พร้อมตรวจจับและตอบสนองต่อภัยคุกคามในยุคที่ “การป้องกัน” ไม่ใช่หนทางที่ดีที่สุดอีกต่อไป
หลายองค์กรในปัจจุบันยังคงยึดติดกับกลยุทธ์การป้องกันภัยคุกคามไซเบอร์แบบเก่า คือ เน้นที่การป้องกันภัยคุกคามภายนอกไม่ให้เข้ามาทำอันตรายระบบเครือข่ายภายในองค์กร อย่างไรก็ตาม ภัยคุกคามไซเบอร์นับวันยิ่งพัฒนาไปไกล ไม่ว่าจะเป็น Advanced Threats หรือ Zero-day Attacks ซึ่งมีเทคนิคในการซ่อนตัว แทรกซึม และหลบหลีกการตรวจจับ ทำให้สุดท้ายก็สามารถเล็ดรอดเข้ามาสร้างความเสียหายแก่ระบบได้
ผู้เชี่ยวชาญจากหลายแห่ง ไม่ว่าจะเป็น ISF, NIST, Cisco และอื่นๆ ต่างให้ความเห็นไปในทางเดียวกันว่า การป้องกัน (Prevent) ภัยคุกคามเพียงอย่างเดียวไม่เพียงพออีกต่อไป องค์กรควรเริ่มโฟกัสที่การตรวจจับ (Detect) และตอบสนอง (Respond) ต่อภัยคุกคามมากขึ้น เนื่องจากยิ่งองค์กรสามารถตรวจจับและรับมือกับภัยคุกคามได้เร็วเท่าไหร่ ก็ยิ่งควบคุมความเสียหายและบรรเทาผลกระทบได้ดีมากขึ้นเท่านั้น การตรวจจับและตอบสนองจึงกลายเป็นหัวใจสำคัญในการรับมือกับภัยคุกคามไซเบอร์สมัยใหม่ โดยเฉพาะการเจาะระบบเพื่อขโมยข้อมูล (Data Breach)
LogRhythm ผู้ให้บริการแพลตฟอร์ม Security Intelligence & Analytics ชื่อดัง ได้นำเสนอ Cyber Attack Lifecycle แบบใหม่ซึ่งรวมขั้นตอนการดำเนินการของแฮ็คเกอร์ที่พบได้บ่อยในปัจจุบัน ตั้งแต่เริ่มค้นหาเป้าหมาย แทรกซึม ลงมือโจมตี ไปจนถึงการทำอันตรายระบบ สรุปออกมาเป็น 6 เฟส ถ้าสามารถตรวจจับและหยุดยั้งขั้นตอนใดขึ้นตอนหนึ่งได้ ก็จะสามารถป้องกันการโจมตีของแฮ็คเกอร์ไม่ให้บรรลุเป้าหมายที่ต้องการได้ทันที
Cyber Attack Lifecycle ของ LogRhythm เป็นดังนี้
เฟสที่ 1: Reconnaissance
ขั้นตอนแรกสุดของการโจมตีไซเบอร์คือ การระบุเป้าหมายและจัดเตรียมเครื่องมือที่จะโจมตี โดยแฮ็คเกอร์จะเริ่มกำหนดวัตถุประสงค์ เช่น หาเงิน ขโมยข้อมูล หรือสร้างชื่อเสียง เมื่อได้เป้าหมายที่เหมาะสมกับวัตถุประสงค์แล้วก็จะจัดเตรียมเครื่องมือสำหรับโจมตีเป้าหมายนั้นๆ เช่น Zero-day Exploit, Spear-phishing, ติดสินบนเจ้าหน้าที่ หรือวิธีการอื่นๆ
เฟสที่ 2: Initial Compromise
แฮ็คเกอร์เริ่มทำการเจาะระบบโดยพยายามโจมตีที่ช่องโหว่และบายพาสระบบรักษาความมั่นคงปลอดภัยของเครือข่าย และพยายามให้ได้สิทธิ์ในการเข้าถึงระบบเครือข่ายภายในผ่านทางระบบหรือบัญชีผู้ใช้ที่เจาะเข้ามา
เฟสที่ 3: Command & Control
อุปกรณ์ที่แฮ็คเกอร์สามารถเข้าควบคุมได้แล้วจะถูกใช้เป็นช่องทางในการแทรกซึมและโจมตีแบบอื่นๆ เช่น ดาวน์โหลดและติดตั้ง Remote Access Trojan (RAT) เพื่อสร้าง Backdoor ให้แฮ็คเกอร์สามารถแอบเข้าถึงระบบเครือข่ายของเป้าหมายได้ในอนาคตโดยที่เป้าหมายไม่รู้ตัว
เฟสที่ 4: Lateral Movement
หลังจากที่แฮ็คเกอร์สามารถเชื่อมต่อเข้ามาในระบบเครือข่ายภายในได้แล้ว แฮ็คเกอร์จะพยายามแทรกซึมไปยังแต่ละระบบหรือบัญชีผู้ใช้รายอื่นเพื่อให้เข้าใกล้เป้าหมายมากยิ่งขึ้น ทั้งนี้แฮ็คเกอร์มักจะปลอมตัวเข้ามาโดยผู้ใช้ที่มีสิทธิ์ ส่งผลให้ตรวจจับการโจมตีหรือการแทรกซึมเข้ามาได้ยาก
เฟสที่ 5: Target Attainment
เมื่อถึงขั้นตอนนี้ แฮ็คเกอร์จะมี Backdoor ที่สามารถเข้าถึงระบบเครือข่ายภายในได้หลายจุด รวมไปถึงสามารถแพร่กระจายตัวเองไปยังตำแน่งเป้าหมายที่ต้องการได้ ที่สำคัญคือ แฮ็คเกอร์เข้าใจถึงภาพรวมและองค์ประกอบต่างๆ ของระบบเครือข่ายภายในจากการแทรกซึมไปยังตำแหน่งต่างๆ
เฟสที่ 6: Exfiltration, Corruption, and Disruption
ขั้นสุดท้ายเมื่อแฮ็คเกอร์เข้าถึงระบบเป้าหมายที่ต้องการได้แล้ว แฮ็คเกอร์จะลงมือกระทำการเพื่อให้บรรลุวัตถุประสงค์ที่ตั้งไว้ เช่น ขโมยข้อมูลสำคัญ ล่มบริการหลักขององค์กร หรือขัดขวางการดำเนินงานเชิงธุรกิจ เป็นต้น
ความสามารถในการตรวจจับและตอบสนองต่อภัยคุกคามเป็นกุญแจสำคัญในการปกป้องระบบเครือข่ายจากความเสียหายครั้งใหญ่ที่อาจจะเกิดขึ้น ยิ่งสามารถตรวจจับและกักกันการโจมตีได้เร็วเท่าไหร่ ความเสียหายเชิงธุรกิจที่ได้รับก็ยิ่งน้อยเท่านั้น องค์กรควรพึงระลึกไว้เสมอว่า เรากำลังอยู่ในยุคที่สามารถตกเป็นเป้าหมายของแฮ็คเกอร์ได้ตลอดเวลา ดังที่ FBI เคยพูดไว้ “บนโลกนี้มีองค์กร 2 ประเภท คือ องค์กรที่ถูกแฮ็ค กับองค์กรที่ไม่รู้ตัวว่าถูกแฮ็ค”
ที่มา: https://www.helpnetsecurity.com/2017/03/06/cyber-attack-lifecycle/