สรุปเนื้อหาจากงาน Blognone Quest for Modern Security ตอนที่สอง (ตอนที่หนึ่ง) โดยเป็นการบรรยายของคุณคงศักดิ์ ก่อตระกูล Technical Services Senior Manager จาก Trend Micro

หัวข้อการบรรยายของคุณคงศักดิ์เป็นการแนะนำ "แนวโน้ม" ของปัญหาภัยคุกคามด้านความปลอดภัยที่เปลี่ยนแปลงไปจากอดีตอย่างมากด้วยสภาพตลาดเทคโนโลยีที่เปลี่ยนไป เช่น Internet of Everything (IoE) มีอุปกรณ์ชนิดใหม่ๆ ที่เชื่อมต่อกับอินเทอร์เน็ตเยอะขึ้นมาก

แนวโน้มของภัยคุกคามรูปแบบต่างๆ มีดังนี้

1) การยืนยันตัวตนสองชั้น (two-step verification) เริ่มไม่สามารถป้องกันภัยคุกคามแบบ man-in-the-middle ได้

ปัญหา man-in-the-middle หรือ "คนที่มาดักข้อมูลตรงกลาง" ไม่ใช่เรื่องใหม่ แต่รูปแบบเริ่มเปลี่ยนแปลงตามพฤติกรรมของผู้ใช้อินเทอร์เน็ตที่เริ่มใช้ mobile banking และยืนยันตัวตนด้วย SMS/OTP

ปัญหาคือผู้บริโภคเข้าใจว่าการโอนเงินผ่านมือถือนั้น "ปลอดภัย" เพราะยืนยันตัวตนด้วย OTP แต่สิ่งที่เกิดขึ้นคือมัลแวร์ที่ดักจับ SMS OTP ที่ส่งมายังเครื่องเรา แล้วส่งต่อ SMS ไปยังเครื่องของแฮ็กเกอร์อีกทีหนึ่ง โดยที่ผู้บริโภคไม่รู้ตัวเลย ปัญหานี้มักพบใน Android เพราะกูเกิลมีกระบวนการตรวจสอบแอพที่ไม่เข้มงวดมากนัก

2) ปัญหาการโจมตีแบบเจาะจงเฉพาะจุดหรือเฉพาะองค์กร (targeted attack) เพิ่มมากขึ้น

ในอดีตการโจมตีเว็บไซต์ต่างๆ เป็นแบบหว่านหรือสุ่ม (เช่น สแกนพอร์ตเพื่อหาช่องโหว่) แต่ปัจจุบันรูปแบบการโจมตีเริ่มเปลี่ยนเป็นการสร้างไวรัสหรือมัลแวร์เพื่อเจาะองค์กรใดๆ เป็นพิเศษ โดยผู้โจมตีจะศึกษาระบบความปลอดภัยขององค์กรนั้นๆ ก่อนเพื่อปรับปรุงไวรัสให้มีประสิทธิภาพสูงขึ้น จากนั้นใช้วิธี social engineering หลอกผู้ใช้ให้ดาวน์โหลดมัลแวร์ด้วยวิธีการต่างๆ (เช่น ปลอมตัวเป็นไฟล์ PDF) เข้าไปขโมยข้อมูล ก่อนจะปิดฉากโดยการลบร่องรอย เช่น ลบ MBR ของวินโดวส์ทิ้ง

3) มัลแวร์เน้นเจาะแอพพลิเคชันแทนระบบปฏิบัติการ

แนวโน้มมัลแวร์ใหม่ๆ ไม่จ้องโจมตีระบบปฏิบัติการ เพราะไมโครซอฟท์ขยันออกแพตช์ แฮ็กเกอร์จึงพยายามหาช่องโหว่ผ่านแอพพลิเคชันที่ใช้บ่อยๆ (แต่ไม่ถูกจับตาเรื่องความปลอดภัยเท่ากับวินโดวส์ และออกแพตช์ไม่เร็วเท่ากับวินโดวส์) เช่น IE, Java, Adobe Flash/AIR, Firefox, Chrome, iTunes

แอพพลิเคชันเหล่านี้จะเจอช่องโหว่น้อยกว่าวินโดวส์ แต่ก็มีข้อเสียคือแพตช์ออกช้ากว่ามาก

4) ข่าวข้อมูลหลุดรั่วครั้งใหญ่ (major data breach) จะเกิดขึ้นเฉลี่ยเดือนละครั้ง

เหตุผลที่ข้อมูลหลุดเยอะเพราะข้อมูลขายได้ แต่ในวงการแฮ็กเกอร์เองก็เริ่มเจอปัญหาว่าราคาข้อมูลตกลงจากเดิม ทำให้แฮ็กเกอร์เริ่มพยายามทำ analytics ข้อมูลที่ขโมยมาได้เพื่อจับคู่ข้อมูลส่วนบุคคลของผู้ใช้คนหนึ่งๆ เข้าด้วยกัน จะได้สามารถปลอมแปลงตัวเป็นบุคคลนั้นได้ง่ายขึ้น

5) พบบั๊กความปลอดภัยเพิ่มขึ้นจาก Windows XP และ Java 6 หมดอายุ

ซอฟต์แวร์สำคัญของตลาดองค์กรคือ Java 6 หมดอายุในปี 2013 และตามด้วย Windows XP หมดอายุในปี 2014 แต่องค์กรยังใช้ซอฟต์แวร์พวกนี้อยู่มาก จึงมีความเสี่ยงด้านความปลอดภัยสูงมาก

อุปกรณ์สายเครื่อง ATM ใช้ Windows XP ส่วนใหญ่อยู่ในเครือข่ายปิดที่มีความปลอดภัยสูงกว่า แต่การคิดแบบนี้จะช่วยให้เราไม่ระมัดระวังเรื่องความปลอดภัยอย่างที่ควรจะเป็น นอกจากนี้ยังมีเครื่องจ่ายเงิน (POS), อุปกรณ์การแพทย์ และเครื่องจักรในโรงงาน ที่ได้รับผลกระทบจาก XP

6) เว็บใต้ดิน (Deep Web) ถูกใช้เป็นศูนย์กลางของอาชญากรรมไซเบอร์มากขึ้น

Deep Web หมายถึงเว็บใต้ดินที่ต้องรู้ URL หรือ IP เป๊ะๆ จึงจะเข้าได้ ตัวอย่างเว็บใต้ดินชื่อดังคือ Silk Road ที่ถูกปิดไป

แนวโน้มในปี 2014-2015 แฮ็กเกอร์จะใช้ Deep Web เป็นเครื่องมือในการก่ออาชญากรรมไซเบอร์มากขึ้น และทำให้ฝ่ายผู้รักษากฎหมายตามจับได้ยากกว่าเดิม

7) คนจะเริ่มไม่เชื่อใจในการติดตั้งระบบ MDM ขององค์กร

แนวโน้มเรื่อง BYOD นำอุปกรณ์ส่วนตัวมาใช้กับเครือข่ายในองค์กร เดิมทีองค์กรจำเป็นต้องติดตั้งระบบ Mobile Device Management เพื่อเพิ่มความปลอดภัยต่อมือถือของพนักงาน มีการกำหนดนโยบายความปลอดภัยมากขึ้น (เช่น ต้องมีรหัสล็อคเครื่องเพื่อต่อ Wi-Fi องค์กร)

สิ่งที่เกิดขึ้นในช่วงหลังคือพนักงานจะเริ่มไม่เชื่อใจระบบ MDM ขององค์กรที่รู้ข้อมูลทุกอย่างในมือถือส่วนตัวของตัวเอง และเริ่มเกิดความขัดแย้งระหว่าง security กับ privacy

8) จะเกิดไวรัสบน Internet of Everythings

ตอนนี้ยังไม่เกิดแต่น่าจะเกิดในอนาคต และส่งผลกระทบต่ออุปกรณ์กลุ่ม Internet of Everthing (IoE) ในวงกว้าง อุปกรณ์ที่มีความเสี่ยงสูงคืออุปกรณ์จ่ายเงินแบบ contactless (NFC) ที่วงการการเงินกำลังผลักดันให้เกิดขึ้นจริงมากขึ้นเรื่อยๆ เดิมทีใช้บัตรแตะ แต่ระยะหลังเริ่มใช้มือถือแตะได้ จึงมีโอกาสมีข้อมูลหลุดได้เยอะขึ้น