การจำแนกข้อมูลร้ายๆ ในยุค Botnet ก็เหมือนงมเข็มในมหาสมุทร

การโจมตีทุกวันนี้มีวิธีการที่ซับซ้อนมากขึ้นเช่น DDoS Credential Stuffing และ Content Scraping แต่วิธีการเหล่านี้มันก็มีข้อมูลคล้ายๆ กับการใช้งานปกติทั้งนั้น ซึ่งองค์กรต่างๆ ควรจะจำแนกให้ได้โดยเร็วระหว่างข้อมูลปกติและข้อมูลที่ไม่ประสงค์ดี ดังนั้นในบทความนี้จะแนะนำถึงแนวทางการค้นหาข้อมูลร้ายๆ ในระบบครับ

Verizon ผู้ให้บริการและให้ปรึกษาด้านไอที ได้จัดทำรายงานเกี่ยวกับการรั่วไหลของข้อมูล โดยรายงานระบุว่าเว็บแอปพลิเคชันถูกโจมตีด้วยวิธีการขโมย Credential มากที่สุดในช่วง 2 ปีหลัง ไม่ว่าจะด้วยวิธีการนี้หรือวิธีอื่นๆ ที่แฮ็กเกอร์ใช้ก็มีข้อมูลที่หน้าตาคล้ายกับข้อมูลปกติ แต่แนวโน้มการโจมตีที่กำลังเพิ่มขึ้นตอนนี้คือ Botnet จากพฤติกรรมของมันมักมีการแพร่กระจายและหลบซ่อนตัวเอง ส่งผลให้ข้อมูลที่เกิดขึ้นมีปริมาณมหาศาลและดูคล้ายกับการใช้งานทั่วไปของอุปกรณ์จากผู้ใช้งานปกติ นั่นทำให้การหาข้อมูลจาก Botnet ยากพอๆ กับการหาเข็มในมหาสมุทรนั่นเอง

เพื่อที่จะต่อสู้กับแฮ็กเกอร์ องค์กรควรมีระบบแบบบูรณาการที่สามารถตรวจจับภัยคุกคามที่กำลังเกิดขึ้นได้อย่างอัตโนมัติ และสามารถป้องกันส่วนธุรกิจที่สำคัญได้อย่างรวดเร็ว โดยการตรวจจับอย่างมีประสิทธิภาพของระบบนั้นจะต้องตรวจสอบข้อมูลในระดับโปรโตคอลและการเชื่อมต่อได้ลึกมากพอที่จะจำแนกข้อมูลร้ายๆ ออกมาได้ ดังนั้นมี 3 ขั้นตอนที่จะช่วยให้การตรวจสอบสัมฤทธิ์ผล คือ

1. ตรวจสอบ Payload ของข้อมูลอย่างต่อเนื่องว่าตรงตามข้อกำหนดของโปรโตคอลและไม่ใช่ Web Exploit
2. เข้าตรวจสอบฝั่งผู้ใช้งานและระบุให้ได้ว่าอันไหนคือ Browser ตัวจริง เป็น Script หรือ Bot
3. ก้าวข้ามระบบ Manual คือ ใช้การตรวจจับเชิงพฤติกรรมแทนที่ Static หรือ Rule-based เพื่อจำแนกว่า เซสชัน ผู้ใช้ อุปกรณ์ และเว็บไซต์ไหนเป็น “พฤติกรรมที่ดี” และทำการแจ้งเตือนเมื่อพบพฤติกรรมที่ไม่พึงประสงค์

ข้อที่ 3 นี้ เป็นสิ่งจำเป็นที่สามารถตรวจสอบผู้กระทำผิดคนใดคนหนึ่งที่มีการแพร่กระจายการโจมตี ยกตัวอย่างเช่น เมื่อเราตรวจจับการโจมตีแบบ DDoS ด้วยการสังเกตุพฤติกรรมแทนที่ตรวจจับด้วยวิธีกำหนด Volume Threshold ระบบต้องการเรียนรู้การใช้งานแบบปกติเพื่อสร้างเป็นมาตรฐานการใช้งานว่านี่คือการใช้งานที่ปกติ  หากสามารถทำได้เราจะสามารถตรวจจับแนวโน้มการโจมตีของ DDoS ได้อัตโนมัติ ด้วยการติดตามประสิทธิภาพของแอปพลิเคชันอย่างต่อเนื่อง ถ้าเกิดถูกโจมตีระบบจะจัดการ ภัยคุกคามนั้นและปรับตัวกลับเข้าสู่ภาวะปกติได้เองโดยผู้ใช้งานไม่ได้รับผลกระทบใดๆ ซึ่งทั้งหมดทำได้ด้วยระบบอัตโนมัติ

ที่มา : https://www.forbes.com/sites/forbestechcouncil/2017/10/26/of-needles-and-haystacks-spotting-bad-network-traffic-in-the-age-of-botnets