Microsoft Security
หากตรวจพบการโจมตีทางไซเบอร์ การดำเนินการอย่างรวดเร็วถือเป็นสิ่งสำคัญในการบรรเทาความเสียหาย ควบคุมการรั่วไหล และกู้คืนการดำเนินงาน หลังจากการโจมตี ให้ทําตามขั้นตอนที่สําคัญต่อไปนี้:
ควบคุมความเสียหาย นำคอมพิวเตอร์ เซิร์ฟเวอร์ หรือส่วนของเครือข่ายที่ถูกโจมตีออกจากเครือข่ายเพื่อป้องกันการแพร่กระจายเพิ่มเติม ถอดสายเคเบิลอีเทอร์เน็ต ปิดใช้งานเครือข่ายไร้สาย หรือใช้กฎไฟร์วอลล์เพื่อควบคุมการโจมตี ปิดใช้งานบัญชีและข้อมูลประจำตัวที่ถูกโจมตี และรีเซ็ตรหัสผ่านสำหรับบัญชีที่ได้รับผลกระทบ เพิกถอนโทเค็นการเข้าถึงและคีย์ API หากจำเป็น ใช้กฎไฟร์วอลล์เพื่อบล็อกการเชื่อมต่อจาก IP ของผู้โจมตีที่รู้จัก และปิดเซสชันการเข้าถึงระยะไกลที่ไม่ได้รับอนุญาต
ติดต่อผู้ให้บริการที่มีการจัดการของคุณ บริษัทหลายแห่งให้ความช่วยเหลือในกรณีที่เกิดการเจาะระบบความปลอดภัย หากคุณมีผู้ให้บริการที่มีการจัดการเพื่อช่วยเหลือทีมงานภายในของคุณ โปรดติดต่อผู้ให้บริการโดยเร็วที่สุด
ระบุประเภทของการโจมตี มองหาพฤติกรรมของระบบที่ไม่คาดคิด การเข้าถึงที่ไม่ได้รับอนุญาต หรือการเรียกร้องค่าไถ่ ตรวจสอบว่าเป็นมัลแวร์, แรนซัมแวร์, ฟิชชิ่ง, DDoS หรือการรั่วไหลของข้อมูล
ตรวจสอบว่าข้อมูลถูกโจมตีหรือไม่ ตรวจสอบบันทึกเพื่อค้นหาความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาต ตรวจสอบว่ามีการขโมยข้อมูลลูกค้า ข้อมูลทางการเงิน หรือข้อมูลกรรมสิทธิ์ที่ละเอียดอ่อนหรือไม่ หากจำเป็นต้องคืนค่าข้อมูล ให้ใช้การสำรองข้อมูลใหม่ทั้งหมดและไม่ได้รับผลกระทบเพื่อดำเนินการคืนค่า ตรวจสอบยืนยันว่าการสำรองข้อมูลปราศจากมัลแวร์ก่อนนำไปปรับใช้อีกครั้ง
ประเมินความสมบูรณ์ของระบบ ระบุระบบหรือแอปพลิเคชันที่ได้รับผลกระทบ มองหาการเปลี่ยนแปลงของไฟล์ บันทึกที่ถูกลบ หรือสิทธิ์ที่ถูกเปลี่ยนแปลงแก้ไข ระบุกระบวนการที่เป็นอันตรายและปิดการทำงานเพื่อป้องกันความเสียหายเพิ่มเติม นำมัลแวร์และการเข้าถึงที่ไม่ได้รับอนุญาตออก ใช้เครื่องมือซอฟต์แวร์ป้องกันไวรัสและซอฟต์แวร์ป้องกันมัลแวร์ที่ได้รับการอัปเดตเพื่อสแกนและทำความสะอาดอุปกรณ์ที่ติดไวรัส รีเซ็ตการกำหนดค่าของระบบและนำบัญชีที่ไม่ได้รับอนุญาตออก
แจ้งให้ทีมงานและหน่วยงานภายในรับทราบ รายงานเหตุการณ์ดังกล่าวให้ฝ่ายไอที ทีมงานด้านการรักษาความปลอดภัย ผู้บริหาร และทีมงานกฎหมายรับทราบ หากข้อมูลส่วนบุคคลถูกโจมตี โปรดแจ้งให้หน่วยงานกำกับดูแลรับทราบ เช่น ข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูล (GDPR), Health Insurance Portability and Accountability Act (HIPAA) และหน่วยงานที่ปฏิบัติตาม PCI-DSS ตามที่กฎหมายกำหนด
เก็บรักษาหลักฐานเพื่อการวิเคราะห์ทางนิติวิทยาศาสตร์ อย่าลบบันทึกหรือรีสตาร์ตระบบทันที บันทึกสถานะของระบบและไฟล์บันทึกเพื่อตรวจสอบเพิ่มเติม
แก้ไขช่องโหว่และเพิ่มประสิทธิภาพการรักษาความปลอดภัย ใช้แพตช์ความปลอดภัยและการอัปเดตซอฟต์แวร์ล่าสุด ตรวจสอบกฎไฟร์วอลล์ การตั้งค่าการรักษาความปลอดภัยของอีเมล และการควบคุมการเข้าถึง
ดำเนินการตรวจสอบหลังเกิดเหตุการณ์ ระบุสาเหตุหลักและบันทึกบทเรียนที่ได้รับ พิจารณามาตรการรักษาความปลอดภัยที่ล้มเหลวและวิธีการปรับปรุงมาตรการดังกล่าว
เหตุใดคุณจึงต้องมีแผนการตอบสนองต่อเหตุการณ์ที่มีประสิทธิภาพ
แผนการตอบสนองต่อเหตุการณ์มีความสำคัญต่อการลดระยะเวลาการหยุดทำงานและการสูญเสียทางการเงินให้เหลือน้อยที่สุด โดยการลดการหยุดชะงักของการดำเนินงานและป้องกันการสูญเสียรายได้ นอกจากนี้ยังรองรับการปฏิบัติตามข้อบังคับ เนื่องจากอุตสาหกรรมหลายแห่งต้องมีแผนการตอบสนองต่อเหตุการณ์ที่เป็นเอกสารเพื่อให้เป็นไปตามมาตรฐานต่างๆ อีกด้วย เช่น GDPR, HIPAA, NIST และ PCI-DSS แผนการตอบสนองที่ดำเนินการเป็นอย่างดียังช่วยปกป้องชื่อเสียงของคุณและช่วยรักษาความไว้วางใจของลูกค้าไว้ได้ด้วยการสนับสนุนการควบคุมภัยคุกคามอย่างรวดเร็ว และป้องกันการรั่วไหลของข้อมูลและความเสียหายต่อแบรนด์ ซึ่งช่วยยกระดับความพร้อมและเวลาตอบสนองโดยช่วยให้ทีมสามารถตอบสนองได้อย่างรวดเร็วและมีประสิทธิภาพเมื่อเกิดการเจาะระบบความปลอดภัย นอกจากนี้ การตรวจสอบและปรับปรุงแผนการตอบสนองต่อเหตุการณ์อย่างต่อเนื่องจะช่วยเพิ่มประสิทธิภาพให้แก่เสถียรภาพการรักษาความปลอดภัยขององค์กร ซึ่งช่วยป้องกันการโจมตีในอนาคตได้
การโจมตีทางไซเบอร์ส่งผลกระทบในวงกว้างที่ขยายออกไปเกินขอบเขตของธุรกิจแต่ละแห่ง โดยส่งผลกระทบอย่างมากต่อเศรษฐกิจโลก การโจมตีสถาบันการเงิน ห่วงโซ่อุปทาน และโครงสร้างพื้นฐานที่สำคัญในวงกว้าง อาจส่งผลให้เกิดความสูญเสียเป็นมูลค่าหลายพันล้านดอลลาร์ ก่อให้เกิดการหยุดชะงักในอุตสาหกรรมและการเติบโตทางเศรษฐกิจชะลอตัว ตัวอย่างเช่น การโจมตีด้วยแรนซัมแวร์ต่อระบบการดูแลสุขภาพหรือโรงงานผลิตส่งผลให้มีการยุติการดำเนินงาน บริการที่ล่าช้า และต้นทุนที่เพิ่มขึ้น ธุรกิจขนาดเล็กซึ่งมักมีอุปกรณ์ไม่เพียงพอในการรับมือกับภัยคุกคามทางไซเบอร์ อาจได้รับความเสียหายทางการเงินที่ไม่สามารถแก้ไขได้ ส่งผลให้มีการเลิกจ้างบุคลากรและความเชื่อมั่นในตลาดที่ลดลง ต้นทุนที่เพิ่มสูงขึ้นของมาตรการด้านการรักษาความปลอดภัยบีบบังคับให้บริษัทและรัฐบาลต้องจัดสรรทรัพยากรมากขึ้นสำหรับการป้องกันแทนที่จะเป็นการสร้างสรรค์นวัตกรรมและการเติบโต ซึ่งส่งผลกระทบต่อผลิตภาพทางเศรษฐกิจในท้ายที่สุด
นอกเหนือจากความเสียหายทางการเงินแล้ว การโจมตีทางไซเบอร์ยังส่งผลกระทบร้ายแรงต่อสังคม โดยทำลายความไว้วางใจของสาธารณชนต่อระบบดิจิทัลและสถาบันต่างๆ เมื่อข้อมูลส่วนบุคคลถูกขโมย บุคคลต่างๆ จะต้องเผชิญกับการโจรกรรมข้อมูลประจำตัว การฉ้อโกงทางการเงิน และการละเมิดความเป็นส่วนตัว ส่งผลให้เกิดความเครียดทางด้านจิตใจและสูญเสียความเชื่อมั่นในบริการออนไลน์ การโจมตีบริการที่จำเป็น เช่น โครงข่ายไฟฟ้าหรือโรงพยาบาล อาจส่งผลต่อชีวิตประจำวัน คุกคามความปลอดภัยสาธารณะ และอาจถึงขั้นสูญเสียชีวิตได้ ยิ่งไปกว่านั้น การทำสงครามไซเบอร์โดยรัฐชาติและการเผยแพร่ข้อมูลบิดเบือนสามารถสร้างความไม่มั่นคงให้แก่รัฐบาล มีอิทธิพลต่อการเลือกตั้ง และก่อให้เกิดความขัดแย้งในกลุ่มประชาชนอีกด้วย เมื่อการพึ่งพาระบบดิจิทัลเพิ่มมากขึ้น ภัยคุกคามทางไซเบอร์ก็ยิ่งก่อให้เกิดความเสี่ยงต่อเสถียรภาพของโลกเพิ่มมากขึ้น ทำให้มาตรการรักษาความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพมีความจำเป็นต่อการปกป้องทั้งความเจริญทางเศรษฐกิจและความเป็นอยู่ที่ดีของสังคม
การโจมตีทางไซเบอร์ที่โด่งดังบางส่วน ได้แก่:
การโจมตีด้วยแรนซัมแวร์ WannaCry ในปี 2017 แรนซัมแวร์โจมตีช่องโหว่ใน Microsoft Windows อย่างรวดเร็วในกว่า 150 ประเทศ ส่งผลกระทบต่อโรงพยาบาล ธุรกิจ และหน่วยงานภาครัฐ ผู้ที่มีชื่อเสียงที่ตกเป็นเหยื่อในกรณีดังกล่าว ได้แก่ บริการสุขภาพแห่งชาติของสหราชอาณาจักร, FedEx, Renault และ Telefónica การโจมตีทางไซเบอร์ดังกล่าวก่อให้เกิดความเสียหายเป็นมูลค่า 4 พันล้าน USD ทั่วโลก
การรั่วไหลของข้อมูลในบริษัท Equifax ในปี 2017 ผู้โจมตีทางไซเบอร์ได้ใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ที่ไม่ได้รับการแก้ไข ส่งผลให้มีการเปิดเผยข้อมูลที่ละเอียดอ่อนของบุคคลถึง 147 ล้านคน ข้อมูลที่ถูกขโมย ได้แก่ หมายเลขประกันสังคม รายละเอียดบัตรเครดิต และข้อมูลระบุตัวตนส่วนบุคคล Equifax ยินยอมชำระเงินชดเชยค่าเสียหายและบริการติดตามตรวจสอบเครดิตเป็นจำนวน 700 ล้าน USD การโจมตีครั้งนี้ส่งผลให้มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่รัดกุมยิ่งขึ้นและการตรวจสอบหน่วยงานรายงานข้อมูลเครดิตอย่างเข้มงวดยิ่งขึ้น
การโจมตีห่วงโซ่อุปทานของบริษัท SolarWinds ในปี 2020 ผู้โจมตีทางไซเบอร์ซึ่งมุ่งเป้าไปยังหน่วยงานภาครัฐของสหรัฐอเมริกาและบริษัทในกลุ่ม Fortune 500 ได้เจาะระบบซอฟต์แวร์ Orion ของ SolarWinds โดยการแทรกแบ็คดอร์ที่ใช้ในการสอดแนมเครือข่าย ผู้ที่ตกเป็นเหยื่อในกรณีดังกล่าว ได้แก่ กระทรวงความมั่นคงภายในสหรัฐอเมริกา, Microsoft และ Intel
การโจมตีด้วยแรนซัมแวร์ต่อบริษัท Colonial Pipeline ในปี 2021 บริษัท Colonial Pipeline ถูกโจมตี ส่งผลให้บริษัทต้องยุติการดำเนินงานทั้งหมด เพื่อกู้คืนระบบคอมพิวเตอร์ที่ใช้ในการจัดการท่อส่งน้ำมันทั่วทั้งภาคตะวันออกเฉียงใต้ของสหรัฐอเมริกา Colonial Pipeline ได้ชำระเงินค่าไถ่ให้แก่แฮกเกอร์เป็นจำนวน 75 บิตคอยน์ (เทียบเท่ากับ 4.4 ล้าน USD ณ เวลานั้น) การโจมตีทางไซเบอร์ครั้งนี้ถือเป็นการโจมตีโครงสร้างพื้นฐานด้านน้ำมันครั้งใหญ่ที่สุดในประวัติศาสตร์ของสหรัฐอเมริกา และเน้นย้ำให้เห็นถึงช่องโหว่ในภาคพลังงานและการขนส่ง ส่งผลให้มีการใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพยิ่งขึ้น
สกุลเงินดิจิทัล ในเดือนมีนาคมและเมษายนปี 2022 ระบบการกู้ยืมเงินที่แตกต่างกันสามระบบต้องเผชิญกับการโจมตีทางไซเบอร์ ในช่วงเวลาหนึ่งสัปดาห์ ผู้โจมตีทางไซเบอร์ได้ขโมยสกุลเงินดิจิทัลมูลค่า 15.6 ล้าน USD จาก Inverse Finance, 625 ล้าน USD จาก Ronin Network ที่มุ่งเน้นด้านเกมเป็นหลัก และ 3.6 ล้าน USD จาก Ola Finance
ในช่วงไม่กี่ปีที่ผ่านมา การโจมตีทางไซเบอร์เกิดขึ้นบ่อยครั้งมากขึ้น ซับซ้อนมากขึ้น และสร้างความเสียหายทางการเงินมากขึ้น โดยแรนซัมแวร์กลายมาเป็นหนึ่งในภัยคุกคามที่สำคัญที่สุด ผู้โจมตีมักจะมุ่งเป้าไปยังทั้งบุคคลและองค์กร โดยเข้ารหัสข้อมูลที่สำคัญและเรียกร้องค่าไถ่เป็นจำนวนมหาศาล การโจมตีด้วยแรนซัมแวร์ระดับสูงต่อโรงพยาบาล สถาบันการเงิน และบริษัทโครงสร้างพื้นฐาน ส่งผลให้การดำเนินงานหยุดชะงักและก่อให้เกิดความสูญเสียทางการเงินอย่างรุนแรง อาชญากรไซเบอร์ยังหันไปใช้วิธีการเรียกค่าไถ่สองทาง ซึ่งไม่เพียงแต่จะล็อกข้อมูลไว้เท่านั้น แต่ยังขู่ว่าจะเผยแพร่ข้อมูลที่ละเอียดอ่อนหากไม่มีการชำระเงินค่าไถ่อีกด้วย การเพิ่มขึ้นของบริการแรนซัมแวร์ยิ่งช่วยให้แนวโน้มนี้เติบโตขึ้นอย่างต่อเนื่อง โดยเปิดโอกาสให้แม้แต่อาชญากรไซเบอร์ที่ไม่ได้มีความรู้ทางเทคนิคสามารถเริ่มโจมตีด้วยเครื่องมือด้านแรนซัมแวร์ที่สร้างไว้ล่วงหน้าได้
แนวโน้มที่น่าตระหนกอีกประการหนึ่งคือความซับซ้อนที่เพิ่มมากขึ้นของรูปแบบการฟิชชิ่งและการโจมตีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ แคมเปญฟิชชิ่งสมัยใหม่ใช้อีเมลที่สร้างโดย AI, เทคโนโลยีสื่อลวงลึก และกลวิธีการโจมตีแบบวิศวกรรมสังคมเพื่อหลอกล่อแม้แต่บุคคลที่ระมัดระวังที่สุดให้เปิดเผยข้อมูลที่ละเอียดอ่อน การโจมตีเหล่านี้มักจะหลีกเลี่ยงมาตรการรักษาความปลอดภัยแบบดั้งเดิม ส่งผลให้เกิดการโจรกรรมข้อมูลประจำตัวและการรั่วไหลของข้อมูล ในขณะเดียวกัน การโจมตีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐเริ่มแพร่หลายมากขึ้น โดยมุ่งเป้าโจมตีไปยังโครงสร้างพื้นฐานที่สำคัญ เช่น โครงข่ายไฟฟ้า โรงบำบัดน้ำ และหน่วยงานภาครัฐ การโจมตีเหล่านี้มักเกิดขึ้นจากรัฐชาติที่พยายามทำลายเศรษฐกิจของคู่แข่งหรือรวบรวมข่าวกรอง ซึ่งเน้นย้ำถึงความจำเป็นในการมีนโยบายการรักษาความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพยิ่งขึ้น ระบบตรวจหาภัยคุกคามที่ได้รับการปรับปรุง และความร่วมมือระหว่างประเทศเพื่อป้องกันการทำสงครามไซเบอร์
ติดตาม Microsoft Security