Five Eyes หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ในสหราชอาณาจักร, ออสเตรเลีย, แคนาดา, นิวซีแลนด์ และสหรัฐอเมริกา ได้ออกคำแนะนำให้ผู้ผลิตอุปกรณ์ Network Edge พัฒนาความสามารถในการ forensic เพื่อช่วยให้สามารถตรวจจับการโจมตี และสืบสวนเหตุละเมิดความปลอดภัยได้ดีขึ้น
อุปกรณ์ดังกล่าว ซึ่งรวมถึง Firewalls, Routers, VPN gateway, Internet-facing servers, ระบบ Operational Technology (OT) และ อุปกรณ์ Internet of Things (IoT) มักตกเป็นเป้าหมายของทั้งกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ และกลุ่มอาชญากรไซเบอร์ที่มุ่งหวังผลประโยชน์ทางการเงิน
อุปกรณ์ Edge มักตกเป็นเป้าหมาย และถูกโจมตีได้ง่าย เนื่องจากไม่รองรับ Endpoint Detection and Response (EDR) Solution ทำให้ผู้โจมตีสามารถเข้าถึงเครือข่ายภายในขององค์กรเป้าหมายได้ในขั้นต้น
ในหลายกรณี อุปกรณ์เหล่านี้ยังขาดการอัปเกรดเฟิร์มแวร์อย่างสม่ำเสมอ และการยืนยันตัวตนที่เข้มงวด อีกทั้งมักมาพร้อมกับช่องโหว่ด้านความปลอดภัย และการตั้งค่าที่ไม่ปลอดภัยในค่าเริ่มต้น นอกจากนี้ ยังมีการ logging ข้อมูลที่จำกัด ซึ่งลดความสามารถของทีม security ในการตรวจจับเหตุการณ์ด้านความปลอดภัย
ยิ่งไปกว่านั้น เนื่องจากอุปกรณ์เหล่านี้ตั้งอยู่บริเวณหน้าสุดของเครือข่าย และรับส่งข้อมูลเกือบทั้งหมดขององค์กร จึงกลายเป็นเป้าหมายที่ดึงดูดความสนใจของผู้โจมตี ซึ่งสามารถใช้เพื่อ monitor traffic และขโมยข้อมูล credentials เพื่อเข้าถึงเครือข่ายต่อไปได้ หากไม่มีการป้องกันที่เหมาะสม
CISA ระบุว่า "ผู้โจมตีจากภายนอกมักใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ในอุปกรณ์ Network edge เพื่อเจาะเข้าสู่เครือข่าย และระบบโครงสร้างพื้นฐานที่สำคัญ ความเสียหายที่เกิดขึ้นอาจมีราคาสูง ใช้เวลานาน และสร้างผลกระทบทางชื่อเสียงอย่างร้ายแรงต่อองค์กรภาครัฐ และเอกชน"
ศูนย์ความมั่นคงทางไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ระบุเพิ่มเติมว่า "ผู้ผลิตอุปกรณ์ควรเปิดใช้งานคุณสมบัติการ logging ข้อมูลมาตรฐาน และเครื่องมือ forensic ที่มีความปลอดภัย และแข็งแกร่งเป็นค่าเริ่มต้น เพื่อให้ทีม security สามารถตรวจจับกิจกรรมที่เป็นอันตราย และสืบสวนเหตุการณ์การโจมตีได้ง่ายขึ้น"
หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ ยังแนะนำให้ผู้ใช้งานพิจารณาข้อกำหนดขั้นต่ำที่แนะนำสำหรับความสามารถในการตรวจสอบทาง forensic ก่อนเลือกใช้อุปกรณ์เครือข่ายทั้งแบบ physical และ virtual สำหรับองค์กรของตน
ในช่วงหลายปีที่ผ่านมา กลุ่มผู้โจมตียังคงมุ่งเป้าไปที่อุปกรณ์ Network edge จากผู้ผลิตหลายราย เช่น Fortinet, Palo Alto, Ivanti, SonicWall, TP-Link และ Cisco
เพื่อตอบสนองต่อกิจกรรมของกลุ่มผู้โจมตี CISA ได้ออกประกาศเตือนด้านความปลอดภัยแบบ "Secure by Design" หลายฉบับ โดยหนึ่งในนั้นออกมาเมื่อเดือนกรกฎาคม 2024 ซึ่งเรียกร้องให้ผู้ผลิต จัดการกับช่องโหว่ Path OS Command Injection ที่กลุ่ม Velvet Ant ซึ่งได้รับการสนับสนุนจากรัฐบาลจีนใช้ในการโจมตีอุปกรณ์ Network edge ของ Cisco, Palo Alto และ Ivanti
หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ของสหรัฐฯ ยังเรียกร้องให้ผู้ผลิต Router สำหรับสำนักงานขนาดเล็ก/โฮมออฟฟิศ (SOHO) ปกป้องอุปกรณ์ของตนจากการโจมตีของกลุ่ม Volt Typhoon รวมถึงกระตุ้นให้ผู้พัฒนาเทคโนโลยีหยุดใช้ซอฟต์แวร์ และอุปกรณ์ที่ใช้รหัสผ่านที่เป็นค่าเริ่มต้น
ที่มา : bleepingcomputer
You must be logged in to post a comment.