เตือนภัยไซเบอร์! พบระบบคลาวด์ไดนามิกพุ่ง 45% ต่อเดือน

ปัจจุบันเรามีการเร่งเดินหน้าทำดิจิทัลทรานส์ฟอร์เมชันทำให้โครงสร้างเครือข่ายระดับองค์กรมีจำนวนมากขึ้นทั้งที่รู้ตัวและไม่รู้ตัว จนกลายสภาพเป็นระบบที่มีความซับซ้อนสูงในด้านการรักษาความปลอดภัย การมีระบบที่เปิดเผยต่อสาธารณะทำให้องค์กรตกเป็นเหยื่อของคนร้ายที่เฝ้ารอโอกาสโดยไม่จำเป็นต้องใช้วิธีการโจมตีแบบมุ่งเป้าเจาะจง คำอธิบาย จากพาโล อัลโต เน็ตเวิร์กส์
 

ที่ผ่านมา พาโล อัลโต เน็ตเวิร์กส์ ได้วิเคราะห์ข้อมูลระดับหลายเพตะไบต์ขององค์กรกว่า 250 แห่งทั่วโลก ในช่วงระหว่างปี 2565 ถึง 2566 เพื่อศึกษาบรรดาช่องโหว่ที่เข้าถึงได้จากอินเทอร์เน็ต โดยในรายงานภัยคุกคามระบบบริหารจัดการความเสี่ยงการโดนโจมตีจากภายนอกองค์กร ประจำปี 2023 ของ Unit 42 (2023 Unit 42 Attack Surface Threat Report) พบว่า อาชญากรไซเบอร์ใช้ช่องโหว่ที่เพิ่งค้นพบใหม่ล่าสุดเพื่อโจมตีเป้าหมายอย่างรวดเร็วแทบจะทันทีหลังมีการเปิดเผยรายงานเรื่องช่องโหว่ จนทำให้องค์กรต่างๆ ยากที่จะป้องกันได้ทัน ทั้งในแง่ระยะเวลาที่สั้นและขอบเขตกว้างขวางที่ต้องป้องกันและรับมือกับระบบอัตโนมัติของคนร้าย

อีกข้อมลที่น่าสนใจคือ ระบบคลาวด์ตกเป็นเป้าหมายหลักที่สำคัญในการโจมตีผ่านช่องโหว่หลายช่องทาง ไม่ว่าจะเป็น ช่องโหว่ความปลอดภัยส่วนใหญ่อยู่บนระบบคลาวด์ โดยคิดเป็น 80% เมื่อเทียบกับช่องโหว่ของระบบที่ติดตั้งภายในสถานที่ขององค์กรที่มีเพียงราว 19%

รงมถึงโครงสร้างพื้นฐานระบบ IT บนคลาวด์มีการเปลี่ยนแปลงอยู่ตลอดเวลา ทุกภาคอุตสาหกรรมมีการเปลี่ยนแปลงมากกว่า 20% ในแต่ละเดือน

ส่วนองค์กรใหญ่ๆทั่วไปนั้นมี 45% ของช่องโหว่ความเสี่ยงสูงที่อยู่บนคลาวด์ในแต่ละเดือนเกิดจากการเปลี่ยนแปลงเซอร์วิสต่างๆ บนระบบคลาวด์ที่เกิดขึ้นอย่างต่อเนื่อง เช่น การออนไลน์เซอร์วิสใหม่และ/หรือการแทนที่เซอร์วิสเดิมบนคลาวด์

และพบอีกกว่า 75% ของช่องโหว่ในโครงสร้างระบบด้านการพัฒนาซอฟต์แวร์ที่เข้าถึงได้จากสาธารณะล้วนอยู่บนคลาวด์
 

คนร้ายโจมตีด้วยความเร็วระดับจักรกล

ปัจจุบันคนร้ายสามารถสแกนหมายเลข IPv4 ทั้งระบบ (ซึ่งมีที่อยู่กว่า 4 พันล้านรายการ) ในเวลาเพียงไม่กี่นาทีเพื่อหาเป้าหมายที่มีช่องโหว่

จากการวิเคราะห์จุดเปราะบางและช่องโหว่ที่พบในวงกว้าง 30 รายการ มีอยู่ 3 รายการที่ถูกใช้เจาะระบบภายในเวลาไม่กี่ชั่วโมงหลังจากเปิดเผยช่องโหว่ต่อสาธารณะ ขณะที่ราว 63% โดนนำไปเจาะระบบภายใน 12 สัปดาห์หลังจากนั้น

การเจาะระบบโดยเข้าถึงจากทางไกลกำลังระบาดหนัก

อีกปัญหาที่กำลังเจอและระบาดอย่างหนักคือการเจาะระบบโดยเข้าถึงจากทางไกล พบว่ากว่า 85% ขององค์กรที่เก็บข้อมูลมีการเข้าถึง Remote Desktop Protocol (RDP) ผ่านอินเทอร์เน็ตอย่างน้อย 25% ในแต่ละเดือน

ซึ่ง 8 ใน 9 อุตสาหกรรมที่ Unit 42 เก็บข้อมูล มีช่องโหว่ RDP ที่เข้าถึงได้ผ่านอินเทอร์เน็ตซึ่งโดนโจมตีด้วยการสุ่มเดาข้อมูลการเข้าสู่ระบบ คิดเป็นอย่างน้อย 25% ในแต่ละเดือน
 
โดยเฉลี่ยแล้วภาคบริการทางการเงิน และหน่วยงานภาครัฐ โดนโจมตีผ่าน RDP ตลอดทั้งเดือน

สำหรับกลุ่มใหญ่ที่ตกเป็นเป้าหมายคือ อุตสาหกรรมสำคัญๆ โดยอุตสาหกรรมภาคการผลิตที่เสี่ยงระดับสูงสุด (48%) ในด้านโครงสร้างระบบ IT, การรักษาความปลอดภัย และระบบเครือข่าย ซึ่งอาจทำให้เกิดปัญหาในด้านการผลิตและส่งผลกระทบต่อรายได้

ส่วน สถาบันการเงินมักเจอปัญหาเรื่องเซอร์วิสด้านการแชร์ไฟล์ (38%) อยู่บ่อยครั้ง ขณะที่หน่วยวานของภาครัฐ นั้น มีปัญหาการแชร์ไฟล์และฐานข้อมูลที่ไม่ปลอดภัยเป็นความเสี่ยงสำคัญของการโจมตี Attach Surfave ที่ต้องเผชิญ คิดเป็นกว่า 46% ของการโจมตีทั้งหมดในหน่วยงานภาครัฐ

อีกหนึ่งที่ที่โดนโจมตีมากคือ สถานพยาบาลต่างๆ เพราะเจอปัญหาจากการกำหนดค่าระบบที่ไม่ถูกต้องและบรรดาช่องโหว่ต่างๆ ที่ทำให้เกิดช่องโหว่สาธารณะในระบบที่ใช้พัฒนาคิดเป็นราว 56%

ขณะที่ หน่วยงานสาธารณูปโภคและพลังงานต้องเผชิญกับปัญหาระบบควบคุมโครงสร้างพื้นฐานด้าน IT ที่เข้าถึงได้ผ่านอินเทอร์เน็ต คิดเป็นราว 47%

ดังนั้นวิธีป้องกันคือสำรวจระบบและองค์ประกอบทุกส่วนอย่างต่อเนื่อง ตรวจสอบส่วนต่างๆ ที่เข้าถึงได้ผ่านอินเทอร์เน็ตให้ครบถ้วนแบบเรียลไทม์ รวมถึงระบบและบริการบนคลาวด์

รักษาความปลอดภัยให้เซอร์วิสด้านการเข้าถึงจากทางไกล: ใช้วิธีการยืนยันตัวตนแบบหลายปัจจัย (MFA) และติดตามเซอร์วิสการเข้าถึงจากทางไกลทั้งหมดอย่างต่อเนื่องเพื่อหาร่องรอยหรือสัญญาณการเข้าถึงที่ไม่ได้รับอนุญาตหรือการโจมตีด้วยการสุ่มเดาข้อมูลการเข้าสู่ระบบ

ตรวจสอบการกำหนดค่าระบบคลาวด์ที่ไม่ถูกต้อง หมั่นตรวจสอบและอัปเดตการกำหนดค่าบนระบบคลาวด์ที่ไม่ถูกต้องเป็นประจำเพื่อให้เป็นไปตามมาตรฐานรักษาความปลอดภัยที่ควรปฏิบัติ