โครงสร้างของพื้นหน้าของการโจมตียุคใหม่

สำหรับองค์กรส่วนใหญ่ อีเมลคือส่วนสำคัญของการดำเนินธุรกิจรายวัน น่าเสียดายที่อีเมลยังคงเป็นแนวทางภัยคุกคามอันดับต้นๆ 35% ของเหตุการณ์แรนซัมแวร์ในปี 2022 เกี่ยวข้องกับการใช้อีเมล⁴ ผู้โจมตีทำการโจมตีทางอีเมลมากกว่าที่เคยเป็นมา ในปี 2022 อัตราการโจมตีฟิชชิ่งเพิ่มขึ้นถึง 61% เมื่อเทียบกับปี 2021⁵

ปัจจุบันผู้โจมตียังใช้ประโยชน์จากทรัพยากรที่ถูกต้องตามกฎหมายเพื่อดำเนินการโจมตีฟิชชิ่งอีกด้วย ทำให้ผู้ใช้แยกความแตกต่างระหว่างอีเมลจริงและอีเมลที่เป็นอันตรายได้ยากยิ่งขึ้น เพิ่มโอกาสที่ภัยคุกคามจะเล็ดลอดผ่านไปได้ การโจมตีฟิชชิ่งขอความยินยอมเป็นตัวอย่างหนึ่งของแนวโน้มนี้ โดยผู้ดำเนินการภัยคุกคามใช้ Cloud Service Provider ที่ถูกกฎหมายในทางที่ผิดเพื่อหลอกให้ผู้ใช้ให้สิทธิ์ในการเข้าถึงข้อมูลที่เป็นความลับ

หากไม่มีความสามารถในการเชื่อมโยงสัญญาณอีเมลเข้ากับเหตุการณ์ที่กว้างขึ้นเพื่อแสดงแผนภาพการโจมตี อาจต้องใช้เวลานานในการตรวจหาผู้ดำเนินการภัยคุกคามที่เข้ามาทางอีเมล และเมื่อถึงเวลานั้นก็อาจจะสายเกินไปที่จะป้องกันความเสียหายได้ เวลามัธยฐานที่ผู้โจมตีใช้เพื่อเข้าถึงข้อมูลส่วนตัวขององค์กรคือ 72 นาทีเท่านั้น⁶ ซึ่งอาจส่งผลให้เกิดความสูญเสียร้ายแรงในระดับองค์กร การโจมตีอีเมลระดับธุรกิจ (BEC) สร้างความเสียหายประมาณ USD$2.4 พันล้านในปี 2021⁷

ในโลกที่ใช้งานระบบคลาวด์ในปัจจุบัน การรักษาความปลอดภัยการเข้าถึงมีความสำคัญมากขึ้นกว่าที่เคย ด้วยเหตุนี้ การทำความเข้าใจเชิงลึกเกี่ยวกับ ข้อมูลประจำตัวทั่วทั้งองค์กรของคุณ รวมถึงสิทธิ์ของบัญชีผู้ใช้ ข้อมูลประจำตัวของปริมาณงาน และช่องโหว่ที่อาจเกิดขึ้น จึงเป็นสิ่งสำคัญ โดยเฉพาะอย่างยิ่งเมื่อการโจมตีมีความถี่และความคิดสร้างสรรค์เพิ่มขึ้น

จำนวนการโจมตีรหัสผ่านเพิ่มขึ้นเป็นประมาณ 921 ครั้งต่อวินาทีในปี 2022 ซึ่งเพิ่มขึ้น 74% จากปี 2021⁸ ที่ Microsoft เรายังพบว่าผู้ดำเนินการภัยคุกคามมีความคิดสร้างสรรค์มากขึ้นในการหลีกเลี่ยงการรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) โดยใช้เทคนิคต่างๆ เช่น การโจมตีฟิชชิ่ง Adversary-in-the-Middle และการใช้โทเค็นในทางที่ผิดเพื่อเข้าถึงข้อมูลขององค์กร ชุดฟิชชิ่งทำให้ผู้ดำเนินการภัยคุกคามสามารถขโมยข้อมูลประจำตัวได้ง่ายยิ่งขึ้น หน่วยอาชญากรรมดิจิทัลของ Microsoft สังเกตเห็นความซับซ้อนของชุดฟิชชิ่งที่เพิ่มมากขึ้นในปีที่ผ่านมา พร้อมกับอุปสรรคในการเข้าถึงที่ต่ำมาก โดยผู้ขายรายหนึ่งเสนอชุดฟิชชิ่งในราคาเพียง USD$6 ต่อวัน⁹

การจัดการพื้นหน้าของการโจมตีข้อมูลประจำตัวเป็นมากกว่าการรักษาความปลอดภัยของบัญชีผู้ใช้ โดยครอบคลุมการเข้าถึงระบบคลาวด์ ตลอดจนข้อมูลประจำตัวของปริมาณงาน ข้อมูลประจำตัวที่มีช่องโหว่สามารถเป็นเครื่องมือที่มีประสิทธิภาพสำหรับผู้ดำเนินการภัยคุกคามเพื่อใช้ในการทำลายโครงสร้างพื้นฐานระบบคลาวด์ขององค์กร

เมื่อพิจารณาถึงจำนวนอุปกรณ์ที่แท้จริงในสภาพแวดล้อมแบบไฮบริดในปัจจุบัน การรักษาความปลอดภัยปลายทางจึงมีความท้าทายมากขึ้น สิ่งที่ไม่เปลี่ยนแปลงคือการรักษาความปลอดภัยปลายทาง โดยเฉพาะอุปกรณ์ที่ไม่มีการจัดการ ซึ่งมีความสำคัญอย่างยิ่งต่อเสถียรภาพการรักษาความปลอดภัยที่รัดกุม เนื่องจากการละเมิดเพียงครั้งเดียวก็สามารถให้ผู้ดำเนินการภัยคุกคามเข้ามาในองค์กรของคุณได้

เนื่องจากองค์กรต่างๆ ได้นำนโยบาย BYOD (“นำอุปกรณ์ของคุณมาเอง”) มาใช้ อุปกรณ์ที่ไม่มีการจัดการจึงมีการแพร่หลายมากขึ้น ด้วยเหตุนี้ พื้นหน้าของการโจมตีปลายทางจึงขยายใหญ่ขึ้นและมีความเสี่ยงมากขึ้น โดยเฉลี่ยแล้ว มีอุปกรณ์ที่เชื่อมต่อ 3,500 เครื่องในองค์กรที่ไม่ได้รับการป้องกันโดยเจ้าหน้าที่การตรวจหาและการตอบสนองปลายทาง¹¹

อุปกรณ์ที่ไม่มีการจัดการ (ซึ่งเป็นส่วนหนึ่งของขอบเขต “Shadow IT”) จะดึงดูดผู้ดำเนินการภัยคุกคามเป็นพิเศษ เนื่องจากทีมรักษาความปลอดภัยขาดการมองเห็นที่จำเป็นในการรักษาความปลอดภัย ที่ Microsoft เราพบว่าผู้ใช้มีแนวโน้มที่จะติดไวรัสบนอุปกรณ์ที่ไม่มีการจัดการมากกว่า 71%¹² เนื่องจากอุปกรณ์เหล่านี้เชื่อมต่อกับเครือข่ายของบริษัท อุปกรณ์ที่ไม่มีการจัดการยังเปิดโอกาสให้ผู้โจมตีทำการโจมตีเซิร์ฟเวอร์และโครงสร้างพื้นฐานอื่นๆ ในวงกว้างยิ่งขึ้น

เซิร์ฟเวอร์ที่ไม่มีการจัดการยังเป็นแนวทางที่เป็นไปได้สำหรับการโจมตีปลายทาง ในปี 2021 Microsoft Security สังเกตเห็นการโจมตีที่ผู้ดำเนินการภัยคุกคามใช้ประโยชน์จากเซิร์ฟเวอร์ที่ไม่มีการแก้ไข นำทางผ่านไดเรกทอรี และค้นพบโฟลเดอร์รหัสผ่านที่ให้การเข้าถึงข้อมูลประจำตัวของบัญชี

หนึ่งในแนวทางการโจมตีปลายทางที่ถูกมองข้ามมากที่สุดก็คือ IoT (อินเทอร์เน็ตในทุกสิ่ง) ซึ่งประกอบด้วยอุปกรณ์นับพันล้านเครื่อง ทั้งขนาดใหญ่และขนาดเล็ก การรักษาความปลอดภัย IoT ครอบคลุมอุปกรณ์จริงที่เชื่อมต่อและแลกเปลี่ยนข้อมูลกับเครือข่าย เช่น เราเตอร์ เครื่องพิมพ์ กล้อง และอุปกรณ์อื่นๆ ที่คล้ายกัน นอกจากนี้ยังอาจรวมถึงอุปกรณ์และเซนเซอร์ปฏิบัติการ (เทคโนโลยีด้านการปฏิบัติการหรือ “OT”) เช่น อุปกรณ์อัจฉริยะบนสายการผลิต

เมื่อจำนวนอุปกรณ์ IoT เพิ่มขึ้น จำนวนช่องโหว่ก็เพิ่มขึ้นเช่นกัน ภายในปี 2025 IDC คาดว่าจะมีอุปกรณ์ IoT 41 พันล้านเครื่องภายในสภาพแวดล้อมขององค์กรและผู้บริโภค¹⁵ เนื่องจากหลายองค์กรกำลังเสริมความแข็งแกร่งให้กับเราเตอร์และเครือข่ายเพื่อทำให้ผู้ดำเนินการภัยคุกคามละเมิดได้ยากขึ้น อุปกรณ์ IoT จึงกลายเป็นเป้าหมายที่ง่ายกว่าและน่าดึงดูดยิ่งขึ้น เรามักจะเห็นผู้ดำเนินการภัยคุกคามใช้ประโยชน์จากช่องโหว่เพื่อเปลี่ยนอุปกรณ์ IoT เป็นพร็อกซี โดยใช้อุปกรณ์ที่เจาะระบบไว้เป็นฐานในการโจมตีเครือข่าย เมื่อผู้ดำเนินการภัยคุกคามเข้าถึงอุปกรณ์ IoT ได้แล้ว พวกเขาสามารถตรวจสอบปริมาณการใช้งานเครือข่ายเพื่อค้นหาแอสเซทที่ไม่มีการป้องกันอื่นๆ โจมตีแบบย้ายเครื่องไปเรื่อยๆ เพื่อแทรกซึมส่วนอื่นๆ ของโครงสร้างพื้นฐษนของเป้าหมาย หรือทำการสอดแนมเพื่อวางแผนการโจมตีขนาดใหญ่บนเครื่องมือและอุปกรณ์ที่ละเอียดอ่อน ในการศึกษาหนึ่ง 35% ของผู้ปฏิบัติงานด้านความปลอดภัยรายงานว่าในช่วง 2 ปีที่ผ่านมา อุปกรณ์ IoT ถูกใช้เพื่อโจมตีองค์กรของตนในวงกว้างมากขึ้น¹⁶

น่าเสียดายที่ IoT มักเป็นกล่องดำสำหรับองค์กรในแง่ของการมองเห็น และหลายๆ แห่งยังขาดมาตรการรักษาความปลอดภัย IoT ที่เหมาะสม 60% ของผู้ปฏิบัติงานด้านความปลอดภัยกล่าวว่าการรักษาความปลอดภัย IoT และ OT เป็นหนึ่งในแง่มุมที่มีความปลอดภัยน้อยที่สุดของโครงสร้างพื้นฐานด้าน IT และ OT ของตน¹⁷

ปัจจุบัน พื้นหน้าของการโจมตีภายนอกขององค์กรครอบคลุมหลายระบบคลาวด์ ห่วงโซ่อุปทานดิจิทัลที่ซับซ้อน และระบบนิเวศของบุคคลที่สามขนาดใหญ่ อินเทอร์เน็ตเป็นส่วนหนึ่งของเครือข่ายแล้ว และแม้จะมีขนาดที่แทบจะไม่สามารถวัดได้ แต่ทีมรักษาความปลอดภัยจะต้องปกป้องสถานะขององค์กรทางอินเทอร์เน็ตในระดับเดียวกับทุกสิ่งที่อยู่ด้านหลังไฟร์วอลล์ของตน และเนื่องจากองค์กรจำนวนมากนำหลักการของ Zero Trust มาใช้ การปกป้องพื้นหน้าการโจมตีทั้งภายในและภายนอกจึงกลายเป็นความท้าทายระดับอินเทอร์เน็ต

พื้นหน้าของการโจมตีทั่วโลกเติบโตขึ้นพร้อมกับอินเทอร์เน็ต และกำลังขยายตัวอยู่ทุกวัน ที่ Microsoft เราได้เห็นหลักฐานของการเพิ่มขึ้นนี้จากภัยคุกคามหลายประเภท เช่น การโจมตีฟิชชิ่ง ในปี 2021 หน่วยอาชญากรรมดิจิทัลของ Microsoft ได้กำกับดูแลการลบ URL ฟิชชิ่งที่ไม่ซ้ำกันมากกว่า 96,000 รายการและชุดฟิชชิ่ง 7,700 ชุด ซึ่งนำไปสู่การระบุและการปิดบัญชีอีเมลที่เป็นอันตรายมากกว่า 2,200 บัญชีที่ใช้ในการรวบรวมข้อมูลประจำตัวของลูกค้าที่ถูกขโมย²⁴

พื้นหน้าของการโจมตีภายนอกขยายไปไกลกว่าแอสเซทขององค์กร โดยมักจะรวมถึงซัพพลายเออร์ คู่ค้า อุปกรณ์ส่วนบุคคลของพนักงานที่ไม่มีการจัดการซึ่งเชื่อมต่อกับเครือข่ายหรือแอสเซทของบริษัท และองค์กรที่เพิ่งเข้าซื้อกิจการ ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องตระหนักถึงการเชื่อมต่อและความเสี่ยงจากภายนอกเพื่อบรรเทาภัยคุกคามที่อาจเกิดขึ้น รายงานของ Ponemon ปี 2020 เปิดเผยว่า 53% ขององค์กรเคยพบกับการรั่วไหลของข้อมูลอย่างน้อยหนึ่งครั้งซึ่งเกิดจากบุคคลภายนอกในช่วง 2 ปีที่ผ่านมา โดยมีค่าใช้จ่ายโดยเฉลี่ย USD$7.5 ล้านในการแก้ไข²⁵

เนื่องจากโครงสร้างพื้นฐานที่อยู่เบื้องหลังการโจมตีทางไซเบอร์เพิ่มมากขึ้น การมองเห็นโครงสร้างพื้นฐานของภัยคุกคามและการจัดการแอสเซทที่มีความเสี่ยงต่ออินเทอร์เน็ตจึงกลายเป็นเรื่องเร่งด่วนมากขึ้นกว่าที่เคย เราพบว่าองค์กรต่างๆ มักจะประสบปัญหาในการทำความเข้าใจขอบเขตของความเสี่ยงภายนอก ซึ่งส่งผลให้เกิดจุดบอดที่สำคัญ จุดบอดเหล่านี้อาจส่งผลร้ายแรงได้ ในปี 2021 ธุรกิจ 61% พบกับการโจมตีด้วยแรนซัมแวร์ ซึ่งส่งผลให้การดำเนินธุรกิจหยุดชะงักบางส่วนเป็นอย่างน้อย²⁶

ที่ Microsoft เรามักจะบอกให้ลูกค้ามององค์กรของตนจากภายนอกสู่ภายในเมื่อประเมินเสถียรภาพการรักษาความปลอดภัย นอกเหนือจาก VAPT (การประเมินช่องโหว่และการทดสอบการเจาะระบบ) สิ่งสำคัญคือต้องมองเห็นพื้นหน้าของการโจมตีภายนอกของคุณในเชิงลึก เพื่อให้คุณสามารถระบุช่องโหว่ได้ทั่วทั้งสภาพแวดล้อมและระบบนิเวศที่ขยายออกไป หากคุณเป็นผู้โจมตีที่กำลังพยายามเจาะระบบ คุณจะใช้ประโยชน์จากอะไร การทำความเข้าใจขอบเขตทั้งหมดของพื้นหน้าของการโจมตีภายนอกขององค์กรของคุณคือรากฐานในการรักษาความปลอดภัย

Microsoft สามารถช่วยคุณได้อย่างไร

ขอบเขตภัยคุกคามในปัจจุบันเปลี่ยนแปลงอยู่ตลอดเวลา และองค์กรต่างๆ ต้องการกลยุทธ์ด้านความปลอดภัยที่สามารถตามทันได้ ความซับซ้อนและความเสี่ยงขององค์กรที่เพิ่มมากขึ้น พร้อมด้วยภัยคุกคามปริมาณมากและอุปสรรคในการเข้าสู่เศรษฐกิจอาชญากรรมไซเบอร์ที่ต่ำ ทำให้การรักษาความปลอดภัยทุกส่วนทั้งภายในและระหว่างพื้นหน้าของการโจมตีแต่ละแห่งเป็นเรื่องเร่งด่วนมากกว่าที่เคย

ทีมรักษาความปลอดภัยต้องมีข่าวกรองเกี่ยวกับภัยคุกคามที่มีประสิทธิภาพเพื่อป้องกันภัยคุกคามมากมายและที่กำลังพัฒนาในปัจจุบัน ข่าวกรองเกี่ยวกับภัยคุกคามที่ถูกต้องจะเชื่อมโยงสัญญาณจากที่ต่างๆ โดยให้บริบทที่ทันท่วงทีและเกี่ยวข้องกับพฤติกรรมการโจมตีและแนวโน้มในปัจจุบัน เพื่อให้ทีมรักษาความปลอดภัยสามารถระบุช่องโหว่ จัดลำดับความสำคัญของการแจ้งเตือน และขัดขวางการโจมตีได้สำเร็จ และหากมีการละเมิดเกิดขึ้น ข่าวกรองภัยคุกคามไซเบอร์ก็มีความสำคัญอย่างยิ่งในการป้องกันอันตรายเพิ่มเติมและปรับปรุงการป้องกัน เพื่อไม่ให้การโจมตีที่คล้ายกันเกิดขึ้นอีก พูดง่ายๆ ก็คือ องค์กรที่ใช้ประโยชน์จากข่าวกรองเกี่ยวกับภัยคุกคามมากขึ้นจะมีความปลอดภัยและประสบความสำเร็จมากขึ้น

Microsoft มีมุมมองที่ไม่มีใครเทียบได้เกี่ยวกับขอบเขตภัยคุกคามที่พัฒนาอยู่ตลอดเวลา โดยมีการวิเคราะห์สัญญาณ 65 ล้านล้านรายการทุกวัน ด้วยการเชื่อมโยงสัญญาณเหล่านี้ในเวลาจริงทั่วทั้งพื้นหน้าของการโจมตี ข่าวกรองเกี่ยวกับภัยคุกคามที่สร้างไว้ในโซลูชัน Microsoft Security จะให้ข้อมูลเชิงลึกเกี่ยวกับแรนซัมแวร์และสภาพแวดล้อมภัยคุกคามที่กำลังเติบโต เพื่อให้คุณสามารถเห็นและหยุดการโจมตีได้มากขึ้น และด้วยความสามารถ AI ขั้นสูง เช่น Microsoft Security Copilot คุณสามารถก้าวนำหน้าภัยคุกคามที่กำลังพัฒนาและปกป้ององค์กรของคุณด้วยความเร็วของเครื่อง เสริมศักยภาพทีมรักษาความปลอดภัยของคุณในการลดความซับซ้อน ตรวจจับสิ่งที่ผู้อื่นพลาด และปกป้องทุกสิ่ง