microsoft azure ddos 15 tbps attack

Microsoft Azure โดนโจมตี DDoS ขนาด 15 Tbps จาก Botnet กว่า 500,000 IP

เลือกอ่านตามหัวข้อ

เมื่อไม่กี่สัปดาห์ที่ผ่านมา มีการเปิดเผยเหตุการณ์ด้านความปลอดภัยซึ่งถือเป็นหนึ่งในการโจมตีโครงสร้างพื้นฐานคลาวด์ที่ใหญ่ที่สุดในปีนี้ โดยเป้าหมายคือแพลตฟอร์มคลาวด์ระดับโลกที่ใช้งานอย่างแพร่หลายทั่วโลก เหตุการณ์นี้ไม่เพียงสะท้อนถึงความสามารถของผู้โจมตีในยุคปัจจุบัน แต่ยังแสดงให้เห็นว่าองค์กรทั่วโลก รวมไปถึงประเทศไทยต้องเตรียมพร้อมรับมือกับภัยคุกคามแบบ DDoS ที่พัฒนาไปอีกระดับ

รายงานจากแหล่งข่าวต่างประเทศระบุว่า มีการโจมตีด้วยปริมาณทราฟฟิกมหาศาลระดับ 15.72 Tbps และใช้ มากกว่า 500,000 IP Addresses จาก IoT Botnet ในการปล่อยทราฟฟิกเข้าสู่ปลายทางในช่วงเวลาอันสั้น นับเป็นหนึ่งในการโจมตีที่มีขนาดใหญ่ที่สุดที่ถูกบันทึกไว้บนแพลตฟอร์มคลาวด์สาธารณะ

บทความนี้จะสรุปเหตุการณ์ วิเคราะห์เบื้องหลัง และนำเสนอแนวคิดที่องค์กรไทยควรนำไปปรับใช้ เพื่อยกระดับความพร้อมด้านความปลอดภัยบนคลาวด์

ภาพรวมเหตุการณ์ DDoS Attack ขนาด 15 Tbps และความรุนแรงที่เกิดขึ้น

microsoft azure ddos 15 tbps attack

การโจมตีครั้งนี้เป็นการโจมตีแบบ Distributed Denial of Service หรือ DDoS ซึ่งมีเป้าหมายเพื่อทำให้บริการออนไลน์เกิดภาวะชะงัก ไม่สามารถให้บริการได้ตามปกติ โดยการส่งทราฟฟิกจำนวนมากในเวลาเดียวกัน

สิ่งที่ทำให้เหตุการณ์นี้โดดเด่น คือ

  • ปริมาณทราฟฟิกระดับ Terabits per second (Tbps)
  • ความสั้นแต่รุนแรงของการโจมตี
  • แหล่งที่มาเป็น botnet ที่อยู่ตามภูมิภาคต่าง ๆ มากกว่า 100 ประเทศ
  • ใช้ IoT ที่ไม่มีความปลอดภัยในการยิงทราฟฟิกแบบต่อเนื่อง

เหตุการณ์ลักษณะนี้สะท้อนว่าโครงสร้างพื้นฐานคลาวด์ต้องสามารถรองรับการโจมตีที่ใหญ่เกินกว่าระบบขององค์กรทั่วไปจะรับไหว และย้ำว่าภัยไซเบอร์สมัยใหม่ไม่ได้มุ่งโจมตีเฉพาะองค์กรเล็กใหญ่ แต่ขยายไปถึงแพลตฟอร์มระดับโลกทั้งหมด

เบื้องหลังการโจมตีที่กระทบ Microsoft Azure และวิธีการที่ผู้โจมตีใช้

เหตุการณ์นี้คือปริมาณทราฟฟิกที่ไหลเข้าสู่ระบบของ Microsoft Azure ซึ่งเป็นหนึ่งในผู้ให้บริการคลาวด์รายใหญ่ของโลก แม้ผู้ให้บริการจะมีกลไกด้านความปลอดภัยระดับสูง แต่เหตุการณ์นี้สะท้อนว่าผู้โจมตียังคงเร่งพัฒนากลยุทธ์ใหม่อย่างต่อเนื่อง

การโจมตีถูกขับเคลื่อนโดย IoT Botnet ที่จำนวนมากผิดปกติ และมีคุณสมบัติเด่นดังนี้

  • ใช้ IP จากอุปกรณ์ IoT มากกว่า 500,000 จุด
  • มีรูปแบบทราฟฟิกแบบ UDP Flood ที่ส่ง packets จำนวนมหาศาล
  • แหล่งที่มาครอบคลุมผู้ให้บริการอินเทอร์เน็ตหลายประเทศ
  • ใช้เทคนิค burst traffic ต่อเนื่องในระยะสั้นทำให้ระบบตรวจจับยากขึ้น

บ็อตเน็ตที่ตรวจพบมีจุดร่วมสำคัญคืออุปกรณ์ IoT ที่ไม่ได้อัปเดต firmware เช่น Router, กล้อง CCTV, NVR/DVR, Smart Device ภายในบ้าน รวมถึงอุปกรณ์ Enterprise ราคาประหยัด สำหรับธุรกิจไทย นี่คือสัญญาณชัดเจนว่าการมี IoT ในองค์กรโดยไม่มีการควบคุม อาจถูกนำไปใช้เป็นส่วนหนึ่งของการโจมตีโดยไม่รู้ตัว

โครงสร้างของ Aisuru Botnet ที่ใช้ IP กว่า 500,000 แห่งในการโจมตี

รายงานระบุว่าบ็อตเน็ตที่อยู่เบื้องหลังมีชื่อว่า “Aisuru” ซึ่งเป็น botnet รุ่นใหม่ที่พัฒนาต่อยอดจากตระกูล Mirai ที่มีชื่อเสียงด้านความรุนแรงและการควบคุมอุปกรณ์ IoT จำนวนมาก

Aisuru มีจุดเด่น

  • ใช้โครงสร้าง decentralized
  • ควบคุมอุปกรณ์ผ่าน command server หลายจุด
  • ขยายฐานอุปกรณ์ติดเชื้อรวดเร็วผ่านช่องโหว่ firmware เก่า
  • สามารถยิงทราฟฟิกระดับหลาย Tbps ผ่านอุปกรณ์ราคาต่ำจำนวนมาก

นี่คือเหตุผลว่าทำไมจำนวน IP ที่ถูกใช้จึงมากผิดปกติ และสามารถสร้างทราฟฟิกในระดับที่โครงสร้างพื้นฐานแบบทั่วไปไม่สามารถรับมือได้

กลไกการป้องกันของแพลตฟอร์มคลาวด์ระหว่างการรับมือการโจมตีระดับ Tbps

เหตุการณ์ครั้งนี้แสดงให้เห็นว่าระบบป้องกัน DDoS บนคลาวด์ยุคใหม่ต้องมีการทำงานหลายชั้น และต้องกระจายอยู่ทั่วโลกเพื่อรองรับการโจมตีจากทุกภูมิภาค แพลตฟอร์มขนาดใหญ่จึงใช้วิธี

  1. Global Traffic Scrubbing
    กระจายทราฟฟิกไปยังหลายจุดเพื่อตรวจสอบ วิเคราะห์ และตัดทราฟฟิกที่ผิดปกติออกก่อนเข้าสู่บริการจริง
  2. Real-time Telemetry
    ใช้ระบบวิเคราะห์ทราฟฟิกแบบ Real-time เพื่อตรวจพบ Pattern แปลก ๆ เช่น Burst, Port Randomization หรือ Volume สูงผิดปกติ
  3. Multi-vector Defense
    การโจมตีหนึ่งครั้งอาจใช้หลายรูปแบบในเวลาเดียวกัน เช่น UDP Flood + SYN Flood + Fragmentation Flood ระบบต้องรองรับการโต้ตอบหลายช่องทาง
  4. Automation-First Response
    การตอบสนองอัตโนมัติช่วยให้กรองทราฟฟิกระดับ Tbps ได้ทันเวลา โดยไม่ต้องรอทีมวิเคราะห์แบบ manual

ความเสี่ยงที่องค์กรต้องรู้เมื่อเกิด DDoS ขนาดใหญ่บนผู้ให้บริการคลาวด์ระดับโลก

แม้ระบบขนาดใหญ่จะสามารถลดผลกระทบได้ แต่เหตุการณ์นี้แสดงให้เห็นถึงความเสี่ยงที่องค์กรทั่วไปต้องตระหนัก ธุรกิจไทยจำนวนมากยังเชื่อว่า ถ้าใช้บริการคลาวด์ของรายใหญ่แล้ว ทุกอย่างจะปลอดภัยโดยอัตโนมัติ แต่ในความเป็นจริงบริการของคุณอาจได้รับผลกระทบทางอ้อม การเชื่อมต่อปลายทางขององค์กรอาจช้าลงในช่วงที่มี scrubbing รวมไปถึงความพร้อมใช้งาน (availability) อาจเกิดความผันผวน และบริการที่ใช้ public IP หรือเปิดให้ภายนอกเข้าถึง อาจเป็นจุดเสี่ยง การใช้คลาวด์จึงต้องพิจารณาด้านความปลอดภัยเชิงสถาปัตยกรรม ไม่ใช่เพียงเลือกแพ็กเกจหรือขนาดเครื่องเท่านั้น

การรับมือกับภัยคุกคาม DDoS ยุคใหม่

  1. ตรวจสอบอุปกรณ์ภายในองค์กร โดยเฉพาะ IoT เพราะอุปกรณ์ของคุณอาจตกเป็นส่วนหนึ่งของ botnet โดยไม่รู้ตัว
  2. เลือกผู้ให้บริการโฮสติ้ง/คลาวด์ที่มี DDoS Protection ระดับสูง ไม่ใช่ทุกโฮสติ้งที่รองรับทราฟฟิกระดับ Tbps ดังนั้น SLA ความปลอดภัยควรเป็นปัจจัยสำคัญในการเลือกบริการ
  3. ทำ Stress Test และ Incident Response Plan เพื่อลดเวลาการหยุดชะงักเมื่อเกิดเหตุการณ์จริง
  4. ออกแบบระบบรองรับ Multi-region หรือ Multi-cloud เพื่อเพิ่ม resiliency และลด single-point-of-failure

การที่ Microsoft Azure สามารถรับมือกับการโจมตีระดับ 15 Tbps ได้ แสดงให้เห็นว่าระบบคลาวด์ยุคใหม่ต้องมีการป้องกันและสถาปัตยกรรมที่ยืดหยุ่นเป็นพิเศษ แต่ก็สะท้อนให้เห็นเช่นกันว่า ภัยคุกคามกำลังพัฒนาเร็วขึ้น พลังโจมตีสูงขึ้น และไม่มีสัญญาณว่าจะลดลง

สำหรับองค์กรไทย สิ่งสำคัญคือ

  • ต้องประเมินความพร้อมด้านความปลอดภัยของโครงสร้างพื้นฐาน
  • ตรวจสอบนโยบาย DDoS protection ของผู้ให้บริการ
  • ลงทุนในระบบความปลอดภัยระดับที่เหมาะสมกับความเสี่ยงธุรกิจ
  • สร้างความตระหนักเรื่อง IoT Security ให้กับทีม IT

หากองค์กรต้องการโครงสร้างคลาวด์หรือโฮสติ้งที่มีระบบป้องกัน DDoS ระดับองค์กร ทีม THAI DATA HOSTING พร้อมให้คำแนะนำและวางระบบที่เหมาะสมกับธุรกิจของคุณ

สอบรายละเอียดเพิ่มเติม
Facebook
Twitter
Email

Related Posts

หมวดหมู่ที่น่าสนใจ