Cyber Kill Chain แบบเดิมล้าสมัยแล้ว ควรเพิ่มขั้นตอนที่เกิดขึ้น “ภายใน” เข้าไปด้วย

Swan Malone ที่ปรึกษาด้านความมั่นคงปลอดภัย ออกมาให้ความเห็นภายในงาน Black Hat USA 2016 ว่าโมเดล Cyber Kill Chain ที่ใช้อธิบายการโจมตีไซเบอร์นั้น ล้าสมัยเกินไปแล้วในปัจจุบัน เนื่องจาก Firewall ไม่ใช่ระบบรักษาความมั่นคงปลอดภัยเดียวอีกต่อไป ควรเน้นโฟกัสสิ่งที่แฮ็คเกอร์จะทำหลังจากที่เข้ามายังระบบเครือข่ายภายในได้แล้วด้วย

Cyber Kill Chain คืออะไร

Cyber Kill Chain ถูกคิดค้นโดย Lockheed Martin บริษัทด้านอากาศยาน การป้องกัน ความมั่นคงปลอดภัย และเทคโนโลยีระดับสูงชื่อดังของสหรัฐฯ ซึ่งศัพท์คำนี้ถูกใช้กันอย่างแพร่หลายในวงการ IT Security เพื่อบรรยายถึงขั้นตอนของการเจาะระบบเพื่อโจมตีไซเบอร์ ซึ่งประกอบด้วย 7 ขั้นตอนต่อเนื่องกัน ได้แก่ Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control และ Actions on Objectives

ขยายรายละเอียดของ Cyber Kill Chain หลังบุกรุกเข้าระบบได้แล้ว

Malone ระบุว่า สมมติฐานของ Cyber Kill Chain คือ ระบบเครือข่ายมี Firewall เป็นอุปกรณ์หลักในการป้องกันผู้บุกรุกโจมตี จึงเน้นเฉพาะการโจมตีจากภายนอกเข้าสู่ภายใน ซึ่งในปัจจุบันนี้ระบบรักษาความมั่นคงปลอดภัยมีการพัฒนาปรับเปลี่ยนไปมาก Firewall ไม่ใช่เป็นโซลูชันเดียวสำหรับรับมือกับการโจมตีไซเบอร์อีกต่อไป องค์กรควรมีการเพิ่มการป้องกันภายในระบบเครือข่ายของตนหลังจากที่แฮ็คเกอร์หลุดเข้ามาได้อีกด้วย

นั่นหมายความว่า ควรมีการเพิ่มขึ้นตอนให้ชัดเจนหลังจากที่แฮ็คเกอร์สามารถเจาะทะลุเข้ามาในระบบเครือข่ายได้แล้ว Malone เรียก Cyber Kill Chain ใหม่ที่เขาเพิ่มรายละเอียดลงไปว่า “The Expanded Cyber Kill Chain”

เน้นโฟกัสกิจกรรมที่เกิดขึ้นภายใน โดยเฉพาะเป้าหมายที่แท้จริง

Malone แบ่งขั้นตอนของ The Expanded Cyber Kill Chain ออกเป็น 3 เฟสใหญ่ คือ External, Internal และ Target Manipulation

• External (Legacy) Cyber Kill Chain: Cyber Kill Chain แบบดั้งเดิมที่นิยามกัน เป็นขั้นตอนการเจาะระบบเครือข่ายจากภายนอกเพื่อเข้าถึงระบบเครือข่ายภายใน แล้วจึงดำเนินกิจกรรมตามต้องการ
• Internal Kill Chain: ขั้นตอนการโจมตีของแฮ็คเกอร์หลังจากเข้ามายังระบบเครือข่ายได้แล้ว โดยแบ่งเป็น 5 ขั้นตอนย่อย คือ
  1. Internal Reconnaissance – ตรวจสอบระบบภายในพร้อมหาช่องโหว่ อาจใช้เวลา 1 – 2 สัปดาห์ หรือนานกว่านั้น
  2. Internal Exploitation – เจาะระบบภายในผ่านช่องโหว่ต่อ
  3. Enterprise Privilege Escalation – ยกระดับสิทธิ์ของตน และสร้าง Trust เพื่อให้ได้สิทธิ์การเข้าถึงที่สูงยิ่งขึ้น
  4. Lateral Movement – เมื่อได้สิทธิ์ระดับสูงแล้ว ก็ทำการค้นหาเป้าหมายที่ต้องการในพื้นที่หวงห้าม
  5. Target Manipulation – ทำการโจมตีเป้าหมายที่ต้องการ
• Target Manipulation Kill Chain: ขั้นตอนการโจมตีเป้าหมายโดยเฉพาะเจาะจงของแฮ็คเกอร์ หลังจากที่ค้นหาเป้าหมายเจอแล้ว แบ่งเป็น 5 ขั้นตอนย่อยเช่นเดียวกัน คือ
  1. Target Reconnaissance – ตรวจสอบและทำความเข้าใจระบบของเป้าหมาย
  2. Target Exploitation – เจาะเข้าระบบเป้าหมายโดยอาศัย Trust หรือเจาะผ่านช่องโหว่
  3. Weaponization – สร้างมัลแวร์เฉพาะสำหรับโจมตีเป้าหมายหรือหยุดกระบวนการเชิงธุรกิจ
  4. Installation – ติดตั้งมัลแวร์บนระบบเป้าหมาย
  5. Execution – โจมตีเป้าหมายตามวัตถุประสงค์ที่ตนต้องการ

นอกจากขยายรายละเอียดขั้นตอนที่เกิดขึ้นภายในแล้ว Malone ยังให้คำแนะนำทางด้าน Tactics, Techniques และ Procedures (TTP) ทั้งของฝั่งผู้โจมตีและผู้ป้องกันอีกด้วย ผู้ที่สนใจโมเดล The Expanded Cyber Kill Chain สามารถดาวน์โหลดสไลด์ของ Malone ในงาน Black Hat USA 2016 ได้ที่ http://www.seantmalone.com/docs/us-16-Malone-Using-an-Expanded-Cyber-Kill-Chain-Model-to-Increase-Attack-Resiliency.pdf

ทั้งนี้ Malone ยังแนะนำอีกว่า บริษัทควรวางแผนรับมือกับ Cyber Kill Chain ในทุกๆ ขั้นตอน เนื่องจากถ้าหยุดยั้งขั้นตอนใดขั้นตอนหนึ่งได้ ก็จะหยุดห่วงโซ่การโจมตีทั้งหมด หรือถึงแม้จะหยุดยั้งไม่ได้ ก็ยังช่วยให้แฮ็คเกอร์สามารถโจมตีได้ช้าลง และต้องลงทุนค่าใช้จ่ายมากขึ้น นอกจากนี้ ทีมความมั่นคงปลอดภัยไซเบอร์ของบริษัทควรวางแผนสำหรับการรายงานการถูกเจาะระบบออกสื่อต่างๆ การดำเนินงานกิจกรรมเกี่ยวกับกฏหมาย และรับมือกับสื่อต่างๆ ที่อาจจะพาดหัวเหตุการณ์ที่เกิดขึ้น

ที่มา: http://www.networkworld.com/article/3104542/security/why-the-cyber-kill-chain-needs-an-upgradesecurity-pros-need-to-focus-more-on-catching-attackers-aft.html