เศรษฐกิจของการขู่กรรโชก

สัญญาณไซเบอร์ฉบับที่ 2: โมเดลธุรกิจใหม่ของแรนซัมแวร์

แม้ว่าแรนซัมแวร์จะยังคงเป็นหัวข้อที่น่าสนใจ แต่ในที่สุดก็มีระบบนิเวศของผู้เล่นที่เชื่อมโยงกันและค่อนข้างเล็กที่ขับเคลื่อนภาคส่วนเศรษฐกิจของอาชญากรรมไซเบอร์ ความเชี่ยวชาญและการรวมตัวกันของเศรษฐกิจสำหรับอาชญากรรมไซเบอร์ได้กระตุ้นให้แรนซัมแวร์เป็นบริการ (RaaS) กลายเป็นโมเดลธุรกิจที่โดดเด่น ซึ่งทำให้อาชญากรในวงกว้างสามารถปรับใช้แรนซัมแวร์ได้ โดยไม่คำนึงถึงความเชี่ยวชาญทางเทคนิคของพวกเขา

การโจมตีด้วยแรนซัมแวร์มากกว่า 80 เปอร์เซ็นต์สามารถตรวจสอบได้จากข้อผิดพลาดในการกำหนดค่าทั่วไปในซอฟต์แวร์และอุปกรณ์¹

ดูการสรุปทางดิจิทัลของสัญญาณไซเบอร์ที่ Vasu Jakkal รองประธานผู้บริหารของ Microsoft Security สัมภาษณ์ผู้เชี่ยวชาญด้านข่าวกรองภัยคุกคามไซเบอร์ชั้นนำเกี่ยวกับเศรษฐกิจแรนซัมแวร์ และวิธีที่องค์กรต่างๆ สามารถช่วยปกป้องตนเองได้

การสรุปทางดิจิทัล: การปกป้องตนเองจากเศรษฐกิจของแรนซัมแวร์

โมเดลธุรกิจใหม่นำเสนอข้อมูลเชิงลึกใหม่สำหรับผู้ป้องกัน

เช่นเดียวกับที่อุตสาหกรรมจำนวนมากเปลี่ยนมาใช้แรงงานชั่วคราวเพื่อประสิทธิภาพ อาชญากรไซเบอร์ก็เช่าหรือขายเครื่องมือแรนซัมแวร์เพื่อผลกำไรส่วนหนึ่ง แทนที่จะทำการโจมตีด้วยตนเอง

แรนซัมแวร์เป็นบริการทำให้อาชญากรไซเบอร์สามารถซื้อการเข้าถึงส่วนข้อมูลของแรนซัมแวร์และการรั่วไหลของข้อมูล รวมถึงโครงสร้างพื้นฐานการชำระเงิน ในความเป็นจริง “แก๊ง” แรนซัมแวร์คือโปรแกรม RaaS เช่น Conti หรือ REvil ซึ่งผู้ดำเนินการต่างๆ จำนวนมากใช้และสลับระหว่างส่วนข้อมูลและโปรแกรม RaaS

RaaS ลดอุปสรรคในการเข้าถึง และปกปิดข้อมูลประจำตัวของผู้โจมตีที่อยู่เบื้องหลังการเรียกค่าไถ่ บางโปรแกรมมี "บริษัทในเครือ" มากกว่า 50 แห่ง เนื่องจากพวกเขาอ้างถึงผู้ใช้บริการของตน โดยมีเครื่องมือ การหาข่าวทางลับ และวัตถุประสงค์ที่แตกต่างกัน เช่นเดียวกันกับใครก็ตามที่มีรถยนต์ก็สามารถขับรถสำหรับบริการแชร์รถได้ ทุกคนที่มีแล็ปท็อปและบัตรเครดิตที่เต็มใจค้นหาใน Dark Web สำหรับเครื่องมือการทดสอบการเจาะระบบหรือมัลแวร์ที่พร้อมใช้งานก็สามารถเข้าร่วมเศรษฐกิจนี้ได้

การทำให้อาชญากรรมไซเบอร์เป็นอุตสาหกรรมนี้ได้สร้างบทบาทพิเศษ เช่น นายหน้าการเข้าถึงที่ขายการเข้าถึงเครือข่าย การโจมตีเพียงครั้งเดียวมักเกี่ยวข้องกับอาชญากรไซเบอร์หลายรายในขั้นตอนต่างๆ ของการบุกรุก

ชุด RaaS หาได้ง่ายใน Dark Web และมีการโฆษณาในลักษณะเดียวกันกับที่โฆษณาสินค้าในอินเทอร์เน็ต

ชุด RaaS อาจรวมถึงการสนับสนุนส่วนบริการลูกค้า ข้อเสนอแบบรวม รีวิวของผู้ใช้ ฟอรัม และฟีเจอร์อื่นๆ อาชญากรไซเบอร์สามารถจ่ายราคาที่กำหนดสำหรับชุด RaaS ในขณะที่กลุ่มอื่นๆ ที่ขาย RaaS ภายใต้โมเดลบริษัทในเครือจะได้รับเปอร์เซ็นต์จากกำไร

การโจมตีด้วยแรนซัมแวร์เกี่ยวข้องกับการตัดสินใจตามการกำหนดค่าเครือข่าย และแตกต่างกันไปสำหรับเหยื่อแต่ละราย แม้ว่าส่วนข้อมูลของแรนซัมแวร์จะเหมือนกันก็ตาม เมื่อแรนซัมแวร์สิ้นสุดการโจมตี อาจมีการลักลอบถ่ายโอนข้อมูลและผลกระทบอื่นๆ เนื่องจากธรรมชาติของเศรษฐกิจสำหรับอาชญากรไซเบอร์ที่เชื่อมโยงถึงกัน การบุกรุกที่ดูเหมือนจะไม่เกี่ยวข้องกันอาจเกี่ยวข้องกันก็ได้ มัลแวร์ Infostealer ที่ขโมยรหัสผ่านและคุกกี้จะได้รับการจัดการที่มีความเข้มงวดน้อยลง แต่อาชญากรไซเบอร์ขายรหัสผ่านเหล่านี้เพื่อให้สามารถโจมตีแบบอื่นๆ ได้

การโจมตีเหล่านี้เป็นไปตามรูปแบบการเข้าถึงเบื้องต้นผ่านการติดมัลแวร์ หรือการใช้ประโยชน์จากช่องโหว่ จากนั้นจึงมีการโจรกรรมข้อมูลประจำตัวเพื่อยกระดับสิทธิ์และย้ายไปด้านข้าง การทำให้เป็นอุตสาหกรรมทำให้ผู้โจมตีสามารถโจมตีด้วยแรนซัมแวร์ที่ทรงพลังและมีประสิทธิภาพ โดยไม่ต้องมีทักษะขั้นสูงหรือซับซ้อน นับตั้งแต่การปิดตัวของ Conti เราได้สังเกตเห็นการเปลี่ยนแปลงในภูมิทัศน์ของแรนซัมแวร์ บริษัทในเครือบางแห่งที่ใช้งาน Conti ได้ย้ายไปที่ส่วนข้อมูลจากระบบนิเวศ RaaS ที่ก่อตั้งขึ้น เช่น LockBit และ Hive ในขณะที่บริษัทอื่นๆ ใช้งานส่วนข้อมูลจากระบบนิเวศ RaaS หลายระบบไปพร้อมๆ กัน

RaaS ใหม่ เช่น QuantumLocker และ Black Basta กำลังเติมเต็มช่องว่างที่เหลือจากการปิดตัวของ Conti เนื่องจากการครอบคลุมของแรนซัมแวร์ส่วนใหญ่มุ่งเน้นไปที่ส่วนข้อมูลแทนที่จะเป็นผู้ดำเนินการ การเปลี่ยนส่วนข้อมูลนี้จึงมีแนวโน้มที่จะสร้างความสับสนให้กับรัฐบาล การบังคับใช้กฎหมาย สื่อ นักวิจัยด้านความปลอดภัย และผู้ป้องกันว่าใครอยู่เบื้องหลังการโจมตี

การรายงานเกี่ยวกับแรนซัมแวร์อาจดูเหมือนเป็นปัญหาการปรับขนาดที่ไม่สิ้นสุด แต่ความจริงก็คือกลุ่มผู้ดำเนินการจำนวนจำกัดที่ใช้ชุดเทคนิค

คำแนะนำ:

สร้างสุขลักษณะข้อมูลประจำตัว: พัฒนาการแบ่งส่วนเครือข่ายแบบลอจิคัลตามสิทธิ์ที่สามารถนำไปใช้ควบคู่ไปกับการแบ่งส่วนเครือข่ายเพื่อจำกัดการเคลื่อนไหวด้านข้าง
ตรวจสอบการเปิดเผยข้อมูลประจำตัว: การตรวจสอบการเปิดเผยข้อมูลประจำตัวเป็นสิ่งสำคัญในการป้องกันการโจมตีของแรนซัมแวร์และอาชญากรรมไซเบอร์โดยทั่วไป ทีมรักษาความปลอดภัยด้านไอทีและ SOC สามารถทำงานร่วมกันเพื่อลดสิทธิ์ของผู้ดูแลระบบและทำความเข้าใจระดับที่ข้อมูลประจำตัวของพวกเขาถูกเปิดเผย
ลดพื้นหน้าของการโจมตี: สร้างกฎการลดพื้นหน้าของการโจมตีเพื่อป้องกันเทคนิคการโจมตีทั่วไปที่ใช้ในการโจมตีด้วยแรนซัมแวร์ ในการโจมตีที่พบจากกลุ่มกิจกรรมที่เกี่ยวข้องกับแรนซัมแวร์หลายกลุ่ม องค์กรที่มีกฎที่กำหนดไว้อย่างชัดเจนสามารถบรรเทาการโจมตีในระยะเริ่มแรกได้ ในขณะเดียวกันก็ป้องกันกิจกรรมการใช้คีย์บอร์ดด้วยมือ

อาชญากรไซเบอร์เพิ่มการขู่กรรโชกเป็นสองเท่าในกลยุทธ์การโจมตี

แรนซัมแวร์มีอยู่เพื่อขู่กรรโชกการชำระเงินจากเหยื่อ โปรแกรม RaaS ในปัจจุบันส่วนใหญ่ยังทำให้ข้อมูลที่ถูกขโมยรั่วไหล ซึ่งเรียกว่าการขู่กรรโชกซ้ำซ้อน เนื่องจากการหยุดทำงานทำให้เกิดผลกระทบที่รุนแรงและการหยุดชะงักของรัฐบาลต่อผู้ให้บริการแรนซัมแวร์เพิ่มมากขึ้น บางกลุ่มจึงละทิ้งแรนซัมแวร์และดำเนินการขู่กรรโชกข้อมูล

กลุ่มที่มุ่งเน้นการขู่กรรโชกสองกลุ่มคือ DEV-0537 (หรือที่เรียกว่า LAPSUS$) และ DEV-0390 (อดีตบริษัทในเครือของ Conti) การบุกรุกของ DEV-0390 เริ่มต้นจากมัลแวร์ แต่ใช้เครื่องมือที่ถูกต้องตามกฎหมายเพื่อลักลอบถ่ายโอนข้อมูลและขู่กรรโชกการชำระเงิน พวกเขาใช้เครื่องมือทดสอบการเจาะระบบ เช่น Cobalt Strike, Brute Ratel C4 และยูทิลิตีการจัดการระยะไกล Atera ที่ถูกกฎหมายเพื่อคงการเข้าถึงเหยื่อ DEV-0390 จะเลื่อนระดับสิทธิ์โดยการขโมยข้อมูลประจำตัว ค้นหาข้อมูลที่ละเอียดอ่อน (มักอยู่ในเซิร์ฟเวอร์การสำรองข้อมูลและไฟล์ขององค์กร) และส่งข้อมูลไปยังไซต์แชร์ไฟล์ในคลาวด์โดยใช้ยูทิลิตีการสำรองข้อมูลไฟล์

DEV-0537 ใช้กลยุทธ์และการหาข่าวทางลับที่แตกต่างกันมาก การเข้าถึงเบื้องต้นทำได้โดยการซื้อข้อมูลประจำตัวของอาชญากรใต้ดินหรือจากพนักงานในองค์กรเป้าหมาย

ปัญหา

รหัสผ่านที่ถูกขโมยและข้อมูลระบุตัวตนที่ไม่มีการป้องกัน
นอกเหนือจากมัลแวร์ ผู้โจมตีต้องมีข้อมูลประจำตัวจึงจะประสบความสำเร็จ ในการปรับใช้แรนซัมแวร์ที่ประสบความสำเร็จเกือบทั้งหมด ผู้โจมตีจะได้รับการเข้าถึงบัญชีระดับผู้ดูแลระบบที่มีสิทธิ์พิเศษที่ให้การเข้าถึงเครือข่ายขององค์กรในวงกว้าง
ผลิตภัณฑ์รักษาความปลอดภัยหายไปหรือปิดใช้งาน
ในเกือบทุกเหตุการณ์ของแรนซัมแวร์ที่พบ อย่างน้อยหนึ่งระบบที่ถูกโจมตีนั้นไม่มีผลิตภัณฑ์รักษาความปลอดภัยหรือมีการกำหนดค่าอย่างไม่ถูกต้อง ซึ่งทำให้ผู้บุกรุกสามารถแก้ไขข้อมูลโดยประสงค์ร้ายหรือปิดการใช้งานการป้องกันบางอย่างได้
แอปพลิเคชันที่กำหนดค่าไม่ถูกต้องหรือใช้ในทางที่ผิด
คุณอาจใช้แอปยอดนิยมเพื่อจุดประสงค์เดียว แต่นั่นไม่ได้หมายความว่าอาชญากรไม่สามารถใช้แอปดังกล่าวเพื่อเป้าหมายอื่นได้ บ่อยครั้งที่การกำหนดค่า "แบบดั้งเดิม" หมายความว่าแอปอยู่ในสถานะเริ่มต้น ซึ่งทำให้ผู้ใช้ทุกคนสามารถเข้าถึงทั่วทั้งองค์กรได้ อย่ามองข้ามความเสี่ยงนี้หรือลังเลที่จะเปลี่ยนการตั้งค่าแอปเพราะกลัวว่าจะเกิดการหยุดชะงัก
การปะซ่อมที่ช้า
เรื่องนี้เป็นความคิดโบราณ เช่น "กินผักของคุณ!" – แต่มันเป็นข้อเท็จจริงที่สำคัญ: วิธีที่ดีที่สุดในการทำให้ซอฟต์แวร์แข็งแกร่งขึ้นคือการอัปเดตอยู่เสมอ แม้ว่าแอปในระบบ Cloud บางแอปจะอัปเดตโดยไม่มีการดำเนินการใดๆ จากผู้ใช้ แต่บริษัทต่างๆ จะต้องปรับใช้การปะซ่อมของผู้จำหน่ายรายอื่นๆ ทันที ในปี 2022 Microsoft พบว่าช่องโหว่ที่เก่ากว่ายังคงเป็นตัวขับเคลื่อนหลักในการโจมตี
รหัสผ่านที่ถูกขโมยและข้อมูลระบุตัวตนที่ไม่มีการป้องกัน
นอกเหนือจากมัลแวร์ ผู้โจมตีต้องมีข้อมูลประจำตัวจึงจะประสบความสำเร็จ ในการปรับใช้แรนซัมแวร์ที่ประสบความสำเร็จเกือบทั้งหมด ผู้โจมตีจะได้รับการเข้าถึงบัญชีระดับผู้ดูแลระบบที่มีสิทธิ์พิเศษที่ให้การเข้าถึงเครือข่ายขององค์กรในวงกว้าง
ผลิตภัณฑ์รักษาความปลอดภัยหายไปหรือปิดใช้งาน
ในเกือบทุกเหตุการณ์ของแรนซัมแวร์ที่พบ อย่างน้อยหนึ่งระบบที่ถูกโจมตีนั้นไม่มีผลิตภัณฑ์รักษาความปลอดภัยหรือมีการกำหนดค่าอย่างไม่ถูกต้อง ซึ่งทำให้ผู้บุกรุกสามารถแก้ไขข้อมูลโดยประสงค์ร้ายหรือปิดการใช้งานการป้องกันบางอย่างได้
แอปพลิเคชันที่กำหนดค่าไม่ถูกต้องหรือใช้ในทางที่ผิด
คุณอาจใช้แอปยอดนิยมเพื่อจุดประสงค์เดียว แต่นั่นไม่ได้หมายความว่าอาชญากรไม่สามารถใช้แอปดังกล่าวเพื่อเป้าหมายอื่นได้ บ่อยครั้งที่การกำหนดค่า "แบบดั้งเดิม" หมายความว่าแอปอยู่ในสถานะเริ่มต้น ซึ่งทำให้ผู้ใช้ทุกคนสามารถเข้าถึงทั่วทั้งองค์กรได้ อย่ามองข้ามความเสี่ยงนี้หรือลังเลที่จะเปลี่ยนการตั้งค่าแอปเพราะกลัวว่าจะเกิดการหยุดชะงัก
การปะซ่อมที่ช้า
เรื่องนี้เป็นความคิดโบราณ เช่น "กินผักของคุณ!" – แต่มันเป็นข้อเท็จจริงที่สำคัญ: วิธีที่ดีที่สุดในการทำให้ซอฟต์แวร์แข็งแกร่งขึ้นคือการอัปเดตอยู่เสมอ แม้ว่าแอปในระบบ Cloud บางแอปจะอัปเดตโดยไม่มีการดำเนินการใดๆ จากผู้ใช้ แต่บริษัทต่างๆ จะต้องปรับใช้การปะซ่อมของผู้จำหน่ายรายอื่นๆ ทันที ในปี 2022 Microsoft พบว่าช่องโหว่ที่เก่ากว่ายังคงเป็นตัวขับเคลื่อนหลักในการโจมตี

การดำเนินการ

การรับรองความถูกต้องข้อมูลประจำตัว บังคับใช้การรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) ในทุกบัญชี จัดลำดับความสำคัญของผู้ดูแลระบบและบทบาทที่ละเอียดอ่อนอื่นๆ ด้วยบุคลากรแบบไฮบริดที่กำหนดให้ต้องมี MFA บนอุปกรณ์ทั้งหมดในทุกสถานที่ตลอดเวลา เปิดใช้งานการรับรองความถูกต้องแบบไร้รหัสผ่าน เช่น คีย์ FIDO หรือ Microsoft Authenticator สำหรับแอปที่สนับสนุน
จัดการปัญหาจุดบอดด้านความปลอดภัย
เช่นเดียวกับเครื่องตรวจจับควัน ผลิตภัณฑ์รักษาความปลอดภัยจะต้องได้รับการติดตั้งในพื้นที่ที่ถูกต้องและมีการทดสอบบ่อยครั้ง ตรวจสอบว่าเครื่องมือรักษาความปลอดภัยทำงานในการกำหนดค่าที่ปลอดภัยที่สุด และไม่มีส่วนใดของเครือข่ายที่ไม่ได้รับการป้องกัน
เสริมสร้างความแข็งแกร่งให้กับอินเทอร์เน็ตที่ต้องเผชิญกับเนื้อหา
พิจารณาลบแอปที่ซ้ำกันหรือไม่ได้ใช้เพื่อกำจัดบริการที่มีความเสี่ยงและไม่ได้ใช้งาน คำนึงถึงตำแหน่งที่คุณอนุญาตให้ใช้แอปโปรแกรมช่วยเหลือระยะไกล เช่น TeamViewer สิ่งเหล่านี้ตกเป็นเป้าหมายของผู้คุกคามอย่างมากเพื่อรับการเข้าถึงแล็ปท็อปแบบด่วน
อัปเดตระบบอยู่เสมอ
กำหนดให้คลังข้อมูลซอฟต์แวร์เป็นกระบวนการต่อเนื่อง ติดตามสิ่งที่คุณกำลังดำเนินการและจัดลำดับความสำคัญการสนับสนุนสำหรับผลิตภัณฑ์เหล่านี้ ใช้ความสามารถของคุณในการปะซ่อมอย่างรวดเร็วและสรุปเพื่อประเมินว่าการเปลี่ยนไปใช้บริการระบบ Cloud จะเป็นประโยชน์หรือไม่

ด้วยการทำความเข้าใจถึงธรรมชาติที่เชื่อมโยงถึงกันของข้อมูลประจำตัวและความสัมพันธ์ที่ไว้วางใจในระบบนิเวศของเทคโนโลยีสมัยใหม่ พวกเขากำหนดเป้าหมายโทรคมนาคม เทคโนโลยี บริการไอที และบริษัทที่ให้การสนับสุนนเพื่อใช้ประโยชน์จากการเข้าถึงจากองค์กรเดียวเพื่อรับการเข้าถึงเครือข่ายพันธมิตรหรือผู้จัดหา การโจมตีแบบขู่กรรโชกเท่านั้นแสดงให้เห็นว่าผู้ปกป้องเครือข่ายต้องมองข้ามแรนซัมแวร์ระยะสุดท้าย และจับตาดูการลักลอบถ่ายโอนข้อมูลและการเคลื่อนไหวด้านข้างอย่างใกล้ชิด

หากผู้ดำเนินการภัยคุกคามวางแผนที่จะขู่กรรโชกองค์กรเพื่อให้เก็บข้อมูลของตนไว้เป็นส่วนตัว ส่วนข้อมูลแรนซัมแวร์เป็นส่วนที่มีนัยสำคัญน้อยที่สุดและมีคุณค่าน้อยที่สุดในกลยุทธ์การโจมตี ท้ายที่สุดแล้ว ผู้ดำเนินการจะเป็นผู้ที่เลือกว่าจะปรับใช้สิ่งใด และแรนซัมแวร์ก็ไม่ใช่สิ่งตอบแทนมหาศาลที่ผู้ดำเนินการภัยคุกคามทุกรายต้องการเสมอไป

แม้ว่าแรนซัมแวร์หรือการขู่กรรโชกซ้ำซ้อนอาจดูเหมือนเป็นผลลัพธ์ที่หลีกเลี่ยงไม่ได้จากการโจมตีของผู้โจมตีที่ซับซ้อน แต่แรนซัมแวร์ถือเป็นหายนะที่หลีกเลี่ยงได้ การพึ่งพาจุดอ่อนด้านความปลอดภัยโดยผู้โจมตีหมายความว่าการลงทุนด้านสุขลักษณะทางไซเบอร์นั้นช่วยได้มาก

การมองเห็นที่เป็นเอกลักษณ์ของ Microsoft ช่วยให้เราเห็นภาพรวมของกิจกรรมของผู้ดำเนินการภัยคุกคาม แทนที่จะพึ่งพาโพสต์ในฟอรัมหรือการรั่วไหลของการแชท ทีมผู้เชี่ยวชาญด้านความปลอดภัยของเราศึกษากลยุทธ์แรนซัมแวร์ใหม่ๆ และพัฒนาข่าวกรองเกี่ยวกับภัยคุกคามที่แจ้งโซลูชันด้านความปลอดภัยของเรา

การป้องกันภัยคุกคามแบบรวมในอุปกรณ์ ข้อมูลประจำตัว แอป อีเมล ข้อมูล และระบบคลาวด์ช่วยให้เราระบุการโจมตีที่อาจเรียกได้ว่าเป็นผู้ดำเนินการหลายคนได้ ทั้งที่จริงแล้วการโจมตีเหล่านั้นเป็นอาชญากรไซเบอร์ชุดเดียว หน่วยอาชญากรรมดิจิทัลของเราที่ประกอบด้วยผู้เชี่ยวชาญด้านเทคนิค กฎหมาย และธุรกิจยังคงทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายเพื่อขัดขวางอาชญากรรมไซเบอร์

คำแนะนำ:

เสริมสร้างความแข็งแกร่งให้กับระบบคลาวด์: เมื่อผู้โจมตีมุ่งสู่ทรัพยากรในระบบคลาวด์ สิ่งสำคัญคือต้องรักษาความปลอดภัยของทรัพยากรและข้อมูลประจำตัวเหล่านี้ตลอดจนบัญชีในองค์กร ทีมรักษาความปลอดภัยควรมุ่งเน้นไปที่การเสริมความแข็งแกร่งให้กับโครงสร้างพื้นฐานของข้อมูลประจำตัวด้านความปลอดภัย การบังคับใช้การรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) ในทุกบัญชี และการปฏิบัติต่อผู้ดูแลระบบคลาวด์/ผู้ดูแลระบบผู้เช่าด้วยการรักษาความปลอดภัยและสุขลักษณะข้อมูลประจำตัวในระดับเดียวกับผู้ดูแลระบบโดเมน

ป้องกันการเข้าถึงครั้งแรก: ป้องกันการเรียกใช้โค้ดโดยการจัดการมาโครและสคริปต์ และเปิดใช้งานกฎการลดพื้นหน้าของการโจมตี

ปิดจุดบอดด้านความปลอดภัย: องค์กรควรตรวจสอบว่าเครื่องมือรักษาความปลอดภัยของตนทำงานในการกำหนดค่าที่เหมาะสมที่สุด และทำการสแกนเครือข่ายเป็นประจำเพื่อให้แน่ใจว่าผลิตภัณฑ์รักษาความปลอดภัยปกป้องทุกระบบ

Microsoft มีคำแนะนำเชิงลึกอยู่ที่ https://go.microsoft.com/fwlink/?linkid=2262350

รับฟังจาก Emily Hacker นักวิเคราะห์ข่าวกรองเกี่ยวกับภัยคุกคามเกี่ยวกับวิธีที่ทีมของเธอติดตามภูมิทัศน์แรนซัมแวร์เป็นบริการที่เปลี่ยนแปลงไป

หน่วยอาชญากรรมดิจิทัล (DCU) ของ Microsoft:
กำกับดูแลการลบ URL ฟิชชิ่งที่ไม่ซ้ำกันมากกว่า 531,000 รายการและชุดฟิชชิ่ง 5,400 ชุดระหว่างเดือนกรกฎาคม 2021 ถึงมิถุนายน 2022 ซึ่งนำไปสู่การระบุและการปิดบัญชีอีเมลที่เป็นอันตรายมากกว่า 1,400 บัญชีที่ใช้ในการรวบรวมข้อมูลประจำตัวของลูกค้าที่ถูกขโมย¹

ภัยคุกคามทางอีเมล:
เวลาเฉลี่ยสำหรับผู้โจมตีในการเข้าถึงข้อมูลส่วนตัวของคุณ หากคุณตกเป็นเหยื่อของอีเมลฟิชชิ่งคือหนึ่งชั่วโมง 12 นาที¹

ภัยคุกคามอุปกรณ์ปลายทาง:
เวลาเฉลี่ยสำหรับผู้โจมตีที่จะเริ่มเคลื่อนไหวด้านข้างภายในเครือข่ายองค์กรของคุณ หากอุปกรณ์ถูกบุกรุกคือหนึ่งชั่วโมง 42 นาที¹

[1]

ระเบียบวิธี: สำหรับข้อมูลสแน็ปช็อต แพลตฟอร์มของ Microsoft รวมถึง Defender และ Azure Active Directory และ Digital Crimes Unit ของเราได้ให้ข้อมูลที่ไม่ระบุชื่อเกี่ยวกับกิจกรรมภัยคุกคาม เช่น บัญชีอีเมลที่เป็นอันตราย อีเมลฟิชชิ่ง และการเคลื่อนไหวของผู้โจมตีภายในเครือข่าย ข้อมูลเชิงลึกเพิ่มเติมมาจากสัญญาณด้านความปลอดภัย 43 ล้านล้านรายการที่ได้รับจาก Microsoft ในแต่ละวัน รวมถึงระบบคลาวด์ ปลายทาง การวิเคราะห์ข้อมูลอัจฉริยะ และแนวทางปฏิบัติในการกู้คืนความปลอดภัยที่มีช่องโหว่และทีมการตรวจหาและการตอบสนองของเรา