การจำแนกข้อมูลร้ายๆ ในยุค Botnet ก็เหมือนงมเข็มในมหาสมุทร

การโจมตีทุกวันนี้มีวิธีการที่ซับซ้อนมากขึ้นเช่น DDoS Credential Stuffing และ Content Scraping แต่วิธีการเหล่านี้มันก็มีข้อมูลคล้ายๆ กับการใช้งานปกติทั้งนั้น ซึ่งองค์กรต่างๆ ควรจะจำแนกให้ได้โดยเร็วระหว่างข้อมูลปกติและข้อมูลที่ไม่ประสงค์ดี ดังนั้นในบทความนี้จะแนะนำถึงแนวทางการค้นหาข้อมูลร้ายๆ ในระบบครับ

Credit: Melpomene/ShutterStock

Verizon ผู้ให้บริการและให้ปรึกษาด้านไอที ได้จัดทำรายงานเกี่ยวกับการรั่วไหลของข้อมูล โดยรายงานระบุว่าเว็บแอปพลิเคชันถูกโจมตีด้วยวิธีการขโมย Credential มากที่สุดในช่วง 2 ปีหลัง ไม่ว่าจะด้วยวิธีการนี้หรือวิธีอื่นๆ ที่แฮ็กเกอร์ใช้ก็มีข้อมูลที่หน้าตาคล้ายกับข้อมูลปกติ แต่แนวโน้มการโจมตีที่กำลังเพิ่มขึ้นตอนนี้คือ Botnet จากพฤติกรรมของมันมักมีการแพร่กระจายและหลบซ่อนตัวเอง ส่งผลให้ข้อมูลที่เกิดขึ้นมีปริมาณมหาศาลและดูคล้ายกับการใช้งานทั่วไปของอุปกรณ์จากผู้ใช้งานปกติ นั่นทำให้การหาข้อมูลจาก Botnet ยากพอๆ กับการหาเข็มในมหาสมุทรนั่นเอง

เพื่อที่จะต่อสู้กับแฮ็กเกอร์ องค์กรควรมีระบบแบบบูรณาการที่สามารถตรวจจับภัยคุกคามที่กำลังเกิดขึ้นได้อย่างอัตโนมัติ และสามารถป้องกันส่วนธุรกิจที่สำคัญได้อย่างรวดเร็ว โดยการตรวจจับอย่างมีประสิทธิภาพของระบบนั้นจะต้องตรวจสอบข้อมูลในระดับโปรโตคอลและการเชื่อมต่อได้ลึกมากพอที่จะจำแนกข้อมูลร้ายๆ ออกมาได้ ดังนั้นมี 3 ขั้นตอนที่จะช่วยให้การตรวจสอบสัมฤทธิ์ผล คือ

  1. ตรวจสอบ Payload ของข้อมูลอย่างต่อเนื่องว่าตรงตามข้อกำหนดของโปรโตคอลและไม่ใช่ Web Exploit
  2. เข้าตรวจสอบฝั่งผู้ใช้งานและระบุให้ได้ว่าอันไหนคือ Browser ตัวจริง เป็น Script หรือ Bot
  3. ก้าวข้ามระบบ Manual คือ ใช้การตรวจจับเชิงพฤติกรรมแทนที่ Static หรือ Rule-based เพื่อจำแนกว่า เซสชัน ผู้ใช้ อุปกรณ์ และเว็บไซต์ไหนเป็น “พฤติกรรมที่ดี” และทำการแจ้งเตือนเมื่อพบพฤติกรรมที่ไม่พึงประสงค์

ข้อที่ 3 นี้ เป็นสิ่งจำเป็นที่สามารถตรวจสอบผู้กระทำผิดคนใดคนหนึ่งที่มีการแพร่กระจายการโจมตี ยกตัวอย่างเช่น เมื่อเราตรวจจับการโจมตีแบบ DDoS ด้วยการสังเกตุพฤติกรรมแทนที่ตรวจจับด้วยวิธีกำหนด Volume Threshold ระบบต้องการเรียนรู้การใช้งานแบบปกติเพื่อสร้างเป็นมาตรฐานการใช้งานว่านี่คือการใช้งานที่ปกติ  หากสามารถทำได้เราจะสามารถตรวจจับแนวโน้มการโจมตีของ DDoS ได้อัตโนมัติ ด้วยการติดตามประสิทธิภาพของแอปพลิเคชันอย่างต่อเนื่อง ถ้าเกิดถูกโจมตีระบบจะจัดการ ภัยคุกคามนั้นและปรับตัวกลับเข้าสู่ภาวะปกติได้เองโดยผู้ใช้งานไม่ได้รับผลกระทบใดๆ ซึ่งทั้งหมดทำได้ด้วยระบบอัตโนมัติ

ที่มา : https://www.forbes.com/sites/forbestechcouncil/2017/10/26/of-needles-and-haystacks-spotting-bad-network-traffic-in-the-age-of-botnets


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ขอเชิญร่วมงาน ABAQUS Powered By 3DEXPERIENCE ยกระดับ การทำงาน เพื่อสร้างผลกำไร ด้วยนวัตกรรม Cloud Computing” พุธที่ 8 มิถุนายน นี้ ลงทะเบียนฟรี !

NSS ขอเชิญร่วมงานสัมมนาออนไลน์ (ฟรี) ผ่าน Microsoft Teams จัดงาน 2 วัน 2 หัวข้อดังนี้  “ABAQUS Powered By 3DEXPERIENCE …

10 สิ่ง ที่จะลดทอนความแรงสัญญาณ Wi-Fi ในบ้านของคุณ

ปัจจุบันมากกว่า 90% Wi-Fi เป็นปัจจัยที่ 5 สำหรับการอาคารสถานที่ และบ้านเรือน สัญญาณ Wi-Fi แรงๆ คือสิ่งที่ทุกคนปราถนา การหาซื้ออุปกรณ์เราเตอร์ระดับคุณภาพเป็นการแสวงหาคุณภาพของสัญญาณที่ดีที่สุด แต่ปัจจัยเพียงแค่อุปกรณ์ยังไม่เพียงพอสำหรับระบบนิเวศของบ้านเรือนที่มีความซับซ้อนแตกต่างกันมาก ความสวยงามของสถาปัตยกรรมภายในล้วนแต่แลกมาด้วยความซับซ้อนของโครงสร้างที่เสริมให้มีความคงทนถาวร การเลือกประเภทของวัสดุจึงมุ่งเน้นไปที่ความแข็งแรงเห็นหลัก …