Honeywell เผยภัยคุกคามไซเบอร์ในภาคอุตสาหกรรมน่าเป็นห่วง เน้นย้ำช่องโหว่จาก USB และความสำคัญของการเสริมแกร่งระบบ

June 5, 2025 Cybersecurity, Honeywell

Honeywell ผู้ให้บริการโซลูชันการจัดการพลังงานอัจฉริยะ ได้เปิดเผยข้อมูลเชิงลึกด้านภัยคุกคามไซเบอร์ที่น่าเป็นห่วงในภาคอุตสาหกรรม ผ่านบริการ Advanced Monitoring and Incident Response (AMIR) ซึ่งเป็นส่วนหนึ่งของบริการ Managed Security Services (MSS) โดยเน้นย้ำถึงความสำคัญของการบังคับใช้นโยบายที่สอดคล้องและการเสริมสร้างความแข็งแกร่งของระบบอย่างต่อเนื่อง เพื่อยกระดับการบริหารจัดการความเสี่ยงในสภาพแวดล้อมการปฏิบัติงาน

ในช่วงระยะเวลาการรายงานล่าสุด AMIR ตรวจพบเหตุการณ์ด้านความปลอดภัยที่ไม่ซ้ำกันถึง 107 เหตุการณ์ ซึ่งสะท้อนให้เห็นถึงความหลากหลายและความคงทนของภัยคุกคามที่มุ่งเป้าไปที่ระบบอุตสาหกรรม

Trojan, Worms และช่องโหว่จาก Removable Media

แพลตฟอร์ม Secure Media Exchange (SMX) ของ Honeywell ยังระบุภัยคุกคามที่ไม่ซ้ำกันถึง 1,826 รายการ ซึ่งส่วนใหญ่เกี่ยวข้องกับ Trojan และ Worms ภัยคุกคามประเภทนี้ต้องการความสนใจอย่างต่อเนื่องและการอัปเดตบ่อยครั้งผ่านเครื่องมือและสคริปต์อัตโนมัติเพื่อรักษาการป้องกันที่มีประสิทธิภาพ ผลการค้นพบนี้ตอกย้ำถึงความจำเป็นในการใช้ข่าวกรองภัยคุกคามเชิงรุกและการอัปเดตระบบเป็นประจำ เพื่อลดความเสี่ยงจากมัลแวร์ที่เข้ามาทางสื่อบันทึกข้อมูลแบบถอดได้ (Removable Media)

ข้อมูล telemetry จากบริการ AMIR เน้นย้ำถึงขนาดและความรุนแรงที่เพิ่มขึ้นของภัยคุกคามทางไซเบอร์ที่มุ่งเป้าไปที่สภาพแวดล้อมการปฏิบัติงาน ในช่วงไตรมาสที่สี่ของปีที่แล้วและไตรมาสแรกของปีนี้ AMIR ได้วิเคราะห์บันทึกข้อมูลถึง 89,900 ล้านรายการ และแจ้งเตือน 54,098 รายการ โดยทีมรักษาความปลอดภัยของ Honeywell ได้คัดแยกเหตุการณ์ที่ต้องดำเนินการต่อไป 1,008 เหตุการณ์ ซึ่งรวมถึงเหตุการณ์ที่ไม่ซ้ำกันถึง 107 เหตุการณ์

USB Port: ช่องโหว่สำคัญที่ต้องระวังและการโจมตีด้วยแรนซัมแวร์ที่เพิ่มขึ้น

ผลการค้นพบนี้ตอกย้ำถึงคุณค่าของการบังคับใช้นโยบายที่สอดคล้องและการเสริมสร้างความแข็งแกร่งของระบบรักษาความปลอดภัยทั่วทั้งระบบอุตสาหกรรม เหตุการณ์ที่พบบ่อยที่สุด ได้แก่ กิจกรรมเสียบและเล่น USB ที่ไม่ได้รับอนุญาต (Unauthorized USB plug-and-play activity), การเพิ่มบัญชีเข้าสู่กลุ่มความปลอดภัยในเครื่อง, การเปลี่ยนแปลงระดับการบังคับใช้ CB-AppControl จากสูงไปต่ำ, และการเพิ่มสมาชิกเข้าสู่กลุ่มความปลอดภัยของตัวควบคุมโดเมน

Honeywell ระบุว่า 25% ของ 10 เหตุการณ์ที่พบบ่อยที่สุดเกิดจากการเสียบและเล่น USB ซึ่งอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยทางไซเบอร์อย่างมีนัยสำคัญ โดยเฉพาะอย่างยิ่งเมื่ออุปกรณ์ที่ไม่ได้รับอนุญาตหรือเป็นอันตรายถูกเชื่อมต่อเข้ากับระบบ ตัวอย่างเช่น การเสียบแฟลชไดรฟ์ USB ที่ติดมัลแวร์โดยไม่รู้ตัว

นอกจากนี้ รายงานยังระบุถึงภัยคุกคามจากแรนซัมแวร์ที่รุนแรงและเพิ่มขึ้นอย่างต่อเนื่องต่อผู้ประกอบการอุตสาหกรรมและผู้ผลิต การโจมตีด้วยแรนซัมแวร์เพิ่มขึ้น 46% ในไตรมาสแรกของปี 2025 โดยกลุ่มแรนซัมแวร์ Cl0p กลายเป็นผู้คุกคามที่เคลื่อนไหวมากที่สุด ในช่วงไตรมาสเดียวกันนั้น รายงานภัยคุกคามไซเบอร์ปี 2025 ของ Honeywell รายงานเหยื่อแรนซัมแวร์รายใหม่ 2,472 ราย ซึ่งเพิ่มขึ้นจาก 6,130 เหตุการณ์ที่บันทึกไว้ในปี 2024

กลยุทธ์ป้องกันภัย: เน้นการควบคุมและตรวจสอบอย่างเข้มงวด

การป้องกันโทรจัน, เวิร์ม และมัลแวร์ประเภทอื่นๆ จำเป็นต้องมีการอัปเดตอย่างต่อเนื่องผ่านเครื่องมือและสคริปต์อัตโนมัติ ผู้โจมตีที่มุ่งเป้าไปที่เครือข่ายควบคุมอุตสาหกรรมจะใช้ช่องทางใดก็ได้ที่มี และสื่อบันทึกข้อมูลแบบถอดได้ยังคงเป็นกลไกการส่งมอบที่พบบ่อยและมีประสิทธิภาพ

เพื่อรับมือกับภัยคุกคามนี้ องค์กรต่างๆ ต้องนำมาตรการควบคุมทางเทคนิคและทางกายภาพมาใช้ ซึ่งสนับสนุนการบังคับใช้นโยบายที่เข้มงวด ตัวอย่างเช่น โซลูชัน Secure Media Exchange (SMX) ของ Honeywell ซึ่งออกแบบมาเพื่อตรวจจับและบล็อกกิจกรรมที่เป็นอันตรายบนอุปกรณ์ USB โดยพบว่ามี 4,984 ไฟล์ถูกบล็อก ในช่วงการรายงานล่าสุด ซึ่งตอกย้ำถึงความเสี่ยงที่ต่อเนื่องที่เกิดจากมัลแวร์ที่มากับ USB

Honeywell แนะนำให้องค์กร ปิดใช้งานพอร์ต USB เมื่อไม่ได้ใช้งาน, บังคับใช้นโยบายควบคุมอุปกรณ์ที่เข้มงวด, ติดตั้งตู้สแกนสื่อแบบปลอดภัย, และฝึกอบรมพนักงานเกี่ยวกับอันตรายของแฟลชไดรฟ์ USB ที่ไม่รู้จัก นอกจากนี้ยังควรจำกัดการเข้าถึงการแชร์เครือข่าย, ใช้ Application Allowlisting, และติดตั้งเครื่องมือรักษาความปลอดภัยที่ได้รับการรับรองจากผู้จำหน่ายพร้อมลายเซ็นภัยคุกคามที่อัปเดต

การจัดการบัญชีผู้ใช้และการเสริมความแข็งแกร่งของระบบตามมาตรฐาน CIS Benchmarks

รายงานระบุว่า 16% ของเหตุการณ์สูงสุดที่ AMIR ของ Honeywell บันทึกไว้ คือ การเพิ่มบัญชีเข้าสู่กลุ่มความปลอดภัยในเครื่อง ซึ่งสามารถสร้างความเสี่ยงด้านความปลอดภัยได้เนื่องจากเป็นการให้สิทธิ์การเข้าถึงระบบที่สูงขึ้น Honeywell แนะนำให้กำหนดเกณฑ์ที่ชัดเจนในการพิจารณาว่าบัญชีใดเป็นบัญชีพิเศษและไม่พิเศษ องค์กรควรนำกลไกการบังคับใช้มาใช้เพื่อรักษาความแตกต่างเหล่านี้ และดำเนินการตรวจสอบเป็นประจำเพื่อตรวจสอบรายการบัญชีสำหรับการเปลี่ยนแปลงระดับสิทธิ์หรือการเพิ่มบัญชีพิเศษใหม่

รายงานของ Honeywell ชี้ให้เห็นว่า CIS Benchmarks (Center for Internet Security) เป็นมาตรฐานความปลอดภัยที่ได้รับการยอมรับทั่วโลก ซึ่งช่วยให้องค์กรปกป้องระบบและข้อมูล IT/OT จากการโจมตีทางไซเบอร์ Honeywell แนะนำว่าองค์กรควรติดตามการเปลี่ยนแปลงการกำหนดค่าและแก้ไขการเปลี่ยนแปลงการกำหนดค่าด้วยวิธีการที่เป็นโปรแกรม นอกจากนี้ยังต้องปรับนโยบายและกลยุทธ์การบังคับใช้ตามสภาพแวดล้อม โดยเฉพาะระดับความเชี่ยวชาญโดเมน และพิจารณาการใช้โซลูชันการควบคุมแอปพลิเคชันเพื่อติดตามการเปลี่ยนแปลง

Honeywell ยังแนะนำให้องค์กรนำมาตรการควบคุมทางเลือกที่แข็งแกร่งมาใช้สำหรับระบบที่ไม่สามารถแก้ไขได้รวดเร็ว ขั้นตอนสำคัญรวมถึงการใช้การแบ่งส่วนเครือข่ายด้วยไฟร์วอลล์และ VLAN เพื่อแยกสินทรัพย์ที่เสี่ยง การปิดใช้งานคุณสมบัติ autorun และการบังคับใช้การควบคุมที่เข้มงวดบนสื่อบันทึกข้อมูลแบบถอดได้ผ่านการสแกนและการจำกัดพอร์ต

นอกจากนี้ ยังแนะนำให้จำกัดการเข้าถึงการแชร์เครือข่าย การใช้ Application Allowlisting และการติดตั้งเครื่องมือรักษาความปลอดภัยที่ได้รับการรับรองจากผู้จำหน่ายพร้อมลายเซ็นภัยคุกคามที่อัปเดตสามารถลดความเสี่ยงได้ ระบบป้องกันการบุกรุก (Intrusion Prevention Systems) ที่มี Virtual Patching สามารถให้การป้องกันเพิ่มเติม การเสริมความแข็งแกร่งของระบบอย่างสม่ำเสมอ การบังคับใช้สิทธิ์ขั้นต่ำ และการตรวจสอบความผิดปกติอย่างต่อเนื่องเป็นสิ่งจำเป็น Honeywell ยังเน้นย้ำถึงความจำเป็นในการมีแผนรับมือเหตุการณ์ที่ผ่านการทดสอบและเฉพาะเจาะจงสำหรับ OT เพื่อแยกภัยคุกคามและกู้คืนการดำเนินงานโดยมีผลกระทบน้อยที่สุด

ที่มา : https://industrialcyber.co/reports/honeywell-amir-service-finds-over-1000-security-incidents-on-reviewing-90-billion-logs-amid-rising-ot-threats/