การรับมือภัยไซเบอร์ยุคใหม่: รู้ก่อน ป้องกันได้ก่อน
ความเคลื่อนไหวในโลกไซเบอร์นั้นรวดเร็วและเต็มไปด้วยความท้าทายใหม่ ๆ อยู่เสมอ การติดตามและทำความเข้าใจภัยคุกคามล่าสุดจึงเป็นสิ่งสำคัญอย่างยิ่งสำหรับทุกองค์กร ไม่ว่าเล็กหรือใหญ่ เพราะความประมาทเพียงเล็กน้อยอาจนำไปสู่ความเสียหายมหาศาลได้
ภัยคุกคามเร่งด่วนที่ต้องจับตา: ช่องโหว่สำคัญที่ต้องแก้ไขทันที
ช่องโหว่ร้ายแรงใน ConnectWise ScreenConnect
มีรายงานการตรวจพบ ช่องโหว่ร้ายแรง หลายจุดในแพลตฟอร์ม ConnectWise ScreenConnect ที่นิยมใช้สำหรับการควบคุมระยะไกลและสนับสนุนทางเทคนิค ช่องโหว่เหล่านี้ (CVE-2024-46805 และ CVE-2024-46806) อนุญาตให้ผู้ไม่ประสงค์ดีสามารถ ข้ามการยืนยันตัวตน และเข้าถึงระบบได้โดยไม่ต้องมีสิทธิ์ใด ๆ เลย
ที่น่ากังวลคือมีการตรวจพบการ โจมตีและใช้ประโยชน์จากช่องโหว่ เหล่านี้แล้วในวงกว้าง หากองค์กรกำลังใช้งาน ConnectWise ScreenConnect อยู่ การดำเนินการที่เร่งด่วนที่สุดคือการ อัปเดตเวอร์ชันซอฟต์แวร์ทันที หรืออย่างน้อยที่สุดคือจำกัดการเข้าถึงจากภายนอกให้มากที่สุด
ความเสี่ยงในระบบ VMware ESXi และ vCenter Server
ผลิตภัณฑ์ของ VMware ซึ่งเป็นหัวใจสำคัญของโครงสร้างพื้นฐานด้านไอทีของหลายองค์กรก็มี ช่องโหว่สำคัญ ที่ต้องระวังเช่นกัน (CVE-2023-34063 และ CVE-2023-34064) ช่องโหว่เหล่านี้อาจนำไปสู่การ รันโค้ดจากระยะไกล (Remote Code Execution) หรือการ ยกระดับสิทธิ์ ในระบบ ซึ่งเปิดประตูให้ผู้โจมตีเข้าควบคุมระบบได้อย่างเบ็ดเสร็จ
หน่วยงานด้านความมั่นคงไซเบอร์ระดับโลกหลายแห่ง เช่น CISA และ FBI ได้ออกคำเตือนและแนะนำให้องค์กรต่าง ๆ เร่ง ติดตั้งแพตช์ความปลอดภัย โดยเฉพาะอย่างยิ่งสำหรับระบบ ESXi และ vCenter Server ที่มีการเชื่อมต่อกับอินเทอร์เน็ตโดยตรง
Fortra GoAnywhere MFT: เป้าหมายยอดนิยมของแรนซัมแวร์
แม้จะผ่านมานานกว่าหนึ่งปี แต่ช่องโหว่ใน Fortra GoAnywhere MFT (CVE-2023-0669) ยังคงเป็นภัยคุกคามที่น่ากลัว เนื่องจากมีระบบจำนวนมากที่ยังไม่ได้รับการแก้ไข ผู้โจมตีกลุ่ม Clop ransomware ใช้ช่องโหว่นี้เพื่อเข้าถึงข้อมูลและเรียกค่าไถ่ การโจมตีรูปแบบนี้ยังคงเกิดขึ้นอย่างต่อเนื่อง
องค์กรที่ใช้ Fortra GoAnywhere MFT ควรมั่นใจว่าได้ ติดตั้งแพตช์ล่าสุด แล้ว และควร ตรวจสอบบันทึกกิจกรรม (log) ของระบบอย่างละเอียดเพื่อหาสัญญาณของการบุกรุกที่อาจเกิดขึ้นแล้ว
แนวโน้มภัยคุกคามไซเบอร์ที่กำลังแพร่หลาย
ธุรกิจขนาดเล็กและขนาดกลางตกเป็นเป้าหมาย
กลุ่ม ธุรกิจขนาดเล็กและขนาดกลาง (SMBs) กำลังเผชิญกับภัยคุกคามที่เพิ่มขึ้นอย่างรวดเร็ว ผู้โจมตีมักใช้เทคนิค ฟิชชิ่ง (Phishing) และ วิศวกรรมสังคม (Social Engineering) เพื่อหลอกล่อพนักงานให้ดาวน์โหลดมัลแวร์ เช่น QakBot, Bumblebee, DarkGate, หรือ IcedID มัลแวร์เหล่านี้สามารถนำไปสู่การขโมยข้อมูลสำคัญ หรือการโจมตีด้วย แรนซัมแวร์ ในที่สุด
เพื่อปกป้องธุรกิจของตนเอง องค์กรขนาดเล็กและขนาดกลางจำเป็นต้องมี การป้องกันที่แข็งแกร่ง เช่น การเปิดใช้งาน การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับทุกบัญชี มีการ ฝึกอบรมพนักงาน ให้รู้จักและระวังภัยคุกคาม และมีการ สำรองข้อมูล อย่างสม่ำเสมอ
แรนซัมแวร์เป็นบริการ (RaaS) และตัวกลางเข้าถึงระบบ (IABs) กำลังเติบโต
ตลาดมืดของอาชญากรรมไซเบอร์ได้พัฒนาไปไกล มีการเกิดขึ้นของ แรนซัมแวร์เป็นบริการ (RaaS) ซึ่งช่วยลดอุปสรรคในการเข้าถึงเครื่องมือโจมตีให้กับผู้ที่ไม่มีทักษะทางเทคนิคสูง นอกจากนี้ยังมี ตัวกลางเข้าถึงระบบ (Initial Access Brokers – IABs) ที่ทำการเจาะระบบขององค์กรต่าง ๆ แล้วนำสิทธิ์การเข้าถึงไปขายต่อให้กับกลุ่มแรนซัมแวร์
กลุ่ม IABs มักจะใช้ประโยชน์จาก ช่องโหว่ในระบบที่ยังไม่ได้รับการแก้ไข เพื่อสร้างจุดเข้าถึง การเผชิญหน้ากับภัยคุกคามเหล่านี้ องค์กรจำเป็นต้องมี การป้องกันเชิงรุก และหมั่นศึกษา ข้อมูลภัยคุกคาม เพื่อเตรียมรับมือ
สร้างเกราะป้องกันภัยไซเบอร์ที่แข็งแกร่ง
กลยุทธ์ความปลอดภัยที่จำเป็นสำหรับองค์กร
การสร้างความปลอดภัยทางไซเบอร์ที่แข็งแกร่งต้องอาศัยกลยุทธ์ที่รอบด้าน ไม่ใช่แค่การติดตั้งซอฟต์แวร์ป้องกันไวรัสเพียงอย่างเดียว ควรมีการใช้ แนวทางความปลอดภัยแบบหลายชั้น และยึดหลักการ Zero Trust ที่ถือว่าไม่มีอะไรน่าเชื่อถือจนกว่าจะได้รับการตรวจสอบ
นอกจากนี้ การ ประเมินช่องโหว่ (Vulnerability Assessment) และ การทดสอบเจาะระบบ (Penetration Testing) อย่างสม่ำเสมอเป็นสิ่งสำคัญเพื่อค้นหาจุดอ่อนก่อนที่ผู้โจมตีจะเจอ การมี แผนรับมือเหตุการณ์ (Incident Response Plan) ที่ชัดเจนจะช่วยให้สามารถจัดการกับการโจมตีได้อย่างรวดเร็วและมีประสิทธิภาพ และที่ขาดไม่ได้คือการ ให้ความรู้และฝึกอบรมพนักงาน อย่างต่อเนื่องเพื่อให้เป็นเหมือนแนวป้องกันด่านแรกที่มีประสิทธิภาพที่สุด