แคสเปอร์สกี้เผย เทคนิคการใช้ข้อมูลประจำตัวในทางที่ผิดเป็นการโจมตีที่มีประสิทธิภาพมากที่สุด แม้จะมีมาตรการความปลอดภัยเข้มงวด

รายงานเรื่อง "Anatomy of a Cyber World" เป็นรายงานระดับโลกเชิงลึกที่รวบรวมข้อมูลจาก Kaspersky Managed Detection and Response (MDR), Incident Response (IR), Compromise Assessment และ SOC Consulting ในปี 2025 ซึ่งครอบคลุมเทคนิค เครื่องมือ และสถานการณ์การตรวจจับที่พบบ่อยที่สุด และเน้นถึงลักษณะเฉพาะของเหตุการณ์ที่ตรวจพบ

จากรายงานพบว่า ส่วนสำคัญของเทคนิคการโจมตีที่ได้รับการตรวจสอบบ่อยที่สุดเกี่ยวข้องกับข้อมูลประจำตัวและการจัดการตัวตน การวิเคราะห์นี้ ซึ่งตรวจสอบอัตราการแปลงของตัวบ่งชี้การโจมตี (IoA) ต่างๆ เน้นย้ำถึงกลยุทธ์ที่เป็นอันตรายที่แพร่หลายดังต่อไปนี้

• การเดารหัสผ่าน (Password guessing) - 8% เทคนิคนี้เกี่ยวข้องกับการที่ผู้โจมตีพยายามใช้รหัสผ่านต่างๆ อย่างเป็นระบบจนกว่าจะสามารถเข้าถึงบัญชีได้สำเร็จ เทคนิคนี้ติดอันดับต้นๆ ของรายการการบุกรุก เนื่องจากพบได้ทั้งในการโจมตีจริงและการประเมินความปลอดภัยที่ได้รับอนุญาต ทำให้เป็นภัยคุกคามที่ยังคงมีอยู่ในภูมิทัศน์ด้านความปลอดภัยทางไซเบอร์ในปัจจุบัน องค์กรที่ใช้รหัสผ่านที่อ่อนแอหรือใช้ซ้ำยังคงปล่อยให้กลยุทธ์เก่าแก่แบบนี้ดำเนินต่อไป

• การสร้างบัญชีภายในเครื่อง (Local account creation) - 7% เมื่อเข้าไปในระบบได้แล้ว ผู้โจมตีมักจะสร้างบัญชีภายในเครื่องใหม่เพื่อรักษาการเข้าถึงแม้ว่าการเข้าถึงเดิมจะถูกค้นพบและลบออกไปแล้วก็ตาม เทคนิคนี้มักพบเห็นได้ในระหว่างการฝึกซ้อมด้านความปลอดภัยและสามารถตรวจจับได้ แต่ต้องมีข้อมูลการวัดผลที่ถูกต้อง ซึ่งมักจะขาดหายไป

• การใช้บัญชีที่ถูกต้องในทางที่ผิด (Valid account abuse) - 5% แทนที่จะใช้มัลแวร์ ผู้โจมตีจะเข้าสู่ระบบโดยใช้ข้อมูลประจำตัวที่ถูกขโมยหรือถูกบุกรุก และกลมกลืนไปกับกิจกรรมของผู้ใช้ปกติ ซึ่งทำให้การตรวจจับทำได้ยากขึ้นอย่างมาก เนื่องจากตัวการเข้าถึงเองดูเหมือนถูกต้องตามกฎหมาย อัตราการแปลงที่สูงเน้นย้ำว่าเหตุใดข้อมูลประจำตัวที่ถูกบุกรุกจึงยังคงเป็นหนึ่งในช่องทางการโจมตีที่อันตรายที่สุด

• การเปลี่ยนแปลงบัญชีผู้ใช้ (Account manipulation) - 32% ผู้โจมตีแก้ไขบัญชีผู้ใช้ที่มีอยู่เพื่อรวมการเข้าถึง เช่น การเปิดใช้งานบัญชีที่ถูกปิดใช้งาน การเปลี่ยนแปลงการเป็นสมาชิกกลุ่ม หรือการยกระดับสิทธิ์ ซึ่งเป็นการตอกย้ำรูปแบบที่กว้างขึ้น กล่าวคือ แทนที่จะนำเครื่องมือใหม่มาใช้ ผู้โจมตีจะเพิ่มการควบคุมโดยใช้สิ่งที่มีอยู่แล้ว

• การค้นหาบริการเครือข่าย (Network service discovery) - 2% ก่อนที่จะรุกเข้าไปในเครือข่าย ผู้โจมตีมักจะสแกนหาบริการและระบบที่เปิดอยู่ซึ่งพวกเขาสามารถเข้าถึงได้ ขั้นตอนนี้เป็นตัวบ่งชี้ที่สำคัญของสิ่งที่จะตามมา นั่นคือ การเคลื่อนที่ในแนวนอนและการโจมตีเพิ่มเติม การตรวจพบตั้งแต่เนิ่นๆ จะทำให้ทีมรักษาความปลอดภัยมีโอกาสสำคัญในการเข้าแทรกแซง

รายงานฉบับนี้จัดอันดับเทคนิคการโจมตีตามความถี่ที่กิจกรรมที่ตรวจพบส่งผลให้เกิดเหตุการณ์ที่เป็นอันตรายที่ได้รับการยืนยันแล้ว ผู้เชี่ยวชาญจากแคสเปอร์สกี้กล่าวว่า แม้ว่า MITRE ATT&CK(R) จะรวบรวมเทคนิคการโจมตีจำนวนมาก แต่การตรวจจับที่มีประสิทธิภาพจำเป็นต้องให้ความสำคัญกับพฤติกรรมที่มีโอกาสสูงที่สุดที่จะมีเจตนาร้าย ในขณะเดียวกันก็ต้องหลีกเลี่ยงการแจ้งเตือนผิดพลาดมากเกินไป

เซอร์เกย์ โซลดาทอฟ หัวหน้าศูนย์ปฏิบัติการด้านความปลอดภัยของแคสเปอร์สกี้ กล่าวว่า "ผู้ก่อภัยคุกคามไม่จำเป็นต้องใช้มัลแวร์ที่ซับซ้อนเสมอไปเพื่อให้บรรลุเป้าหมาย ในหลายกรณี เครื่องมือบริหารจัดการที่ถูกต้องตามกฎหมายและบัญชีที่ถูกบุกรุกยังคงเป็นวิธีที่เร็วที่สุดและมีประสิทธิภาพที่สุดในการเข้าถึงภายในองค์กรโดยหลีกเลี่ยงการตรวจจับ ความนิยมอย่างต่อเนื่องของเทคนิคเหล่านี้แสดงให้เห็นว่าองค์กรต่างๆ จำเป็นต้องมีข้อมูลเชิงลึกเกี่ยวกับพฤติกรรมของผู้โจมตีและความสามารถในการเชื่อมโยงกิจกรรมที่น่าสงสัยในขั้นตอนต่างๆ ของการโจมตี เพื่อรับมือกับความท้าทายเหล่านี้ บริษัทต่างๆ สามารถเพิ่มความปลอดภัยด้วยโซลูชันของเรา ได้แก่ Kaspersky Managed Detection and Response และ Incident Response ซึ่งครอบคลุมวงจรการจัดการเหตุการณ์ทั้งหมด ตั้งแต่การตรวจจับภัยคุกคามไปจนถึงการป้องกันและการแก้ไขอย่างต่อเนื่อง"

• ข่าวแคสเปอร์สกี้
• ข่าวความปลอดภัย
• ข่าวo:member
• ข่าวมัลแวร์
• ข่าวไซเบอร์