Posted inNote

ล่าภัยคุกคามไซเบอร์เชิงรุก: เทคนิคที่นักวิเคราะห์ความปลอดภัยต้องรู้

Posted inNote

ล่าภัยคุกคามไซเบอร์เชิงรุก: เทคนิคที่นักวิเคราะห์ความปลอดภัยต้องรู้

ทำไมการล่าภัยคุกคามเชิงรุกจึงสำคัญ?

ในโลกไซเบอร์ปัจจุบันที่มีการโจมตีซับซ้อนขึ้นทุกวัน การพึ่งพาระบบรักษาความปลอดภัยแบบตั้งรับอย่างเดียว อาจไม่เพียงพออีกต่อไป

ระบบอัตโนมัติเก่งกาจในการตรวจจับภัยคุกคามที่รู้จัก แต่ภัยคุกคามใหม่ๆ หรือการโจมตีแบบ ขั้นสูง ที่เล็ดลอดผ่านด่านแรกไปได้ มักจะซ่อนตัวอยู่ในเครือข่ายเป็นเวลานาน

นี่คือที่มาของ Threat Hunting หรือการล่าภัยคุกคามเชิงรุก คือการค้นหาและเปิดโปงผู้ไม่หวังดีที่แฝงตัวอยู่ ก่อนที่จะสร้างความเสียหายอย่างร้ายแรง

การล่าภัยคุกคามคือการตั้งสมมติฐานว่า “ระบบถูกบุกรุกแล้ว” และออกตามหาสัญญาณบ่งชี้ต่างๆ ที่อาจไม่มีใครสังเกตเห็น

แกะรอยผู้บุกรุกจากพฤติกรรมผิดปกติ

การจะจับผู้บุกรุกได้ ต้องเข้าใจพฤติกรรมที่แตกต่างไปจากเดิม

สังเกตการณ์การเข้าสู่ระบบและพฤติกรรมผู้ใช้งาน

เริ่มต้นด้วยการตรวจสอบ การเข้าสู่ระบบที่ผิดปกติ เช่น มีการล็อกอินจากประเทศที่ไม่เคยเกิดขึ้น หรือในช่วงเวลาดึกสงัดที่ไม่ใช่เวลาทำงาน

การล็อกอินด้วยชื่อผู้ใช้ที่ไม่เคยใช้งานมาก่อน หรือมีการพยายามล็อกอินล้มเหลวจำนวนมาก ก็เป็นสัญญาณเตือนสำคัญที่ไม่อาจมองข้าม

นอกจากนี้ การวิเคราะห์ พฤติกรรมผู้ใช้งาน (User Behavior Analytics – UBA) จะช่วยระบุการกระทำที่ผิดปกติ เช่น บัญชีพนักงานที่ปกติจะเข้าถึงไฟล์ไม่กี่ประเภท แต่กลับพยายามเข้าถึงไฟล์ข้อมูลสำคัญจำนวนมาก นี่คือการเบี่ยงเบนที่ชัดเจน

ตรวจจับกิจกรรมกระบวนการและบริการที่ไม่พึงประสงค์

ผู้โจมตีมักจะสร้าง บริการใหม่ หรือ งานที่ตั้งเวลาไว้ (Scheduled Tasks) เพื่อให้ตัวเองสามารถกลับเข้ามาควบคุมเครื่องได้ตลอดเวลา แม้จะถูกจับได้ในภายหลัง

การตรวจสอบรายการบริการและงานที่ตั้งเวลาที่ไม่คุ้นเคย จึงเป็นสิ่งจำเป็นอย่างยิ่ง

รวมถึง กิจกรรมกระบวนการที่ผิดปกติ เช่น โปรแกรมเอกสารทำงาน แต่กลับสร้างการเชื่อมต่อเครือข่าย หรือโปรแกรมที่ไม่รู้จักพยายามรันจากโฟลเดอร์ชั่วคราว เหล่านี้คือสัญญาณอันตราย

การใช้ PowerShell ในทางที่ผิดก็เป็นอีกช่องทางหนึ่ง ผู้โจมตีมักใช้ PowerShell ในการรันคำสั่งที่ซับซ้อน หรือแม้แต่ดาวน์โหลดมัลแวร์ การตรวจสอบสคริปต์หรือคำสั่ง PowerShell ที่ถูกรันบ่อยๆ จะช่วยให้พบความผิดปกติได้

การแก้ไข Registry ของระบบ ก็เป็นอีกวิธีที่ผู้โจมตีใช้เพื่อสร้างความคงทน หรือปิดบังการทำงานของตัวเอง การเปลี่ยนแปลงค่า Registry ที่สำคัญ หรือการเพิ่มคีย์ที่น่าสงสัยเข้าไป ต้องได้รับการตรวจสอบอย่างละเอียด

สุดท้าย การใช้ WMI (Windows Management Instrumentation) เพื่อสร้างอีเวนต์หรือเรียกใช้คำสั่งจากระยะไกล เป็นเทคนิคขั้นสูงที่ผู้โจมตีใช้เพื่อซ่อนตัวและเคลื่อนไหวในระบบ การมอนิเตอร์อีเวนต์ WMI ที่ผิดปกติจะช่วยเปิดโปงกิจกรรมเหล่านี้

ตรวจจับการเคลื่อนไหวและการซ่อนตัวในระบบ

เมื่อเข้ามาในระบบได้แล้ว ผู้โจมตีมักจะพยายามเคลื่อนไหวไปในส่วนต่างๆ เพื่อหาข้อมูลสำคัญ

เฝ้าระวังกราฟเครือข่ายและการถ่ายโอนข้อมูล

การตรวจสอบ การเชื่อมต่อเครือข่ายที่ผิดปกติ คือหัวใจสำคัญ สังเกตการเชื่อมต่อไปยัง IP แอดเดรสที่ไม่รู้จัก พอร์ตที่แปลกปลอม หรือการรับส่งข้อมูลปริมาณมหาศาล

รวมถึงการวิเคราะห์ ทราฟฟิก DNS ที่ไม่สมเหตุสมผล เช่น มีการร้องขอชื่อโดเมนแปลกๆ จำนวนมาก หรือการเชื่อมต่อไปยังเซิร์ฟเวอร์ DNS ภายนอกที่ไม่ใช่ขององค์กร

ผู้โจมตีมักจะพยายาม ถ่ายโอนข้อมูลสำคัญออกนอกระบบ ตรวจสอบปริมาณข้อมูลที่ส่งออกไปภายนอก รวมถึงประเภทของไฟล์ที่มีการส่งออกไป เช่น ไฟล์เอกสารสำคัญ หรือฐานข้อมูลขนาดใหญ่

ค้นหาการสอดแนมและการเคลื่อนที่ภายใน

ผู้บุกรุกมักจะพยายาม สอดแนม Active Directory (AD) เพื่อหาข้อมูลบัญชีผู้ใช้ สิทธิ์การเข้าถึง หรือโครงสร้างเครือข่าย การร้องขอข้อมูล AD ที่ผิดปกติ หรือการรันคำสั่งสำรวจ AD บ่อยครั้ง เป็นสัญญาณเตือน

การ เคลื่อนที่ภายในเครือข่าย (Lateral Movement) เป็นอีกขั้นตอนที่สำคัญ หากพบว่ามีบัญชีผู้ใช้ที่ไม่เคยใช้เครื่องเซิร์ฟเวอร์ใดมาก่อน กลับมีการล็อกอินเข้าไป หรือมีการใช้เครื่องมือสำหรับบริหารจัดการจากระยะไกลที่ไม่ได้รับอนุญาต ก็เป็นข้อบ่งชี้ว่าผู้โจมตีอาจกำลังขยายการเข้าถึง

ใช้ข้อมูลและเทคโนโลยีเสริมประสิทธิภาพ

การล่าภัยคุกคามจะสมบูรณ์แบบได้ ต้องอาศัยข้อมูลและเครื่องมือที่หลากหลาย

ผสานรวมข้อมูลภัยคุกคามและสร้างเกณฑ์ปกติ

การนำ ข้อมูลภัยคุกคาม (Threat Intelligence) มาใช้จะช่วยให้มองเห็นภาพรวมของภัยคุกคามที่กำลังเป็นที่จับตาได้เร็วขึ้น เช่น IP แอดเดรสที่เป็นอันตราย หรือแฮชของมัลแวร์ที่รู้จัก

การสร้าง Baseline หรือ เกณฑ์ปกติ ของระบบเป็นสิ่งสำคัญอย่างยิ่ง เพื่อให้ทราบว่าอะไรคือพฤติกรรมปกติ และอะไรคือสิ่งที่เบี่ยงเบนไปจากนั้น การทำ Baseline จะช่วยให้การตรวจจับความผิดปกติแม่นยำขึ้นมาก

ดักจับผู้บุกรุกด้วยเหยื่อล่อ

การใช้ Honeypots และ Decoys เป็นเทคนิคเชิงรุกที่น่าสนใจ เป็นการวางระบบหลอก หรือไฟล์ล่อ ไว้ในเครือข่าย เพื่อดักจับผู้โจมตีที่เข้ามา เมื่อผู้โจมตีพยายามเข้าถึง Honeypot ก็จะสามารถตรวจจับและวิเคราะห์พฤติกรรมได้ทันที

พัฒนาศักยภาพนักล่าภัยคุกคาม

การล่าภัยคุกคามไม่ใช่แค่การใช้เครื่องมือ แต่เป็นทั้งศาสตร์และศิลป์ที่ต้องอาศัยความเข้าใจเชิงลึกเกี่ยวกับระบบ พฤติกรรมของผู้โจมตี และการคิดวิเคราะห์อย่างต่อเนื่อง

ผู้ที่ทำงานด้านนี้ต้องหมั่นศึกษาเทคนิคใหม่ๆ ของผู้โจมตี และพัฒนาทักษะการวิเคราะห์ข้อมูลอยู่เสมอ เพื่อให้องค์กรปลอดภัยจากการคุกคามที่มองไม่เห็นอยู่เสมอ

Tags: