Breaking News

ทำความรู้จัก Cyber Kill Chain ขั้นตอนการเจาะระบบเพื่อโจมตีเป้าหมาย

ttt_t_webinar_logo_small

สำหรับผู้ที่ไม่ได้เข้าฟัง TechTalk Webinar: รู้จักกับ Cyber Kill Chain การบุกรุกโจมตีไซเบอร์และวิธีรับมือโดยอาจารย์ปริญญา หอมเอนก ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา บทความนี้ทีมงานจึงสรุปเนื้อหาจากเว็บไซต์ Dark Reading ที่อาจารย์แนะนำมาให้อ่านกันครับ ซึ่งแนวคิดของ Cyber Kill Chain นั้นง่ายมาก คือ การเจาะระบบเพื่อโจมตีส่วนใหญ่จะปฏิบัติตามลำดับขั้นตอนเป็นลูกโซ่ นั่นหมายความว่า ถ้าเราสามารถหยุดยั้งแค่ขั้นตอนใดขั้นตอนหนึ่งได้ ก็สามารถหยุดการโจมตีได้

Credit: ShutterStock
Credit: ShutterStock

คิดค้นโดย Lockheed Martin เพื่อใช้อธิบายขั้นตอนการโจมตีไซเบอร์

นิยามของคำว่า “Cyber Kill Chain” ถูกคิดค้นโดย Lockheed Martin บริษัทด้านอากาศยาน การป้องกัน ความมั่นคงปลอดภัย และเทคโนโลยีระดับสูงชื่อดังของสหรัฐฯ ซึ่งศัพท์คำนี้ถูกใช้กันอย่างแพร่หลายในวงการ IT Security เพื่อบรรยายถึงขั้นตอนของการเจาะระบบเพื่อโจมตีไซเบอร์ นับได้ว่าเป็นโมเดลที่น่าสนใจและเข้าใจได้ง่าย เหมาะสำหรับใช้อธิบายผู้ที่สนใจทางด้าน IT ทุกสาขา

7 ขั้นตอนการเจาะระบบเพื่อโจมตีไซเบอร์

Cyber Kill Chain แบ่งขั้นตอนการโจมตีออกเป็น 3 เฟสใหญ่ 7 ขั้นตอนย่อย ดังนี้

เฟสที่ 1 – เตรียมการโจมตี

  1. Reconnaissance: การลาดตระเวน คือ แฮ็คเกอร์จะเริ่มต้นเก็บรวบรวมข้อมูลของเป้าหมายก่อนเริ่มการโจมตี โดยอาจค้นหาข้อมูลจากโลกอินเทอร์เน็ต โซเชียลเน็ตเวิร์ค เป็นต้น
  2. Weaponization: เตรียมอาวุธสำหรับโจมตี โดยแฮ็คเกอร์จะเตรียมหาวิธีเจาะระบบและเตรียม Malicious Payload เพื่อส่งไปยังเหยื่อที่เล็งไว้ ขั้นตอนนี้ยังคงกระทำที่ฝั่งแฮ็คเกอร์ เหยื่อยังไม่รู้ตัวว่าจะถูกโจมตี

เฟสที่ 2 – บุกรุกโจมตี

  1. Delivery: แฮ็คเกอร์ส่ง Malicious Payload ไปยังเหยื่อผ่านทางอีเมล เว็บไซต์ หรือ USB ซึ่งใน Payload นี้จะประกอบไปด้วยวิธีการบุกรุกโจมตีมากมายเพื่อใช้เจาะเข้าระบบของเหยื่อ
  2. Exploitation: แฮ็คเกอร์ทำการเจาะระบบของเหยื่อด้วยวิธีต่างๆ ตาม Payload ที่ส่งมา
  3. Installation: ติดตั้งมัลแวร์บนเครื่องของเหยื่อ (ในกรณีที่แฮ็คเกอร์ใช้มัลแวร์) หรืออะไรบางอย่างเพื่อให้คอยรับคำสั่งและทำการบางอย่างตามที่แฮ็คเกอร์ต้องการ

เฟสที่ 3 – เก็บเกี่ยวผลลัพธ์

  1. Command & Control: แฮ็คเกอร์สร้างช่องทางในการรับส่งคำสั่งกับมัลแวร์ที่ติดตั้งไว้ เพื่อให้สามารถจัดการและควบคุมมัลแวร์ให้ทำตามความต้องการ
  2. Action on Objectives: เก็บเกี่ยวผลประโยชน์ตามที่ตนเองต้องการจากระบบเครือข่ายของเหยื่อ เช่น ขโมยข้อมูล เปลี่ยนแปลงแก้ไขข้อมูล หรือทำลายระบบ เป็นต้น

โดยปกติแล้วเฟสที่ 1 จะใช้เวลาเตรียมการตั้งแต่หลักชั่วโมงถึงหลายเดือน เพื่อให้สามารถเจาะระบบได้เป็นผลสำเร็จ ส่วนในเฟสที่ 2 ที่เป็นการบุกรุกโจมตีเพื่อแฝงตัวเข้าไปนั้นใช้เวลาดำเนินการเพียงไม่กี่วินาที (หรือนาที) เท่านั้น ส่วนเฟสที่ 3 เป็นเฟสที่นานที่สุด เนื่องจากเป็นเฟสที่ค่อยๆ แทรกซึม ทำงานตามคำสั่งจนสามารถเก็บเกี่ยวผลลัพธ์ได้ตามที่ตนเองต้องการ

cyber_kill_chain_1

หยุดยั้งได้เพียง 1 ขั้นตอนก็สามารถหยุดการโจมตีได้

เนื่องจาก Cyber Kill Chain เป็นขั้นตอนที่ดำเนินการอย่างต่อเนื่องเป็นลูกโซ่ นั่นหมายความ ถ้าเราทำให้ลูกโซ่ขาดไปก็จะทำให้การโจมตีไม่เป็นผลสำเร็จทันที ซึ่งส่วนใหญ่แล้ว เราจะใช้หลากหลายวิธีเข้าช่วยเพื่อพยายามตัดห่วงโซ่ทิ้งให้ได้ทุกจุด (Defense in Depth) เช่น มีระบบ Email Security/Anti-phishing เพื่อตรวจจับ Malicious Payload ในขั้นตอนที่ 3, มีระบบ NGFW/IPS สำหรับป้องกัน Exploitation หรือมี Endpoint Protection/Antivirus สำหรับป้องกันการติดตั้งมัลแวร์ เป็นต้น

นอกจากการป้องกันแล้ว ควรมีกระบวนการ Detection และ Incident Response สำหรับตรวจจับและรับมือหลังถูกบุกรุกโจมตีเข้ามาในเฟสที่ 3 ด้วยเช่นกัน เพื่อให้สามารถกักกันระบบที่ถูกโจมตีเข้ามา และจัดการคลีนทุกอย่างให้กลับไปเป็นเหมือนเดิมได้อย่างรวดเร็ว ที่สำคัญคือ อย่าลืมอุดช่องโหว่ที่แฮ็คเกอร์ใช้เจาะเข้ามาโดยเด็ดขาด

วิดีโอแนะนำ Threat Intelligence อย่างละเอียด

สำหรับเนื้อหาในส่วน Threat Intelligence นั้น แนะนำให้ดูวิดีโอด้านล่าง ซึ่งเป็นวิดีโอที่ทาง FireEye ประเทศไทยได้อธิบายถึงแนวคิดของ Threat Intelligence และการนำไปใช้อย่างละเอียดเมื่อครั้งที่ทีมงานจัด TechTalk Webinar เรื่อง “รู้จักกับ Threat Intelligence แนวคิดสำคัญในการรับมือกับ Unknown Threats โดย FireEye ประเทศไทย”

ที่มา: http://www.darkreading.com/attacks-breaches/deconstructing-the-cyber-kill-chain/a/d-id/1317542


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] Priceza E-Commerce Summit 2020 สุดยอดงานอีคอมเมิร์ซ รวบรวมผู้บริหารและกูรูชั้นนำระดับประเทศ!

กลับมาอีกครั้ง Priceza E-Commerce Summit 2020 สุดยอดงานอัพเดทเทรนด์อีคอมเมิร์ซให้ทันโลกสำหรับผู้ประกอบการ อัดแน่นด้วยเนื้อหาสาระ พ่วงด้วยวิทยากรจากองค์กรชั้นนำพร้อมเสิร์ฟความรู้ให้คุณในวันที่ 27 พฤศจิกายน 2562 นี้

ฟรี eBook: “วัยใส วัยเก๋า ฉลาดรู้เน็ต 2” จาก ETDA

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ. หรือ ETDA) เปิดตัว eBook เรื่อง “วัยใส วัยเก๋า ฉลาดรู้เน็ต 2” เพื่อสร้างความตระหนักในการใช้อินเทอร์เน็ตเพื่อเสริมสร้างรายได้ ในขณะที่รู้เท่าทันภัยคุกคามไซเบอร์ พร้อมภาพประกอบสวยงาม เข้าใจง่าย …