ปริมาณ Advance Malware จะลดลง?

ฟังดูแล้วก็น่าแปลกใจอยู่เหมือนกัน แต่แหล่งข้อมูลนี้ก็มาจากกลุ่ม Cybersecurity company ซึ่งมันก็เป็นไปในทิศทางเดียวกันกับที่ระบบ Real-Time telemetry feed ของ Websense ThreatSeeker Intelligence Cloud, (คลังรับและประมวลผลข้อมูลที่รวบรวมมาจากทั่วโลก ซึ่งบ. IT Security ยักษ์ใหญ่สมัยนี้มีเป็นของตัวเองกันแล้วทั้งนั้น สุดแล้วแต่ว่าจะตั้งชื่อเรียกว่าอย่างไร) ก็บอกเราว่าคุณภาพของ malware ตัวใหม่ๆกำลังด้อยคุณภาพลงไปเรื่อยๆ แต่ก็นะ นี้ไม่ไช่ข่าวดีซะทีเดียว!!!


Cybercriminals (ต่อไปจะเรียกว่า CBC) จะค่อยๆ เลิกใช้วิธีการโจมตีแบบ high-volume advance malware หรือก็คือเลิกเน้นปริมาณเพราะว่าพฤติกรรมแบบนี้เมื่อเวลาผ่านไป ตัวมันเองจะถูกจับได้และถูกจัดให้อยู่ในกลุ่มของ higher risk เสียเปล่าๆ ดังนั้น CBC จะเปลี่ยนมาใช้แบบ lower volume แทน มีเป้าหมายที่ชัดเจนขึ้นเพื่อป้องกันตัวเองไม่โดนหมายหัวหรือรู้ว่ามีตัวตนอยู่จริงๆ จากนั้นก็ขโมยข้อมูลส่วนบุคคลต่างๆ (user credentials) และขนออกไปผ่านระบบที่ตัวมันได้แทรกซึมอยู่แล้วนั้นเอง

แม้ว่าปริมาณการโจมตีต่างๆ จะลดลง สวนทางกันคือความเสี่ยงก็ยังจะเพิ่มขึ้นยิ่งกว่า เพราะรูปแบบของการคุกคามทาง Cyber ต่อไปนั้นมันจะเปลี่ยนเป็นแบบ "สุดยอดการโจรกรรมแบบสุดเนียน" เหมือนกับเด็กแกล้งทำยางลบตกตอนกำลังสอบ เพื่อชำเลืองดูข้อสอบเพื่อนขณะก้มเก็บ อะไรประมาณนั้นเลย : 0

ว่ากันต่อไปข้างหน้าอีก ถ้า CBC ทำการขโมย user credentials แล้ว พวกเขาก็สามารถเข้าถึง cloud services (เช่น Dropbox, Evernote, 4shared) หรือพวก mobility infrastructure (เช่น VPN, RDP) อะไรทำนองนั้น การเข้าถึงระดับนี้พวกเขาก็สามารถสร้างการมีตัวตนขึ้นมาได้ เช่น การเข้าไปสร้าง domain user ซึ่งปกติก็ไม่มีใครมานั่งดู log ว่าตัวเองเข้ามาใช้งาน ณ เวลานั้นจริงหรือเปล่า (เหมือนพวก E-Banking ที่จะแสดงเวลาการเข้าใจงานครั้งล่าสุด แต่เอาเข้าจริงก็ไม่มีใครสนใจและจำมันได้หรอก) ซึ่งแน่นอนมันดูเหมือนการเข้าใช้งาน application ในชีวิตประจำวัน ที่แม้แต่ตัวระบบหรือผู้ดูแลระบบมองว่า มันคือเรื่องปกติ! แน่นอนรูปแบบการก่ออาชกรรมเหล่านี้ทำได้โดยปราศจากการพึ่งพามวลมหา malware ในการแพร่กระจายไปเป็นจำนวนมากๆ แต่เน้นคุณภาพและเป็นธรรมชาติแทน

++ คำแนะนำ ++
ต้องบอกว่าต่อไปนี้องค์กรคงไม่สามารถพึ่งพา Anti-Virus, firewall หรือเครื่องมือแสดงข้อมูลอันสวยหรูต่างๆ ที่มีอยู่ในท้องตลาดมากมายมาใช้ปกป้องระบบ Network ของพวกเขาได้อีกแล้ว มันถึงเวลาและเป็นหน้าที่ของ Security Teams ที่ต้องมองหาการจัดการแบบภาพรวม หรือที่มักเริ่มได้ยินกันว่า "Solution" ซึ่งหมายถึงไม่ใช่แค่จ้องจะจับพฤติกรรม malware แต่ต้องทำได้มากกว่านั้นไปอีกคือการตรวจจับและป้องกันพฤติกรรมทุกอย่างที่มันผิดปกติ ประมาณว่า CEO เดินมากับลูกน้องที่เอาปืนจี้หลังอยู่เพื่อไปปล้นเงินในตู้เซฟ ตัวระบบจะต้องตรวจจับและป้องกันได้ทันถ่วงที!

คุณเห็นด้วยไหมครับว่ามันถึงเวลาแล้วที่จะเปลี่ยนกระบวนทัพทางความคิดเรื่อง Security ที่ว่า "Setting and Forgetting" (ตั้งค่าแล้วปล่อยให้มันทำงานของมันไป) โดยหันไปใช้เทคโนโลยีที่สามารถหยุดภัยคุกคามเหล่านี้ด้วยการวิเคราะห์พฤติกรรมที่ผิดปกติทั้งหลายและสืบให้ได้ถึงระดับข้อมูลนั้นๆ เลย การหยุดการโจมตีระดับสูงหรือตั้งใจเลือกเป้าหมายแบบนี้ สิ่งที่จำเป็นเอามากๆ คือจะต้องมีรวบรวมข้อมูลต่างๆ ให้ครบถ้วนสมบูรณ์ซึ่งจะทำให้สามารถสืบสวนพฤติกรรมของภัยคุกคามได้อย่างแม่นยำและทันถ่วงที...

Share on Facebook Share on Twitter Share on Google Plus

About Unknown

This is a short description in the author block about the author. You edit it by entering text in the "Biographical Info" field in the user admin panel.