อัปเดต Cyber Attack Lifecycle สำหรับรับมือกับการโจมตีไซเบอร์ในปัจจุบันโดย LogRhythm

พร้อมตรวจจับและตอบสนองต่อภัยคุกคามในยุคที่ “การป้องกัน” ไม่ใช่หนทางที่ดีที่สุดอีกต่อไป

หลายองค์กรในปัจจุบันยังคงยึดติดกับกลยุทธ์การป้องกันภัยคุกคามไซเบอร์แบบเก่า คือ เน้นที่การป้องกันภัยคุกคามภายนอกไม่ให้เข้ามาทำอันตรายระบบเครือข่ายภายในองค์กร อย่างไรก็ตาม ภัยคุกคามไซเบอร์นับวันยิ่งพัฒนาไปไกล ไม่ว่าจะเป็น Advanced Threats หรือ Zero-day Attacks ซึ่งมีเทคนิคในการซ่อนตัว แทรกซึม และหลบหลีกการตรวจจับ ทำให้สุดท้ายก็สามารถเล็ดรอดเข้ามาสร้างความเสียหายแก่ระบบได้

Credit: Maksim Kabakou/Shutterstock

ผู้เชี่ยวชาญจากหลายแห่ง ไม่ว่าจะเป็น ISF, NIST, Cisco และอื่นๆ ต่างให้ความเห็นไปในทางเดียวกันว่า การป้องกัน (Prevent) ภัยคุกคามเพียงอย่างเดียวไม่เพียงพออีกต่อไป องค์กรควรเริ่มโฟกัสที่การตรวจจับ (Detect) และตอบสนอง (Respond) ต่อภัยคุกคามมากขึ้น เนื่องจากยิ่งองค์กรสามารถตรวจจับและรับมือกับภัยคุกคามได้เร็วเท่าไหร่ ก็ยิ่งควบคุมความเสียหายและบรรเทาผลกระทบได้ดีมากขึ้นเท่านั้น การตรวจจับและตอบสนองจึงกลายเป็นหัวใจสำคัญในการรับมือกับภัยคุกคามไซเบอร์สมัยใหม่ โดยเฉพาะการเจาะระบบเพื่อขโมยข้อมูล (Data Breach)

LogRhythm ผู้ให้บริการแพลตฟอร์ม Security Intelligence & Analytics ชื่อดัง ได้นำเสนอ Cyber Attack Lifecycle แบบใหม่ซึ่งรวมขั้นตอนการดำเนินการของแฮ็คเกอร์ที่พบได้บ่อยในปัจจุบัน ตั้งแต่เริ่มค้นหาเป้าหมาย แทรกซึม ลงมือโจมตี ไปจนถึงการทำอันตรายระบบ สรุปออกมาเป็น 6 เฟส ถ้าสามารถตรวจจับและหยุดยั้งขั้นตอนใดขึ้นตอนหนึ่งได้ ก็จะสามารถป้องกันการโจมตีของแฮ็คเกอร์ไม่ให้บรรลุเป้าหมายที่ต้องการได้ทันที

Cyber Attack Lifecycle ของ LogRhythm เป็นดังนี้

เฟสที่ 1: Reconnaissance

ขั้นตอนแรกสุดของการโจมตีไซเบอร์คือ การระบุเป้าหมายและจัดเตรียมเครื่องมือที่จะโจมตี โดยแฮ็คเกอร์จะเริ่มกำหนดวัตถุประสงค์ เช่น หาเงิน ขโมยข้อมูล หรือสร้างชื่อเสียง เมื่อได้เป้าหมายที่เหมาะสมกับวัตถุประสงค์แล้วก็จะจัดเตรียมเครื่องมือสำหรับโจมตีเป้าหมายนั้นๆ เช่น Zero-day Exploit, Spear-phishing, ติดสินบนเจ้าหน้าที่ หรือวิธีการอื่นๆ

เฟสที่ 2: Initial Compromise

แฮ็คเกอร์เริ่มทำการเจาะระบบโดยพยายามโจมตีที่ช่องโหว่และบายพาสระบบรักษาความมั่นคงปลอดภัยของเครือข่าย และพยายามให้ได้สิทธิ์ในการเข้าถึงระบบเครือข่ายภายในผ่านทางระบบหรือบัญชีผู้ใช้ที่เจาะเข้ามา

เฟสที่ 3: Command & Control

อุปกรณ์ที่แฮ็คเกอร์สามารถเข้าควบคุมได้แล้วจะถูกใช้เป็นช่องทางในการแทรกซึมและโจมตีแบบอื่นๆ เช่น ดาวน์โหลดและติดตั้ง Remote Access Trojan (RAT) เพื่อสร้าง Backdoor ให้แฮ็คเกอร์สามารถแอบเข้าถึงระบบเครือข่ายของเป้าหมายได้ในอนาคตโดยที่เป้าหมายไม่รู้ตัว

เฟสที่ 4: Lateral Movement

หลังจากที่แฮ็คเกอร์สามารถเชื่อมต่อเข้ามาในระบบเครือข่ายภายในได้แล้ว แฮ็คเกอร์จะพยายามแทรกซึมไปยังแต่ละระบบหรือบัญชีผู้ใช้รายอื่นเพื่อให้เข้าใกล้เป้าหมายมากยิ่งขึ้น ทั้งนี้แฮ็คเกอร์มักจะปลอมตัวเข้ามาโดยผู้ใช้ที่มีสิทธิ์ ส่งผลให้ตรวจจับการโจมตีหรือการแทรกซึมเข้ามาได้ยาก

เฟสที่ 5: Target Attainment

เมื่อถึงขั้นตอนนี้ แฮ็คเกอร์จะมี Backdoor ที่สามารถเข้าถึงระบบเครือข่ายภายในได้หลายจุด รวมไปถึงสามารถแพร่กระจายตัวเองไปยังตำแน่งเป้าหมายที่ต้องการได้ ที่สำคัญคือ แฮ็คเกอร์เข้าใจถึงภาพรวมและองค์ประกอบต่างๆ ของระบบเครือข่ายภายในจากการแทรกซึมไปยังตำแหน่งต่างๆ

เฟสที่ 6: Exfiltration, Corruption, and Disruption

ขั้นสุดท้ายเมื่อแฮ็คเกอร์เข้าถึงระบบเป้าหมายที่ต้องการได้แล้ว แฮ็คเกอร์จะลงมือกระทำการเพื่อให้บรรลุวัตถุประสงค์ที่ตั้งไว้ เช่น ขโมยข้อมูลสำคัญ ล่มบริการหลักขององค์กร หรือขัดขวางการดำเนินงานเชิงธุรกิจ เป็นต้น

ความสามารถในการตรวจจับและตอบสนองต่อภัยคุกคามเป็นกุญแจสำคัญในการปกป้องระบบเครือข่ายจากความเสียหายครั้งใหญ่ที่อาจจะเกิดขึ้น ยิ่งสามารถตรวจจับและกักกันการโจมตีได้เร็วเท่าไหร่ ความเสียหายเชิงธุรกิจที่ได้รับก็ยิ่งน้อยเท่านั้น องค์กรควรพึงระลึกไว้เสมอว่า เรากำลังอยู่ในยุคที่สามารถตกเป็นเป้าหมายของแฮ็คเกอร์ได้ตลอดเวลา ดังที่ FBI เคยพูดไว้ “บนโลกนี้มีองค์กร 2 ประเภท คือ องค์กรที่ถูกแฮ็ค กับองค์กรที่ไม่รู้ตัวว่าถูกแฮ็ค”

ที่มา: https://www.helpnetsecurity.com/2017/03/06/cyber-attack-lifecycle/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[รีวิว] ชวนลอง TP-Link เปิดใช้งานฟรี Omada Cloud Controller

ที่ผ่านมาเมื่อมีอุปกรณ์ในเครือข่ายเพิ่มขึ้นธุรกิจหรือผู้ใช้งานมักเริ่มมองหาการบริหารจัดการแบบศูนย์กลาง ซึ่งในอดีตแบรนด์ต่างๆมักพูดถึงเรื่องฮาร์ดแวร์สำหรับหน้าที่นั้น แต่ในปัจจุบัน Cloud-based Management คือทางเลือกที่ถูกนำเสนอมากขึ้น แต่บ่อยครั้งที่ทางเลือกมักมาพร้อมกับค่าใช้จ่ายรายเดือนหรือรายปี ซึ่งในบางกรณีอาจสูงจนไม่คุ้มค่ากับขนาดธุรกิจที่มีการใช้งานไม่ซับซ้อน ในวันนี้เป็นโอกาสของลูกค้าผู้ใช้งาน TP-Link ที่ได้เปิด Cloud Controller ให้ใช้งานได้ฟรีภายใต้ License …

กลยุทธ์รับมือภัยคุกคามไซเบอร์: เสริมเกราะป้องกันให้องค์กรของคุณแข็งแกร่งยิ่งขึ้น [Guest Post]

ในยุคดิจิทัลที่ทุกอย่างเชื่อมต่อกันผ่านอินเทอร์เน็ต ภัยคุกคามทางไซเบอร์กลายเป็นปัญหาที่องค์กรทุกขนาดต้องเผชิญ การโจมตีทางไซเบอร์ไม่เพียงแต่ส่งผลกระทบต่อข้อมูลสำคัญขององค์กรเท่านั้น แต่ยังอาจทำให้เกิดความเสียหายทางการเงินและชื่อเสียงอีกด้วย ดังนั้นการสร้างระบบความปลอดภัยทางไซเบอร์ที่แข็งแกร่งจึงเป็นสิ่งจำเป็นอย่างยิ่ง