติเลเยอร์ที่ครบถ้วนจะเกี่ยวข้องกับโซลูชั่นที่ละเอียดอ่อน ที่ได้รับการออกแบบมาให้ป้องกันและกำจัดภัยออกจากทุกมุมในเครือข่ายได้
- ในการกำจัดภัย APT ออกจากเครือข่าย ภาครัฐควรต้องพัฒนากระบวนการด้านความปลอดภัยที่สามารถหยุดแอปพลิเคชั่นและมัลแวร์อันตรายได้ และยังต้องมีศักยภาพป้องกันไม่ให้ข้อมูลสำคัญออกจากเครือข่ายไปได้ ทางหนึ่งที่เป็นทางออกที่ดี คือ การแบ่งเครือข่ายให้เป็นส่วน (Network segregation) ที่จะช่วยป้องกันไม่ให้เกิดการแพร่กระจายภัย APT ภายในเครือข่าย
- และผู้บริหารไอทีควรจำด้วยว่า ไม่จำเป็นที่พนักงานทุกคนจะสามารถเข้าถึงส่วนที่มีข้อมูลสำคัญขององค์กรได้ ทั้งนี้ ศักยภาพในการจำกัดการเข้าถึงในเวลาที่ต้องการ จะยิ่งช่วยให้องค์กรสามารถกำจัดภัยออกจากเครือข่ายได้ นอกจากนี้ การใช้ Two-factor authentication สำหรับผู้ใช้งานจากข้างนอกหรือกับกลุ่มผู้ใช้งานที่ต้องเข้าไปยังข้อมูลที่สำคัญจะช่วยให้ขโมยข้อมูลเป็นไปได้ยากมากยิ่งขึ้น
- นอกจากนี้ การเป็นพันธมิตรกับผู้ให้บริการด้านความปลอดภัยยังเป็นเรื่องที่จำเป็นเช่นกัน พันธมิตรดังกล่าวจะช่วยให้ข้อมูลใหม่ล่าสุดและความรู้ด้านภัยคุกคามแก่พนักงานไอที และช่วยแนะนำวิธีการปฏิบัติเมื่อเกิดภัยคุกคามขึ้น ทั้งนี้ หน่วยงานราชการควรให้ความร่วมมือกับพันธมิตรด้านความปลอดภัยไซเบอร์อย่างใกล้ชิดและกับผู้ให้บริการด้านความปลอดภัยเพื่อแบ่งปันข้อมูลใหม่ๆ อยู่เสมอ เพื่อช่วยให้สามารถติดตามภัยที่เกิดขึ้นทั่วโลกได้ทันและสามารถแก้ไขรับมือกับภัยได้ดีขึ้น
- และนอกจากจะมีแผนและการประเมินด้านความปลอดภัยที่รัดกุมแล้ว ควรจะต้องให้ความรู้แก่พนักงานของภาครัฐเกี่ยวกับภัยไซเบอร์ ควรต้องจัดการอบรมพิเศษให้กับพนักงานที่มีสิทธิ์เข้าถึงข้อมูลสำคัญให้เข้าใจว่าควรจะจัดการกับข้อมูลดังกล่าวให้เหมาะสมได้อย่างไรบ้าง อาทิ การจำกัดการใช้ USB drive เมื่อพิจารณาแล้วว่าจำเป็นเท่านั้น เป็นหนทางหนึ่งในการป้องกันเครือข่าย
ไม่ว่าจะเป็น APTs การแพร่กระจายของหนอน worm outbreaks หรือ DDoS และ botnets หรือภัยที่เกิดจากภายในสู่ภายนอก หรือภายนอกสู่ภายใน ภัยคุกคามปัจจุบันมีความซับซ้อนมากยิ่งขึ้นและก้าวร้าวขึ้นมาก องค์กรต่างๆ รวมถึงภาครัฐควรต้องพิจารณาระบบความปลอดภัยอย่างรอบคอบ และใช้กลยุทธ์แบบมัลติเลเยอร์เพื่อสู้กับภัยที่กำลังเผชิญอยู่ในทุกๆ วันนี้
[1] https://www.nytimes.com/2016/03/01/us/politics/utilities-cautioned-about-potential-for-a-cyberattack-after-ukraines.html?_r=0
[2] https://www.cityam.com/230831/cybersecurity-targeted-cyber-attacks-doubled-in-the-year-to-october-2015-with-government-and-the-finance-sector-bearing-the-brunt-of-cybercrime
[3] https://www.slideshare.net/mastel_indonesia/outlook-briefing-2016-cyber-security
[4] https://expressions-media.com/ddos-mitigation-market-driven-growing-ddos-attacks-says-quadrant-knowledge-solutions/
[5] https://techspective.net/2015/04/14/fireeye-warns-of-apt-30-cyber-espionage-operation/