CrowdStrike Global Threat Report 2024

รายงาน CrowdStrike Global Threat Report 2024 ฉบับนี้ เปิดเผยรายละเอียดของภัยคุกคามและแนวโน้มสำคัญด้านภัยคุกคามในปี 2023 รวมถึงภัยไซเบอร์ที่อยู่เบื้องหลังกิจกรรมเหล่านี้ และขั้นตอนที่คุณสามารถดำเนินการเพื่อปกป้ององค์กรของคุณในปีที่จะมาถึง

รายงานภัยคุกคามทั่วโลกของ CrowdStrike ซึ่งขณะนี้อยู่ในการปรับปรุงครั้งที่ 10 จะตรวจสอบว่าพฤติกรรมของฝ่ายตรงข้ามก่อให้เกิดความเสี่ยงที่เพิ่มมากขึ้นต่อความปลอดภัยของข้อมูลและโครงสร้างพื้นฐานขององค์กรอย่างไร ด้วยข้อมูลที่สำคัญนี้ องค์กรต่างๆ จึงมีความพร้อมมากขึ้นในการเผชิญกับภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา

เทคโนโลยีด้านภัยคุกคามที่ก้าวหน้าขึ้น ทำให้ผู้โจมตีเผชิญกับพื้นที่โจมตีที่ยากขึ้น พวกเขาจึงตอบสนองด้วยกลยุทธ์ที่ทำให้เคลื่อนไหวเร็วขึ้นและหลีกเลี่ยงการตรวจจับได้ตลอดทั้งปีที่ผ่านมา CrowdStrike Counter Adversary Operations (CAO) สังเกตเห็นกลุ่มอาชญากรรมไซเบอร์ (eCrime) ผู้ก่อการร้ายไซเบอร์จากชาติต่างๆ (Nation-State Threat Actors) และกลุ่มแฮ็คติวิสต์ (Hacktivists) พยายามเพิ่มความเร็ว ความแอบแฝง และผลกระทบของการโจมตีให้สูงสุด

Learn more: Download the CrowdStrike 2024 Global Threat Report

ผู้โจมตีทางไซเบอร์ยังคงพัฒนาความรวดเร็วอย่างต่อเนื่อง เวลาเฉลี่ยที่ใช้ในการแพร่กระจายของ eCrime (ระยะเวลาที่ผู้โจมตีใช้ในการเคลื่อนย้ายจากโฮสต์ที่ถูกโจมตีเบื้องต้นไปยังโฮสต์อื่นภายในองค์กร) ลดลงเหลือเพียง 62 นาที ในปี 2023 เเละลดลง 84 นาทีในปีก่อนหน้า เวลาที่เร็วที่สุดที่บันทึกไว้คือ เพียง 2 นาที 7 วินาที เท่านั้นการลดลงอย่างรวดเร็วนี้ชี้ให้เห็นว่าผู้โจมตีสามารถเข้าถึงและยึดควบคุมระบบภายในเครือข่ายได้อย่างรวดเร็ว ดังนั้นองค์กรต่างๆ จึงจำเป็นต้องมีระบบป้องกันที่แข็งแกร่งและสามารถตอบสนองได้อย่างรวดเร็วเพื่อหยุดยั้งการโจมตีเหล่านี้ก่อนที่พวกเขาจะสร้างความเสียหายได้

แม้จะมีภาพลักษณ์เหมือนเป็นภัยคุกคามอัตโนมัติ แต่เบื้องหลังการโจมตีไซเบอร์ส่วนใหญ่ ยังคงมีมนุษย์เป็นผู้ควบคุม

การรุกรานแบบโต้ตอบ (Interactive Intrusions) เพิ่มขึ้น 60% ในปี 2023
75% ของการโจมตีที่ประสบความสำเร็จในการเข้าถึงระบบเบื้องต้น ไม่ใช้มัลแวร์
ผู้โจมตีหันไปใช้วิธีการที่แยบยลและมีประสิทธิภาพมากขึ้น เช่น การฟishing ข้อมูลรับรอง (credential phishing), การสเปรย์รหัสผ่าน (password spraying), และ การสื่อสารหลอกลวง (social engineering)
เมื่อได้มาซึ่งข้อมูลรับรองที่ถูกต้องตามกฎหมาย ซึ่งปัจจุบันเป็นวิธีการที่เร็วและนิยมที่สุดในการเข้าถึงระบบ ผู้โจมตีสามารถใช้ข้อมูลเหล่านั้น เข้าสู่ระบบโดยตรง
ตลาดซื้อขายข้อมูลประจำตัวที่ถูกขโมยยังคงเฟื่องฟู โดยในปี 2023 CrowdStrike CAO พบว่า โฆษณาขายข้อมูลรับรองที่ถูกต้องตามกฎหมายจากนายหน้า (access broker) เพิ่มขึ้น 20%

ข้อมูลเหล่านี้ชี้ให้เห็นว่า ผู้โจมตีไซเบอร์กำลังปรับเปลี่ยนกลยุทธ์ เน้นการหลีกเลี่ยงการตรวจจับด้วยวิธีการที่แยบยลมากขึ้น องค์กรต่างๆ จึงจำเป็นต้องตระหนักถึงภัยคุกคามเหล่านี้ และใช้มาตรการรักษาความปลอดภัยที่หลากหลายเพื่อรับมือกับกลวิธีโจมตีที่เปลี่ยนแปลงไป

เนื่องจากองค์กรต่างๆ พากันย้ายการดำเนินงานไปยังระบบคลาวด์มากขึ้น ผู้โจมตีไซเบอร์ก็พัฒนาเทคนิคการโจมตีอย่างรวดเร็วเพื่อแสวงหาช่องโหว่ในระบบรักษาความปลอดภัย

ทีม CrowdStrike Counter Adversary Operations (CAO) พบว่า การโจมตีระบบคลาวด์เพิ่มขึ้นถึง 75% ผู้โจมตีใช้เทคนิคที่เกี่ยวข้องกับข้อมูลประจำตัว (Identity-based Techniques) เพื่อ เข้าถึงระบบ คงอยู่ภายในระบบ และยกระดับสิทธิ์ ในสภาพแวดล้อมของคลาวด์

ผลการวิจัยเกี่ยวกับการรุกรานแบบโต้ตอบ, เวลาแพร่กระจาย, การโจมตีคลาวด์ และกิจกรรมการซื้อขายข้อมูลประจำตัว ล้วนชี้ให้เห็นแนวโน้มสำคัญของรายงานประจำปีนี้: ข้อมูลประจำตัวเป็นปัจจัยสำคัญที่ทำให้การโจมตีประสบความสำเร็จ ดังนั้น การปกป้องข้อมูลประจำตัวจึงเป็นสิ่งสำคัญในการหยุดยั้งผู้โจมตีในยุคปัจจุบัน

CAO ติดตามศัตรู มากกว่า 230 ราย – รวมถึงศัตรู 34 รายที่ระบุในปี 2023

การหยุดยั้งการรั่วไหลของข้อมูล (ruaw hai) จำเป็นต้องเข้าใจศัตรเหล่านี้ รวมถึงแรงจูงใจ (rang ju khong jai) และเทคนิค (thek nik) ที่พวกเขาใช้ในการโจมตีองค์กร (ong kon)

ด้านล่างนี้เป็นแนวโน้ม (nen tom) และผลการค้นพบเพิ่มเติมที่เราสำรวจในรายงานประจำปีนี้:

การใช้ประโยชน์จากความสัมพันธ์ของบุคคลที่สาม (Third-party relationship exploitation): ผู้โจมตีมักใช้ 2 วิธีสำคัญในการโจมตีผ่านความสัมพันธ์ระหว่างองค์กรกับผู้ขาย
- โจมตีเข้าถึงระบบของผู้ขายที่ให้บริการ IT แก่องค์กร
- เจาะเข้าไปในห่วงโซ่อุปทานซอฟต์แวร์ (Software supply chain) โดยใช้ซอฟต์แวร์ที่น่าเชื่อถือในการแพร่กระจายเครื่องมืออันตราย
การใช้ AI สร้างสรรค์ (Generative AI) เพิ่มขึ้น:
- ในปี 2023 มีการพบว่ากลุ่มชาติต่างๆ (nation-state actors) และกลุ่มแฮ็คติวิสต์ (hacktivists) ทดลองใช้ AI สร้างสรรค์
- เพื่อให้การโจมตีเข้าถึงได้ง่ายขึ้น และลดอุปสรรคในการดำเนินการโจมตีขั้นสูง
- คาดว่า AI สร้างสรรค์จะถูกนำมาใช้ในกิจกรรมทางไซเบอร์มากขึ้นในปี 2024
ศักยภาพในการรบกวนการเลือกตั้งทั่วโลก (Potential to disrupt global elections):
- เนื่องจากมีการเลือกตั้งตามระบอบประชาธิปไตยมากกว่า 40 ครั้งในปี 2024
- ผู้โจมตีระดับชาติ (nation-state) และ eCrime อาจมีโอกาสมากมายในการรบกวนกระบวนการเลือกตั้ง
- หรือโน้มน้าวความคิดเห็นของผู้มีสิทธิ์เลือกตั้ง
- มีแนวโน้มสูงที่กลุ่มชาติต่างๆ เช่น จีน รัสเซีย และอิหร่าน จะดำเนินการเผยแพร่ข้อมูลเท็จ (misinformation) หรือข่าวลวง (disinformation)
- เพื่อสร้างความวุ่นวายในช่วงที่เกิดความขัดแย้งทางภูมิรัฐศาสตร์และการเลือกตั้งทั่วโลก

ประกาศ: CrowdStrike Falcon Adversary Modules

วันนี้ เราขอภูมิใจนำเสนอผลิตภัณฑ์ CAO ใหม่ 3 รายการ ซึ่งผสานความเชี่ยวชาญของนักล่าภัยระดับแนวหน้า (elite threat hunters) และข้อมูลการข่าวภัยคุกคามชั้นนำของอุตสาหกรรมเข้าไว้ด้วยกัน

โซลูชันนี้เป็นนวัตกรรมใหม่ล่าสุดของอุตสาหกรรม ที่ทรงพลังเหนือชั้นในการติดตามและหยุดยั้งผู้โจมตี

ผลิตภัณฑ์เหล่านี้ได้รับการออกแบบมาเพื่อ:

ล่าหาผู้โจมตี
เร่งกระบวนการตรวจสอบและตอบสนอง
เสริมสร้างการป้องกันให้แข็งแกร่งยิ่งขึ้น

CrowdStrike Falcon® Adversary OverWatch™ มอบการปกป้องตลอด 24 ชั่วโมง ครอบคลุมทั้ง Endpoint, Identity, และ Cloud Workload โดยอาศัย:

ผู้เชี่ยวชาญด้านการล่าภัยที่ขับเคลื่อนด้วย AI: ผู้เชี่ยวชาญเหล่านี้คอยล่าหาผู้โจมตีอย่างต่อเนื่อง
ข้อมูลข่าวกรภัยคุกคามที่ติดตั้งไว้: ระบบนี้จะเปิดเผยกลยุทธ์ของผู้โจมตี ช่องโหว่ และข้อมูลรับรองที่ถูกขโมย

CrowdStrike Falcon® Adversary Intelligence: ระบบข่าวกรองข้อมูลอัจฉริยะอัตโนมัติช่วยตอบสนองอย่างรวดเร็ว

ลดเวลาในการตอบสนองต่อภัยคุกคามอย่างมีประสิทธิภาพในทุกส่วน ด้วยระบบข่าวกรองข้อมูลอัจฉริยะแบบอัตโนมัติ
เพิ่มขีดความสามารถให้ทีมรักษาความปลอดภัย สามารถส่งภัยคุกคามที่มีศักยภาพเข้าสู่ Sandbox แบบ AI เพื่อสกัดข้อมูลบ่งชี้การเจาะระบบ (Indicators of Compromise: IOC) และติดตั้งมาตรการป้องกันได้ทันที
เฝ้าระวังการฉ้อโกงได้ตลอดเวลา, พร้อมกับปกป้องแบรนด์ พนักงาน และข้อมูลที่สำคัญอย่างต่อเนื่อง

CrowdStrike Falcon® Adversary Hunter: ล่าและรับมือกับภัยคุกคามขั้นสูง

CrowdStrike Falcon® Adversary Hunter มอบเครื่องมืออันทรงพลัง ให้กับองค์กรต่างๆ เพื่อ:

ลดเวลาและต้นทุนในการทำความเข้าใจและป้องกันภัยคุกคามขั้นสูง
รับมือกับผู้โจมตีระดับชาติ (nation-state), eCrime และกลุ่มแฮ็คติวิสต์ ได้อย่างมีประสิทธิภาพ

เครื่องมือเหล่านี้ประกอบด้วย:

รายงานข่าวกรองระดับโลก (World-class intelligence reporting): ช่วยให้องค์กรเข้าใจภูมิทัศน์ภัยคุกคามได้ดียิ่งขึ้น
การวิเคราะห์ทางเทคนิค (Technical analysis): ช่วยระบุและวิเคราะห์ภัยคุกคามที่ซับซ้อน
คลังข้อมูลการล่าภัยและการตรวจจับภัยคุกคาม (Threat hunting and detection libraries): ประกอบด้วยข้อมูลและเทคนิคที่จำเป็นสำหรับการล่าหาและหยุดยั้งผู้โจมตี

“เพื่อที่จะหยุดยั้งผู้โจมตีในยุคปัจจุบัน เราจำเป็นต้องเข้าใจกลยุทธ์ เทคนิค และแรงจูงใจของพวกเขาก่อนเป็นอันดับแรก”

CrowdStrike เป็นผู้บุกเบิกแนวคิดด้าน “Cybersecurity ที่เน้นศัตร” (adversary-focused cybersecurity) เพราะเป็นวิธีที่ดีที่สุดในการปกป้ององค์กร ด้วยการรวบรวมข้อมูลข่าวกรอง ทำให้เรารู้จักศัตรดีกว่าใคร

หวังว่ารายงาน CrowdStrike 2024 Global Threat Report ฉบับนี้ จะเป็นประโยชน์ในการต่อสู้ร่วมกันกับภัยคุกคามในยุคปัจจุบัน

เเหล่งอ้างอิง : https://www.crowdstrike.com/blog/crowdstrike-2024-global-threat-report/