โมเดล Cyber Kill Chain สำหรับภัยคุกคามจากภายใน

เป็นที่ทราบกันดีว่านิยามของ Cyber Kill Chain นั้นถูกพัฒนาขึ้นโดย Lockheed Martin (สามารถกลับไปอ่านเนื้อหาเก่าจาก TechTalkThai ได้) อย่างไรก็ตามทางบล็อกของ Alienvault ได้ยกประเด็นมาจาก Dark Reading ว่าโมเดลที่สร้างขึ้นมานานแล้วอาจไม่เหมาะสมกับการโจมตีที่เกิดขึ้นจากภายใน เช่น ตัวพนักงานเองที่ต้องการขโมยข้อมูลของบริษัท ดังนั้นจึงแนะนำแนวคิดที่ชื่อ The ‘Internal’ Cyber Kill Chain Model

Credit: ShutterStock.com

Dark Reading ได้แบ่งภัยคุกคามจากภายในเป็น 2 ประเภทคือ

  • Flight Risks – พนักงานที่เตรียมลาออก เช่น ชอบเข้าเว็บหางาน โดยอาจเป็นเหตุให้บริษัทเกิดความเสียหายไม่ว่าจะตั้งใจหรือเริ่มละเลยต่อการรักษาความปลอดภัยนั่นเอง
  • Persistent Insider – เกิดจากคนที่ไม่ได้กะจะลาออกแต่ตั้งใจที่จะอยู่เพื่อทำความเสียหายซึ่งอาจจะมีพฤติกรรมใช้งานเว็บไซต์ผ่าน Proxy หรืออื่นๆ เพื่อำพรางการลักลอบย้ายข้อมูล เป็นต้น

เมื่อบริษัทรู้แล้วว่าพนักงานมีแนวโน้มความเสี่ยงก็ควรจะต้องจับตูอย่างใกล้ชิด ยกตัวอย่างเมื่อพนักงานคนที่เข้าเว็บสมัครงานพยายามเข้าถึงข้อมูลที่สำคัญ หรือทำการส่งข้อมูลไปยังที่แปลกๆ เป็นต้น โดยโมเดล Cyber Kill Chain แบบเดิมนั้นมีเพียง 2 ขั้นตอนเท่านั้นที่สามารถประยุกต์ได้กับภัยคุกคามจากภายในคือขั้นตอน Reconnaissance และ Action on Objectives (ในบล็อกของ Alienvault ใช้คำว่า Exfiltration)

ดังนั้นจึงมีงานวิจัยที่พัฒนา Cyber Kill Chain เพื่อให้เหมาะสมกับภัยคุกคามจากภายในและสามารถหยุดยั้งลำดับการกระทำอันตรายได้ก่อนเกิดเหตุจริงซึ่งมีขั้นตอนดังนี้

1.Reconniassance ตรงนี้ยังคงความหมายเดิมคือขั้นตอนการเก็บรวบรวมข้อมูลที่จำเป็นของคนคิดร้าย

2.Access หรือการเข้าถึงข้อมูลที่ต้องการ หากยังไม่มีสิทธิ์ก็พยายามหาว่าใครมีสิทธิ์หรือวิธีการอื่นๆ เพื่อให้ได้มาซึ่งข้อมูลนั้น

3.Aggregation คือหลังจากเข้าถึงได้แล้วคนร้ายจะทำการรวบรวมข้อมูลเพื่อใช้งานต่อไป

4.Assembly เป็นขั้นตอนการเตรียมการข้อมูล เช่น เตรียมการส่งข้อมูลผ่านทางการเชื่อมต่อเข้ารหัสหากต้องการนำออกไปภายนอก หรือเอาไดร์ฟมาเสียบเพื่อเตรียมส่งข้อมูลออก

5.Encryption การเข้ารหัสข้อมูลจะช่วยอำพรางการส่งข้อมูลของคนร้ายได้เพราะบริษัทส่วนใหญ่มักไม่ได้แกะข้อมูลที่เข้ารหัส

6.Obfuscation กลบเกลื่อนร่องรอยโดยอาจใช้ Credentials ที่ถูกแชร์หรือบุคคลอื่นเพื่อตามกลับได้ยาก หรือแม้กระทั่งเข้าไปแก้ไข Log เพื่อทำลายร่องรอย

7.Exfiltration เริ่มนำข้อมูลออกจากบริษัทได้จากหลายกรณี เช่น Flash Drive, External Hard Drive, เครื่องคอมส่วนตัวที่เข้าถึงเครือข่ายได้, Cloud Storage, อีเมลหรืออื่นๆ เป็นต้น

สำหรับแฮ็กเกอร์ที่ชาญชลาดมักจะไม่เร่งรีบในการนำข้อมูลออกเพราะอาจถูกพบได้ง่ายเนื่องจากมีพฤติกรรมการใช้งานที่ผิดปกติแต่จะเลือกจังหวะที่เหมาะสมหรือทยอยนำข้อมูลออกอย่างแนบเนียน อย่างไรก็ตามทั้งสองโมเดล Cyber Kill Chain มีจุดประสงค์เดียวกันนั่นคือหากหยุดยั้งแค่ขั้นตอนใดขั้นตอนหนึ่งได้ ก็สามารถหยุดการโจมตีได้

ที่มา : https://www.alienvault.com/blogs/security-essentials/the-internal-cyber-kill-chain-model


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบช่องโหว่บนแอปพลิเคชัน ES File Explorer ผู้ใช้กว่าร้อยล้านตกอยู่ในความเสี่ยง

Robert Baptiste นักวิจัยด้านความมั่นคงปลอดภัยได้พบช่องโหว่บนแอปพลิเคชัน ES File Explorer หรือโปรแกรมจัดการไฟล์ในฝั่งแอนดรอยด์ที่มียอดดาวน์โหลดกว่า 100 ล้านครั้ง โดยช่องโหว่ทำให้แฮ็กเกอร์สามารถโหลดข้อมูลจากอุปกรณ์และ SD Card ของเหยื่อออกมาได้ นอกจากนี้นักวิจัยได้จัดทำวีดีโอสาธิตไว้ด้วย

Cisco Webinar: Cloud-managed Network Meraki Security Camera and MDM

Cisco ขอเรียนเชิญเหล่า IT Manager, Network Engineer, IT Admin, Security Engineer และผู้ที่เกี่ยวข้องกับการดูแลระบบ IT ภายในองค์กรทุกท่าน เข้าร่วมฟัง Cisco Webinar ในหัวข้อเรื่อง "Cisco Meraki Webinar Series 3: Cloud-managed Network Meraki Security Camera and MDM" โดย Cisco Systems ประเทศไทย ในวันอังคารที่ 22 มกราคม 2019 เวลา 14.00 – 15.30 น. พร้อมลุ้นรับ Meraki MX Series มูลค่า 20,000 บาทไปใช้ฟรีๆ