CDIC 2023

อัปเดต Cyber Attack Lifecycle สำหรับรับมือกับการโจมตีไซเบอร์ในปัจจุบันโดย LogRhythm

พร้อมตรวจจับและตอบสนองต่อภัยคุกคามในยุคที่ “การป้องกัน” ไม่ใช่หนทางที่ดีที่สุดอีกต่อไป

หลายองค์กรในปัจจุบันยังคงยึดติดกับกลยุทธ์การป้องกันภัยคุกคามไซเบอร์แบบเก่า คือ เน้นที่การป้องกันภัยคุกคามภายนอกไม่ให้เข้ามาทำอันตรายระบบเครือข่ายภายในองค์กร อย่างไรก็ตาม ภัยคุกคามไซเบอร์นับวันยิ่งพัฒนาไปไกล ไม่ว่าจะเป็น Advanced Threats หรือ Zero-day Attacks ซึ่งมีเทคนิคในการซ่อนตัว แทรกซึม และหลบหลีกการตรวจจับ ทำให้สุดท้ายก็สามารถเล็ดรอดเข้ามาสร้างความเสียหายแก่ระบบได้

Credit: Maksim Kabakou/Shutterstock

ผู้เชี่ยวชาญจากหลายแห่ง ไม่ว่าจะเป็น ISF, NIST, Cisco และอื่นๆ ต่างให้ความเห็นไปในทางเดียวกันว่า การป้องกัน (Prevent) ภัยคุกคามเพียงอย่างเดียวไม่เพียงพออีกต่อไป องค์กรควรเริ่มโฟกัสที่การตรวจจับ (Detect) และตอบสนอง (Respond) ต่อภัยคุกคามมากขึ้น เนื่องจากยิ่งองค์กรสามารถตรวจจับและรับมือกับภัยคุกคามได้เร็วเท่าไหร่ ก็ยิ่งควบคุมความเสียหายและบรรเทาผลกระทบได้ดีมากขึ้นเท่านั้น การตรวจจับและตอบสนองจึงกลายเป็นหัวใจสำคัญในการรับมือกับภัยคุกคามไซเบอร์สมัยใหม่ โดยเฉพาะการเจาะระบบเพื่อขโมยข้อมูล (Data Breach)

LogRhythm ผู้ให้บริการแพลตฟอร์ม Security Intelligence & Analytics ชื่อดัง ได้นำเสนอ Cyber Attack Lifecycle แบบใหม่ซึ่งรวมขั้นตอนการดำเนินการของแฮ็คเกอร์ที่พบได้บ่อยในปัจจุบัน ตั้งแต่เริ่มค้นหาเป้าหมาย แทรกซึม ลงมือโจมตี ไปจนถึงการทำอันตรายระบบ สรุปออกมาเป็น 6 เฟส ถ้าสามารถตรวจจับและหยุดยั้งขั้นตอนใดขึ้นตอนหนึ่งได้ ก็จะสามารถป้องกันการโจมตีของแฮ็คเกอร์ไม่ให้บรรลุเป้าหมายที่ต้องการได้ทันที

Cyber Attack Lifecycle ของ LogRhythm เป็นดังนี้

เฟสที่ 1: Reconnaissance

ขั้นตอนแรกสุดของการโจมตีไซเบอร์คือ การระบุเป้าหมายและจัดเตรียมเครื่องมือที่จะโจมตี โดยแฮ็คเกอร์จะเริ่มกำหนดวัตถุประสงค์ เช่น หาเงิน ขโมยข้อมูล หรือสร้างชื่อเสียง เมื่อได้เป้าหมายที่เหมาะสมกับวัตถุประสงค์แล้วก็จะจัดเตรียมเครื่องมือสำหรับโจมตีเป้าหมายนั้นๆ เช่น Zero-day Exploit, Spear-phishing, ติดสินบนเจ้าหน้าที่ หรือวิธีการอื่นๆ

เฟสที่ 2: Initial Compromise

แฮ็คเกอร์เริ่มทำการเจาะระบบโดยพยายามโจมตีที่ช่องโหว่และบายพาสระบบรักษาความมั่นคงปลอดภัยของเครือข่าย และพยายามให้ได้สิทธิ์ในการเข้าถึงระบบเครือข่ายภายในผ่านทางระบบหรือบัญชีผู้ใช้ที่เจาะเข้ามา

เฟสที่ 3: Command & Control

อุปกรณ์ที่แฮ็คเกอร์สามารถเข้าควบคุมได้แล้วจะถูกใช้เป็นช่องทางในการแทรกซึมและโจมตีแบบอื่นๆ เช่น ดาวน์โหลดและติดตั้ง Remote Access Trojan (RAT) เพื่อสร้าง Backdoor ให้แฮ็คเกอร์สามารถแอบเข้าถึงระบบเครือข่ายของเป้าหมายได้ในอนาคตโดยที่เป้าหมายไม่รู้ตัว

เฟสที่ 4: Lateral Movement

หลังจากที่แฮ็คเกอร์สามารถเชื่อมต่อเข้ามาในระบบเครือข่ายภายในได้แล้ว แฮ็คเกอร์จะพยายามแทรกซึมไปยังแต่ละระบบหรือบัญชีผู้ใช้รายอื่นเพื่อให้เข้าใกล้เป้าหมายมากยิ่งขึ้น ทั้งนี้แฮ็คเกอร์มักจะปลอมตัวเข้ามาโดยผู้ใช้ที่มีสิทธิ์ ส่งผลให้ตรวจจับการโจมตีหรือการแทรกซึมเข้ามาได้ยาก

เฟสที่ 5: Target Attainment

เมื่อถึงขั้นตอนนี้ แฮ็คเกอร์จะมี Backdoor ที่สามารถเข้าถึงระบบเครือข่ายภายในได้หลายจุด รวมไปถึงสามารถแพร่กระจายตัวเองไปยังตำแน่งเป้าหมายที่ต้องการได้ ที่สำคัญคือ แฮ็คเกอร์เข้าใจถึงภาพรวมและองค์ประกอบต่างๆ ของระบบเครือข่ายภายในจากการแทรกซึมไปยังตำแหน่งต่างๆ

เฟสที่ 6: Exfiltration, Corruption, and Disruption

ขั้นสุดท้ายเมื่อแฮ็คเกอร์เข้าถึงระบบเป้าหมายที่ต้องการได้แล้ว แฮ็คเกอร์จะลงมือกระทำการเพื่อให้บรรลุวัตถุประสงค์ที่ตั้งไว้ เช่น ขโมยข้อมูลสำคัญ ล่มบริการหลักขององค์กร หรือขัดขวางการดำเนินงานเชิงธุรกิจ เป็นต้น

ความสามารถในการตรวจจับและตอบสนองต่อภัยคุกคามเป็นกุญแจสำคัญในการปกป้องระบบเครือข่ายจากความเสียหายครั้งใหญ่ที่อาจจะเกิดขึ้น ยิ่งสามารถตรวจจับและกักกันการโจมตีได้เร็วเท่าไหร่ ความเสียหายเชิงธุรกิจที่ได้รับก็ยิ่งน้อยเท่านั้น องค์กรควรพึงระลึกไว้เสมอว่า เรากำลังอยู่ในยุคที่สามารถตกเป็นเป้าหมายของแฮ็คเกอร์ได้ตลอดเวลา ดังที่ FBI เคยพูดไว้ “บนโลกนี้มีองค์กร 2 ประเภท คือ องค์กรที่ถูกแฮ็ค กับองค์กรที่ไม่รู้ตัวว่าถูกแฮ็ค”

ที่มา: https://www.helpnetsecurity.com/2017/03/06/cyber-attack-lifecycle/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

การ์ทเนอร์ชี้ 6 กลยุทธ์ที่ผู้นำทีม Software Engineering ต้องทราบในปี 2023

การมีกลยุทธ์ถือเป็นเรื่องที่ดีเพราะแนวปฏิบัติเหล่านี้จะช่วยให้องค์กรมีกรอบที่จะเป็นไป ให้อยู่เหนือการเปลี่ยนแปลงของกระแสเทคโนโลยี ในมุมของ Software Engineering การ์ทเนอร์ได้แนะนำ 6 กลยุทธ์ไว้ดังนี้

True IDC ได้รับ AWS Migration Competency ตอกย้ำความเชี่ยวชาญใน Cloud Migration เป็นรายแรกในประเทศไทย

True IDC ผู้ให้บริการดาต้าเซ็นเตอร์และบริการคลาวด์ชั้นนำ ได้ประกาศความสำเร็จล่าสุดของการให้บริการ AWS ด้วย AWS Migration Competency โดยการรับรองนี้แสดงให้เห็นถึงความมุ่งมั่นของบริษัทในการนำเสนอโซลูชันและความเชี่ยวชาญด้านการโอนย้ายระบบคลาวด์ที่โดดเด่นแก่ลูกค้าองค์กร