Cyber Attribution คืออะไร

เหตุการณ์โจมตีทางไซเบอร์ย่อมเกิดขึ้นได้เสมอและไม่สามารถป้องกันได้ 100% เพียงแต่อาจยังไม่ถึงเวลาเท่านั้น อย่างไรก็ดีเมื่อเกิดเหตุขึ้นแล้วการเรียนรู้เพื่อปรับปรุงตัวถือเป็นเรื่องสำคัญ อย่างน้อยที่สุดก็เข้าใจได้ว่ารอยแผลอยู่ตรงไหนและใครคือผู้โจมตี ซึ่งในบทความนี้เราจะพาไปรู้จักกับคำว่า Cyber Attribution

Cyber Attribution คืออะไร

Cyber Attribution คือกระบวนการในการติดตามและระบุต้นตอหรือลักษณะของการโจมตีทางไซเบอร์เพื่อเปิดเผยไปถึงตัวตนหรือพิกัดของผู้โจมตีว่าใครคือผู้ที่อยู่เบื้องหลัง มีแรงจูงใจอย่างไร ซึ่งกระบวนการสืบสวนนี้มักเกิดขึ้นหลังจากเหตุการณ์โจมตีเพื่อเข้าใจเกี่ยวกับภาพของเหตุการณ์และตัวการ

โดย Cyber Attribution ต้องอาศัยการวิเคราะห์ในหลากหลายแง่มุม เพื่อเข้าใจถึงรายละเอียดที่ซ่อนอยู่ภายใน ทั้งวิธีการที่ถูกใช้ มัลแวร์ ลักษณะการล่อลวง ไปจนถึงระยะเวลาที่เข้ามาฝังตัวและกิจกรรมที่เกิดขึ้นจากนั้น (Tactics, Techniques and Procedures : TTPs ) ซึ่งทั้งหมดนี้มีทั้งหลักการปฏิบัติและความท้าทายที่ต้องเข้าใจ

ในบางครั้ง Cyber Attribution อาจเป็นส่วนหนึ่งในแผน Incident Response (IR) ซึ่งข้อดีคือช่วยยกระดับประสิทธิภาพของแผนและยังง่ายต่อการรวบรวมหลักฐาน โดยอาจร่วมกับหน่วยงานหรือบริษัทผู้เชี่ยวชาญด้าน Cybersecurity และหน่วยงานทางกฏหมาย

กระบวนการของ Cyber Attribution

1. การระบุและวิเคราะห์ – ก่อนที่จะทำอะไรได้การโจมตีนั้นต้องถูกค้นพบหรือตรวจจับได้เสียก่อนเพื่อจะได้ไปวิเคราะห์ต่อไป โดยอาจจะต้องพึ่งพาเครื่องมือและเทคนิคประกอบอื่นๆ เพื่อเข้าใจต่อลักษณะการโจมตีและข้อมูลเริ่มต้น เช่น มัลแวร์ที่ถูกใช้, IP, ช่องโหว่ที่ถูกใช้
2. สืบสวนเบื้องลึก – เมื่อได้ข้อมูลตั้งต้นแล้วผู้เชี่ยวชาญก็จะเจาะลึกลงไป เกี่ยวกับโค้ดมัลแวร์ เซิร์ฟเวอร์ที่ใช้ควบคุม โปรแกรมที่ใช้ ชื่อโดเมนที่ลงทะเบียน และวิธีการทำ Social Engineering ตลอดจนลำดับของเหตุการณ์ ซึ่งข้อมูลเพียงเล็กน้อยก็สำคัญทั้งนั้น
3. เชื่อมโยงหลักฐาน – หลังจากข้อมูลเชิงลึกถูกพบผู้เชี่ยวชาญก็ต้องเชื่อมโยงสิ่งที่ค้นพบเข้ากับสิ่งต่างๆ เช่น การโจมตีที่รู้จักหรือพฤติกรรมของกลุ่มผู้โจมตีต่างๆ ที่มักมีเอกลักษณ์ที่บ่งชี้ถึงตัวตน โดยมีองค์กรที่รวบรวมฐานข้อมูลการโจมตีเหล่านี้ไว้อยู่แล้ว สามารถนำไปเทียบกันได้
4. ตรวจสอบความถูกต้อง – ก่อนจะเข้าสู่ช่วงสรุปผู้เชี่ยวชาญต้องตรวจย้ำถึงหลักฐานให้ดี เทียบเคียงตรวจสอบข้อมูลข้ามระหว่างแหล่งที่มา วิเคราะห์ใหม่อีกครั้ง หรือขอความเห็นจากผู้ให้คำปรึกษาอื่นๆ

ความท้าทายของ Cyber Attribution

Cyber Attribution เป็นเรื่องที่ต้องลงทุนสูงและไม่ได้การันตีว่าจะสามารถระบุตัวคนร้ายได้อย่างสมเหตุสมผลหรือไม่ และหากสำเร็จผู้เป็นเจ้าของเรื่องก็สามารถเลือกได้ว่าจะเปิดเผยเรื่องต่อสาธารณะ ดำเนินคดี แล้วแต่ความสำคัญ แต่แน่นอนว่าทุกการโจมตีทางไซเบอร์อาจนำไปสู่ความเสียหายได้หลายทาง เช่น ชื่อเสียง ถูกปรับตามกฏหมาย เรียกร้องให้จ่ายเงิน หรืออื่นๆ

Cyber Attribution ยังต้องอาศัยผู้เชี่ยวชาญที่มีทักษะนี้โดยเฉพาะ ซึ่งองค์กรจำนวนมากไม่มี ดังนั้นอาจจะต้องใช้วิธีการจ้างบริษัทที่ให้บริการด้านนี้โดยเฉพาะเข้ามา แต่ก็ไม่ได้หมายความว่า Cyber Attribution จะง่ายขึ้นสำหรับพวกเขาเอง

นอกจากเรื่องบุคคลากรแล้ว ยังมีความท้าทายในเนื้องาน เช่น

• หลักฐานที่ได้มาอาจถูกปลอมแปลงทำให้ชี้ไปผิดทาง : ต้องยอมรับว่าในโครงข่ายอินเทอร์เน็ตมีกลวิธีมากมายในการช่วยกำบังหรืออำพรางร่องรอยได้มากมาย เช่น ปลอมแปลง IP, VPN, Proxy Server หรือการใช้เครื่องที่แฮ็กได้มาอีกที หรือแม้กระทั่งใช้มัลแวร์ที่ไปเชื่อมโยงกับแก๊งอื่น ดังนั้นข้อมูลเหล่านี้อาจไม่สามารถใช้เป็นข้อสรุปได้ทั้งหมด
• ขาดหลักฐานเชิงกายภาพ – การตามรอยการโจมตีทางไซเบอร์ไม่ได้มีร่องรอยเหมือนคดีในหน้าข่าวปกติ แต่เราต้องเล่นกับหลักฐานทางดิจิทัลซึ่งมีโอกาสถูกแก้ไข เปลี่ยนแปลง หรือลบทิ้งได้
• ใช้เวลานานเกินไป – กิจกรรม Cyber Attribution ย่อมใช้เวลาไม่น้อยอยู่แล้ว ซึ่งเมื่อทำได้ช้ากว่าคนร้าย ก็เป็นไปได้ว่าคนร้ายอาจจะดำเนินกิจกรรมของตนอยู่หรือกลับมาโจมตีเป้าหมายเดิมอีกครั้ง
• ขาดความร่วมมือระดับสากล – ขอบเขตทางกฏหมายหรือความร่วมมือระดับสากล เป็นอีกหนึ่งปัญหาที่ทำให้การสืบสวนเป็นไปได้ยาก ยิ่งหากเป็นการโจมตีระดับรัฐสนับสนุนแน่นอนว่าฝ่ายตรงข้ามย่อมไม่ให้ความร่วมมือ และอะไรที่เกิดข้ามชาติการบังคับใช้กฏหมายมักทำได้ยาก และในความเป็นจริงคือเรายังขาดความร่วมมือและข้อตกลงที่จริงที่สนับสนุนการทำ Cyber Attribution อยู๋
• มองเหตุผิดพลาด – เครื่องมือที่ถูกนำมาใช้ในกระบวนการ Cyber Attribution ไม่ได้การันตีว่าจะแม่นยำ 100% ซึ่งอาจนำไปสู่การชี้นำไปผิดตัวได้ โดยอาจต้องวิเคราะห์ให้ได้หลายมุมมองเช่น การเปรียบเทียบข้อมูลการโจมตีกับองค์กรอื่นๆ หรือในอุตสาหกรรมที่เชื่อมโยงกัน

ที่มา : https://www.techtarget.com/searchsecurity/definition/cyber-attribution และ https://nordvpn.com/cybersecurity/glossary/cyber-attribution/