Posted inNote

ยกระดับความปลอดภัยไซเบอร์: ทำไมต้องเข้าใจ “พฤติกรรมผู้โจมตี” มากกว่าแค่ “ร่องรอยการโจมตี”

Posted inNote

ยกระดับความปลอดภัยไซเบอร์: ทำไมต้องเข้าใจ “พฤติกรรมผู้โจมตี” มากกว่าแค่ “ร่องรอยการโจมตี”

ในช่วงเริ่มต้นของการทำงานด้านความปลอดภัยไซเบอร์ หลายคนอาจคิดว่าการป้องกันภัยคุกคามคือการบล็อก IP Address ที่อันตราย, โดเมนที่น่าสงสัย, แฮชไฟล์ที่มีมัลแวร์ หรือ URL ที่เป็นอันตราย หรือที่รู้จักกันในชื่อ Indicators of Compromise (IOCs)

วิธีนี้อาจดูเหมือนมีประสิทธิภาพในการป้องกันการโจมตีที่รู้จัก แต่ในความเป็นจริง โลกไซเบอร์เปลี่ยนแปลงรวดเร็วกว่านั้นมาก

IOCs คืออะไร และทำไมถึงยังไม่พอ?

IOCs คือ ร่องรอยของการโจมตีที่เกิดขึ้นแล้ว เปรียบเสมือนหลักฐานในที่เกิดเหตุอาชญากรรม เช่น ปลอกกระสุนที่พบ หรือลายนิ้วมือ

สิ่งเหล่านี้เป็นข้อมูลที่จับต้องได้และระบุเจาะจงได้ การใช้ IOCs ทำให้ระบบป้องกันสามารถตรวจจับและบล็อกการโจมตีที่มีรูปแบบเดียวกันหรือใช้ทรัพยากรชุดเดิมได้

แต่ปัญหาคือ IOCs มีข้อจำกัดสำคัญหลายประการ

ประการแรก IOCs มักจะ ตอบสนองเชิงรับ หมายความว่าต้องมีการโจมตีเกิดขึ้นและถูกระบุมาก่อนจึงจะนำไปใช้ได้

ประการที่สอง แฮกเกอร์สามารถปรับเปลี่ยน IOCs ได้ง่ายมาก แค่เปลี่ยนเซิร์ฟเวอร์, เปลี่ยนโดเมน หรือแม้แต่เปลี่ยนโค้ดมัลแวร์เล็กน้อย ก็ทำให้ IOCs ชุดเดิมใช้ไม่ได้แล้ว เปรียบเหมือนโจรเปลี่ยนรถ เปลี่ยนเสื้อผ้า ก็จับยากขึ้น

ประการสุดท้าย IOCs ขาดบริบท ไม่ได้บอกว่าผู้โจมตี ทำอะไร อย่างไร และ ทำไม เพียงแค่บอกว่า มีอะไรเกิดขึ้น เท่านั้น ทำให้เราไม่ได้เรียนรู้เชิงลึกจากเหตุการณ์ที่เกิดขึ้น

รู้จัก TTPs: เข้าใจกลยุทธ์ของแฮกเกอร์อย่างลึกซึ้ง

ในทางตรงกันข้าม Tactics, Techniques, and Procedures (TTPs) คือสิ่งที่สำคัญกว่ามาก TTPs คือ พฤติกรรม กลยุทธ์ และขั้นตอน ที่ผู้โจมตีใช้ในการดำเนินการโจมตี

เปรียบเสมือนการทำความเข้าใจ แผนการ ของโจร ไม่ใช่แค่หลักฐานชิ้นเดียว

TTPs ประกอบด้วย:

  • Tactics (กลยุทธ์): คือเป้าหมายใหญ่ของผู้โจมตี เช่น การเข้าถึงระบบครั้งแรก (Initial Access), การคงอยู่ภายในระบบ (Persistence), การเคลื่อนที่ภายในเครือข่าย (Lateral Movement)

  • Techniques (เทคนิค): คือวิธีการเฉพาะที่ใช้เพื่อให้บรรลุกลยุทธ์นั้นๆ เช่น การส่งอีเมลฟิชชิงเพื่อเข้าถึงระบบ (Phishing for Initial Access), การสร้าง Scheduled Task เพื่อคงอยู่ (Scheduled Task for Persistence)

  • Procedures (ขั้นตอน): คือรายละเอียดปลีกย่อยของเทคนิคนั้นๆ เช่น เนื้อหาของอีเมลฟิชชิงที่ส่ง, คำสั่ง Command Line ที่ใช้สร้าง Scheduled Task หรือเครื่องมือเฉพาะที่ใช้

การทำความเข้าใจ TTPs ทำให้เรามองเห็นภาพรวมของการโจมตีทั้งหมด

จากจุดเริ่มต้นจนถึงเป้าหมายสุดท้าย ช่วยให้เราเข้าใจว่าผู้โจมตีมี “คู่มือปฏิบัติการ” หรือ “Playbook” อย่างไร

ทำไม TTPs จึงสำคัญกว่าในยุคสมัยใหม่?

TTPs เสนอวิธีการป้องกันที่ ยืดหยุ่นและมีประสิทธิภาพ มากกว่า IOCs อย่างเห็นได้ชัด

มันคือการป้องกันที่เน้น พฤติกรรม มากกว่าแค่ สิ่งประดิษฐ์

เพราะพฤติกรรมพื้นฐานของผู้โจมตีมักจะ ไม่เปลี่ยนแปลงง่ายๆ ถึงแม้จะเปลี่ยนเครื่องมือหรือเป้าหมาย แต่กลยุทธ์และเทคนิคหลักๆ มักจะยังคงเดิม

การใช้ TTPs ทำให้องค์กรสามารถสร้างการป้องกันที่ เชิงรุก ได้มากขึ้น

แทนที่จะรอให้เกิดการโจมตีแล้วค่อยบล็อก เราสามารถเฝ้าระวังพฤติกรรมที่สอดคล้องกับ TTPs ที่รู้จัก และหยุดยั้งการโจมตีได้ตั้งแต่ก่อนที่จะสร้างความเสียหายร้ายแรง

นอกจากนี้ TTPs ยังช่วยให้ทีมความปลอดภัย เข้าใจบริบท ของการโจมตีได้ดีขึ้น และ คาดการณ์ พฤติกรรมในอนาคตของผู้โจมตีได้ ซึ่งเป็นรากฐานสำคัญของ Threat Hunting หรือการตามล่าภัยคุกคามในเชิงรุก

กรอบการทำงานอย่าง MITRE ATT&CK ก็เป็นเครื่องมือสำคัญที่รวบรวม TTPs ที่รู้จัก ช่วยให้องค์กรสามารถประเมินความเสี่ยงและออกแบบการป้องกันตามพฤติกรรมของผู้โจมตีได้อย่างเป็นระบบ

การมุ่งเน้นที่ TTPs จึงเป็นการยกระดับความสามารถในการป้องกันภัยคุกคามไซเบอร์อย่างแท้จริง ช่วยให้องค์กรสร้างระบบที่แข็งแกร่งและปรับตัวได้กับภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา

Tags: