รายงานล่าสุดจาก Cisco Talos เปิดเผยว่า การโจมตีไซเบอร์ในปี 2024 กว่าครึ่งหนึ่งมีสาเหตุมาจากการใช้บัญชีที่ถูกขโมย โดยผู้โจมตีสามารถ เข้าถึงระบบโดยไม่ต้องใช้มัลแวร์ ทำให้หลีกเลี่ยงการตรวจจับ และบางครั้งถึงขั้นควบคุมเครือข่ายทั้งหมดได้
✅ ช่องทางหลักที่แฮกเกอร์ใช้เพื่อเข้าถึงองค์กร
- ข้อมูลล็อกอินที่ถูกขโมย รวมถึง รหัสผ่าน, session tokens, API keys และใบรับรองดิจิทัล
- การแฮกผ่านมัลแวร์ประเภท Infostealer ซึ่งดึงข้อมูลจากเครื่องเป้าหมาย
- การซื้อข้อมูลล็อกอินจากตลาดมืด โดยราคาสำหรับบัญชีทั่วไปอยู่ที่ $10-$15 แต่บัญชีระดับสูงอาจมีราคาถึง $3,000
✅ การแฮกบัญชีช่วยให้แฮกเกอร์โจมตีองค์กรได้ง่ายขึ้น
- การใช้บัญชีที่ถูกเจาะเข้าสู่ระบบโดยตรง ง่ายกว่าการใช้ช่องโหว่ของซอฟต์แวร์
- กว่า 60% ของเหตุการณ์ที่ Cisco Talos ตรวจสอบพบว่ามีการใช้บัญชีที่ถูกขโมย
- ในกรณีของแรนซัมแวร์ ตัวเลขเพิ่มขึ้นถึง 70%
✅ วิธีแฮกบัญชีที่ซับซ้อนมากขึ้น
- MFA Bombing หรือ Push Spray ส่งข้อความแจ้งเตือน MFA ไปยังผู้ใช้ซ้ำ ๆ จนกว่าพวกเขาจะกดยอมรับ
- การปลอมแปลงเว็บเพื่อหลอกให้ผู้ใช้ลงทะเบียนอุปกรณ์ MFA ใหม่
- การใช้ฟิชชิ่งที่ล้ำขึ้น เช่น AI-generated phishing attacks ที่ถูกออกแบบมาอย่างแนบเนียน
✅ บัญชีผู้ดูแลระบบมักตกเป็นเป้าหมายหลัก
- ระบบ Active Directory เป็นจุดอ่อนสำคัญ—แฮกเกอร์มักเจาะข้อมูลที่เก็บอยู่ใน LSASS, SAM databases และ cached domain credentials
- เครื่องมือยอดนิยมของแฮกเกอร์ เช่น Mimikatz และ PsExec ถูกใช้เพื่อขยายการเข้าถึงระบบ
- องค์กรที่มีบัญชีแอดมินจำนวนมาก เพิ่มความเสี่ยงให้การโจมตีประสบความสำเร็จ
✅ แนวทางป้องกันที่ Cisco Talos แนะนำ
- เปิดใช้ MFA และตั้งค่าความปลอดภัยที่เข้มงวดขึ้น
- ตรวจสอบกิจกรรมที่ผิดปกติของบัญชีผู้ใช้และแอดมิน
- ลดจำนวนบัญชีที่มีสิทธิ์แอดมินในองค์กร
- ใช้วิธี Challenge-Response Authentication เพื่อเพิ่มระดับการตรวจสอบ
https://www.csoonline.com/article/3952041/malicious-actors-increasingly-put-privileged-identity-access-to-work-across-attack-chains.html
✅ ช่องทางหลักที่แฮกเกอร์ใช้เพื่อเข้าถึงองค์กร
- ข้อมูลล็อกอินที่ถูกขโมย รวมถึง รหัสผ่าน, session tokens, API keys และใบรับรองดิจิทัล
- การแฮกผ่านมัลแวร์ประเภท Infostealer ซึ่งดึงข้อมูลจากเครื่องเป้าหมาย
- การซื้อข้อมูลล็อกอินจากตลาดมืด โดยราคาสำหรับบัญชีทั่วไปอยู่ที่ $10-$15 แต่บัญชีระดับสูงอาจมีราคาถึง $3,000
✅ การแฮกบัญชีช่วยให้แฮกเกอร์โจมตีองค์กรได้ง่ายขึ้น
- การใช้บัญชีที่ถูกเจาะเข้าสู่ระบบโดยตรง ง่ายกว่าการใช้ช่องโหว่ของซอฟต์แวร์
- กว่า 60% ของเหตุการณ์ที่ Cisco Talos ตรวจสอบพบว่ามีการใช้บัญชีที่ถูกขโมย
- ในกรณีของแรนซัมแวร์ ตัวเลขเพิ่มขึ้นถึง 70%
✅ วิธีแฮกบัญชีที่ซับซ้อนมากขึ้น
- MFA Bombing หรือ Push Spray ส่งข้อความแจ้งเตือน MFA ไปยังผู้ใช้ซ้ำ ๆ จนกว่าพวกเขาจะกดยอมรับ
- การปลอมแปลงเว็บเพื่อหลอกให้ผู้ใช้ลงทะเบียนอุปกรณ์ MFA ใหม่
- การใช้ฟิชชิ่งที่ล้ำขึ้น เช่น AI-generated phishing attacks ที่ถูกออกแบบมาอย่างแนบเนียน
✅ บัญชีผู้ดูแลระบบมักตกเป็นเป้าหมายหลัก
- ระบบ Active Directory เป็นจุดอ่อนสำคัญ—แฮกเกอร์มักเจาะข้อมูลที่เก็บอยู่ใน LSASS, SAM databases และ cached domain credentials
- เครื่องมือยอดนิยมของแฮกเกอร์ เช่น Mimikatz และ PsExec ถูกใช้เพื่อขยายการเข้าถึงระบบ
- องค์กรที่มีบัญชีแอดมินจำนวนมาก เพิ่มความเสี่ยงให้การโจมตีประสบความสำเร็จ
✅ แนวทางป้องกันที่ Cisco Talos แนะนำ
- เปิดใช้ MFA และตั้งค่าความปลอดภัยที่เข้มงวดขึ้น
- ตรวจสอบกิจกรรมที่ผิดปกติของบัญชีผู้ใช้และแอดมิน
- ลดจำนวนบัญชีที่มีสิทธิ์แอดมินในองค์กร
- ใช้วิธี Challenge-Response Authentication เพื่อเพิ่มระดับการตรวจสอบ
https://www.csoonline.com/article/3952041/malicious-actors-increasingly-put-privileged-identity-access-to-work-across-attack-chains.html
รายงานล่าสุดจาก Cisco Talos เปิดเผยว่า การโจมตีไซเบอร์ในปี 2024 กว่าครึ่งหนึ่งมีสาเหตุมาจากการใช้บัญชีที่ถูกขโมย โดยผู้โจมตีสามารถ เข้าถึงระบบโดยไม่ต้องใช้มัลแวร์ ทำให้หลีกเลี่ยงการตรวจจับ และบางครั้งถึงขั้นควบคุมเครือข่ายทั้งหมดได้
✅ ช่องทางหลักที่แฮกเกอร์ใช้เพื่อเข้าถึงองค์กร
- ข้อมูลล็อกอินที่ถูกขโมย รวมถึง รหัสผ่าน, session tokens, API keys และใบรับรองดิจิทัล
- การแฮกผ่านมัลแวร์ประเภท Infostealer ซึ่งดึงข้อมูลจากเครื่องเป้าหมาย
- การซื้อข้อมูลล็อกอินจากตลาดมืด โดยราคาสำหรับบัญชีทั่วไปอยู่ที่ $10-$15 แต่บัญชีระดับสูงอาจมีราคาถึง $3,000
✅ การแฮกบัญชีช่วยให้แฮกเกอร์โจมตีองค์กรได้ง่ายขึ้น
- การใช้บัญชีที่ถูกเจาะเข้าสู่ระบบโดยตรง ง่ายกว่าการใช้ช่องโหว่ของซอฟต์แวร์
- กว่า 60% ของเหตุการณ์ที่ Cisco Talos ตรวจสอบพบว่ามีการใช้บัญชีที่ถูกขโมย
- ในกรณีของแรนซัมแวร์ ตัวเลขเพิ่มขึ้นถึง 70%
✅ วิธีแฮกบัญชีที่ซับซ้อนมากขึ้น
- MFA Bombing หรือ Push Spray ส่งข้อความแจ้งเตือน MFA ไปยังผู้ใช้ซ้ำ ๆ จนกว่าพวกเขาจะกดยอมรับ
- การปลอมแปลงเว็บเพื่อหลอกให้ผู้ใช้ลงทะเบียนอุปกรณ์ MFA ใหม่
- การใช้ฟิชชิ่งที่ล้ำขึ้น เช่น AI-generated phishing attacks ที่ถูกออกแบบมาอย่างแนบเนียน
✅ บัญชีผู้ดูแลระบบมักตกเป็นเป้าหมายหลัก
- ระบบ Active Directory เป็นจุดอ่อนสำคัญ—แฮกเกอร์มักเจาะข้อมูลที่เก็บอยู่ใน LSASS, SAM databases และ cached domain credentials
- เครื่องมือยอดนิยมของแฮกเกอร์ เช่น Mimikatz และ PsExec ถูกใช้เพื่อขยายการเข้าถึงระบบ
- องค์กรที่มีบัญชีแอดมินจำนวนมาก เพิ่มความเสี่ยงให้การโจมตีประสบความสำเร็จ
✅ แนวทางป้องกันที่ Cisco Talos แนะนำ
- เปิดใช้ MFA และตั้งค่าความปลอดภัยที่เข้มงวดขึ้น
- ตรวจสอบกิจกรรมที่ผิดปกติของบัญชีผู้ใช้และแอดมิน
- ลดจำนวนบัญชีที่มีสิทธิ์แอดมินในองค์กร
- ใช้วิธี Challenge-Response Authentication เพื่อเพิ่มระดับการตรวจสอบ
https://www.csoonline.com/article/3952041/malicious-actors-increasingly-put-privileged-identity-access-to-work-across-attack-chains.html
0 Comments
0 Shares
294 Views
0 Reviews
Thai