ถึงแม้ว่า Advanced Persistent Threats (APT) จะถูก Ransomware แย่งพื้นที่พาดหัวข่าวแต่ละวันไปซะหมด แต่ก็ไม่ใช่ว่าการโจมตีแบบ APT จะมีจำนวนลดลงไป หลายองค์กรขนาดใหญ่ยังคงตกเป็นเป้าหมายของแฮ็คเกอร์ในการค่อยๆ เจาะระบบ แทรกซึม และขโมยข้อมูลออกไป บทความนี้จึงรวบรวม 5 เทคนิคสำคัญเพื่อเพิ่มความมั่นคงปลอดภัยให้แก่องค์กรสำหรับป้องกัน APT
Advanced Persistent Threats คืออะไร
APT เป็นการโจมตีระบบเครือข่ายรูปแบบหนึ่งที่แฮ็คเกอร์จะเลือกเป้าหมายเพียงรายเดียว แล้วมุ่งโจมตีเฉพาะเป้าหมายนั้น โดยอาศัยเทคนิคการโจมตีรูปแบบต่างๆ ผสานกันเพื่อให้ประสบผลสำเร็จ ไม่ว่าจะเป็นการทำ Social Engineering โดยอาศัยข้อมูลของเป้าหมายที่รวบรวมมาได้ หรือการออกแบบมัลแวร์สำหรับใช้โจมตีเป้าหมายโดยเฉพาะ เป็นต้น กระบวนการโจมตี แทรกซึม ลบร่องรอย และขโมยข้อมูล อาจกินเวลาตั้งแต่หลักสัปดาห์ไปจนถึงหลักปีเลยทีเดียว
5 เทคนิคสำหรับป้องกัน APT
เนื่องจาก APT เป็นการโจมตีที่ถูกออกแบบมาเฉพาะกับเป้าหมายนั้นๆ ทำให้ระบบรักษาความมั่นคงปลอดภัยทั่วไปอาจไม่สามารถรับมือกับชุดการโจมตีที่ประกอบไปด้วย Zero-day Exploits, Phishing, Advanced Malware และ Web Attacks หลากหลายรูปแบบได้ เพื่อเสริมความแข็งแกร่งให้กับระบบขององค์กร ผู้ดูแลระบบ IT Security ควรพิจารณาถึง เทคนิคทั้ง 5 รายการ ดังนี้
1. ออกแบบระบบความมั่นคงปลอดภัยแบบ Defense in Depth
Defense in Depth คือแนวคิดเรื่องการออกแบบระบบรักษาความมั่นคงปลอดภัยแบบหลายชั้น กล่าวคือ ยิ่งมีเทคนิคหรือกระบวนการในการตรวจจับภัยคุกคามมากเท่าไหร่ ยิ่งทำให้มีโอกาสตรวจจับเจอภัยคุกคามสูงมากขึ้นเท่านั้น ส่งผลให้ป้องกันแฮ็คเกอร์ได้ก่อนที่จะเข้ามาแทรกซึมในระบบ
เป้าหมายของ Defense in Depth คือ การทำให้การเริ่มต้นเจาะระบบของแฮ็คเกอร์เป็นไปได้ยาก ไม่ว่าจะเป็นการหยุดยั้งการโจมตีไม่ให้กระจายตัวออกไป หรือการทำให้กระบวนการโจมตีเกิดขึ้นช้าลงจนสามารถตรวจจับและรับมือกับมันได้อย่างทันท่วงที เหล่านี้ จำเป็นต้องอาศัยเทคโนโลยีหลายอย่างเข้ามาช่วย เช่น NGFW, IPS, SIEM, Vulnerability Management รวมไปถึงต้องมีการพิสูจน์ตัวตน และกำหนดสิทธิ์ในการใช้งานที่แข็งแกร่งและเหมาะสม
2. ติดตั้งระบบตรวจจับและเฝ้าระวังที่มีประสิทธิภาพ
การเฝ้าระวังสิ่งต่างๆ ที่เกิดขึ้นบนระบบเครือข่ายอย่างใกล้ชิด ช่วยให้สามารถระบุสัญญาณของการโจมตี APT ได้ตั้งแต่เริ่มแรก ซึ่งสัญญาณเหล่านี้มักจะสังเกตได้จากจากทราฟฟิคข้อมูลที่ผิดปกติ หรือพฤติกรรมการใช้งานที่ผิดแปลกไปจากเดิม นอกจากนี้การเฝ้าระวังอย่างต่อเนื่องยังช่วยลดความเสี่ยงของการเกิด Privilege Escalation การบุกรุกโจมตีในระยะยาว และช่วยในเรื่องการเก็บหลักฐานในกรณีที่เกิดการโจมตีขึ้นได้อีกด้วย
3. ใช้บริการ Threat Intelligence
Vendor หลายรายให้บริการ Threat Intelligence สำหรับช่วยตรวจจับการโจมตีแบบ Zero-day Exploits และ Unknown Malware โดยอาศัยการรวบรวมข้อมูลจากหลากหลายแหล่ง จากนั้นนำมาวิเคราะห์และกลั่นกรองเพื่อสร้างเป็นข้อมูลที่สามารถนำไปใช้ต่อยอดเพื่อตอบสนองต่อการโจมตีที่อาจจะเกิดขึ้นได้ ซึ่งข้อมูลนี้จะช่วยให้ฝ่าย IT Security เข้าใจถึงภาพรวมของภัยคุกคามที่องค์กรของตนเองกำลังเผชิญอยู่ ส่งผลให้สามารถระบุและชี้ชัดความเสี่ยงหรือภัยคุกคามที่อาจจะเกิดขึ้นได้ล่วงหน้า
4. จัดอบรมเพื่อเพิ่มความตระหนักรู้ทางด้านความมั่นคงปลอดภัย
คนถือว่าเป็นจุดอ่อนที่สำคัญที่สุดของระบบความมั่นคงปลอดภัย การทำให้พนักงานภายในองค์กรตระหนักรู้ถึงความสำคัญของ Cyber Security ย่อมช่วยลดความเสี่ยงของการตกเป็นช่องทางให้แฮ็คเกอร์แทรกซึมเข้ามาได้เป็นอย่างดี รวมไปถึงการฝึกพนักงานให้พร้อมรับมือกับภัยคุกคามรูปแบบต่างๆ ย่อมช่วยให้เมื่อเกิดเหตุการณ์จริงพนักงานสามารถแจ้งเตือนฝ่าย IT Security ได้อย่างรวดเร็ว และสามารถตอบสนองต่อการโจมตีได้อย่างมีประสิทธิภาพ
5. วางแผนสำหรับรับมือกับเหตุการณ์ต่างๆ ที่อาจเกิดขึ้น
ถึงแม้ว่าองค์กรจะใช้เทคโนโลยีที่ดีและแพงที่สุดในการป้องกันการโจมตี แต่ถ้ายังขาดซึ่งกระบวนการและแผนงานในการรับมือกับภัยคุกคามก็ย่อมทำให้เทคโนโลยีที่ใช้งานอยู่ไม่สามารถแสดงความสามารถออกมาได้อย่างเต็มประสิทธิภาพ ผู้เชี่ยวชาญด้าน IT ส่วนใหญ่ต่างให้ความเห็นต่อการเจาะระบบว่า มันไม่ใช่ “ถ้าถูกโจมตี” แต่เป็น “เมื่อไหร่ที่ถูกโจมตี” ต่างหาก หมายความว่า องค์กรควรพึงระลึกไว้เสมอว่าระบบเครือข่ายของตนต้องถูกโจมตีอย่างแน่นอน แค่ว่าเมื่อไหร่เท่านั้น ดังนั้นแล้ว การมีแผน Incident Response ย่อมช่วยให้สามารถยับยั้งการโจมตี ลดความเสียหาย และหยุดไม่ให้ข้อมูลสำคัญรั่วไหลออกไปจากองค์กรได้อย่างทันท่วงที ซึ่งช่วยลดผลกระทบต่อชื่อเสียงที่จะตามมาในภายหลังได้อีกด้วย
การเก็บรวบรวมหลักฐานเชิงดิจิทัล (Digital Forensics) เป็นอีกหนึ่งกระบวนการที่สำคัญที่ช่วยให้ฝ่าย IT Security สามารถระบุช่องโหว่ของระบบความมั่นคงปลอดภัย และเสริมความแข็งแกร่งให้กับระบบเพื่อป้องกันการเกิดเหตุการณ์รูปแบบเดิมซ้ำในอนาคตได้
สุดท้าย แนะนำให้ผู้อ่านทุกท่านศึกษาเรื่อง Cyber Kill Chain เพื่อให้ทราบถึงแต่ละขั้นตอนการเจาะระบบเพื่อโจมตีของแฮ็คเกอร์ ซึ่งจะช่วยให้สามารถออกแบบระบบความมั่นคงปลอดภัยให้สามารถทำลายห่วงโซ่และหยุดยั้งการโจมตีได้ก่อนที่ข้อมูลสำคัญจะถูกขโมยออกไป