www.cioworldmagazine.com

 Breaking News

แนวโน้มกลยุทธ์ของอาชญากรรมไซเบอร์ในปี 2019

แนวโน้มกลยุทธ์ของอาชญากรรมไซเบอร์ในปี 2019
December 21
10:02 2018

“ฟอร์ติเน็ตคาดในปี 2019 องค์กรจะใช้ระบบอัตโนมัติมากขึ้นเพื่อต่อสู้กับภัยคุกคามใช้ AI Fuzzing และแมชชีนเลิร์นนิ่งช่วยค้นพบช่องโหว่บนเครือข่ายและซอฟต์แวร์ใหม่ๆ”

วิทยา จันทร์เมฆา Network Security Architect ฟอร์ติเน็ตผู้นำระดับโลกด้านโซลูชั่นการรักษาความปลอดภัยแบบไซเบอร์แบบบูรณาการและแบบอัตโนมัติเปิดเผยถึงแนวโน้มภัยคุกคามในปีคศ. 2019 รวบรวมโดยทีมงานฟอร์ติการ์ดแล็บส์ (FortiGuard Labs) ซึ่งการคาดการณ์เหล่านี้แสดงให้เห็นถึงวิธีการและเทคนิคที่นักวิจัยคาดว่าจะเกิดขึ้นในอนาคตอันใกล้ พร้อมกับการเปลี่ยนแปลงในด้านกลยุทธ์ที่สำคัญซึ่งจะช่วยให้องค์กรสามารถป้องกันการโจมตีในอนาคตเหล่านี้ได้

การคุกคามจะฉลาดและซับซ้อนมากขึ้น
องค์กรอาชญากรรมจำนวนมากพิจารณาใช้เทคนิคการโจมตีไม่ใช่เพียงแต่ในแง่ของประสิทธิภาพของการโจมตีเท่านั้น แต่ยังพิจารณาถึงหนทางที่จะสร้างรายได้มากที่สุด รวมถึงต้นทุนที่จำเป็นในการพัฒนา ปรับเปลี่ยนและใช้งานเทคนิคนั้นอีกด้วย จึงเป็นผลทำให้อาชญากรรมหยุดใช้เทคนิคกลยุทธ์โจมตีหลายประเภท เนื่องจากยังไม่ตอบสนองต่อโมเดลทางการเงินที่อาชญากรไซเบอร์ใช้อยู่

นอกจากนี้องค์กรอาชญากรรมจึงเปลี่ยนกลยุทธ์มาให้ความสำคัญแก่ทรัพยากรมนุษย์ กระบวนการและเทคโนโลยี จึงทำให้องค์กรอาชญากรรมกลับมาคิดทบทวนถึงมูลค่าทางการเงินของเป้าหมายที่ตนกำหนดไว้

smartcapture

                       วิทยา จันทร์เมฆา

ในขณะที่องค์กรต่างๆ กำลังนำเทคโนโลยีและกลยุทธ์ใหม่ๆ มาใช้งาน เช่น แมชชีนเลิร์นนิ่ง (Machine Learning) และระบบอัตโนมัติ (Automation) มาใช้ ซึ่งส่งผลกระทบให้อาชญากรไซเบอร์เปลี่ยนวิธีการโจมตีและเร่งพยายามพัฒนาตนเองให้เข้ากับแมชชีนเลิร์นนิ่งและระบบอัตโนมัติเช่นกัน ทั้งนี้ ฟอร์ติเน็ตคาดการณ์ว่าชุมชนอาชญากรรมไซเบอร์มีแนวโน้มที่จะใช้กลยุทธ์ดังต่อไปนี้ ซึ่งจะทำให้อุตสาหกรรมป้องกันภัยไซเบอร์ทั้งหลายจะต้องติดตามอย่างใกล้ชิดเช่นกัน:

การคาดการณ์ที่ 1: ในเรื่องการใช้ Artificial Intelligence Fuzzing (AIF) และช่องโหว่ (Vulnerabilities)
ฟัสซิ่ง (Fuzzing) เป็นเทคโนโลยีที่ใช้กันอย่างแพร่หลายในห้องทดลองโดยนักวิจัยผู้เชี่ยวชาญด้านภัยคุกคามเพื่อค้นหาช่องโหว่ในส่วนติดต่อกับฮาร์ดแวร์และซอฟต์แวร์และแอพพลิเคชั่น โดยการป้อนค่าข้อมูลที่ไม่ถูกต้อง ไม่คาดคิดหรือกึ่งสุ่มเข้าไปยังฟังก์ชั่น อินเทอร์เฟซหรือโปรแกรมต่างๆ และดูตรวจสอบเหตุการณ์ เช่น การหยุดทำงาน การกระโดดข้ามไปที่ขั้นตอนการแก้ไขโปรแกรมโดยที่ไม่มีคำสั่ง การยืนยันรหัสโค้ดที่ผิดพลาด การรั่วไหลของหน่วยความจำที่อาจเกิดขึ้น และท้ายสุด จะแจ้งให้ผู้พัฒนาทำการแก้ไขข้อบกพร่องซึ่งในอดีตนั้น มีเพียงวิศวกรที่มีทักษะสูงจำนวนหนึ่งที่ทำงานในห้องปฏิบัติการเท่านั้นที่ใช้เทคนิคเหล่านี้

อย่างไรก็ตาม ต่อมา มีการใช้โมเดลแมชชีนเลิร์นนิ่งกับกระบวนการเหล่านี้ จึงทำให้เราคาดการณ์ว่าเทคนิคนี้ที่เรียกว่า AIF (Artificial Intelligence Fuzzing) จะเปลี่ยนไป คือ มีประสิทธิภาพมากขึ้น สามารถพัฒนาดัดแปลงให้ทำงานเฉพาะได้มากขึ้น และทำให้เหล่าผู้ที่มีความรู้ด้านเทคนิคน้อยกว่าสามารถใช้งานได้กว้างขวางมากขึ้น

2ดังนั้น เมื่ออาชญากรไซเบอร์เองเริ่มใช้แมชชีนเลิร์นนิ่งมาพัฒนาโปรแกรมฟัสซิ่งที่ทำงานอย่างอัตโนมัติตลอดเวลา จะทำให้พวกเขาสามารถเร่งกระบวนการและพบช่องโหว่ใหม่ๆ ที่ยังไม่มีใครค้นพบมากก่อน ซึ่งเรียกกันว่า ภัยประเภทซีโร่ เดย์ (Zero-day attack) ได้เร็วขึ้น จำนวนการโจมตีแบบ Zero-day ที่กำหนดเป้าหมายไปยังโปรแกรมและแพลตฟอร์มต่างๆ จะเพิ่มมากขึ้น

การคาดการณ์ที่ 2: การทำเหมืองแบบ Zero-Day โดยใช้ AIF:
เมื่อมีเทคนิค AIF แล้ว อาชญากรไซเบอร์จะสามารถใช้ชี้ไปที่โค้ดภายในสภาพแวดล้อมที่มีการควบคุมเพื่อทำขุดเหมืองให้กับการโจมตีแบบ Zero-day Exploit(เอ็กซ์ปลอยท์ หมายถึง พฤติกรรมการใช้ประโยชน์จาก “จุดอ่อน” หรือ “ช่องโหว่” ในซอฟแวร์)ทำให้มีจำนวนภัย Zero-day Exploit สูงมากขึ้น

เมื่อขั้นตอนนี้มีความคล่องตัวมากขึ้น จะเกิดบริการทำเหมืองแบบ Zero-day mining-a-service ที่สามารถการสร้างการโจมตีเฉพาะสำหรับเป้าหมายแต่ละรายได้วิธีนี้จะเปลี่ยนวิธีการที่องค์กรต่างๆ รักษาความปลอดภัยเนื่องจากจะไม่มีทางใดที่จะคาดการณ์ได้ว่าจะเกิดภัย Zero-dayขึ้นที่ใดและไม่มีวิธีการการป้องกันอย่างเหมาะสมได้ซึ่งเป็นเรื่องที่ท้าทายมาก โดยเฉพาะอย่างยิ่งในองค์กรในวันนี้ที่ใช้ทูลส์รักษาความปลอดภัยแบบดั้งเดิมที่แยกทำงานกัน

การคาดการณ์ที่ 3: เกี่ยวกับบริการ Swarm-as-a-Service:

1การโจมตีที่ซับซ้อนมากมักจะใช้เทคโนโลยีอัจฉริยะที่ได้มาจากการทำงานแบบกลุ่มที่เรียกว่า Swarm-based intelligence technology เช่น Hivenets(กลุ่มภัยคุกคามทำงานรวมกันคล้ายรังผึ้ง)ซึ่งภัยคุกคามใหม่ๆ ที่เกิดขึ้นนี้จะถูกใช้เพื่อสร้างบอทอัจฉริยะที่มีขนาดใหญ่ซึ่งสามารถทำงานร่วมกันได้และเป็นอิสระ เครือข่ายเหล่านี้จะไม่เพียงกระตุ้นความจำเป็นให้องค์กรต้องยกระดับเทคโนโลยีในการปกป้องตนแล้ว ยังเหมือนกับการทำเหมืองแบบ Zero-day ที่ภัยรูปแบบนี้จะมีผลกระทบต่อโมเดลการทำธุรกิจของอาชญากรรมไซเบอร์ต่อไปในอนาคตอีกด้วย

ในขณะปัจจุบันนี้ ระบบนิเวศทางอาญากรรมใช้ทรัพยากรมนุษย์ทำงานเป็นจำนวนมาก สามารถเช่าแฮกเกอร์มืออาชีพบางรายในการสร้างเอ็กซ์ปลอยท์โดยจ่ายเป็นค่าธรรมเนียม หรือแม้กระทั่งให้สร้างความก้าวหน้าใหม่ๆ ในด้านการแฮก เช่น บริการ Ransomware-as-a-Service ที่ต้องใช้วิศวกรแฮกเกอร์ที่แตกต่างกันในงานแต่ละประเภท อาทิ ในการสร้าง และในการทดสอบเอ็กซ์ปลอยท์และในการจัดการเซิร์ฟเวอร์ Back-end C2

แต่เมื่อเกิดบริการ Swarms-as-a-Service ที่เป็นอิสระและฉลาดสามารถเรียนรู้ด้วยตนเอง จะทำให้ปริมาณการติดต่อกันโดยตรงระหว่างลูกค้าที่เป็นแฮ็กเกอร์และผู้ประกอบการให้บริการภัยแบล็คแฮทจะลดลงอย่างมาก

การคาดการณ์ที่ 4: เมนูตามสั่ง A – la – Carte Swarms:
การแยกแบ่งกลุ่ม (Swarm) หนึ่งออกเป็นงานย่อยๆ ที่แตกต่างกันเพื่อให้บรรลุผลที่ต้องการนั้นจะคล้ายกันกับที่องค์กรทั่วโลกก้าวไปใช้งานแบบเสมือนจริง (Virtualization) ซึ่งในเครือข่ายเสมือนจริงนั้น ทรัพยากรต่างๆ จะใช้งานอุปกรณ์เสมือนมากหรือน้อยจะขึ้นอยู่กับความจำเป็นในการแก้ไขปัญหาเฉพาะนั้น เช่น แบนด์วิธและในทำนองเดียวกัน จะสามารถจัดสรรทรัพยากรในเครือข่ายแบบกลุ่ม Swarm ในการจัดการกับความท้าทายเฉพาะที่พบในกลุ่มการโจมตีในครั้งนั้นได้

Swarm เป็นกลุ่มพฤติกรรมของระบบแบบกระจายศูนย์ซึ่งถูกนำมาประยุกต์ใช้ในเอไอและเมื่อรวมกลุ่ม Swarm ที่ผู้ประกอบธุรกิจอาชญากรได้ตั้งโปรแกรมล่วงหน้าไว้แล้ว เข้ากับทูลส์ด้านการวิเคราะห์และเอ็กซ์ปลอยท์ เข้ากับโปรโตคอลการเรียนรู้ได้ด้วยตนเองที่อนุญาตให้ทำงานเป็นกลุ่มที่ปรับแต่งโปรโตคอลที่ใช้การโจมตี จะทำให้การซื้อการโจมตีทางไซเบอร์ทำได้ง่ายเหมือนการเลือกจากเมนูอาหารตามสั่งเลยทีเดียว

อาชญากรอาจเลือกซื้อ Swarm ได้หลายรูปแบบ อาทิ ใช้ Swarm ในการทำ AI Fuzzing เพื่อหาจุดอ่อน Zero-Day ใหม่ๆ หรือ ให้ Swarm ท่องไปในเครือข่าย หลบหลีกการตรวจจับและ/หรือเก็บข้อมูลพิเศษบางอย่างหรือให้ Swarm เข้าไปควบคุมการใช้งานหรือทรัพยากรของเครือข่ายบางอย่าง เป็นต้น

การคาดการณ์ที่ 5: ภัยในแมชชีนเลิร์นนิ่ง:
แมชชีนเลิร์นนิ่งเป็นทูลส์ที่มีแนวโน้มว่าจะถูกใช้งานมากที่สุดทูลส์หนึ่ง ซึ่งระบบและอุปกรณ์รักษาความปลอดภัยสามารถได้รับการฝึกอบรมเพื่อดำเนินการเฉพาะอย่างเป็นอิสระได้ เช่น พฤติกรรมพื้นฐานการประยุกต์การวิเคราะห์พฤติกรรมในการระบุภัยคุกคามที่ซับซ้อน หรือการติดตามและแก้ไขอุปกรณ์ต่างๆแต่น่าเสียดายที่อาชญากรในโลกไซเบอร์ได้ใช้ประโยชน์จากแมชชีนเลิร์นนิ่งด้วยเช่นกัน

ทั้งนี้ อาชญากรไซเบอร์จะกำหนดเป้าหมายในกระบวนการเรียนรู้ของเครื่องคอมพิวเตอร์ และจะสามารถฝึกอุปกรณ์หรือระบบเพื่อไม่ใช้แพทช์หรืออัปเดตลงบนอุปกรณ์ที่ระบุเฉพาะได้ หรือให้อุปกรณ์มองข้ามแอพพลิเคชั่นหรือพฤติกรรมบางประเภทไป หรือไม่บันทึกทราฟิกบางประเภทเพื่อหลีกเลี่ยงการถูกตรวจพบ ทั้งหมดนี้มีผลกระทบสูงต่อวิวัฒนาการของเทคโนโลยีแมชชีนเลิร์นนิ่งและเอไอ

4กระบวนการป้องกันภัยคุกคามจะซับซ้อนมากขึ้น

เพื่อต่อต้านการพัฒนาด้านมืดเหล่านี้ องค์กรจะต้องยกระดับขีดความสำคัญของอาชญากรไซเบอร์ ทั้งนี้ กลยุทธ์เชิงป้องกันต่อไปนี้จะทำให้องค์กรให้บริการอาชญากรรมไซเบอร์ เปลี่ยนยุทธวิธี แก้ไขการโจมตีของตน และพัฒนาวิธีใหม่ในการประเมินโอกาสในการคุกคามอีกด้วย

การใช้กลยุทธ์การหลอกลวงขั้นสูง: องค์กรควรรวมเทคนิคการหลอกลวงทั้งหลายเข้ากับกลยุทธ์ด้านความปลอดภัยขององค์กร เพื่อให้ได้เครือข่ายที่สร้างขึ้นจากข้อมูลที่เป็นเท็จ ซึ่งจะบังคับให้ผู้ประสงค์ร้ายตรวจสอบข้อมูลด้านภัยคุกคามอัจฉริยะ (Threat intelligence) ของตนตลอดเวลา จะใช้เวลาและทรัพยากรในการตรวจหาข้อมูลที่ผิดพลาดไม่เป็นความจริง (False positive) มากขึ้น และจะตรวจสอบว่าทรัพยากรเครือข่ายที่ตนเห็นนั้นถูกต้องมีจริง

และเนื่องจากองค์กรสามารถพบการคุกคามบนทรัพยากรเครือข่ายที่ผิดพลาดนั้นได้ทันที และเรียกใช้มาตรการตอบโต้ได้โดยอัตโนมัติ จึงทำให้ผู้บุกรุกจะต้องเพิ่มความระมัดระวังมากขึ้น แม้แต่ในการใช้กลยุทธ์พื้นฐานมากขึ้น เช่น การตรวจสอบเครือข่าย

ใช้ความร่วมมือแบบเปิดและรวมเป็นหนึ่งเดียว: หนึ่งในวิธีที่ง่ายที่สุดสำหรับอาชญากรในโลกไซเบอร์ในการโจมตีที่มีอยู่และหลบเลี่ยงการตรวจพบคือ ใช้วิธีเปลี่ยนแปลงเพียงเล็กน้อยเท่านั้น เช่น การเปลี่ยนไอพีแอดเดรส ดังนั้น วิธีการที่มีประสิทธิภาพเพื่อให้ทันกับการเปลี่ยนแปลงดังกล่าวคือการแบ่งปันข้อมูลด้านภัยคุกคามอัจฉริยะ ร่วมกันอย่างแข็งขัน เนื่องจากข้อมูลด้านภัยคุกคามอัจฉริยะที่อัพเดตอย่างต่อเนื่องจะช่วยให้ผู้ขายอุปกรณ์ด้านความปลอดภัยและลูกค้าสามารถติดตามสถานการณ์ภัยคุกคามล่าสุดได้ทันท่วงที

3นอกจากนี้ การให้ความร่วมมือกันแบบเปิดและแบ่งปันกลยุทธ์ที่ผู้โจมตีใช้กัน ระหว่างองค์กรวิจัยด้านภัยคุกคาม พันธมิตรในอุตสาหกรรม ผู้ผลิตอุปกรณ์ด้านความปลอดภัย และหน่วยงานผู้มีอำนาจบังคับใช้กฎหมายจะช่วยลดเวลาในการตรวจจับภัยคุกคามใหม่ๆ ได้อย่างรวดเร็ว โดยการเปิดเผย

 

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Like Us On Facebook

Facebook Pagelike Widget