ฟอร์ติเน็ตชี้ การโจมตีทางไซเบอร์แบบอัตโนมัติ ทะลุสถิติ

ฟอร์ติเน็ต เผยรายงานภัยคุกคาม ชี้ การโจมตีทางไซเบอร์แบบอัตโนมัติ ทะลุสถิติ ทยานสูงเป็นประวัติการณ์ ผู้โจมตีใช้ AI และเทคนิคใหม่ล่าสุดเป็นเครื่องมือ

วันที่ 5 พฤษภาคม 2568 ฟอร์ติเน็ต เปิดเผยข้อมูลในรายงานภัยคุกคามทางไซเบอร์ทั่วโลกล่าสุดประจำปี 2568 จาก FortiGuard Labs (2025 Global Threat Landscape Report from FortiGuard Labs) สรุปแนวโน้มและภาพรวมภัยคุกคามที่โจมตีอย่างจริงจังตั้งแต่ปี 2567 รวมถึงการวิเคราะห์ข้อมูลที่ครอบคลุมทุกกลเม็ดที่แฮกเกอร์นำมาใช้ในการโจมตีทางไซเบอร์ ตามที่ระบุอยู่ในเฟรมเวิร์ก MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) จากข้อมูลพบว่า ผู้คุกคามทางไซเบอร์ใช้ประโยชน์จากระบบอัตโนมัติมากขึ้น รวมถึงเครื่องมือที่หาซื้อได้ทั่วไป และยังใช้ AI ในการบ่อนทำลายการป้องกันแบบดั้งเดิมทีละขั้นตอนอย่างเป็นระบบ

เดเรค แมนคีย์ ประธานฝ่ายกลยุทธ์ด้านความปลอดภัย และรองประธานอาวุโสฝ่ายข่าวกรองภัยคุกคามระดับโลก ของ Fortinet FortiGuard Labs กล่าวว่า รายงานภาพรวมภัยคุกคามทั่วโลกล่าสุดของเราแสดงให้เห็นชัดเจนว่า อาชญากรทางไซเบอร์กำลังเร่งเครื่องการโจมตี โดยนำเทคโนโลยี AI และระบบอัตโนมัติ มาใช้ในการโจมตีด้วยความเร็ว พร้อมขยายขอบเขตการโจมตีอย่างที่ไม่เกิดขึ้นมาก่อน ทำให้แนวทางการรักษาความปลอดภัยแบบเดิมไม่เพียงพออีกต่อไป องค์กรต่างๆ ต้องปรับตัวสู่การป้องกันเชิงรุก ที่อาศัยกลยุทธ์ด้านข้อมูลข่าวกรองที่ฉลาดทันการณ์ ขับเคลื่อนด้วยขุมพลังของ AI รวมถึงแนวทาง Zero Trust และการบริหารความเสี่ยงจากภัยคุกคามอย่างต่อเนื่อง มาช่วยรับมือกับภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็วในปัจจุบัน”

ประเด็นสำคัญจากรายงานภัยคุกคามทั่วโลกของ FortiGuard Labs ฉบับล่าสุด มีดังนี้

• การสแกนระบบอัตโนมัติ ได้รับความนิยมสูงสุดเป็นประวัติการณ์ เนื่องจากผู้โจมตีหันมาโจมตีด้วยขั้นตอนที่เร็วขึ้น (Shift Left) เพื่อค้นหาเป้าหมายที่เผยให้เห็นแต่เนิ่นๆ อาชญากรไซเบอร์นำเครื่องมือสแกนช่องโหว่แบบอัตโนมัติในระดับโลกมาใช้ประโยชน์ในการหาช่องโหว่ใหม่ๆ

โดยในปี 2024 การสแกนระบบอย่างจริงจังเพิ่มขึ้น 16.7% เมื่อเทียบกับปีก่อนหน้า เผยให้เห็นว่ามีการเก็บข้อมูลระบบโครงสร้างดิจิทัลที่มีการเปิดเผยต่อสาธารณะในจำนวนมหาศาล FortiGuard Labs ตรวจพบการสแกนหลายพันล้านครั้งต่อเดือน หรือเฉลี่ย 36,000 ครั้งต่อวินาที โดยมุ่งที่การตรวจสอบเพื่อระบุหาบริการที่มีการเปิดเผยต่อสาธารณะอย่าง SIP, RDP และโปรโตคอล OT/IoT เช่น Modbus TCP

• ตลาดมืดกลายเป็นแหล่งเข้าถึงชุดเครื่องมือเจาะระบบที่จัดมาเป็นอย่างดีเพื่อให้ใช้ง่าย ในปี 2024 ฟอรัมพูดคุยของอาชญากรไซเบอร์ได้กลายเป็นตลาดสำหรับการซื้อขายชุดเครื่องมือเจาะระบบ (Exploit Kits) ที่ครบวงจรมากยิ่งขึ้น โดยมีช่องโหว่ใหม่กว่า 40,000 รายการ ถูกเพิ่มเข้ามาในฐานข้อมูลด้านช่องโหว่ระดับชาติ (เพิ่มขึ้น 39% จากปี 2023)

นอกจากช่องโหว่แบบ Zero-day ที่มีการแลกเปลี่ยนบนดาร์กเว็บแล้ว ยังมีกลุ่มโบรกเกอร์คอยให้บริการเพื่อช่วยให้เข้าถึงระบบองค์กรในเบื้องต้น อย่าง บัญชีผู้ใช้ (20%) สิทธิ์เข้าถึง RDP (19%) หน้าแอดมินเพจ (13%) และโค้ดที่ฝังไว้ในเว็บเซิร์ฟเวอร์ หรือ Web Shells (12%) อีกด้วย ทั้งนี้ FortiGuard Labs ยังพบว่ามี ข้อมูลบันทึกเหตุการณ์ (Logs) ที่ได้จากระบบที่ถูกเจาะโดยมัลแวร์ขโมยข้อมูล (Infostealer Malware) เพิ่มขึ้นถึง 500% ในหนึ่งปีที่ผ่านมา รวมถึงบัญชีผู้ใช้กว่า 1.7 พันล้านรายการ ที่ถูกขโมยมาแชร์ในฟอรัมใต้ดิน

• การอาชญากรรมไซเบอร์โดยใช้ AI ขยายตัวอย่างรวดเร็ว ผู้คุกคามเริ่มใช้ AI มาช่วยสร้างอีเมลฟิชชิงที่สมจริง และหลบเลี่ยงระบบรักษาความปลอดภัยแบบดั้งเดิม ทำให้โจมตีได้มีประสิทธิภาพมากขึ้น

เครื่องมืออย่าง FraudGPT, BlackmailerV3 และ ElevenLabs ช่วยให้แคมเปญต่างๆ ที่สร้างเพื่อการโจมตีดูน่าเชื่อถือ ให้ประสิทธิภาพมากขึ้น อีกทั้งขยายวงในการโจมตีได้ง่าย โดยไม่มีข้อจำกัดทางจริยธรรมแบบเครื่องมือ AI ที่ใช้กันทั่วไป

• การโจมตีแบบมุ่งเป้าที่ภาคอุตสาหกรรมหลักมีความรุนแรงขึ้น ภาคอุตสาหกรรมหลัก เช่น ภาคการผลิต การแพทย์ และการเงิน ยังคงเผชิญกับการโจมตีแบบเฉพาะเจาะจงสูง

โดยในปี 2024 ภาคส่วนที่ถูกโจมตีมากที่สุด ได้แก่ การผลิต (17%) บริการทางธุรกิจ (11%) ก่อสร้าง (9%) และ ค้าปลีก (9%) กลุ่มที่อยู่เบื้องหลังการโจมตีเหล่านี้ รวมถึงกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลบางประเทศ และผู้ให้บริการ Ransomware-as-a-Service (RaaS) โดย สหรัฐอเมริกาได้รับผลกระทบมากที่สุด (61%) ตามด้วย สหราชอาณาจักร (6%) และ แคนาดา (5%)

• ความเสี่ยงด้านความปลอดภัยระบบคลาวด์ และ IoT พุ่งสูงขึ้น สภาพแวดล้อมคลาวด์ยังคงเป็นเป้าหมายหลัก โดยอาชญากรไซเบอร์มักใช้จุดอ่อนอย่าง พื้นที่จัดเก็บข้อมูลบนคลาวด์ที่เป็นระบบเปิด (Open Storage Buckets) บัญชีผู้ใช้ที่ได้รับสิทธิ์การเข้าถึงเกินความจำเป็น และการตั้งค่าระบบที่ผิดพลาด

ซึ่ง 70% ของเหตุการณ์ที่ตรวจพบ ผู้โจมตีเข้าถึงระบบผ่านการล็อกอินจากพื้นที่ที่ไม่เคยมีประวัติเข้าถึงมาก่อน ทำให้เห็นถึงความสำคัญของระบบป้องกันบนคลาวด์ และการตรวจสอบตัวตนผู้ใช้งาน

• บัญชีผู้ใช้คือ “สกุลเงิน” ในโลกอาชญากรรมไซเบอร์ ในปี 2024 อาชญากรไซเบอร์ ได้มีการแชร์ข้อมูลบัญชีที่ถูกเจาะมากกว่า 100 พันล้านรายการ ในฟอรัมใต้ดิน เพิ่มขึ้น 42% จากปีก่อนหน้า ส่วนใหญ่เป็น “รายชื่อที่มาเป็นชุดคอมโบ” (Combo Lists) ที่รวมชื่อผู้ใช้ รหัสผ่าน และอีเมล เพื่อใช้ในการโจมตีอัตโนมัติแบบ Credential Stuffing ที่เอาข้อมูลที่ได้ไปใช้ลองเข้าระบบอื่นๆ ในแบบอัตโนมัติ

กลุ่มอาชญากรไซเบอร์ที่เคลื่อนไหวมากที่สุดในช่วงนี้ ได้แก่ BestCombo, BloddyMery และ ValidMail ซึ่งช่วยให้ผู้โจมตีหน้าใหม่เข้าถึงแพ็กเกจเครื่องมือและข้อมูลบัญชีที่ตรวจสอบมาแล้วเหล่านี้ได้ง่ายขึ้น จนนำไปสู่การยึดบัญชีผู้ใช้ การฉ้อโกงทางการเงิน และทำให้การจารกรรมข้อมูลในองค์กรแพร่หลายมากขึ้น

สิ่งที่ CISO ควรพิจารณา คือ การเสริมแกร่งการป้องกันทางไซเบอร์เพื่อรับมือกับภัยคุกคามที่มาใหม่

รายงานภาพรวมภัยคุกคามทั่วโลกของฟอร์ติเน็ต (Global Threat Landscape Report) นำเสนอรายละเอียดเชิงลึกเกี่ยวกับกลยุทธ์และเทคนิคการโจมตีล่าสุด พร้อมด้วยคำแนะนำที่นำไปปฏิบัติได้จริง รายงานนี้ออกแบบมาเพื่อเสริมศักยภาพให้กับ CISO และทีมรักษาความปลอดภัย โดยนำเสนอแนวทางในการรับมือกับผู้ประสงค์ร้ายก่อนที่จะลงมือโจมตี ช่วยให้องค์กรสามารถอยู่เหนือภัยคุกคามทางไซเบอร์รูปแบบใหม่ได้

รายงานในปีนี้ยังรวมถึง "คู่มือป้องกันภัยคุกคามสำหรับ CISO" ซึ่งเน้นประเด็นเชิงกลยุทธ์ที่มุ่งเน้นในเรื่องต่อไปนี้

• การเปลี่ยนจากการตรวจจับภัยคุกคามแบบเดิมๆ มาเป็นการบริหารจัดการความเสี่ยงจากภัยคุกคามอย่างต่อเนื่อง แนวทางเชิงรุกนี้ เน้นการจัดการช่องทางการโจมตีอย่างต่อเนื่อง ด้วยการจำลองพฤติกรรมของผู้ประสงค์ร้ายในสถานการณ์จริง จัดลำดับความสำคัญของการแก้ไขตามความเสี่ยง รวมถึงใช้ระบบอัตโนมัติในการตรวจจับและตอบสนองต่อภัยคุกคาม ซึ่งการใช้เครื่องมือ Breach and Attack Simulation (BAS) เพื่อประเมินการป้องกันของอุปกรณ์ปลายทาง เครือข่าย และระบบคลาวด์ เป็นประจำโดยเทียบกับการโจมตีในสถานการณ์จริง จะช่วยให้มั่นใจว่าสามารถรับมือกับความเคลื่อนไหวในการโจมตีได้อย่างมีประสิทธิภาพ
• จำลองการโจมตีในสถานการณ์จริง ฝึกซ้อมการจำลองการโจมตีของผู้ประสงค์ร้าย การทดสอบด้วยการจำลองการโจมตีร่วมกันทั้งในบทของผู้โจมตีและผู้ป้องกัน (Red and Purple Teaming) และใช้เฟรมเวิร์ก MITRE ATT&CK เพื่อทดสอบการป้องกันภัยคุกคาม เช่น แรนซัมแวร์และแคมเปญการก่อจารกรรม
• ลดช่องทางการโจมตี ใช้เครื่องมือ Attack Surface Management (ASM) เพื่อตรวจจับทรัพย์สินที่ถูกเปิดเผยต่อสาธารณะ รวมถึงข้อมูลส่วนตัวที่รั่วไหล และช่องโหว่ที่สามารถโจมตีได้ พร้อมทั้งตรวจสอบฟอรัมพูดคุยในตลาดมืดอย่างต่อเนื่องเพื่อหาภัยคุกคามที่กำลังเกิดขึ้น
• จัดลำดับความสำคัญของช่องโหว่ที่มีความเสี่ยงสูง มุ่งเน้นที่การแก้ไขช่องโหว่ที่กลุ่มอาชญากรไซเบอร์กำลังพูดถึงอย่างจริงจัง โดยใช้กรอบการจัดลำดับความสำคัญตามความเสี่ยง เช่น EPSS และ CVSS เพื่อการจัดการแพตช์ที่มีประสิทธิภาพ
• ใช้ประโยชน์จากข่าวกรองในตลาดมืด ตรวจสอบตลาดมืดเพื่อหาบริการแรนซัมแวร์ที่กำลังเกิดขึ้น และตามติดความเคลื่อนไหวในการร่วมมือกันระหว่าง Hacktivist เพื่อป้องกันและลดผลกระทบของภัยคุกคาม เช่น การโจมตีแบบ DDoS และการโจมตีด้วยการเปลี่ยนหน้าเว็บไซต์ (Web Defacement)

อ่านข่าวที่เกี่ยวข้องกับ แวดวงเทคโนโลยี ทั่วโลก ได้ที่นี่