Breaking News
AMR | Sophos Webinar

โมเดล Cyber Kill Chain สำหรับภัยคุกคามจากภายใน

เป็นที่ทราบกันดีว่านิยามของ Cyber Kill Chain นั้นถูกพัฒนาขึ้นโดย Lockheed Martin (สามารถกลับไปอ่านเนื้อหาเก่าจาก TechTalkThai ได้) อย่างไรก็ตามทางบล็อกของ Alienvault ได้ยกประเด็นมาจาก Dark Reading ว่าโมเดลที่สร้างขึ้นมานานแล้วอาจไม่เหมาะสมกับการโจมตีที่เกิดขึ้นจากภายใน เช่น ตัวพนักงานเองที่ต้องการขโมยข้อมูลของบริษัท ดังนั้นจึงแนะนำแนวคิดที่ชื่อ The ‘Internal’ Cyber Kill Chain Model

Credit: ShutterStock.com

Dark Reading ได้แบ่งภัยคุกคามจากภายในเป็น 2 ประเภทคือ

  • Flight Risks – พนักงานที่เตรียมลาออก เช่น ชอบเข้าเว็บหางาน โดยอาจเป็นเหตุให้บริษัทเกิดความเสียหายไม่ว่าจะตั้งใจหรือเริ่มละเลยต่อการรักษาความปลอดภัยนั่นเอง
  • Persistent Insider – เกิดจากคนที่ไม่ได้กะจะลาออกแต่ตั้งใจที่จะอยู่เพื่อทำความเสียหายซึ่งอาจจะมีพฤติกรรมใช้งานเว็บไซต์ผ่าน Proxy หรืออื่นๆ เพื่อำพรางการลักลอบย้ายข้อมูล เป็นต้น

เมื่อบริษัทรู้แล้วว่าพนักงานมีแนวโน้มความเสี่ยงก็ควรจะต้องจับตูอย่างใกล้ชิด ยกตัวอย่างเมื่อพนักงานคนที่เข้าเว็บสมัครงานพยายามเข้าถึงข้อมูลที่สำคัญ หรือทำการส่งข้อมูลไปยังที่แปลกๆ เป็นต้น โดยโมเดล Cyber Kill Chain แบบเดิมนั้นมีเพียง 2 ขั้นตอนเท่านั้นที่สามารถประยุกต์ได้กับภัยคุกคามจากภายในคือขั้นตอน Reconnaissance และ Action on Objectives (ในบล็อกของ Alienvault ใช้คำว่า Exfiltration)

ดังนั้นจึงมีงานวิจัยที่พัฒนา Cyber Kill Chain เพื่อให้เหมาะสมกับภัยคุกคามจากภายในและสามารถหยุดยั้งลำดับการกระทำอันตรายได้ก่อนเกิดเหตุจริงซึ่งมีขั้นตอนดังนี้

1.Reconniassance ตรงนี้ยังคงความหมายเดิมคือขั้นตอนการเก็บรวบรวมข้อมูลที่จำเป็นของคนคิดร้าย

2.Access หรือการเข้าถึงข้อมูลที่ต้องการ หากยังไม่มีสิทธิ์ก็พยายามหาว่าใครมีสิทธิ์หรือวิธีการอื่นๆ เพื่อให้ได้มาซึ่งข้อมูลนั้น

3.Aggregation คือหลังจากเข้าถึงได้แล้วคนร้ายจะทำการรวบรวมข้อมูลเพื่อใช้งานต่อไป

4.Assembly เป็นขั้นตอนการเตรียมการข้อมูล เช่น เตรียมการส่งข้อมูลผ่านทางการเชื่อมต่อเข้ารหัสหากต้องการนำออกไปภายนอก หรือเอาไดร์ฟมาเสียบเพื่อเตรียมส่งข้อมูลออก

5.Encryption การเข้ารหัสข้อมูลจะช่วยอำพรางการส่งข้อมูลของคนร้ายได้เพราะบริษัทส่วนใหญ่มักไม่ได้แกะข้อมูลที่เข้ารหัส

6.Obfuscation กลบเกลื่อนร่องรอยโดยอาจใช้ Credentials ที่ถูกแชร์หรือบุคคลอื่นเพื่อตามกลับได้ยาก หรือแม้กระทั่งเข้าไปแก้ไข Log เพื่อทำลายร่องรอย

7.Exfiltration เริ่มนำข้อมูลออกจากบริษัทได้จากหลายกรณี เช่น Flash Drive, External Hard Drive, เครื่องคอมส่วนตัวที่เข้าถึงเครือข่ายได้, Cloud Storage, อีเมลหรืออื่นๆ เป็นต้น

สำหรับแฮ็กเกอร์ที่ชาญชลาดมักจะไม่เร่งรีบในการนำข้อมูลออกเพราะอาจถูกพบได้ง่ายเนื่องจากมีพฤติกรรมการใช้งานที่ผิดปกติแต่จะเลือกจังหวะที่เหมาะสมหรือทยอยนำข้อมูลออกอย่างแนบเนียน อย่างไรก็ตามทั้งสองโมเดล Cyber Kill Chain มีจุดประสงค์เดียวกันนั่นคือหากหยุดยั้งแค่ขั้นตอนใดขั้นตอนหนึ่งได้ ก็สามารถหยุดการโจมตีได้

ที่มา : https://www.alienvault.com/blogs/security-essentials/the-internal-cyber-kill-chain-model



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] Workforce Transformation สู่ยุค New Normal ด้วย Dell Technologies

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Geton | Dell Webinar เรื่อง “Workforce Transformation สู่ยุค New Normal” พร้อมแชร์กรณีศึกษาจากความสำเร็จในการพลิกโฉมการทำงานสู่วิถีใหม่ (New Normal) ของ …

[Video Webinar] Data Security – Protect Data Where it Lives โดย McAfee

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Exclusive Networks | McAfee Webinar เรื่อง “Data Security – Protect Data Where it Lives” …