Microsoft Digital Defense Report 2022
ข้อมูลเชิงลึกจากสัญญาณความปลอดภัยนับล้านล้านรายการในแต่ละวัน
ข้อได้เปรียบที่ไม่ซ้ำใคร
เป้าหมายของ Microsoft Digital Defense Report ซึ่งขณะนี้อยู่ในปีที่สาม (ก่อนหน้านี้เรียกว่ารายงานข่าวกรองด้านความปลอดภัยของ Microsoft โดยมีรายงานมากกว่า 22 ฉบับที่เก็บถาวร) คือการอธิบายเกี่ยวกับภูมิทัศน์ภัยคุกคามทางดิจิทัลที่เปลี่ยนแปลงไปในประเด็นสำคัญสี่ประการที่มุ่งเน้น ได้แก่ อาชญากรรมไซเบอร์ ภัยคุกคามของรัฐชาติ โครงสร้างพื้นฐานของ & อุปกรณ์ และการดำเนินการแทรกแซงทางไซเบอร์พร้อมทั้งให้ข้อมูลเชิงลึกและคำแนะนำเกี่ยวกับวิธีการปรับปรุงความยืดหยุ่นทางไซเบอร์
Microsoft ให้บริการลูกค้าหลายพันล้านรายทั่วโลก ซึ่งช่วยให้เราสามารถรวบรวมข้อมูลความปลอดภัยจากองค์กรและผู้บริโภคในวงกว้างและหลากหลาย รายงานนี้ดึงข้อมูลจากข่าวกรองด้านสัญญาณทั้งเชิงกว้างและเชิงลึกของเราจากทั่วทั้ง Microsoft รวมถึงระบบคลาวด์ อุปกรณ์ปลายทาง และการวิเคราะห์ข้อมูลในสถานที่ ข้อได้เปรียบที่ไม่เหมือนใครนี้ทำให้เราเห็นภาพที่มีความแม่นยำสูงของภูมิทัศน์ภัยคุกคามและสถานะปัจจุบันของการรักษาความปลอดภัยทางไซเบอร์ รวมถึงตัวบ่งชี้ที่ช่วยให้เราคาดการณ์ว่าผู้โจมตีจะทำอะไรต่อไป เราเห็นว่าความโปร่งใสและการแชร์ข้อมูลเป็นสิ่งสำคัญในการช่วยให้ลูกค้าของเรามีความยืดหยุ่นทางไซเบอร์มากขึ้น และช่วยในการปกป้องระบบนิเวศ
ในสรุประดับสูงของรายงานนี้ คุณจะได้เรียนรู้เกี่ยวกับสถานะของอาชญากรรมไซเบอร์ วิธีที่อุปกรณ์อินเทอร์เน็ตในทุกสิ่ง (IoT) กลายเป็นเป้าหมายยอดนิยมมากขึ้น กลยุทธ์ของรัฐชาติใหม่ และการเพิ่มขึ้นของทหารรับจ้างทางไซเบอร์ การดำเนินการแทรกแซงทางไซเบอร์ และที่สำคัญที่สุดคือวิธีคงความยืดหยุ่นในช่วงเวลาเหล่านี้
- มีการสังเคราะห์สัญญาณ 43 ล้านล้านครั้งต่อวัน โดยใช้การวิเคราะห์ข้อมูลที่ซับซ้อนและอัลกอริธึม AI เพื่อทำความเข้าใจและช่วยป้องกันภัยคุกคามทางดิจิทัลและกิจกรรมทางไซเบอร์ของอาชญากร
- วิศวกร นักวิจัย นักวิทยาศาสตร์ข้อมูล ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ นักล่าภัยคุกคาม นักวิเคราะห์ภูมิรัฐศาสตร์ ผู้สืบสวน และผู้ตอบสนองแนวหน้าใน 77 ประเทศมากกว่า 8,500 คน
- คู่ค้ามากกว่า 15,000 รายในระบบนิเวศการรักษาความปลอดภัยของเราที่เพิ่มความยืดหยุ่นทางไซเบอร์สำหรับลูกค้าของเรา
อาชญากรรมไซเบอร์ยังคงเพิ่มขึ้นอย่างต่อเนื่อง โดยเพิ่มขึ้นอย่างมากทั้งการโจมตีแบบสุ่มและแบบที่มีการกำหนดเป้าหมาย เราสังเกตเห็นภัยคุกคามที่หลากหลายมากขึ้นในภูมิทัศน์ดิจิทัลด้วยการพัฒนาวิธีการโจมตีทางไซเบอร์และโครงสร้างพื้นฐานของอาชญากรที่ใช้เพื่อเสริมในสงครามระหว่างการรุกรานยูเครนของรัสเซีย
การโจมตีด้วยแรนซัมแวร์ก่อให้เกิดอันตรายเพิ่มขึ้นต่อบุคคลทุกคน เนื่องจากโครงสร้างพื้นฐานที่สำคัญ ธุรกิจทุกขนาด และรัฐบาลส่วนกลางและท้องถิ่นตกเป็นเป้าหมายของอาชญากรที่ใช้ประโยชน์จากระบบนิเวศของอาชญากรไซเบอร์ที่กำลังเติบโต เนื่องจากการโจมตีด้วยแรนซัมแวร์มีขอบเขตที่รุนแรงมากขึ้น ผลกระทบจึงมีความหลากหลายมากขึ้น ความพยายามที่ยั่งยืนและประสบความสำเร็จในการต่อสู้กับภัยคุกคามนี้จะต้องอาศัยกลยุทธ์ทั้งภาครัฐที่จะดำเนินการร่วมกับภาคเอกชนอย่างใกล้ชิด
จากการวิเคราะห์การดำเนินการตอบสนองและการกู้คืนของเรา เราพบว่ามีการควบคุมข้อมูลประจำตัวที่ไม่รัดกุม การดำเนินการด้านความปลอดภัยที่ไม่มีประสิทธิภาพ และกลยุทธ์การปกป้องข้อมูลที่ไม่สมบูรณ์ในองค์กรต่างๆ ที่ได้รับผลกระทบ
ในปีนี้พบว่ามีฟิชชิ่งและการโจรกรรมข้อมูลประจำตัวที่เพิ่มขึ้นอย่างมีนัยสำคัญเพื่อให้ได้ข้อมูลที่ถูกขายและใช้ในการโจมตีแบบกำหนดเป้าหมาย เช่น แรนซัมแวร์ การลักลอบถ่ายโอนข้อมูล และการขู่กรรโชก และการบุกรุกอีเมลระดับธุรกิจ
อาชญากรรมไซเบอร์เป็นบริการ (CaaS) เป็นภัยคุกคามที่กำลังเติบโตและพัฒนาต่อลูกค้าทั่วโลก หน่วยปราบปรามอาชญากรรมทางดิจิทัล (DCU) ของ Microsoft พบการเติบโตอย่างต่อเนื่องของระบบนิเวศ CaaS ด้วยจำนวนบริการออนไลน์ที่เอื้อประโยชน์ต่ออาชญากรรมทางไซเบอร์ที่เพิ่มขึ้น รวมถึงการบุกรุกอีเมลระดับธุรกิจ (BEC) และแรนซัมแวร์ที่ดำเนินการโดยมนุษย์ ผู้ขาย CaaS เสนอข้อมูลประจำตัวที่ถูกบุกรุกมากขึ้นสำหรับการซื้อ และเราเห็นบริการและผลิตภัณฑ์ CaaS มากขึ้นที่มีฟีเจอร์ที่ได้รับการปรับปรุงเพื่อหลีกเลี่ยงการตรวจหา
ผู้โจมตีกำลังค้นหาวิธีใหม่ๆ ในการใช้เทคนิคและโฮสต์โครงสร้างพื้นฐานการดำเนินงานของตน เช่น ธุรกิจที่ถูกบุกรุกเพื่อโฮสต์แคมเปญฟิชชิ่ง มัลแวร์ หรือใช้พลังการประมวลผลเพื่อขุดสกุลเงินดิจิทัล อุปกรณ์อินเทอร์เน็ตในทุกสิ่ง (IoT) กำลังกลายเป็นเป้าหมายยอดนิยมมากขึ้นสำหรับอาชญากรไซเบอร์ที่ใช้บ็อตเน็ตที่แพร่หลาย เมื่อเราเตอร์ไม่มีโปรแกรมแก้ไขและปล่อยให้ถูกเปิดเผยบนอินเทอร์เน็ตโดยตรง ผู้ดำเนินการภัยคุกคามสามารถใช้เราเตอร์ในทางที่ผิดเพื่อเข้าถึงเครือข่าย ดำเนินการโจมตีที่เป็นอันตราย และแม้แต่สนับสนุนการดำเนินงานของพวกเขา
Hacktivism มีจำนวนเพิ่มมากขึ้นในปีที่ผ่านมา โดยที่ประชาชนทั่วไปทำการโจมตีทางไซเบอร์เพื่อบรรลุเป้าหมายทางสังคมหรือการเมือง ผู้คนหลายพันคนถูกระดมพลเพื่อทำการโจมตีซึ่งเป็นส่วนหนึ่งของสงครามรัสเซีย-ยูเครน แม้จะต้องรอดูว่าแนวโน้มนี้จะดำเนินต่อไปหรือไม่ แต่อุตสาหกรรมเทคโนโลยีจะต้องร่วมมือกันเพื่อออกแบบการตอบสนองต่อภัยคุกคามใหม่นี้อย่างครอบคลุม
การเร่งการแปลงข้อมูลเป็นดิจิทัลได้เพิ่มความเสี่ยงด้านการรักษาความปลอดภัยทางไซเบอร์ให้กับระบบทางกายภาพของไซเบอร์และโครงสร้างพื้นฐานที่สำคัญ ในขณะที่องค์กรต่างๆ ใช้ประโยชน์จากความก้าวหน้าในความสามารถในการประมวลผลและเอนทิตีที่แปลงเป็นดิจิทัลเพื่อให้ประสบความสำเร็จ พื้นหน้าของการโจมตีของโลกดิจิทัลก็เพิ่มขึ้นอย่างทวีคูณ
การนำโซลูชัน IoT มาใช้อย่างรวดเร็วได้เพิ่มจำนวนแนวทางการโจมตีและการเปิดเผยความเสี่ยงขององค์กร การโยกย้ายนี้แซงหน้าความสามารถขององค์กรส่วนใหญ่ในการติดตาม เนื่องจากมัลแวร์เป็นบริการได้ย้ายไปสู่การดำเนินการขนาดใหญ่กับโครงสร้างพื้นฐานของพลเมืองและเครือข่ายองค์กร
เราสังเกตเห็นภัยคุกคามที่เพิ่มขึ้นที่ใช้ประโยชน์จากอุปกรณ์ในทุกส่วนขององค์กร ตั้งแต่อุปกรณ์ IT แบบดั้งเดิมไปจนถึงตัวควบคุมเทคโนโลยีด้านการปฏิบัติการ (OT) หรือเซนเซอร์ IoT ทั่วไป เราได้เห็นการโจมตีในกริดไฟฟ้า การโจมตีด้วยแรนซัมแวร์ที่ขัดขวางการดำเนินงาน OT และเราเตอร์ IoT ที่ถูกนำมาใช้ประโยชน์เพื่อเพิ่มความคงทน ในเวลาเดียวกัน มีการกำหนดเป้าหมายช่องโหว่ในเฟิร์มแวร์เพิ่มมากขึ้น ซึ่งเป็นซอฟต์แวร์ที่ฝังอยู่ในฮาร์ดแวร์หรือแผงวงจรของอุปกรณ์เพื่อเปิดการโจมตีที่รุนแรง
เพื่อรับมือกับภัยคุกคามเหล่านี้และภัยคุกคามอื่นๆ รัฐบาลทั่วโลกกำลังพัฒนานโยบายเพื่อจัดการความเสี่ยงด้านการรักษาความปลอดภัยทางไซเบอร์ในโครงสร้างพื้นฐานที่สำคัญ หลายแห่งกำลังออกนโยบายเพื่อปรับปรุงความปลอดภัยของอุปกรณ์ IoT และ OT คลื่นความคิดริเริ่มด้านนโยบายที่เพิ่มมากขึ้นทั่วโลกกำลังสร้างโอกาสมหาศาลในการปรับปรุงการรักษาความปลอดภัยทางไซเบอร์ แต่ยังก่อให้เกิดความท้าทายต่อผู้มีส่วนได้ส่วนเสียทั่วทั้งระบบนิเวศ เนื่องจากมีการติดตามกิจกรรมนโยบายในภูมิภาค ภาคส่วน เทคโนโลยี และการจัดการความเสี่ยงด้านปฏิบัติการไปพร้อมๆ กัน จึงมีโอกาสเกิดการทับซ้อนกันและไม่สอดคล้องกันในขอบเขต ข้อกำหนด และความซับซ้อนของข้อกำหนด องค์กรภาครัฐและเอกชนจำเป็นต้องคว้าโอกาสในการปรับปรุงการรักษาความปลอดภัยทางไซเบอร์ด้วยการมีส่วนร่วมและความพยายามเพิ่มเติมเพื่อความสม่ำเสมอ
- 68% ของผู้ตอบแบบสอบถามเชื่อว่าการนำ IoT/OT มาใช้มีความสำคัญต่อการแปลงข้อมูลเป็นดิจิทัลเชิงกลยุทธ์
- 60% ยอมรับว่าความปลอดภัยของ IoT/OT เป็นหนึ่งในแง่มุมที่มีความปลอดภัยน้อยที่สุดของโครงสร้างพื้นฐาน
ในปีที่ผ่านมา มีการเปลี่ยนแปลงในกลุ่มภัยคุกคามทางไซเบอร์ของรัฐชาติจากการใช้ประโยชน์จากห่วงโซ่อุปทานซอฟต์แวร์เป็นการใช้ประโยชน์จากห่วงโซ่อุปทานของบริการไอที ซึ่งกำหนดเป้าหมายโซลูชันในระบบคลาวด์และผู้ให้บริการที่มีการจัดการเพื่อเข้าถึงลูกค้าปลายน้ำในภาครัฐบาล นโยบาย และโครงสร้างพื้นฐานที่สำคัญ
ในขณะที่องค์กรต่างๆ เสริมสร้างเสถียรภาพการรักษาความปลอดภัยทางไซเบอร์ ผู้ดำเนินการของรัฐชาติได้ตอบสนองด้วยการดำเนินกลยุทธ์ใหม่ๆ ที่ไม่เหมือนใครเพื่อโจมตีและหลบเลี่ยงการตรวจหา การระบุและการใช้ประโยชน์จากช่องโหว่แบบ Zero-day เป็นกลยุทธ์สำคัญในความพยายามนี้ จำนวนช่องโหว่แบบ Zero-day ที่เปิดเผยต่อสาธารณะในปีที่ผ่านมามีจำนวนเท่ากับปีที่แล้ว ซึ่งสูงที่สุดเป็นประวัติการณ์ องค์กรจำนวนมากถือว่าตนเองมีโอกาสไม่มากนักที่จะตกเป็นเหยื่อของการโจมตีโดยใช้ประโยชน์แบบ Zero-day หากการจัดการช่องโหว่เป็นส่วนสำคัญในการรักษาความปลอดภัยเครือข่าย แต่การนำช่องโหว่มาใช้ประโยชน์ทำให้มีอัตราที่เร็วกว่ามาก ช่องโหว่แบบ Zero-day มักถูกค้นพบโดยผู้ดำเนินการรายอื่น และนำมาใช้ซ้ำในวงกว้างในช่วงเวลาสั้นๆ ซึ่งส่งผลให้ระบบที่ไม่มีโปรแกรมแก้ไขตกอยู่ในความเสี่ยง
เราได้เห็นอุตสาหกรรมที่กำลังเติบโตของผูดำเนินการที่ไม่เหมาะสมในภาคเอกชน หรือทหารรับจ้างทางไซเบอร์ ซึ่งพัฒนาและขายเครื่องมือ เทคนิค และบริการให้กับลูกค้า ซึ่งมักจะเป็นรัฐบาล เพื่อเจาะเข้าไปในเครือข่าย คอมพิวเตอร์ โทรศัพท์ และอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต แม้ว่าจะเป็นทรัพย์สินสำหรับผู้ดำเนินการของรัฐชาติ แต่หน่วยงานเหล่านี้มักจะเป็นอันตรายต่อผู้เห็นต่าง นักปกป้องสิทธิมนุษยชน นักข่าว ผู้ให้การสนับสนุนภาคประชาสังคม และพลเมืองเอกชนอื่นๆ ทหารรับจ้างทางไซเบอร์เหล่านี้กำลังมอบความสามารถ "การเฝ้าระวังเป็นบริการ" ขั้นสูง ซึ่งรัฐชาติจำนวนมากไม่สามารถพัฒนาได้เพียงลำพัง
ประชาธิปไตยต้องการข้อมูลที่น่าเชื่อถือเพื่อที่จะเจริญรุ่งเรือง ประเด็นสำคัญที่ Microsoft ให้ความสำคัญคือการดำเนินการแทรกแซงที่ได้รับการพัฒนาและสานต่อโดยรัฐชาติต่างๆ แคมเปญเหล่านี้ทำลายความน่าเชื่อถือ เพิ่มการแบ่งขั้ว และคุกคามกระบวนการประชาธิปไตย
โดยเฉพาะอย่างยิ่ง เราเห็นระบอบเผด็จการบางอย่างที่ทำงานร่วมกันเพื่อทำลายระบบนิเวศข้อมูลเพื่อผลประโยชน์ร่วมกัน ตัวอย่างเช่น แคมเปญที่พยายามปกปิดที่มาของไวรัสโควิด-19 นับตั้งแต่เริ่มมีการแพร่ระบาด การโฆษณาชวนเชื่อเกี่ยวกับโรคโควิด-19 ของรัสเซีย อิหร่าน และจีนได้เพิ่มการรายงานข่าวเพื่อขยายประเด็นหลักเหล่านี้
การแพร่กระจายของสื่อลวงลึกเพิ่มขึ้น 900% เมื่อเทียบเป็นรายปีตั้งแต่ปี 2019
นอกจากนี้เรายังเข้าสู่สิ่งที่เราคาดหวังว่าจะเป็นยุคทองสำหรับการสร้างและการจัดการสื่อที่ใช้ AI โดยได้รับขับเคลื่อนจากการเพิ่มจำนวนเครื่องมือและบริการเพื่อสร้างภาพสังเคราะห์ วิดีโอ เสียง และข้อความที่สมจริง และความสามารถในการเผยแพร่เนื้อหาที่ปรับให้เหมาะสมสำหรับผู้ชมเฉพาะกลุ่มอย่างรวดเร็ว ภัยคุกคามระยะยาวและร้ายกาจยิ่งกว่านั้นคือความเข้าใจของเราเกี่ยวกับสิ่งที่เป็นจริง หากเราไม่สามารถเชื่อถือสิ่งที่เราเห็นและได้ยินได้อีกต่อไป
ธรรมชาติของระบบนิเวศข้อมูลที่เปลี่ยนแปลงอย่างรวดเร็ว ควบคู่ไปกับการดำเนินการแทรกแซงของรัฐชาติ ซึ่งรวมถึงการรวมการโจมตีทางไซเบอร์แบบดั้งเดิมเข้ากับการขัดขวางและการดำเนินการแทรกแซงในการเลือกตั้งตามระบอบประชาธิปไตย มีความจำเป็นต้องใช้แนวทางทั่วทั้งสังคม การประสานงานและการแชร์ข้อมูลที่เพิ่มขึ้นทั่วทั้งภาครัฐ ภาคเอกชน และภาคประชาสังคมมีความจำเป็นเพื่อเพิ่มความโปร่งใสของแคมเปญการแทรกแซงเหล่านี้ และเพื่อเปิดเผยและขัดขวางแคมเปญ
มีความเร่งด่วนมากขึ้นในการตอบสนองต่อระดับภัยคุกคามในระบบนิเวศทางดิจิทัลที่เพิ่มขึ้น แรงจูงใจทางภูมิรัฐศาสตร์ของผู้ดำเนินการภัยคุกคามได้แสดงให้เห็นว่ารัฐต่างๆ ได้เพิ่มการใช้การดำเนินการทางไซเบอร์ที่น่ารังเกียจเพื่อทำให้รัฐบาลไม่มั่นคงและส่งผลกระทบต่อการดำเนินการทางการค้าทั่วโลก เมื่อภัยคุกคามเหล่านี้เพิ่มขึ้นและพัฒนา การสร้างความยืดหยุ่นทางไซเบอร์ให้กับโครงสร้างขององค์กรจึงถือเป็นสิ่งสำคัญ
ดังที่เราได้เห็น การโจมตีทางไซเบอร์จำนวนมากประสบความสำเร็จเพียงเพราะไม่ได้ปฏิบัติตามสุขลักษณะด้านความปลอดภัยพื้นฐาน มาตรฐานขั้นต่ำที่ทุกองค์กรควรนำไปใช้คือ:
เส้นโค้งระฆังของความยืดหยุ่นทางไซเบอร์: 98% ของสุขลักษณะด้านความปลอดภัยพื้นฐานยังคงป้องกันการโจมตีได้ 98% ของการโจมตีทั้งหมด เรียนรู้เพิ่มเติมเกี่ยวกับ รูปภาพนี้ในหน้า 109 ของ Microsoft Digital Defense Report ปี 2022
- ตรวจสอบอย่างชัดเจน: รับรองว่าผู้ใช้และอุปกรณ์อยู่ในสถานะที่ดีก่อนที่จะอนุญาตให้เข้าถึงทรัพยากร
- ใช้การเข้าถึงที่มีสิทธิ์น้อยที่สุด อนุญาตเฉพาะสิทธิ์ที่จำเป็นสำหรับการเข้าถึงทรัพยากรเท่านั้น และไม่มากไปกว่านั้น
- ถือว่าเป็นการละเมิด: สมมติว่าการป้องกันระบบถูกละเมิดและระบบอาจมีช่องโหว่ ซึ่งหมายถึงการตรวจสอบสภาพแวดล้อมอย่างต่อเนื่องเพื่อหาการโจมตีที่อาจเกิดขึ้น
ใช้การป้องกันมัลแวร์สมัยใหม่
ใช้ซอฟต์แวร์เพื่อช่วยตรวจหาและบล็อกการโจมตีโดยอัตโนมัติ และให้ข้อมูลเชิงลึกแก่การดำเนินการด้านความปลอดภัย การตรวจสอบข้อมูลเชิงลึกจากระบบการตรวจหาภัยคุกคามเป็นสิ่งสำคัญเพื่อให้สามารถตอบสนองต่อภัยคุกคามได้ทันเวลา
อัปเดตอยู่เสมอ
ระบบที่ไม่มีโปรแกรมแก้ไขและล้าสมัยคือสาเหตุสำคัญที่ทำให้องค์กรจำนวนมากตกเป็นเหยื่อของการโจมตี ตรวจสอบให้แน่ใจว่าระบบทั้งหมดของคุณได้รับการอัปเดต รวมถึงเฟิร์มแวร์ ระบบปฏิบัติการ และแอปพลิเคชัน
ปกป้องข้อมูล
การทราบข้อมูลสำคัญของคุณ ตำแหน่งที่จัดเก็บ และมีการนำระบบที่เหมาะสมไปใช้หรือไม่ ทั้งหมดนี้มีความสำคัญต่อการดำเนินการป้องกันที่เหมาะสม
แหล่งข้อมูล: Microsoft Digital Defense Report, เดือนพฤศจิกายน 2022