เจาะลึกจุดบอดของระบบแยกส่วน ที่อาจนำไปสู่ข้อมูลรั่วไหล

เมื่ออาชญากรรมไซเบอร์มีความซับซ้อนมากขึ้น เส้นแบ่งระหว่างความสามารถในการรับมือ กับหายนะทางธุรกิจก็ยิ่งเลือนรางลง ปี 2025 องค์กรในอุตสาหกรรมสาธารณสุข ยานยนต์ การเงิน กลาโหม และเทคโนโลยี ต่างเผชิญกับเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่ที่สร้างความเสียหายมูลค่าหลายพันล้านบาท ทำให้ข้อมูลจำนวนมหาศาลถูกเปิดเผย และส่งผลให้การดำเนินงานหยุดชะงักเป็นเวลาหลายเดือน

เมื่อตรวจสอบเชิงลึกจะพบแพทเทิร์นบางอย่าง การโจมตีเหล่านี้ไม่ใช่ภัยคุกคามที่เหนือการป้องกัน แต่เกิดจากช่องโหว่ที่สามารถป้องกันได้ล่วงหน้า โดยสาเหตุหลักมักมาจากช่องโหว่ที่ไม่ได้รับการอัปเดตแพตช์ Misconfigurations ข้อมูลรับรองที่ถูกขโมย การควบคุมตัวตนที่อ่อนแอ และการตรวจสอบเฝ้าระวังที่ไม่เพียงพอ ช่องว่างด้านความปลอดภัยเหล่านี้ยังคงเกิดขึ้นอย่างต่อเนื่อง เนื่องจากระบบรักษาความปลอดภัยถูกแยกการทำงานออกจากกัน ไม่ว่าจะเป็นการจัดการแพตช์ในเครื่องมือหนึ่ง Endpoint Protection ในอีกเครื่องมือหนึ่ง และ Identity Management ในอีกระบบหนึ่ง ส่งผลให้เกิดจุดบอดด้านความปลอดภัยที่เปิดโอกาสให้ผู้โจมตีสามารถใช้เป็นช่องทางโจมตีได้อย่างต่อเนื่องและน่ากังวล

ต่อไปนี้คือ 15 เหตุการณ์ข้อมูลรั่วไหลจริงในช่วงปี 2024–2025 ที่ถูกจัดกลุ่มตาม 5 รูปแบบการโจมตีหลัก เพื่อแสดงให้เห็นว่าการบริหารจัดการอุปกรณ์ปลายทาง และระบบความปลอดภัยแบบรวมศูนย์ สามารถช่วยหยุดยั้งห่วงโซ่การโจมตีได้ในหลายจุดอย่างไร ทุกเหตุการณ์ล้วนสะท้อนปัญหาเดียวกัน นั่นคือความผิดพลาดพื้นฐานด้านความมั่นคงปลอดภัยไซเบอร์ที่เปิดโอกาสให้ผู้โจมตีแฝงตัวอยู่ในระบบโดยไม่ถูกตรวจพบ ขโมยข้อมูลสำคัญออกไป และสร้างความเสียหายร้ายแรงต่อองค์กรเหยื่อได้สำเร็จ

ถอดรหัสเบื้องหลังเหตุการณ์ข้อมูลรั่วไหล: ทำไมการโจมตีเหล่านี้ยังคงเกิดซ้ำ

1. ความล้มเหลวในการจัดการตัวตนและสิทธิ์การเข้าถึง 

รูปแบบที่พบซ้ำ: ผู้โจมตีไม่ได้เจาะระบบ แต่เลือกล็อกอินเข้าสู่ระบบด้วยข้อมูลรับรองที่ถูกขโมย หรือได้รับการจัดการอย่างไม่มีประสิทธิภาพ Jaguar Land Rover ต้องเผชิญบทเรียนราคาแพง เมื่อการโจมตีแบบ Vishing ที่มุ่งเป้าไปยังผู้รับเหมาของ LG ทำให้ข้อมูลรับรองของ Jira ที่ล้าสมัยตั้งแต่ปี 2021 กลายเป็นต้นตอของความเสียหายมูลค่ากว่า 1.9 พันล้านปอนด์ หลังจากนั้น โรงงานผลิตต้องหยุดดำเนินงานนานนับเดือน เนื่องจากแฮกเกอร์ใช้บัญชีผู้ใช้งานที่ควรถูกปิดใช้งานไปตั้งนานแล้วเป็นช่องทางโจมตี

Marks & Spencer ตกเป็นเหยื่อของกลุ่มผู้โจมตีที่เชื่อว่าเป็น Scattered Spider ซึ่งแทรกซึมเข้าสู่ระบบ Help Desk ของผู้ให้บริการภายนอกในช่วงวันหยุดอีสเตอร์ โดยอาศัยกระบวนการยืนยันตัวตนที่อ่อนแอเพื่อยึดสิทธิ์การดูแลระบบ จากนั้น กลุ่มผู้โจมตีได้ปล่อยแรนซัมแวร์ DragonForce ส่งผลให้ระบบ E-commerce และโลจิสติกส์ทั่วทั้งองค์กรค้าปลีกหยุดชะงักทันที ด้วย Social Engineering เพื่อหลีกเลี่ยงกระบวนการยืนยันตัวตน ผู้โจมตีจึงสามารถทำให้องค์กรไม่สามารถดำเนินงานได้อย่างสมบูรณ์

Qantas เผชิญกับการโจมตีแบบ Vishing อย่างรวดเร็ว เมื่อผู้ไม่หวังดีปลอมตัวเป็นหน่วยงานที่น่าเชื่อถือเพื่อหลอกให้พนักงานคอลเซ็นเตอร์เปิดเผยข้อมูลรับรองการเข้าสู่ระบบ ภายในเวลาไม่ถึง 24 ชั่วโมง ข้อมูลลูกค้าเกือบ 6 ล้านรายการก็ถูกเปิดเผยออกสู่ภายนอก

Coinbase ต้องเผชิญกับภัยคุกคามที่ซับซ้อนที่สุดรูปแบบหนึ่ง นั่นคือภัยคุกคามจากบุคคลภายในองค์กร ผู้รับเหมานอกประเทศและเจ้าหน้าที่ฝ่ายสนับสนุนที่ถูกติดสินบน ได้ทยอยส่งออกข้อมูลลูกค้าจำนวน 69,461 รายการอย่างเป็นระบบ ซึ่งรวมถึงหมายเลขประกันสังคม และเอกสารระบุตัวตนจากหน่วยงานรัฐ ตลอดระยะเวลาเกือบห้าเดือน พวกเขาไม่ได้ทำการเจาะระบบใด ๆ แต่ใช้สิทธิ์การเข้าถึงที่ได้รับอนุญาตอย่างถูกต้องในการนำข้อมูลออกไป

ระบบ GitLab ของ Red Hat ประสบปัญหาความล้มเหลว Data Loss Prevention อย่างรุนแรง เมื่อข้อมูลรับรองที่ถูกขโมยถูกนำมาใช้เข้าถึง Repository กว่า 28,000 แห่ง ส่งผลให้ข้อมูลขนาด 570GB ถูกนำออกจากระบบโดยไม่ได้รับอนุญาต

2. การตั้งค่าโครงสร้างพื้นฐานและระบบคลาวด์ผิดพลาด (Infrastructure and Cloud Misconfigurations)

รูปแบบที่พบซ้ำ: ไม่ได้เกิดจากการโจมตีที่ซับซ้อน แต่เกิดจากความผิดพลาดที่สามารถป้องกันได้ ตั้งแต่ขั้นตอนการเปิดใช้งานระบบโดยไม่มีมาตรการรักษาความปลอดภัยพื้นฐานรองรับ

ข้อมูลจาก MongoDB จำนวน 16 เทราไบต์ ซึ่งประกอบด้วยข้อมูลกว่า 4.3 พันล้านรายการ ทั้งโปรไฟล์ออนไลน์ ประวัติการทำงาน และข้อมูลติดต่อ ถูกเปิดเผยสู่สาธารณะจากสาเหตุง่าย ๆ เพียงแค่การเปิดใช้งานระบบโดยไม่มีการยืนยันตัวตน

Blue Shield of California ตั้งค่า Advertising Tracking Pixels บนเว็บไซต์ผิดพลาด ส่งผลให้ข้อมูลสุขภาพส่วนบุคคลของสมาชิกกว่า 4.7 ล้านรายถูกส่งต่อไปยังบุคคลที่สามผ่าน Google Analytics เป็นเวลานานถึงสามปีโดยที่ผู้ใช้งานไม่ทราบตัว

3. การจัดการช่องโหว่และแพตช์ความปลอดภัย (Vulnerability and Patch Management)

รูปแบบที่พบซ้ำ: ช่องโหว่ที่เป็นที่รับรู้แล้วแต่ไม่ได้รับการแก้ไขทันท่วงที หรือในบางกรณีก็ไม่ได้รับการแก้ไขเลย

SAP NetWeaver กลายเป็นเป้าหมายสำคัญของกลุ่มผู้โจมตี หลังถูกใช้ประโยชน์จากช่องโหว่แบบ Zero-Day ระดับวิกฤตในระบบกว่า 450 อินสแตนซ์ โดยผู้โจมตีได้ติดตั้ง Web Shell เพื่อใช้ในการจารกรรมข้อมูลองค์กรและแพร่กระจายแรนซัมแวร์ หลายองค์กรมีเวลาเพียงไม่กี่ชั่วโมงหลังจากช่องโหว่ถูกเปิดเผย ก่อนที่จะถูกโจมตีจริง และส่วนใหญ่ไม่สามารถรับมือได้ทันเวลา

Microsoft SharePoint ตกเป็นเป้าหมายของกลุ่มผู้โจมตีที่ได้รับการสนับสนุนระดับรัฐ ซึ่งใช้ประโยชน์จากช่องโหว่ Zero-day ในระบบกว่า 85 อินสแตนซ์ต่อเนื่องนานกว่าสองเดือน พร้อมติดตั้ง Web Shell เพื่อขโมยซอร์สโค้ดสำคัญขององค์กรออกไป แม้ว่าจะมีการออกแพตช์แก้ไขแล้ว แต่หลายองค์กรไม่สามารถติดตั้งได้รวดเร็วเพียงพอที่จะป้องกันการโจมตี

Barts Health NHS Trust ต้องเผชิญกับผลกระทบร้ายแรงจากช่องโหว่ Zero-day ใน Oracle E-Business Suite เมื่อกลุ่มแรนซัมแวร์ Cl0p ใช้ช่องโหว่ที่ยังไม่ได้รับการอัปเดตแพตช์เป็นช่องทางโจมตี ขโมยข้อมูลทางการเงินและข้อมูลส่วนบุคคลของพนักงาน ผู้ป่วย และซัพพลายเออร์ ก่อนนำข้อมูลออกเผยแพร่สู่สาธารณะ

DaVita ต้องแบกรับค่าใช้จ่ายความเสียหายมูลค่า 13.5 ล้านดอลลาร์ จากระบบรับส่งไฟล์และเครื่องมือเข้าถึงระยะไกลที่ไม่ได้รับการอัปเดตแพตช์ จนถูกโจมตีโดยแรนซัมแวร์ Interlock

4. ช่องโหว่ใน API และตรรกะการทำงานของแอปพลิเคชัน 

รูปแบบที่พบซ้ำ: การโจมตีนี้เกิดขึ้นจากการที่องค์กรย้ายระบบขึ้นสู่คลาวด์มากขึ้น ส่งผลให้การสื่อสารระหว่างแอปพลิเคชันกลายเป็นหนึ่งในช่องทางโจมตีหลักของผู้ไม่หวังดี

เหตุการณ์โจมตีห่วงโซ่อุปทานผ่าน OAuth ของ Salesforce เป็นตัวอย่างที่สะท้อนปัญหานี้ได้อย่างชัดเจน OAuth tokens ที่ถูกขโมยจาก Salesloft และ Drift ซึ่งทำหน้าที่เสมือนกุญแจดิจิทัลสำหรับเชื่อมต่อระหว่างแอปพลิเคชัน ถูกนำมาใช้เพื่อเข้าถึงระบบขององค์กรกว่า 700 แห่งที่ใช้งาน Salesforce ได้อย่างแนบเนียนราวกับเป็นผู้ใช้งานที่ถูกต้อง ตลอดระยะเวลา 10 วัน ผู้โจมตีสามารถขโมยข้อมูล Customer Relationship Management: CRM รวมถึงข้อมูลรับรองการเข้าถึงระบบคลาวด์ที่ฝังอยู่ภายในระบบ ก่อนที่องค์กรจะตรวจพบความผิดปกติ

Allianz Life Insurance ประสบปัญหาช่องโหว่ประเภท Insecure Direct Object Reference: IDOR ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถแก้ไขค่า Account ID ภายในคำขอ API เพื่อเข้าถึงข้อมูลที่ไม่ควรเข้าถึงได้ ภายในระยะเวลา 16 วัน ผู้โจมตีได้ดึงข้อมูลผู้ถือกรมธรรม์เกือบ 1.5 ล้านรายการออกจากระบบ ซึ่งรวมถึงหมายเลขประกันสังคมและข้อมูลผู้รับผลประโยชน์ตามกรมธรรม์ประกันภัย

5. การโจมตีด้วยแรนซัมแวร์และมัลแวร์

รูปแบบที่พบซ้ำ: เมื่อผู้โจมตีสามารถเข้าถึงระบบได้ผ่านช่องทางใดก็ตามที่กล่าวมา แรนซัมแวร์จะเปลี่ยนสิทธิ์การเข้าถึงให้กลายเป็นการทำลายล้างระบบอย่างเต็มรูปแบบ

National Defense Corporation ตกเป็นเหยื่อของแรนซัมแวร์ InterLock ที่ใช้ประโยชน์จาก PowerShell และบัญชีผู้ใช้งานที่ถูกต้องในการแทรกซึมเข้าสู่ระบบ โดยสามารถซ่อนตัวอยู่ภายในเครือข่ายนาน 4–6 สัปดาห์ก่อนถูกตรวจพบ พร้อมขโมยข้อมูลของผู้รับเหมาด้านกลาโหมขนาด 4.2 เทราไบต์ ซึ่งรวมถึงเอกสารจัดซื้อจัดจ้างที่เกี่ยวข้องกับองค์กรและผู้รับเหมาชั้นนำในอุตสาหกรรมอวกาศ

Ingram Micro ต้องเผชิญกับการโจมตีเมื่อแฮกเกอร์ใช้ประโยชน์จากช่องโหว่ของระบบ VPN ร่วมกับการแบ่งเครือข่ายที่ไม่เพียงพอ เพื่อแพร่กระจายแรนซัมแวร์ SafePay หลังจากแฝงตัวอยู่ในระบบเป็นเวลาหลายสัปดาห์ เหตุการณ์ดังกล่าวส่งผลให้ระบบกระจายสินค้าระดับโลกหยุดชะงัก และสร้างความเสียหายด้านรายได้สูงถึง 136 ล้านดอลลาร์ต่อวัน

ข้อได้เปรียบของการป้องกันแบบรวมศูนย์ 

การโจมตีทั้ง 15 เหตุการณ์นี้สร้างความเสียหายโดยตรงคิดเป็นมูลค่าหลายพันล้านดอลลาร์ ทำให้ข้อมูลจำนวนมหาศาลรั่วไหล และบั่นทอนความเชื่อมั่นที่องค์กรมีต่อผู้ใช้งานและพันธมิตรทางธุรกิจอย่างรุนแรง

แล้วเหตุการณ์ข้อมูลรั่วไหลทั้งหมดนี้มีอะไรเหมือนกัน? คำตอบคือ ผู้โจมตีอาศัยช่องว่างระหว่างเครื่องมือรักษาความปลอดภัยในการแทรกซึมเข้าสู่ระบบ เมื่อ Patch Management อยู่ในระบบหนึ่ง Identity Management อยู่อีกระบบหนึ่ง และการตรวจจับภัยคุกคาม อยู่ในอีกแพลตฟอร์มหนึ่ง ผู้โจมตีก็สามารถใช้ช่องว่างระหว่างระบบเหล่านี้เพื่อหลบเลี่ยงการตรวจจับได้อย่างง่ายดาย

Unified Endpoint Management and Security คือแนวทางที่เข้ามาเปลี่ยนเกมนี้โดยสิ้นเชิง ด้วยการรวมการติดตั้งแพตช์ การบังคับใช้นโยบายการตั้งค่า (Configuration Enforcement) การตรวจจับภัยคุกคาม การวิเคราะห์พฤติกรรม และการควบคุมสิทธิ์การเข้าถึงไว้ภายในแพลตฟอร์มเดียว โซลูชันอย่าง Endpoint Central จึงสามารถปิดช่องโหว่เหล่านั้นได้ก่อนที่จะถูกผู้โจมตีนำไปใช้ประโยชน์

คำถามสำคัญไม่ใช่ว่าองค์กรของคุณจะตกเป็นเป้าหมายหรือไม่ แต่คือ เมื่อถูกโจมตี องค์กรของคุณจะรับมือด้วยระบบรักษาความปลอดภัยที่แยกส่วน หรือด้วยแนวป้องกันที่ทำงานประสานกันอย่างเป็นหนึ่งเดียว

ด้วย Endpoint Central องค์กรของคุณจะมีระบบป้องกันที่พร้อมรับมือกับภัยคุกคามอยู่เสมอ

ติดตามข่าวสารเพิ่มเติมได้ที่

Linkedin : https://www.linkedin.com/company/manageenginethailand
Facebook: https://www.facebook.com/manageenginethailand