สำหรับผู้ที่ไม่ได้เข้าฟัง TechTalk Webinar: รู้จักกับ Cyber Kill Chain การบุกรุกโจมตีไซเบอร์และวิธีรับมือโดยอาจารย์ปริญญา หอมเอนก ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา บทความนี้ทีมงานจึงสรุปเนื้อหาจากเว็บไซต์ Dark Reading ที่อาจารย์แนะนำมาให้อ่านกันครับ ซึ่งแนวคิดของ Cyber Kill Chain นั้นง่ายมาก คือ การเจาะระบบเพื่อโจมตีส่วนใหญ่จะปฏิบัติตามลำดับขั้นตอนเป็นลูกโซ่ นั่นหมายความว่า ถ้าเราสามารถหยุดยั้งแค่ขั้นตอนใดขั้นตอนหนึ่งได้ ก็สามารถหยุดการโจมตีได้
คิดค้นโดย Lockheed Martin เพื่อใช้อธิบายขั้นตอนการโจมตีไซเบอร์
นิยามของคำว่า “Cyber Kill Chain” ถูกคิดค้นโดย Lockheed Martin บริษัทด้านอากาศยาน การป้องกัน ความมั่นคงปลอดภัย และเทคโนโลยีระดับสูงชื่อดังของสหรัฐฯ ซึ่งศัพท์คำนี้ถูกใช้กันอย่างแพร่หลายในวงการ IT Security เพื่อบรรยายถึงขั้นตอนของการเจาะระบบเพื่อโจมตีไซเบอร์ นับได้ว่าเป็นโมเดลที่น่าสนใจและเข้าใจได้ง่าย เหมาะสำหรับใช้อธิบายผู้ที่สนใจทางด้าน IT ทุกสาขา
7 ขั้นตอนการเจาะระบบเพื่อโจมตีไซเบอร์
Cyber Kill Chain แบ่งขั้นตอนการโจมตีออกเป็น 3 เฟสใหญ่ 7 ขั้นตอนย่อย ดังนี้
เฟสที่ 1 – เตรียมการโจมตี
- Reconnaissance: การลาดตระเวน คือ แฮ็คเกอร์จะเริ่มต้นเก็บรวบรวมข้อมูลของเป้าหมายก่อนเริ่มการโจมตี โดยอาจค้นหาข้อมูลจากโลกอินเทอร์เน็ต โซเชียลเน็ตเวิร์ค เป็นต้น
- Weaponization: เตรียมอาวุธสำหรับโจมตี โดยแฮ็คเกอร์จะเตรียมหาวิธีเจาะระบบและเตรียม Malicious Payload เพื่อส่งไปยังเหยื่อที่เล็งไว้ ขั้นตอนนี้ยังคงกระทำที่ฝั่งแฮ็คเกอร์ เหยื่อยังไม่รู้ตัวว่าจะถูกโจมตี
เฟสที่ 2 – บุกรุกโจมตี
- Delivery: แฮ็คเกอร์ส่ง Malicious Payload ไปยังเหยื่อผ่านทางอีเมล เว็บไซต์ หรือ USB ซึ่งใน Payload นี้จะประกอบไปด้วยวิธีการบุกรุกโจมตีมากมายเพื่อใช้เจาะเข้าระบบของเหยื่อ
- Exploitation: แฮ็คเกอร์ทำการเจาะระบบของเหยื่อด้วยวิธีต่างๆ ตาม Payload ที่ส่งมา
- Installation: ติดตั้งมัลแวร์บนเครื่องของเหยื่อ (ในกรณีที่แฮ็คเกอร์ใช้มัลแวร์) หรืออะไรบางอย่างเพื่อให้คอยรับคำสั่งและทำการบางอย่างตามที่แฮ็คเกอร์ต้องการ
เฟสที่ 3 – เก็บเกี่ยวผลลัพธ์
- Command & Control: แฮ็คเกอร์สร้างช่องทางในการรับส่งคำสั่งกับมัลแวร์ที่ติดตั้งไว้ เพื่อให้สามารถจัดการและควบคุมมัลแวร์ให้ทำตามความต้องการ
- Action on Objectives: เก็บเกี่ยวผลประโยชน์ตามที่ตนเองต้องการจากระบบเครือข่ายของเหยื่อ เช่น ขโมยข้อมูล เปลี่ยนแปลงแก้ไขข้อมูล หรือทำลายระบบ เป็นต้น
โดยปกติแล้วเฟสที่ 1 จะใช้เวลาเตรียมการตั้งแต่หลักชั่วโมงถึงหลายเดือน เพื่อให้สามารถเจาะระบบได้เป็นผลสำเร็จ ส่วนในเฟสที่ 2 ที่เป็นการบุกรุกโจมตีเพื่อแฝงตัวเข้าไปนั้นใช้เวลาดำเนินการเพียงไม่กี่วินาที (หรือนาที) เท่านั้น ส่วนเฟสที่ 3 เป็นเฟสที่นานที่สุด เนื่องจากเป็นเฟสที่ค่อยๆ แทรกซึม ทำงานตามคำสั่งจนสามารถเก็บเกี่ยวผลลัพธ์ได้ตามที่ตนเองต้องการ
หยุดยั้งได้เพียง 1 ขั้นตอนก็สามารถหยุดการโจมตีได้
เนื่องจาก Cyber Kill Chain เป็นขั้นตอนที่ดำเนินการอย่างต่อเนื่องเป็นลูกโซ่ นั่นหมายความ ถ้าเราทำให้ลูกโซ่ขาดไปก็จะทำให้การโจมตีไม่เป็นผลสำเร็จทันที ซึ่งส่วนใหญ่แล้ว เราจะใช้หลากหลายวิธีเข้าช่วยเพื่อพยายามตัดห่วงโซ่ทิ้งให้ได้ทุกจุด (Defense in Depth) เช่น มีระบบ Email Security/Anti-phishing เพื่อตรวจจับ Malicious Payload ในขั้นตอนที่ 3, มีระบบ NGFW/IPS สำหรับป้องกัน Exploitation หรือมี Endpoint Protection/Antivirus สำหรับป้องกันการติดตั้งมัลแวร์ เป็นต้น
นอกจากการป้องกันแล้ว ควรมีกระบวนการ Detection และ Incident Response สำหรับตรวจจับและรับมือหลังถูกบุกรุกโจมตีเข้ามาในเฟสที่ 3 ด้วยเช่นกัน เพื่อให้สามารถกักกันระบบที่ถูกโจมตีเข้ามา และจัดการคลีนทุกอย่างให้กลับไปเป็นเหมือนเดิมได้อย่างรวดเร็ว ที่สำคัญคือ อย่าลืมอุดช่องโหว่ที่แฮ็คเกอร์ใช้เจาะเข้ามาโดยเด็ดขาด
วิดีโอแนะนำ Threat Intelligence อย่างละเอียด
สำหรับเนื้อหาในส่วน Threat Intelligence นั้น แนะนำให้ดูวิดีโอด้านล่าง ซึ่งเป็นวิดีโอที่ทาง FireEye ประเทศไทยได้อธิบายถึงแนวคิดของ Threat Intelligence และการนำไปใช้อย่างละเอียดเมื่อครั้งที่ทีมงานจัด TechTalk Webinar เรื่อง “รู้จักกับ Threat Intelligence แนวคิดสำคัญในการรับมือกับ Unknown Threats โดย FireEye ประเทศไทย”
ที่มา: http://www.darkreading.com/attacks-breaches/deconstructing-the-cyber-kill-chain/a/d-id/1317542