Cyber Kill Chain แบบเดิมล้าสมัยแล้ว ควรเพิ่มขั้นตอนที่เกิดขึ้น “ภายใน” เข้าไปด้วย

Swan Malone ที่ปรึกษาด้านความมั่นคงปลอดภัย ออกมาให้ความเห็นภายในงาน Black Hat USA 2016 ว่าโมเดล Cyber Kill Chain ที่ใช้อธิบายการโจมตีไซเบอร์นั้น ล้าสมัยเกินไปแล้วในปัจจุบัน เนื่องจาก Firewall ไม่ใช่ระบบรักษาความมั่นคงปลอดภัยเดียวอีกต่อไป ควรเน้นโฟกัสสิ่งที่แฮ็คเกอร์จะทำหลังจากที่เข้ามายังระบบเครือข่ายภายในได้แล้วด้วย

Cyber Kill Chain คืออะไร

Cyber Kill Chain ถูกคิดค้นโดย Lockheed Martin บริษัทด้านอากาศยาน การป้องกัน ความมั่นคงปลอดภัย และเทคโนโลยีระดับสูงชื่อดังของสหรัฐฯ ซึ่งศัพท์คำนี้ถูกใช้กันอย่างแพร่หลายในวงการ IT Security เพื่อบรรยายถึงขั้นตอนของการเจาะระบบเพื่อโจมตีไซเบอร์ ซึ่งประกอบด้วย 7 ขั้นตอนต่อเนื่องกัน ได้แก่ Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control และ Actions on Objectives

cyber_kill_chain

ขยายรายละเอียดของ Cyber Kill Chain หลังบุกรุกเข้าระบบได้แล้ว

Malone ระบุว่า สมมติฐานของ Cyber Kill Chain คือ ระบบเครือข่ายมี Firewall เป็นอุปกรณ์หลักในการป้องกันผู้บุกรุกโจมตี จึงเน้นเฉพาะการโจมตีจากภายนอกเข้าสู่ภายใน ซึ่งในปัจจุบันนี้ระบบรักษาความมั่นคงปลอดภัยมีการพัฒนาปรับเปลี่ยนไปมาก Firewall ไม่ใช่เป็นโซลูชันเดียวสำหรับรับมือกับการโจมตีไซเบอร์อีกต่อไป องค์กรควรมีการเพิ่มการป้องกันภายในระบบเครือข่ายของตนหลังจากที่แฮ็คเกอร์หลุดเข้ามาได้อีกด้วย

นั่นหมายความว่า ควรมีการเพิ่มขึ้นตอนให้ชัดเจนหลังจากที่แฮ็คเกอร์สามารถเจาะทะลุเข้ามาในระบบเครือข่ายได้แล้ว Malone เรียก Cyber Kill Chain ใหม่ที่เขาเพิ่มรายละเอียดลงไปว่า “The Expanded Cyber Kill Chain”

the_expanded_cyber_kill_chain

เน้นโฟกัสกิจกรรมที่เกิดขึ้นภายใน โดยเฉพาะเป้าหมายที่แท้จริง

Malone แบ่งขั้นตอนของ The Expanded Cyber Kill Chain ออกเป็น 3 เฟสใหญ่ คือ External, Internal และ Target Manipulation

  • External (Legacy) Cyber Kill Chain: Cyber Kill Chain แบบดั้งเดิมที่นิยามกัน เป็นขั้นตอนการเจาะระบบเครือข่ายจากภายนอกเพื่อเข้าถึงระบบเครือข่ายภายใน แล้วจึงดำเนินกิจกรรมตามต้องการ
  • Internal Kill Chain: ขั้นตอนการโจมตีของแฮ็คเกอร์หลังจากเข้ามายังระบบเครือข่ายได้แล้ว โดยแบ่งเป็น 5 ขั้นตอนย่อย คือ
    1. Internal Reconnaissance – ตรวจสอบระบบภายในพร้อมหาช่องโหว่ อาจใช้เวลา 1 – 2 สัปดาห์ หรือนานกว่านั้น
    2. Internal Exploitation – เจาะระบบภายในผ่านช่องโหว่ต่อ
    3. Enterprise Privilege Escalation – ยกระดับสิทธิ์ของตน และสร้าง Trust เพื่อให้ได้สิทธิ์การเข้าถึงที่สูงยิ่งขึ้น
    4. Lateral Movement – เมื่อได้สิทธิ์ระดับสูงแล้ว ก็ทำการค้นหาเป้าหมายที่ต้องการในพื้นที่หวงห้าม
    5. Target Manipulation – ทำการโจมตีเป้าหมายที่ต้องการ
  • Target Manipulation Kill Chain: ขั้นตอนการโจมตีเป้าหมายโดยเฉพาะเจาะจงของแฮ็คเกอร์ หลังจากที่ค้นหาเป้าหมายเจอแล้ว แบ่งเป็น 5 ขั้นตอนย่อยเช่นเดียวกัน คือ
    1. Target Reconnaissance – ตรวจสอบและทำความเข้าใจระบบของเป้าหมาย
    2. Target Exploitation – เจาะเข้าระบบเป้าหมายโดยอาศัย Trust หรือเจาะผ่านช่องโหว่
    3. Weaponization – สร้างมัลแวร์เฉพาะสำหรับโจมตีเป้าหมายหรือหยุดกระบวนการเชิงธุรกิจ
    4. Installation – ติดตั้งมัลแวร์บนระบบเป้าหมาย
    5. Execution – โจมตีเป้าหมายตามวัตถุประสงค์ที่ตนต้องการ

นอกจากขยายรายละเอียดขั้นตอนที่เกิดขึ้นภายในแล้ว Malone ยังให้คำแนะนำทางด้าน Tactics, Techniques และ Procedures (TTP) ทั้งของฝั่งผู้โจมตีและผู้ป้องกันอีกด้วย ผู้ที่สนใจโมเดล The Expanded Cyber Kill Chain สามารถดาวน์โหลดสไลด์ของ Malone ในงาน Black Hat USA 2016 ได้ที่ http://www.seantmalone.com/docs/us-16-Malone-Using-an-Expanded-Cyber-Kill-Chain-Model-to-Increase-Attack-Resiliency.pdf

ทั้งนี้ Malone ยังแนะนำอีกว่า บริษัทควรวางแผนรับมือกับ Cyber Kill Chain ในทุกๆ ขั้นตอน เนื่องจากถ้าหยุดยั้งขั้นตอนใดขั้นตอนหนึ่งได้ ก็จะหยุดห่วงโซ่การโจมตีทั้งหมด หรือถึงแม้จะหยุดยั้งไม่ได้ ก็ยังช่วยให้แฮ็คเกอร์สามารถโจมตีได้ช้าลง และต้องลงทุนค่าใช้จ่ายมากขึ้น นอกจากนี้ ทีมความมั่นคงปลอดภัยไซเบอร์ของบริษัทควรวางแผนสำหรับการรายงานการถูกเจาะระบบออกสื่อต่างๆ การดำเนินงานกิจกรรมเกี่ยวกับกฏหมาย และรับมือกับสื่อต่างๆ ที่อาจจะพาดหัวเหตุการณ์ที่เกิดขึ้น

ที่มา: http://www.networkworld.com/article/3104542/security/why-the-cyber-kill-chain-needs-an-upgradesecurity-pros-need-to-focus-more-on-catching-attackers-aft.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google Chrome Enhanced Protection ปกป้องผู้ใช้จากภัยคุกคามออนไลน์ได้กว่า 1 พันล้านรายแล้ว

Google ฉลองก้าวสำคัญ โดยประกาศว่าโหมด Enhanced Protection ใน Chrome ซึ่งใช้ปัญญาประดิษฐ์ (AI) และแมชชีนเลิร์นนิงเพื่อตรวจจับและบล็อกภัยคุกคามออนไลน์แบบเรียลไทม์ ขณะนี้สามารถปกป้องผู้ใช้ได้กว่า 1 พันล้านรายจากฟิชชิงและการหลอกลวงออนไลน์แล้ว

Microsoft ออกแพตช์ประจำเดือนกุมภาพันธ์ 2025 แก้ไขช่องโหว่ Zero-day 4 รายการและช่องโหว่อื่นอีก 55 รายการ

Microsoft ออกอัปเดตความปลอดภัยประจำเดือนกุมภาพันธ์ 2025 แก้ไขช่องโหว่ทั้งหมด 55 รายการ รวมถึงช่องโหว่ Zero-day 4 รายการ โดยมี 2 รายการที่ถูกนำไปใช้โจมตีแล้ว