การจำแนกข้อมูลร้ายๆ ในยุค Botnet ก็เหมือนงมเข็มในมหาสมุทร

November 7, 2017 Advanced Threat Protection, Cybersecurity, IT Knowledge, IT Trends and Updates, Network Security

การโจมตีทุกวันนี้มีวิธีการที่ซับซ้อนมากขึ้นเช่น DDoS Credential Stuffing และ Content Scraping แต่วิธีการเหล่านี้มันก็มีข้อมูลคล้ายๆ กับการใช้งานปกติทั้งนั้น ซึ่งองค์กรต่างๆ ควรจะจำแนกให้ได้โดยเร็วระหว่างข้อมูลปกติและข้อมูลที่ไม่ประสงค์ดี ดังนั้นในบทความนี้จะแนะนำถึงแนวทางการค้นหาข้อมูลร้ายๆ ในระบบครับ

Credit: Melpomene/ShutterStock

Verizon ผู้ให้บริการและให้ปรึกษาด้านไอที ได้จัดทำรายงานเกี่ยวกับการรั่วไหลของข้อมูล โดยรายงานระบุว่าเว็บแอปพลิเคชันถูกโจมตีด้วยวิธีการขโมย Credential มากที่สุดในช่วง 2 ปีหลัง ไม่ว่าจะด้วยวิธีการนี้หรือวิธีอื่นๆ ที่แฮ็กเกอร์ใช้ก็มีข้อมูลที่หน้าตาคล้ายกับข้อมูลปกติ แต่แนวโน้มการโจมตีที่กำลังเพิ่มขึ้นตอนนี้คือ Botnet จากพฤติกรรมของมันมักมีการแพร่กระจายและหลบซ่อนตัวเอง ส่งผลให้ข้อมูลที่เกิดขึ้นมีปริมาณมหาศาลและดูคล้ายกับการใช้งานทั่วไปของอุปกรณ์จากผู้ใช้งานปกติ นั่นทำให้การหาข้อมูลจาก Botnet ยากพอๆ กับการหาเข็มในมหาสมุทรนั่นเอง

เพื่อที่จะต่อสู้กับแฮ็กเกอร์ องค์กรควรมีระบบแบบบูรณาการที่สามารถตรวจจับภัยคุกคามที่กำลังเกิดขึ้นได้อย่างอัตโนมัติ และสามารถป้องกันส่วนธุรกิจที่สำคัญได้อย่างรวดเร็ว โดยการตรวจจับอย่างมีประสิทธิภาพของระบบนั้นจะต้องตรวจสอบข้อมูลในระดับโปรโตคอลและการเชื่อมต่อได้ลึกมากพอที่จะจำแนกข้อมูลร้ายๆ ออกมาได้ ดังนั้นมี 3 ขั้นตอนที่จะช่วยให้การตรวจสอบสัมฤทธิ์ผล คือ

  1. ตรวจสอบ Payload ของข้อมูลอย่างต่อเนื่องว่าตรงตามข้อกำหนดของโปรโตคอลและไม่ใช่ Web Exploit
  2. เข้าตรวจสอบฝั่งผู้ใช้งานและระบุให้ได้ว่าอันไหนคือ Browser ตัวจริง เป็น Script หรือ Bot
  3. ก้าวข้ามระบบ Manual คือ ใช้การตรวจจับเชิงพฤติกรรมแทนที่ Static หรือ Rule-based เพื่อจำแนกว่า เซสชัน ผู้ใช้ อุปกรณ์ และเว็บไซต์ไหนเป็น “พฤติกรรมที่ดี” และทำการแจ้งเตือนเมื่อพบพฤติกรรมที่ไม่พึงประสงค์

ข้อที่ 3 นี้ เป็นสิ่งจำเป็นที่สามารถตรวจสอบผู้กระทำผิดคนใดคนหนึ่งที่มีการแพร่กระจายการโจมตี ยกตัวอย่างเช่น เมื่อเราตรวจจับการโจมตีแบบ DDoS ด้วยการสังเกตุพฤติกรรมแทนที่ตรวจจับด้วยวิธีกำหนด Volume Threshold ระบบต้องการเรียนรู้การใช้งานแบบปกติเพื่อสร้างเป็นมาตรฐานการใช้งานว่านี่คือการใช้งานที่ปกติ  หากสามารถทำได้เราจะสามารถตรวจจับแนวโน้มการโจมตีของ DDoS ได้อัตโนมัติ ด้วยการติดตามประสิทธิภาพของแอปพลิเคชันอย่างต่อเนื่อง ถ้าเกิดถูกโจมตีระบบจะจัดการ ภัยคุกคามนั้นและปรับตัวกลับเข้าสู่ภาวะปกติได้เองโดยผู้ใช้งานไม่ได้รับผลกระทบใดๆ ซึ่งทั้งหมดทำได้ด้วยระบบอัตโนมัติ

ที่มา : https://www.forbes.com/sites/forbestechcouncil/2017/10/26/of-needles-and-haystacks-spotting-bad-network-traffic-in-the-age-of-botnets

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ข้อมูลลับองค์กรธุรกิจตกอยู่ในความเสี่ยง: แคสเปอร์สกี้รายงานการโจมตีด้วยสปายแวร์เพิ่มขึ้น 18% ในเอเชียตะวันออกเฉียงใต้ [PR]

การโจมตีด้วยสปายแวร์ที่เพิ่มขึ้นทำให้องค์กรธุรกิจในภูมิภาคเอเชียตะวันออกเฉียงใต้ตกอยู่ในความเสี่ยงมากขึ้น ตามรายงานของแคสเปอร์สกี้ บริษัทด้านความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวทางดิจิทัลระดับโลก

เปิดตัว Datadog Code Security MCP ตรวจความปลอดภัยของ Code ที่ AI สร้างได้แบบ Real-Time

Datadog ได้ออกมาประกาศเปิดตัวเครื่องมือใหม่ Datadog Code Security MCP สำหรับใช้ตรวจสอบความปลอดภัยของโค้ดที่ AI เขียนขึ้นมาได้ทันทีโดยไม่ต้องรอ Pull Request หรือ CI Pipeline อีกต่อไป

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand