วิธีป้องกันไม่ให้ ‘Hunter-killer Malware’ ทำลายระบบการควบคุมความปลอดภัย

มีการวิจัยโดยนำตัวอย่างมัลแวร์ 6 แสนตัวอย่างมาวิเคราะห์และพบว่า 70% ของมัลแวร์ใช้กลยุทธ์การลักลอบเข้าระบบและฝังตัวอยู่ในเครือข่ายทำให้มีการโจมตีไฟล์และข้อมูลเพิ่มขึ้นถึง 150%

อีกทั้งยังสามารถขัดขวางประสิทธิภาพในการควบคุมความปลอดภัยและการตรวจจับภัยคุกคามได้อีกด้วย นอกจากนี้เทคนิคที่กำหนดเป้าหมายการใช้งานโปรโตคอล Application Layer เพิ่มขึ้นถึง 176% โดยเฉพาะอย่างยิ่งในรูปแบบแรนซัมแวร์ขู่กรรโชกซ้ำซ้อน

ผู้เชี่ยวชาญจึงรวบรวมเทคนิคการโจมตีที่พบบ่อยที่สุด 10 อันดับ ดังนี้

• T1055 Process Injection: มีการใช้งานเพิ่มขึ้น 45% ภายในระยะเวลาเพียงหนึ่งปีเท่านั้น เพราะมีความสามารถในการแทรกโค้ดที่เป็นอันตรายลงในกระบวนการใช้งานจริงของเหยื่อโดยไม่มีใครสังเกตเห็น
• T1059 Command and Scripting Interpreter: แฮกเกอร์สามารถจัดการและปิดบังกิจกรรมที่เป็นอันตรายโดยใช้เครื่องมือที่มีอยู่ในตัวเพื่อหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยแบบเดิมๆ
• T1562 Impair Defenses: การโจมตีที่ปิดการใช้งานหรือขัดขวางเครื่องมือรักษาความปลอดภัยของระบบเครือข่าย

• T1082 System Information Discovery: การโจมตีด้วยเทคนิคที่ซับซ้อนมากขึ้นซึ่งมุ่งเป้าไปที่การเข้าถึงข้อมูลสำคัญโดยไม่ได้รับอนุญาต
• T1486 Data Encrypted for Impact: เป็นภัยคุกคามที่น่ากังวลเพราะสามารถเข้ารหัสข้อมูลเพื่อขู่กรรโชกและเรียกค่าไถ่องค์กรที่ตกเป็นเหยื่อ
• T1003 OS Credential Dumping: แฮกเกอร์ได้รับสิทธิ์ขั้นสูงเพื่อข้ามผ่านเครือข่าย เข้าควบคุมเครื่องเป้าหมายในระบบ และยังสามารถเพิ่มสิทธิ์ในการเข้าถึงระบบเครือข่ายของเหยื่อได้ทุกระดับด้วย
• T1071 Application Layer Protocol: มีการใช้เพิ่มขึ้นถึง 176% เพื่อขโมยข้อมูลภายในโดยเป็นแผนการขู่กรรโชกซ้ำซ้อนที่มีความซับซ้อนคล้ายกับแรนซัมแวร์
• T1547 Boot หรือ Logon Autostart Execution: การบูตหรือล็อกออนอัตโนมัติเพื่อความปลอดภัยในการเข้าถึงเครือข่ายถือเป็นจุดเด่นของภัยคุกคามขั้นสูงแบบถาวร (Advanced Persistent Threats หรือ APT)

• T1047 Windows Management Instrumentation: การโจมตีเครื่องมือการจัดการข้อมูลสำหรับระบบ Windows โดยรันคำสั่งและสคริปต์จากระยะไกลบนระบบที่ใช้ Windows ทำให้สามารถเลี่ยงการรักษาความปลอดภัยแบบเดิมๆ และเปิดใช้งานกิจกรรมที่เป็นอันตรายต่างๆ รวมถึงการลาดตระเวน การควบคุมเครื่องเป้าหมายในระบบและการคงอยู่ภายในเครือข่ายที่ถูกบุกรุก
• T1027 ไฟล์หรือข้อมูลที่สร้างความสับสน: การโจมตีที่มีจุดมุ่งหมายเพื่อทำลายประสิทธิภาพของมาตรการรักษาความปลอดภัยและซ่อนการกระทำที่เป็นอันตรายทำให้การตรวจจับการโจมตี การเก็บรวบรวมเพื่อการวิเคราะห์หลักฐานทางดิจิตอล และจัดการตอบสนองต่อเหตุการณ์ได้ยากยิ่งขึ้น

ผมจึงมองถึงความจำเป็นของการมีกลยุทธ์การตรวจจับและการตอบสนองที่มีประสิทธิภาพภายในระบบรักษาความปลอดภัยทางด้านไอทีเพราะการมีแนวทางการป้องกันเชิงลึก อย่าง Zero Trust, machine learning การยืนยันตัวตนแบบหลายปัจจัย (MFA) การผสมผสานการวิเคราะห์พฤติกรรมขั้นสูง

รวมถึงการใช้ประโยชน์จากปัญญาประดิษฐ์ (AI) ที่ออกแบบมาสำหรับตรวจจับความผิดปกติจะเพื่อช่วยลดอัตราการถูกโจมตีให้น้อยลง

นอกจากนี้การตรวจสอบความถูกต้องของระบบอยู่เป็นประจำถือเป็นสิ่งสำคัญอย่างยิ่งในการพิสูจน์ว่ามาตรการรักษาความปลอดภัยของคุณแข็งแกร่งอย่างที่คุณคิดแล้วหรือยังครับ

คำแถลงปฏิเสธความรับผิดชอบ: ลิขสิทธิ์ของบทความนี้เป็นของผู้เขียนต้นฉบับ การเผยแพร่ซ้ำบทความนี้มีวัตถุประสงค์เพื่อเผยแพร่ข้อมูลเท่านั้นและไม่ถือเป็นคำแนะนำในการลงทุน หากมีการละเมิดกรุณาติดต่อเราทันที เราจะทำการแก้ไขหรือลบตามความเหมาะสม ขอบคุณ