5 เทคนิคการป้องกัน Advanced Persistent Threats

ถึงแม้ว่า Advanced Persistent Threats (APT) จะถูก Ransomware แย่งพื้นที่พาดหัวข่าวแต่ละวันไปซะหมด แต่ก็ไม่ใช่ว่าการโจมตีแบบ APT จะมีจำนวนลดลงไป หลายองค์กรขนาดใหญ่ยังคงตกเป็นเป้าหมายของแฮ็คเกอร์ในการค่อยๆ เจาะระบบ แทรกซึม และขโมยข้อมูลออกไป บทความนี้จึงรวบรวม 5 เทคนิคสำคัญเพื่อเพิ่มความมั่นคงปลอดภัยให้แก่องค์กรสำหรับป้องกัน APT

Credit: Rawpixel.com/ShutterStock
Credit: Rawpixel.com/ShutterStock

Advanced Persistent Threats คืออะไร

APT เป็นการโจมตีระบบเครือข่ายรูปแบบหนึ่งที่แฮ็คเกอร์จะเลือกเป้าหมายเพียงรายเดียว แล้วมุ่งโจมตีเฉพาะเป้าหมายนั้น โดยอาศัยเทคนิคการโจมตีรูปแบบต่างๆ ผสานกันเพื่อให้ประสบผลสำเร็จ ไม่ว่าจะเป็นการทำ Social Engineering โดยอาศัยข้อมูลของเป้าหมายที่รวบรวมมาได้ หรือการออกแบบมัลแวร์สำหรับใช้โจมตีเป้าหมายโดยเฉพาะ เป็นต้น กระบวนการโจมตี แทรกซึม ลบร่องรอย และขโมยข้อมูล อาจกินเวลาตั้งแต่หลักสัปดาห์ไปจนถึงหลักปีเลยทีเดียว

5 เทคนิคสำหรับป้องกัน APT

เนื่องจาก APT เป็นการโจมตีที่ถูกออกแบบมาเฉพาะกับเป้าหมายนั้นๆ ทำให้ระบบรักษาความมั่นคงปลอดภัยทั่วไปอาจไม่สามารถรับมือกับชุดการโจมตีที่ประกอบไปด้วย Zero-day Exploits, Phishing, Advanced Malware และ Web Attacks หลากหลายรูปแบบได้ เพื่อเสริมความแข็งแกร่งให้กับระบบขององค์กร ผู้ดูแลระบบ IT Security ควรพิจารณาถึง เทคนิคทั้ง 5 รายการ ดังนี้

1. ออกแบบระบบความมั่นคงปลอดภัยแบบ Defense in Depth

Defense in Depth คือแนวคิดเรื่องการออกแบบระบบรักษาความมั่นคงปลอดภัยแบบหลายชั้น กล่าวคือ ยิ่งมีเทคนิคหรือกระบวนการในการตรวจจับภัยคุกคามมากเท่าไหร่ ยิ่งทำให้มีโอกาสตรวจจับเจอภัยคุกคามสูงมากขึ้นเท่านั้น ส่งผลให้ป้องกันแฮ็คเกอร์ได้ก่อนที่จะเข้ามาแทรกซึมในระบบ

เป้าหมายของ Defense in Depth คือ การทำให้การเริ่มต้นเจาะระบบของแฮ็คเกอร์เป็นไปได้ยาก ไม่ว่าจะเป็นการหยุดยั้งการโจมตีไม่ให้กระจายตัวออกไป หรือการทำให้กระบวนการโจมตีเกิดขึ้นช้าลงจนสามารถตรวจจับและรับมือกับมันได้อย่างทันท่วงที เหล่านี้ จำเป็นต้องอาศัยเทคโนโลยีหลายอย่างเข้ามาช่วย เช่น NGFW, IPS, SIEM, Vulnerability Management รวมไปถึงต้องมีการพิสูจน์ตัวตน และกำหนดสิทธิ์ในการใช้งานที่แข็งแกร่งและเหมาะสม

2. ติดตั้งระบบตรวจจับและเฝ้าระวังที่มีประสิทธิภาพ

การเฝ้าระวังสิ่งต่างๆ ที่เกิดขึ้นบนระบบเครือข่ายอย่างใกล้ชิด ช่วยให้สามารถระบุสัญญาณของการโจมตี APT ได้ตั้งแต่เริ่มแรก ซึ่งสัญญาณเหล่านี้มักจะสังเกตได้จากจากทราฟฟิคข้อมูลที่ผิดปกติ หรือพฤติกรรมการใช้งานที่ผิดแปลกไปจากเดิม นอกจากนี้การเฝ้าระวังอย่างต่อเนื่องยังช่วยลดความเสี่ยงของการเกิด Privilege Escalation การบุกรุกโจมตีในระยะยาว และช่วยในเรื่องการเก็บหลักฐานในกรณีที่เกิดการโจมตีขึ้นได้อีกด้วย

3. ใช้บริการ Threat Intelligence

Vendor หลายรายให้บริการ Threat Intelligence สำหรับช่วยตรวจจับการโจมตีแบบ Zero-day Exploits และ Unknown Malware โดยอาศัยการรวบรวมข้อมูลจากหลากหลายแหล่ง จากนั้นนำมาวิเคราะห์และกลั่นกรองเพื่อสร้างเป็นข้อมูลที่สามารถนำไปใช้ต่อยอดเพื่อตอบสนองต่อการโจมตีที่อาจจะเกิดขึ้นได้ ซึ่งข้อมูลนี้จะช่วยให้ฝ่าย IT Security เข้าใจถึงภาพรวมของภัยคุกคามที่องค์กรของตนเองกำลังเผชิญอยู่ ส่งผลให้สามารถระบุและชี้ชัดความเสี่ยงหรือภัยคุกคามที่อาจจะเกิดขึ้นได้ล่วงหน้า

4. จัดอบรมเพื่อเพิ่มความตระหนักรู้ทางด้านความมั่นคงปลอดภัย

คนถือว่าเป็นจุดอ่อนที่สำคัญที่สุดของระบบความมั่นคงปลอดภัย การทำให้พนักงานภายในองค์กรตระหนักรู้ถึงความสำคัญของ Cyber Security ย่อมช่วยลดความเสี่ยงของการตกเป็นช่องทางให้แฮ็คเกอร์แทรกซึมเข้ามาได้เป็นอย่างดี รวมไปถึงการฝึกพนักงานให้พร้อมรับมือกับภัยคุกคามรูปแบบต่างๆ ย่อมช่วยให้เมื่อเกิดเหตุการณ์จริงพนักงานสามารถแจ้งเตือนฝ่าย IT Security ได้อย่างรวดเร็ว และสามารถตอบสนองต่อการโจมตีได้อย่างมีประสิทธิภาพ

5. วางแผนสำหรับรับมือกับเหตุการณ์ต่างๆ ที่อาจเกิดขึ้น

ถึงแม้ว่าองค์กรจะใช้เทคโนโลยีที่ดีและแพงที่สุดในการป้องกันการโจมตี แต่ถ้ายังขาดซึ่งกระบวนการและแผนงานในการรับมือกับภัยคุกคามก็ย่อมทำให้เทคโนโลยีที่ใช้งานอยู่ไม่สามารถแสดงความสามารถออกมาได้อย่างเต็มประสิทธิภาพ ผู้เชี่ยวชาญด้าน IT ส่วนใหญ่ต่างให้ความเห็นต่อการเจาะระบบว่า มันไม่ใช่ “ถ้าถูกโจมตี” แต่เป็น “เมื่อไหร่ที่ถูกโจมตี” ต่างหาก หมายความว่า องค์กรควรพึงระลึกไว้เสมอว่าระบบเครือข่ายของตนต้องถูกโจมตีอย่างแน่นอน แค่ว่าเมื่อไหร่เท่านั้น ดังนั้นแล้ว การมีแผน Incident Response ย่อมช่วยให้สามารถยับยั้งการโจมตี ลดความเสียหาย และหยุดไม่ให้ข้อมูลสำคัญรั่วไหลออกไปจากองค์กรได้อย่างทันท่วงที ซึ่งช่วยลดผลกระทบต่อชื่อเสียงที่จะตามมาในภายหลังได้อีกด้วย

การเก็บรวบรวมหลักฐานเชิงดิจิทัล (Digital Forensics) เป็นอีกหนึ่งกระบวนการที่สำคัญที่ช่วยให้ฝ่าย IT Security สามารถระบุช่องโหว่ของระบบความมั่นคงปลอดภัย และเสริมความแข็งแกร่งให้กับระบบเพื่อป้องกันการเกิดเหตุการณ์รูปแบบเดิมซ้ำในอนาคตได้

Credit: Andrey Popov/ShutterStock
Credit: Andrey Popov/ShutterStock

สุดท้าย แนะนำให้ผู้อ่านทุกท่านศึกษาเรื่อง Cyber Kill Chain เพื่อให้ทราบถึงแต่ละขั้นตอนการเจาะระบบเพื่อโจมตีของแฮ็คเกอร์ ซึ่งจะช่วยให้สามารถออกแบบระบบความมั่นคงปลอดภัยให้สามารถทำลายห่วงโซ่และหยุดยั้งการโจมตีได้ก่อนที่ข้อมูลสำคัญจะถูกขโมยออกไป

ที่มา: http://www.csoonline.com/article/3061406/advanced-persistent-threats/5-tips-for-defending-against-advanced-persistent-threats.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VRCOMM จับมือ Hillstone Networks ให้บริการ NGFW, ADC และ NDR ภายในแนวคิด Integrative Cybersecurity

Digital Transformation สร้างความซับซ้อนให้แก่ระบบ IT ทลายขอบเขตการรักษาความมั่นคงปลอดภัยจากแค่ห้อง Data Center สู่ระบบ Cloud และอุปกรณ์ Endpoint การรักษาความมั่นคงปลอดภัยทางไซเบอร์ในยุคดิจิทัลจึงต้องการความครอบคลุมและประสานการทำงานได้อย่างบูรณาการ VRCOMM ผู้จัดจำหน่ายโซลูชันด้าน Network …

Google ถอดซอฟต์แวร์ Antivirus ของ Kaspersky ออกจาก Play Store พร้อมปิดบัญชี

ช่วงวันหยุดสุดสัปดาห์ที่ผ่านมา Google ได้มีการถอดแอป Security ของทาง Kaspersky ออกจาก Google Play Store รวมทั้งปิดบัญชีนักพัฒนาของบริษัทสัญชาติรัสเซียไปอีกด้วย