การโจมตีล่าสุดที่ถูกกล่าวหาว่าดําเนินการโดยกลุ่มจีนเกลือไต้ฝุ่นไปยัง บริษัท โทรคมนาคมและประเทศในหมู่พวกเขาจะเป็นบราซิล 'SA ออกจากโลกทั้งใบในการแจ้งเตือน ข่าวพูดถึงระดับความซับซ้อนของการรุกรานและสิ่งที่น่าตกใจมากขึ้น 'อาชญากร ในทางทฤษฎีจะยังคงอยู่ในเครือข่ายของ บริษัท เหล่านี้.
ข้อมูลแรกเกี่ยวกับกลุ่มนี้เกิดขึ้นในปี 2021 เมื่อทีม Threat Intelligence ของ Microsoft เปิดเผยข้อมูลเกี่ยวกับวิธีที่จีนประสบความสําเร็จในการแทรกซึมผู้ให้บริการอินเทอร์เน็ตหลายรายเพื่อสํารวจบริษัทและเก็บข้อมูล หนึ่งในการโจมตีครั้งแรกที่กลุ่มดําเนินการมาจากการละเมิดในเราเตอร์ Cisco ซึ่งทําหน้าที่เป็นประตูสู่การตรวจสอบกิจกรรมทางอินเทอร์เน็ตที่เกิดขึ้นผ่านอุปกรณ์เหล่านี้ เมื่อเข้าถึงได้แล้วแฮกเกอร์ก็สามารถขยายการเข้าถึงไปยังเครือข่ายเพิ่มเติมได้ ในเดือนตุลาคม 2564 แคสเปอร์สกียืนยันว่าอาชญากรไซเบอร์ได้ขยายการโจมตีไปยังประเทศอื่น ๆ เช่นเวียดนามไทยและอินโดนีเซียแล้ว.
หากช่องโหว่แรก ๆ เป็นที่รู้จักกันไปแล้วตั้งแต่ปี 2021 คือ ทําไมเรายังถูกโจมตี คําตอบอยู่ที่ว่าเราจะจัดการกับช่องโหว่เหล่านี้ในแต่ละวันอย่างไรอย่างแม่นยํา.
วิธีการละเมิด
ในช่วงไม่กี่วันที่ผ่านมา ข้อมูลของรัฐบาลได้ยืนยันการโจมตีหลายครั้งต่อบริษัทและประเทศต่างๆ ที่เกิดขึ้นจากช่องโหว่ที่ทราบในแอปพลิเคชัน VPN ได้แก่ ผู้ผลิต Ivanti, Fortinet Forticlient EMS ที่ใช้ในการตรวจสอบเซิร์ฟเวอร์ ไฟร์วอลล์ Sophos และเซิร์ฟเวอร์ Microsoft Exchange.
ช่องโหว่ของ Microsoft ได้รับการเปิดเผยในปี 2564 เมื่อหลังจากนั้นไม่นานบริษัทได้เผยแพร่การแก้ไข ข้อบกพร่องในไฟร์วอลล์ Sophos ได้รับการเผยแพร่ในปี 2565 และแก้ไขในเดือนกันยายน 2566 ปัญหาที่พบใน Forticlient กลายเป็นสาธารณะในปี 2566 และแก้ไขในเดือนมีนาคม 2567 เช่นเดียวกับของ Ivanti ซึ่งมีการลงทะเบียน CVE (ช่องโหว่ทั่วไปและการเปิดเผย) ในปี 2566 ด้วย อย่างไรก็ตาม บริษัทเพิ่งแก้ไขช่องโหว่เมื่อเดือนตุลาคมปีที่แล้ว.
ช่องโหว่ทั้งหมดเหล่านี้ทําให้อาชญากรสามารถแทรกซึมเข้าไปในเครือข่ายที่ถูกโจมตีได้อย่างง่ายดายโดยใช้ข้อมูลประจําตัวและซอฟต์แวร์ที่ถูกต้องตามกฎหมายซึ่งทําให้การตรวจจับการบุกรุกเหล่านี้แทบจะเป็นไปไม่ได้เลย จากนั้นอาชญากรก็ย้ายด้านข้างภายในเครือข่ายเหล่านี้โดยปรับใช้มัลแวร์ซึ่งช่วยในการทํางานจารกรรมในระยะยาว.
สิ่งที่น่าตกใจเกี่ยวกับการโจมตีเมื่อเร็วๆ นี้ก็คือ วิธีการที่แฮกเกอร์กลุ่ม Salt Typhoon ใช้นั้นสอดคล้องกับกลยุทธ์ระยะยาวที่พบในแคมเปญก่อนหน้านี้ที่เกิดจากเจ้าหน้าที่ของรัฐของจีน วิธีการเหล่านี้รวมถึงการใช้ข้อมูลประจําตัวที่ถูกต้องตามกฎหมายเพื่อปกปิดกิจกรรมที่เป็นอันตรายเป็นการปฏิบัติงานตามปกติ ทําให้ยากต่อการระบุโดยระบบรักษาความปลอดภัยทั่วไป การมุ่งเน้นไปที่ซอฟต์แวร์ที่ใช้กันอย่างแพร่หลาย เช่น VPN และไฟร์วอลล์ แสดงให้เห็นถึงความรู้เชิงลึกเกี่ยวกับช่องโหว่ในสภาพแวดล้อมขององค์กรและภาครัฐ.
ปัญหาช่องโหว่
ช่องโหว่ที่ถูกใช้ประโยชน์ยังเผยให้เห็นรูปแบบที่น่ากังวล: ความล่าช้าในการใช้แพตช์และการอัปเดต แม้จะมีการแก้ไขที่ผู้ผลิตจัดทําขึ้นความเป็นจริงในการดําเนินงานของหลาย บริษัท ทําให้ยากต่อการนําโซลูชันเหล่านี้ไปใช้ทันทีการทดสอบความเข้ากันได้ความจําเป็นในการหลีกเลี่ยงการหยุดชะงักของระบบที่มีความสําคัญต่อภารกิจและในบางกรณีการขาดความตระหนักในความรุนแรงของความล้มเหลวมีส่วนทําให้หน้าต่างการสัมผัสเพิ่มขึ้น.
ปัญหานี้ไม่เพียงแต่ทางเทคนิคเท่านั้น แต่ยังรวมถึงองค์กรและกลยุทธ์ที่เกี่ยวข้องกับกระบวนการ ลําดับความสําคัญ และบ่อยครั้งคือวัฒนธรรมองค์กร.
แง่มุมที่สําคัญคือหลาย บริษัท ถือว่าการบังคับใช้แพทช์เป็นงาน “รอง” เมื่อเทียบกับความต่อเนื่องในการดําเนินงาน สิ่งนี้ทําให้เกิดภาวะที่กลืนไม่เข้าคายไม่ออกที่เรียกว่าการหยุดทํางานซึ่งผู้นําจําเป็นต้องตัดสินใจระหว่างการหยุดชะงักของบริการชั่วขณะเพื่ออัพเกรดระบบและความเสี่ยงที่อาจเกิดขึ้นจากการแสวงหาผลประโยชน์ในอนาคต อย่างไรก็ตาม การโจมตีล่าสุดแสดงให้เห็นว่าการชะลอการอัปเดตเหล่านี้อาจมีราคาแพงกว่ามากทั้งในด้านการเงินและชื่อเสียง.
นอกจากนี้ การทดสอบความเข้ากันได้ยังเป็นปัญหาคอขวดทั่วไป สภาพแวดล้อมขององค์กรจํานวนมาก โดยเฉพาะอย่างยิ่งในอุตสาหกรรม เช่น โทรคมนาคม ทํางานด้วยการผสมผสานที่ซับซ้อนระหว่างเทคโนโลยีดั้งเดิมและเทคโนโลยีสมัยใหม่ ซึ่งทําให้การอัปเดตแต่ละครั้งต้องใช้ความพยายามอย่างมากเพื่อให้แน่ใจว่าแพตช์จะไม่ก่อให้เกิดปัญหาใน ระบบที่ต้องพึ่งพาการดูแลประเภทนี้สามารถเข้าใจได้ แต่สามารถบรรเทาลงได้โดยการนําแนวทางปฏิบัติ เช่น สภาพแวดล้อมการทดสอบที่แข็งแกร่งยิ่งขึ้น และกระบวนการตรวจสอบอัตโนมัติ.
อีกประเด็นหนึ่งที่ก่อให้เกิดความล่าช้าในการประยุกต์ใช้แพตช์คือการขาดความตระหนักเกี่ยวกับความรุนแรงของความล้มเหลว บ่อยครั้งที่ทีมไอทีประเมินความสําคัญของ CVE เฉพาะต่ําไปโดยเฉพาะอย่างยิ่งเมื่อยังไม่มีการสํารวจอย่างกว้างขวางจนถึงปัจจุบัน ปัญหาคือหน้าต่างแห่งโอกาสสําหรับผู้โจมตีสามารถเปิดได้ก่อนที่องค์กรจะตระหนักถึงความรุนแรงของปัญหา ซึ่งเป็นสาขาที่ข่าวกรองภัยคุกคามและการสื่อสารที่ชัดเจนระหว่างผู้จําหน่ายเทคโนโลยีและบริษัทสามารถสร้างความแตกต่างได้.
ในที่สุด บริษัท จําเป็นต้องนําแนวทางเชิงรุกและจัดลําดับความสําคัญมากขึ้นมาใช้ในการจัดการช่องโหว่ซึ่งรวมถึงกระบวนการแพตช์อัตโนมัติการแบ่งส่วนเครือข่ายการ จํากัด ผลกระทบของการบุกรุกที่อาจเกิดขึ้นกิจวัตรการจําลองการโจมตีที่เป็นไปได้เป็นประจําซึ่งช่วยในการค้นหาศักยภาพ “จุดอ่อน”.
ปัญหาของการแก้ไขและอัปเดตความล่าช้าไม่ได้เป็นเพียงความท้าทายทางเทคนิคเท่านั้น แต่ยังเป็นโอกาสสําหรับองค์กรในการเปลี่ยนแปลงแนวทางด้านความปลอดภัยทําให้มีความคล่องตัว ปรับตัว และยืดหยุ่นมากขึ้น เหนือสิ่งอื่นใดโหมดการทํางานนี้ไม่ใช่เรื่องใหม่และการโจมตีอื่น ๆ อีกหลายร้อยครั้งจะดําเนินการกับมัน วิธีการดําเนินการ, จากช่องโหว่ที่ถูกใช้เป็นเกตเวย์ การใช้ประโยชน์จากบทเรียนนี้อาจเป็นความแตกต่างระหว่างการเป็นเหยื่อหรือการเตรียมพร้อมสําหรับการโจมตีครั้งต่อไป.
Portuguese (Brazil) 
English 
Spanish 
German 
Chinese (Hong Kong) 
Russian 
Hindi 
French 
Italian 
Japanese 
Arabic 
Chinese (Taiwan) 
Bengali 
Bulgarian 
Czech 
Danish 
Greek 
Finnish 
Croatian 
Hungarian 
Indonesian 
Hebrew 
Korean 
Lithuanian 
Dutch 
Norwegian 
Norwegian 
Polish 
Portuguese (Angola) 
Portuguese (Portugal) 
Romanian 
Slovak 
Slovenian 
Swedish 
Thai 
Turkish 
Ukrainian 
Vietnamese