จำนวนการโจมตีที่กำหนดเป้าหมายไปที่เว็บแอปพลิเคชันและ Application Programming Interfaces (API) เพิ่มขึ้นอย่างมาก Barracuda ลดการโจมตีแอปพลิเคชันมากกว่า 18 พันล้านครั้งในปี 2566 ซึ่งรวมถึง 1.716 พันล้านครั้งในเดือนธันวาคมเพียงปีเดียว

เว็บแอปพลิเคชันคือโปรแกรมคอมพิวเตอร์ที่เข้าถึงได้ผ่านเว็บเบราว์เซอร์ ตัวอย่างที่ดี ได้แก่ Microsoft 365 และ Google Docs/Gmail เว็บแอปพลิเคชันให้ประโยชน์ทางธุรกิจมากมาย เช่น ความเร็ว ความเข้ากันได้ และความสามารถในการปรับขนาด

พวกเขายังเป็นเป้าหมายสำคัญของการโจมตีทางไซเบอร์อีกด้วย จากข้อมูลของ DBIR ล่าสุด เว็บแอปพลิเคชันเป็นเวกเตอร์การดำเนินการอันดับต้นๆ ในปี 2023 โดยใช้ในเหตุการณ์ 80% และการละเมิด 60%

เรามุ่งเน้นไปที่การโจมตีที่ระบุโดย Open Worldwide Application Security Project (OWASP)

นี่คือสิ่งที่เราพบ:

• 30% ของการโจมตีเว็บแอปพลิเคชันทั้งหมดมุ่งเป้าไปที่การกำหนดค่าความปลอดภัยที่ผิดพลาด เช่น ข้อผิดพลาดในการเขียนโค้ดและการใช้งาน
• 21% เกี่ยวข้องกับการแทรกโค้ด สิ่งเหล่านี้เป็นมากกว่าการฉีด SQL (โดยทั่วไปออกแบบมาเพื่อขโมย ทำลาย หรือจัดการข้อมูล) การโจมตีแบบฉีด Log4Shell และ LDAP ก็ได้รับความนิยมเช่นกัน องค์กรใช้ LDAP สำหรับการจัดการสิทธิ์ การจัดการทรัพยากร และการควบคุมการเข้าถึง เช่น เพื่อรองรับการลงชื่อเพียงครั้งเดียว (SSO) สำหรับแอปพลิเคชัน

รายการ OWASP 10 อันดับแรกได้รับการอัปเดตทุกปี เป็นที่น่าสังเกตว่าเมื่อเร็วๆ นี้มีการเปลี่ยนแปลงเล็กน้อยในรายการ OWASP Top 10 สิ่งเหล่านี้ส่วนใหญ่เกี่ยวข้องกับการบูรณาการกลยุทธ์การโจมตี ‘ระดับบนสุด’ เข้ากับหมวดหมู่อื่น ๆ ตัวอย่าง ได้แก่ การเขียนสคริปต์ข้ามไซต์ (XSS) และการปลอมแปลงคำขอข้ามไซต์ (CSRF) ซึ่งช่วยให้ผู้โจมตีสามารถขโมยข้อมูลหรือหลอกให้เหยื่อดำเนินการตามที่พวกเขาไม่ได้ตั้งใจ กลยุทธ์ทั้งสองยังคงถูกใช้ในจำนวนที่มีนัยสำคัญ โดยเฉพาะอย่างยิ่ง XSS นั้นถูกใช้กันอย่างแพร่หลายโดยนักล่าค่าหัวบั๊กระดับเริ่มต้นหรือแฮกเกอร์ที่พยายามเจาะเข้าไปในเครือข่าย

ระวังบอท

ข้อมูลการตรวจจับต่อต้านบ็อตเน็ตของ Barracuda แสดงให้เห็นว่าการโจมตีบอทส่วนใหญ่ (53%) ที่กำหนดเป้าหมายไปที่แอปพลิเคชันเว็บในเดือนธันวาคม 2566 เป็นการโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจายเชิงปริมาตร

โดยทั่วไปการโจมตี DDoS แบบปริมาตรจะเกิดขึ้นโดยบอตเน็ตจำนวนมากของอุปกรณ์ที่เชื่อมต่อ (IoT) การโจมตีนี้ใช้เทคนิคแบบเดรัจฉานฟอร์ซที่ทำให้เป้าหมายท่วมท้นด้วยแพ็กเก็ตข้อมูลเพื่อใช้แบนด์วิดท์และทรัพยากร เป็นที่น่าสังเกตว่าการโจมตีดังกล่าวสามารถใช้เป็นการปกปิดการโจมตีเครือข่ายที่ร้ายแรงและเป็นเป้าหมายมากขึ้น

ข้อมูลยังแสดงให้เห็นว่าประมาณหนึ่งในสาม (34%) ของการโจมตีด้วยบอทเป็นการโจมตี DDoS ของแอปพลิเคชัน ซึ่งกำหนดเป้าหมายไปที่แอปพลิเคชันเฉพาะ และ 5% เป็นความพยายามในการครอบครองบัญชีที่ขับเคลื่อนด้วยบอท

ตรวจพบการโจมตีการครอบครองบัญชีด้วยการเรียนรู้ของเครื่องและความสามารถในการปกป้องบัญชีสิทธิพิเศษของ Barracuda การคุ้มครองบัญชีที่มีสิทธิ์พิเศษจะตรวจสอบรูปแบบการเข้าสู่ระบบเพื่อตรวจจับความผิดปกติและเตือนผู้ดูแลระบบความปลอดภัยเกี่ยวกับกิจกรรมที่ผิดปกติใดๆ ที่อาจเป็นการโจมตีได้ ซึ่งหมายความว่าเหตุการณ์ต่างๆ จะถูกปิดกั้นตั้งแต่ระยะเริ่มต้น

ส่วนประกอบแอปที่มีช่องโหว่และล้าสมัย

ส่วนประกอบที่มีช่องโหว่และล้าสมัยในแอปพลิเคชันเป็นของขวัญที่มอบให้กับผู้โจมตีอย่างต่อเนื่อง ช่องโหว่ที่ซับซ้อนของ ProxyShell ตั้งแต่ปี 2021 ได้ถูกนำไปใช้อย่างต่อเนื่อง ซึ่งนำไปสู่การละเมิดที่มีชื่อเสียงจำนวนมาก รวมถึงแรนซัมแวร์ด้วย

มีช่องโหว่ที่เก่ากว่าและไม่โดดเด่นบางส่วนซึ่งตกเป็นเป้าหมายของผู้คุกคามเป็นครั้งคราว เช่น มัลแวร์ Androxgh0st ในปัจจุบัน ซึ่งหน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำเตือนเมื่อวันที่ 16 มกราคม 2567

CVE-2017-9814 เป็นช่องโหว่ที่มีความรุนแรงสูง (7.5) ซึ่งช่วยให้ผู้โจมตีสามารถใช้การโจมตีแบบปฏิเสธการให้บริการได้ ช่องโหว่ได้รับการแก้ไขในปี 2023

CVE-2018-151333 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่มีความรุนแรงสูง (8.1) ในเฟรมเวิร์ก Laravel ซึ่งได้รับการแก้ไขเมื่อเร็วๆ นี้เช่นกัน

CVE-2021-41773 เป็นช่องโหว่เซิร์ฟเวอร์ Apache HTTP ที่มีความรุนแรงสูง (7.5) ซึ่งได้รับการแก้ไขในปี 2023 เช่นกัน

แหล่งที่มาของการสแกน

เหล่านี้คือประเทศที่สแกนช่องโหว่เหล่านี้มา

เป็นเรื่องที่น่าสนใจที่จะเห็นจำนวน Tor IP ที่สูงขึ้นเล็กน้อยที่ถูกบล็อก เช่นเดียวกับหมายเลขในสหรัฐอเมริกา สัดส่วนการสแกนที่สูงจากสหรัฐอเมริกามีแนวโน้มที่จะสะท้อนถึงความจริงที่ว่าการโจมตีจำนวนมากมาจากเซิร์ฟเวอร์สาธารณะที่อยู่ในสหรัฐอเมริกา

การเห็นการเปลี่ยนแปลงของภูมิภาคเมื่อเวลาผ่านไปก็น่าสนใจเช่นกัน ในช่วงต้นเดือนธันวาคม Tor เป็นหนึ่งใน 5 ‘ภูมิภาค’ อันดับต้น ๆ แต่มันก็หลุดออกจากรายการเมื่อเดือนผ่านไป ซึ่งอาจเป็นเพราะมีการบล็อก Tor บ่อยแค่ไหน

กรองเสียงรบกวน

การวิเคราะห์บันทึกของเราเผยให้เห็นสัดส่วนของการสอบสวนหรือการสแกนที่กระทำโดยผู้โจมตีเทียบกับเสียงรบกวนเบื้องหลัง

เสียงพื้นหลังในกรณีนี้เป็นการสแกนที่ค่อนข้างไม่เป็นอันตรายโดย CERT, Shodan ฯลฯ ในขณะที่การรับส่งข้อมูลการโจมตีแสดงถึงผู้โจมตี – โดยอัตโนมัติหรืออย่างอื่น – ที่พยายามทำการโจมตีจริง ในกรณีของช่องโหว่ทั้งสามนี้ อัตราส่วนจะมากกว่าปริมาณการโจมตีที่ถูกต้องเมื่อเทียบกับการสแกน

การรักษาความปลอดภัยแอปพลิเคชันของคุณ

ตามที่กล่าวไว้ข้างต้น เว็บแอปพลิเคชันและ API เป็นช่องทางการโจมตีที่สร้างกำไรให้กับอาชญากรไซเบอร์ และพวกเขากำลังถูกโจมตีเพิ่มมากขึ้น

ผู้ปกป้องถูกกดดันอย่างหนักเพื่อตามให้ทันกับจำนวนช่องโหว่ที่เพิ่มขึ้น พวกเขาต้องต่อสู้กับช่องโหว่ทั้งแบบ Zero-Day และแบบเก่าๆ ห่วงโซ่อุปทานซอฟต์แวร์สำหรับแอปที่สำคัญอาจมีช่องโหว่ ดังที่เห็นได้จากช่องโหว่ Log4Shell

ผู้โจมตีมักจะมุ่งเป้าไปที่ช่องโหว่เก่าที่ทีมรักษาความปลอดภัยลืมที่จะลองและละเมิดแอปพลิเคชันที่ถูกมองข้ามและไม่ได้รับแพตช์ จากนั้นจึงแพร่กระจายไปยังเครือข่าย

เเหล่งอ้างอิง : Threat Spotlight: How attackers are targeting your web applications right now (barracuda.com)