Breaking News

การจำแนกข้อมูลร้ายๆ ในยุค Botnet ก็เหมือนงมเข็มในมหาสมุทร

การโจมตีทุกวันนี้มีวิธีการที่ซับซ้อนมากขึ้นเช่น DDoS Credential Stuffing และ Content Scraping แต่วิธีการเหล่านี้มันก็มีข้อมูลคล้ายๆ กับการใช้งานปกติทั้งนั้น ซึ่งองค์กรต่างๆ ควรจะจำแนกให้ได้โดยเร็วระหว่างข้อมูลปกติและข้อมูลที่ไม่ประสงค์ดี ดังนั้นในบทความนี้จะแนะนำถึงแนวทางการค้นหาข้อมูลร้ายๆ ในระบบครับ

Credit: Melpomene/ShutterStock

Verizon ผู้ให้บริการและให้ปรึกษาด้านไอที ได้จัดทำรายงานเกี่ยวกับการรั่วไหลของข้อมูล โดยรายงานระบุว่าเว็บแอปพลิเคชันถูกโจมตีด้วยวิธีการขโมย Credential มากที่สุดในช่วง 2 ปีหลัง ไม่ว่าจะด้วยวิธีการนี้หรือวิธีอื่นๆ ที่แฮ็กเกอร์ใช้ก็มีข้อมูลที่หน้าตาคล้ายกับข้อมูลปกติ แต่แนวโน้มการโจมตีที่กำลังเพิ่มขึ้นตอนนี้คือ Botnet จากพฤติกรรมของมันมักมีการแพร่กระจายและหลบซ่อนตัวเอง ส่งผลให้ข้อมูลที่เกิดขึ้นมีปริมาณมหาศาลและดูคล้ายกับการใช้งานทั่วไปของอุปกรณ์จากผู้ใช้งานปกติ นั่นทำให้การหาข้อมูลจาก Botnet ยากพอๆ กับการหาเข็มในมหาสมุทรนั่นเอง

เพื่อที่จะต่อสู้กับแฮ็กเกอร์ องค์กรควรมีระบบแบบบูรณาการที่สามารถตรวจจับภัยคุกคามที่กำลังเกิดขึ้นได้อย่างอัตโนมัติ และสามารถป้องกันส่วนธุรกิจที่สำคัญได้อย่างรวดเร็ว โดยการตรวจจับอย่างมีประสิทธิภาพของระบบนั้นจะต้องตรวจสอบข้อมูลในระดับโปรโตคอลและการเชื่อมต่อได้ลึกมากพอที่จะจำแนกข้อมูลร้ายๆ ออกมาได้ ดังนั้นมี 3 ขั้นตอนที่จะช่วยให้การตรวจสอบสัมฤทธิ์ผล คือ

  1. ตรวจสอบ Payload ของข้อมูลอย่างต่อเนื่องว่าตรงตามข้อกำหนดของโปรโตคอลและไม่ใช่ Web Exploit
  2. เข้าตรวจสอบฝั่งผู้ใช้งานและระบุให้ได้ว่าอันไหนคือ Browser ตัวจริง เป็น Script หรือ Bot
  3. ก้าวข้ามระบบ Manual คือ ใช้การตรวจจับเชิงพฤติกรรมแทนที่ Static หรือ Rule-based เพื่อจำแนกว่า เซสชัน ผู้ใช้ อุปกรณ์ และเว็บไซต์ไหนเป็น “พฤติกรรมที่ดี” และทำการแจ้งเตือนเมื่อพบพฤติกรรมที่ไม่พึงประสงค์

ข้อที่ 3 นี้ เป็นสิ่งจำเป็นที่สามารถตรวจสอบผู้กระทำผิดคนใดคนหนึ่งที่มีการแพร่กระจายการโจมตี ยกตัวอย่างเช่น เมื่อเราตรวจจับการโจมตีแบบ DDoS ด้วยการสังเกตุพฤติกรรมแทนที่ตรวจจับด้วยวิธีกำหนด Volume Threshold ระบบต้องการเรียนรู้การใช้งานแบบปกติเพื่อสร้างเป็นมาตรฐานการใช้งานว่านี่คือการใช้งานที่ปกติ  หากสามารถทำได้เราจะสามารถตรวจจับแนวโน้มการโจมตีของ DDoS ได้อัตโนมัติ ด้วยการติดตามประสิทธิภาพของแอปพลิเคชันอย่างต่อเนื่อง ถ้าเกิดถูกโจมตีระบบจะจัดการ ภัยคุกคามนั้นและปรับตัวกลับเข้าสู่ภาวะปกติได้เองโดยผู้ใช้งานไม่ได้รับผลกระทบใดๆ ซึ่งทั้งหมดทำได้ด้วยระบบอัตโนมัติ

ที่มา : https://www.forbes.com/sites/forbestechcouncil/2017/10/26/of-needles-and-haystacks-spotting-bad-network-traffic-in-the-age-of-botnets


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] ขอเชิญร่วมสัมมนา Preparing your Organization for the Era of Digitalization 28 ต.ค. 2019

บริษัท วีโนฮาว (ประเทศไทย) จำกัด ขอเรียนเชิญ CxO, Senior Management, Middle Management, Digital Strategic Management, Digital/Business Transformation Executive, Principal Enterprise Architecture, Project Management Practitioner, Entrepreneur/Individual ที่มีส่วนรวมในการบริหารจัดการ Digital Strategic และผู้ที่สนใจเข้าร่วมงานสัมมนาครั้งใหญ่ของเรา ซึ่งจะจัดที่โรงแรม Crowne Plaza ในวันที่ 28 ตุลาคม 2562 ตั้งแต่เวลา 8.30 น. ถึง 17.15 น.

Homomorphic Encryption: เทคโนโลยีการเข้ารหัสข้อมูลที่เหล่าผู้ให้บริการ Cloud กำลังให้ความสนใจ

ในช่วงหลายปีที่ผ่านมานี้ หนึ่งในเทคโนโลยีที่เหล่าผู้ให้บริการ Cloud ระดับโลกทั้งหลายไม่ว่าจะเป็น Microsoft, Google, AWS และ IBM ต่างก็ให้ความสำคัญในการวิจัยและพัฒนาเครื่องมือต่างๆ ขึ้นมารองรับการใช้งานจริงในระดับ Commercial นั้น ก็คือ Homomorphic Encryption หรือเทคโนโลยีการเข้ารหัสข้อมูลที่ยังเปิดให้ผู้ใช้งานสามารถทำการวิเคราะห์ข้อมูลได้อยู่นั่นเอง