🧯 เมื่อ CISO กลายเป็นแพะรับบาปหลังเหตุการณ์ ransomware ลองจินตนาการว่าคุณเป็น CISO ที่ทำงานอย่างหนักเพื่อป้องกันภัยไซเบอร์ แต่วันหนึ่งบริษัทของคุณโดนโจมตีด้วย ransomware และแม้คุณจะทำตามแผนรับมือทุกขั้นตอน คุณก็ยังถูกปลดออกจากตำแหน่ง นี่คือสิ่งที่เกิดขึ้นจริงในองค์กรจำนวนมาก จากรายงานของ Sophos พบว่า 25% ของ CISO ถูกเปลี่ยนตัวหลังเกิดเหตุการณ์ ransomware โดยไม่จำเป็นต้องเป็นความผิดของพวกเขาโดยตรง ผู้เชี่ยวชาญชี้ว่า การปลด CISO มักเกิดจากแรงกดดันของบอร์ดบริหารที่ต้องการ “รีเซ็ตภาพลักษณ์” มากกว่าการวิเคราะห์เชิงกลยุทธ์ บางครั้ง CISO ถูกปลดแม้ระบบตรวจจับทำงานดี แผนรับมือถูกดำเนินการครบ และการกู้คืนข้อมูลอยู่ใน SLA ยิ่งไปกว่านั้น บางองค์กรยังไม่ให้ CISO เข้าร่วมประชุมสำคัญ เพราะกลัวว่าจะ “ขัดขวางธุรกิจ” ซึ่งทำให้การตัดสินใจด้านความปลอดภัยถูกละเลย และนำไปสู่ช่องโหว่ที่ถูกโจมตีในภายหลัง ✅ ข้อมูลจากรายงานข่าวและการวิเคราะห์ ➡️ 25% ของ CISO ถูกเปลี่ยนตัวหลังเกิดเหตุการณ์ ransomware ➡️ การปลด CISO มักเกิดจากแรงกดดันของบอร์ด ไม่ใช่ความผิดโดยตรง ➡️ หากแผนรับมือทำงานดี การปลดอาจส่งสัญญาณผิดภายในองค์กร ➡️ ช่องโหว่ที่ถูกโจมตีมักเป็นช่องที่ “รู้ว่ามี” แต่ไม่ได้รับการแก้ไข ➡️ 40% ของผู้ตอบแบบสอบถามยอมรับว่าโจมตีมาจากช่องโหว่ที่รู้แต่ไม่ได้จัดการ ➡️ สาเหตุหลักของ ransomware คือช่องโหว่ (32%) และ credential ที่ถูกขโมย (23%) ➡️ อีเมลและ phishing ยังเป็นช่องทางโจมตีหลัก (รวมกัน 37%) ➡️ บาง CISO ลาออกเองเพราะความเครียดและความขัดแย้งหลังเหตุการณ์ ➡️ การเปรียบเทียบ CISO กับ “นักดับเพลิง” ชี้ว่าพวกเขาคือผู้รับมือ ไม่ใช่ต้นเหตุ ➡️ การไม่ให้ CISO เข้าร่วมประชุมสำคัญทำให้ความปลอดภัยถูกละเลย ✅ ข้อมูลเสริมจากภายนอก ➡️ รายงาน Sophos ปี 2025 สำรวจจาก 3,400 ผู้บริหาร IT ใน 17 ประเทศ ➡️ 41% ของทีมที่ถูกโจมตีมีความเครียดสูง และ 31% มีการลาหยุดจากปัญหาสุขภาพจิต ➡️ ค่าใช้จ่ายในการกู้คืนข้อมูลเฉลี่ยอยู่ที่ $1.53M (ไม่รวมค่าไถ่) ➡️ 53% ขององค์กรสามารถกู้คืนได้ภายใน 1 สัปดาห์ ➡️ การเจรจาค่าไถ่ลดลง โดยค่าเฉลี่ยการจ่ายจริงอยู่ที่ $1M ➡️ การขาด segmentation และการไม่ทำ tabletop exercise เป็นสาเหตุที่ทำให้ CISO ถูกปลด https://www.csoonline.com/article/4040156/25-of-security-leaders-replaced-after-ransomware-attack.html

🎙️ เรื่องเล่าจากแนวรบความปลอดภัย: ทำไมองค์กรยุคใหม่ถึงหันมาใช้ MDR แทนการสร้าง SOC เอง? เมื่อองค์กรเจอกับภัยคุกคามไซเบอร์ที่ซับซ้อน, การขาดแคลนบุคลากร, และแรงกดดันด้านกฎหมาย — การตั้ง Security Operation Center (SOC) เองกลายเป็นเรื่องยากเกินไป จึงเกิดตลาด MDR ขึ้นเพื่อให้บริษัทผู้เชี่ยวชาญเข้ามาดูแลเต็มระบบตลอด 24 ชั่วโมง 🔑 8 แนวโน้มหลักที่กำลังเปลี่ยนตลาด MDR ✅ ช่องว่างทักษะเร่งดีมานด์ผู้เชี่ยวชาญภายนอก ➡️ ขาดบุคลากรด้านไซเบอร์ทั่วโลก ทำให้องค์กรต้องพึ่ง MDR เพื่อเฝ้าระวังตลอด 24/7 และรับมือภัยคุกคามแบบมืออาชีพ ✅ การแปลงสภาพดิจิทัลทำให้พื้นผิวโจมตีซับซ้อนขึ้น ➡️ การทำงานแบบ hybrid, cloud-native, และการใช้ IoT ทำให้ระบบยากต่อการปกป้อง จึงต้องใช้ MDR ที่ปรับขนาดได้และมีผู้เชี่ยวชาญดูแล ✅ กฎเกณฑ์ด้านความเป็นส่วนตัวผลักดันธุรกิจเล็กเข้าสู่ MDR ➡️ เช่น GDPR, CCPA และ NIS2 บีบให้องค์กรต้องตรวจจับและตอบสนองได้รวดเร็ว — แม้จะไม่มีทีม SOC ภายใน ✅ การรวม MDR เข้ากับ Zero Trust และ XDR ➡️ สร้างโซลูชันที่ครอบคลุม endpoint, identity, cloud และ network แบบบูรณาการ พร้อมความสามารถในการตอบสนองเชิงบริบท ✅ การเปลี่ยนผ่านสู่ MDR ที่สร้างบนระบบ Cloud-native ➡️ แทบทุก MDR ยุคใหม่เป็น SaaS ติดตั้งง่าย, ขยายตัวเร็ว, ทำงานร่วมกับ DevOps และ cloud provider ได้ดี เช่น AWS, Azure, GCP ✅ แนวโน้มใช้ TDIR (Threat Detection, Investigation, Response) ➡️ แทนที่จะใช้ XDR แบบเน้น endpoint อย่างเดียว TDIR ให้ภาพรวมทุก stack และตอบสนองภัยในทุกมิติ ✅ AI/ML เข้ามาช่วยเพิ่มความแม่นและลดงานหนัก ➡️ ใช้ machine learning ตรวจจับพฤติกรรมแปลก, ลด false positives, ช่วย analyst ตัดสินใจ และจัดลำดับความสำคัญของเหตุการณ์ ✅ ตลาดเริ่มรวมตัวเพื่อสร้างโซลูชันแบบ End-to-End ➡️ มีดีลควบรวมใหญ่ เช่น Sophos ซื้อ Secureworks, Zscaler ซื้อ Red Canary เพื่อสร้างแพลตฟอร์มที่ครอบคลุม endpoint, cloud, identity และ OT https://www.csoonline.com/article/4022854/8-trends-transforming-the-mdr-market-today.html

Huntress ได้ขยายความสามารถของ Identity Threat Detection and Response (ITDR) เพื่อป้องกันการโจรกรรมข้อมูลประจำตัวและการโจมตีแบบ Business Email Compromise (BEC) โดยเพิ่มฟีเจอร์ Unwanted Access ที่ช่วยตรวจจับพฤติกรรมการเข้าสู่ระบบที่ผิดปกติ เช่น การใช้ VPN ที่ไม่คาดคิด หรือการเดินทางที่เป็นไปไม่ได้ นอกจากนี้ Huntress ยังเพิ่มระบบตรวจจับ Rogue Applications ซึ่งช่วยวิเคราะห์แอปพลิเคชันที่ใช้ OAuth เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต โดยระบบนี้สามารถตรวจจับแอปพลิเคชันที่มีสิทธิ์มากเกินไป หรือมีพฤติกรรมที่น่าสงสัย และให้คำแนะนำในการลบแอปพลิเคชันที่เป็นอันตราย Huntress ยังเปิดตัว Shadow Workflows ซึ่งช่วยป้องกันการตั้งค่ากฎการส่งต่ออีเมลที่เป็นอันตราย และประกาศความพร้อมใช้งานของ Managed SIEM ที่มีการรวมระบบรักษาความปลอดภัยจากแบรนด์ชั้นนำกว่า 20 ราย เช่น 1Password, Fortinet, Palo Alto Networks, Sophos และ LastPass ✅ การเพิ่มฟีเจอร์ Unwanted Access - ตรวจจับพฤติกรรมการเข้าสู่ระบบที่ผิดปกติ เช่น VPN ที่ไม่คาดคิด - แยกบัญชีที่ถูกบุกรุกออกจากระบบแบบเรียลไทม์ ✅ ระบบตรวจจับ Rogue Applications - วิเคราะห์แอปพลิเคชันที่ใช้ OAuth เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต - ตรวจจับแอปพลิเคชันที่มีสิทธิ์มากเกินไปและให้คำแนะนำในการลบ ✅ การเปิดตัว Shadow Workflows - ป้องกันการตั้งค่ากฎการส่งต่ออีเมลที่เป็นอันตราย - ลดความเสี่ยงจากการโจมตีแบบ BEC ✅ Managed SIEM พร้อมใช้งาน - รวมระบบรักษาความปลอดภัยจากแบรนด์ชั้นนำกว่า 20 ราย - ช่วยให้การตรวจจับภัยคุกคามมีประสิทธิภาพมากขึ้น https://www.csoonline.com/article/3972409/huntress-expands-itdr-capabilities-to-combat-credential-theft-and-bec.html

Sophos ได้เปิดเผยรายงานเกี่ยวกับการโจมตีทางไซเบอร์ที่เพิ่มขึ้น โดยเฉพาะการโจมตีที่มุ่งเป้าไปยังอุปกรณ์เครือข่าย เช่น firewalls, VPNs และ routers ซึ่งกลายเป็นจุดเริ่มต้นของการบุกรุกเครือข่ายองค์กร โดยการโจมตีเหล่านี้คิดเป็นเกือบ 30% ของการบุกรุกทั้งหมดในรายงานประจำปีของ Sophos และ ransomware ยังคงเป็นประเภทการโจมตีที่ได้รับความนิยมมากที่สุด ✅ อุปกรณ์เครือข่ายเป็นจุดเริ่มต้นของการบุกรุกเครือข่าย - การโจมตีผ่าน VPNs คิดเป็น 25% ของการบุกรุกทั้งหมด - การโจมตีด้วย ransomware คิดเป็น 90% ของกรณีที่เกิดขึ้นในองค์กรขนาดกลาง ✅ การโจมตีทางไซเบอร์มีการพัฒนาอย่างต่อเนื่อง - ผู้โจมตีใช้เทคนิค social engineering เพื่อเก็บข้อมูล credentials - AI ช่วยให้การโจมตี phishing มีความซับซ้อนและรวดเร็วมากขึ้น ✅ อุปกรณ์ที่หมดอายุการใช้งาน (EOL) เป็นปัจจัยเสี่ยงสำคัญ - อุปกรณ์เหล่านี้มักไม่ได้รับการอัปเดตและกลายเป็นช่องโหว่ที่ง่ายต่อการโจมตี ✅ การเปลี่ยนแปลงในกลยุทธ์ของผู้โจมตี - ผู้โจมตีไม่จำเป็นต้องใช้มัลแวร์ที่ซับซ้อน แต่สามารถใช้ระบบขององค์กรเองเพื่อโจมตี https://www.techradar.com/pro/security/hackers-are-hitting-firewalls-and-vpns-to-breach-businesses

จินตนาการว่าคุณกำลังเข้าสู่ระบบอีเมลของคุณผ่านหน้าเว็บที่ดูเหมือนของ Microsoft จริง ๆ แต่เบื้องหลังนั้นมีผู้โจมตีซ่อนตัวอยู่โดยใช้ Evilginx ทำหน้าที่เป็นสะพานกลางระหว่างคุณกับเซิร์ฟเวอร์จริง ขณะที่คุณไม่รู้ตัว ข้อมูลสำคัญอย่าง cookie ที่ช่วยให้ระบบรู้ว่าคุณได้ผ่านการยืนยันตัวตนแล้วถูกดักไว้ ผู้โจมตีจึงสามารถนำไปใช้ล็อกอินเข้าไปในบัญชีของคุณได้ทันที แม้ว่าคุณจะใช้งาน MFA ควบคู่ไปด้วยก็ตาม นี่คือข้อพิสูจน์ว่าการรักษาความปลอดภัยในยุคดิจิทัลต้องพัฒนาไปพร้อมกับเทคนิคการโจมตีที่ล้ำสมัย ผู้เชี่ยวชาญจึงแนะนำวิธีการป้องกันแบบหลายชั้น โดยเปลี่ยนมาใช้มาตรฐานการยืนยันตัวตนที่แข็งแกร่ง เช่น FIDO2 และตรวจสอบกิจกรรมที่ผิดปกติใน log ของระบบอย่างต่อเนื่อง Evilginx ทำงานอย่างไร? - ผู้โจมตีตั้งค่าโดเมนและ “phishlet” ที่เลียนแบบหน้าเว็บของบริการจริงอย่าง Microsoft 365 โดยที่ผู้ใช้เมื่อเข้าสู่ระบบก็จะได้รับประสบการณ์เหมือนกับการเข้าเว็บของบริษัทนั้นโดยตรง ข้อมูลที่ส่งผ่าน เช่น ชื่อผู้ใช้, รหัสผ่าน และสำคัญที่สุดคือ session cookie จะถูกดักจับไปเก็บไว้ในฐานข้อมูลของผู้โจมตี จากนั้น ผู้โจมตีสามารถนำ cookie ดังกล่าวไปใช้เพื่อเข้าสู่บัญชีของเหยื่อโดยไม่ต้องรู้รหัสผ่านหรือรหัส OTP ที่ใช้ใน MFA ผลกระทบที่เกิดขึ้น - ด้วยข้อมูล session cookie ที่ถูกดักจับ ผู้โจมตีสามารถเข้าถึงบัญชีอีเมลของเหยื่อได้อย่างเต็มที่ ทั้งสามารถเปลี่ยนแปลงการตั้งค่า เช่น การเพิ่ม device MFA ใหม่หรือการตั้งค่าอีเมลเพื่อให้ได้สิทธิ์ในการควบคุมบัญชีได้อย่างต่อเนื่อง เทคนิคขั้นสูงในการโจมตี: - Evilginx ไม่ได้ทำเพียงแค่ส่งผู้ใช้ไปยังหน้า phishing ธรรมดาเท่านั้น แต่ทำหน้าที่เป็น “ตัวกลาง” ที่ส่งข้อมูลระหว่างผู้ใช้กับเซิร์ฟเวอร์จริงอย่างโปร่งใส ทำให้ผู้ใช้ไม่สังเกตเห็นความผิดปกติ การตรวจจับและบันทึก: - บริการอย่าง Azure AD และ Microsoft 365 มีระบบ log เพื่อบันทึกกิจกรรมที่ผิดปกติ เช่น การเข้าสู่ระบบจาก IP ที่น่าสงสัยหรือการเพิ่ม MFA device ใหม่ ซึ่งสามารถช่วยให้ผู้ดูแลระบบระบุและตอบสนองต่อเหตุการณ์ได้รวดเร็ว แนวทางป้องกัน: - ผู้เชี่ยวชาญแนะนำแนวทางแบบหลายชั้นในการป้องกันภัยไซเบอร์ ได้แก่ แนะนำให้ย้ายจากวิธีการตรวจสอบด้วย token-based หรือ push MFA ไปสู่การยืนยันตัวตนที่มีความต้านทานต่อฟิชชิง เช่น FIDO2 และฮาร์ดแวร์ security keys รวมถึงการใช้ Conditional Access Policies เพื่อจัดการการเข้าถึงจากอุปกรณ์ที่เชื่อถือได้ https://news.sophos.com/en-us/2025/03/28/stealing-user-credentials-with-evilginx/

สนใจFirewall สอบถามได้ครับ #sophos #firewallthai

Xgs2100 #sophos #firewallthai

วันนี้อัพเฟริมแวร์ Firewall #firewallthai #sophos

อัพเฟริมแวร์... #Firewakll #Sophos😊 #firewallthai