ทำความรู้จัก Cyber Kill Chain ขั้นตอนการเจาะระบบเพื่อโจมตีเป้าหมาย

ttt_t_webinar_logo_small

สำหรับผู้ที่ไม่ได้เข้าฟัง TechTalk Webinar: รู้จักกับ Cyber Kill Chain การบุกรุกโจมตีไซเบอร์และวิธีรับมือโดยอาจารย์ปริญญา หอมเอนก ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา บทความนี้ทีมงานจึงสรุปเนื้อหาจากเว็บไซต์ Dark Reading ที่อาจารย์แนะนำมาให้อ่านกันครับ ซึ่งแนวคิดของ Cyber Kill Chain นั้นง่ายมาก คือ การเจาะระบบเพื่อโจมตีส่วนใหญ่จะปฏิบัติตามลำดับขั้นตอนเป็นลูกโซ่ นั่นหมายความว่า ถ้าเราสามารถหยุดยั้งแค่ขั้นตอนใดขั้นตอนหนึ่งได้ ก็สามารถหยุดการโจมตีได้

Credit: ShutterStock
Credit: ShutterStock

คิดค้นโดย Lockheed Martin เพื่อใช้อธิบายขั้นตอนการโจมตีไซเบอร์

นิยามของคำว่า “Cyber Kill Chain” ถูกคิดค้นโดย Lockheed Martin บริษัทด้านอากาศยาน การป้องกัน ความมั่นคงปลอดภัย และเทคโนโลยีระดับสูงชื่อดังของสหรัฐฯ ซึ่งศัพท์คำนี้ถูกใช้กันอย่างแพร่หลายในวงการ IT Security เพื่อบรรยายถึงขั้นตอนของการเจาะระบบเพื่อโจมตีไซเบอร์ นับได้ว่าเป็นโมเดลที่น่าสนใจและเข้าใจได้ง่าย เหมาะสำหรับใช้อธิบายผู้ที่สนใจทางด้าน IT ทุกสาขา

7 ขั้นตอนการเจาะระบบเพื่อโจมตีไซเบอร์

Cyber Kill Chain แบ่งขั้นตอนการโจมตีออกเป็น 3 เฟสใหญ่ 7 ขั้นตอนย่อย ดังนี้

เฟสที่ 1 – เตรียมการโจมตี

  1. Reconnaissance: การลาดตระเวน คือ แฮ็คเกอร์จะเริ่มต้นเก็บรวบรวมข้อมูลของเป้าหมายก่อนเริ่มการโจมตี โดยอาจค้นหาข้อมูลจากโลกอินเทอร์เน็ต โซเชียลเน็ตเวิร์ค เป็นต้น
  2. Weaponization: เตรียมอาวุธสำหรับโจมตี โดยแฮ็คเกอร์จะเตรียมหาวิธีเจาะระบบและเตรียม Malicious Payload เพื่อส่งไปยังเหยื่อที่เล็งไว้ ขั้นตอนนี้ยังคงกระทำที่ฝั่งแฮ็คเกอร์ เหยื่อยังไม่รู้ตัวว่าจะถูกโจมตี

เฟสที่ 2 – บุกรุกโจมตี

  1. Delivery: แฮ็คเกอร์ส่ง Malicious Payload ไปยังเหยื่อผ่านทางอีเมล เว็บไซต์ หรือ USB ซึ่งใน Payload นี้จะประกอบไปด้วยวิธีการบุกรุกโจมตีมากมายเพื่อใช้เจาะเข้าระบบของเหยื่อ
  2. Exploitation: แฮ็คเกอร์ทำการเจาะระบบของเหยื่อด้วยวิธีต่างๆ ตาม Payload ที่ส่งมา
  3. Installation: ติดตั้งมัลแวร์บนเครื่องของเหยื่อ (ในกรณีที่แฮ็คเกอร์ใช้มัลแวร์) หรืออะไรบางอย่างเพื่อให้คอยรับคำสั่งและทำการบางอย่างตามที่แฮ็คเกอร์ต้องการ

เฟสที่ 3 – เก็บเกี่ยวผลลัพธ์

  1. Command & Control: แฮ็คเกอร์สร้างช่องทางในการรับส่งคำสั่งกับมัลแวร์ที่ติดตั้งไว้ เพื่อให้สามารถจัดการและควบคุมมัลแวร์ให้ทำตามความต้องการ
  2. Action on Objectives: เก็บเกี่ยวผลประโยชน์ตามที่ตนเองต้องการจากระบบเครือข่ายของเหยื่อ เช่น ขโมยข้อมูล เปลี่ยนแปลงแก้ไขข้อมูล หรือทำลายระบบ เป็นต้น

โดยปกติแล้วเฟสที่ 1 จะใช้เวลาเตรียมการตั้งแต่หลักชั่วโมงถึงหลายเดือน เพื่อให้สามารถเจาะระบบได้เป็นผลสำเร็จ ส่วนในเฟสที่ 2 ที่เป็นการบุกรุกโจมตีเพื่อแฝงตัวเข้าไปนั้นใช้เวลาดำเนินการเพียงไม่กี่วินาที (หรือนาที) เท่านั้น ส่วนเฟสที่ 3 เป็นเฟสที่นานที่สุด เนื่องจากเป็นเฟสที่ค่อยๆ แทรกซึม ทำงานตามคำสั่งจนสามารถเก็บเกี่ยวผลลัพธ์ได้ตามที่ตนเองต้องการ

cyber_kill_chain_1

หยุดยั้งได้เพียง 1 ขั้นตอนก็สามารถหยุดการโจมตีได้

เนื่องจาก Cyber Kill Chain เป็นขั้นตอนที่ดำเนินการอย่างต่อเนื่องเป็นลูกโซ่ นั่นหมายความ ถ้าเราทำให้ลูกโซ่ขาดไปก็จะทำให้การโจมตีไม่เป็นผลสำเร็จทันที ซึ่งส่วนใหญ่แล้ว เราจะใช้หลากหลายวิธีเข้าช่วยเพื่อพยายามตัดห่วงโซ่ทิ้งให้ได้ทุกจุด (Defense in Depth) เช่น มีระบบ Email Security/Anti-phishing เพื่อตรวจจับ Malicious Payload ในขั้นตอนที่ 3, มีระบบ NGFW/IPS สำหรับป้องกัน Exploitation หรือมี Endpoint Protection/Antivirus สำหรับป้องกันการติดตั้งมัลแวร์ เป็นต้น

นอกจากการป้องกันแล้ว ควรมีกระบวนการ Detection และ Incident Response สำหรับตรวจจับและรับมือหลังถูกบุกรุกโจมตีเข้ามาในเฟสที่ 3 ด้วยเช่นกัน เพื่อให้สามารถกักกันระบบที่ถูกโจมตีเข้ามา และจัดการคลีนทุกอย่างให้กลับไปเป็นเหมือนเดิมได้อย่างรวดเร็ว ที่สำคัญคือ อย่าลืมอุดช่องโหว่ที่แฮ็คเกอร์ใช้เจาะเข้ามาโดยเด็ดขาด

วิดีโอแนะนำ Threat Intelligence อย่างละเอียด

สำหรับเนื้อหาในส่วน Threat Intelligence นั้น แนะนำให้ดูวิดีโอด้านล่าง ซึ่งเป็นวิดีโอที่ทาง FireEye ประเทศไทยได้อธิบายถึงแนวคิดของ Threat Intelligence และการนำไปใช้อย่างละเอียดเมื่อครั้งที่ทีมงานจัด TechTalk Webinar เรื่อง “รู้จักกับ Threat Intelligence แนวคิดสำคัญในการรับมือกับ Unknown Threats โดย FireEye ประเทศไทย”

ที่มา: http://www.darkreading.com/attacks-breaches/deconstructing-the-cyber-kill-chain/a/d-id/1317542


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เปลี่ยนประสบการณ์การทำงานและการให้บริการ ผสานข้อมูล Location ภายในอาคารเข้ากับ Application ของธุรกิจและองค์กร

"ประสบการณ์" ได้กลายเป็นประเด็นสำคัญที่หลายๆ ธุรกิจเริ่มหยิบยกมาเป็นประเด็นแข่งขันเพื่อเอาชนะใจลูกค้าด้วย Customer Experience ไปจนถึงการเพิ่มประสิทธิภาพการทำงานของพนักงานในองค์กรเองก็ตามที ซึ่ง Aruba ผู้นำทางด้านระบบเครือข่ายสำหรับธุรกิจองค์กรเองนั้น ก็ได้มีลูกค้าทั่วโลกมากมายที่ทำการเปลี่ยนประสบการณ์ทั้งสำหรับลูกค้าและพนักงานภายในองค์กร ด้วยการนำข้อมูล Location หรือตำแหน่งภายในอาคารมาประยุกต์ใช้ เพื่อสร้างประสบการณ์รูปแบบใหม่ให้กับสินค้า, บริการ และกระบวนการในการทำงานต่างๆ ให้ดียิ่งขึ้นในมุมที่หลายคนอาจคิดไม่ถึงกันมาก่อน

Tenable Webinar: ลด Cyber Exposure ในองค์กร ด้วยพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย Tenable

Tenable ขอเรียนเชิญผู้บริหารฝ่าย IT, ผู้จัดการ IT Security, ผู้จัดการ IT, ทีมงาน Security Engineer และผู้ดูแลระบบ IT เข้าร่วมฟัง Webinar ในหัวข้อเรื่อง "ลด Cyber Exposure ในองค์กร ด้วยพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย Tenable" เพื่อทำความรู้จักกับ Cyber Exposure, บทเรียนด้าน Cybersecurity จากเหตุการณ์ต่างๆ และการประยุกต์นำพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์มาใช้เสริมความมั่นคงปลอดภัยให้กับธุรกิจองค์กร ในวันพุธที่ 7 สิงหาคม 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้