ซุนวูได้กล่าวไว้ใน "ศิลปะแห่งสงคราม" (บทความทางการทหารจีนโบราณ) ว่า "ถ้าคุณรู้จักศัตรูและรู้จักตัวเอง คุณไม่จำเป็นต้องกลัวผลของการต่อสู้นับร้อย" วลีโบราณนี้ยังคงใช้ได้ในปัจจุบันเพื่อแสดงถึงการต่อสู้กันระหว่างผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลและแฮกเกอร์ ในการดำเนินการใดๆ ในระบบการป้องกันของเรา เราต้องรู้ว่าแฮ็กเกอร์มีพฤติกรรมอย่างไร และนั่นคือเหตุผลที่เราต้องรู้เกี่ยวกับ Cyber Kill Chain! สิ่งนี้จะพิสูจน์ได้อย่างแน่นอนว่าเป็นก้าวสำคัญหากคุณพยายามปกป้องระบบของคุณอย่างจริงจังเพราะการรับรองความปลอดภัยทางไซเบอร์จะไม่มีประโยชน์หากคุณไม่ทราบพื้นฐาน! เริ่มกันเลย!
Cyber Kill Chain คืออะไร
สามารถกำหนดเป็นรายการลำดับขั้นตอนของการโจมตีทางไซเบอร์โดยเริ่มจากขั้นตอนแรกสุดของการวางแผนและขยายไปสู่ข้อสรุปของการโจมตี ดังนั้นเราจึงสามารถพูดได้ว่า Cyber Kill Chain ให้มุมมองแบบมุมสูงของกลยุทธ์การแฮ็ก Cyber Kill Chain มีความคล้ายคลึงกับแนวคิดที่ Lockheed Martin นำเสนอ ในแบบจำลองของเขาเช่นกัน มีการอธิบายขั้นตอนของการโจมตีแบบกำหนดเป้าหมาย
อ่านเพิ่มเติม: การรักษาความปลอดภัยทางไซเบอร์กำลังดีขึ้นหรือแย่ลงหรือไม่
หากผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์สามารถแยกแยะวิธีที่ผู้บุกรุกเข้ามาภายในเครือข่ายและหาช่องโหว่ พวกเขาก็สามารถนำไปใช้ในการป้องกันเครือข่ายขององค์กรได้เช่นกัน
เฟสของ Cyber Kill Chain
มีเจ็ดขั้นตอนใน Cyber Kill Chain และแต่ละขั้นตอนมีข้อได้เปรียบของตัวเอง! ห่วงโซ่นี้เป็นเหมือนการลักขโมยโปรเฟสเซอร์ ผู้โจมตีตรวจสอบระบบก่อนที่จะพยายามแทรกซึม เมื่อเสร็จแล้วจะต้องผ่านอีกหลายขั้นตอนก่อนการปล้นจริง! มาเริ่มต้นและเรียนรู้เกี่ยวกับขั้นตอนเหล่านี้กันเถอะ!
1. การลาดตระเวน
สิ่งแรกที่จำเป็นสำหรับการโจมตีคือการระบุและคัดเลือกเป้าหมาย ทั้งหมดนี้ขึ้นอยู่กับแรงจูงใจของผู้โจมตี สำหรับเขา เหยื่ออาจเป็นใครก็ได้ องค์กร ชุมชน หรือแม้แต่บุคคล เหตุผลเบื้องหลังคือเป้าหมายคือคนที่มีข้อมูลซึ่งถือว่ามีค่าจากผู้โจมตี! ประการแรก เขารวบรวมข้อมูลเกี่ยวกับเหยื่อให้ได้มากที่สุด เมื่อดำเนินการเสร็จแล้ว เขาค้นหาช่องโหว่ในการหาช่องโหว่และเจาะระบบเครือข่าย เนื่องจากองค์กรขนาดใหญ่มีการรักษาความปลอดภัยหลายชั้น และมีผู้เชี่ยวชาญที่ได้รับการรับรองความปลอดภัยทางไซเบอร์ จึงอาจต้องใช้เวลามาก อย่างไรก็ตาม ยิ่งผู้โจมตีได้รับความรู้เกี่ยวกับเป้าหมายมากเท่าไร ก็ยิ่งอันตรายมาก
2. อาวุธ
ในขั้นตอนที่สอง ผู้โจมตีจะปรับโครงสร้างมัลแวร์ใหม่โดยใช้เทคนิคที่ซับซ้อนสองสามข้อที่เหมาะกับจุดประสงค์ของเขา ขึ้นอยู่กับแรงจูงใจของผู้โจมตี มัลแวร์หาช่องโหว่ที่ไม่รู้จัก (สำหรับผู้เชี่ยวชาญด้านความปลอดภัยขององค์กร) เพื่อเอาชนะการป้องกันเครือข่ายของเหยื่อ นอกจากนี้ ด้วยวิธีการขั้นสูง เขาช่วยลดโอกาสในการตรวจจับผ่านโปรโตคอลความปลอดภัยมาตรฐาน
3. จัดส่ง
ณ เวลานี้ ผู้โจมตีรู้จักเหยื่อของตนอย่างถี่ถ้วน ทั้งหมดที่เขาต้องทำตอนนี้คือส่งรหัสที่เป็นอันตรายให้เขา วิธีที่นิยมใช้กันมากที่สุดสามวิธี ได้แก่ ไฟล์แนบอีเมล เว็บไซต์ที่หลอกล่อเขาหรือผ่านอุปกรณ์ที่ถอดออกได้ การส่งและการส่งมอบบันเดิลของเขาในที่สุดเป็นขั้นตอนต่อไป แต่จากนั้น ความพยายามเหล่านี้มีผลตามมาและผู้โจมตีก็ถูกพิมพ์ลายนิ้วมือแบบดิจิทัลด้วย ดังนั้นหากระบบความปลอดภัยของเหยื่อมีประสิทธิภาพเพียงพอ เขาจะทราบถึงพฤติกรรมที่ผิดปกติในเครือข่ายและดำเนินการที่จำเป็น การสำรองข้อมูลและเพิ่มชั้นความปลอดภัยจะช่วยได้อย่างแน่นอน
อ่านเพิ่มเติม: Microsoft Security Essentials:ม้ามืดแห่งความปลอดภัยทางไซเบอร์
4. การเอารัดเอาเปรียบ
ในขั้นตอนนี้ ช่องโหว่บนเครือข่ายหรือระบบจะถูกโจมตี อย่างไรก็ตาม ความสามารถในการป้องกันที่ปรับแต่งตามความต้องการขององค์กรมีความจำเป็นเพื่อหยุดการหาประโยชน์ในขั้นตอนนี้ ทันทีที่ผู้โจมตีมาถึงจุดอ่อน เขาจะเริ่มใช้ประโยชน์จากโค้ดสคริปต์ที่ซ่อนตัวอยู่ภายใต้สภาพแวดล้อมการทำงานของเหยื่อ
5. การติดตั้ง
มีการติดตั้งแบ็คดอร์การเข้าถึงระยะไกลบนระบบเหยื่อ ซึ่งช่วยให้ผู้โจมตีสร้างความต่อเนื่องภายในสภาพแวดล้อมของโฮสต์ การปรับใช้ “ระบบป้องกันการบุกรุกจากโฮสต์” อาจมีประโยชน์บ้าง! สิ่งสำคัญคือต้องเข้าใจแรงจูงใจของมัลแวร์แทนที่จะต่อต้านมัน ผู้พิทักษ์ต้องดำเนินการที่จำเป็นก่อนขั้นตอนนี้เพื่อหลีกเลี่ยงการละเมิดข้อมูล!
6. คำสั่งและการควบคุม
นี่เป็นครั้งสุดท้ายที่จะดำเนินการใดๆ (สำหรับกองหลัง) โดยการขัดขวางช่องทางการบัญชาการและการควบคุม โดยการทำเช่นนี้ ฝ่ายตรงข้ามไม่สามารถออกคำสั่งใด ๆ และด้วยเหตุนี้ผู้พิทักษ์สามารถป้องกันผลกระทบของพวกเขา อย่าลืมว่ามัลแวร์ไม่ค่อยทำงานอัตโนมัติ โดยปกติแล้วจะเป็นแบบแมนนวล แนวปฏิบัติทั่วไปที่ตามมาด้วยผู้บุกรุกคือการสร้างการควบคุมหลายเวิร์กสเตชันเพื่อรวบรวมข้อมูลโดยไม่มีใครสังเกตเห็น ดังนั้นควรมีเครื่องมือที่เหมาะสมในการป้องกันจากสิ่งเดียวกัน!
7. การดำเนินการตามวัตถุประสงค์
อย่าลืมว่า ใครก็ตามที่สามารถเข้าถึงระบบของคุณได้มากขนาดนี้ นานกว่านี้ ผลที่ตามมาอาจทนไม่ได้ ฝ่ายที่ได้รับผลกระทบจะต้องตรวจจับภัยคุกคามอย่างรวดเร็ว นอกจากนี้ ยังปรับใช้เครื่องมือและผู้เชี่ยวชาญที่จะช่วยพวกเขาในระยะยาว คุณควรตรวจสอบให้แน่ใจว่าคุณไม่ได้ล้าหลังในสิ่งที่จำเป็นสำหรับการรักษาความปลอดภัยของข้อมูลของคุณ เพราะหากคุณทำเช่นนั้น จะไม่มีใครสามารถช่วยคุณได้!
อ่านเพิ่มเติม: Threat Intelligence:ช่วยระบุภัยคุกคามด้านความปลอดภัย
แต่ถ้าคุณคิดว่านี่คือสิ่งที่ผู้โจมตีทุกคนติดตาม คุณคิดผิดแน่นอน! การโจมตีแต่ละครั้งมีเอกลักษณ์เฉพาะตัวและอาจเพิ่มหรือลบเฟสใน Cyber Kill Chain เพื่อให้สำเร็จ! ผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์กล่าวว่าพวกเขาต้องการให้ผู้โจมตีทุกคนปฏิบัติตามนี้เพื่อที่ฝ่ายป้องกันจะได้รับเวลาและโอกาสมากมายในการป้องกันตัวเอง! พวกเขายังแจ้งว่าต้องจับตาดูข่าวความปลอดภัยในโลกไซเบอร์ด้วยเพื่อให้เข้าใจตรงกัน!
ตอบโต้การโจมตี Cyber Kill Chain เพื่อประโยชน์ของเรา
มักพบว่าผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลถูกข่มขู่โดยความซับซ้อนของการโจมตีใดๆ แทนที่จะเน้นที่แต่ละขั้นตอนของการโจมตี การทำเช่นนี้จะช่วยให้พวกเขาเข้าใจว่าการโจมตีใด ๆ ไม่เคยเกิดขึ้นเลย มันต้องใช้เวลา! และหากเราตื่นตัวเพียงพอ เราก็สามารถหยุดการโจมตีได้ก่อนที่มันจะเริ่ม
โปรดจำไว้เสมอว่า ปฏิบัติต่อการโจมตีทางไซเบอร์เสมอว่าไม่เกิดเหตุการณ์ต่อเนื่อง และเป็นไปได้ว่าคุณจะสามารถระบุและหยุดพวกเขาได้! คุณคิดอย่างไร? โปรดแจ้งให้เราทราบในส่วนความคิดเห็นด้านล่าง!
