Trace Id is missing
ข้ามไปที่เนื้อหาหลัก
Security Insider

ข้อมูลประจำตัวคือสนามรบแห่งใหม่

ดาวน์โหลด
แชร์
ผู้ชายและผู้หญิงนั่งอยู่ที่โต๊ะกำลังใช้แล็ปท็อป

รายงานสัญญาณอันตรายทางไซเบอร์ฉบับที่ 1: รับทราบข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามทางไซเบอร์ที่กำลังพัฒนา และขั้นตอนที่ต้องดำเนินการเพื่อปกป้ององค์กรของคุณให้ดียิ่งขึ้น

มีความไม่สอดคล้องกันที่เป็นอันตรายระหว่างโพรโทคอลการรักษาความปลอดภัยขององค์กรส่วนใหญ่กับภัยคุกคามที่ต้องเผชิญ ในขณะที่ผู้โจมตีพยายามบุกเข้าไปในเครือข่าย แต่กลยุทธ์ที่พวกเขาใช้นั้นเรียบง่ายกว่ามาก นั่นคือการคาดเดารหัสผ่านเข้าสู่ระบบที่ไม่รัดกุม มาตรการพื้นฐาน เช่น การรับรองความถูกต้องโดยใช้หลายปัจจัยมีประสิทธิภาพในการป้องกันการโจมตีถึง 98 เปอร์เซ็นต์ แต่มีองค์กรเพียง 20 เปอร์เซ็นต์เท่านั้นที่นำมาตรการดังกล่าวไปใช้อย่างเต็มรูปแบบ (Microsoft Digital Defense Report, 2021)

ในฉบับที่ 1 คุณจะได้เรียนรู้เกี่ยวกับแนวโน้มด้านการรักษาความปลอดภัยในปัจจุบันและคำแนะนำจากนักวิจัยและผู้เชี่ยวชาญของ Microsoft ซึ่งรวมถึงหัวข้อต่อไปนี้:

  • บุคคล ที่พึ่งพาการโจมตีที่เกี่ยวข้องกับรหัสผ่านและข้อมูลประจำตัว
  • การดำเนินการที่ต้องทำเพื่อขัดขวางการโจมตี รวมถึงกลยุทธ์ด้านอุปกรณ์ปลายทาง อีเมล และข้อมูลประจำตัว
  • ช่วงเวลา ที่ควรจัดลำดับความสำคัญของมาตรการรักษาความปลอดภัยต่างๆ
  • ตำแหน่ง ที่แรนซัมแวร์สายพันธุ์ต่างๆ แทรกซึมและแพร่ขยายภายในเครือข่าย และวิธีการหยุดยั้ง
  • เหตุผล ที่การปกป้องข้อมูลประจำตัวยังคงเป็นสิ่งที่น่ากังวลมากที่สุด แต่ก็ถือเป็นโอกาสที่ดีที่สุดในการปรับปรุงการรักษาความปลอดภัยของคุณด้วย

ผู้โจมตีที่กำกับโดยรัฐเพิ่มความพยายามเป็นสองเท่าเพื่อคว้าจิ๊กซอว์ตัวสุดท้ายด้านข้อมูลประจำตัว

การโจมตีทางไซเบอร์โดยผู้โจมตีที่กำกับโดยรัฐกำลังเพิ่มสูงขึ้น แม้จะมีทรัพยากรมากมาย แต่ฝ่ายปรปักษ์เหล่านี้มักจะใช้กลยุทธ์ที่เรียบง่ายเพื่อขโมยรหัสผ่านที่เดาได้ง่าย การดำเนินการดังกล่าวทำให้พวกเขาสามารถเข้าถึงบัญชีลูกค้าได้อย่างรวดเร็วและง่ายดาย ในกรณีของการโจมตีระดับองค์กร การเจาะเครือข่ายขององค์กรช่วยให้ผู้โจมตีที่กำกับโดยรัฐสามารถรุกล้ำเข้าสู่ระบบที่สามารถใช้เพื่อเคลื่อนย้ายการโจมตีไปยังอุปกรณ์เครื่องอื่นๆ ผ่านผู้ใช้และทรัพยากรที่คล้ายกัน หรือไปยังระบบอื่นๆ เพื่อเข้าถึงข้อมูลประจำตัวและทรัพยากรที่มีค่ามากขึ้นได้

การดำเนินการสเปียร์ฟิชชิ่ง การโจมตีแบบวิศวกรรมสังคม และการคาดเดารหัสผ่านทีละตัวเป็นกลยุทธ์พื้นฐานที่ผู้โจมตีที่กำกับโดยรัฐใช้เพื่อขโมยหรือคาดเดารหัสผ่าน Microsoft รับทราบข้อมูลเชิงลึกเกี่ยวกับทักษะและความสำเร็จของผู้โจมตีโดยการสังเกตกลยุทธ์และเทคนิคที่พวกเขาเชื่อมั่นและประสบความสำเร็จ หากข้อมูลประจำตัวผู้ใช้ได้รับการจัดการอย่างไม่ถูกต้องหรือถูกปล่อยทิ้งไว้โดยไม่มีมาตรการป้องกันที่สำคัญ เช่น ฟีเจอร์การรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) และแบบไร้รหัสผ่าน รัฐชาติก็จะยังคงใช้กลยุทธ์ที่เรียบง่ายแบบเดิมต่อไป

ความจำเป็นในการเริ่มนำ MFA ไปใช้หรือใช้ระบบแบบไร้รหัสผ่านไม่ใช่เรื่องเกินจริงแต่อย่างใด เนื่องจากการโจมตีที่มุ่งเป้าไปยังข้อมูลประจำตัวมีความเรียบง่ายและต้นทุนที่ต่ำ ซึ่งกลายเป็นวิธีการที่สะดวกและมีประสิทธิภาพสำหรับผู้ดำเนินการ แม้ว่า MFA จะไม่ใช่เครื่องมือจัดการข้อมูลประจำตัวและการเข้าถึงเพียงอย่างเดียวที่องค์กรควรใช้ แต่ก็สามารถยับยั้งการโจมตีได้อย่างมีประสิทธิภาพ

การใช้ข้อมูลประจำตัวในทางที่ผิดถือเป็นเรื่องปกติของ NOBELIUM ซึ่งเป็นฝ่ายปรปักษ์ที่กำกับโดยรัฐซึ่งมีความเชื่อมโยงกับรัสเซีย อย่างไรก็ตาม ฝ่ายปรปักษ์อื่นๆ เช่น DEV 0343 ที่มีความเชื่อมโยงกับอิหร่านก็ยังคงพึ่งพาการคาดเดารหัสผ่านทีละตัวเช่นกัน มีการสังเกตพบกิจกรรมจาก DEV-0343 ในบริษัทด้านกลาโหมที่ผลิตเรดาร์สำหรับการใช้งานระดับการทหาร เทคโนโลยีโดรน ระบบดาวเทียม และระบบสื่อสารเพื่อตอบสนองในกรณีฉุกเฉิน และยังมีกิจกรรมเพิ่มเติมที่มุ่งเป้าโจมตีท่าเรือระดับภูมิภาคในอ่าวเปอร์เซีย รวมถึงบริษัทการเดินเรือและขนส่งทางเรือบรรทุกสินค้าหลายแห่งที่ดำเนินธุรกิจในตะวันออกกลางเป็นหลัก
รายละเอียดแยกย่อยของการโจมตีทางไซเบอร์ที่เกี่ยวข้องกับข้อมูลประจำตัวที่เริ่มดำเนินการโดยอิหร่าน
ประเทศที่ตกเป็นเป้าหมายมากที่สุดของอิหร่านระหว่างเดือนกรกฎาคม 2020 ถึงมิถุนายน 2021 ได้แก่ สหรัฐอเมริกา (49%) อิสราเอล (24%) และซาอุดีอาระเบีย (15%) เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 4 ในรายงานฉบับเต็ม

องค์กรควร:

เปิดใช้งานการรับรองความถูกต้องโดยใช้หลายปัจจัย: การดำเนินการเช่นนี้ช่วยลดความเสี่ยงที่รหัสผ่านจะตกไปอยู่ในมือของผู้ไม่หวังดี หรือแม้แต่เลิกใช้รหัสผ่านโดยสิ้นเชิงโดยใช้ MFA แบบไร้รหัสผ่านแทน
ตรวจสอบสิทธิ์ของบัญชี: หากมีการเข้ายึดครองบัญชีที่มีสิทธิ์เข้าถึง ก็จะกลายเป็นอาวุธอันทรงพลังที่ผู้โจมตีสามารถใช้เพื่อเข้าถึงเครือข่ายและทรัพยากรได้มากขึ้น ทีมรักษาความปลอดภัยควรตรวจสอบสิทธิในการเข้าถึงเป็นประจำ โดยใช้หลักการของการให้สิทธิการใช้งานเท่าที่จำเป็นเพื่อให้พนักงานสามารถทำงานได้
ตรวจสอบ ปรับปรุงให้รัดกุม และตรวจสอบบัญชีผู้ดูแลระบบผู้เช่าทั้งหมด: ทีมรักษาความปลอดภัยควรตรวจสอบผู้ใช้หรือบัญชีผู้ดูแลระบบผู้เช่าทั้งหมดที่เชื่อมโยงกับสิทธิ์การดูแลระบบที่มอบหมายอย่างละเอียดถี่ถ้วนเพื่อยืนยันความถูกต้องของผู้ใช้และกิจกรรม จากนั้นพวกเขาควรปิดใช้งานหรือลบสิทธิ์การดูแลระบบที่มอบหมายที่ไม่ได้ใช้งาน
สร้างและบังคับใช้เกณฑ์พื้นฐานด้านความปลอดภัยเพื่อลดความเสี่ยง: รัฐชาติพร้อมเข้าร่วมกิจกรรมเหล่านี้อย่างอดทน และมีทั้งเงินทุน ความมุ่งมั่น และความพร้อมเพื่อพัฒนากลยุทธ์และเทคนิคการโจมตีใหม่ๆ โครงการริเริ่มในการปรับปรุงเครือข่ายให้รัดกุมทุกโครงการต้องเผชิญกับความล่าช้าเนื่องจากแบนด์วิดท์หรือระบบราชการที่ทำงานเพื่อผลประโยชน์ของตนเอง ทีมรักษาความปลอดภัยควรให้ความสำคัญกับการใช้แนวทางปฏิบัติแบบ Zero-Trust เช่นการอัปเกรดด้วย MFA และ ระบบแบบไร้รหัสผ่าน  พวกเขาสามารถเริ่มต้นด้วยบัญชีที่ได้รับสิทธิ์การใช้งานเพื่อรับการปกป้องได้อย่างรวดเร็ว จากนั้นจึงค่อยๆ ขยายไปตามลำดับเพิ่มเติมและอย่างต่อเนื่อง

แรนซัมแวร์เป็นสิ่งที่ผู้คนทั่วไปนึกถึงเป็นหลัก แต่มีเพียงไม่กี่สายพันธุ์เท่านั้นที่มีอิทธิพลสำคัญ

ดูเหมือนว่าการบอกเล่าเรื่องราวหลักจะระบุว่ามีภัยคุกคามจากแรนซัมแวร์ที่เกิดขึ้นใหม่จำนวนมหาศาลซึ่งเกินความสามารถที่ผู้ป้องกันจะรับมือได้ อย่างไรก็ตาม การวิเคราะห์ของ Microsoft แสดงให้เห็นว่าข้อมูลนี้ไม่ถูกต้อง นอกจากนี้ยังมีความเข้าใจว่ากลุ่มแรนซัมแวร์บางกลุ่มเป็นเอนทิตีเดียวกัน ซึ่งไม่ถูกต้องเช่นกัน สิ่งที่เกิดขึ้นอยู่ในขณะนี้คือระบบเศรษฐกิจของอาชญากรไซเบอร์ที่ผู้เล่นรายต่างๆ ในห่วงโซ่การโจมตีที่เปรียบเสมือนสินค้าทั่วไปได้ตัดสินใจเลือกอย่างรอบคอบ ซึ่งอิงตามโมเดลทางเศรษฐกิจเพื่อสร้างผลกำไรสูงสุดจากวิธีการที่พวกเขาใช้ประโยชน์จากข้อมูลที่สามารถเข้าถึงได้ กราฟิกด้านล่างแสดงวิธีการที่กลุ่มต่างๆ ได้รับประโยชน์จากกลยุทธ์การโจมตีทางไซเบอร์ที่หลากหลายและข้อมูลจากการรั่วไหลของข้อมูล

ราคาโดยเฉลี่ยของการขายบริการอาชญากรรมไซเบอร์ต่างๆ
ราคาโดยเฉลี่ยของการขายบริการอาชญากรรมไซเบอร์ ผู้โจมตีรับจ้างมีราคาเริ่มต้นที่ USD$ 250 USD ต่องาน ชุดเครื่องมือแรนซัมแวร์มีราคา USD$ 66 USD หรือ 30% ของกำไร อุปกรณ์ที่มีช่องโหว่มีราคาเริ่มต้นที่ 13 เซนต์ต่อพีซีหนึ่งเครื่อง และ 82 เซนต์ต่ออุปกรณ์เคลื่อนที่หนึ่งเครื่อง ผู้ดำเนินการสเปียร์ฟิชชิ่งรับจ้างมีราคาตั้งแต่ USD$ 100 ถึง USD$ 1,000 USD คู่ชื่อผู้ใช้และรหัสผ่านที่ถูกขโมยมีราคาเริ่มต้นที่ 97 เซนต์ต่อ 1,000 รายการโดยเฉลี่ย เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 5 ในรายงานฉบับเต็ม  

มีคำกล่าวที่ว่าไม่ว่าจะมีแรนซัมแวร์อยู่มากมายเพียงใดหรือเกี่ยวข้องกับสายพันธุ์ใดก็ตาม ทุกสิ่งล้วนขึ้นอยู่กับเวกเตอร์ทางเข้าทั้งสามประการ ได้แก่ การคาดเดาโพรโทคอลเดสก์ท็อประยะไกล (RDP), ระบบที่เชื่อมต่ออินเทอร์เน็ตที่มีช่องโหว่ และฟิชชิ่ง คุณสามารถลดผลกระทบจากเวกเตอร์เหล่านี้ทั้งหมดได้ด้วยการป้องกันด้วยรหัสผ่าน การจัดการข้อมูลประจำตัว และการอัปเดตซอฟต์แวร์ที่เหมาะสม นอกเหนือจากชุดเครื่องมือด้านการรักษาความปลอดภัยและการปฏิบัติตามข้อบังคับที่ครอบคลุม แรนซัมแวร์ประเภทหนึ่งจะมีประสิทธิภาพได้ก็ต่อเมื่อได้รับสิทธิ์ในการเข้าถึงข้อมูลประจำตัวและมีความสามารถในการแพร่กระจาย จากจุดดังกล่าว แม้ว่าจะเป็นแรนซัมแวร์ในสายพันธุ์ที่รู้จัก แต่ก็สามารถสร้างความเสียหายได้อย่างมาก

การจัดทำแผนภูมิของผู้ดำเนินการภัยคุกคามตั้งแต่การเข้าถึงครั้งแรกไปจนถึงการเคลื่อนย้ายการโจมตีผ่านระบบดังกล่าว
เส้นทางพฤติกรรมของผู้ดำเนินการภัยคุกคามเมื่อระบบถูกโจมตีตั้งแต่จุดเข้าใช้งานเริ่มต้นไปจนถึงการโจรกรรมข้อมูลประจำตัวและการเคลื่อนย้ายการโจมตีผ่านระบบ ติดตามเส้นทางอย่างต่อเนื่องในการเข้ายึดบัญชีและได้รับส่วนข้อมูลแรนซัมแวร์ เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 5 ในรายงานฉบับเต็ม

ทีมรักษาความปลอดภัยควร:

รับทราบว่าแรนซัมแวร์เติบโตได้โดยอาศัยข้อมูลประจำตัวตามค่าเริ่มต้นหรือที่มีช่องโหว่: ด้วยเหตุนี้ ทีมรักษาความปลอดภัยจึงควรเร่งดำเนินการตามมาตรการป้องกันต่างๆ เช่น การใช้ MFA แบบไร้รหัสผ่านกับบัญชีผู้ใช้ทั้งหมด และการจัดลำดับความสำคัญของบทบาทผู้บริหาร ผู้ดูแลระบบ และบทบาทที่ได้รับสิทธิอื่นๆ
ระบุวิธีการสังเกตความผิดปกติที่เกิดขึ้นได้ทันเวลา: การเข้าสู่ระบบก่อนกำหนด การเคลื่อนไหวของไฟล์ และพฤติกรรมอื่นๆ ที่ก่อให้เกิดแรนซัมแวร์อาจดูเหมือนมีลักษณะทั่วไป อย่างไรก็ตาม ทีมยังคงต้องตรวจสอบความผิดปกติและดำเนินการแก้ไขอย่างรวดเร็ว
มีแผนรับมือแรนซัมแวร์และดำเนินการฝึกการกู้คืน: เราอยู่ในยุคของการซิงค์และแชร์บนระบบคลาวด์ แต่สำเนาข้อมูลนั้นแตกต่างจากระบบ IT และฐานข้อมูลทั้งหมด ทีมควรมองเห็นภาพและฝึกฝนเพื่อรับทราบถึงลักษณะของการกู้คืนเต็มรูปแบบ
จัดการการแจ้งเตือนและดำเนินการอย่างรวดเร็วในการลดผลกระทบ: แม้ว่าทุกคนจะหวาดกลัวการโจมตีจากแรนซัมแวร์ แต่เป้าหมายหลักของทีมรักษาความปลอดภัยควรอยู่ที่การเสริมความแข็งแกร่งให้กับการกำหนดค่าความปลอดภัยที่ไม่รัดกุมซึ่งช่วยให้การโจมตีประสบผลสำเร็จ พวกเขาควรจัดการการกำหนดค่าด้านความปลอดภัยเพื่อให้การแจ้งเตือนและการตรวจหาได้รับการตอบสนองอย่างเหมาะสม
กราฟการกระจายข้อมูลด้านการป้องกันแสดงวิธีการที่มาตรการรักษาความปลอดภัยขั้นพื้นฐานช่วยป้องกันการโจมตีได้ถึง 98%
ป้องกันการโจมตี 98% โดยใช้โปรแกรมป้องกันมัลแวร์ เริ่มนำสิทธิ์การเข้าถึงระดับสูงเท่าที่จำเป็นไปใช้ เปิดใช้งานการรับรองความถูกต้องโดยใช้หลายปัจจัย อัปเดตเวอร์ชันให้เป็นปัจจุบัน และปกป้องข้อมูล ส่วนที่เหลืออีก 2% ของกราฟระฆังคว่ำรวมถึงการโจมตีที่ผิดปกติด้วย เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 5 ในรายงานฉบับเต็ม
รับคำแนะนำเพิ่มเติมจาก  Christopher Glyer  หัวหน้าหน่วยข่าวกรองภัยคุกคามหลักของ Microsoft เกี่ยวกับวิธีการรักษาความปลอดภัยของข้อมูลประจำตัว

เราได้รับข้อมูลเชิงลึกและบล็อกภัยคุกคามโดยใช้สัญญาณมากกว่า 24 ล้านล้านรายการต่อวัน

ภัยคุกคามอุปกรณ์ปลายทาง:
Microsoft Defender for Endpoint บล็อกภัยคุกคามจากมัลแวร์มากกว่า 9.6 พันล้านรายการที่มุ่งเป้าโจมตีอุปกรณ์ของลูกค้าองค์กรและผู้บริโภคระหว่างเดือนมกราคมถึงธันวาคม 2021
ภัยคุกคามทางอีเมล:
Microsoft Defender for Office 365 บล็อกอีเมลฟิชชิ่งและอีเมลที่เป็นอันตรายอื่นๆ มากกว่า 35.7 พันล้านรายการที่มุ่งเป้าโจมตีอุปกรณ์ของลูกค้าองค์กรและผู้บริโภคระหว่างเดือนมกราคมถึงธันวาคม 2021
ภัยคุกคามต่อข้อมูลประจำตัว:
Microsoft (Azure Active Directory) ตรวจหาและบล็อกความพยายามมากกว่า 25.6 พันล้านครั้งในการเข้ายึดครองบัญชีลูกค้าภาคองค์กรโดยการคาดเดาด้วยรหัสผ่านที่ถูกขโมยระหว่างเดือนมกราคมถึงธันวาคม 2021

ระเบียบวิธี: สำหรับข้อมูลสแนปช็อต แพลตฟอร์ม Microsoft รวมถึง Defender และ Azure Active Directory ได้ให้ข้อมูลที่ไม่เปิดเผยตัวตนเกี่ยวกับกิจกรรมด้านภัยคุกคาม เช่น ความพยายามในการเข้าสู่ระบบด้วยการคาดเดารหัสผ่าน อีเมลฟิชชิ่งและอีเมลที่เป็นอันตรายอื่นๆ ที่มุ่งเป้าโจมตีองค์กรและผู้บริโภค และการโจมตีด้วยมัลแวร์ระหว่างเดือนมกราคมถึงธันวาคม 2021 ข้อมูลเชิงลึกเพิ่มเติมมาจากสัญญาณ 24 ล้านล้านรายการต่อวันที่ได้รับจาก Microsoft รวมถึงระบบคลาวด์ ตำแหน่งข้อมูล และอุปกรณ์ปลายทางอัจฉริยะ ข้อมูลการรับรองความถูกต้องที่รัดกุมผสมผสานทั้งการใช้งาน MFA และการป้องกันแบบไร้รหัสผ่านเข้าด้วยกัน

ข้อมูลประจำตัว แรนซัมแวร์ รัฐชาติ

บทความที่เกี่ยวข้อง

สัญญาณไซเบอร์ฉบับที่ 2: เศรษฐศาสตร์การขู่กรรโชก

รับฟังความเห็นจากผู้เชี่ยวชาญแนวหน้าเกี่ยวกับการพัฒนาแรนซัมแวร์ในรูปแบบบริการ เรียนรู้เกี่ยวกับเครื่องมือ กลยุทธ์ และเป้าหมายที่อาชญากรไซเบอร์ชื่นชอบ ตั้งแต่โปรแกรมและส่วนข้อมูลไปจนถึงการเข้าถึงนายหน้าและบริษัทในเครือ และรับคำแนะนำเพื่อช่วยปกป้ององค์กรของคุณ
เรียนรู้เพิ่มเติม

การปกป้องยูเครน: บทเรียนเบื้องต้นจากสงครามไซเบอร์

สิ่งที่ค้นพบล่าสุดในความพยายามอย่างต่อเนื่องของเราในด้านข่าวกรองเกี่ยวกับภัยคุกคามในสงครามระหว่างรัสเซียกับยูเครน และบทสรุปต่างๆ จากสี่เดือนแรกเน้นย้ำถึงความจำเป็นที่ต้องมีการลงทุนทั้งอย่างต่อเนื่องและการลงทุนใหม่ๆ ในด้านเทคโนโลยี ข้อมูล และความเป็นพันธมิตร เพื่อสนับสนุนภาครัฐ บริษัท องค์กรนอกภาครัฐ และมหาวิทยาลัย
เรียนรู้เพิ่มเติม

โปรไฟล์ผู้เชี่ยวชาญ: Christopher Glyer

Christopher Glyer หัวหน้าหน่วยข่าวกรองเกี่ยวกับภัยคุกคามหลักที่มุ่งเน้นด้านแรนซัมแวร์เป็นหลักที่ Microsoft Threat Intelligence Center (MSTIC) เป็นส่วนหนึ่งของทีมที่คอยตรวจสอบวิธีการที่ผู้ดำเนินการภัยคุกคามขั้นสูงเข้าถึงและใช้ประโยชน์จากระบบ
เรียนรู้เพิ่มเติม