Derek Manky รองประธานฝ่ายวิจัยภัยคุกคามระดับโลกและกลยุทธ์ความปลอดภัยทางไซเบอร์ของ FortiGuard Labs กล่าวว่า "รายงานภูมิทัศน์ภัยคุกคามระดับโลกฉบับล่าสุดของเราเน้นย้ำว่าผู้ก่ออาชญากรรมทางไซเบอร์ใช้ประโยชน์จาก AI และระบบอัตโนมัติเพื่อเร่งการโจมตีด้วยความเร็วและขนาดที่ไม่เคยมีมาก่อน" “แนวทางปฏิบัติด้านความปลอดภัยแบบเดิมไม่เพียงพออีกต่อไป องค์กรต่างๆ จะต้องเปลี่ยนมาใช้กลยุทธ์การป้องกันเชิงรุกที่ผสมผสาน AI การไม่ไว้วางใจ และการจัดการภัยคุกคามอย่างต่อเนื่องอย่างรวดเร็ว เพื่อให้ก้าวล้ำหน้าผู้โจมตีในภูมิทัศน์ภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็วในปัจจุบัน”

ที่น่าสังเกตคือ การสแกนอัตโนมัติประสบความสำเร็จสูงสุดเป็นประวัติการณ์ เนื่องจากผู้โจมตีพยายามระบุเป้าหมายที่เปิดเผยในระยะเริ่มต้น เพื่อใช้ประโยชน์จากช่องโหว่ที่เพิ่งค้นพบ ผู้ก่ออาชญากรรมทางไซเบอร์จึงใช้การสแกนอัตโนมัติในระดับโลก FortiGuard Labs สังเกตและบันทึกการสแกนหลายพันล้านครั้งต่อเดือน ซึ่งเทียบเท่ากับการสแกน 36,000 ครั้งต่อวินาที สิ่งนี้แสดงให้เห็นถึงการให้ความสำคัญอย่างมากของผู้โจมตีในการแมปบริการที่เปิดเผยเช่น SIP และ RDP และโปรโตคอล OT/IoT เช่น Modbus TCP

ตลาดมืด Darknet ที่เติบโตอย่างต่อเนื่องทำให้การเข้าถึงชุดเครื่องมือโจมตีที่สร้างไว้ล่วงหน้าเป็นเรื่องง่ายยิ่งขึ้น ในปี 2024 ฟอรัมเกี่ยวกับอาชญากรรมทางไซเบอร์เริ่มทำหน้าที่เป็นตลาดสำหรับชุดการโจมตีเพิ่มมากขึ้น โดยมีช่องโหว่ใหม่ๆ กว่า 40,000 รายการเพิ่มเข้าไปในฐานข้อมูลช่องโหว่แห่งชาติ ซึ่งเพิ่มขึ้น 39% เมื่อเทียบกับปี 2023

นอกเหนือจากช่องโหว่แบบ zero-day ที่แพร่กระจายอยู่ใน darknet แล้ว โบรกเกอร์ยังเสนอข้อมูลรับรองการตรวจสอบสิทธิ์ขององค์กร (20%), การเข้าถึงระยะไกล RDP (19%), คอนโซลการดูแลระบบ (13%) และเว็บเชลล์ (12%) มากขึ้นเรื่อยๆ ที่น่าสังเกตคือ FortiGuard Labs ได้สังเกตเห็นการเพิ่มขึ้น 500% ในช่วงปีที่ผ่านมาในบันทึกของระบบที่ถูกบุกรุกโดยมัลแวร์ขโมยข้อมูลประจำตัว โดยมีการบันทึกข้อมูลประจำตัวที่ถูกขโมยไป 1.7 พันล้านรายการที่ถูกแบ่งปันในฟอรัมใต้ดินเหล่านี้

การปฏิบัติการด้านอาชญากรรมทางไซเบอร์ที่ขับเคลื่อนด้วย AI กำลังขยายตัวอย่างรวดเร็ว ผู้ก่อให้เกิดภัยคุกคามทางไซเบอร์กำลังใช้ประโยชน์จาก AI เพื่อเพิ่มความถูกต้องแท้จริงของการฉ้อโกงและหลบเลี่ยงการควบคุมความปลอดภัยแบบดั้งเดิม ทำให้การโจมตีทางไซเบอร์มีประสิทธิภาพมากขึ้นและตรวจจับได้ยากขึ้น เครื่องมือเช่น FraudGPT, BlackmailerV3 และ ElevenLabs ทำให้แคมเปญโจมตีปรับขนาดได้ เชื่อถือได้ และมีประสิทธิภาพมากขึ้น โดยหลีกเลี่ยงข้อจำกัดของเครื่องมือ AI ที่มีอยู่

การโจมตีแบบกำหนดเป้าหมายในพื้นที่สำคัญกำลังเพิ่มมากขึ้น อุตสาหกรรมต่างๆ เช่น การผลิต การดูแลสุขภาพ และบริการทางการเงิน ยังคงพบเห็นการโจมตีทางไซเบอร์แบบเฉพาะเพิ่มมากขึ้น โดยมีการวางแผนและปรับใช้ช่องโหว่ที่เฉพาะเจาะจงตามแต่ละภาคส่วน

ในปี 2567 ภาคส่วนที่เป็นเป้าหมายมากที่สุด ได้แก่ การผลิต (17%) บริการทางธุรกิจ (11%) ก่อสร้าง (9%) และการค้าปลีก (9%) ผู้มีบทบาทในระดับประเทศและกลุ่มอาชญากรรมทางไซเบอร์ที่ใช้ Ransomware-as-a-Service (RaaS) กำลังมุ่งความพยายามของตนไปที่แนวตั้งเหล่านี้ สหรัฐอเมริกาเป็นประเทศที่ได้รับผลกระทบจากการโจมตีเหล่านี้มากที่สุด (61%) รองลงมาคือสหราชอาณาจักร (6%) และแคนาดา (5%)

ความเสี่ยงด้านความปลอดภัยของคลาวด์และ IoT กำลังเพิ่มมากขึ้น สภาพแวดล้อมการประมวลผลแบบคลาวด์ยังคงเป็นเป้าหมายอันดับต้นๆ โดยผู้โจมตีมักจะแสวงหาประโยชน์จากจุดอ่อนต่างๆ เช่น บริการจัดเก็บข้อมูลแบบเปิด ข้อมูลประจำตัวที่จัดเตรียมมากเกินไป และการกำหนดค่าบริการไม่ถูกต้อง ใน 70% ของเหตุการณ์ที่สังเกต ผู้โจมตีได้รับสิทธิ์ในการเข้าถึงโดยใช้ข้อมูลประจำตัวจากภูมิศาสตร์ที่ไม่คุ้นเคย ซึ่งทำให้เห็นถึงความสำคัญของการตรวจสอบข้อมูลประจำตัวในการป้องกันระบบคลาวด์

ข้อมูลรับรองถือเป็น “ทรัพย์สิน” ของอาชญากรทางไซเบอร์ ในปี 2024 ผู้ก่ออาชญากรรมทางไซเบอร์ได้แบ่งปันข้อมูลที่ถูกบุกรุกมากกว่า 100,000 ล้านรายการบนฟอรัมใต้ดิน ซึ่งเพิ่มขึ้น 42% เมื่อเทียบกับปีก่อนหน้า ส่วนใหญ่เป็นผลมาจากการเพิ่มขึ้นของ "รายการผสม" ที่ประกอบด้วยชื่อผู้ใช้ รหัสผ่าน และที่อยู่อีเมลที่ถูกขโมยไป มากกว่าครึ่งหนึ่งของโพสต์ในดาร์กเน็ตเกี่ยวข้องกับฐานข้อมูลที่รั่วไหล ซึ่งทำให้ผู้โจมตีสามารถทำการโจมตีด้วยการแอบแนบข้อมูลประจำตัวได้โดยอัตโนมัติในระดับขนาดใหญ่

กลุ่มยอดนิยมเช่น BestCombo, BloddyMery และ ValidMail เป็นกลุ่มอาชญากรทางไซเบอร์ที่มีการเคลื่อนไหวมากที่สุดในช่วงเวลาดังกล่าว พวกเขาดำเนินการลดอุปสรรคในการโจมตีต่อไปโดยเสนอแพ็คเกจบริการที่พร้อมใช้งานกับข้อมูลประจำตัว ส่งผลให้เกิดการยึดบัญชี การฉ้อโกงทางการเงิน และการจารกรรมขององค์กรเพิ่มมากขึ้น

เมื่อเผชิญกับสถานการณ์ดังกล่าวข้างต้น รายงานนี้ให้คำแนะนำด้านการป้องกันความปลอดภัยสำหรับ CISO โดยเน้นย้ำถึงด้านยุทธศาสตร์จำนวนหนึ่งที่จำเป็นต้องมุ่งเน้น เช่น:

การเปลี่ยนจากการตรวจจับภัยคุกคามแบบเดิมมาเป็น "การจัดการการเปิดเผยภัยคุกคามอย่างต่อเนื่อง" แนวทางเชิงรุกนี้มุ่งเน้นไปที่การจัดการพื้นผิวการโจมตีอย่างต่อเนื่อง การจำลองพฤติกรรมของศัตรูในโลกแห่งความเป็นจริง การจัดลำดับความสำคัญของการแก้ไขตามความเสี่ยง และการทำให้การตรวจจับและตอบสนองต่อการป้องกันเป็นแบบอัตโนมัติ

จำลองการโจมตีในโลกแห่งความเป็นจริง – ดำเนินการฝึกซ้อมจำลองศัตรู รวมทีม Red และ Purple และใช้ประโยชน์จาก MITRE ATT&CK เพื่อทดสอบการป้องกันต่อภัยคุกคามเช่นแรนซัมแวร์และการจารกรรม

ลดพื้นผิวการโจมตี – นำเครื่องมือการจัดการพื้นผิวการโจมตี (ASM) มาใช้เพื่อตรวจจับทรัพย์สินที่เปิดเผย ข้อมูลประจำตัวที่รั่วไหล และช่องโหว่ที่สามารถใช้ประโยชน์ได้ พร้อมทั้งตรวจสอบฟอรัม darknet เพื่อดูภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่อง

กำหนดลำดับความสำคัญของช่องโหว่ที่มีความเสี่ยงสูง – มุ่งเน้นความพยายามในการแก้ไขไปที่ช่องโหว่ที่กลุ่มอาชญากรทางไซเบอร์หารืออย่างจริงจัง และใช้ประโยชน์จากข้อมูลการกำหนดลำดับความสำคัญตามความเสี่ยง เช่น EPSS และ CVSS เพื่อจัดการแพตช์อย่างมีประสิทธิภาพ

ใช้ประโยชน์จาก Dark Web Intelligence – ตรวจสอบตลาด darknet เพื่อค้นหาบริการ ransomware ที่เกิดขึ้นใหม่ และติดตามความพยายามของแฮ็กเกอร์ที่ประสานงานกันเพื่อลดภัยคุกคามเช่น DDoS และการโจมตีที่ทำให้เว็บไซต์เสียหาย

ที่มา: https://doanhnghiepvn.vn/chuyen-doi-so/an-ninh-mang/cac-cuoc-tan-cong-mang-tu-dong-tang-manh/20250508031351243