อีกแนวโน้มหนึ่งที่ชัดเจนมากว่า Threats หรือภัยคุกคามนี้เป็นเรื่องที่ใกล้ตัวเรามากนั้น สามารถสังเกตได้จากการที่ระบบปฏิบัติการชั้นนำที่มีผู้ใช้งานจำนวนมากในทุกวันนี้ ไม่ว่าจะเป็น Microsoft Windows, Apple Mac OS X และ Apple iOS หรือแม้แต่ Google Android นั้น ต่างก็ออก Patch เพื่อุดช่องโหว่ทางด้านความปลอดภัยบ่อยขึ้น ในขณะที่ข่าวคราวเรื่องของช่องโหว่ต่างๆ และการโจมตีรูปแบบใหม่ๆ รวมถึงการโจมตีที่ประสบผลสำเร็จและเกิดความเสียหายมูลค่ามหาศาลนั้นก็เยอะขึ้นเป็นเงาตามตัว ดังนั้นเราคงจะปฏิเสธการมีอยู่ของภัยคุกคามบนโลกอินเตอร์เน็ตที่เราอาจตกเป็นเป้าการโจมตีไม่ได้อีกแล้ว
ทั้งนี้องค์กรต่างๆ ควรจะรับทราบเอาไว้ว่าทุกวันนี้บน Internet มีผู้ไม่หวังดีคอย Scan ระบบต่างๆ อยู่ตลอดเวลาเพื่อหาช่องโหว่สำหรับทำการโจมตี และหาผลประโยชน์จากการโจมตีเหล่านั้นได้ทั้งทางตรงและทางอ้อม ดังนั้นไม่ว่าจะเป็นองค์กรเล็กหรือองค์กรใหญ่ต่างก็มีสิทธิ์ตกเป็นเป้าของการโจมตีได้ทั้งสิ้น ต่างจากสมัยก่อนที่เป้าของการโจมตีมักจะเป็นองค์กรขนาดใหญ่หรือหน่วยงานที่มีเงินเพียงเท่านั้น
ส่วนในประเทศไทย นอกจากจะไม่ค่อยมีการ Patch เพื่ออุดช่องโหว่ต่างๆ แล้ว หลายๆ องค์กรหรือหน่วยงานก็ยังคงมีการใช้งาน Windows XP หรือ Windows Server รุ่นเก่าๆ หรือแม้แต่ Internet Explorer รุ่นเก่าแบบถอนออกไม่ได้ ดังนั้นการโจมตีจึงอาจเกิดได้อย่างง่ายดายเป็นอย่างมากจากการใช้ช่องโหว่ที่เป็นที่รู้จักอยู่แล้วแต่ไม่มีการป้องกันเหล่านี้ ในขณะที่ในต่างประเทศเองก็มีกฎหมายเรื่องการห้ามนำอุปกรณ์ที่อันตรายหรือมีความเสี่ยงต่อการถูกโจมตีในลักษณะนี้มาใช้งาน ซึ่งถ้าหากหน่วยงานใดฝ่าฝืนก็อาจจะถูกปรับหรือลดความน่าเชื่อถือลงได้
ทาง Cisco ได้ถามคำถามที่น่าสนใจแก่ผู้เข้าร่วมงาน Cisco Night Academy ครั้งนี้ว่า ถ้าหากมองย้อนกลับมาในองค์กรของเราเอง เราสามารถตรวจจับและนับสถิติเหล่านี้ได้หรือไม่?
เมื่อตรวจพบการโจมตีแล้ว สิ่งที่ Cisco ใช้ในการจัดการ ก็คือการทำ BGP Blackhole Routing (BGP BH) บน Router เพื่อป้องกันไม่ให้ Traffic อันตรายเดินทางไปถึงผู้ใช้งานได้ โดยก่อนที่ Cisco จะเข้าซื้อกิจการของ OpenDNS มา Cisco ก็ใช้ Passive DNS ร่วมกับ Farsight Security เป็นส่วนสำคัญในการรักษาความปลอดภัยในระดับของ DNS และทำ DNS Response Policy Zones (RPZ) เพื่อทำ Blacklist ของ Command & Control (CnC)
การซื้อ OpenDNS นี้นอกจากจะเพื่อใช้รักษาความปลอดภัยของระบบเครือข่ายในปัจจุบันแล้ว ก็ยังเป็นการรองรับการรักษาความปลอดภัยให้แก่ Internet of Things (IoT) ที่ไม่สามารถรักษาความปลอดภัยด้วยตัวเองได้เพราะข้อจำกัดทางด้านพลังในการประมวลผลของ CPU บนอุปกรณ์ขนาดเล็ก การใช้ DNS ช่วยกรองความปลอดภัยให้ก็เป็นอีกทางเลือกที่ประหยัด CPU ของอุปกรณ์ IoT ได้เป็นอย่างดี ซึ่งนี่ก็เป็นแนวคิดริเริ่มของการทำ DNS Firewall ดังนั้นระบบ DNS ที่สามารถช่วยรักษาความปลอดภัยในลักษณะนี้ก็จะจำเป็นกับองค์กรต่างๆ มากขึ้น และยังช่วยป้องกันไม่ให้องค์กรทำการเชื่อมต่อกับเว็บที่ทำการโจมตีลักษณะนี้ได้ทันทีเลย และยังประหยัดการประมวลผล Traffic ด้วย (คนละกรณีกับ DNSsec ที่ป้องกันการทำ Poisoning)
(เกร็ดความรู้เล็กน้อย ที่จีนมีการทำ IoT บุหรี่ไฟฟ้าที่เสียบ USB ได้ และฝังการโจมตีต่างๆ ลงมาด้วยในอุปกรณ์)
สาเหตุที่ต้องมีการนำ Big Data Analytics เข้ามาใช้ ก็เพราะว่าทุกวันนี้วิธีการที่ใช้ในการโจมตีก็มี Scope ที่ใหญ่ขึ้นมาก และตรวจจับหรือสร้างเป็นกฎเพื่อยับยั้งได้ค่อนข้างยาก ดังตัวอย่างต่อไปนี้
แคมเปญ Malvertising กรณี Kyle and Stan ที่เปิดเผยบน http://blogs.cisco.com/security/talos/kyle-and-stan นั้น ทำให้เห็นว่าเดี๋ยวนี้มี Malware ที่สามารถโจมตีได้ทั้ง Windows และ Mac OS X แล้ว และเลือกโจมตีด้วยวิธีการที่เหมาะสมกับแต่ละระบบปฏิบัติการ โดยการโจมตีทั้งหมดเกิดขึ้นโดยการใช้ Amazon AWS เป็นหลัก ทำให้ไม่มีใคร Block ด้วย IP Address ได้ง่ายนัก รวมถึงผู้โจมตียังสามารถย้าย IP Address ของเครื่องที่ใช้โจมตีได้ อีกทั้งยังสามารถสร้าง Subdomain ใหม่ๆ เพิ่มขึ้นมาเพื่อใช้ในการโจมตีได้อีกด้วย (ตอนนี้มีเทคโนโลยีที่ใช้การให้เครดิตกับแต่ละ Domain/Subdomain เพื่อป้องกันตรงนี้เพิ่มแล้ว)
อีกแนวโน้มหนึ่งที่ชัดเจนมากว่า Threats หรือภัยคุกคามนี้เป็นเรื่องที่ใกล้ตัวเรามากนั้น สามารถสังเกตได้จากการที่ระบบปฏิบัติการชั้นนำที่มีผู้ใช้งานจำนวนมากในทุกวันนี้ ไม่ว่าจะเป็น Microsoft Windows, Apple Mac OS X และ Apple iOS หรือแม้แต่ Google Android นั้น ต่างก็ออก Patch เพื่อุดช่องโหว่ทางด้านความปลอดภัยบ่อยขึ้น ในขณะที่ข่าวคราวเรื่องของช่องโหว่ต่างๆ และการโจมตีรูปแบบใหม่ๆ รวมถึงการโจมตีที่ประสบผลสำเร็จและเกิดความเสียหายมูลค่ามหาศาลนั้นก็เยอะขึ้นเป็นเงาตามตัว ดังนั้นเราคงจะปฏิเสธการมีอยู่ของภัยคุกคามบนโลกอินเตอร์เน็ตที่เราอาจตกเป็นเป้าการโจมตีไม่ได้อีกแล้ว
ทั้งนี้องค์กรต่างๆ ควรจะรับทราบเอาไว้ว่าทุกวันนี้บน Internet มีผู้ไม่หวังดีคอย Scan ระบบต่างๆ อยู่ตลอดเวลาเพื่อหาช่องโหว่สำหรับทำการโจมตี และหาผลประโยชน์จากการโจมตีเหล่านั้นได้ทั้งทางตรงและทางอ้อม ดังนั้นไม่ว่าจะเป็นองค์กรเล็กหรือองค์กรใหญ่ต่างก็มีสิทธิ์ตกเป็นเป้าของการโจมตีได้ทั้งสิ้น ต่างจากสมัยก่อนที่เป้าของการโจมตีมักจะเป็นองค์กรขนาดใหญ่หรือหน่วยงานที่มีเงินเพียงเท่านั้น
ส่วนในประเทศไทย นอกจากจะไม่ค่อยมีการ Patch เพื่ออุดช่องโหว่ต่างๆ แล้ว หลายๆ องค์กรหรือหน่วยงานก็ยังคงมีการใช้งาน Windows XP หรือ Windows Server รุ่นเก่าๆ หรือแม้แต่ Internet Explorer รุ่นเก่าแบบถอนออกไม่ได้ ดังนั้นการโจมตีจึงอาจเกิดได้อย่างง่ายดายเป็นอย่างมากจากการใช้ช่องโหว่ที่เป็นที่รู้จักอยู่แล้วแต่ไม่มีการป้องกันเหล่านี้ ในขณะที่ในต่างประเทศเองก็มีกฎหมายเรื่องการห้ามนำอุปกรณ์ที่อันตรายหรือมีความเสี่ยงต่อการถูกโจมตีในลักษณะนี้มาใช้งาน ซึ่งถ้าหากหน่วยงานใดฝ่าฝืนก็อาจจะถูกปรับหรือลดความน่าเชื่อถือลงได้
ทาง Cisco ได้ถามคำถามที่น่าสนใจแก่ผู้เข้าร่วมงาน Cisco Night Academy ครั้งนี้ว่า ถ้าหากมองย้อนกลับมาในองค์กรของเราเอง เราสามารถตรวจจับและนับสถิติเหล่านี้ได้หรือไม่?
เมื่อตรวจพบการโจมตีแล้ว สิ่งที่ Cisco ใช้ในการจัดการ ก็คือการทำ BGP Blackhole Routing (BGP BH) บน Router เพื่อป้องกันไม่ให้ Traffic อันตรายเดินทางไปถึงผู้ใช้งานได้ โดยก่อนที่ Cisco จะเข้าซื้อกิจการของ OpenDNS มา Cisco ก็ใช้ Passive DNS ร่วมกับ Farsight Security เป็นส่วนสำคัญในการรักษาความปลอดภัยในระดับของ DNS และทำ DNS Response Policy Zones (RPZ) เพื่อทำ Blacklist ของ Command & Control (CnC)
การซื้อ OpenDNS นี้นอกจากจะเพื่อใช้รักษาความปลอดภัยของระบบเครือข่ายในปัจจุบันแล้ว ก็ยังเป็นการรองรับการรักษาความปลอดภัยให้แก่ Internet of Things (IoT) ที่ไม่สามารถรักษาความปลอดภัยด้วยตัวเองได้เพราะข้อจำกัดทางด้านพลังในการประมวลผลของ CPU บนอุปกรณ์ขนาดเล็ก การใช้ DNS ช่วยกรองความปลอดภัยให้ก็เป็นอีกทางเลือกที่ประหยัด CPU ของอุปกรณ์ IoT ได้เป็นอย่างดี ซึ่งนี่ก็เป็นแนวคิดริเริ่มของการทำ DNS Firewall ดังนั้นระบบ DNS ที่สามารถช่วยรักษาความปลอดภัยในลักษณะนี้ก็จะจำเป็นกับองค์กรต่างๆ มากขึ้น และยังช่วยป้องกันไม่ให้องค์กรทำการเชื่อมต่อกับเว็บที่ทำการโจมตีลักษณะนี้ได้ทันทีเลย และยังประหยัดการประมวลผล Traffic ด้วย (คนละกรณีกับ DNSsec ที่ป้องกันการทำ Poisoning)
(เกร็ดความรู้เล็กน้อย ที่จีนมีการทำ IoT บุหรี่ไฟฟ้าที่เสียบ USB ได้ และฝังการโจมตีต่างๆ ลงมาด้วยในอุปกรณ์)
สาเหตุที่ต้องมีการนำ Big Data Analytics เข้ามาใช้ ก็เพราะว่าทุกวันนี้วิธีการที่ใช้ในการโจมตีก็มี Scope ที่ใหญ่ขึ้นมาก และตรวจจับหรือสร้างเป็นกฎเพื่อยับยั้งได้ค่อนข้างยาก ดังตัวอย่างต่อไปนี้
แคมเปญ Malvertising กรณี Kyle and Stan ที่เปิดเผยบน http://blogs.cisco.com/security/talos/kyle-and-stan นั้น ทำให้เห็นว่าเดี๋ยวนี้มี Malware ที่สามารถโจมตีได้ทั้ง Windows และ Mac OS X แล้ว และเลือกโจมตีด้วยวิธีการที่เหมาะสมกับแต่ละระบบปฏิบัติการ โดยการโจมตีทั้งหมดเกิดขึ้นโดยการใช้ Amazon AWS เป็นหลัก ทำให้ไม่มีใคร Block ด้วย IP Address ได้ง่ายนัก รวมถึงผู้โจมตียังสามารถย้าย IP Address ของเครื่องที่ใช้โจมตีได้ อีกทั้งยังสามารถสร้าง Subdomain ใหม่ๆ เพิ่มขึ้นมาเพื่อใช้ในการโจมตีได้อีกด้วย (ตอนนี้มีเทคโนโลยีที่ใช้การให้เครดิตกับแต่ละ Domain/Subdomain เพื่อป้องกันตรงนี้เพิ่มแล้ว)