Cyber Kill Chain คืออะไร?

บทความน่าสนใจ

Cyber Kill Chain คืออะไร

Cyber Kill Chain ถูกคิดค้นโดย Lockheed Martin บริษัทด้านอากาศยาน การป้องกัน ความมั่นคงปลอดภัย และเทคโนโลยีระดับสูงชื่อดังของสหรัฐฯ ซึ่งศัพท์คำนี้ถูกใช้กันอย่างแพร่หลายในวงการ IT Security เพื่อบรรยายถึงขั้นตอนของการเจาะระบบเพื่อโจมตีไซเบอร์ ซึ่งประกอบด้วย 7 ขั้นตอนต่อเนื่องกัน ได้แก่ Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control และ Actions on Objectives

Cyber Kill Chain

ขยายรายละเอียดของ CyberKillChain หลังบุกรุกเข้าระบบได้แล้ว

Malone ระบุว่า สมมติฐานของ CybeKillChain คือ ระบบเครือข่ายมี Firewall เป็นอุปกรณ์หลักในการป้องกันผู้บุกรุกโจมตี จึงเน้นเฉพาะการโจมตีจากภายนอกเข้าสู่ภายใน ซึ่งในปัจจุบันนี้ระบบรักษาความมั่นคงปลอดภัยมีการพัฒนาปรับเปลี่ยนไปมาก Firewall ไม่ใช่เป็นโซลูชันเดียวสำหรับรับมือกับการโจมตีไซเบอร์อีกต่อไป องค์กรควรมีการเพิ่มการป้องกันภายในระบบเครือข่ายของตนหลังจากที่แฮ็คเกอร์หลุดเข้ามาได้อีกด้วย

นั่นหมายความว่า ควรมีการเพิ่มขึ้นตอนให้ชัดเจนหลังจากที่แฮ็คเกอร์สามารถเจาะทะลุเข้ามาในระบบเครือข่ายได้แล้ว Malone เรียก CyberKillChain ใหม่ที่เขาเพิ่มรายละเอียดลงไปว่า “The Expanded Cyber KillChain”

the_expanded_cyber_kill_chain

เน้นโฟกัสกิจกรรมที่เกิดขึ้นภายใน โดยเฉพาะเป้าหมายที่แท้จริง

Malone แบ่งขั้นตอนของ The Expanded CyberKillChain ออกเป็น 3 เฟสใหญ่ คือ External, Internal และ Target Manipulation

  • External (Legacy) CyberKillChain: CyberKillChain แบบดั้งเดิมที่นิยามกัน เป็นขั้นตอนการเจาะระบบเครือข่ายจากภายนอกเพื่อเข้าถึงระบบเครือข่ายภายใน แล้วจึงดำเนินกิจกรรมตามต้องการ
  • Internal Kill Chain: ขั้นตอนการโจมตีของแฮ็คเกอร์หลังจากเข้ามายังระบบเครือข่ายได้แล้ว โดยแบ่งเป็น 5 ขั้นตอนย่อย คือ
    1. Internal Reconnaissance – ตรวจสอบระบบภายในพร้อมหาช่องโหว่ อาจใช้เวลา 1 – 2 สัปดาห์ หรือนานกว่านั้น
    2. Internal Exploitation – เจาะระบบภายในผ่านช่องโหว่ต่อ
    3. Enterprise Privilege Escalation – ยกระดับสิทธิ์ของตน และสร้าง Trust เพื่อให้ได้สิทธิ์การเข้าถึงที่สูงยิ่งขึ้น
    4. Lateral Movement – เมื่อได้สิทธิ์ระดับสูงแล้ว ก็ทำการค้นหาเป้าหมายที่ต้องการในพื้นที่หวงห้าม
    5. Target Manipulation – ทำการโจมตีเป้าหมายที่ต้องการ
  • Target Manipulation Kill Chain: ขั้นตอนการโจมตีเป้าหมายโดยเฉพาะเจาะจงของแฮ็คเกอร์ หลังจากที่ค้นหาเป้าหมายเจอแล้ว แบ่งเป็น 5 ขั้นตอนย่อยเช่นเดียวกัน คือ
    1. Target Reconnaissance – ตรวจสอบและทำความเข้าใจระบบของเป้าหมาย
    2. Target Exploitation – เจาะเข้าระบบเป้าหมายโดยอาศัย Trust หรือเจาะผ่านช่องโหว่
    3. Weaponization – สร้างมัลแวร์เฉพาะสำหรับโจมตีเป้าหมายหรือหยุดกระบวนการเชิงธุรกิจ
    4. Installation – ติดตั้งมัลแวร์บนระบบเป้าหมาย
    5. Execution – โจมตีเป้าหมายตามวัตถุประสงค์ที่ตนต้องการ

นอกจากขยายรายละเอียดขั้นตอนที่เกิดขึ้นภายในแล้ว Malone ยังให้คำแนะนำทางด้าน Tactics, Techniques และ Procedures (TTP) ทั้งของฝั่งผู้โจมตีและผู้ป้องกันอีกด้วย ผู้ที่สนใจโมเดล The Expanded Cyber Kill Chain สามารถดาวน์โหลดสไลด์ของ Malone ในงาน Black Hat USA 2016 ได้ที่ http://www.seantmalone.com/docs/us-16-Malone-Using-an-ExpandedModel-to-Increase-Attack-Resiliency.pdf

ทั้งนี้ Malone ยังแนะนำอีกว่า บริษัทควรวางแผนรับมือกับในทุกๆ ขั้นตอน เนื่องจากถ้าหยุดยั้งขั้นตอนใดขั้นตอนหนึ่งได้ ก็จะหยุดห่วงโซ่การโจมตีทั้งหมด หรือถึงแม้จะหยุดยั้งไม่ได้ ก็ยังช่วยให้แฮ็คเกอร์สามารถโจมตีได้ช้าลง และต้องลงทุนค่าใช้จ่ายมากขึ้น นอกจากนี้ ทีมความมั่นคงปลอดภัยไซเบอร์ของบริษัทควรวางแผนสำหรับการรายงานการถูกเจาะระบบออกสื่อต่างๆ การดำเนินงานกิจกรรมเกี่ยวกับกฏหมาย และรับมือกับสื่อต่างๆ ที่อาจจะพาดหัวเหตุการณ์ที่เกิดขึ้น

ที่มา: http://www.networkworld.com/article/3104