ภัยคุกคามถาวรขั้นสูงคืออะไร?

ภัยคุกคามแบบต่อเนื่องขั้นสูงคือประเภทของการโจมตีที่แฮ็กเกอร์หรือผู้ใช้ที่ไม่ได้รับอนุญาตใช้กำลังเข้าใช้ระบบหรือเครือข่ายเป็นระยะเวลาพอสมควร และจะคงอยู่ที่นั่นโดยไม่มีใครสังเกตเห็น

Advanced Persistent Threats (APT) เป็นอันตรายอย่างยิ่ง โดยเฉพาะอย่างยิ่งสำหรับองค์กร เนื่องจากแฮกเกอร์เหล่านี้สามารถเข้าถึงข้อมูลของบริษัทที่เป็นความลับสูงได้อย่างสม่ำเสมอ วัตถุประสงค์หลักของการคุกคามแบบต่อเนื่องขั้นสูงไม่ใช่เพื่อสร้างความเสียหายให้กับเครื่องหรือเครือข่ายในพื้นที่ แต่เกี่ยวข้องกับการขโมยข้อมูลมากกว่า

• APT ทำงานอย่างไร
• ขั้นตอนคือวิวัฒนาการของการโจมตีแบบต่อเนื่องขั้นสูง (APT)
• วิธีการระบุภัยคุกคามถาวรขั้นสูง
• ตัวอย่างภัยคุกคามถาวรขั้นสูง
• มาตรการรักษาความปลอดภัยของ APT
• แนวทางปฏิบัติด้านความปลอดภัยเครือข่ายที่ดีที่สุด

ขั้นตอนภัยคุกคามแบบต่อเนื่องขั้นสูงคืออะไรและทำงานอย่างไร

การคุกคามแบบต่อเนื่องขั้นสูงมักจะทำในลักษณะเป็นระยะ ซึ่งเริ่มต้นด้วยการแฮ็กเครือข่ายตามด้วยการหลีกเลี่ยงการตรวจจับการแฮ็ก นอกจากนี้ แฮกเกอร์ยังสร้างแผนการโจมตี โดยจะทำการแมปข้อมูลบริษัทเพื่อค้นหาอัตราส่วนที่เข้าถึงได้ง่ายที่สุด ในที่สุด พวกเขารวบรวมข้อมูลที่ละเอียดอ่อนนี้และสูบฉีด

ภัยคุกคามเหล่านี้ได้กล่าวว่าทำให้เกิดการละเมิดข้อมูลจำนวนมากส่งผลให้เกิดผลกระทบทางการเงินอย่างมาก ความสามารถในการไม่ถูกตรวจจับโดยมาตรการรักษาความปลอดภัยแบบเดิมๆ เป็นสิ่งที่บริษัทกังวลใจ และเพื่อเพิ่มความกังวลของบริษัทต่างๆ ให้มากขึ้น แฮ็กเกอร์กำลังสร้างวิธีการที่ซับซ้อนมากขึ้นเพื่อให้บรรลุเป้าหมาย ทำให้เกิดภัยคุกคามขั้นสูงอย่างต่อเนื่อง

ภัยคุกคามขั้นสูงแบบต่อเนื่องใช้วิธีการต่างๆ เพื่อเข้าถึงเครือข่ายในเบื้องต้น ในบางกรณี ผู้โจมตีอาจใช้อินเทอร์เน็ตเพื่อผลักดันมัลแวร์และเข้าถึงได้ บางครั้งพวกเขายังทำให้เกิดการติดมัลแวร์ทางกายภาพหรือการแสวงหาประโยชน์จากภายนอกเพื่อให้สามารถเข้าสู่เครือข่ายที่มีการป้องกันได้

เมื่อเปรียบเทียบกับภัยคุกคามแบบดั้งเดิมหลายอย่าง เช่น ไวรัสและมัลแวร์ที่แสดงพฤติกรรมเดียวกันอย่างสม่ำเสมอ ทุกครั้งที่คุกคามแบบต่อเนื่องขั้นสูงนั้นแตกต่างกันมาก ภัยคุกคามแบบต่อเนื่องขั้นสูงไม่มีวิธีการแบบกว้างๆ หรือแบบทั่วไป

ในทางตรงกันข้าม ภัยคุกคามเหล่านี้มีการวางแผนอย่างพิถีพิถันและรอบคอบ โดยมีเป้าหมายที่ชัดเจนในการกำหนดเป้าหมายไปยังองค์กรใดองค์กรหนึ่งโดยเฉพาะ ดังนั้น ภัยคุกคามแบบต่อเนื่องขั้นสูงจึงได้รับการปรับแต่งอย่างมากและได้รับการออกแบบมาอย่างซับซ้อนเพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัยที่มีอยู่ในบริษัท

บ่อยขึ้น แฮกเกอร์ใช้การเชื่อมต่อที่เชื่อถือได้เพื่อรับรายการเริ่มต้น ซึ่งหมายความว่าแฮกเกอร์สามารถเข้าถึงข้อมูลประจำตัวจากพนักงานหรือพันธมิตรทางธุรกิจ ซึ่งเข้าถึงได้อีกครั้งผ่านการโจมตีแบบฟิชชิ่ง ด้วยการใช้ข้อมูลประจำตัวเหล่านี้ ผู้โจมตีสามารถไม่ถูกตรวจพบในระบบเป็นเวลานาน ซึ่งเพียงพอสำหรับการทำแผนที่ระบบและข้อมูลขององค์กร และเตรียมแผนการโจมตีเพื่อระบายข้อมูลของบริษัท

จากมุมมองของความสำเร็จของการคุกคามแบบต่อเนื่องขั้นสูง มัลแวร์เป็นองค์ประกอบที่สำคัญ เมื่อเครือข่ายใดเครือข่ายหนึ่งถูกละเมิด มัลแวร์สามารถซ่อนตัวจากระบบนำทางมาตรฐานบางระบบ ย้ายจากระบบหนึ่งไปยังอีกระบบหนึ่ง เริ่มรวบรวมข้อมูลและตรวจสอบกิจกรรมเครือข่ายได้อย่างง่ายดาย

ปัจจัยสำคัญอีกประการหนึ่งคือความสามารถของแฮ็กเกอร์เหล่านี้ในการดำเนินการจากระยะไกลและควบคุมภัยคุกคามขั้นสูงแบบต่อเนื่องเหล่านี้จากระยะไกล ทำให้แฮกเกอร์มีโอกาสค้นหาข้อมูลสำคัญในเครือข่ายของบริษัท เข้าถึงข้อมูลแล้วเริ่มดูดข้อมูลนั้น

ห้าขั้นตอนของการโจมตีต่อเนื่องขั้นสูงขั้นสูงที่พัฒนาขึ้น

การโจมตีของภัยคุกคามต่อเนื่องขั้นสูงสามารถทำได้ในห้าขั้นตอนที่แตกต่างกัน เช่น:

• ด่าน 1: รับการเข้าถึง

  นี่คือที่ที่แฮ็กเกอร์หรือนักแฮ็กข้อมูลสามารถเข้าใช้เครือข่ายได้ในครั้งแรกด้วยวิธีใดวิธีหนึ่งจากสามวิธี ไม่ว่าจะผ่านระบบบนเว็บ เครือข่าย หรือผู้ใช้ที่เป็นมนุษย์ พวกเขามองหาช่องโหว่ของแอปพลิเคชันและอัปโหลดไฟล์ที่เป็นอันตราย

• ขั้นตอนที่ 2: ตั้งหลัก

  เมื่อได้รับการเข้าถึงครั้งแรกแล้ว แฮกเกอร์ก็จะประนีประนอมกับระบบที่ป้อนเข้ามาโดยการสร้างโทรจันลับๆ ซึ่งถูกปิดบังเพื่อให้ดูเหมือนซอฟต์แวร์ที่ถูกต้องตามกฎหมาย วิธีนี้จะเข้าถึงเครือข่ายเพื่อควบคุมระบบที่ป้อนจากระยะไกล

• ขั้นตอนที่ 3: เข้าถึงได้ลึกขึ้น

  หลังจากที่พวกเขาตั้งหลักแล้ว ผู้โจมตีจะรวบรวมข้อมูลเพิ่มเติมเกี่ยวกับเครือข่าย พวกเขาพยายามโจมตีอย่างรุนแรงและค้นหาช่องโหว่ในเครือข่าย ซึ่งพวกเขาสามารถเข้าใช้งานได้ลึกกว่าและด้วยเหตุนี้จึงควบคุมระบบเพิ่มเติม

• ขั้นที่ 4: เคลื่อนที่ไปด้านข้าง

  เมื่อพวกเขาเข้าไปลึกในเครือข่ายแล้ว ผู้โจมตีเหล่านี้จะสร้างช่องสัญญาณลับๆ เพิ่มเติม ซึ่งเปิดโอกาสให้พวกเขาย้ายข้ามเครือข่ายในแนวขวางและเข้าถึงข้อมูลได้ทุกเมื่อที่ต้องการ

• ขั้นตอนที่ 5: มอง เรียนรู้ และคงอยู่

  เมื่อพวกเขาเริ่มเคลื่อนผ่านเครือข่าย พวกเขาจะเริ่มรวบรวมข้อมูลและเตรียมสำหรับการถ่ายโอนออกนอกระบบ – เรียกว่าการกรองข้อมูล พวกเขาจะสร้างความเบี่ยงเบนในรูปแบบของการโจมตี DDoS ในขณะที่ผู้โจมตีจะดูดข้อมูลออก หากตรวจไม่พบการโจมตี APT ผู้โจมตีจะยังคงอยู่ในเครือข่ายและคอยมองหาโอกาสสำหรับการโจมตีอีกครั้ง

( อ่านเพิ่มเติม : Cloud Security คืออะไร )

วิธีการตรวจจับภัยคุกคามแบบต่อเนื่องขั้นสูง?

เนื่องจากธรรมชาติของพวกมัน การคุกคามแบบต่อเนื่องขั้นสูงจึงไม่ถูกตรวจจับได้ง่าย อันที่จริง ภัยคุกคามเหล่านี้ขึ้นอยู่กับความสามารถในการทำงานของตนโดยไม่มีใครสังเกตเห็น อย่างไรก็ตาม มีตัวบ่งชี้บางอย่างที่บริษัทของคุณสามารถสัมผัสได้ ซึ่งสามารถถือเป็นสัญญาณเตือนล่วงหน้าได้:

• เพิ่มจำนวนการเข้าสู่ระบบในช่วงดึกหรือเมื่อพนักงานไม่สามารถเข้าถึงเครือข่ายได้

• เมื่อคุณสังเกตเห็นโทรจันแบ็คดอร์ขนาดใหญ่ สิ่งเหล่านี้มักถูกใช้โดยแฮกเกอร์ที่ใช้ภัยคุกคามแบบต่อเนื่องขั้นสูงเพื่อให้แน่ใจว่าพวกเขาจะสามารถเข้าถึงเครือข่ายได้

• คุณควรมองหาการไหลของข้อมูลจำนวนมากอย่างกะทันหัน ตั้งแต่ต้นทางภายในไปจนถึงเครื่องจักรภายในและภายนอก

• ตรวจสอบชุดข้อมูล ซึ่งมักใช้โดยผู้โจมตีที่วางแผนสำหรับภัยคุกคามแบบต่อเนื่องขั้นสูง เนื่องจากพวกเขารวบรวมข้อมูลภายในเครือข่ายก่อนที่แฮกเกอร์จะย้ายข้อมูลออกนอกเครือข่าย

• การระบุการโจมตีแบบพาส-เดอะ-แฮช สิ่งเหล่านี้มักจะกำหนดเป้าหมายบนที่เก็บข้อมูล pass-the-hash หรือหน่วยความจำที่เก็บข้อมูลรหัสผ่าน การเข้าถึงนี้จะให้โอกาสในการสร้างเซสชันการตรวจสอบสิทธิ์ใหม่ แม้ว่าอาจไม่ใช่ภัยคุกคามแบบต่อเนื่องขั้นสูงในทุกกรณีเมื่อมีการระบุสภาพดังกล่าวแล้ว ก็ต้องมีการสอบสวนเพิ่มเติม

ก่อนหน้านี้คิดว่าเป็นเป้าหมายในองค์กรขนาดใหญ่เท่านั้น ภัยคุกคามขั้นสูงแบบต่อเนื่องไม่ได้เจาะบริษัทขนาดเล็กและขนาดกลาง เนื่องจากแฮ็กเกอร์เหล่านี้ใช้วิธีการที่ซับซ้อนในการโจมตี องค์กรต่างๆ ควรใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งเพื่อจัดการกับเรื่องนี้โดยไม่คำนึงถึงขนาด

ตัวอย่างภัยคุกคามแบบต่อเนื่องขั้นสูงมีอะไรบ้าง

บริษัทรักษาความปลอดภัยทางไซเบอร์ เช่น Crowdstrike(1) ได้ติดตามสถานการณ์ที่ไม่พึงประสงค์ดังกล่าวกว่า 150 สถานการณ์ทั่วโลก ซึ่งรวมถึงนักกิจกรรมการแฮ็กและอาชญากรอิเล็กทรอนิกส์ พวกเขามีวิธีการใช้ชื่อนักแสดงและสัตว์ที่เกี่ยวข้องกับภูมิภาค

ตัวอย่างเช่น BEAR หมายถึงรัสเซีย PANDA หมายถึงจีน KITTEN ถึงอิหร่าน และ SPIDER เป็นอาชญากรรมทางอินเทอร์เน็ตที่ไม่จำกัดเฉพาะภูมิภาค ต่อไปนี้คือตัวอย่างบางส่วนของภัยคุกคามแบบต่อเนื่องขั้นสูงที่ Crowdstrike ตรวจพบ

1. APT 27 (กอบลินแพนด้า)

   สิ่งนี้ถูกตรวจพบครั้งแรกในปี 2556 เมื่อแฮกเกอร์โจมตีเครือข่ายของบริษัทเทคโนโลยีขนาดใหญ่ที่มีการดำเนินธุรกิจในหลายภาคส่วน

2. APT28 (หมีแฟนซี)

   ภัยคุกคามแบบต่อเนื่องขั้นสูงนี้ใช้การปลอมแปลงเว็บไซต์และข้อความฟิชชิ่งที่จริงแล้วคล้ายกับการปลอมแปลงที่ถูกต้องเพื่อเข้าถึงอุปกรณ์ต่างๆ เช่น คอมพิวเตอร์และโทรศัพท์มือถือ

3. APT32 (ควายทะเล)

   นี่คือปฏิปักษ์จากเวียดนามและเปิดใช้งานมาตั้งแต่ปี 2555 ภัยคุกคามแบบต่อเนื่องขั้นสูงนี้ใช้เครื่องมือที่วางจำหน่ายทั่วไปร่วมกับการกระจายมัลแวร์ผ่าน Strategic Web Compromise หรือที่เรียกว่า SWC

ที่กล่าวมาข้างต้นซึ่งตรวจพบโดย Crowstrike มีตัวอย่างอื่น ๆ ของภัยคุกคามขั้นสูงแบบต่อเนื่องเช่น:

• Ghostnet: มีฐานการผลิตอยู่จากประเทศจีน ซึ่งมีการวางแผนและดำเนินการโจมตีผ่านอีเมลฟิชชิ่งที่มีมัลแวร์ กลุ่มกำหนดเป้าหมายอุปกรณ์จริงในกว่า 100 ประเทศ
• Stuxnet: นี่คือมัลแวร์ที่กำหนดเป้าหมายระบบ SCADA เป็นหลัก (แอปพลิเคชันอุตสาหกรรมหนัก) ซึ่งเห็นได้จากความสำเร็จในการเจาะเครื่องที่ใช้ในโครงการนิวเคลียร์ของอิหร่าน
• Sykipot: นี่คือมัลแวร์ประเภทหนึ่งที่โจมตีสมาร์ทการ์ดเป็นหลัก

มาตรการรักษาความปลอดภัยของ APT

เป็นที่ชัดเจนว่าภัยคุกคามแบบต่อเนื่องขั้นสูงเป็นการโจมตีแบบหลายแง่มุม และต้องมีมาตรการรักษาความปลอดภัยหลายแบบร่วมกันในรูปแบบของเครื่องมือและเทคนิค

• การตรวจสอบปริมาณการใช้ข้อมูล: สิ่งนี้จะช่วยให้บริษัทต่างๆ สามารถระบุการเจาะระบบ การเคลื่อนไหวด้านข้าง และการขโมยข้อมูล

• การ อนุญาตพิเศษของแอปพลิเคชันและโดเมน: ตรวจสอบให้แน่ใจว่าโดเมนและแอปพลิเคชันที่รู้จักและน่าเชื่อถือนั้นอยู่ในรายการที่อนุญาต

• การควบคุมการเข้าถึง: จำเป็นต้องตั้งค่าโปรโตคอลการตรวจสอบสิทธิ์ที่เข้มงวดและการจัดการบัญชีผู้ใช้ หากมีบัญชีที่มีสิทธิพิเศษ พวกเขาจำเป็นต้องให้ความสำคัญเป็นพิเศษ

แนวทางปฏิบัติที่ดีที่สุดที่ควรทำเมื่อรักษาความปลอดภัยเครือข่ายของคุณ

ความจริงที่โหดร้ายเกี่ยวกับภัยคุกคามแบบต่อเนื่องขั้นสูงคือไม่มีวิธีแก้ปัญหาเดียวที่จะได้ผล 100% ดังนั้น เราจะพิจารณาแนวทางปฏิบัติที่ดีที่สุดบางประการในการป้องกัน APT

• ติดตั้งไฟร์วอลล์:

  สิ่งสำคัญคือต้องเลือกโครงสร้างไฟร์วอลล์ที่เหมาะสมซึ่งจะทำหน้าที่เป็นชั้นป้องกันชั้นแรกจากภัยคุกคามแบบต่อเนื่องขั้นสูง

• เปิดใช้งานไฟร์วอลล์แอปพลิเคชันเว็บ:

  สิ่งนี้มีประโยชน์เพราะจะป้องกันการโจมตีที่มาจากอินเทอร์เน็ต/เว็บแอปพลิเคชัน โดยเฉพาะที่ใช้ทราฟฟิก HTTP

• โปรแกรมป้องกันไวรัส:

  มีโปรแกรมป้องกันไวรัสล่าสุดและทันสมัยที่สามารถตรวจจับและป้องกันโปรแกรมต่างๆ เช่น มัลแวร์ โทรจัน และไวรัส

• ระบบป้องกันการบุกรุก:

  สิ่งสำคัญคือต้องมีระบบป้องกันการบุกรุก (IPS) เนื่องจากทำงานเป็นบริการรักษาความปลอดภัยที่คอยตรวจสอบเครือข่ายของคุณเพื่อหาโค้ดที่เป็นอันตรายและแจ้งให้คุณทราบทันที

• มีสภาพแวดล้อมแบบแซนด์บ็อกซ์:

  ซึ่งจะเป็นประโยชน์สำหรับการทดสอบสคริปต์หรือรหัสที่น่าสงสัยโดยไม่ก่อให้เกิดความเสียหายต่อระบบที่ใช้งานจริง

• ตั้งค่า VPN:

  เพื่อให้แน่ใจว่าแฮกเกอร์ APT จะไม่สามารถเข้าถึงเครือข่ายของคุณได้โดยง่าย

• ตั้งค่าการป้องกันอีเมล:

  เนื่องจากอีเมลเป็นหนึ่งในแอปพลิเคชันที่ใช้บ่อยที่สุด จึงมีความเสี่ยงเช่นกัน ดังนั้น เปิดใช้งานการป้องกันสแปมและมัลแวร์สำหรับอีเมลของคุณ

ความคิดสุดท้าย

ภัยคุกคามแบบต่อเนื่องขั้นสูงกำลังเคาะประตูอย่างต่อเนื่อง และพวกเขาเพียงแค่ต้องการช่องเปิดเล็กๆ เพียงครั้งเดียวในเครือข่ายของคุณเพื่อสร้างความเสียหายในวงกว้าง ใช่ ไม่สามารถตรวจจับการโจมตีเหล่านี้ได้ แต่ด้วยมาตรการที่เหมาะสม บริษัทต่างๆ สามารถระมัดระวังเพื่อหลีกเลี่ยงอันตรายใดๆ อันเนื่องมาจากการโจมตีเหล่านี้ การปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดและการกำหนดมาตรการรักษาความปลอดภัยจะส่งผลให้มีการป้องกันการโจมตีดังกล่าวอย่างมีประสิทธิผล

แหล่งข้อมูลที่เป็นประโยชน์อื่นๆ:

เคล็ดลับและกลยุทธ์ห้าข้อเพื่อหลีกเลี่ยงภัยคุกคามทางไซเบอร์

10 วิธีในการป้องกันภัยคุกคามจากภายใน

ภัยคุกคามทางไซเบอร์ที่จะต่อสู้ในปี 2564

ความสำคัญของความปลอดภัยทางไซเบอร์ในธุรกิจ