วิธีป้องกันไม่ให้ ‘Hunter-killer Malware’ ทำลายระบบการควบคุมความปลอดภัย
Hunter-killer Malware ได้กลายเป็นปัญหาอันดับต้นๆ ในหลายองค์กรทั่วโลกไปแล้ว เพราะเป็นซอฟต์แวร์ที่สามารถค้นหาและกำจัดเป้าหมายเฉพาะซึ่งมักจะมีจุดประสงค์เพื่อขัดขวางหรือทำลายการควบคุมความปลอดภัยเชิงป้องกันและนี่ถือเป็นการเปลี่ยนแปลงอีกครั้งเลยก็ว่าได้
มีการวิจัยโดยนำตัวอย่างมัลแวร์ 6 แสนตัวอย่างมาวิเคราะห์และพบว่า 70% ของมัลแวร์ใช้กลยุทธ์การลักลอบเข้าระบบและฝังตัวอยู่ในเครือข่ายทำให้มีการโจมตีไฟล์และข้อมูลเพิ่มขึ้นถึง 150%
อีกทั้งยังสามารถขัดขวางประสิทธิภาพในการควบคุมความปลอดภัยและการตรวจจับภัยคุกคามได้อีกด้วย นอกจากนี้เทคนิคที่กำหนดเป้าหมายการใช้งานโปรโตคอล Application Layer เพิ่มขึ้นถึง 176% โดยเฉพาะอย่างยิ่งในรูปแบบแรนซัมแวร์ขู่กรรโชกซ้ำซ้อน
ผู้เชี่ยวชาญจึงรวบรวมเทคนิคการโจมตีที่พบบ่อยที่สุด 10 อันดับ ดังนี้
- T1055 Process Injection: มีการใช้งานเพิ่มขึ้น 45% ภายในระยะเวลาเพียงหนึ่งปีเท่านั้น เพราะมีความสามารถในการแทรกโค้ดที่เป็นอันตรายลงในกระบวนการใช้งานจริงของเหยื่อโดยไม่มีใครสังเกตเห็น
- T1059 Command and Scripting Interpreter: แฮกเกอร์สามารถจัดการและปิดบังกิจกรรมที่เป็นอันตรายโดยใช้เครื่องมือที่มีอยู่ในตัวเพื่อหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยแบบเดิมๆ
- T1562 Impair Defenses: การโจมตีที่ปิดการใช้งานหรือขัดขวางเครื่องมือรักษาความปลอดภัยของระบบเครือข่าย
- T1082 System Information Discovery: การโจมตีด้วยเทคนิคที่ซับซ้อนมากขึ้นซึ่งมุ่งเป้าไปที่การเข้าถึงข้อมูลสำคัญโดยไม่ได้รับอนุญาต
- T1486 Data Encrypted for Impact: เป็นภัยคุกคามที่น่ากังวลเพราะสามารถเข้ารหัสข้อมูลเพื่อขู่กรรโชกและเรียกค่าไถ่องค์กรที่ตกเป็นเหยื่อ
- T1003 OS Credential Dumping: แฮกเกอร์ได้รับสิทธิ์ขั้นสูงเพื่อข้ามผ่านเครือข่าย เข้าควบคุมเครื่องเป้าหมายในระบบ และยังสามารถเพิ่มสิทธิ์ในการเข้าถึงระบบเครือข่ายของเหยื่อได้ทุกระดับด้วย
- T1071 Application Layer Protocol: มีการใช้เพิ่มขึ้นถึง 176% เพื่อขโมยข้อมูลภายในโดยเป็นแผนการขู่กรรโชกซ้ำซ้อนที่มีความซับซ้อนคล้ายกับแรนซัมแวร์
- T1547 Boot หรือ Logon Autostart Execution: การบูตหรือล็อกออนอัตโนมัติเพื่อความปลอดภัยในการเข้าถึงเครือข่ายถือเป็นจุดเด่นของภัยคุกคามขั้นสูงแบบถาวร (Advanced Persistent Threats หรือ APT)
- T1047 Windows Management Instrumentation: การโจมตีเครื่องมือการจัดการข้อมูลสำหรับระบบ Windows โดยรันคำสั่งและสคริปต์จากระยะไกลบนระบบที่ใช้ Windows ทำให้สามารถเลี่ยงการรักษาความปลอดภัยแบบเดิมๆ และเปิดใช้งานกิจกรรมที่เป็นอันตรายต่างๆ รวมถึงการลาดตระเวน การควบคุมเครื่องเป้าหมายในระบบและการคงอยู่ภายในเครือข่ายที่ถูกบุกรุก
- T1027 ไฟล์หรือข้อมูลที่สร้างความสับสน: การโจมตีที่มีจุดมุ่งหมายเพื่อทำลายประสิทธิภาพของมาตรการรักษาความปลอดภัยและซ่อนการกระทำที่เป็นอันตรายทำให้การตรวจจับการโจมตี การเก็บรวบรวมเพื่อการวิเคราะห์หลักฐานทางดิจิตอล และจัดการตอบสนองต่อเหตุการณ์ได้ยากยิ่งขึ้น
ผมจึงมองถึงความจำเป็นของการมีกลยุทธ์การตรวจจับและการตอบสนองที่มีประสิทธิภาพภายในระบบรักษาความปลอดภัยทางด้านไอทีเพราะการมีแนวทางการป้องกันเชิงลึก อย่าง Zero Trust, machine learning การยืนยันตัวตนแบบหลายปัจจัย (MFA) การผสมผสานการวิเคราะห์พฤติกรรมขั้นสูง
รวมถึงการใช้ประโยชน์จากปัญญาประดิษฐ์ (AI) ที่ออกแบบมาสำหรับตรวจจับความผิดปกติจะเพื่อช่วยลดอัตราการถูกโจมตีให้น้อยลง
นอกจากนี้การตรวจสอบความถูกต้องของระบบอยู่เป็นประจำถือเป็นสิ่งสำคัญอย่างยิ่งในการพิสูจน์ว่ามาตรการรักษาความปลอดภัยของคุณแข็งแกร่งอย่างที่คุณคิดแล้วหรือยังครับ