รู้ทันก่อนตกเป็นเหยื่อของการโจมตีทางไซเบอร์จากหน่วยข่าวกรอง
ท่ามกลางการรุกรานทางไซเบอร์ที่หน่วยข่าวกรองรัสเซียใช้โจมตีคู่แข่งทั่วโลก รัฐต่าง ๆ จำเป็นต้องเตรียมความพร้อมเพื่อหลีกเลี่ยงการรั่วไหลของข้อมูล ซึ่งอาจส่งผลกระทบต่อเสถียรภาพและความมั่นคงของรัฐ ทำความรู้จักแนวทางสำคัญในการเสริมสร้างความยืดหยุ่นด้านความมั่นคงไซเบอร์ เพื่อรับมือกับการโจมตีจากข่าวกรองไซเบอร์ขั้นสูง
ปฏิบัติการทางไซเบอร์กำลังเพิ่มขึ้นอย่างต่อเนื่อง โดยเฉพาะในช่วงที่ความขัดแย้งระหว่างประเทศในหลายพื้นที่ทวีความรุนแรงมากขึ้น รูปแบบของสงครามกำลังเปลี่ยนไป โดยข่าวกรองของรัฐได้ขยายขอบเขตการโจมตีเข้าสู่โลกดิจิทัลอย่างเต็มรูปแบบ
ในปัจจุบัน หนึ่งในภัยคุกคามที่สำคัญที่สุด ไม่เพียงต่อสหรัฐอเมริกาเท่านั้น แต่รวมถึงประเทศพันธมิตร คือหน่วยข่าวกรองต่างประเทศของรัสเซีย หน่วยงานดังกล่าวได้อาศัยกลุ่มแฮกเกอร์ในการดำเนินการโจมตีทางไซเบอร์เชิงกลยุทธ์ต่อเป้าหมายฝ่ายตรงข้าม
ด้วยเหตุนี้ จึงเกิดการโจมตี Microsoft ในเดือนพฤศจิกายน ปี 2023 และยังมีการดำเนินการโจมตีทางไซเบอร์อื่น ๆ อีกในปี 2024 ตัวอย่างของการโจมตี ได้แก่ การโจมตีรัฐบาลออสเตรเลีย การโจมตีผู้ให้บริการดิจิทัลเพียงรายเดียวของสวีเดน และการดำเนินแคมเปญจารกรรมต่อสถานทูตของจอร์เจีย โปแลนด์ ยูเครน และอิหร่าน
กลยุทธ์ข่าวกรองไซเบอร์เหล่านี้ยังถูกนำมาใช้ในสงครามระหว่างรัสเซียกับยูเครน โดยมีการใช้กล้องของพลเรือนยูเครนเพื่อระบุตำแหน่งและวางแผนการโจมตีด้วยขีปนาวุธ
จากภัยคุกคามทางไซเบอร์ที่ชัดเจนจากรัสเซีย ซึ่งสำนักงานผู้อำนวยการข่าวกรองแห่งชาติของสหรัฐอเมริการะบุไว้ หน่วยงานด้านความมั่นคงและข่าวกรองของสหรัฐฯ ได้ออกชุดคำแนะนำเพื่อรับมือ เป้าหมายคือเพื่อช่วยให้รัฐ บริษัทด้านความมั่นคงไซเบอร์ และสถาบันการเงิน สามารถรับมือกับการโจมตีทางไซเบอร์ระดับสูงที่เกิดขึ้นบ่อยครั้งมากขึ้นในปัจจุบัน
นี่คือคำแนะนำพื้นฐานในการเสริมสร้างความยืดหยุ่นเชิงปฏิบัติการเพื่อต้านทานกิจกรรมทางไซเบอร์ของรัฐรัสเซีย ตามข้อมูลจากสำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (Cybersecurity & Security Agency: CISA)
ดำเนินการและบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication)
ปกป้องและเฝ้าระวังการใช้งานโปรโตคอลเดสก์ท็อประยะไกล (Remote Desktop Protocol) และบริการอื่น ๆ ที่มีความเสี่ยง
- เสริมสร้างความตระหนักรู้และจัดการฝึกอบรมด้านความมั่นคงปลอดภัยไซเบอร์ให้แก่ผู้ใช้งานปลายทาง
- ให้ความสำคัญกับการลดความเสี่ยงจากช่องโหว่ที่เคยถูกใช้โจมตีแล้ว
- นำเป้าหมายประสิทธิภาพด้านความมั่นคงไซเบอร์ของ CISA (Cybersecurity Performance Goals) มาใช้ ซึ่งเป็นชุดแนวปฏิบัติพื้นฐานที่สามารถนำไปใช้ได้อย่างกว้างขวางและช่วยลดความเสี่ยงได้อย่างมีประสิทธิภาพ
คำแนะนำในการป้องกันการโจมตีทางไซเบอร์จากแฮกเกอร์รัสเซีย
ในบรรดารูปแบบ เทคนิค และกลยุทธ์การโจมตีที่แฮกเกอร์รัสเซียใช้บ่อยที่สุด คือการโจมตีด้วยแรนซัมแวร์ และมัลแวร์ อย่างไรก็ตาม เมื่อกลยุทธ์ด้านข่าวกรองมีการพัฒนา จึงพบรูปแบบการโจมตีอื่น ๆ เพิ่มเติม
- การโจมตีแบบ Password Spray Attack
- การใช้ประโยชน์จากช่องโหว่แบบ Zero-Day ผ่าน Exploit
- ช่องทางการบุกรุกผ่านซอฟต์แวร์มอนิเตอร์ระบบ
สำหรับการโจมตีแต่ละรูปแบบ ต่อไปนี้รวบรวมจากรายงานที่จัดทำโดยสำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (Cybersecurity & Infrastructure Security Agency: CISA)
แนวทางรับมือการโจมตีแบบการพยายามเข้าสู่ระบบโดยใช้รหัสผ่านที่เดาง่าย (Password Spray Attack)
คำแนะนำดังกล่าวจัดทำโดย Federal Bureau of Investigation: FBI และ Department of Homeland Security: DHS หน่วยงานของสหรัฐฯ แนะนำให้ปฏิบัติตามแนวปฏิบัติที่ดีที่สุดในการกำหนดค่าการเข้าถึง Cloud Environment แนวทางที่ทั้งองค์กรธุรกิจและหน่วยงานต่าง ๆ ควรดำเนินการมีดังต่อไปนี้
- ใช้งานโซลูชันการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication) ที่ได้รับการรับรอง สำหรับผู้ใช้งานทั้งภายในและจากระยะไกล
- หลีกเลี่ยงการเข้าถึงจากระยะไกลไปยังฟังก์ชันและทรัพยากรด้านการดูแลระบบ จากที่อยู่ IP และระบบที่ไม่ได้เป็นทรัพย์สินขององค์กร
- ดำเนินการตรวจสอบการกำหนดค่ากล่องจดหมาย สิทธิ์ของบัญชี และกฎการส่งต่ออีเมลเป็นระยะ เพื่อค้นหาหลักฐานของการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต และเพื่อรองรับการดำเนินงานดังกล่าว สามารถใช้ซอฟต์แวร์ตรวจสอบดิจิทัลที่ช่วยทำให้กระบวนการเป็นอัตโนมัติ รวมถึงแดชบอร์ดความมั่นคงปลอดภัยไซเบอร์ที่แสดงตัวชี้วัดสำคัญสำหรับการกำกับดูแลความปลอดภัยบนระบบออนไลน์
- บังคับใช้รหัสผ่านที่มีความแข็งแกร่ง และหลีกเลี่ยงการใช้รหัสผ่านที่คาดเดาได้ง่ายหรือใช้กันทั่วไป โดยอาศัยเครื่องมือและเทคนิคที่เหมาะสม โดยเฉพาะกับบัญชีผู้ดูแลระบบ
- ทบทวนระบบการจัดการรหัสผ่านขององค์กรอย่างสม่ำเสมอ
- ทีมสนับสนุนด้านเทคโนโลยีสารสนเทศขององค์กรควรมีขั้นตอนการปฏิบัติงานมาตรฐานที่มีการจัดทำเอกสารไว้อย่างชัดเจน สำหรับการปลดล็อกและรีเซ็ตรหัสผ่าน
- จัดการฝึกอบรมด้านความปลอดภัยอย่างสม่ำเสมอให้แก่พนักงานทุกคนในองค์กร
คำแนะนำในการป้องกันช่องโหว่แบบ Zero-Day ที่ถูกโจมตีด้วย Exploit
ทีมความมั่นคงปลอดภัยไซเบอร์ควรตรวจสอบให้แน่ใจว่าโซลูชันการเฝ้าระวังอุปกรณ์ปลายทางได้รับการตั้งค่าอย่างถูกต้อง เพื่อให้สามารถตรวจจับ Lateral Movement
นอกจากนี้ ควรเฝ้าระวังเครือข่ายเพื่อตรวจหาหลักฐานของคำสั่ง PowerShell ที่ถูกเข้ารหัส และการใช้งานเครื่องมือสแกนเครือข่าย เช่น Nmap
- เปิดใช้งานโปรแกรมป้องกันไวรัสสำหรับการเฝ้าระวังอุปกรณ์ปลายทางแบบอิงโฮสต์ ตรวจสอบให้แน่ใจว่าระบบได้รับการตั้งค่าให้แจ้งเตือน หากการเฝ้าระวังหรือการรายงานถูกปิดใช้งาน หรือหากมีการสูญเสียการเชื่อมต่อกับเอเจนต์ของโฮสต์เป็นระยะเวลานานผิดปกติ
- กำหนดให้มีการใช้การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication) สำหรับการเข้าถึงระบบภายใน
- หากมีการเพิ่มระบบใหม่เข้าสู่เครือข่าย ควรทำการยืนยันและตรวจสอบทันที รวมถึงระบบที่ใช้สำหรับงานทดสอบหรือการพัฒนาด้วย แนวทางนี้จะช่วยให้องค์กรสามารถรักษามาตรฐานความปลอดภัยพื้นฐาน และผนวกระบบเหล่านี้เข้ากับเครื่องมือเฝ้าระวังระดับองค์กรได้อย่างมีประสิทธิภาพ
ขั้นตอนในการรับมือการบุกรุกผ่านซอฟต์แวร์มอนิเตอร์ระบบ
การป้องกันซอฟต์แวร์ที่ถูกมองว่าน่าเชื่อถือแต่กลับถูกแทรกแซงนั้น เป็นเรื่องที่ท้าทายอย่างมาก อย่างไรก็ตามจากข้อมูลของ FBI และ DHS พบว่า บางองค์กรสามารถตรวจจับและยับยั้งการใช้ซอฟต์แวร์ SolarWinds ในทางที่เป็นอันตรายได้สำเร็จเมื่อเหตุการณ์เกิดขึ้น
สามารถรับมือด้วยเทคนิคดังนี้:
- มีการตรวจสอบไฟล์บันทึกเหตุการณ์ (Log Files) เพื่อระบุความพยายามในการเข้าถึงใบรับรองสิทธิพิเศษ และการสร้างผู้ให้บริการยืนยันตัวตนปลอม
- มีการนำซอฟต์แวร์มาใช้เพื่อตรวจจับพฤติกรรมที่น่าสงสัยในระบบ รวมถึงการเรียกใช้ PowerShell ที่ถูกเข้ารหัส
- มีการใช้ระบบป้องกันอุปกรณ์ปลายทาง ที่สามารถเฝ้าระวังตัวบ่งชี้เชิงพฤติกรรมของการถูกโจมตี
- มีการใช้ทรัพยากรสาธารณะที่มีอยู่เพื่อตรวจจับการใช้ข้อมูลรับรองในทางที่ผิดภายในสภาพแวดล้อมคลาวด์
- มีการตั้งค่ากลไกการยืนยันตัวตน (Authentication Mechanisms) เพื่อยืนยันกิจกรรมบางประการของผู้ใช้งานในระบบ รวมถึงการลงทะเบียนอุปกรณ์ใหม่
โปรดอย่าลืมว่า ทุกองค์กรอาจตกอยู่ในปฏิบัติการไซเบอร์หรือสงครามไซเบอร์ได้ โดยบริษัทด้านความปลอดภัย โครงสร้างพื้นฐาน และภาคการเงิน มักเป็นเป้าหมายหลัก และความเสี่ยงยิ่งมีมากขึ้นเมื่อองค์กรเหล่านี้ทำงานร่วมกับลูกค้าประเภทภาครัฐและรัฐบาล
ภายใต้สถานการณ์เช่นนี้ การมีเครื่องมือ บุคลากรที่มีความเชี่ยวชาญ และเทคนิคเชิงรุกด้านการตรวจจับล่าภัยคุกคาม หรือความมั่นคงปลอดภัยไซเบอร์ ถือเป็นหัวใจสำคัญในการรักษาระดับการป้องกันให้พร้อมใช้งานอยู่เสมอ
ติดตามข่าวสารเพิ่มเติมได้ที่
Linkedin : https://www.linkedin.com/company/manageenginethailand
แหล่งอ้างอิง
CISA, Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders.
CISA, Russia Cyber Threat Overview and Advisories.