Sophos: 71% ขององค์กรถูกโจมตีจากการละเมิดข้อมูลประจำตัวในปี 2025
รายงานฉบับใหม่จาก Sophos ได้เปิดเผยตัวเลขที่น่าตกใจเกี่ยวกับปัญหาที่ผู้เชี่ยวชาญด้านความปลอดภัยเตือนมานานหลายปี: 71% ขององค์กรทั่วโลกประสบเหตุละเมิดความปลอดภัยที่เกี่ยวข้องกับข้อมูลประจำตัวอย่างน้อยหนึ่งครั้งในปีที่ผ่านมา การค้นพบนี้เกิดขึ้นในช่วงเวลาที่การโจมตีผ่านข้อมูลประจำตัวไม่ได้เป็นเพียงภัยคุกคามเฉพาะกลุ่มอีกต่อไป แต่กลายเป็นวิธีการหลักที่ผู้โจมตีใช้เจาะเข้าสู่สภาพแวดล้อมขององค์กร สำหรับธุรกิจและบุคคลทั่วไป ข้อมูลนี้ส่งสัญญาณชัดเจนว่าสุขอนามัยของข้อมูลประจำตัวไม่สามารถถูกมองข้ามเป็นเรื่องรองได้อีกต่อไป
สิ่งที่ข้อมูลของ Sophos เปิดเผยเกี่ยวกับความถี่และขอบเขตของการละเมิดข้อมูลประจำตัว
ขนาดของการค้นพบของ Sophos ยากที่จะมองข้าม เกือบสามในสี่ขององค์กร ในทุกอุตสาหกรรมและทุกภูมิภาค ประสบเหตุประนีประนอมที่เกี่ยวข้องกับข้อมูลประจำตัวในปีเดียว นี่ไม่ใช่เรื่องราวของเป้าหมายที่มีชื่อเสียงเพียงไม่กี่ราย แต่สะท้อนถึงช่องโหว่เชิงระบบในวงกว้าง ในวิธีที่องค์กรจัดการว่าใครและสิ่งใดที่สามารถเข้าถึงระบบของตนได้
การละเมิดที่เกี่ยวข้องกับข้อมูลประจำตัวแตกต่างจากการบุกรุกเครือข่ายแบบดั้งเดิมในแง่สำคัญ แทนที่จะเจาะผ่านไฟร์วอลล์ ผู้โจมตีจะประนีประนอมข้อมูลประจำตัวหรือโทเค็นที่ทำให้ตนดูเหมือนเข้าถึงได้อย่างถูกต้อง เมื่ออยู่ภายในแล้ว พวกเขาสามารถเคลื่อนที่ในแนวราบ ขยายสิทธิ์ และขโมยข้อมูลโดยดูเหมือนเป็นผู้ใช้ที่ได้รับอนุญาต อย่างน้อยในตอนแรก ซึ่งทำให้การตรวจจับช้าลงและการแก้ไขซับซ้อนยิ่งขึ้น
ผลกระทบในโลกจริงจากความล้มเหลวด้านข้อมูลประจำตัวได้ปรากฏเป็นข่าวใหญ่ในปี 2025 แล้ว การละเมิด Alert 360 ที่เปิดเผยข้อมูล 2.5 ล้านรายการ และ การละเมิด Zara ที่ส่งผลกระทบต่อลูกค้าเกือบ 200,000 รายผ่านผู้ให้บริการบุคคลที่สาม ล้วนแสดงให้เห็นว่าข้อมูลประจำตัวที่ถูกประนีประนอม ไม่ว่าจะผ่านการโจมตีโดยตรงหรือการเปิดเผยในซัพพลายเชน สามารถลุกลามไปสู่การสูญเสียข้อมูลมหาศาลได้อย่างไร
เหตุใดข้อมูลประจำตัวที่ไม่ใช่มนุษย์และ API Key จึงกลายเป็นเป้าหมายหลัก
หนึ่งในการค้นพบที่มองการณ์ไกลในรายงานของ Sophos คือการให้ความสนใจกับข้อมูลประจำตัวที่ไม่ใช่มนุษย์ หมวดนี้รวมถึง API Key บัญชีบริการ สคริปต์อัตโนมัติ และตัวแทน AI ที่ได้รับสิทธิ์เข้าถึงระบบเพื่อทำงานโดยอัตโนมัติมากขึ้นเรื่อยๆ
ในขณะที่องค์กรนำเครื่องมือที่ขับเคลื่อนด้วย AI มาใช้และทำให้เวิร์กโฟลว์เป็นอัตโนมัติมากขึ้น พวกเขากำลังสร้างคลังสินค้าของตัวแสดงที่ไม่ใช่มนุษย์ซึ่งถือครองข้อมูลประจำตัวและสิทธิ์ ปัญหาคือข้อมูลประจำตัวเหล่านี้มักถูกจัดการอย่างผิดพลาด: สิทธิ์กว้างเกินควร ข้อมูลประจำตัวไม่ค่อยถูกหมุนเวียน และการตรวจสอบพฤติกรรมผิดปกติก็ไม่สม่ำเสมออย่างดีที่สุด
API Key ที่ฝังอยู่ในคลังเก็บโค้ด หรือตัวแทน AI ที่ได้รับสิทธิ์เขียนลงฐานข้อมูลการผลิต ถือเป็นเป้าหมายที่มีมูลค่าสูงสำหรับผู้โจมตี ซึ่งแตกต่างจากบัญชีผู้ใช้ที่เป็นมนุษย์ ข้อมูลประจำตัวที่ไม่ใช่มนุษย์มักขาดการจัดการวงจรชีวิตแบบเดียวกัน หมายความว่าพวกมันสามารถคงอยู่ต่อไปได้นานหลังจากความต้องการหมดไป และไม่มีใครสังเกตเห็นเมื่อถูกประนีประนอม รายงานของ Sophos ระบุว่าการจัดการที่ผิดพลาดนี้เป็นหนึ่งในเวกเตอร์การโจมตีหลักที่ผลักดันให้เกิดตัวเลข 71%
เหตุใดความผิดพลาดของมนุษย์จึงยังคงเป็นจุดอ่อนที่สุดในความปลอดภัยของข้อมูลประจำตัว
ควบคู่ไปกับการเพิ่มขึ้นของความเสี่ยงจากข้อมูลประจำตัวที่ไม่ใช่มนุษย์ การค้นพบของ Sophos ยืนยันว่าความผิดพลาดของมนุษย์ยังคงบ่อนทำลายโปรแกรมความปลอดภัยที่มีทรัพยากรพร้อม ฟิชชิ่งยังคงมีประสิทธิภาพอย่างน่าทึ่ง การใช้ข้อมูลประจำตัวซ้ำระหว่างบัญชีส่วนตัวและที่ทำงานสร้างเส้นทางให้ผู้โจมตีเปลี่ยนจากการละเมิดในระดับผู้บริโภคเข้าสู่สภาพแวดล้อมขององค์กร และบัญชีที่มีสิทธิ์เกินจำเป็น ซึ่งสร้างขึ้นเพื่อความสะดวกและไม่เคยถูกจำกัดขอบเขตอย่างเหมาะสม ทำให้ผู้โจมตีเข้าถึงได้มากกว่าที่ควรจะทำได้
ปัจจัยมนุษย์ยังเห็นได้ชัดในความรวดเร็วที่การละเมิดขยายวงกว้างหลังจากการเข้าถึงครั้งแรกเกิดขึ้น บัญชีที่ถูกประนีประนอมเพียงบัญชีเดียวที่ใช้โดยบุคคลที่มีสิทธิ์ผู้ดูแลระบบในวงกว้าง สามารถเปิดเผยข้อมูลหลายพันรายการภายในเวลาไม่กี่ชั่วโมง การดูแลสุขภาพพิสูจน์แล้วว่าเปราะบางเป็นพิเศษ ดังที่เห็นในเหตุการณ์เช่น การละเมิด NYC Health ที่ส่งผลกระทบต่อบุคคล 1.8 ล้านคน ซึ่งการจัดการข้อมูลประจำตัวที่ผิดพลาดในทุกระดับของระบบที่ซับซ้อนสามารถก่อให้เกิดผลกระทบที่ใหญ่เกินสัดส่วน
โปรแกรมการฝึกอบรมและสร้างความตระหนักรู้ช่วยได้ แต่ไม่เพียงพอด้วยตัวเอง ข้อมูลของ Sophos แนะนำว่าองค์กรต้องการการควบคุมเชิงโครงสร้างที่ลดรัศมีการทำลายล้างของความผิดพลาดของมนุษย์ ไม่ใช่เพียงแค่นโยบายที่พึ่งพาพนักงานให้ทำถูกต้องทุกครั้ง
การป้องกันเชิงลึก: VPN และเครื่องมือความเป็นส่วนตัวมีบทบาทอย่างไรในการปกป้องข้อมูลประจำตัว
ไม่มีเครื่องมือใดเพียงอย่างเดียวที่แก้ปัญหาความปลอดภัยของข้อมูลประจำตัวได้ และนั่นคือประเด็นสำคัญ แนวคิดของการป้องกันเชิงลึก การซ้อนชั้นการควบคุมความปลอดภัยหลายชั้นเพื่อให้ความล้มเหลวในชั้นหนึ่งไม่ได้หมายถึงการประนีประนอมทั้งหมดโดยอัตโนมัติ เป็นกรอบความคิดที่การค้นพบของ Sophos สนับสนุน แม้จะโดยนัย
VPN มีบทบาทเฉพาะและสำคัญในกองซ้อนนี้ ด้วยการเข้ารหัสปริมาณการใช้งานเครือข่ายและปกปิดข้อมูลเมตาของการเชื่อมต่อ VPN จึงลดความเสี่ยงที่ข้อมูลประจำตัวหรือโทเค็นเซสชันจะถูกดักจับระหว่างการส่ง โดยเฉพาะบนเครือข่ายที่ไม่น่าไว้วางใจ สำหรับผู้ทำงานระยะไกลที่เข้าถึงทรัพยากรขององค์กรจากโรงแรม สนามบิน หรือพื้นที่ทำงานร่วมกัน VPN คือการควบคุมพื้นฐานแต่มีความหมายที่ปิดหน้าต่างที่เปิดอยู่
เหนือกว่า VPN กลยุทธ์การปกป้องข้อมูลประจำตัวแบบหลายชั้นรวมถึงการยืนยันตัวตนหลายปัจจัยในทุกบัญชี หลักการของสิทธิ์ขั้นต่ำสำหรับทั้งข้อมูลประจำตัวของมนุษย์และไม่ใช่มนุษย์ การตรวจสอบข้อมูลประจำตัวที่ใช้งานอยู่และ API Key อย่างสม่ำเสมอ และการเฝ้าระวังรูปแบบการเข้าสู่ระบบที่ผิดปกติ ข้อมูลของ Sophos ย้ำว่าสิ่งเหล่านี้ไม่ใช่ของเสริมสำหรับองค์กรขนาดใหญ่ องค์กรทุกขนาดกำลังตกเป็นเป้าหมาย
สิ่งนี้หมายถึงอะไรสำหรับคุณ
ไม่ว่าคุณจะจัดการไอทีให้บริษัทหรือเป็นเพียงบุคคลธรรมดาที่พยายามปกป้องบัญชีของคุณ รายงานของ Sophos มีสารที่ตรงไปตรงมา: ข้อมูลประจำตัวคือขอบเขตการรักษาความปลอดภัยในตอนนี้และจำเป็นต้องได้รับการปกป้องอย่างเหมาะสม
นี่คือขั้นตอนที่เป็นรูปธรรมที่ควรทำ:
- ตรวจสอบข้อมูลประจำตัวของคุณ ระบุบัญชีใดๆ ที่ใช้รหัสผ่านซ้ำหรืออ่อนแอ และอัปเดตด้วยทางเลือกที่ไม่ซ้ำใครและซับซ้อนซึ่งเก็บไว้ในตัวจัดการรหัสผ่าน
- เปิดใช้งานการยืนยันตัวตนหลายปัจจัยทุกแห่ง จัดลำดับความสำคัญให้กับบัญชีอีเมล การเงิน และที่ทำงานก่อน
- ตรวจสอบสิทธิ์ของแอปและการเข้าถึง API หากคุณจัดการโครงการซอฟต์แวร์หรือเครื่องมือทางธุรกิจใดๆ ให้ตรวจสอบว่าบริการใดถือครองข้อมูลประจำตัวที่ใช้งานอยู่และเพิกถอนสิ่งที่ไม่ได้ใช้งานแล้ว
- ใช้ VPN บนเครือข่ายที่ไม่น่าไว้วางใจ การเข้ารหัสการเชื่อมต่อของคุณป้องกันการดักจับข้อมูลประจำตัวเมื่อคุณอยู่ห่างจากสภาพแวดล้อมที่ปลอดภัย
- ติดตามข่าวสารเกี่ยวกับการละเมิดข้อมูล บริการที่แจ้งเตือนคุณเมื่ออีเมลของคุณปรากฏในชุดข้อมูลการละเมิดที่รู้จัก จะให้คำเตือนล่วงหน้าในการหมุนเวียนข้อมูลประจำตัวที่ได้รับผลกระทบก่อนที่ผู้โจมตีจะนำไปใช้ประโยชน์
ตัวเลข 71% จาก Sophos ไม่ใช่เหตุผลให้ตื่นตระหนก แต่เป็นเหตุผลให้ลงมือทำ การละเมิดความปลอดภัยที่เกี่ยวข้องกับข้อมูลประจำตัวในปี 2025 ไม่ใช่ความเสี่ยงทางสมมุติฐาน มันกำลังเกิดขึ้นกับองค์กรส่วนใหญ่ในขณะนี้ การสร้างการป้องกันหลายชั้น การผสมผสานแนวปฏิบัติด้านข้อมูลประจำตัวที่แข็งแกร่งกับการปกป้องระดับเครือข่าย คือการตอบสนองเชิงปฏิบัติที่ข้อมูลเรียกร้อง
