อัปเดต Cyber Attack Lifecycle สำหรับรับมือกับการโจมตีไซเบอร์ในปัจจุบันโดย LogRhythm

พร้อมตรวจจับและตอบสนองต่อภัยคุกคามในยุคที่ “การป้องกัน” ไม่ใช่หนทางที่ดีที่สุดอีกต่อไป

หลายองค์กรในปัจจุบันยังคงยึดติดกับกลยุทธ์การป้องกันภัยคุกคามไซเบอร์แบบเก่า คือ เน้นที่การป้องกันภัยคุกคามภายนอกไม่ให้เข้ามาทำอันตรายระบบเครือข่ายภายในองค์กร อย่างไรก็ตาม ภัยคุกคามไซเบอร์นับวันยิ่งพัฒนาไปไกล ไม่ว่าจะเป็น Advanced Threats หรือ Zero-day Attacks ซึ่งมีเทคนิคในการซ่อนตัว แทรกซึม และหลบหลีกการตรวจจับ ทำให้สุดท้ายก็สามารถเล็ดรอดเข้ามาสร้างความเสียหายแก่ระบบได้

Credit: Maksim Kabakou/Shutterstock

ผู้เชี่ยวชาญจากหลายแห่ง ไม่ว่าจะเป็น ISF, NIST, Cisco และอื่นๆ ต่างให้ความเห็นไปในทางเดียวกันว่า การป้องกัน (Prevent) ภัยคุกคามเพียงอย่างเดียวไม่เพียงพออีกต่อไป องค์กรควรเริ่มโฟกัสที่การตรวจจับ (Detect) และตอบสนอง (Respond) ต่อภัยคุกคามมากขึ้น เนื่องจากยิ่งองค์กรสามารถตรวจจับและรับมือกับภัยคุกคามได้เร็วเท่าไหร่ ก็ยิ่งควบคุมความเสียหายและบรรเทาผลกระทบได้ดีมากขึ้นเท่านั้น การตรวจจับและตอบสนองจึงกลายเป็นหัวใจสำคัญในการรับมือกับภัยคุกคามไซเบอร์สมัยใหม่ โดยเฉพาะการเจาะระบบเพื่อขโมยข้อมูล (Data Breach)

LogRhythm ผู้ให้บริการแพลตฟอร์ม Security Intelligence & Analytics ชื่อดัง ได้นำเสนอ Cyber Attack Lifecycle แบบใหม่ซึ่งรวมขั้นตอนการดำเนินการของแฮ็คเกอร์ที่พบได้บ่อยในปัจจุบัน ตั้งแต่เริ่มค้นหาเป้าหมาย แทรกซึม ลงมือโจมตี ไปจนถึงการทำอันตรายระบบ สรุปออกมาเป็น 6 เฟส ถ้าสามารถตรวจจับและหยุดยั้งขั้นตอนใดขึ้นตอนหนึ่งได้ ก็จะสามารถป้องกันการโจมตีของแฮ็คเกอร์ไม่ให้บรรลุเป้าหมายที่ต้องการได้ทันที

Cyber Attack Lifecycle ของ LogRhythm เป็นดังนี้

เฟสที่ 1: Reconnaissance

ขั้นตอนแรกสุดของการโจมตีไซเบอร์คือ การระบุเป้าหมายและจัดเตรียมเครื่องมือที่จะโจมตี โดยแฮ็คเกอร์จะเริ่มกำหนดวัตถุประสงค์ เช่น หาเงิน ขโมยข้อมูล หรือสร้างชื่อเสียง เมื่อได้เป้าหมายที่เหมาะสมกับวัตถุประสงค์แล้วก็จะจัดเตรียมเครื่องมือสำหรับโจมตีเป้าหมายนั้นๆ เช่น Zero-day Exploit, Spear-phishing, ติดสินบนเจ้าหน้าที่ หรือวิธีการอื่นๆ

เฟสที่ 2: Initial Compromise

แฮ็คเกอร์เริ่มทำการเจาะระบบโดยพยายามโจมตีที่ช่องโหว่และบายพาสระบบรักษาความมั่นคงปลอดภัยของเครือข่าย และพยายามให้ได้สิทธิ์ในการเข้าถึงระบบเครือข่ายภายในผ่านทางระบบหรือบัญชีผู้ใช้ที่เจาะเข้ามา

เฟสที่ 3: Command & Control

อุปกรณ์ที่แฮ็คเกอร์สามารถเข้าควบคุมได้แล้วจะถูกใช้เป็นช่องทางในการแทรกซึมและโจมตีแบบอื่นๆ เช่น ดาวน์โหลดและติดตั้ง Remote Access Trojan (RAT) เพื่อสร้าง Backdoor ให้แฮ็คเกอร์สามารถแอบเข้าถึงระบบเครือข่ายของเป้าหมายได้ในอนาคตโดยที่เป้าหมายไม่รู้ตัว

เฟสที่ 4: Lateral Movement

หลังจากที่แฮ็คเกอร์สามารถเชื่อมต่อเข้ามาในระบบเครือข่ายภายในได้แล้ว แฮ็คเกอร์จะพยายามแทรกซึมไปยังแต่ละระบบหรือบัญชีผู้ใช้รายอื่นเพื่อให้เข้าใกล้เป้าหมายมากยิ่งขึ้น ทั้งนี้แฮ็คเกอร์มักจะปลอมตัวเข้ามาโดยผู้ใช้ที่มีสิทธิ์ ส่งผลให้ตรวจจับการโจมตีหรือการแทรกซึมเข้ามาได้ยาก

เฟสที่ 5: Target Attainment

เมื่อถึงขั้นตอนนี้ แฮ็คเกอร์จะมี Backdoor ที่สามารถเข้าถึงระบบเครือข่ายภายในได้หลายจุด รวมไปถึงสามารถแพร่กระจายตัวเองไปยังตำแน่งเป้าหมายที่ต้องการได้ ที่สำคัญคือ แฮ็คเกอร์เข้าใจถึงภาพรวมและองค์ประกอบต่างๆ ของระบบเครือข่ายภายในจากการแทรกซึมไปยังตำแหน่งต่างๆ

เฟสที่ 6: Exfiltration, Corruption, and Disruption

ขั้นสุดท้ายเมื่อแฮ็คเกอร์เข้าถึงระบบเป้าหมายที่ต้องการได้แล้ว แฮ็คเกอร์จะลงมือกระทำการเพื่อให้บรรลุวัตถุประสงค์ที่ตั้งไว้ เช่น ขโมยข้อมูลสำคัญ ล่มบริการหลักขององค์กร หรือขัดขวางการดำเนินงานเชิงธุรกิจ เป็นต้น

ความสามารถในการตรวจจับและตอบสนองต่อภัยคุกคามเป็นกุญแจสำคัญในการปกป้องระบบเครือข่ายจากความเสียหายครั้งใหญ่ที่อาจจะเกิดขึ้น ยิ่งสามารถตรวจจับและกักกันการโจมตีได้เร็วเท่าไหร่ ความเสียหายเชิงธุรกิจที่ได้รับก็ยิ่งน้อยเท่านั้น องค์กรควรพึงระลึกไว้เสมอว่า เรากำลังอยู่ในยุคที่สามารถตกเป็นเป้าหมายของแฮ็คเกอร์ได้ตลอดเวลา ดังที่ FBI เคยพูดไว้ “บนโลกนี้มีองค์กร 2 ประเภท คือ องค์กรที่ถูกแฮ็ค กับองค์กรที่ไม่รู้ตัวว่าถูกแฮ็ค”

ที่มา: https://www.helpnetsecurity.com/2017/03/06/cyber-attack-lifecycle/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Kali Linux 2017.3 เวอร์ชันใหม่เปิดให้ดาวน์โหลดแล้ว

Offensive Security ผู้ให้บริการการทดสอบเจาะระบบคอมพิวเตอร์และฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ ได้ประกาศเปิดตัว Kali Linux 2017.3 แพลตฟอร์มสำหรับทดสอบการเจาะระบบแบบ Open Source เวอร์ชันใหม่ล่าสุดส่งท้ายปี พร้อมให้นักทดสอบเจาะระบบและผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยดาวน์โหลดไปใช้งานแล้ว

Cisco จับมือ INTERPOL ต่อสู้อาชญากรรมทางไซเบอร์

Cisco ผู้นำด้านเทคโนโลยีระดับโลก และองค์การตำรวจสากล (INTERPOL) ซึ่งเป็นองค์กรตำรวจระหว่างประเทศที่ใหญ่ที่สุดในโลก ประกาศข้อตกลงในการแบ่งปันข้อมูลข่าวกรองเกี่ยวกับภัยคุกคาม โดยนับเป็นก้าวแรกของความร่วมมือในการต่อสู้กับอาชญากรรมทางไซเบอร์ร่วมกัน