ทุกวันนี้มีคำศัพท์ที่ถูกนิยามขึ้นในฝั่งความมั่นคงปลอดภัยมากมาย หลายครั้งก็ชวนให้สับสนด้วยความใกล้เคียงกัน ซึ่ง ATP และ APT อาจเข้าข่ายนั้น ในบทความนี้จะขอแนะนำถึงความหมายของ Advanced Threat Protection(ATP) มาให้ได้รู้จักกัน
Advanced Threat Protection หรือ ATP คืออะไร
ATP คือโซลูชันที่ถูกออกแบบมาเพื่อต่อกรกับภัยคุกคามขั้นสูง ซึ่งคำว่าขั้นสูงนี้หมายถึงภัยคุกคามที่มีความซับซ้อน ตรวจพบได้ยาก เน้นการหลบหลีกซ่อนตัวยาวนาน โดยอาจจะเป็นการโจมตี หรือมัลแวร์ที่ไม่ค่อยเผยพฤติกรรม ดังนั้นในทางป้องกันจึงอาจต้องมีการดำเนินการหลายกลยุทธ์พร้อมกัน แต่ที่แน่ๆคือเครื่องมือต้องถูกออกแบบมาเพื่อการนั้น
อะไรคือภัยคุกคามขั้นสูง
ความซับซ้อนของการโจมตีมีผลเกี่ยวข้องกับระดับของผู้โจมตีด้วย ซึ่งคำว่าขั้นสูงนั้นย่อมเป็นผลมาจากการโจมตีอย่างมีจุดประสงค์ ดำเนินการโดยอาชญากรไซเบอร์ระดับพระกาฬมากฝีมือหรือที่เรียกว่าได้รับการสนับสนุนจากรัฐ โดยอาจมีการซ่อนตัวอย่างเงียบเชียบได้ยาวนาน ดังนั้นเป้าหมายอาจเป็นธุรกิจองค์กรใดก็ตามที่มีคุณค่าหรือมูลค่าคุ้มค่าพอกับการลงมือ
โดยทั่วไปแล้วภัยลักษณะนี้มักหวังผลเรื่องการขโมยข้อมูล ซึ่งการโจมตีมักมีเทคนิคการโจมตี เช่น ล่อลวงผ่านอีเมล ติดตั้งมัลแวร์ แคร็กรหัสผ่าน สร้าง backdoor
ATP มีกระบวนการอย่างไร
ATP ถูกตีความออกไปในหลายลักษณะตามผู้นำเสนอโซลูชัน ยกตัวอย่างเช่น VMware ก็กล่าวถึงการตรวจสอบที่ลึกซึ้งซบซ้อน วิเคราะห์ทราฟฟิคที่น่าส่งสัย ในขณะที่ Fortinet เผยว่าต้องมีการตระหนักรู้และลงมือหลายช่องทางเช่น Next-gen Firewall, Antivirus, Static Code Analysis, จัดตั้ง Password Policy ที่เข้มแข็ง และที่สำคัญคือการสอนให้พนักงานตระหนักรู้
แม้มุมของแต่ละ Vendor จะแตกแขนงออกไปตามความถนัด แต่สิ่งที่ทั้ง Fortinet และ VMware กล่าวถึงคือการวิเคราะห์ภัยคุกคามผ่านสภาพแวดล้อมจำล้อมที่กำหนดไว้ โดยอาจมี Machine Learning ทั้ง Supervised และ Unsupervised ช่วยเหลือ ประกอบกับผู้เชี่ยวชาญที่คอยศึกษาพฤติกรรมเหล่านี้
ที่มา : https://www.fortinet.com/resources/cyberglossary/advanced-threat-protection-atp และ https://www.vmware.com/topics/glossary/content/advanced-threat-prevention.html