จากรายงาน Kaspersky Security Services ระดับโลกฉบับล่าสุด ระบุว่า การคาดเดารหัสผ่านและการใช้บัญชีที่ถูกต้องในทางที่ผิดจัดอยู่ในกลุ่มกลยุทธ์ที่มีประสิทธิภาพมากที่สุดที่อาชญากรไซเบอร์ใช้ในปี 2025 แนวโน้มนี้สะท้อนให้เห็นถึงการเปลี่ยนแปลงเชิงกลยุทธ์ เนื่องจากผู้โจมตีเปลี่ยนจากการกระตุ้นการป้องกันเอ็นด์พอยต์ด้วยมัลแวร์ที่โจมตีแบบโจ่งแจ้ง เป็นการใช้การเข้าถึงที่ถูกต้องเพื่อหลีกเลี่ยงการตรวจจับแทน
รายงานเรื่อง “Anatomy of a Cyber World” เป็นรายงานระดับโลกเชิงลึกที่รวบรวมข้อมูลจาก Kaspersky Managed Detection and Response (MDR), Incident Response (IR), Compromise Assessment และ SOC Consulting ในปี 2025 ซึ่งครอบคลุมเทคนิค เครื่องมือ และสถานการณ์การตรวจจับที่พบบ่อยที่สุด และเน้นถึงลักษณะเฉพาะของเหตุการณ์ที่ตรวจพบ
จากรายงานพบว่า ส่วนสำคัญของเทคนิคการโจมตีที่ได้รับการตรวจสอบบ่อยที่สุดเกี่ยวข้องกับข้อมูลประจำตัวและการจัดการตัวตน การวิเคราะห์นี้ ซึ่งตรวจสอบอัตราการแปลงของตัวบ่งชี้การโจมตี (IoA) ต่างๆ เน้นย้ำถึงกลยุทธ์ที่เป็นอันตรายที่แพร่หลายดังต่อไปนี้
- การเดารหัสผ่าน (Password guessing) – 8% เทคนิคนี้เกี่ยวข้องกับการที่ผู้โจมตีพยายามใช้รหัสผ่านต่างๆ อย่างเป็นระบบจนกว่าจะสามารถเข้าถึงบัญชีได้สำเร็จ เทคนิคนี้ติดอันดับต้นๆ ของรายการการบุกรุก เนื่องจากพบได้ทั้งในการโจมตีจริงและการประเมินความปลอดภัยที่ได้รับอนุญาต ทำให้เป็นภัยคุกคามที่ยังคงมีอยู่ในภูมิทัศน์ด้านความปลอดภัยทางไซเบอร์ในปัจจุบัน องค์กรที่ใช้รหัสผ่านที่อ่อนแอหรือใช้ซ้ำยังคงปล่อยให้กลยุทธ์เก่าแก่แบบนี้ดำเนินต่อไป
- การสร้างบัญชีภายในเครื่อง (Local account creation) – 7% เมื่อเข้าไปในระบบได้แล้ว ผู้โจมตีมักจะสร้างบัญชีภายในเครื่องใหม่เพื่อรักษาการเข้าถึงแม้ว่าการเข้าถึงเดิมจะถูกค้นพบและลบออกไปแล้วก็ตาม เทคนิคนี้มักพบเห็นได้ในระหว่างการฝึกซ้อมด้านความปลอดภัยและสามารถตรวจจับได้ แต่ต้องมีข้อมูลการวัดผลที่ถูกต้อง ซึ่งมักจะขาดหายไป
- การใช้บัญชีที่ถูกต้องในทางที่ผิด (Valid account abuse) – 5% แทนที่จะใช้มัลแวร์ ผู้โจมตีจะเข้าสู่ระบบโดยใช้ข้อมูลประจำตัวที่ถูกขโมยหรือถูกบุกรุก และกลมกลืนไปกับกิจกรรมของผู้ใช้ปกติ ซึ่งทำให้การตรวจจับทำได้ยากขึ้นอย่างมาก เนื่องจากตัวการเข้าถึงเองดูเหมือนถูกต้องตามกฎหมาย อัตราการแปลงที่สูงเน้นย้ำว่าเหตุใดข้อมูลประจำตัวที่ถูกบุกรุกจึงยังคงเป็นหนึ่งในช่องทางการโจมตีที่อันตรายที่สุด
- การเปลี่ยนแปลงบัญชีผู้ใช้ (Account manipulation) – 32% ผู้โจมตีแก้ไขบัญชีผู้ใช้ที่มีอยู่เพื่อรวมการเข้าถึง เช่น การเปิดใช้งานบัญชีที่ถูกปิดใช้งาน การเปลี่ยนแปลงการเป็นสมาชิกกลุ่ม หรือการยกระดับสิทธิ์ ซึ่งเป็นการตอกย้ำรูปแบบที่กว้างขึ้น กล่าวคือ แทนที่จะนำเครื่องมือใหม่มาใช้ ผู้โจมตีจะเพิ่มการควบคุมโดยใช้สิ่งที่มีอยู่แล้ว
- การค้นหาบริการเครือข่าย (Network service discovery) – 2% ก่อนที่จะรุกเข้าไปในเครือข่าย ผู้โจมตีมักจะสแกนหาบริการและระบบที่เปิดอยู่ซึ่งพวกเขาสามารถเข้าถึงได้ ขั้นตอนนี้เป็นตัวบ่งชี้ที่สำคัญของสิ่งที่จะตามมา นั่นคือ การเคลื่อนที่ในแนวนอนและการโจมตีเพิ่มเติม การตรวจพบตั้งแต่เนิ่นๆ จะทำให้ทีมรักษาความปลอดภัยมีโอกาสสำคัญในการเข้าแทรกแซง
รายงานฉบับนี้จัดอันดับเทคนิคการโจมตีตามความถี่ที่กิจกรรมที่ตรวจพบส่งผลให้เกิดเหตุการณ์ที่เป็นอันตรายที่ได้รับการยืนยันแล้ว ผู้เชี่ยวชาญจากแคสเปอร์สกี้กล่าวว่า แม้ว่า MITRE ATT&CK® จะรวบรวมเทคนิคการโจมตีจำนวนมาก แต่การตรวจจับที่มีประสิทธิภาพจำเป็นต้องให้ความสำคัญกับพฤติกรรมที่มีโอกาสสูงที่สุดที่จะมีเจตนาร้าย ในขณะเดียวกันก็ต้องหลีกเลี่ยงการแจ้งเตือนผิดพลาดมากเกินไป
เซอร์เกย์ โซลดาทอฟ หัวหน้าศูนย์ปฏิบัติการด้านความปลอดภัยของแคสเปอร์สกี้ กล่าวว่า “ผู้ก่อภัยคุกคามไม่จำเป็นต้องใช้มัลแวร์ที่ซับซ้อนเสมอไปเพื่อให้บรรลุเป้าหมาย ในหลายกรณี เครื่องมือบริหารจัดการที่ถูกต้องตามกฎหมายและบัญชีที่ถูกบุกรุกยังคงเป็นวิธีที่เร็วที่สุดและมีประสิทธิภาพที่สุดในการเข้าถึงภายในองค์กรโดยหลีกเลี่ยงการตรวจจับ ความนิยมอย่างต่อเนื่องของเทคนิคเหล่านี้แสดงให้เห็นว่าองค์กรต่างๆ จำเป็นต้องมีข้อมูลเชิงลึกเกี่ยวกับพฤติกรรมของผู้โจมตีและความสามารถในการเชื่อมโยงกิจกรรมที่น่าสงสัยในขั้นตอนต่างๆ ของการโจมตี เพื่อรับมือกับความท้าทายเหล่านี้ บริษัทต่างๆ สามารถเพิ่มความปลอดภัยด้วยโซลูชันของเรา ได้แก่ Kaspersky Managed Detection and Response และ Incident Response ซึ่งครอบคลุมวงจรการจัดการเหตุการณ์ทั้งหมด ตั้งแต่การตรวจจับภัยคุกคามไปจนถึงการป้องกันและการแก้ไขอย่างต่อเนื่อง”
