Breaking News

โมเดล Cyber Kill Chain สำหรับภัยคุกคามจากภายใน

เป็นที่ทราบกันดีว่านิยามของ Cyber Kill Chain นั้นถูกพัฒนาขึ้นโดย Lockheed Martin (สามารถกลับไปอ่านเนื้อหาเก่าจาก TechTalkThai ได้) อย่างไรก็ตามทางบล็อกของ Alienvault ได้ยกประเด็นมาจาก Dark Reading ว่าโมเดลที่สร้างขึ้นมานานแล้วอาจไม่เหมาะสมกับการโจมตีที่เกิดขึ้นจากภายใน เช่น ตัวพนักงานเองที่ต้องการขโมยข้อมูลของบริษัท ดังนั้นจึงแนะนำแนวคิดที่ชื่อ The ‘Internal’ Cyber Kill Chain Model

Credit: ShutterStock.com

Dark Reading ได้แบ่งภัยคุกคามจากภายในเป็น 2 ประเภทคือ

  • Flight Risks – พนักงานที่เตรียมลาออก เช่น ชอบเข้าเว็บหางาน โดยอาจเป็นเหตุให้บริษัทเกิดความเสียหายไม่ว่าจะตั้งใจหรือเริ่มละเลยต่อการรักษาความปลอดภัยนั่นเอง
  • Persistent Insider – เกิดจากคนที่ไม่ได้กะจะลาออกแต่ตั้งใจที่จะอยู่เพื่อทำความเสียหายซึ่งอาจจะมีพฤติกรรมใช้งานเว็บไซต์ผ่าน Proxy หรืออื่นๆ เพื่อำพรางการลักลอบย้ายข้อมูล เป็นต้น

เมื่อบริษัทรู้แล้วว่าพนักงานมีแนวโน้มความเสี่ยงก็ควรจะต้องจับตูอย่างใกล้ชิด ยกตัวอย่างเมื่อพนักงานคนที่เข้าเว็บสมัครงานพยายามเข้าถึงข้อมูลที่สำคัญ หรือทำการส่งข้อมูลไปยังที่แปลกๆ เป็นต้น โดยโมเดล Cyber Kill Chain แบบเดิมนั้นมีเพียง 2 ขั้นตอนเท่านั้นที่สามารถประยุกต์ได้กับภัยคุกคามจากภายในคือขั้นตอน Reconnaissance และ Action on Objectives (ในบล็อกของ Alienvault ใช้คำว่า Exfiltration)

ดังนั้นจึงมีงานวิจัยที่พัฒนา Cyber Kill Chain เพื่อให้เหมาะสมกับภัยคุกคามจากภายในและสามารถหยุดยั้งลำดับการกระทำอันตรายได้ก่อนเกิดเหตุจริงซึ่งมีขั้นตอนดังนี้

1.Reconniassance ตรงนี้ยังคงความหมายเดิมคือขั้นตอนการเก็บรวบรวมข้อมูลที่จำเป็นของคนคิดร้าย

2.Access หรือการเข้าถึงข้อมูลที่ต้องการ หากยังไม่มีสิทธิ์ก็พยายามหาว่าใครมีสิทธิ์หรือวิธีการอื่นๆ เพื่อให้ได้มาซึ่งข้อมูลนั้น

3.Aggregation คือหลังจากเข้าถึงได้แล้วคนร้ายจะทำการรวบรวมข้อมูลเพื่อใช้งานต่อไป

4.Assembly เป็นขั้นตอนการเตรียมการข้อมูล เช่น เตรียมการส่งข้อมูลผ่านทางการเชื่อมต่อเข้ารหัสหากต้องการนำออกไปภายนอก หรือเอาไดร์ฟมาเสียบเพื่อเตรียมส่งข้อมูลออก

5.Encryption การเข้ารหัสข้อมูลจะช่วยอำพรางการส่งข้อมูลของคนร้ายได้เพราะบริษัทส่วนใหญ่มักไม่ได้แกะข้อมูลที่เข้ารหัส

6.Obfuscation กลบเกลื่อนร่องรอยโดยอาจใช้ Credentials ที่ถูกแชร์หรือบุคคลอื่นเพื่อตามกลับได้ยาก หรือแม้กระทั่งเข้าไปแก้ไข Log เพื่อทำลายร่องรอย

7.Exfiltration เริ่มนำข้อมูลออกจากบริษัทได้จากหลายกรณี เช่น Flash Drive, External Hard Drive, เครื่องคอมส่วนตัวที่เข้าถึงเครือข่ายได้, Cloud Storage, อีเมลหรืออื่นๆ เป็นต้น

สำหรับแฮ็กเกอร์ที่ชาญชลาดมักจะไม่เร่งรีบในการนำข้อมูลออกเพราะอาจถูกพบได้ง่ายเนื่องจากมีพฤติกรรมการใช้งานที่ผิดปกติแต่จะเลือกจังหวะที่เหมาะสมหรือทยอยนำข้อมูลออกอย่างแนบเนียน อย่างไรก็ตามทั้งสองโมเดล Cyber Kill Chain มีจุดประสงค์เดียวกันนั่นคือหากหยุดยั้งแค่ขั้นตอนใดขั้นตอนหนึ่งได้ ก็สามารถหยุดการโจมตีได้

ที่มา : https://www.alienvault.com/blogs/security-essentials/the-internal-cyber-kill-chain-model


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Facebook เผยพบ Password ผู้ใช้งานถูกเก็บแบบ Plain Text หลายร้อยล้านราย ตอนนี้แก้ไขแล้ว

Facebook ได้ออกมาเผยว่าเมื่อเดือนมกราคม 2019 ที่ผ่านมา ทีมงานภายใน Facebook ได้มีการทำ Security Review และพบว่ามี Password ของผู้ใช้งานจำนวนหลายร้อยล้านรายการถูกเก็บเป็นแบบ Plain Text โดยมีพนักงานภายใน Facebook เท่านั้นที่สามารถเข้าถึงข้อมูลเหล่านี้ได้ ซึ่งปัจจุบันทาง Facebook ได้ดำเนินการแก้ไขปัญหาแล้วและมีแผนที่จะแจ้งเตือนลูกค้าผู้ใช้งาน ในขณะที่ KrebsOnSecurity ก็ได้ออกมาเปิดเผยข้อมูลเชิงลึกของเหตุครั้งนี้เพิ่มเติม

Alibaba Cloud อายุครบรอบ 10 ปี เผยแผนเตรียมย้ายระบบ IT ทั้งหมดของ Alibaba ขึ้น Cloud 100%

ในงาน 2019 Cloud Summit โดย Alibaba Cloud ได้ออกมากล่าวถึงการครบรอบ 10 ปี พร้อมเผยถึงแผนการย้ายระบบ IT ทั้งหมดในธุรกิจของเครือ Alibaba ขึ้นไปอยู่บน Public Cloud ให้ได้ 100% ทั้งหมดภายใน 1-2 ปีนับถัดจากนี้ พร้อมแผนขยายตลาดรุกฮ่องกงและเอเชียตะวันออกเฉียงใต้