โมเดล Cyber Kill Chain สำหรับภัยคุกคามจากภายใน

เป็นที่ทราบกันดีว่านิยามของ Cyber Kill Chain นั้นถูกพัฒนาขึ้นโดย Lockheed Martin (สามารถกลับไปอ่านเนื้อหาเก่าจาก TechTalkThai ได้) อย่างไรก็ตามทางบล็อกของ Alienvault ได้ยกประเด็นมาจาก Dark Reading ว่าโมเดลที่สร้างขึ้นมานานแล้วอาจไม่เหมาะสมกับการโจมตีที่เกิดขึ้นจากภายใน เช่น ตัวพนักงานเองที่ต้องการขโมยข้อมูลของบริษัท ดังนั้นจึงแนะนำแนวคิดที่ชื่อ The ‘Internal’ Cyber Kill Chain Model

Credit: ShutterStock.com

Dark Reading ได้แบ่งภัยคุกคามจากภายในเป็น 2 ประเภทคือ

  • Flight Risks – พนักงานที่เตรียมลาออก เช่น ชอบเข้าเว็บหางาน โดยอาจเป็นเหตุให้บริษัทเกิดความเสียหายไม่ว่าจะตั้งใจหรือเริ่มละเลยต่อการรักษาความปลอดภัยนั่นเอง
  • Persistent Insider – เกิดจากคนที่ไม่ได้กะจะลาออกแต่ตั้งใจที่จะอยู่เพื่อทำความเสียหายซึ่งอาจจะมีพฤติกรรมใช้งานเว็บไซต์ผ่าน Proxy หรืออื่นๆ เพื่อำพรางการลักลอบย้ายข้อมูล เป็นต้น

เมื่อบริษัทรู้แล้วว่าพนักงานมีแนวโน้มความเสี่ยงก็ควรจะต้องจับตูอย่างใกล้ชิด ยกตัวอย่างเมื่อพนักงานคนที่เข้าเว็บสมัครงานพยายามเข้าถึงข้อมูลที่สำคัญ หรือทำการส่งข้อมูลไปยังที่แปลกๆ เป็นต้น โดยโมเดล Cyber Kill Chain แบบเดิมนั้นมีเพียง 2 ขั้นตอนเท่านั้นที่สามารถประยุกต์ได้กับภัยคุกคามจากภายในคือขั้นตอน Reconnaissance และ Action on Objectives (ในบล็อกของ Alienvault ใช้คำว่า Exfiltration)

ดังนั้นจึงมีงานวิจัยที่พัฒนา Cyber Kill Chain เพื่อให้เหมาะสมกับภัยคุกคามจากภายในและสามารถหยุดยั้งลำดับการกระทำอันตรายได้ก่อนเกิดเหตุจริงซึ่งมีขั้นตอนดังนี้

1.Reconniassance ตรงนี้ยังคงความหมายเดิมคือขั้นตอนการเก็บรวบรวมข้อมูลที่จำเป็นของคนคิดร้าย

2.Access หรือการเข้าถึงข้อมูลที่ต้องการ หากยังไม่มีสิทธิ์ก็พยายามหาว่าใครมีสิทธิ์หรือวิธีการอื่นๆ เพื่อให้ได้มาซึ่งข้อมูลนั้น

3.Aggregation คือหลังจากเข้าถึงได้แล้วคนร้ายจะทำการรวบรวมข้อมูลเพื่อใช้งานต่อไป

4.Assembly เป็นขั้นตอนการเตรียมการข้อมูล เช่น เตรียมการส่งข้อมูลผ่านทางการเชื่อมต่อเข้ารหัสหากต้องการนำออกไปภายนอก หรือเอาไดร์ฟมาเสียบเพื่อเตรียมส่งข้อมูลออก

5.Encryption การเข้ารหัสข้อมูลจะช่วยอำพรางการส่งข้อมูลของคนร้ายได้เพราะบริษัทส่วนใหญ่มักไม่ได้แกะข้อมูลที่เข้ารหัส

6.Obfuscation กลบเกลื่อนร่องรอยโดยอาจใช้ Credentials ที่ถูกแชร์หรือบุคคลอื่นเพื่อตามกลับได้ยาก หรือแม้กระทั่งเข้าไปแก้ไข Log เพื่อทำลายร่องรอย

7.Exfiltration เริ่มนำข้อมูลออกจากบริษัทได้จากหลายกรณี เช่น Flash Drive, External Hard Drive, เครื่องคอมส่วนตัวที่เข้าถึงเครือข่ายได้, Cloud Storage, อีเมลหรืออื่นๆ เป็นต้น

สำหรับแฮ็กเกอร์ที่ชาญชลาดมักจะไม่เร่งรีบในการนำข้อมูลออกเพราะอาจถูกพบได้ง่ายเนื่องจากมีพฤติกรรมการใช้งานที่ผิดปกติแต่จะเลือกจังหวะที่เหมาะสมหรือทยอยนำข้อมูลออกอย่างแนบเนียน อย่างไรก็ตามทั้งสองโมเดล Cyber Kill Chain มีจุดประสงค์เดียวกันนั่นคือหากหยุดยั้งแค่ขั้นตอนใดขั้นตอนหนึ่งได้ ก็สามารถหยุดการโจมตีได้

ที่มา : https://www.alienvault.com/blogs/security-essentials/the-internal-cyber-kill-chain-model


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนผู้ใช้ VLC เล่นไฟล์วิดีโอแปลกปลอมเสี่ยงถูกแฮ็กได้

Symeon Paraschoudis นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ออกมาแจ้งเตือนถึงช่องโหว่บน VLC แอปพลิเคชันสำหรับเล่นวิดีโอยอดนิยม ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมระบบคอมพิวเตอร์จากระยะไกล ถ้าผู้ใช้เผลอเล่นไฟล์วิดีโออะไรก็ไม่รู้ที่ดาวน์โหลดมาจากอินเทอร์เน็ต

UiPath ขอเชิญร่วม Meeting ในหัวข้อ Discovering the process for Automation 3 ก.ค. 2019

UiPath ขอเชิญผู้ที่สนใจเทคโนโลยี Robotic Process Automation (RPA) ทุกท่าน เข้าร่วมงาน Meeting ฟรี Discovering the process for Automation เพื่อเรียนรู้ว่าปัจจุบันนี้กระบวนการใดบ้างที่นิยมแปลงให้เป็นอัตโนมัติด้วย RPA ในวันที่ 3 ก.ค. 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้