สรุปงานเสวนาเปิดโครงการจาก สกมช. ในหัวข้อ “สถานการณ์ภัยคุกคามทางไซเบอร์ในประเทศไทย และแนวทางในการตรวจจับ (Detection) พร้อมรับมือกับภัยคุกคามฯ (Response) ในสถานการณ์ปัจจุบัน”
ในประเด็นแรกได้มีการพูดถึง “โจรไซเบอร์” ในวันนี้จะโจมตีเป้าหมายโดยไม่ได้สนใจว่าจะเป็นองค์กรสำคัญหรือบริษัททั่วไป แต่เลือกโจมตีทุกจุดที่มีจุดอ่อน ซึ่งในวันนี้มีแฮกเกอร์มากถึง 4,000 บริษัท(เฉพาะที่ตรวจจับได้) ที่รับงานโจมตีองค์กรต่างๆ ทั่วโลก
และแฮกเกอร์ส่วนมากไม่ได้โจมตีเพื่อความสนุก แต่มุ่งเป้าการโจมตีไปที่ด้านการเงิน
สำหรับ Gen ล่าสุดของการโจมตี แฮกเกอร์จะทำการโจมตีเพื่อทดสอบระบบก่อนครั้งแรก เพื่อดูว่าองค์กรที่โจมตีไปนั้นมีความพร้อมรับมือขนาดไหน และคอยซุ่มรอดูวิธีแก้ไขว่าใช้วิธีการอย่างไร ก่อนทำการโจมตีในครั้งต่อไปให้หนักมากขึ้น ซึ่งบางครั้งการโจมตีครั้งที่ 2 ก็สร้างความเสียหายได้มากในระดับที่สูญเสียข้อมูลในระบบไปเลย
การใช้งานแรมซัมแวร์ (Ransomware) จะโจมตีไปหลายจุดพร้อมกัน และฝังตัวอยู่ในแต่ละขั้นตอนการทำงานของระบบ แต่องค์กรอาจจะตรวจจับได้เพียงบางจุด เพราะฉะนั้นหากจะรับมือกับแรมซัมแวร์ ต้องมองให้ออกทั้งกระบวนการทำงาน ซึ่งพื้นที่การโจมตีของแต่ละองค์กรไม่เท่ากันขึ้นอยู่กับขนาดขององค์กร และเราอาจจะเลือกปกป้องจุดสำคัญขององค์กร แต่กลับละเลยจุดที่ไม่คาดคิดจนเกิดรูรั่ว
การทำงานด้านการป้องกัน องค์กรต้องแยกเป็น Check Point เพื่อเรียงความสำคัญของการป้องกัน โดยเริ่มต้นจากอุปกรณ์ที่อยู่ข้างนอก เช่น Server หรือ Cloud ต่อมาเป็นช่องว่างที่นักพัฒนาต้องเชื่อมต่อระบบกับ Server และสุดท้ายคือการทำงานภายในองค์กร
การล่มของ Crowdstrike ไม่ได้หมายความองค์กรจะต้องเลิกใช้ระบบ (Endpoint Detection and Response) หรือ EDR แต่ทำให้กลับมาเตรียมความพร้อมรับมือเมื่อเกิดความผิดพลาดจากระบบ EDR
ทั้งนี้ข้อจำกัดของหลายๆ หน่วยงานในการรับมือภัยไซเบอร์คืองบประมาณ เพราะฉะนั้นหากจะลงทุน ต้องเลือกจุดที่เป็นคานงัดกับภัยคุกคามได้มากที่สุด หรือลงแรงน้อยที่สุดแต่ได้ผลดีที่สุด
–AI ที่ใครๆ ตื่นตัวว่าต้องมี แต่ 85% ของบริษัทไทยยังไม่ใช้กัน
