ธุรกรรมการเงินในประเทศเพิ่มขึ้น Kaspersky แนะนำองค์กรปรับปรุงคลังข้อมูลภัยคุกคาม

การทำธุรกรรมการเงินดิจิทัลภายในประเทศพุ่งสูงขึ้นในช่วงแพร่กระจายของโรคระบาด แคสเปอร์สกี้ บริษัทรักษาความปลอดภัยทางไซเบอร์ระบุว่า การเติบโตนี้เป็นช่วงเวลาสำคัญสำหรับภาคการเงิน ในการบูรณาการการรักษาความปลอดภัยและการปรับปรุงความสามารถด้านคลังข้อมูลภัยคุกคาม

นายเซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า “สำหรับอาชญากรไซเบอร์ส่วนใหญ่ เงินที่ได้มาอย่างง่ายดายเป็นตัวกระตุ้นที่สำคัญ และภาคธุรกิจการเงินอยู่ในจุดเฉพาะที่จะตกเป็นเป้าหมายการโจมตีตลอดเวลาเพราะเป็นแหล่งที่มีเงินอยู่เสมอ บริการทางการเงินดิจิทัลในประเทศไทยก็มีลักษณะการเติบโตเช่นเดียวกับประเทศอื่นๆ ในภูมิภาค ที่เริ่มก่อความเสี่ยงใหม่ๆ ให้กับทั้งผู้ใช้บริการและผู้ให้บริการ โดยในกรณีนี้มีเทคโนโลยีจะเป็นตัวเปลี่ยนเกม” 

จากข้อมูลของธนาคารแห่งประเทศไทย ประเทศไทยได้มีการพัฒนาโครงสร้างพื้นฐานที่สำคัญของระบบการเงิน เช่น พร้อมเพย์และการชำระเงินมาตรฐาน QR ซึ่งรวมถึงโครงสร้างพื้นฐานสำหรับการยืนยันตัวตนทางดิจิทัล ที่จะเป็นรากฐานสำหรับธุรกรรมดิจิทัลเต็มรูปแบบที่ผู้ใช้สามารถเปิดบัญชีได้โดยไม่ต้องไปที่สาขาของธนาคาร มีขั้นตอนที่สะดวกและปลอดภัยยิ่งขึ้น ผ่านการรับรองความถูกต้องระหว่างธนาคารผ่านแพลตฟอร์มการยืนยันตัวตนทางดิจิทัล หรือ National Digital ID (NDID) อย่างไรก็ตามโครงการตรวจสอบและยืนยันตัวตนผ่าน NDID กำลังอยู่ในการทดสอบอย่างจำกัดภายใต้แซนด์บ็อกซ์ของธนาคารแห่งประเทศไทย

ในช่วงที่มีการแพร่ระบาดของโรคติดต่อ ประเทศไทยครองอันดับหนึ่งของโลกด้านการใช้งานแอปบริการธนาคารและการเงินในรายงาน Digital 2020 ของ We Are Social ฉบับล่าสุด โดยมีผู้ใช้อินเทอร์เน็ตที่มีอายุระหว่าง 16-64 ปี จำนวนสูงถึง 68.1% รายงานฉบับเดียวกันเปิดเผยว่าประเทศไทยครองอันดับสองด้านการชำระเงินผ่านมือถือ โดยมีผู้ใช้งาน 45.3% ซึ่งสูงกว่าค่าเฉลี่ยทั่วโลกที่ 30.9% 

แม้ว่าผู้บริโภคชาวไทยจะตอบสนองต่อการเปลี่ยนแปลงทางดิจิทัลอย่างมาก แต่ด้วยข้อจำกัดด้านการล็อกดาวน์และการทำงานระยะไกลที่เพิ่มขึ้น ทำให้มีธนาคารบางแห่งเท่านั้นที่สามารถเตรียมพร้อมรับมือกับภัยคุกคามทางไซเบอร์ได้

ข้อจำกัดดังกล่าวยังนำไปสู่การชำระเงินดิจิทัลและแพลตฟอร์มเงินอิเล็กทรอนิกส์ที่พุ่งสูงขึ้นในระยะเวลาอันสั้น ความสามารถทางเทคโนโลยีและรูปแบบการดำเนินงานที่สร้างขึ้นเพื่อให้ปฏิบัติงานของธนาคารต่อไปได้แม้ว่าจะมีการล็อกดาวน์ ถือเป็นส่วนสำคัญในการสร้างความมั่นใจในความอยู่รอดของธุรกิจ การควบคุมและการปฏิบัติตามข้อกำหนด รวมถึงการเพิ่มประสิทธิภาพการทำงาน แม้ว่าสถาบันการเงินจะนำเทคโนโลยีดิจิทัลมาใช้อย่างรวดเร็ว แต่การรักษาความปลอดภัยของแพลตฟอร์มและผู้ใช้ก็มีมูลค่ามากพอๆ กับนวัตกรรม

เมื่อปีที่แล้ว แอปธนาคารดิจิทัลของสหรัฐอเมริกาถูกโจมตีโดยกลุ่มแฮ็กเกอร์ชื่อ ShinyHunters ซึ่งส่งผลให้ข้อมูลส่วนบุคคลของผู้ใช้มากกว่า 7.5 ล้านคนถูกเปิดเผยสู่สาธารณะในโพสต์ฟอรั่มการแฮก เช่น ชื่อและหมายเลขประกันสังคม

องค์กรเกือบครึ่งหนึ่งมีปัญหาในการค้นหาความแตกต่างระหว่างภัยคุกคามจริงและผลบวกปลอม (false positives) ทีมรักษาความปลอดภัยจึงถูกปล่อยให้เป็น “คนตาบอด” แทนที่จะจัดลำดับความสำคัญของภัยคุกคามที่สามารถจัดการได้อย่างเหมาะสม จึงเป็นการเปิดองค์กรให้รับการโจมตีอย่างไม่คาดคิด

นางสาวเบญจมาศ จูฑาพิพัฒน์ ผู้จัดการประจำประเทศไทย แคสเปอร์สกี้ กล่าวว่า “การเปลี่ยนแปลงทางดิจิทัลในทุกภาคส่วน มักจะนำเสนอความท้าทายใหม่ๆ อยู่เสมอ โดยเฉพาะอย่างยิ่งสำหรับธนาคารและบริการทางการเงิน ประเทศไทยกำลังอยู่ระหว่างการปฏิวัติทางดิจิทัล การใช้เกตเวย์การชำระเงินออนไลน์และ e-wallets จะดำเนินต่อและขยายตัวมากขึ้นอย่างแน่นอน แม้ว่าธนาคารและผู้ให้บริการทางการเงินจะต้องรับผิดชอบอย่างมากในการรักษาความปลอดภัยระบบเวอร์ชวลของตน แต่ดิฉันมั่นใจว่าธนาคารจะสามารถนำร่องสู่อนาคตได้ตราบเท่าที่ธนาคารได้สร้างการป้องกันทางไซเบอร์อย่างชาญฉลาดและปกป้องลูกค้าของตน”

นายโยวกล่าวเสริมว่า “ปัจจุบันอุตสาหกรรมบริการทางการเงินต้องการโซลูชั่นที่ชาญฉลาดที่สุดในการตรวจจับและรับมือกับภัยคุกคามซับซ้อนที่ไม่มีวันหยุด Threat intelligence หรือคลังข้อมูลภัยคุกคามเป็นสิ่งที่ธุรกิจการเงินควรพิจารณาหากต้องการก้าวนำหน้าอาชญากรไซเบอร์ และลดความเสี่ยงจากภัยคุกคามต่อธุรกิจของตน”

เพื่อรักษาการดำเนินงานโครงสร้างพื้นฐานอย่างต่อเนื่อง ทั้งการเชื่อมต่อ การระบุตัวตน และการชำระเงินแบบดิจิทัล ฟีดข่าวจากคลังข้อมูลภัยคุกคามที่ทันสมัยมีบทบาทสำคัญในการติดตามการโจมตีทางไซเบอร์ที่เพิ่มขึ้นทั้งความถี่และความซับซ้อน

คลังข้อมูลภัยคุกคาม Threat intelligence สามารถระบุและวิเคราะห์ภัยคุกคามทางไซเบอร์ที่กำหนดเป้าหมายเป็นองค์กรธุรกิจได้ โดยการตรวจสอบข้อมูลจำนวนมากเพื่อระบุปัญหาที่แท้จริงและปรับใช้วิธีแก้เฉพาะสำหรับปัญหาที่ค้นพบ

ทั้งนี้ อย่าสับสนระหว่าง “คลังข้อมูลภัยคุกคาม Threat intelligence” กับข้อมูลภัยคุกคามทั่วไปซึ่งเป็นรายการภัยคุกคามที่อาจเป็นไปได้ คลังข้อมูลภัยคุกคามคือข้อมูลที่ผู้เชี่ยวชาญด้านไอทีหรือเครื่องมือที่ซับซ้อนใช้ “อ่าน” และวิเคราะห์ภัยคุกคาม และใช้ความรู้เพื่อประมวลว่าเป็นภัยคุกคามจริงหรือไม่ และหากเป็นภัยคุกคามจริงจะต้องทำอย่างไร

ด้วยบริการ Threat Intelligence Services ของแคสเปอร์สกี้ องค์กรต่างๆ จะได้รับฟีดข้อมูลที่ครอบคลุมลิ้งก์ฟิชชิ่ง เว็บไซต์และอ็อบเจ็คที่เป็นอันตรายที่กำหนดเป้าหมายโจมตีไปยังแพลตฟอร์ม Android และ iOS

เนื่องจากผู้ใช้ส่วนใหญ่เข้าถึงบริการทางการเงินดิจิทัลผ่านสมาร์ทโฟน ธนาคารจึงสามารถเตือนลูกค้าได้อย่างง่ายดายเมื่อมีแคมเปญการโจมตีทางไซเบอร์ที่มักจะเกี่ยวข้องกับลิ้งก์ฟิชชิ่งในอีเมลที่อ้างตัวว่าเป็นธนาคาร

คลังข้อมูลภัยคุกคาม Threat Intelligence ที่เครื่องอ่านได้ในระบบข้อมูลความปลอดภัยและระบบการจัดการเหตุการณ์นี้ ยังช่วยให้ทีมรักษาความปลอดภัยสามารถเรียกใช้การตอบสนองต่อเหตุการณ์อัตโนมัติได้อย่างรวดเร็ว และคัดกรองการแจ้งเตือนที่ต้องยกระดับเพื่อการตรวจสอบและแก้ไข

ฟีดข้อมูลนี้เป็นชุดข้อมูลที่มาจากโครงสร้างพื้นฐานระบบคลาวด์ของแคสเปอร์สกี้ที่ชื่อ Kaspersky Security Network เว็บครอว์เลอร์ (web crawlers) แพลตฟอร์มเฉพาะที่ชื่อ Botnet Monitoring การดักจับรวบรวมข้อมูลอีเมล (email honeypots) ทีมวิจัย และพาร์ตเนอร์พันธมิตรทั่วโลกของแคสเปอร์สกี้

สำหรับอุตสาหกรรมอย่างเช่นบริการทางการเงิน คลังข้อมูลภัยคุกคาม Threat Intelligence จะมีประโยชน์พื้นฐานสามสิ่งดังนี้

1. ป้องกันข้อมูลสูญหาย - โปรแกรมคลังข้อมูลภัยคุกคามทางไซเบอร์ (cyber threat intelligence - CTI) ที่มีโครงสร้างดี จะช่วยให้บริษัทของคุณสามารถตรวจจับภัยคุกคามทางไซเบอร์ และป้องกันการรั่วไหลของข้อมูลจากการเปิดเผยข้อมูลที่ละเอียดอ่อนได้

2. กำหนดทิศทางเกี่ยวกับมาตรการด้านความปลอดภัย – โดยการระบุและวิเคราะห์ภัยคุกคาม CTI จะระบุรูปแบบที่แฮกเกอร์ใช้ และช่วยให้องค์กรธุรกิจวางมาตรการรักษาความปลอดภัยเพื่อป้องกันการโจมตีในอนาคตได้

3. แจ้งให้ผู้อื่นทราบ – แฮกเกอร์ฉลาดขึ้นทุกวัน ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จึงแบ่งปันกลยุทธ์ที่เคยพบเจอแก่ชุมชนไอที เพื่อสร้างฐานความรู้ร่วมกันเรื่องการก่ออาชญากรรมทางไซเบอร์

ตั้งแต่เดือนมกราคมถึงเมษายนปี 2020 พบการโจมตีเพื่อเข้าสู่ระบบโดยไม่ได้รับอนุญาต (brute force attack) เฉลี่ยต่อวันเพิ่มขึ้น 24% ในความเป็นจริง แม้แต่องค์กรด้านสาธารณสุขและบริการที่จำเป็นอื่นๆ ก็ถูกกำหนดเป้าหมายโดยกลุ่มภัยคุกคามต่อเนื่องขั้นสูง (APT) ภัยคุกคาม APT บางรายการจะไม่ได้รายงานในทันที และบางส่วนไม่ได้ประกาศต่อสาธารณะ

การจัดการภัยคุกคามต้องใช้มุมมองเนื้อหารอบด้าน 360 องศา ข้อมูลที่ต้องมองหาในโปรแกรม Threat Intelligence มีดังนี้

1. สัญญาณบ่งชี้การบุกรุก (indicator of compromise หรือ IOC) - IOC เป็นพื้นฐานของคลังข้อมูลภัยคุกคาม เป็นข้อมูลที่สามารถวัดและรับรู้ได้เช่นเดียวกับไข้ที่แสดงอาการของโรคในร่างกาย มีบริการ IOC มากมาย แต่ในการเลือก IOC ที่ถูกต้อง คุณจะต้องรู้ว่าภัยคุกคามใดที่คุณน่าจะเผชิญมากที่สุด

2. ฟีดข้อมูลภัยคุกคาม – ฟีดข้อมูลจะให้ข้อมูลอัจฉริยะแบบบูรณาการ โดยการวิเคราะห์แนวการคุกคามที่กว้างขึ้น หากต้องการเลือกสิ่งที่ดีที่สุดสำหรับองค์กรให้ถามตัวเองว่า เราต้องการฟีดข้อมูล APT หรือไม่หากเราไม่ได้เป็นเป้าหมายสำหรับกลุ่ม APT จุดที่ดีที่สุดในโครงสร้างพื้นฐานไอทีในการเพิ่มฟีดอยู่ที่ไหน เราควรปิดกั้นภัยคุกคามหรือเพียงแค่แจ้งเตือนทีมก็เพียงพอ? คำตอบของคุณนั้นจะขึ้นอยู่กับความปลอดภัยขององค์กรและกลยุทธ์ด้านไอที

3. แพลตฟอร์มคลังข้อมูลภัยคุกคาม - แพลตฟอร์มคลังข้อมูลภัยคุกคามจะช่วยให้คุณจัดการซอฟต์แวร์เฉพาะทางที่รองรับคอมโพเน้นต์ต่างๆ สิ่งที่คุณเลือกและวิธีการรวมบริการนั้นขึ้นอยู่กับงบประมาณและความต้องการทางธุรกิจของคุณ แม้ว่าจะมีฟีดข้อมูลแบบโอเพ่นซอร์สอยู่ แต่คุณสามารถซื้อข้อมูลอัจฉริยะเฉพาะส่วนเพิ่มเติมได้ สิ่งสำคัญคือเมื่อคุณซื้อบริการคลังข้อมูลภัยคุกคาม คุณจะต้องเจาะลึกเพื่อให้แน่ใจว่าผู้ให้บริการสามารถตอบสนองทั้งในด้านคุณภาพของฟีดข้อมูล และความรวดเร็วเมื่อต้องตอบสนองต่อเหตุการณ์โจมตี

ด้วยการวางแผนอย่างรอบคอบนี้ การเลือกผู้ให้บริการและกลยุทธ์ที่มีการไตร่ตรองไว้เป็นอย่างดี SOC ขององค์กรจะได้รับประโยชน์จากการป้องกันเต็มรูปแบบและประสิทธิภาพของคลังข้อมูลภัยคุกคาม