การจำแนกข้อมูลร้ายๆ ในยุค Botnet ก็เหมือนงมเข็มในมหาสมุทร

การโจมตีทุกวันนี้มีวิธีการที่ซับซ้อนมากขึ้นเช่น DDoS Credential Stuffing และ Content Scraping แต่วิธีการเหล่านี้มันก็มีข้อมูลคล้ายๆ กับการใช้งานปกติทั้งนั้น ซึ่งองค์กรต่างๆ ควรจะจำแนกให้ได้โดยเร็วระหว่างข้อมูลปกติและข้อมูลที่ไม่ประสงค์ดี ดังนั้นในบทความนี้จะแนะนำถึงแนวทางการค้นหาข้อมูลร้ายๆ ในระบบครับ

Credit: Melpomene/ShutterStock

Verizon ผู้ให้บริการและให้ปรึกษาด้านไอที ได้จัดทำรายงานเกี่ยวกับการรั่วไหลของข้อมูล โดยรายงานระบุว่าเว็บแอปพลิเคชันถูกโจมตีด้วยวิธีการขโมย Credential มากที่สุดในช่วง 2 ปีหลัง ไม่ว่าจะด้วยวิธีการนี้หรือวิธีอื่นๆ ที่แฮ็กเกอร์ใช้ก็มีข้อมูลที่หน้าตาคล้ายกับข้อมูลปกติ แต่แนวโน้มการโจมตีที่กำลังเพิ่มขึ้นตอนนี้คือ Botnet จากพฤติกรรมของมันมักมีการแพร่กระจายและหลบซ่อนตัวเอง ส่งผลให้ข้อมูลที่เกิดขึ้นมีปริมาณมหาศาลและดูคล้ายกับการใช้งานทั่วไปของอุปกรณ์จากผู้ใช้งานปกติ นั่นทำให้การหาข้อมูลจาก Botnet ยากพอๆ กับการหาเข็มในมหาสมุทรนั่นเอง

เพื่อที่จะต่อสู้กับแฮ็กเกอร์ องค์กรควรมีระบบแบบบูรณาการที่สามารถตรวจจับภัยคุกคามที่กำลังเกิดขึ้นได้อย่างอัตโนมัติ และสามารถป้องกันส่วนธุรกิจที่สำคัญได้อย่างรวดเร็ว โดยการตรวจจับอย่างมีประสิทธิภาพของระบบนั้นจะต้องตรวจสอบข้อมูลในระดับโปรโตคอลและการเชื่อมต่อได้ลึกมากพอที่จะจำแนกข้อมูลร้ายๆ ออกมาได้ ดังนั้นมี 3 ขั้นตอนที่จะช่วยให้การตรวจสอบสัมฤทธิ์ผล คือ

  1. ตรวจสอบ Payload ของข้อมูลอย่างต่อเนื่องว่าตรงตามข้อกำหนดของโปรโตคอลและไม่ใช่ Web Exploit
  2. เข้าตรวจสอบฝั่งผู้ใช้งานและระบุให้ได้ว่าอันไหนคือ Browser ตัวจริง เป็น Script หรือ Bot
  3. ก้าวข้ามระบบ Manual คือ ใช้การตรวจจับเชิงพฤติกรรมแทนที่ Static หรือ Rule-based เพื่อจำแนกว่า เซสชัน ผู้ใช้ อุปกรณ์ และเว็บไซต์ไหนเป็น “พฤติกรรมที่ดี” และทำการแจ้งเตือนเมื่อพบพฤติกรรมที่ไม่พึงประสงค์

ข้อที่ 3 นี้ เป็นสิ่งจำเป็นที่สามารถตรวจสอบผู้กระทำผิดคนใดคนหนึ่งที่มีการแพร่กระจายการโจมตี ยกตัวอย่างเช่น เมื่อเราตรวจจับการโจมตีแบบ DDoS ด้วยการสังเกตุพฤติกรรมแทนที่ตรวจจับด้วยวิธีกำหนด Volume Threshold ระบบต้องการเรียนรู้การใช้งานแบบปกติเพื่อสร้างเป็นมาตรฐานการใช้งานว่านี่คือการใช้งานที่ปกติ  หากสามารถทำได้เราจะสามารถตรวจจับแนวโน้มการโจมตีของ DDoS ได้อัตโนมัติ ด้วยการติดตามประสิทธิภาพของแอปพลิเคชันอย่างต่อเนื่อง ถ้าเกิดถูกโจมตีระบบจะจัดการ ภัยคุกคามนั้นและปรับตัวกลับเข้าสู่ภาวะปกติได้เองโดยผู้ใช้งานไม่ได้รับผลกระทบใดๆ ซึ่งทั้งหมดทำได้ด้วยระบบอัตโนมัติ

ที่มา : https://www.forbes.com/sites/forbestechcouncil/2017/10/26/of-needles-and-haystacks-spotting-bad-network-traffic-in-the-age-of-botnets





About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

5 ข้อที่ฉุดรั้งให้เครือข่ายไร้สายของคุณช้าลง

เครือข่ายไร้สายมักพบความไม่สเถียรของสัญญาณเนื่องจากมีปัจจัยที่ส่งผลกระทบซ่อนอยู่ค่อนข้างมาก วันนี้ทางทีมงานเราได้พบกับบทความที่น่าสนใจเกี่ยวกับปัจจัยที่เป็นตัวฉุดรั้งให้เครือข่ายไร้สายนั้นแสดงประสิทธิภาพได้ช้าลงกว่าที่ควรจะเป็นอย่างคาดไม่ถึง จึงเรียบเรียงและนำเสนอให้ผู้อ่านได้นำไปประกอบการใช้งานกันต่อไป

5 โปรเจกต์ที่น่าจับตามองสำหรับ Data Science และ Machine Learning บน GitHub เดือนมกราคม 2018

GitHub นั้นถือเป็นเครื่องมือยอดฮิตสำหรับโปรแกรมเมอร์ซึ่งหลักๆ นั้นนำมาใช้เพื่อบริหารจัดการเวอร์ชันของโค้ดในโปรเจกต์ต่างๆ นอกจากนั้นยังสามารถเปิดแชร์ให้ผู้อื่นได้ รวมถึงผู้สนใจสามารถทำการผนวกโค้ด (Forking) เข้ามาในโปรเจกต์ใหม่ของตนเองได้ซึ่งยังสามารถรับการอัปเดตหากเจ้าของต้นฉบับนั้นมีการเปลี่ยนแปลงโค้ด ในหัวข้อนี้เราจะมาพาไปดูโปรเจกต์สำหรับชาว Data Science และ AI เจ๋งๆ ในเดือนมกราคมที่ผ่านมาได้รับชมกัน