BLOGS

คาดการณ์ภัยคุกคามในปี 2024 โดย Trellix

Tangerine • 15/01/2024
Tangerine Co., Ltd.

ปีที่ผ่านมา เราได้เห็นการเปลี่ยนแปลงครั้งใหญ่ในภาพรวมด้านความปลอดภัยทางไซเบอร์ ทำให้มีความต้องการป้องกันภัยเพิ่มขึ้นอย่างต่อเนื่องจากทั่วโลก ซึ่งผู้ก่อภัยคุกคามเองก็ยังคงพัฒนาเกิดขึ้นใหม่ ทางผู้เชี่ยวชาญด้านความปลอดภัยจึงสันนิษฐานว่าไม่มีองค์กรหรือบุคคลใดที่ปลอดภัยอย่างแท้จริงจากภัยคุกคามทางไซเบอร์ ถึงแม้ว่าจะมีการติดตามการวิจัยเกี่ยวกับภัยคุกคามที่เกิดขึ้นซ้ำ ๆ ที่มีการพัฒนาอย่างรวดเร็ว และยังมีความรุนแรงที่เพิ่มขึ้นอีกด้วย

Ransomware ยังคงเป็นภัยคุกคามของหลายองค์กรทั่วโลก เนื่องจากภัยคุกคามเหล่านี้มีขนาดความรุนแรงและความซับซ้อนเพิ่มขึ้น รวมถึงมีการประสานงานร่วมมือกันกับภัยคุกคามรายอื่น ๆ ผ่านฟอรัมใต้ดิน เพื่อหลอกลวงบุคคลและควบคุมได้ยากขึ้น สำหรับทั้งเหยื่อและเครื่องมือรักษาความปลอดภัยในการตรวจจับ รวมถึงการระบุตัวตน นอกจากนี้การโจมตีทางไซเบอร์ยังคงดำเนินต่อไปและลามไปถึงวงการการเมือง เศรษฐกิจ การทำสงคราม และการบิดเบือนข้อมูล ดังที่สังเกตได้จากภัยคุกคามในยูเครน ไต้หวัน อิสราเอล และภูมิภาคอื่น ๆ

“The Cyber Landscape ในปัจจุบันมีความซับซ้อนมากขึ้นกว่าเดิม อาชญากรทางไซเบอร์ฉลาดขึ้น เร็วขึ้น และเชื่อมโยงกันมากขึ้นในการปรับเปลี่ยนกลยุทธ์ เพื่อให้เป็นไปตามรูปแบบใหม่ และคาดหวังว่าจะไม่มีการเปลี่ยนแปลงในปี 2024” John Fokker หัวหน้าฝ่ายข่าวกรองภัยคุกคามของ Trellix Advanced กล่าวไว้

เพื่อที่จะหลีกหนีจากการโจมตีที่ทวีความรุนแรงขึ้น การจะเอาชนะผู้คุกคามทุกอุตสาหกรรมจำเป็นต้องนำกลยุทธ์ทางไซเบอร์ที่มีการเฝ้าระวังอยู่ตลอดเวลา และสามารถปรับให้เข้ากับภัยคุกคามใหม่ ๆ ได้ นั่นคือวิธีที่เราสามารถรับประกันการเป็นผู้นำเหนืออาชญากรไซเบอร์ได้ในขั้นตอนเดียว

ซึ่งด้านล่างนี้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ และนักวิจัยภัยคุกคามจากทีม Trellix Advanced Research Center ได้รวบรวมการคาดการณ์เกี่ยวกับแนวโน้ม กลยุทธ์ และภัยคุกคามที่องค์กรต่าง ๆ ควรคำนึงถึงเป็นอันดับแรกในปี 2024 

1. ภัยคุกคามของปัญญาประดิษฐ์ (AI)

2. การพัฒนาแบบใต้ดินของภัยคุกคามที่เรียกว่า LLMs

ความก้าวหน้าล่าสุดของ AI ได้ก่อให้เกิด Large Language Models  (LLM) ที่สามารถสร้างข้อความที่เหมือนมนุษย์ได้ แม้ว่า LLM จะแสดงศักยภาพทางเทคโนโลยีที่โดดเด่นสำหรับการใช้งานเชิงบวก แต่ลักษณะการใช้งานของพวกเขาเสี่ยงต่อการถูกแสวงหาผลประโยชน์ที่เป็นอันตราย ข้อกังวลด้านความปลอดภัยที่สำคัญประการหนึ่งที่เกี่ยวข้องกับ LLM อยู่ที่การใช้งานในทางที่ผิด โดยอาชญากรไซเบอร์เพื่อการโจมตีแบบกลุ่มใหญ่

LLM ชั้นนำ เช่น GPT-4, Claude และ PaLM2 ประสบความสำเร็จในความสามารถที่ไม่มีใครเทียบได้ในการสร้างข้อความที่สอดคล้องกัน ตอบคำถามที่ซับซ้อน การแก้ปัญหา การเขียนโค้ด และงานภาษาธรรมชาติอื่น ๆ อีกมากมาย ความพร้อมใช้งานและความสะดวกในการใช้งานของ LLM ขั้นสูงเหล่านี้ ได้เปิดโลกยุคใหม่สำหรับอาชญากรไซเบอร์ LLM ในปัจจุบัน ต่างจากระบบ AI ที่ซับซ้อนน้อยกว่าก่อนหน้านี้ มีเครื่องมือที่ทรงพลังและคุ้มค่าสำหรับแฮกเกอร์ โดยไม่จำเป็นต้องใช้ความเชี่ยวชาญ เวลา และทรัพยากรมากมาย

การตั้งค่าโครงสร้างพื้นฐานสำหรับแคมเปญฟิชชิงขนาดใหญ่มีราคาถูกลงและเข้าถึงได้มากขึ้น แม้แต่กับบุคคลที่ไม่ชำนาญ ด้านเทคนิคก็ตาม เครื่องมืออย่าง FraudGPT และ WormGPT มีความโดดเด่นในเครือข่ายอาชญากรไซเบอร์อยู่แล้ว ฟอรัม Darknet ยอดนิยมในปัจจุบันมักทำหน้าที่เป็นแพลตฟอร์มสำหรับการพัฒนาอีเมลฟิชชิง หน้าเว็บปลอม รวมถึงการสร้างมัลแวร์และช่องโหว่ที่ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับ  แอปพลิเคชัน LLM เหล่านี้สามารถช่วยการพัฒนาและการใช้งานที่เป็นอันตราย โดยเครื่องมือเหล่านี้จะเพิ่มขึ้นอย่างรวดเร็วในปี 2024

3. การฟื้นคืนชีพของ Script Kiddies

ความพร้อมของซอฟต์แวร์ Open-source คือสิ่งเดิมที่นำไปสู่การเพิ่มขึ้นที่รู้จักกันในชื่อ “Script Kiddies” ซึ่งเป็นบุคคลที่มีความเชี่ยวชาญด้านเทคนิคเพียงเล็กน้อย หรือไม่มีเลย โดยใช้เครื่องมืออัตโนมัติ หรือสคริปต์ที่มีอยู่แล้วในการโจมตีทางไซเบอร์ แม้ว่าบางครั้งพวกเขาจะถูกมองว่าเป็นมือสมัครเล่นที่ไม่มีทักษะ หรือคนที่อยากเป็น Blackhat แต่ความพร้อมของเครื่องมือ AI เจนเนอเรชันขั้นสูง และศักยภาพในการใช้มัลแวร์ที่เป็นอันตราย นั่นหมายความว่า “Script Kiddies” ก่อให้เกิดภัยคุกคามที่สำคัญและกำลังเติบโตต่อตลาดโลก

ขณะนี้อินเทอร์เน็ตเต็มไปด้วยเครื่องมือที่ใช้ AI เพื่อทำให้ชีวิตของผู้คนง่ายขึ้น ตั้งแต่การสร้างงานนำเสนอ การสร้างบันทึกเสียง การเขียนบทความโต้แย้ง และอื่น ๆ อีกมากมาย เครื่องมือที่รู้จักกันดีที่สุด เช่น ChatGPT, Bard หรือ Perplexity AI มาพร้อมกับกลไกความปลอดภัย เพื่อป้องกันไม่ให้เขียนโค้ดที่เป็นอันตราย อย่างไรก็ตามนี่ไม่ใช่เครื่องมือ AI ทั้งหมดที่มีอยู่ในตลาด โดยเฉพาะอย่างยิ่งเครื่องมือที่ได้รับการพัฒนาบน Dark Web

4. การหลอกลวงด้วยเสียงที่สร้างโดย AI สำหรับ Social Engineering

การหลอกลวงที่เกี่ยวข้องกับเสียงที่สร้างโดย AI มีแนวโน้มเพิ่มมากขึ้นซึ่งเป็นที่น่ากังวลอย่างมากที่จะก่อให้เกิดความเสี่ยงต่อบุคคลและองค์กร การหลอกลวงเหล่านี้มักเกี่ยวข้องกับกลยุทธ์ของ Social Engineering โดยที่นักต้มตุ๋นใช้เทคนิคการจัดการทางจิตวิทยา เพื่อหลอกลวงบุคคลให้ดำเนินการบางอย่าง เช่น การเปิดเผยข้อมูลส่วนบุคคลหรือดำเนินธุรกรรมทางการเงิน เสียงที่สร้างโดย AI มีบทบาทสำคัญในเรื่องนี้เนื่องจากสามารถปลูกฝังความไว้วางใจให้กับเหยื่อ ทำให้พวกเขาเสี่ยงต่อการถูกบงการมากขึ้น

ความก้าวหน้าล่าสุดในด้านปัญญาประดิษฐ์ได้ปรับปรุงคุณภาพของเสียงที่สร้างโดย AI  ขณะนี้พวกเขาสามารถเลียนแบบรูปแบบคำพูดของมนุษย์และความแตกต่างได้อย่างใกล้ชิด ทำให้การแยกความแตกต่างระหว่างเสียงจริงและเสียงปลอมทำได้ยากขึ้น นอกจากนี้ความสามารถในการเข้าถึง AI เป็นการใช้งานที่อิสระอีกด้วย แม้แต่บุคคลที่ไม่มีความเชี่ยวชาญด้านเทคนิคก็สามารถใช้เครื่องมือเหล่านี้ เพื่อสร้างเสียงเทียมที่น่าเชื่อถือและเพิ่มศักยภาพให้กับนักหลอกลวงได้

การโจมตีแบบ Phishing and Vishing  มีเพิ่มมากขึ้นแต่เป็นเพียงขั้นตอนถัดไปที่สมเหตุสมผลเมื่อเทคโนโลยีสำหรับเสียงที่สร้างโดย AI ได้รับการปรับปรุง ผู้แสดงภัยคุกคามจะใช้ประโยชน์จากแอปพลิเคชันเหล่านี้กับเหยื่อในการสนทนาทางโทรศัพท์แบบ Real Time โดยปลอมตัวเป็นหน่วยงานที่ถูกต้องตามกฎหมาย เพื่อขยายประสิทธิภาพการหลอกลวงของพวกเขา

5. แนวโน้มที่เปลี่ยนแปลงไปในพฤติกรรมของผู้คุกคาม

6. การโจมตีของซัพพลายเชนต่อโซลูชันการถ่ายโอนไฟล์ที่ได้รับการจัดการ

โซลูชันการถ่ายโอนไฟล์ที่มีการจัดการ (MFT) ซึ่งออกแบบมาเพื่อแลกเปลี่ยนข้อมูลที่ละเอียดอ่อนระหว่างหน่วยงานความปลอดภัย ถือเป็นขุมทรัพย์ของข้อมูลที่เป็นความลับโดยแท้จริง ตั้งแต่ทรัพย์สินทางปัญญา ข้อมูลลูกค้า บันทึกทางการเงิน และอื่น ๆ อีกมากมาย โซลูชัน MFT มีบทบาทสำคัญในการดำเนินธุรกิจยุคใหม่ โดยองค์กรต่าง ๆ พึ่งพาโซลูชันเหล่านี้อย่างมาก เพื่ออำนวยความสะดวกในการแบ่งปันข้อมูลที่ราบรื่นทั้งภายในและภายนอก การหยุดชะงักของระบบเหล่านี้ สามารถนำไปสู่การหยุดทำงาน ทำให้เสื่อมเสียชื่อเสียง และความสูญเสียทางการเงิน สิ่งนี้ทำให้พวกเขาตกเป็นเป้าหมายที่น่าดึงดูดอย่างมากสำหรับ Ransomware  ที่ตระหนักดีว่าผลกระทบที่อาจเกิดขึ้น จะช่วยเพิ่มศักยภาพของความต้องการในการขู่กรรโชกได้อย่างไร

นอกจากนี้ ความซับซ้อนของระบบ MFT และการทำงานร่วมกันเข้ากับเครือข่ายธุรกิจภายในมักจะสร้างจุดอ่อนด้านความปลอดภัยและช่องโหว่ที่อาชญากรไซเบอร์สามารถนำไปใช้ประโยชน์ได้  เราได้เห็นกลุ่ม CL0P ใช้ประโยชน์จากโซลูชัน Go-anywhere MFT และคาดว่าการโจมตีประเภทนี้จะเพิ่มขึ้น โดยมีส่วนร่วมจากผู้คุกคามจำนวนมากจากองค์กรต่าง ๆ ขอแนะนำอย่างยิ่งให้ตรวจสอบโซลูชันการถ่ายโอนไฟล์ที่ได้รับการจัดการอย่างละเอียด โดยใช้โซลูชัน DLP และการเข้ารหัสข้อมูลที่เข้มแข็งเพื่อปกป้องข้อมูล

7. การขู่กรรโชกจาก Ransomware เพิ่มมากขึ้น

เนื่องจาก Ransomware  ขับเคลื่อนทางการเงินเป็นหลัก จึงไม่น่าแปลกใจที่เห็นพวกเขาพบวิธีใหม่ ๆ ในการขู่กรรโชกเหยื่อเพื่อขอเงินมากขึ้นและกดดันให้พวกเขาจ่ายค่าไถ่ ซึ่งเราเริ่มเห็น Ransomware  ติดต่อลูกค้าของเหยื่อเพื่อเป็นแนวทางใหม่ในการกดดัน และสามารถเรียกค่าไถ่ข้อมูลที่ถูกขโมยได้ ไม่เพียงแต่กับเหยื่อโดยตรงของการโจมตีเท่านั้น แต่ยังรวมไปถึงลูกค้าของเหยื่อที่อาจได้รับผลกระทบจากข้อมูลที่ถูกขโมยอีกด้วย

กลุ่ม Ransomware  ที่ค้นหาวิธีใช้ประโยชน์จากสื่อและใช้การกดดันทั่ว ๆ ไป ต่อเหยื่อไม่ใช่เรื่องใหม่หากย้อนกลับไปในปี 2022 บริษัทประกันสุขภาพที่สำคัญที่สุดแห่งหนึ่งของออสเตรเลียได้รับผลกระทบจากการถูกละเมิดข้อมูล ควบคู่ไปกับการเรียกค่าไถ่ให้กับบริษัทประกันภัย ผู้คุกคามได้เผยแพร่ข้อมูลทางการแพทย์จำนวนมาก ซึ่งนำไปสู่แรงกดดันจากสาธารณชนและเจ้าหน้าที่ในการจ่ายเงินให้ Ransomware  เพื่อลบข้อมูลทางการแพทย์ นอกจากนี้ยังมีข้อมูลส่วนตัวถูกเปิดเผย ลูกค้าจึงเดินเข้าไปในหน้าร้านของบริษัทประกันภัยและเสนอที่จะจ่ายเงิน เพื่อลบรายละเอียดของตนเองออก ในปี 2023 จากการสังเกตเหตุการณ์ที่คล้ายกัน กลุ่ม Ransomware ขู่ว่าจะติดต่อกับลูกค้าของบริษัทที่พวกเขาถูกโจมตีโดยเสนอทางเลือกให้พวกเขาชำระเงินเพื่อลบข้อมูลส่วนตัวและรายละเอียดส่วนตัวออกจากข้อมูลที่เปิดเผย

เนื่องจากรูปแบบการขู่กรรโชกแบบต่อเนื่อง ได้รับความนิยมมากขึ้น จึงเพิ่มช่องทางให้ผู้โจมตีสามารถเรียกค่าไถ่กับผู้ที่ได้รับผลกระทบได้ เราคาดว่าจะเห็นการเปลี่ยนแปลงในภาพรวมที่กลุ่ม Ransomware  มักมองหาเป้าหมายหน้าใหม่ที่ไม่เพียงจัดการข้อมูลส่วนบุคคลที่ละเอียดอ่อนเท่านั้น แต่ยังรวมถึงรายละเอียดส่วนตัวที่สามารถใช้เพื่อขู่กรรโชกลูกค้าได้ คงไม่น่าแปลกใจเลยที่อุตสาหกรรมการดูแลสุขภาพ โซเชียลมีเดีย การศึกษา และ SaaS จะถูกโจมตีจากกลุ่มเหล่านี้ในปี 2024

8. การโจมตีอย่างลับ ๆ บนอุปกรณ์ Edge

ภาพรวมภัยคุกคามกำลังมีการเปลี่ยนแปลงไปอย่างมีนัย โดยมีศูนย์กลางอยู่ที่อุปกรณ์ Edge ที่มักถูกมองข้าม ส่วนประกอบที่เรียบง่ายเหล่านี้ รวมถึง Firewall, Router, VPN, Switch และ Gateway กำลังกลายเป็นเหยื่อใหม่สำหรับกลุ่ม Advanced Persistent Threat (APT) สิ่งที่ทำให้สิ่งนี้แตกต่างจากทั่วไป คือความซับซ้อนของภัยคุกคามที่ป้องกันได้ยาก

อุปกรณ์ Edge มีความซับซ้อนเฉพาะตัว อย่างไรก็ตามปัญหาอยู่ที่การไม่สามารถตรวจจับการบุกรุกโดยทั่วไปได้ แตกต่างจากส่วนประกอบของเครือข่ายแบบเดิม มันไม่ง่ายเหมือนกับการติดตั้ง IDS หรือ IPS อื่น ๆ ตามการออกแบบแล้ว ประตูสู่โลกดิจิทัลของเราถือเป็นแนวป้องกันด่านแรกและด่านสุดท้าย สิ่งนี้ทำให้พวกเขาเป็นทั้งเป้าหมายและจุดบอด กลยุทธ์ที่พัฒนาขึ้นของกลุ่ม APT ผสมผสานกับสถาปัตยกรรมอุปกรณ์ Edge ที่หลากหลาย ทำให้เกิดความท้าทายที่น่ากลัว โซลูชันสำหรับแพลตฟอร์ม เช่น MIPS หรือ ARM ยังอยู่ในช่วงเริ่มต้นเมื่อพูดถึงการตรวจจับการบุกรุกที่แข็งแกร่ง สำหรับภัยคุกคามที่เป็นเหมือนแมวไล่จับหนูอยู่ตลอดเวลา นี่เป็นพื้นที่ที่หนูหลบหลีกอย่างไม่น่าเชื่อ

ในขณะที่เราก้าวเข้าสู่ยุคดิจิทัลอย่างต่อเนื่อง ด้วยอุปกรณ์และบริการที่เชื่อมต่อกันมากขึ้นเรื่อย ๆ ทำให้แพร่กระจายไปตลอดชีวิตของเราได้ช่องโหว่ใน Gate, Router และ VPN ของเรากำลังถูกตรวจสอบ และใช้ประโยชน์ในทางที่ไม่ดี  เพื่อเป็นการปกป้องอุปกรณ์ดิจิทัลของเรา เราต้องปรับตัวและเสริมสร้างการป้องกันของเราเพื่อจากศัตรูที่มีความแข็งแกร่ง และรวดเร็ว

9. ไดรเวอร์ LOL กำลังกลายเป็นผู้เปลี่ยนเกม

เหตุการณ์ด้านความปลอดภัยจำนวนมากเมื่อเร็ว ๆ นี้แสดงให้เห็นว่าไดรเวอร์ที่มีช่องโหว่ก่อให้เกิดภัยคุกคามที่สำคัญ ไดรเวอร์ที่มีช่องโหว่ที่ลงนามแล้วกำลังขโมยข้อมูล เนื่องจากสามารถใช้เพื่อซ่อนและปิดใช้งานโซลูชันความปลอดภัยในระยะแรกของการโจมตี ในการโจมตีดังกล่าว ผู้ประสงค์ร้ายจะปล่อยไดรเวอร์ที่ถูกต้องซึ่งลงนามด้วยใบรับรองที่ถูกต้องและสามารถทำงานด้วยสิทธิ์บนอุปกรณ์ของเหยื่อได้ การใช้ประโยชน์ที่ประสบความสำเร็จช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์ได้ ซึ่งทำให้พวกเขาสามารถเข้าถึงและควบคุมทรัพยากรระบบบนเป้าหมายได้ในระดับสูงสุด

โครงการ ZeroMemoryEx Blackout โดย Spyboy และเครื่องมือ AuKill ล้วนเป็นตัวอย่างของเทคนิคไดรเวอร์ที่มีช่องโหว่ในการเลี่ยงผ่านการควบคุมความปลอดภัยและรันโค้ดที่เป็นอันตราย ซึ่งเพิ่งกลายเป็นข่าวมาก่อนหน้านี้ มีคุณสมบัติและความคิดริเริ่มบางประการเพื่อป้องกันการโจมตีนี้ เช่น Vulnerable Driver Blocklist โดย Microsoft และโครงการ LOL Drivers อย่างไรก็ตาม มันไม่ได้เปลี่ยนความจริงที่ว่าการโจมตีเหล่านี้ทำได้ง่ายและดำเนินการได้ง่าย โดยมีโอกาสเพิ่มขึ้นในการติดไวรัสสำเร็จ และการเข้าถึงไดรเวอร์ที่มีช่องโหว่ได้มากขึ้น ด้วยเหตุผลเหล่านี้ เราคาดว่าจะเห็นช่องโหว่ที่อิงตามไดรเวอร์มากขึ้น ซึ่งจะมีผลกระทบวงกว้างในปี 2024

หากสนใจบริการต่าง ๆ หรือต้องการคำปรึกษาเพิ่มเติมติดต่อเรา
ได้ที่ marketing@uat.tangerine.co.th หรือ โทร 02 285 5511
ท่านจะได้รับคำตอบจากผู้เชี่ยวชาญที่ได้รับการรับรองมาตรฐาน

Get a Free Consultation
Contact Form_EN Sources (#25)