เหตุแผ่นดินไหวมีนาคม 2568 ยังไม่มีผลกับสถานการณ์ภัยคุกคามไซเบอร์ในประเทศไทย พบแรนซัมแวร์หรือมัลแวร์เรียกค่าไถ่ยังเป็นหนึ่งในปัญหาหลักของไทยโดยเฉพาะภาคการผลิต ชี้แม้ปริมาณการโจมตีด้วยแรนซัมแวร์จะลดลงในช่วง 2 ปีที่ผ่านมาแต่ผลกระทบยังคงสูง ล่าสุดผู้โจมตีมีการใช้ “แรนซัมแวร์แบบบริการ” ทำให้แม้แต่ผู้ที่ไม่มีทักษะก็สามารถเช่าบริการและโจมตีเป้าหมายได้ ส่งผลให้องค์กรขนาดเล็กตกเป็นเหยื่อมากขึ้น
มาร์ค ลาลิเบอร์เต้ (Marc Laliberte) ผู้นำด้านปฏิบัติการความมั่นคงปลอดภัยทางไซเบอร์ที่ WatchGuard Technologies เปิดเผยว่าหลังเหตุการณ์แผ่นดินไหวที่เกิดขึ้นเมื่อไม่นานนี้ในประเทศไทย มิจฉาชีพได้ใช้โอกาสนี้สร้างการหลอกลวงผ่านข้อความ SMS โดยส่งลิงก์อ้างว่าเป็นข้อมูลเกี่ยวกับแผ่นดินไหว เพื่อหลอกให้ผู้คนเปิดเผยข้อมูลส่วนตัวหรือข้อมูลทางการเงิน อย่างไรก็ตาม ภัยคุกคามหลักทางไซเบอร์ของไทยยังอยู่ที่แรนซัมแวร์ และสิ่งที่น่ากังวลคือแฮกเกอร์มีการใช้ Ransomware-as-a-Service มากขึ้น ซึ่งหมายความว่าผู้โจมตีไม่จำเป็นต้องมีทักษะสูงก็สามารถเริ่มการโจมตีด้วยแรนซัมแวร์ได้โดยไม่ต้องลงทุนมากนัก
“เมื่อพูดถึงภัยคุกคามที่น่าจับตาในปีนี้และปีที่ผ่านมา สิ่งที่โดดเด่นในประเทศไทยคือ แรนซัมแวร์ (Ransomware) ซึ่งยังคงเป็นปัญหาใหญ่มากโดยเฉพาะอย่างยิ่งในภาคการผลิต รองลงมาคือ ภาคการดูแลสุขภาพ และ หน่วยงานภาครัฐ นอกจากนี้ อีกประเด็นที่น่ากังวลคือ ช่องว่างของทักษะด้านไซเบอร์ เราพบว่าจำนวนผู้เชี่ยวชาญด้านความปลอดภัยในภูมิภาคนี้ลดลงมากกว่าภูมิภาคอื่นทั่วโลก การที่องค์กรถูกโจมตีโดยกลุ่มภัยคุกคามที่มีความซับซ้อน แต่กลับขาดแคลนบุคลากรที่มีความรู้ความสามารถด้านความปลอดภัย ถือเป็นสูตรสำเร็จของหายนะ”
หนึ่งในสาเหตุที่ทำให้ปริมาณการโจมตีด้วยแรนซัมแวร์ลดลง แต่ผลกระทบสูงขึ้น คือ บริษัทประกันภัยไซเบอร์ในปัจจุบันมีแนวโน้มที่จะไม่จ่ายค่าไถ่เหมือนในอดีต ทำให้แรงจูงใจในการโจมตีด้วยแรนซัมแวร์ลดลง อย่างไรก็ตาม กลุ่มโจมตียังคงปรับตัว โดยหันไปใช้วิธีการ Triple Extortion คือ นอกจากการเข้ารหัสไฟล์และขู่ว่าจะเปิดเผยข้อมูลที่ขโมยมาแล้ว ยังขู่ที่จะโจมตีลูกค้าของเหยื่ออีกด้วย ขณะเดียวกัน กลุ่มโจมตียังมุ่งเป้าหมายไปยังภาคส่วนที่มีความสำคัญต่อการดำเนินงาน เช่น ภาคการผลิตและภาคการดูแลสุขภาพ เนื่องจาก Downtime ในภาคส่วนเหล่านี้มีต้นทุนที่สูงมาก และอาจส่งผลกระทบต่อชีวิตผู้คนได้
***MDR ไทยเทรนด์แรง
มาร์คผู้มีประสบการณ์ 13 ปีกับการดูแลความปลอดภัยไซเบอร์กับ WatchGuard ซึ่งดำเนินธุรกิจในประเทศไทยมานานกว่า 12 ปี ระบุว่าได้เห็นแนวโน้มที่น่าสนใจในตลาด บริการด้านความปลอดภัยที่มีผู้เชี่ยวชาญดูแลจัดการ (Managed Services) กำลังได้รับความนิยมมากขึ้นในประเทศไทย สาเหตุหลักก็คือหลายบริษัทไม่สามารถสรรหา ว่าจ้าง หรือรักษาผู้เชี่ยวชาญด้านความปลอดภัยไว้ได้ จึงหันไปร่วมมือกับผู้ให้บริการเพื่อดูแลด้านความปลอดภัยให้แทน
เทรนด์นี้สอดคล้องกับการดำเนินงานของ WatchGuard ซึ่งได้ลงทุนต่อเนื่องในการพัฒยสเครื่องมือรักษาความปลอดภัยไซเบอร์ที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ AI (Artificial Intelligence) ซึ่งผสมรวมบริการความปลอดภัยที่หลากหลายเพื่อตรวจจับความผิดปกติและกิจกรรมที่น่าสงสัย โดย WatchGuard ย้ำว่าได้ใช้ AI ในผลิตภัณฑ์มานานเกิน 10 ปีไม่ว่าจะเป็นระบบตรวจจับภัยทั้งในเครือข่ายและอุปกรณ์ไฟร์วอลล์ นอกจากนี้ ในส่วนของ Endpoint ก็มีสิ่งที่เรียกว่า Zero Trust Application Service ซึ่งเป็นบริการตรวจสอบไฟล์ด้วย AI ที่จะไม่อนุญาตให้ไฟล์ใดๆ ทำงานจนกว่าจะมั่นใจว่าเป็นไฟล์ที่ปลอดภัย แปลว่าจะไม่มีไฟล์ที่เป็นอันตรายสามารถรันบนเครื่องคอมพิวเตอร์ของผู้ใช้ได้
เมื่อปีที่ผ่านมา WatchGuard ได้เปิดตัว AI-Powered Network Detection and Response (NDR) ซึ่งเป็นบริการตรวจจับภัยคุกคามบนเครือข่ายแบบ Cloud-Native ที่น่าสนใจคือ บริการนี้สามารถทำงานร่วมกับอุปกรณ์เครือข่ายใดๆ ก็ได้ ไม่จำเป็นต้องเป็นผลิตภัณฑ์ของ WatchGuard เพียงอย่างเดียว
ล่าสุด WatchGuard Technologies ได้เข้าซื้อกิจการ ActZero ซึ่งเป็นผู้เล่นหลักในบริการ Managed Detection and Response หรือ MDR ที่ขับเคลื่อนด้วย AI การเข้าซื้อกิจการครั้งนี้ทำให้ WatchGuard มีขีดความสามารถด้าน AI ที่แข็งแกร่งยิ่งขึ้นในบริการ MDR ซึ่งจะช่วยลดเวลาในการตรวจจับและตอบสนองต่อเหตุการณ์ความปลอดภัยได้อย่างมีประสิทธิภาพ โดยลูกค้าองค์กรไม่จำเป็นต้องลงทุนในส่วนนี้เอง
“WatchGuard ให้ความสำคัญกับการลงทุนในเครื่องมือ AI อย่างมาก เพราะเชื่อว่านี่คืออนาคตของ Cybersecurity และเป็นหนทางเดียวที่เราจะสามารถรับมือกับกลุ่มภัยคุกคามที่ก็ใช้ AI ในทางที่ผิดเช่นกัน เป้าหมายหลักของเราคือการผลักดันให้มีการนำบริการ Managed Detection and Response และบริการที่ขับเคลื่อนด้วย AI ของเราไปใช้งานมากขึ้น เราเห็นความต้องการอย่างมากในตลาดประเทศไทย โดยเฉพาะอย่างยิ่งเมื่อต้องเผชิญกับปัญหาแรนซัมแวร์และการโจมตีที่ซับซ้อนมากขึ้น”
มาร์คชี้ว่าสิ่งที่ทำให้บริการ MDR ของ WatchGuard แตกต่างจากคู่แข่งคือ การผสานรวม AI และ Machine Learning เข้าไปในระบบเบื้องหลังอย่างเข้มข้น ซึ่งเป็นผลมาจากการเข้าซื้อกิจการครั้งล่าสุด ที่ทำให้สามารถใช้ AI ในหลายส่วน ทั้งในการตรวจจับภัยคุกคาม โดยมี AI Model ที่ได้รับการฝึกฝนเพื่อทำความเข้าใจเหตุการณ์โจมตีจากบริการต่างๆ ที่รองรับ เพื่อตรวจจับสิ่งที่มนุษย์อาจพลาดไป นอกจากนี้ยังใช้ AI ในขั้นตอนการสืบสวนเหตุการณ์ เพื่อช่วยให้ Security Analyst ของ WatchGuard ทำงานได้อย่างมีประสิทธิภาพมากขึ้น
ในอนาคต WatchGuard มีแผนจะยังคงลงทุนในด้านนี้ และจะเดินหน้าพัฒนาไปสู่ Open NDR และ Open XDR ที่สามารถรองรับบริการที่ไม่ใช่ของ WatchGuard ได้ โดยองค์กรที่ยังไม่ได้เป็นลูกค้าของ WatchGuard และสนใจบริการ MDR จะสามารถเข้าร่วมโปรแกรมพันธมิตร (Partner Program) ซึ่งไม่มีข้อกำหนดด้านยอดขาย เพียงแค่สมัครผ่านเว็บไซต์ watchguard.com เมื่อเป็นพันธมิตรแล้ว จะมีกระบวนการประเมิน MDR ที่ง่ายดาย โดย WatchGuard จะเข้าไปเก็บข้อมูลบนเครือข่ายจากระยะไหล และแสดงให้เห็นว่า WatchGuard สามารถช่วยตรวจจับภัยคุกคามที่อาจมีอยู่ในองค์กรได้
โมเดลการให้บริการ MDR นั้นมีทั้งแบบรายปีและรายเดือน จุดนี้ WatchGuard คาดการณ์ว่าตลาด MDR จะเติบโตอย่างต่อเนื่อง โดยเฉพาะในกลุ่มธุรกิจขนาดกลางและขนาดย่อม (SMEs) ที่ต้องการเอาท์ซอร์สงานด้านไซเบอร์ซีเคียวริตี้มากขึ้นในอนาคต
***OT โฟกัสหลัก
มาร์คชี้ว่าอีกความท้าทายในภาคการผลิตของไทย คือการมีเทคโนโลยีดั้งเดิมสำหรับการดำเนินงาน (Operational Technology – OT) ที่พยายามนำมาเชื่อมต่อกับเครือข่าย IT ที่ทันสมัยมากขึ้น ซึ่งอาจทำให้เกิดช่องโหว่ด้านความปลอดภัยได้ง่าย ดังนั้นโซลูชันอย่าง NDR จึงมีความสำคัญอย่างยิ่ง ที่จะต้องสามารถตรวจจับความผิดปกติบนเครือข่ายได้โดยไม่สนใจว่าอุปกรณ์นั้นจะเป็นคอมพิวเตอร์ทั่วไป หรือระบบควบคุมอุตสาหกรรม (SCADA)
“ผมคิดว่า OT จะยังคงเป็นเป้าหมายที่สำคัญ และเราจะเห็นเครื่องมือที่สามารถป้องกัน OT ได้มากขึ้นเรื่อยๆ โดยเฉพาะโซลูชันที่เน้นการตรวจจับความผิดปกติบนเครือข่าย”
สำหรับ AI มาร์คมองว่า AI เปิดโอกาสมากมายทั้งสำหรับผู้โจมตีและผู้ป้องกัน ในฝั่งของผู้โจมตีนั้นจะเห็นการใช้ AI ในการโจมตีแบบ Social Engineering เช่น การใช้ Deepfake ทำให้การหลอกลวงมีความน่าเชื่อถือมากขึ้น นอกจากนี้ AI ยังช่วยให้ผู้ที่ไม่มีความรู้ด้านการเขียนโปรแกรมสามารถสร้างโค้ดที่เป็นอันตรายได้ง่ายขึ้น แต่ในฝั่งของผู้ป้องกัน ก็มีการใช้ AI มานาน เพื่อตรวจจับความผิดปกติและการจำแนกประเภทของไฟล์และกระบวนการที่น่าสงสัย
อีกหนึ่งเทคโนโลยีที่สำคัญอย่างยิ่งในสายตาของมาร์ค คือการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication – MFA) วันนี้องค์กรขนาดกลางและขนาดย่อมตระหนักถึงความสำคัญของ MFA มากขึ้น และการโจมตีส่วนใหญ่มักเริ่มต้นจากการที่ผู้โจมตีขโมยชื่อผู้ใช้และรหัสผ่าน ดังนั้นการมี MFA จะทำให้การเข้าถึงระบบด้วยข้อมูลที่ถูกขโมยนั้นยากขึ้นมาก
“เรายังคงเห็นการโจมตีที่มุ่งเป้าไปยังบริการยืนยันตัวตนอย่างต่อเนื่อง ดังนั้นการเลือกใช้ MFA ที่แข็งแกร่งและมีการป้องกันที่ดีจึงเป็นสิ่งสำคัญ”
ที่สุดแล้ว การมาถึงของ AI ยังไม่มีผลต่อโครงสร้างองค์กรของ WatchGuard โดยทีมงานวิจัยและพัฒนา R&D ของ WatchGuard ยังคงเป็นหนึ่งในแผนกงานที่ใหญ่ที่สุดของบริษัท โดย AI ในขณะนี้เป็นเหมือน ตัวช่วยเพิ่มพลัง (Force Multiplier) ที่ไม่ได้เข้ามาแทนที่บุคลากร และการใช้ AI นั้นทำเพื่อให้ทีมงานของบริาัทมีประสิทธิภาพมากขึ้น ทั้งในบริการที่นำเสนอ และในการทำงานภายในองค์กรเอง โดยยังคงต้องมีผู้เชี่ยวชาญคอยตรวจสอบและแก้ไขข้อผิดพลาดที่อาจเกิดขึ้นจาก AI.
————————————————————————————————–
ที่มา : ผู้จัดการ / วันที่เผยแพร่ 6 เมษายน 2568
Link : https://mgronline.com/cyberbiz/detail/9680000032732
