แนวโน้ม IB-2022: สถานการณ์ตลาดเปลี่ยนแปลงไปอย่างไร
แม้จะมีสภาวะที่เปลี่ยนแปลงอย่างรวดเร็วในรัสเซียและ
“เมื่อต้นปี 2022 ดูเหมือนว่ามีแรนซัมแวร์มันอาจจะจบลงแล้ว - มีการจับกุม บางกลุ่มหนีไป บางกลุ่มนอนต่ำและเปลี่ยนชื่อใหม่ เนื่องจากความขัดแย้งทางการเมือง ทีมงาน Conti จึงแตกแยก ซึ่งนำไปสู่การเผยแพร่ไฟล์ภายในและจดหมายโต้ตอบ แต่เมื่อถึงสิ้นปี 2023 ปรากฎว่าอาณาจักรแรนซัมแวร์ยังคงทรงพลังและอันตรายมาก” Valery Baulin กล่าว CEO ของ Group- IB ในรัสเซียและ CIS
มีสาเหตุหลายประการที่ทำให้ ransomware ประสบความสำเร็จประการแรก ผู้โจมตีไม่จำเป็นต้องแฮ็กโครงสร้างพื้นฐานด้วยตนเองหรือมองหาช่องโหว่ในเครือข่ายองค์กร พวกเขามีตลาดที่พัฒนาแล้วสำหรับการขายการเข้าถึงเครือข่ายองค์กร ตามที่ผู้เชี่ยวชาญของ Group-IB ระบุว่า เพิ่มขึ้นมากกว่าสองเท่า ในขณะที่ราคาการเข้าถึงลดลงประมาณครึ่งหนึ่ง 70% ของประเภทการเข้าถึงที่ปรากฏ ลดราคาเป็นบัญชี RDP และ VPN
ประการที่สอง เพื่อเข้าถึงองค์กรเครือข่ายเริ่มใช้บันทึกที่ได้รับจากผู้ขโมย - ซอฟต์แวร์ที่เป็นอันตรายซึ่งขโมยข้อมูลเข้าสู่ระบบ/รหัสผ่านไปยังบริการ SSO, VPN และบริการ Citrix นักขโมยกลายเป็นภัยคุกคามทางไซเบอร์ที่สำคัญที่สุดเป็นอันดับสองในปี 2022 รองจากแรนซัมแวร์ Valery Baulin กล่าว
เจออะไร รัสเซีย
Anton Kuzmin หัวหน้าศูนย์ต่อต้านภัยคุกคามทางไซเบอร์ Innostage CyberART กล่าวว่าการเปลี่ยนแปลงครั้งใหญ่ในด้านความปลอดภัยของข้อมูลเกิดขึ้นเมื่อปลายเดือนกุมภาพันธ์:
“เราเห็นกิจกรรมที่มีการประสานงานกันของผู้ที่เรียกกันว่า “แฮ็กทีวิสต์” ซึ่งเป็นผู้ใช้ที่ไม่มีประสบการณ์ในการโจมตี และปฏิบัติตามคำแนะนำบางอย่าง”
ทุกอย่างอยู่ที่ปืนจ่อ
ก่อนหน้านี้ต้องเผชิญกับการโจมตีทางไซเบอร์มากขึ้นการธนาคาร ภาคการเงิน องค์กรขนาดใหญ่คิดเกี่ยวกับความปลอดภัยของกิจกรรมบนอินเทอร์เน็ต ทุกวันนี้ บริษัทใด ๆ ที่ทำงานเชื่อมต่อกับอินเทอร์เน็ตอยู่ภายใต้ปืน - นั่นคือธุรกิจเกือบทั้งหมด
ทัศนคติต่อความปลอดภัยของข้อมูลเปลี่ยนไป
เมื่อหนึ่งปีที่แล้วจำเป็นต้องถ่ายทอดความสำคัญของความปลอดภัยของข้อมูลให้กับผู้บริหารขององค์กร ตอนนี้ไม่จำเป็นต้องทำเช่นนี้ - สถานการณ์ปัจจุบันได้ทำหน้าที่แทนทุกคนแล้ว
“ทุกวันนี้ ผู้นำหลายคนไม่เพียงแต่รู้เท่านั้นนี่คือความปลอดภัยทางไซเบอร์ – หลายคนประสบปัญหาโดยตรงจากข้อกำหนดในองค์กรของตน ทั้งธุรกิจขนาดใหญ่และขนาดเล็กต้องเผชิญกับการโจมตีแบบ DDoS การหยุดชะงักในการทำงานของระบบข้อมูล และการรั่วไหลของข้อมูล บริษัทใดก็ตามที่ทำงานเชื่อมต่อกับอินเทอร์เน็ต ซึ่งก็คือธุรกิจเกือบทั้งหมดกำลังถูกคุกคาม” แอนตัน คุซมินเน้นย้ำ
การออกจากบริษัทต่างประเทศ
แนวของอุปกรณ์ป้องกันเปลี่ยนไปอย่างมากซึ่งสามารถนำมาใช้ การจากไปของผู้เล่นด้านไอทีและความปลอดภัยของข้อมูลต่างชาติจากรัสเซีย เช่น McAfee, PaloAlto, Microsoft, IBM, ESET, Fortinet และ Cisco Systems Inc. ส่งผลกระทบอย่างมากต่อตลาด การยุติกิจกรรมในประเทศของผู้ขายต่างประเทศทำให้ระดับความเชื่อมั่นในตัวพวกเขาลดลงในส่วนของบริษัทรัสเซีย และส่วนใหญ่ยังไม่พร้อมที่จะทำงานร่วมกับโซลูชันจากต่างประเทศ แม้ว่านักพัฒนาซอฟต์แวร์ของพวกเขาจะกลับมาทำกิจกรรมในรัสเซียต่อก็ตาม
การทดแทนการนำเข้า
ธุรกิจของรัสเซียสร้างมาหลายปีแล้วโครงสร้างพื้นฐานที่ใช้โซลูชั่นของตะวันตก อย่างไรก็ตาม หลังจากการจากไปของบริษัทต่างประเทศ เช่นเดียวกับข้อจำกัดและการห้ามใช้โซลูชั่นของพวกเขา ฉันถูกบังคับให้มองหาเส้นทางใหม่
เทคนิคที่ผู้โจมตีใช้ในปี 2565
การโจมตีทางไซเบอร์ที่บันทึกในรัสเซียในปีนี้สามารถแบ่งออกเป็นเจ็ดประเภท:
- การโจมตีแบบปฏิเสธการให้บริการ (DDoS)- นี่คือการโจมตีประเภทหลักที่ใช้อยู่ในปัจจุบัน โดยมีเป้าหมายหลักคือการปิดการใช้งานระบบหรือซ่อนการโจมตีทางไซเบอร์ประเภทอื่น
- เสียหน้าโดดเด่นด้วยการแทนที่เนื้อหาของที่ถูกแฮ็กแหล่งข้อมูลและวางข้อความท้าทายใด ๆ เพื่อวัตถุประสงค์ในการโฆษณาชวนเชื่อและก่อให้เกิดความเสียหายต่อชื่อเสียงต่อเจ้าของไซต์
- อีเมลฟิชชิ่ง- ประเภทของการฉ้อโกงทางอินเทอร์เน็ตตามวิธีการวิศวกรรมสังคม โดยมีวัตถุประสงค์เพื่อชักจูงจิตใจผู้คนให้ดำเนินการบางอย่างหรือเปิดเผยข้อมูลที่เป็นความลับ ซึ่งส่วนใหญ่มักเป็นการขโมยข้อมูลบัตรธนาคาร
- การฉีดซอฟต์แวร์ที่เป็นอันตราย (VPO)— การใช้งานมัลแวร์ในระบบสารสนเทศองค์กรต่างๆ ที่มีจุดมุ่งหมายในการเจาะโครงสร้างพื้นฐานหรือดำเนินการทำลายล้าง (เช่น การเข้ารหัสข้อมูล) ที่มุ่งเป้าไปที่โครงสร้างพื้นฐานด้านไอที
- บัญชีแจกแจง (Brute Force)ไปยังบริการการเข้าถึงระยะไกล - สาระสำคัญของแนวทางประกอบด้วยการค้นหาอัตโนมัติตามลำดับของชุดอักขระที่เป็นไปได้ทั้งหมด เพื่อค้นหาชุดชื่อผู้ใช้และรหัสผ่านที่ถูกต้อง
- การสแกนอัตโนมัติแหล่งข้อมูลเพื่อการค้นหาขอบเขตเครือข่ายขององค์กรมีช่องโหว่ที่สำคัญและซอฟต์แวร์ที่กำหนดค่าไม่ถูกต้องซึ่งแฮกเกอร์สามารถใช้เพื่อเจาะโครงสร้างพื้นฐานหรือบุกรุกข้อมูลและระบบสารสนเทศ
- การใช้รหัสตามอำเภอใจบนเว็บเซิร์ฟเวอร์. ตัวอย่างเช่น SQL-injection หรือ cross-site scripting (XSS) การโจมตีทำให้เข้าถึงฐานข้อมูลได้ เช่นเดียวกับการแทรกโค้ดอันตรายเข้าไปในระบบเว็บ
เป็นที่ชัดเจนว่าเหตุการณ์ต่างๆ ที่เกิดขึ้นนั้นเวทีไซเบอร์ในปี 2565 เป็นเพียงผลพวงของวิกฤตภูมิรัฐศาสตร์เท่านั้น นักแฮ็กเกอร์ ร่วมกับแฮ็กเกอร์ที่สนับสนุนรัฐบาล เริ่มดำเนินการรณรงค์ร่วมกัน ซึ่งกลายเป็นเรื่องที่เห็นได้ชัดเจนที่สุดในเรื่องราวของการโจมตี DDOS และการแฮ็กบริษัทต่างๆ เพื่อขโมยฐานข้อมูลขนาดใหญ่ที่มีการประสานงานอย่างชัดเจน
“โดยทั่วไปแล้ว ปีนี้ได้สร้างสถิติต่อต้านจำนวนการรั่วไหล และ “ผู้นำ” คือเดือนสิงหาคม เมื่อมีการโพสต์การรั่วไหล 100 ครั้ง รวมถึงฐานข้อมูลของบริษัทรัสเซีย 75 แห่ง เราเห็นว่าแรงจูงใจของอาชญากรเปลี่ยนไป: หากฐานข้อมูลที่ถูกขโมยก่อนหน้านี้ถูกนำไปขาย ตอนนี้ฐานข้อมูลเหล่านั้นจะเปิดเผยต่อสาธารณะได้ฟรีเพื่อสร้างความเสียหายต่อชื่อเสียงหรือเศรษฐกิจต่อธุรกิจและลูกค้าของพวกเขา” Valery Baulin กล่าว
สิ่งที่เกี่ยวกับการทดแทนการนำเข้า?
ธุรกิจของประเทศในปัจจุบันมุ่งเป้าไปที่การทดแทนการนำเข้าซอฟต์แวร์และฮาร์ดแวร์ แม้แต่ราคาที่สูงขึ้นของนักพัฒนาชาวรัสเซียก็ไม่ได้หยุดเขาจากการซื้อสินค้าในประเทศ บริษัท ในประเทศคาดว่าผลิตภัณฑ์จากต่างประเทศของรัสเซียจะเกิดขึ้นซึ่งอยู่ในขั้นตอนการพัฒนา ยิ่งไปกว่านั้น พวกเขาพร้อมที่จะซื้อและทดสอบด้วยฟังก์ชันการทำงานที่อ่อนแอกว่าคู่แข่งจากต่างประเทศ จริงอยู่ มีเงื่อนไขอยู่ - สิ่งสำคัญคือต้องปรับแต่งให้อยู่ในสถานะที่ต้องการอย่างรวดเร็ว
“ผู้ขายในรัสเซียหลายรายค่อนข้างกระตือรือร้นขยายสายการผลิตและปรับปรุงผลิตภัณฑ์ โดยรับผลตอบรับจากลูกค้า เนื่องจากโซลูชันมีการเจริญเติบโต ขณะนี้มีผู้เล่นใหม่ ตลาดกำลังเติบโต เป็นเรื่องที่น่าสนใจที่บริษัทขนาดใหญ่พัฒนาผลิตภัณฑ์ของตนซึ่งพวกเขาจะนำเสนอสู่ตลาดในอนาคต” Anton Kuzmin หัวหน้าศูนย์ตอบโต้ภัยคุกคามทางไซเบอร์ Innostage CyberART กล่าวเน้นย้ำ
งานหลักเกี่ยวกับการทดแทนการนำเข้าได้เริ่มขึ้นแล้วหลังจากคำสั่งประธานาธิบดีครั้งที่ 250 “เกี่ยวกับมาตรการเพิ่มเติมเพื่อรับรองความปลอดภัยของข้อมูล” และการออกจากผู้ขายต่างประเทศจากสหพันธรัฐรัสเซีย ได้แก่ ความเป็นไปไม่ได้ในการซื้อ การต่ออายุใบอนุญาตปัจจุบัน การตัดการเชื่อมต่อจากบริการคลาวด์ และการขาดการสนับสนุนจากผู้ขาย จากข้อมูลของ Anton Kuzmin หากเราใช้แนวทางคลาสสิกในการปรับปรุงโครงสร้างพื้นฐานให้ทันสมัย ก่อนที่จะแนะนำสิ่งใหม่ จำเป็นต้อง: ทดสอบผลิตภัณฑ์ วิเคราะห์และแก้ไขฟังก์ชันการทำงานที่จำเป็น ดำเนินการนำร่อง จากนั้นจึงนำโซลูชันไปใช้เท่านั้น แต่ละขั้นตอนเหล่านี้มักใช้เวลานาน โดยเฉพาะอย่างยิ่งหากเกี่ยวข้องกับระบบที่ซับซ้อนและสำคัญ เช่น เครื่องมือรักษาความปลอดภัยข้อมูล (เครื่องมือรักษาความปลอดภัยข้อมูล)
การคาดการณ์สำหรับปี 2023
โดยคำนึงถึงการพึ่งพาบรรยากาศของตลาดความปลอดภัยทางไซเบอร์จากสถานการณ์ทางการเมืองในโลกไม่น่าเป็นไปได้ที่สถานการณ์ในโลกไซเบอร์จะเปลี่ยนแปลงไปมาก แนวโน้มปี 2022 จะดำเนินต่อไป แต่แรงกดดันอาจรุนแรงขึ้นในบางด้าน
“จริยธรรมในการโจมตีของแฮ็กทีวิสต์จะเป็นที่สิ้นสุดลืม หากก่อนหน้านี้เป็นรูปแบบที่แย่มากในการเข้ารหัสโรงพยาบาล ตอนนี้ก็จะกลายเป็น "แย่ถ้าไม่ใช่ในรัสเซีย" เนื่องจากภูมิหลังทางการเมือง จะมีการปฏิบัติการทางไซเบอร์แบบมืออาชีพ (APT) มากขึ้น และทั้งคนธรรมดาและบริษัทเชิงพาณิชย์จะมีส่วนร่วม เป็นเส้นทางที่เป็นไปได้ไปยังโครงสร้างพื้นฐานที่เป็นเป้าหมายหรือความเสียหายหลักประกัน การโจมตีห่วงโซ่อุปทานจะมีความเกี่ยวข้องมากขึ้นและโซ่เองก็จะสร้างได้ยากขึ้นเนื่องจากการเมือง” Anton Bochkarev ซีอีโอของ 3side กล่าว
แนวโน้มการทดแทนการนำเข้าจะทวีความรุนแรงมากขึ้น
ในช่วงปี 2022 นักพัฒนาได้ "สร้างใหม่"และภายในต้นปีหน้า คาดว่าจะมีการเปิดตัวผลิตภัณฑ์ใหม่ๆ สู่ตลาดครั้งใหญ่ ในขณะเดียวกัน ท่ามกลางการเพิ่มขึ้นของจำนวน GIS ใหม่ จำเป็นต้องมีระบบนิเวศภายในประเทศที่ยั่งยืน นอกเหนือจากผลิตภัณฑ์รักษาความปลอดภัยข้อมูลแล้ว ควรรวมถึงฮาร์ดแวร์ ระบบปฏิบัติการ และแอพพลิเคชั่นซอฟต์แวร์ที่ใช้ภาษารัสเซียด้วย ในเวลาเดียวกัน พวกเขาจะต้องมีปฏิสัมพันธ์ “ไร้รอยต่อ” ซึ่งกันและกัน Anton Kuzmin หัวหน้าศูนย์ Innostage CyberART เพื่อการต่อต้านภัยคุกคามทางไซเบอร์เน้นย้ำ
ผลที่ตามมาของการจากไปของบริษัทต่างประเทศ
บริษัทรัสเซียยังไม่รู้สึกถึงการจากไปของบริษัทต่างชาติอย่างเต็มที่ เนื่องจากบริษัทหลายแห่งได้รับสัญญาล่วงหน้าหนึ่งปี ปี 2023 จะแสดงให้เห็นถึงผลที่ตามมาในทางปฏิบัติของการจากไปของผู้ขายในต่างประเทศ
แบบฝึกหัดทางไซเบอร์และรูปหลายเหลี่ยมทางไซเบอร์
ในช่วงปี 2565 หลายๆ บริษัทมีความเข้มข้นอัพเกรดระบบการป้องกันด้วยวิธีการป้องกันใหม่ ในเรื่องนี้ ควรมีความต้องการการฝึกอบรมการปฏิบัติงานจริงเกี่ยวกับอุปกรณ์รักษาความปลอดภัยใหม่และการเชื่อมต่อกับอุปกรณ์รักษาความปลอดภัยอื่นๆ ของบริษัทเพิ่มขึ้น
บริการสนับสนุนการดำเนินงาน (จ้างบุคคลภายนอก/จ้างพนักงานภายนอก)
ความต้องการนี้เกี่ยวข้องกับความพร้อมของบุคลากรที่ได้รับการฝึกอบรมเพื่อให้แน่ใจว่าระบบรักษาความปลอดภัยข้อมูลทำงานได้อย่างถูกต้อง
“ระหว่างการโจมตีหรือเพนเทส หลายๆ บริษัทตระหนักว่าเครื่องมือป้องกันที่นำไปใช้โดยไม่ได้รับการดูแลอย่างต่อเนื่องจากพนักงานที่รับผิดชอบหยุดรับประกันความถูกต้องของงานเมื่อเวลาผ่านไป จึงจำเป็นต้องมีบุคลากรของตนเองหรือที่ได้รับการว่าจ้างในการตรวจสอบสถานะของระบบการป้องกันอย่างต่อเนื่อง” Anton Kuzmin กล่าว
การลงทุนด้านบุคลากร
หลังจากใช้ชีวิตอยู่กับความเป็นจริงใหม่มาเป็นเวลาหนึ่งปี บริษัทหลายแห่งก็เข้าใจอย่างชัดเจนว่าพวกเขาต้องลงทุนในการพัฒนาตลาดความปลอดภัยทางไซเบอร์ในรัสเซีย โดยเฉพาะอย่างยิ่งในการเพิ่มศักยภาพด้านทรัพยากรบุคคล
อ่านเพิ่มเติม:
ประโยชน์ของวิตามินดีในการป้องกันมะเร็งนั้นแตกต่างกันไปตามน้ำหนัก
ฝูงเพนกวินที่ซ่อนอยู่ถูกค้นพบโดยบังเอิญจากภาพถ่ายอวกาศ
จุดดับบนดวงอาทิตย์ขนาดยักษ์กำลังหันเข้าหาโลก มองเห็นได้ด้วยตาเปล่า