รายงานประจำปี 2565 สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

Misconfiguration (มิิสคอนฟิิ กกููเรชั่�น) Penetration Test (เพนิเิ ทรชััน เทส) การกำ�ำ หนดค่า่ ที่ไ่� ม่ถ่ ูกู ต้อ้ ง หรือไม่เ่ หมาะสมของระบบข้อ้ มูลู หรื อส่่วนประกอบของระบบ ที่่�อาจนำำ�ไปสู่่�ช่่องโหว่่ Penetration Test หรือ PenTest เป็็นวิิธีีการประเมิิน หรือจุดุ อ่อ่ นของระบบ ความเสี่�่ยงด้้วยการทดสอบเจาะระบบเพื่่�อค้้นหาจุุด อ่่อนในการเข้้าถึึงระบบต่่างๆ โดยใช้้ผู้�เชี่�่ยวชาญ An incorrect or suboptimal configuration of an information system ช่ว่ ยให้ส้ ามารถประเมิินความเสี่ย�่ งของระบบเครือข่า่ ย or system component that may lead to vulnerabilities ลููกค้า้ ว่า่ มีีความเสี่ย�่ งตรงจุดุ ใด ซึ่ง� จะเป็็นการทดสอบ เจาะระบบในเชิิงลึึก พร้้อมแจ้้งผลการทดสอบ และ Ransomware (แรนซััมแวร์์) ประเมิินความเสี่�่ยงเพื่่�อเตรีียมการป้้องกัันไว้้ก่่อน มััลแวร์เ์ รียกค่า่ ไถ่่ เป็น็ มััลแวร์ท์ ี่เ�่ ข้า้ รหััสลัับข้อ้ มูลู ในเครื่อ� งเหยื่อ�่ ซึ่ �งการตรวจหาช่่องโหว่่นี้ �เป็็นหนึ่ �งในมาตรการป้้องกััน ทำำ�ให้้ไม่่สามารถเข้้าถึึงข้้อมููลได้้ และเรี ยกค่่าไถ่่จากเหยื่�่อ ภััยคุุกคามทางไซเบอร์์ที่่� เหมาะสำำ�หรัับองค์์กรที่่� เพื่่อ� แลกกัับการถอดรหััสลัับ ต้้องการรัักษาความปลอดภััยเป็็นพิิเศษ และจำ�ำ เป็็น ต้อ้ งตรวจสอบระบบอย่า่ งสม่ำ�ำ� เสมอ Ransomware is a type of malware encrypted in a victim’s device. The malware blocks information access and demands ransom from Penetration test or PenTest is an authorized simulated the victim in exchange for the decryption code. attack performed by experts on a computer system to detect vulnerabilities. The test can assess the risk of a client’s network system and identify vulnerable points. It is an in-depth hack, reports test results, and prepare preventive measures. Vulnerability identification is one of the preventive measures for organizations that need a high security level and regular system maintenance. Social Engineering (โซเชีียว อิินเจอเนริ่�ง) วิศวกรรมสัังคม เป็็นเทคนิิคการหลอกลวงโดยใช้ห้ ลัักการพื้้�นฐานทางจิิตวิิทยาเพื่่�อให้้เหยื่อ�่ เปิดิ เผยข้้อมูลู ซึ่ง� บางครั้�งอาจ ไม่จ่ ำ�ำ เป็น็ ต้อ้ งใช้เ้ ทคโนโลยีีเข้า้ มาเกี่ย�่ วข้อ้ งเลย ผู้�ที่ต่� กเป็น็ เหยื่อ่� ของ Social Engineering อาจจะตกเป็น็ เหยื่อ่� โดยความตั้ง�้ ใจ หรือไม่่ตั้ง�้ ใจของผู้�ไม่่หวังดีีก็็ได้้ กล่่าวคืือ ถ้า้ ผู้�ไม่่หวังดีีมีีเป้า้ หมายเฉพาะเจาะจง เช่น่ ต้อ้ งการข้้อมููลความลัับขององค์ก์ ร ใดองค์ก์ รหนึ่�ง เหยื่่อ� ในที่น่�ี้ก� ็ม็ ัักจะเป็็นผู้�ที่ม่� ิิสิิทธิใิ นการเข้า้ ถึึงข้้อมููลความลัับขององค์ก์ รนั้น�้ แต่ห่ ากเป้า้ หมายของผู้�ไม่ห่ วัง ดีีเป็น็ แบบที่ไ�่ ม่ไ่ ด้เ้ จาะจงเหยื่อ�่ เช่น่ ต้้องการรหััสบััตรเครดิิต หรือบัญั ชีผู้�ใช้้และรหััสผ่า่ นของบริิการต่่าง ๆ ของใครก็็ได้้ เหยื่อ�่ ของผู้�ไม่ห่ วังดีนี้�จะเป็็นใครก็็ตามซึ่ง� หลงเชื่�่อการหลอกลวงนั้้น� Social engineering use psychological principles to trick victims to disclose their information. They don’t always use technology, and victims may be victimized with or without intention of the criminal. In other words, if a criminal has a specific target, such as confidential information of an organization, the victim could be someone who has access to such confidential information. However, if the target is not specific, such as credit card pins or account information and passwords of anybody, the victims could be anyone who is convinced by social engineering tricks. รายงานประจำำ�ปีี 2565 149 สำ�ำ นักั งานคณะกรรมการการรักั ษาความมั่่�นคงปลอดภัยั ไซเบอร์แ์ ห่ง่ ชาติิ (สกมช.)

Supply Chain Attack Website Defacement (ซััพพลายเชน แอทแทค) (เว็็บไซต์ด์ ีเี ฟซเมนต์)์ การจู่�โจมไปที่่ผ�ู้�พัฒนาซอฟต์์แวร์์ โดย การโจมตีีเพื่อ่� เปลี่ย่� นหน้า้ เว็บ็ ไซต์ข์ องเป้า้ หมาย โดยที่เ�่ ป้า้ มีีจุุดประสงค์์เพื่่�อสอดแทรกมััลแวร์์ลง หมายไม่อ่ นุญุ าต ซึ่ง� ผู้�โจมตีีมีีวััตถุปุ ระสงค์เ์ พื่อ่� ปรัับเปลี่ย่� น ในแอปพลิิเคชััน ซึ่�งจะทำ�ำ ให้้ลููกค้้าผู้� หน้้าเว็็บไซต์์แรกของเว็็บไซต์์เป้้าหมายหรื อทั้้�งเว็็บไซต์์ ใช้้งานแอปพลิิเคชัันนั้้�นตกเป็็นเหยื่�่อ จากเดิิมไปเป็็นหน้า้ เว็บ็ ไซต์์ใหม่่ ได้้โดยไม่่รู้�ตััว เนื่่�องจากมััลแวร์์จะ แฝงตััวมาในรููปของแอปพลิิเคชัันที่่� Website defacement is a type of cybercrime that changes the องค์์กรซื้�้อใช้้งานอยู่�แล้้ว หรื ออาจ appearance of a target website without the owner’s permission. กระจายตััวออกมาในรููปของอััปเดต The purpose of cybercriminals is to change the home page or สำ�ำ หรัับแอปนั้้�น จึึงมีีโอกาสที่่�จะหลุุด the whole website into a new one. รอดจากการตรวจจัับได้้สููงกว่่าปกติิ และสามารถทำำ�งานในเครื อข่่ายของ Website Phishing เป้้าหมายได้้เสมืือนเป็็นแอปพลิิเคชััน (ฟิิ ชชิิง) ดั้ง้� เดิิมที่อ�่ งค์์กรไว้้วางใจ คืือคำ�ำ ที่่�ใช้้เรี ยกเทคนิิคการหลอกลวงโดยใช้้อีีเมลหรื อหน้้าเว็็บไซต์์ A supply chain attack aims to attack ปลอมเพื่่�อให้้ ได้ม้ าซึ่�งข้้อมููล เช่่น ชื่อ่� ผู้�ใช้้ รหััสผ่่าน หรือข้้อมูลู ส่ว่ น software developers. The purpose is to บุุคคลอื่�่น ๆ เพื่�่อนำำ�ข้้อมููลที่�่ได้้ไปใช้้ในการเข้้าถึึงระบบโดยไม่่ได้้รัับ instal spying malware into an application อนุุญาต หรือสร้้างความ เสีียหายในด้้านอื่่�น ๆ เช่่น ด้้านการเงิน which makes users become victims เป็น็ ต้้น unknowingly. This is because the malware is already instaled in the application that It is a cybercriminal technique that tricks victims by using a fake email address the organization is using or added later or website to acquire such information as usernames, passwords, or other in the form of new updates. It is particularly types of personal data. The acquired data is used for unauthorized access probable that the malware to not be or cause other damage, such as financial damage. detected and can function in the target network similarly to an application trusted by the organization. 150 รายงานประจำำ�ปีี 2565 สำำ�นัักงานคณะกรรมการการรักั ษาความมั่่�นคงปลอดภัยั ไซเบอร์แ์ ห่่งชาติิ (สกมช.)

คณะทำ�ำ งานจััดทำ�ำ รายงานผลการดำำ�เนิินงานประจำำ�ปีี พ.ศ. 2565 เลขาธิกิ ารคณะกรรมการการรักั ษาความมั่่�นคงปลอดภััยไซเบอร์์แห่ง่ ชาติิ ประธานคณะทำ�ำ งาน รองเลขาธิกิ ารคณะกรรมการการรัักษาความมั่่�นคงปลอดภััยไซเบอร์์แห่ง่ ชาติิ รองประธานคณะทำำ�งาน ผู้เ� ชี่�ยวชาญด้้านการจััดการองค์์กร คณะทำำ�งาน ผู้เ� ชี่�ยวชาญด้้านนโยบายและยุุทธศาสตร์์ คณะทำ�ำ งาน ผู้�ช่ วยเลขาธิกิ ารคณะกรรมการการรักั ษาความมั่่�นคงปลอดภััยไซเบอร์์แห่่งชาติิ คณะทำำ�งาน ผู้�ทรงคุุณวุุฒิพิ ิเิ ศษ คณะทำ�ำ งาน ผู้�อำำ�นวยการสำ�ำ นักั / ศููนย์์/ ฝ่่าย คณะทำำ�งาน ผู้�อำ�ำ นวยการสำ�ำ นัักการเงิินและกลยุุทธ์์องค์ก์ ร คณะทำำ�งานและเลขานุกุ าร นางสาวสุุภิิสา กููดือื ราแม คณะทำ�ำ งานและผู้�ช่ วยเลขานุุการ นางสาวชมพููนุทุ กัันเขีียว คณะทำำ�งานและผู้�ช่ วยเลขานุุการ นางสาวรัตั นาภรณ์์ จันั ทร์น์ าม คณะทำำ�งานและผู้�ช่ วยเลขานุุการ ผู้�รวบรวมข้้อมููลและการออกแบบ 1. นางมััตติกิ า จงพิิริิยะอนัันต์์ 2. นางสาวสุภุ ิิสา กููดือื ราแม 3. นางสาวรััตนาภรณ์์ จัันทร์น์ าม 4. นางสาวชมพููนุุท กัันเขียี ว 5. นางสาวอรอุุมา ธรรมศิริ ิิ 6. นายทศพล กลิ่�นหอม 7. นายสมพล ไทยเจริิญ รายงานประจำ�ำ ปีี 2565 151 สำ�ำ นัักงานคณะกรรมการการรักั ษาความมั่่�นคงปลอดภััยไซเบอร์์แห่ง่ ชาติิ (สกมช.)