เมื่อวันศุกร์ที่ผ่านมา บริษัทความปลอดภัย Symantec แถลงข้อมูลจากรายงานสถานการณ์ความปลอดภัยอินเทอร์เน็ตประจำปี (รายงานฉบับเต็ม 2016 Internet Security Threat Report) มีประเด็นน่าสนใจหลายอย่าง สาระสำคัญในภาพรวมคือปี 2015 ที่ผ่านมา ภัยคุกคามอินเทอร์เน็ตรุนแรงมากขึ้นทั้งในแง่ปริมาณและเทคนิค และยังไม่มีทีท่าจะลดระดับลงในปี 2016 นี้ มัลแวร์ เริ่มจากมัลแวร์ สถิติของ Symantec พบว่าในปี 2009 มีมัลแวร์เกิดใหม่ 2.3 ล้านตัวต่อปี แต่พอมาถึงปี 2015 ตัวเลขเพิ่มเป็น 430 ล้านตัวต่อปี ถ้าหารด้วยจำนวนวันดูค่าเฉลี่ย จะพบว่ามีมัลแวร์เกิดใหม่มากกว่าวันละ 1 ล้านตัว ช่องโหว่ Zero-Day ส่วนประเด็นเรื่องช่องโหว่ Zero-Day หรือช่องโหว่ที่เพิ่งถูกค้นพบว่ามีในภายหลัง ปกติแล้วมีช่องโหว่ประเภทนี้ถูกค้นพบปีละไม่เกิน 15 ช่องโหว่ พอมาถึงปี 2013-2014 ตัวเลขเพิ่มเป็น 20 กว่า และในปี 2015 ตัวเลขกระโดดเป็น 54 ช่องโหว่ต่อปี ซึ่งปัจจัยสำคัญเกิดจากกรณีกลุ่ม Hacking-Team โดนแฮ็กซะเอง ช่องโหว่ Zero-Day ที่เคยเก็บไว้ขายเฉพาะกลุ่ม เลยหลุดออกสู่สาธารณะ Symantec ยังพบว่ากลุ่มแฮ็กเกอร์ใต้ดินสามารถนำข้อมูลช่องโหว่ใหม่ๆ ไปพัฒนาเป็นชุดโจมตี (exploit kit) ได้เร็วมาก บางครั้งเพียงแค่ไม่กี่ชั่วโมงหลังมีข่าวช่องโหว่ ก็มี exploit kit พร้อมแจกจ่ายแล้ว ในขณะที่บริษัทผู้สร้างซอฟต์แวร์ ยังต้องใช้เวลาหลายวันหรือหลายสัปดาห์ในการพัฒนาแพตช์ ซึ่งช่องว่างเรื่องเวลาตรงนี้เป็นความเสี่ยงของผู้ใช้งาน ข้อมูลที่แฮ็กได้ ขายได้แพงแค่ไหน ข้อมูลที่ราคาแพงที่สุดตอนนี้คือข้อมูลเกี่ยวกับสุขภาพ ขายได้ถึง 50 ดอลลาร์ต่อชุด ในขณะที่ข้อมูลบัตรเครดิต ราคาค่อนข้างแกว่งเพราะขึ้นกับว่าบัตรใบนั้นถูกเพิกถอนไปแล้วหรือไม่ด้วย รูปแบบการโจมตีองค์กร พฤติกรรมของแฮ็กเกอร์เวลาต้องการเจาะระบบองค์กรสักแห่งเปลี่ยนไปจากเดิมมาก ในอดีต แฮ็กเกอร์จะส่งอีเมลจำนวนมากเพื่อหลอกให้คนในองค์กรเปิดไฟล์แนบ (เฉลี่ยต้องใช้เมล 122 ฉบับในการโจมตีองค์กรแห่งหนึ่ง) แต่ปีหลังๆ แฮ็กเกอร์ทำงานละเอียดขึ้น หลอกกันเนียนขึ้น ปรับแต่งอีเมลอย่างดีให้เหมาะกับผู้รับ ค่าเฉลี่ยใช้อีเมลเพียง 12 ฉบับเท่านั้น แต่ปริมาณการโจมตีองค์กรกลับเพิ่มขึ้นมาก เดิมที องค์กรขนาดใหญ่ (สีฟ้าในกราฟ) มักเป็นเป้าหมายของการโจมตี แต่ช่วงหลังแฮ็กเกอร์หันมาเน้น SME (สีส้ม) มากขึ้น เหตุเพราะมีระบบรักษาความปลอดภัยน้อยกว่า โจมตีง่ายกว่า Data Breach ปัญหาข้อมูลส่วนบุคคลรั่วไหล ยังเป็นแนวโน้มสำคัญในวงการความปลอดภัยไซเบอร์ ปี 2015 มีข้อมูลส่วนบุคคลหลุดออกมา 429 ล้านรายชื่อ เพิ่มขึ้น 23% จากปีก่อน (Symantec ประเมินว่าตัวเลขจริงน่าจะสูงกว่า 500 ล้านรายชื่อ เพราะหน่วยงานที่โดนมักปิดข่าวไม่ให้เสียชื่อเสียง) จุดที่น่าสนใจคือขนาดของข้อมูลหลุด มีแนวโน้มจะใหญ่ขึ้นเรื่อยๆ ถ้าคัดเฉพาะข้อมูลหลุดครั้งละ 10 ล้านรายชื่อขึ้นไป ในปี 2015 มีถึง 9 กรณี เพิ่มขึ้นจากปี 2014 ที่มีเพียง 4 กรณี Ransomware Symantec เล่าพัฒนาการของ Ransomware ในอดีต ว่าสมัยแรกๆ ช่วงปี 2005-2009 เป็นการขู่หลอก เช่น หลอกว่าคอมพิวเตอร์ของเราทำงานช้า ให้จ่ายเงินซื้อแอพมาปรับแต่งเครื่อง หลังจากนั้นในยุค 2010-2011 พัฒนามาเป็นหลอกว่าเครื่องเราติดไวรัส ให้กดซื้อแอนตี้ไวรัสมาสแกน และปี 2012-2013 หลอกว่าเราทำผิดกฎหมาย ใช้โปรแกรมเถื่อน มีตำรวจกำลังเฝ้าดูคอมพิวเตอร์ของเราอยู่ (แถมเปลี่ยนโลโก้ตำรวจตามเป้าหมายในแต่ละประเทศด้วย) พอมาถึงปี 2014-2015 จึงเริ่มกลายมาเป็น Crypto Ransowmare แบบเข้ารหัสข้อมูล จริงๆ มัลแวร์แบบเข้ารหัสข้อมูลไม่ใช่เรื่องใหม่ มันเคยปรากฏตัวมาแล้วในปี 2005 (สีส้มในกราฟ) แต่ไม่ได้รับความนิยม เพราะกระบวนการจ่ายเงินค่าไถ่ยังไม่ดีพอ ในอดีต เหยื่อต้องจ่ายเงินด้วยบัตรเครดิตเพื่อปลดล็อคข้อมูล แต่สามารถแจ้งบริษัทบัตรเครดิตให้ยกเลิกการจ่ายเงินในภายหลังได้ แต่พอยุคหลังมีระบบ Bitcoin เข้ามา จึงแก้ปัญหานี้ให้กับบรรดาอาชญากร สามารถรับเงินได้แบบไร้ตัวตน สถานการณ์ของประเทศไทย สถานการณ์ความปลอดภัยไซเบอร์ของไทยปี 2015 ก็มีกรณีโด่งดังคือ #OpSingleGateway ของกลุ่ม Anonymous สถิติอื่นๆ คือประเทศไทยมีอันดับเพิ่มขึ้นในแง่ความเสี่ยงด้านความปลอดภัยหลายด้าน ได้แก่ อันดับสแปมโลก เพิ่มจากอันดับ 43 มาเป็นอันดับ 24 การหลอกลวงบนโซเชียล (social media scam) อยู่อันดับ 11 ของเอเชียแปซิฟิก (อันดับหนึ่งคืออินเดีย) ปัญหา ransomware อยู่อันดับ 11 ของภูมิภาคเอเชียแปซิฟิก มีค่าเฉลี่ย เกิดการโจมตีด้วย ransomware วันละ 14 ครั้ง (อันดับหนึ่งคือออสเตรเลีย) ธุรกิจ SME โดยเฉพาะการค้าส่ง (wholesale) และการผลิต เป็นเป้าหมายสำคัญของการแฮ็กหรือโจมตีองค์กร ป้องกันตัวอย่างไร คำแนะนำของ Symantec ยังเป็นเรื่องเดิมๆ ที่คนในแวดวงความปลอดภัยรู้กันดี แต่ผู้ใช้งานทั่วไปยังไม่รู้หรือไม่ตระหนักถึงความสำคัญมากนัก เช่น ตั้งรหัสผ่านให้แข็งแรง, คิดก่อนคลิก, หามาตรการป้องกัน, เรียนรู้วิธีการโจมตีของอาชญากร ใครทำงานหรือสนใจด้านความปลอดภัยไซเบอร์ สามารถดาวน์โหลดเอกสารตัวเต็ม มาอ่านเพิ่มได้ครับ Topics: SymantecSecurityRansomware