เมื่อไม่กี่สัปดาห์ที่ผ่านมา มีการเปิดเผยเหตุการณ์ด้านความปลอดภัยซึ่งถือเป็นหนึ่งในการโจมตีโครงสร้างพื้นฐานคลาวด์ที่ใหญ่ที่สุดในปีนี้ โดยเป้าหมายคือแพลตฟอร์มคลาวด์ระดับโลกที่ใช้งานอย่างแพร่หลายทั่วโลก เหตุการณ์นี้ไม่เพียงสะท้อนถึงความสามารถของผู้โจมตีในยุคปัจจุบัน แต่ยังแสดงให้เห็นว่าองค์กรทั่วโลก รวมไปถึงประเทศไทยต้องเตรียมพร้อมรับมือกับภัยคุกคามแบบ DDoS ที่พัฒนาไปอีกระดับ
รายงานจากแหล่งข่าวต่างประเทศระบุว่า มีการโจมตีด้วยปริมาณทราฟฟิกมหาศาลระดับ 15.72 Tbps และใช้ มากกว่า 500,000 IP Addresses จาก IoT Botnet ในการปล่อยทราฟฟิกเข้าสู่ปลายทางในช่วงเวลาอันสั้น นับเป็นหนึ่งในการโจมตีที่มีขนาดใหญ่ที่สุดที่ถูกบันทึกไว้บนแพลตฟอร์มคลาวด์สาธารณะ
บทความนี้จะสรุปเหตุการณ์ วิเคราะห์เบื้องหลัง และนำเสนอแนวคิดที่องค์กรไทยควรนำไปปรับใช้ เพื่อยกระดับความพร้อมด้านความปลอดภัยบนคลาวด์
ภาพรวมเหตุการณ์ DDoS Attack ขนาด 15 Tbps และความรุนแรงที่เกิดขึ้น
การโจมตีครั้งนี้เป็นการโจมตีแบบ Distributed Denial of Service หรือ DDoS ซึ่งมีเป้าหมายเพื่อทำให้บริการออนไลน์เกิดภาวะชะงัก ไม่สามารถให้บริการได้ตามปกติ โดยการส่งทราฟฟิกจำนวนมากในเวลาเดียวกัน
สิ่งที่ทำให้เหตุการณ์นี้โดดเด่น คือ
- ปริมาณทราฟฟิกระดับ Terabits per second (Tbps)
- ความสั้นแต่รุนแรงของการโจมตี
- แหล่งที่มาเป็น botnet ที่อยู่ตามภูมิภาคต่าง ๆ มากกว่า 100 ประเทศ
- ใช้ IoT ที่ไม่มีความปลอดภัยในการยิงทราฟฟิกแบบต่อเนื่อง
เหตุการณ์ลักษณะนี้สะท้อนว่าโครงสร้างพื้นฐานคลาวด์ต้องสามารถรองรับการโจมตีที่ใหญ่เกินกว่าระบบขององค์กรทั่วไปจะรับไหว และย้ำว่าภัยไซเบอร์สมัยใหม่ไม่ได้มุ่งโจมตีเฉพาะองค์กรเล็กใหญ่ แต่ขยายไปถึงแพลตฟอร์มระดับโลกทั้งหมด
เบื้องหลังการโจมตีที่กระทบ Microsoft Azure และวิธีการที่ผู้โจมตีใช้
เหตุการณ์นี้คือปริมาณทราฟฟิกที่ไหลเข้าสู่ระบบของ Microsoft Azure ซึ่งเป็นหนึ่งในผู้ให้บริการคลาวด์รายใหญ่ของโลก แม้ผู้ให้บริการจะมีกลไกด้านความปลอดภัยระดับสูง แต่เหตุการณ์นี้สะท้อนว่าผู้โจมตียังคงเร่งพัฒนากลยุทธ์ใหม่อย่างต่อเนื่อง
การโจมตีถูกขับเคลื่อนโดย IoT Botnet ที่จำนวนมากผิดปกติ และมีคุณสมบัติเด่นดังนี้
- ใช้ IP จากอุปกรณ์ IoT มากกว่า 500,000 จุด
- มีรูปแบบทราฟฟิกแบบ UDP Flood ที่ส่ง packets จำนวนมหาศาล
- แหล่งที่มาครอบคลุมผู้ให้บริการอินเทอร์เน็ตหลายประเทศ
- ใช้เทคนิค burst traffic ต่อเนื่องในระยะสั้นทำให้ระบบตรวจจับยากขึ้น
บ็อตเน็ตที่ตรวจพบมีจุดร่วมสำคัญคืออุปกรณ์ IoT ที่ไม่ได้อัปเดต firmware เช่น Router, กล้อง CCTV, NVR/DVR, Smart Device ภายในบ้าน รวมถึงอุปกรณ์ Enterprise ราคาประหยัด สำหรับธุรกิจไทย นี่คือสัญญาณชัดเจนว่าการมี IoT ในองค์กรโดยไม่มีการควบคุม อาจถูกนำไปใช้เป็นส่วนหนึ่งของการโจมตีโดยไม่รู้ตัว
โครงสร้างของ Aisuru Botnet ที่ใช้ IP กว่า 500,000 แห่งในการโจมตี
รายงานระบุว่าบ็อตเน็ตที่อยู่เบื้องหลังมีชื่อว่า “Aisuru” ซึ่งเป็น botnet รุ่นใหม่ที่พัฒนาต่อยอดจากตระกูล Mirai ที่มีชื่อเสียงด้านความรุนแรงและการควบคุมอุปกรณ์ IoT จำนวนมาก
Aisuru มีจุดเด่น
- ใช้โครงสร้าง decentralized
- ควบคุมอุปกรณ์ผ่าน command server หลายจุด
- ขยายฐานอุปกรณ์ติดเชื้อรวดเร็วผ่านช่องโหว่ firmware เก่า
- สามารถยิงทราฟฟิกระดับหลาย Tbps ผ่านอุปกรณ์ราคาต่ำจำนวนมาก
นี่คือเหตุผลว่าทำไมจำนวน IP ที่ถูกใช้จึงมากผิดปกติ และสามารถสร้างทราฟฟิกในระดับที่โครงสร้างพื้นฐานแบบทั่วไปไม่สามารถรับมือได้
กลไกการป้องกันของแพลตฟอร์มคลาวด์ระหว่างการรับมือการโจมตีระดับ Tbps
เหตุการณ์ครั้งนี้แสดงให้เห็นว่าระบบป้องกัน DDoS บนคลาวด์ยุคใหม่ต้องมีการทำงานหลายชั้น และต้องกระจายอยู่ทั่วโลกเพื่อรองรับการโจมตีจากทุกภูมิภาค แพลตฟอร์มขนาดใหญ่จึงใช้วิธี
- Global Traffic Scrubbing
กระจายทราฟฟิกไปยังหลายจุดเพื่อตรวจสอบ วิเคราะห์ และตัดทราฟฟิกที่ผิดปกติออกก่อนเข้าสู่บริการจริง - Real-time Telemetry
ใช้ระบบวิเคราะห์ทราฟฟิกแบบ Real-time เพื่อตรวจพบ Pattern แปลก ๆ เช่น Burst, Port Randomization หรือ Volume สูงผิดปกติ - Multi-vector Defense
การโจมตีหนึ่งครั้งอาจใช้หลายรูปแบบในเวลาเดียวกัน เช่น UDP Flood + SYN Flood + Fragmentation Flood ระบบต้องรองรับการโต้ตอบหลายช่องทาง - Automation-First Response
การตอบสนองอัตโนมัติช่วยให้กรองทราฟฟิกระดับ Tbps ได้ทันเวลา โดยไม่ต้องรอทีมวิเคราะห์แบบ manual
ความเสี่ยงที่องค์กรต้องรู้เมื่อเกิด DDoS ขนาดใหญ่บนผู้ให้บริการคลาวด์ระดับโลก
การรับมือกับภัยคุกคาม DDoS ยุคใหม่
- ตรวจสอบอุปกรณ์ภายในองค์กร โดยเฉพาะ IoT เพราะอุปกรณ์ของคุณอาจตกเป็นส่วนหนึ่งของ botnet โดยไม่รู้ตัว
- เลือกผู้ให้บริการโฮสติ้ง/คลาวด์ที่มี DDoS Protection ระดับสูง ไม่ใช่ทุกโฮสติ้งที่รองรับทราฟฟิกระดับ Tbps ดังนั้น SLA ความปลอดภัยควรเป็นปัจจัยสำคัญในการเลือกบริการ
- ทำ Stress Test และ Incident Response Plan เพื่อลดเวลาการหยุดชะงักเมื่อเกิดเหตุการณ์จริง
- ออกแบบระบบรองรับ Multi-region หรือ Multi-cloud เพื่อเพิ่ม resiliency และลด single-point-of-failure
การที่ Microsoft Azure สามารถรับมือกับการโจมตีระดับ 15 Tbps ได้ แสดงให้เห็นว่าระบบคลาวด์ยุคใหม่ต้องมีการป้องกันและสถาปัตยกรรมที่ยืดหยุ่นเป็นพิเศษ แต่ก็สะท้อนให้เห็นเช่นกันว่า ภัยคุกคามกำลังพัฒนาเร็วขึ้น พลังโจมตีสูงขึ้น และไม่มีสัญญาณว่าจะลดลง
สำหรับองค์กรไทย สิ่งสำคัญคือ
- ต้องประเมินความพร้อมด้านความปลอดภัยของโครงสร้างพื้นฐาน
- ตรวจสอบนโยบาย DDoS protection ของผู้ให้บริการ
- ลงทุนในระบบความปลอดภัยระดับที่เหมาะสมกับความเสี่ยงธุรกิจ
- สร้างความตระหนักเรื่อง IoT Security ให้กับทีม IT
หากองค์กรต้องการโครงสร้างคลาวด์หรือโฮสติ้งที่มีระบบป้องกัน DDoS ระดับองค์กร ทีม THAI DATA HOSTING พร้อมให้คำแนะนำและวางระบบที่เหมาะสมกับธุรกิจของคุณ
สอบรายละเอียดเพิ่มเติม
- 061-989-8891
- [email protected]
- Line Official : @THAIDATAHOSTING


