Data Breach

ในปัจจุบันการโจมตีทางไซเบอร์มีความรุนแรงและมีวิธีการที่ความหลากหลายมากขึ้นเรื่อย ๆ ทำให้หลาย ๆ องค์กรประสบปัญหาจากการถูกโจมตี และรุนแรงถึงขั้นมีการขโมยข้อมูลเพื่อนำไปเรียกค่าไถ่หรือสร้างความเสียหายอื่น ๆ จนทำให้องค์กรเสียชื่อเสียงกันเลยทีเดียว ดังนั้นในวันนี้เราจะมาพูดในเรื่อง Data Breach กันครับ

Data Breach คืออะไร?

Data Breach หรือการละเมิดข้อมูล เป็นเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยของข้อมูล โดยข้อมูลที่เป็นความลับหรือไม่อยากให้เปิดเผยได้ถูกคัดลอกหรือถูกขโมยออกไป ผู้โจมตีนำข้อมูลที่ได้ไปเปิดเผยต่อบุคคลอื่น ๆ ที่ไม่ได้รับอนุญาตให้เข้าถึง ทำให้องค์กรเสียหายและถูกลดความน่าเชื่อถือลงได้

ขั้นตอนวิธีการโจมตีในรูปแบบ Data Breach

ขั้นตอนและวิธีการของผู้โจมตีเข้ามาในองค์กรสามารถแยกได้เป็น 4 ช่วง ดังนี้

1. Planning and reconnaissance: ผู้โจมตีทำการวางแผนและทำการศึกษาระบบขององค์กร โดยเป็นการตรวจสอบระบบมีช่องโหว่อะไรบ้างเพื่อหาจุดอ่อนของระบบ รวมทั้งทำการรวบรวมข้อมูลและหรือหลอกล่อให้พนักงานบริษัทหลงเชื่อและทำสิ่งที่ผู้โจมตีต้องการ
2. Intrusion and presence: ผู้โจมตีเริ่มทำการโจมตีเข้าสู่ระบบภายในองค์กรจากข้อมูลที่หาได้และเข้ายึดระบบภายในองค์กรที่คิดว่ามีข้อมูลสำคัญหรือสามารถเข้าถึงเครื่องที่มีข้อมูลสำคัญได้
3. Lateral movement and privilege escalation: ผู้โจมตีจะพยายามเข้าถึงข้อมูลสำคัญโดยใช้เทคนิคและวิธีการต่าง ๆ เพื่อเข้าไปควบคุมเครื่องที่คิดว่ามีข้อมูลสำคัญหรือสามารถเข้าถึงเครื่องที่มีข้อมูลสำคัญได้
4. Exfiltration: หลังจากที่ผู้โจมตีเข้าถึงเครื่องที่มีข้อมูลสำคัญและได้ทำการค้นหาข้อมูลสำคัญจนพบเรียบร้อยแล้ว ผู้โจมตีจะดำเนินการส่งข้อมูลสำคัญที่หาเจอออกไปยังภายนอกองค์กรตามที่ผู้โจมตีต้องการ และนำข้อมูลสำคัญที่ได้นำไปขายต่อหรือเรียกค่าไถ่กับองค์กรต่อไป

Ref. https://www.imperva.com/learn/wp-content/uploads/sites/13/2019/04/what-is-data-breach.png

รูปแบบของ Data Breach

เป็นรูปแบบข้อมูลที่ผู้โจมตีสามารถนำข้อมูลสำคัญออกไปจากภายในองค์กรได้ โดยส่วนใหญ่เป็นข้อมูล ดังนี้

• ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับองค์กร เช่น ข้อมูลพนักงาน ข้อมูลลูกค้า
• ข้อมูลทางการเงินขององค์กร
• ข้อมูลทรัพย์สินทางปัญญาขององค์กร
• ข้อมูลสัญญากรรมสิทธิ์ขององค์กร
• ข้อมูลอื่น ๆ ที่อยู่ในชั้นความลับ เช่น ข้อมูลทางการค้า เอกสารสำคัญขององค์กร

สาเหตุที่ทำให้เกิดเหตุการณ์ Data Breach

จากเหตุการณ์การโจมตีที่สำเร็จและผลลัพธ์ที่เกิดขึ้นจากการถูกละเมิดข้อมูล ทำให้สามารถจำแนกสาเหตุที่เกิดขึ้นได้ดังนี้

• Vulnerability and misconfigured: เป็นการโจมตีที่อาศัยช่องโหว่และการตั้งค่าที่ผิดพลาดของระบบเครือข่ายหรือเซิร์ฟเวอร์เข้ามาในระบบขององค์กร เพื่อใช้ในการเข้าถึงข้อมูลความสำคัญและนำข้อมูลออกมาภายนอกองค์กร
• Phishing: ทำการหลอกล่อให้เหยื่อส่งข้อมูลสำคัญหรือเปิดไฟล์อันตราย โดยจะดำเนินการก่อนที่จะเริ่มค้นหาช่องโหว่และการเข้าถึงข้อมูลสำคัญทั้งจากในเครื่องเหยื่อและภายในระบบองค์กร
• Malware: ผู้ไม่หวังดีจะใช้มัลแวร์เพื่อค้นหาและเก็บข้อมูลสำคัญออกมา รวมไปถึงการเฝ้าสังเกตและแอบเก็บข้อมูลต่าง ๆ เพื่อใช้ในการโจมตีเข้ามาในระบบองค์กร โดยในปัจจุบันมัลแวร์ประเภท Ransomware ที่สามารถเข้ารหัสลับข้อมูลและสามารถส่งข้อมูลกลับออกมาให้ผู้โจมตีสามารถนำข้อมูลที่ได้ไปเรียกค่าไถ่เพื่อป้องกันไม่ให้ข้อมูลสำคัญถูกเปิดเผยได้
• Accidental loss and theft: ในบางเหตุการณ์มีพนักงานหรือผู้บริหารทำการบันทึกข้อมูลสำคัญในอุปกรณ์ต่าง ๆ เช่น โน้ตบุ๊ก ยูเอสบีแฟลชไดรฟ์ (โดยอาจจะละเมิดนโยบายที่ทางองค์กรได้แจ้งเอาไว้) พอเกิดเหตุการณ์อุปกรณ์ที่บันทึกข้อมูลสำคัญสูญหายหรือถูกขโมย ทำให้ผู้ที่เก็บหรือขโมยอุปกรณ์นำข้อมูลสำคัญที่ได้ไปหาผลประโยชน์ เช่น การนำไปขายหรือมาเรียกค่าไถ่กับองค์กร

· Insider threats: พนักงานและผู้บริหารจงใจทำให้ข้อมูลสำคัญหลุดหรือเผยแพร่ออกมาเพื่อผลประโยชน์ส่วนตัว เช่น ต้องการให้องค์กรได้รับความเสียหาย

การป้องกันเหตุการณ์ Data Breach

เพื่อป้องกันปัญหาในการการละเมิดข้อมูล สามารถป้องกันปัญหาโดยการดำเนินการดังนี้

• กำหนดชั้นความลับและประเภทของข้อมูล เพื่อให้ดำเนินการจัดการข้อมูล การจัดเก็บข้อมูล และการป้องกันข้อมูลให้มีประสิทธิภาพสูงที่สุด รวมไปถึงการกำหนดผู้ที่สามารถเข้าถึงข้อมูลได้
• สร้างแผนการรับมือเหตุการณ์การละเมิดข้อมูล เพื่อสร้างแนวทางปฏิบัติ กำหนดบทบาทและความรับผิดชอบของผู้ที่มีสิทธิเข้าถึงข้อมูล รวมถึงแผนการกู้ข้อมูลและข้อกำหนดอื่น ๆ เพิ่มเติม เช่น การติดต่อหน่วยงานที่เกี่ยวข้องหลังจากเกิดเหตุการณ์
• ทำการจำลองสร้างสถานการณ์เพื่อฝึกซ้อมให้พนักงานสามารถรับมือปัญหาที่เกิดขึ้นได้อย่างทันท่วงที ให้มีความพร้อมในการรับมือภัยฉุกเฉิน(Incident Response) ที่อาจจะเกิดขึ้นในอนาคตได้
• พัฒนาความรู้ความสามารถของพนักงานที่เกี่ยวข้องกับการดูแลข้อมูล เพื่อให้มีความรู้และตระหนักถึงภัยอันตรายที่เกิดขึ้น เช่น ส่งพนักงานไปอบรมตามสถาบันต่าง ๆ ที่เกี่ยวข้องกับงานที่รับผิดชอบ
• สร้างความตระหนักด้านความปลอดภัย (Security awareness) ให้กับพนักงานทุกท่าน เพื่อรู้เท่าทันภัยการโจมตีปัจจุบันและระมัดระวังภัยที่อาจจะเกิดขึ้นได้ โดยทำการการจัดอบรมและทดสอบความรู้ที่ได้รับจากการอบรม
• พัฒนาแผนงานและกลยุทธ์เพื่อให้เข้าใจถึงความเสี่ยงขององค์กร ทำให้สามารถดำเนินการลดความเสี่ยงจากภัยการโจมตีในปัจจุบันและจุดอ่อนที่มีอยู่ได้ เช่น การบริหารจัดการความเสี่ยงที่อาจเกิดขึ้นจากช่องโหว่ (Vulnerability Management) แผนการจัดการและจัดการแพทช์ (Patch Management)
• สร้างและออกนโยบายที่ป้องกันให้ผู้ไม่หวังดีนำบัญชีของพนักงานแอบเข้ามาในระบบองค์กร เช่น กำหนดความแข็งแรงของรหัสผ่าน อายุของรหัสผ่านที่ใช้ การตรวจสอบสิทธิ์สองปัจจัย (Two-Factor Authentication)
• มีการตรวจสอบกิจกรรมต่าง ๆ ที่เกิดขึ้นและเฝ้าระวังอยู่สม่ำเสมอ ทั้งที่มาจากการรายงานเหตุการณ์จากอุปกรณ์ป้องกันหรือเหตุการณ์ความผิดปกติที่เกิดขึ้นภายในองค์กร
• จ้างผู้เชี่ยวชาญภายนอกเข้ามาตรวจสอบหาจุดอ่อนของระบบและนโยบายขององค์กร เช่น จ้างทดสอบแสกนหาช่องโหว่ จ้างทดสอบเจาะระบบ จ้างตรวจสอบและอัปเดตนโยบาย ให้มีความทันสมัยและดำเนินการปิดจุดอ่อนที่ค้นพบ จนสามารถป้องกันภัยที่อาจจะเกิดขึ้นในอนาคตได้

บทความนี้เป็นการสรุปเรื่อง Data Breach ที่ชี้ให้เห็นความอันตรายจากผลกระทบที่เกิดขึ้นและการแนวป้องกันปัญหา เนื่องจากปัจจุบันเกิดการโจมตีลักษณะนี้เกิดขึ้นอยู่บ่อยครั้งและสามารถทำให้องค์กรของท่านถึงขั้นล้มละลายได้…

Reference

• https://www.crowdstrike.com/cybersecurity-101/data-breach
• https://www.imperva.com/learn/data-security/data-breach
• https://www.cloudflare.com/learning/security/what-is-a-data-breach
• https://www.fortinet.com/resources/cyberglossary/data-breach
• https://www.trendmicro.com/vinfo/us/security/definition/data-breach