การโจมตีทางไซเบอร์ แบบถาวร

“มันเหมือนมีมนุษย์ล่องหนแอบแฝงอยู่ในองค์กรอย่างยาวนาน และคอยฉกข้อมูลสำคัญส่งออกไปข้างนอก”

เมื่อสัปดาห์ที่แล้วสำนักข่าวใหญ่แห่งหนึ่งในประเทศสหรัฐอเมริกาได้รายงานว่าพบการโจมตีทางไซเบอร์อย่างต่อเนื่องกับสำนักข่าวแห่งหนึ่ง โดยมีนักข่าวหลายคนถูกโจรกรรมข้อมูล อ้างอิงถึงผลจากการสืบสวนเชื่อว่าน่าจะเป็นการกระทำของสายลับจีน โดยบริษัทที่ได้รับการว่าจ้างให้มาทำการสืบสวนค้นหาความจริง ได้พุ่งประเด็นไปที่ประโยชน์ด้านข่าวกรองของประเทศจีน
 

และจากหลักฐานที่พบสามารถเชื่อมโยงไปถึงการเจาะเข้าบัญชีอีเมล์และ google drive ของนักข่าวหลายบัญชี ตั้งแต่เดือนกุมภาพันธ์ปี 2020 หรือเมื่อ 2 ปีที่ผ่านมา ซึ่งนั่นแสดงให้เห็นว่าการโจมตีลักษณะนี้เกิดขึ้นอย่างต่อเนื่องและเป็นระยะเวลาที่ยาวนาน และเป็นไปได้สูงมากที่จะมีหน่วยงานระดับรัฐบาลของประเทศที่ได้ประโยชน์อยู่เบื้องหลัง

จากเรื่องราวดังกล่าว ชี้ให้เห็นอยู่หลายประเด็น เริ่มจากประเด็นแรกคือ state-sponsored cyber attack หรือ การบุกรุกคุกคามทางไซเบอร์ โดยมีรัฐอยู่เบื้องหลังนั้น มีอยู่จริง โดยรัฐทุกรัฐจำเป็นต้องทำงานแสวงหาข้อมูลข่าวกรองอันเป็นประโยชน์ต่อความมั่นคงของรัฐตัวเอง และจำเป็นต้องใช้กลยุทธ์หรือเทคนิคที่ทันต่อยุคสมัย

ประเด็นที่สองคือภัยคุกคามลักษณะนี้มีจุดประสงค์ในการแฝงตัวและอาศัยอยู่กับเหยื่ออย่างยาวนานโดยไม่ให้เหยื่อรู้ตัว ดังนั้นหากใครที่ตกเป็นเหยื่อ และโดนเข้าไปแล้ว ก็จะยากที่จะค้นพบว่าตนเองได้ตกเป็นเหยื่อเข้าเสียแล้ว เพราะแฮกเกอร์จะใช้เทคนิคขั้นสูงในการอำพรางตัวและทำให้สามารถอยู่กับระบบเป้าหมายนั้นได้อย่างยาวนาน ชื่อทางเทคนิคของปฏิบัติการลักษณะนี้เรียกว่า “Advanced Persistent Threat (APT)” หรือ ภัยคุกคามแบบถาวรด้วยเทคนิคขั้นสูง ซึ่งเป้าหมายหรือเหยื่อที่โดนปฏิบัติการลักษณะนี้เข้าไป กว่าจะสามารถตรวจพบก็อาจล่วงเลยไปเป็นเวลาหลายเดือน หรือเป็นปีๆ ดังข่าวล่าสุดที่ได้กล่าวไปข้างต้น
 

คำถามคือ คุณสามารถตอบได้เต็มปากหรือไม่ว่า ณ ขณะนี้ องค์กรของคุณไม่ได้ตกเป็นเหยื่อของปฏิบัติการลักษณะนี้? ในระหว่างค่ำคืนที่ทุกคนกำลังนอนหลับ ระบบของคุณมีการสื่อสารหรือส่งข้อมูลออกไปยังเครื่องที่คุณไม่รู้จักหรือในประเทศที่คุณไม่ได้มีธุรกรรมอะไรด้วยอยู่หรือไม่? เพราะปฏิบัติการลักษณะนี้ เน้นที่การโจรกรรมข้อมูล จึงจะต้องมีการส่งข้อมูลออกไปข้างนอกองค์กร
 

ดังนั้นสิ่งสำคัญที่จะช่วยให้สามารถค้นหาและตรวจพบภัยคุกคามลักษณะนี้ในองค์กรได้คือ คุณต้อง monitor หรือ audit หรือ inspect out-going traffic หรือข้อมูลขาออก คุณต้องรู้ว่าข้อมูลอะไรที่ถูกเข้าถึง และถูกส่งออก และกำลังถูกส่งไปที่ใด ซึ่งหากองค์กรของคุณยังไม่มีมาตรการหรือเครื่องมือที่จะช่วยตรวจสอบในเรื่องดังกล่าวนี้แล้ว คงเป็นการยากในการที่จะตรวจจับภัยคุกคามลักษณะนี้

แต่แน่นอนว่าการจะทำให้เกิดความมั่นคงปลอดภัยต่อข้อมูลและระบบข้อมูลนั้น ต้องคำนึงถึง 5 เรื่องด้วยกัน ตามแนวทาง Cybersecurity Framework ของ NIST คือ
1. Identify บ่งชี้ข้อมูลและระบบสำคัญ ตลอดจนความเสี่ยงที่เกี่ยวข้อง
2. Protect วางมาตรการป้องกัน
3. Detect ตรวจจับภัยคุกคาม
4. Respond ตอบสนองต่อภัยคุกคาม
5. Recover ฟื้นฟูจากความเสียหาย

 

ซึ่งองค์กรจำเป็นต้องมีนโยบาย แนวปฏิบัติ และการให้ความรู้กับพนักงานและผู้บริหารองค์กรทุกคน จึงจะสามารถลดความเสี่ยงได้
 

ขอให้ทุกท่านอยู่รอดปลอดภัยบนโลกไซเบอร์ครับ