โมเดล Cyber Kill Chain สำหรับภัยคุกคามจากภายใน

เป็นที่ทราบกันดีว่านิยามของ Cyber Kill Chain นั้นถูกพัฒนาขึ้นโดย Lockheed Martin (สามารถกลับไปอ่านเนื้อหาเก่าจาก TechTalkThai ได้) อย่างไรก็ตามทางบล็อกของ Alienvault ได้ยกประเด็นมาจาก Dark Reading ว่าโมเดลที่สร้างขึ้นมานานแล้วอาจไม่เหมาะสมกับการโจมตีที่เกิดขึ้นจากภายใน เช่น ตัวพนักงานเองที่ต้องการขโมยข้อมูลของบริษัท ดังนั้นจึงแนะนำแนวคิดที่ชื่อ The ‘Internal’ Cyber Kill Chain Model

Credit: ShutterStock.com

Dark Reading ได้แบ่งภัยคุกคามจากภายในเป็น 2 ประเภทคือ

  • Flight Risks – พนักงานที่เตรียมลาออก เช่น ชอบเข้าเว็บหางาน โดยอาจเป็นเหตุให้บริษัทเกิดความเสียหายไม่ว่าจะตั้งใจหรือเริ่มละเลยต่อการรักษาความปลอดภัยนั่นเอง
  • Persistent Insider – เกิดจากคนที่ไม่ได้กะจะลาออกแต่ตั้งใจที่จะอยู่เพื่อทำความเสียหายซึ่งอาจจะมีพฤติกรรมใช้งานเว็บไซต์ผ่าน Proxy หรืออื่นๆ เพื่อำพรางการลักลอบย้ายข้อมูล เป็นต้น

เมื่อบริษัทรู้แล้วว่าพนักงานมีแนวโน้มความเสี่ยงก็ควรจะต้องจับตูอย่างใกล้ชิด ยกตัวอย่างเมื่อพนักงานคนที่เข้าเว็บสมัครงานพยายามเข้าถึงข้อมูลที่สำคัญ หรือทำการส่งข้อมูลไปยังที่แปลกๆ เป็นต้น โดยโมเดล Cyber Kill Chain แบบเดิมนั้นมีเพียง 2 ขั้นตอนเท่านั้นที่สามารถประยุกต์ได้กับภัยคุกคามจากภายในคือขั้นตอน Reconnaissance และ Action on Objectives (ในบล็อกของ Alienvault ใช้คำว่า Exfiltration)

ดังนั้นจึงมีงานวิจัยที่พัฒนา Cyber Kill Chain เพื่อให้เหมาะสมกับภัยคุกคามจากภายในและสามารถหยุดยั้งลำดับการกระทำอันตรายได้ก่อนเกิดเหตุจริงซึ่งมีขั้นตอนดังนี้

1.Reconniassance ตรงนี้ยังคงความหมายเดิมคือขั้นตอนการเก็บรวบรวมข้อมูลที่จำเป็นของคนคิดร้าย

2.Access หรือการเข้าถึงข้อมูลที่ต้องการ หากยังไม่มีสิทธิ์ก็พยายามหาว่าใครมีสิทธิ์หรือวิธีการอื่นๆ เพื่อให้ได้มาซึ่งข้อมูลนั้น

3.Aggregation คือหลังจากเข้าถึงได้แล้วคนร้ายจะทำการรวบรวมข้อมูลเพื่อใช้งานต่อไป

4.Assembly เป็นขั้นตอนการเตรียมการข้อมูล เช่น เตรียมการส่งข้อมูลผ่านทางการเชื่อมต่อเข้ารหัสหากต้องการนำออกไปภายนอก หรือเอาไดร์ฟมาเสียบเพื่อเตรียมส่งข้อมูลออก

5.Encryption การเข้ารหัสข้อมูลจะช่วยอำพรางการส่งข้อมูลของคนร้ายได้เพราะบริษัทส่วนใหญ่มักไม่ได้แกะข้อมูลที่เข้ารหัส

6.Obfuscation กลบเกลื่อนร่องรอยโดยอาจใช้ Credentials ที่ถูกแชร์หรือบุคคลอื่นเพื่อตามกลับได้ยาก หรือแม้กระทั่งเข้าไปแก้ไข Log เพื่อทำลายร่องรอย

7.Exfiltration เริ่มนำข้อมูลออกจากบริษัทได้จากหลายกรณี เช่น Flash Drive, External Hard Drive, เครื่องคอมส่วนตัวที่เข้าถึงเครือข่ายได้, Cloud Storage, อีเมลหรืออื่นๆ เป็นต้น

สำหรับแฮ็กเกอร์ที่ชาญชลาดมักจะไม่เร่งรีบในการนำข้อมูลออกเพราะอาจถูกพบได้ง่ายเนื่องจากมีพฤติกรรมการใช้งานที่ผิดปกติแต่จะเลือกจังหวะที่เหมาะสมหรือทยอยนำข้อมูลออกอย่างแนบเนียน อย่างไรก็ตามทั้งสองโมเดล Cyber Kill Chain มีจุดประสงค์เดียวกันนั่นคือหากหยุดยั้งแค่ขั้นตอนใดขั้นตอนหนึ่งได้ ก็สามารถหยุดการโจมตีได้

ที่มา : https://www.alienvault.com/blogs/security-essentials/the-internal-cyber-kill-chain-model



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco เพิ่มความสามารถให้ Network Insights ยกระดับการป้องกันปัญหาแบบ Proactive

Cisco ได้เเผยความสามารถใหม่ในฟังก์ชัน Network Insights ใน Data Center Network Assurance ให้สามารถรวบรวมข้อมูลในเครือข่าย แจ้งเตือน และระบุปัญหา ได้ก่อนเกิดเหตุ

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ