คำแนะนำด้านความปลอดภัยโดยหน่วยงานความปลอดภัยทางไซเบอร์ระดับชาติหลายแห่ง ซึ่งเปิดเผยรายงาน 10 อันดับ attack vectors ที่ผู้โจมตีนำไปใช้มากที่สุด
คำแนะที่ร่วมกันเผยแพร่โดยหน่วยงานจากประเทศสหรัฐอเมริกา แคนาดา นิวซีแลนด์ เนเธอร์แลนด์ และสหราชอาณาจักร รวมถึงคำแนะนำในการบรรเทาผลกระทบ, การตั้งค่าความปลอดภัยที่ไม่เข้มงวด และแนวทางปฏิบัติที่ไม่เหมาะสม
ผู้โจมตีมักใช้ประโยชน์จากการตั้งค่าความปลอดภัยที่ไม่เข้มงวด (ไม่ว่าจะกำหนดค่าผิด หรือไม่ปลอดภัย) และแนวทางปฏิบัติทางไซเบอร์ที่ไม่เหมาะสมอื่นๆ ผู้โจมตียังมีเทคนิคที่ใช้เป็นประจำเพื่อเข้าถึงเครือข่ายของเหยื่อในเบื้องต้น รวมถึงการใช้ประโยชน์จากแอปพลิเคชั่นที่เข้าถึงได้โดยตรงจากอินเทอร์เน็ต การใช้ประโยชน์จากการเปิดให้ remote ได้โดยตรงจากภายนอก ฟิชชิ่ง การไว้วางใจบริษัท partners หรือ third party มากจนเกินไป รวมไปถึงการใช้ข้อมูล credentials ที่ถูกขโมยมา
Top 10 initial access attack vectors :
- การไม่เปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัย (Multifactor authentication). โดยเฉพาะช่องทางการ remote desktop หากมีการเปิดใช้งาน MFA จะสามารถช่วยป้องกันการถูกเข้ายึดบัญชีได้**
- การให้สิทธิ์ หรืออนุญาตให้เข้าถึงระบบได้โดยไม่ปลอดภัย หรือไม่เหมาะสม หากไม่มีการกำหนดสิทธิ์ให้กับผู้ใช้งานให้เหมาะสม รวมถึงการจำกัดการเข้าถึงระบบกับผู้ที่ไม่ได้รับอนุญาต อาจทำให้ผู้ใช้งานที่ไม่ได้รับอนุญาตสามารถเข้าถึงระบบที่สำคัญได้
- ไม่มีการอัปเดตซอฟแวร์ให้เป็นปัจจุบัน ระบบที่ไม่ได้รับการอัปเดตแพตช์อย่างสม่ำเสมออาจทำให้ผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่มีการเปิดเผยต่อสาธารณะ เพื่อเข้าถึงข้อมูล, ปฏิเสธการให้บริการ หรือเข้าควบคุมระบบ
- ใช้การตั้งค่าเริ่มต้นจากโรงงาน หรือใช้ชื่อผู้ใช้ และรหัสผ่านสำหรับเข้าสู่ระบบที่เป็นค่าเริ่มต้น ซอฟต์แวร์ และฮาร์ดแวร์ส่วนใหญ่จะมีการกำหนดค่าเริ่มต้นจากโรงงานเพื่อให้ง่ายในการติดตั้ง หรือแก้ไขปัญหา ซึ่งก็จะเป็นช่องทางที่ผู้โจมตีสามารถรู้ได้ถึงวิธีการเข้าถึงระบบโดยใช้ค่าเริ่มต้นเหล่านี้
- การควบคุมการเข้าถึง Remote services ต่างๆ เช่น virtual private network (VPN) ที่ไม่ดีพอ ในช่วงหลายปีที่ผ่านมา มักพบการมุ่งเป้าการโจมตีไปที่ Remote services ที่มีการตั้งค่าไว้ไม่เหมาะสมมากขึ้น
- นโยบายการตั้งรหัสผ่านที่ไม่ปลอดภัยเพียงพอ ผู้โจมตีสามารถใช้ประโยชน์จากการตั้งรหัสผ่านที่ง่ายในการคาดเดา รหัสผ่านที่รั่วไหล หรือถูกขโมย เพื่อเข้าถึงระบบของเหยื่อ
- บริการคลาวด์ไม่มีการป้องกันที่ดีพอ บริการคลาวด์ที่มีการตั้งค่าไม่ปลอดภัย หรือไม่เหมาะสม ก็เป็นเป้าหมายให้ผู้โจมตีทำการขโมยข้อมูลที่สำคัญออกไป
- การเปิด Ports หรือ Services ที่ไม่เหมาะสมให้สามารถเข้าถึงได้จากอินเทอร์เน็ต หนึ่งในช่องโหว่ที่พบบ่อยที่สุด ทำให้ผู้โจมตีสามารถใช้เครื่องมือสแกนเพื่อตรวจหา Port ที่เปิดอยู่ และใช้เป็น attack vectors เบื้องต้นในการโจมตี
- ไม่สามารถตรวจจับ หรือบล็อกอีเมลฟิชชิงได้ ผู้โจมตีมักจะส่งอีเมลที่มีมาโครที่เป็นอันตรายมาในเอกสาร Microsoft Word หรือ Excel เพื่อแพร่กระจายมัลแวร์เข้าสู่ระบบ
- การตรวจจับ และการตอบสนองต่อภัยคุกคามที่ไม่ดีพละ PowerShell ที่ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับของอุปกรณ์ด้านความปลอดภัยบนระบบที่เป็นเป้าหมายในการโจมตี
เมื่อเดือนที่ผ่านมา หน่วยงานด้านความปลอดภัยทางไซเบอร์ของ Five Eyes ร่วมมือกับ NSA และ FBI ได้เปิดเผยรายชื่อช่องโหว่ 15 อันดับที่ผู้โจมตีใช้เป็นประจำในช่วงปี 2564 สามารถดูได้จาก https://www.bleepingcomputer.com/news/security/cybersecurity-agencies-reveal-top-exploited-vulnerabilities-of-2021
CISA และ FBI ยังได้เผยแพร่รายการช่องโหว่ด้านความปลอดภัยที่มีการใช้โจมตีมากที่สุดระหว่างปี 2016 ถึง 2019 สามารถดูได้จาก https://www.bleepingcomputer.com/news/security/us-govt-shares-list-of-most-exploited-vulnerabilities-since-2016 และของปี 2020 (สามารถดูได้จาก https://www.cisa.gov/uscert/ncas/alerts/aa21-209a
ในเดือนพฤศจิกายนที่ผ่านมา MITRE ได้แชร์รายการช่องโหว่ด้านความปลอดภัยในการเขียนโปรแกรม การออกแบบ และสถาปัตยกรรมที่ทำให้เกิดปัญหากับฮาร์ดแวร์มากที่สุด (สามารถดูได้จาก https://www.bleepingcomputer.com/news/security/mitre-shares-list-of-most-dangerous-hardware-weaknesses ส่วนที่ทำให้เกิดปัญหากับซอฟต์แวร์มากที่สุดตลอดปี 2019 และ 2020 สามารถดูได้จาก https://www.bleepingcomputer.com/news/security/mitre-updates-list-of-top-25-most-dangerous-software-bugs
ที่มา : bleepingcomputer.
You must be logged in to post a comment.