นักวิเคราะห์ SOC สามารถใช้ cyber kill chain ได้อย่างไร

Security Operation Centers (SOCs) นำเสนอวิธีการที่มีประสิทธิภาพในการรักษาความปลอดภัยทางไซเบอร์และความปลอดภัยภายในองค์กร ความต้องการของพวกเขาเพิ่มขึ้นอย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งกับการโจมตีทางไซเบอร์ที่เพิ่มขึ้นอย่างมากท่ามกลางช่องว่างทักษะความปลอดภัยทางไซเบอร์ที่ปรากฏขึ้น อย่างไรก็ตาม แม้จะมีการฝึกอบรมและความรู้มากมายของนักวิเคราะห์ SOC ทั่วไป การบรรเทาการโจมตีทางไซเบอร์ที่เพิ่มขึ้นก็ไม่ใช่เรื่องง่าย เมื่อเทียบกับปี 2020 อาชญากรรมในโลกไซเบอร์เพิ่มขึ้น 50% ในปี 2564 ซึ่งท้ายที่สุดแล้วต้องการการใช้รูปแบบการรักษาความปลอดภัยที่แข็งแกร่ง เช่น Cyber ​​Kill Chain Model ซึ่งสามารถช่วยให้องค์กรได้รับความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง

 

Cyber ​​Kill Model ที่พัฒนาขึ้นในปี 2011 เป็นรูปแบบการรักษาความปลอดภัยที่ได้รับการยอมรับอย่างกว้างขวาง ซึ่งช่วยให้นักวิเคราะห์ SOC และผู้ปฏิบัติงานด้านความปลอดภัยได้รับความปลอดภัยจากการโจมตีทางไซเบอร์หลายครั้ง อย่างไรก็ตาม แม้จะมีประโยชน์ แต่โมเดลก็ยังไม่ได้รับการยอมรับอย่างเหมาะสมเท่าที่ควร

 

---

Cyber kill chain คืออะไร?

Cyber kill chain model เป็นเฟรมเวิร์กการโจมตีความปลอดภัยทางไซเบอร์ที่ช่วยอธิบายวิธีดำเนินการโจมตีทางไซเบอร์โดยเฉพาะ ตามทฤษฎีแล้ว เฟรมเวิร์กช่วยแบ่งขั้นตอนที่ผู้คุกคามทำไปพร้อมๆ กับทำการโจมตีทางไซเบอร์ที่ประสบความสำเร็จ ตามแบบจำลอง มีเจ็ดขั้นตอนของการโจมตีทางไซเบอร์คือ:

– การลาดตระเวน

– อาวุธ

– จัดส่ง

– การเอารัดเอาเปรียบ

– การติดตั้ง

– คำสั่งและการควบคุม (C2)

– การดำเนินการตามวัตถุประสงค์

 

Cyber kill chain model ได้หักล้างวิธีการปราสาทและคูน้ำแบบดั้งเดิมในการบรรลุการรักษาความปลอดภัยในโลกไซเบอร์สำหรับองค์กร แบบจำลองนี้ช่วยระบุ วิเคราะห์ และป้องกันการโจมตีทางไซเบอร์ทั้งหมดแทน

 

พัฒนาขึ้นโดยเป็นส่วนหนึ่งของโมเดล Intelligence Driven Defense เพื่อระบุและป้องกันการโจมตีทางไซเบอร์และการขโมยข้อมูล โมเดลนี้ได้รับการยอมรับและใช้งานโดยผู้ปฏิบัติงานด้านความปลอดภัยต่างๆ ได้รับการยอมรับว่าเป็นวิธีที่ให้ข้อมูลมากที่สุดวิธีหนึ่งในการทำความเข้าใจการโจมตีทางไซเบอร์ และให้ความสำคัญกับการโจมตีทั้งด้านเทคโนโลยีและวิศวกรรมสังคม ความเข้าใจที่ถูกต้องเกี่ยวกับโมเดลสามารถช่วยป้องกันการโจมตีต่างๆ เช่น การละเมิดข้อมูล การยกระดับสิทธิ์ ฟิชชิง มัลแวร์ แรนซัมแวร์ วิศวกรรมสังคม และอื่นๆ อีกมากมาย

 

---

นักวิเคราะห์ SOC ใช้ Cyber kill chain อย่างไร

ระบบ SOC ถูกสร้างขึ้นภายในองค์กรเพื่อตรวจสอบ ตรวจจับ ตรวจสอบ และตอบสนองต่อการโจมตีทางไซเบอร์ต่างๆ ทีมงานมีหน้าที่ปกป้องข้อมูลที่ละเอียดอ่อนและทรัพย์สินขององค์กร เช่น ข้อมูลส่วนบุคคล ระบบธุรกิจ ความสมบูรณ์ของแบรนด์ และทรัพย์สินทางปัญญา ท่ามกลางสิ่งนี้ โมเดลห่วงโซ่การฆ่าทางไซเบอร์สามารถช่วยระบุและลดการโจมตีทางไซเบอร์ได้อย่างมีประสิทธิภาพ

 

เจ็ดขั้นตอนของรูปแบบการฆ่าในโลกไซเบอร์แสดงให้เห็นถึงเป้าหมายเฉพาะพร้อมกับเส้นทางของผู้คุกคาม ทีม SOC จึงสามารถใช้โมเดล Cyber ​​Kill Chain เพื่อทำความเข้าใจการโจมตีเหล่านี้และใช้การควบคุมความปลอดภัยเพื่อป้องกันและตรวจจับการโจมตีทางไซเบอร์ก่อนที่จะแทรกซึมเครือข่ายขององค์กรอย่างทั่วถึงด้วยวิธีต่อไปนี้:

 

1. การลาดตระเวน

 

นี่เป็นขั้นตอนแรกของ Cyber kill chain และเกี่ยวข้องกับผู้คุกคามที่ทำการวิจัยเป้าหมายที่เป็นไปได้ก่อนการโจมตีจริง เนื่องจากผู้คุกคามกำลังตามล่าหาช่องโหว่ภายในรูปแบบการรักษาความปลอดภัยทางไซเบอร์ขององค์กร นักวิเคราะห์ SOC จึงสามารถรับรองความปลอดภัยด้วยวิธีการต่างๆ

 

พวกเขาสามารถใช้ข้อมูลภัยคุกคามและระบบตรวจจับการบุกรุกเครือข่าย (IDS) เพื่อลดการโจมตีได้ นอกจากนี้ เพื่อลดโอกาสการโจมตี นักวิเคราะห์ SOC ยังสามารถรักษานโยบายการแบ่งปันข้อมูลและการควบคุมการเข้าถึงและใช้เครื่องมือความปลอดภัย เช่น VPN หรือไฟร์วอลล์

 

2. อาวุธยุทโธปกรณ์

 

ขั้นตอนที่สองของ Cyber kill chain จะอธิบายขั้นตอนการเตรียมการโจมตีทางไซเบอร์และขั้นตอนการแสดงละคร ผู้คุกคามยังไม่ได้โต้ตอบกับเป้าหมาย ในทางกลับกัน การโจมตีอยู่ในระหว่างเตรียมการ ซึ่งโดยทั่วไปแล้วจะมีการเชื่อมโยงไฟล์หรือซอฟต์แวร์ที่เป็นอันตรายเข้ากับช่องโหว่อัตโนมัติที่เรียกว่าตัวสร้างอาวุธ เช่น อีเมลฟิชชิ่ง

 

ในขั้นตอนนี้ นักวิเคราะห์ SOC สามารถตรวจจับการโจมตีโดยใช้การป้องกันมัลแวร์ปลายทาง รวมถึงการกรองพร็อกซี รายการที่อนุญาตพิเศษของแอปพลิเคชัน การติดตั้งไฟร์วอลล์ที่รับรู้แอป และอื่นๆ อีกมากมาย นักวิเคราะห์ SOC ยังปฏิเสธการโจมตีโดยใช้ Network Intrusion Prevention System (IPS)

 

3. Delivery

 

นี่เป็นหนึ่งในขั้นตอนที่สำคัญที่สุดของรูปแบบ Cyber kill chain ขั้นตอนนี้หมายถึงเครื่องมือและเทคนิคของผู้คุกคามในการแทรกซึมเครือข่ายของเป้าหมาย การจัดส่งมักประกอบด้วยอีเมลฟิชชิ่งที่มีไฟล์ที่เป็นอันตรายและข้อความแจ้งที่ดึงดูดให้ผู้ใช้เปิดอีเมลและติดตั้งมัลแวร์โดยไม่ได้ตั้งใจ การส่งมอบยังหมายถึงการโจมตีแบบแฮ็กซอฟต์แวร์หรือฮาร์ดแวร์ภายในองค์กรอีกด้วย

 

นักวิเคราะห์ SOC สามารถใช้รูปแบบการฆ่าทางไซเบอร์เพื่อป้องกันการโจมตีได้หลายวิธี สำหรับผู้เริ่มต้น พวกเขาสามารถรับรองความปลอดภัยปลายทางโดยมีซอฟต์แวร์ป้องกันมัลแวร์ที่แข็งแกร่งภายในระบบ นอกจากนั้น พวกเขายังสามารถใช้ซอฟต์แวร์ป้องกันฟิชชิ่งที่ช่วยให้ผู้ใช้รู้จักและลดการแจ้งเตือนเหล่านี้ได้ อีกวิธีหนึ่งในการรับรองความปลอดภัยและความปลอดภัยคือการปรับใช้โมดูลความปลอดภัย Zero-trust และใช้ไฟร์วอลล์ที่ปลอดภัยเพื่อลดการโจมตีจากการแฮ็ก

 

4. การเอารัดเอาเปรียบ

 

ขั้นตอนนี้ของรูปแบบ Cyber kill chain หมายถึงการโจมตีที่เกิดขึ้นจริง มักจะมุ่งเป้าไปที่ช่องโหว่ของแอปพลิเคชันหรือระบบปฏิบัติการ ณ จุดนี้ นักวิเคราะห์สันนิษฐานว่าได้ส่ง payload ที่เป็นอันตรายไปยังเหยื่อแล้ว และการเอารัดเอาเปรียบจะเรียกรหัสของผู้บุกรุก

 

ด้วยการโจมตีในขั้นตอนนี้ นักวิเคราะห์ SOC ยังคงสามารถรับรองความปลอดภัยได้โดยใช้การป้องกันมัลแวร์ปลายทางและระบบตรวจจับการบุกรุก (IDS) บนโฮสต์ นอกจากนี้ยังสามารถบรรเทาการโจมตีได้อย่างสมบูรณ์โดยใช้การจัดการแพตช์และเปิดใช้งานการใช้รหัสผ่านที่ปลอดภัย สมมติว่าทีม SOC พบการโจมตีเมื่อได้บุกรุกพื้นที่เฉพาะภายในเครือข่ายแล้ว ในกรณีดังกล่าว นักวิเคราะห์สามารถทำงานเพื่อควบคุมมันผ่านไฟร์วอลล์ที่รับรู้แอพและระบบตรวจจับการบุกรุกเครือข่ายระหว่างโซน

 

5. การติดตั้ง

 

ขั้นตอนการติดตั้งหมายถึงการหาช่องโหว่ที่เกิดขึ้นจริงภายในระบบเป้าหมาย ในสถานการณ์เช่นนี้ ความชัดเจนมักจะมองหาช่องโหว่เพิ่มเติมเพื่อใช้ประโยชน์ นอกจากนี้ยังอาจใช้การยกระดับสิทธิ์เพื่อเข้าถึงระบบเพิ่มเติม และติดตั้งโทรจันการเข้าถึงประตูหลังหรือระยะไกล ซึ่งสามารถใช้เพื่อให้มีความคงอยู่ภายในระบบ

 

ในการตรวจจับการโจมตีในขั้นตอนนี้ นักวิเคราะห์ SOC ปรับใช้การใช้ข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (SIEM) และ Host-Based Intrusion Detection System (HIDS) เพื่อตรวจจับการโจมตี หากการโจมตีใช้ประโยชน์จากโครงสร้างพื้นฐานด้านไอทีที่สำคัญ ทีม SOC สามารถยับยั้งการโจมตีได้โดยใช้ระบบตรวจจับเครือข่าย Inter-Zone โซนความเชื่อถือ และไฟร์วอลล์ที่รับรู้แอป นอกจากนี้ เพื่อป้องกันองค์กรจากการถูกโจมตี Cyber ​​Kill Model แนะนำให้ใช้รหัสผ่านที่รัดกุม การตรวจสอบสิทธิ์แบบหลายปัจจัยสำหรับปลายทาง และแนวทางปฏิบัติในการแยกสิทธิ์

 

6. คำสั่งและการควบคุม (C2)

ขั้นตอนนี้ของ Cyber ​​Kill Chain Model อ้างอิงถึงเซิร์ฟเวอร์ที่ควบคุมโดยผู้คุกคามและใช้เพื่อส่งคำสั่งไปยังระบบที่ถูกโจมตีหรือรับข้อมูลที่ถูกขโมย จนถึงตอนนี้ กิจกรรมของเซิร์ฟเวอร์ C2 เหล่านี้มีความชัดเจนในบริการบนคลาวด์ซึ่งมักใช้สำหรับการแชร์ไฟล์หรือในเว็บเมล เซิร์ฟเวอร์ C2 เหล่านี้หลีกเลี่ยงการตรวจจับโดยผสมผสานกับการรับส่งข้อมูลปกติ

 

เมื่ออยู่ในขั้นตอนนี้ นักวิเคราะห์ SOC สามารถตรวจจับและขัดขวางการโจมตีโดยใช้ระบบตรวจจับการบุกรุกบนโฮสต์ (HIDS) นักวิเคราะห์ SOC ยังสามารถพึ่งพา Network Intrusion Detection System (NIDS) ในการตรวจจับได้ Cyber ​​Kill Chain ยังช่วยปฏิเสธการโจมตีเซิร์ฟเวอร์ C2 โดยใช้การแบ่งส่วนเครือข่าย รายการควบคุมการเข้าถึง (ACL) และไฟร์วอลล์ นอกจากนี้ การโจมตีสามารถลดระดับลงได้ผ่านรูปแบบ Trapit และควบคุมเพิ่มเติมโดยใช้โซนความเชื่อถือและหลุมยุบของระบบชื่อโดเมน

 

7. การดำเนินการตามวัตถุประสงค์

ขั้นตอนสุดท้ายของรูปแบบ Cyber kill chain หมายถึงส่วนของการโจมตีที่ผู้คุกคามทำงานตามวัตถุประสงค์หลัก อาจเป็นการกระจายมัลแวร์ที่ทำการโจมตีแบบปฏิเสธการให้บริการ (DDoS) หรือปรับใช้แรนซัมแวร์เป็นเครื่องมือกรรโชกทางไซเบอร์

 

ในขั้นตอนนี้ นักวิเคราะห์ SOC สามารถใช้การป้องกันมัลแวร์ปลายทางและการเข้ารหัสข้อมูลที่อยู่นิ่งเพื่อลดการโจมตี นักวิเคราะห์ SOC ยังสามารถใช้โมเดลห่วงโซ่การฆ่าทางไซเบอร์เพื่อพัฒนาแผนรับมืออุบัติการณ์ที่แข็งแกร่งและปกป้ององค์กรจากความเสียหายที่มีนัยสำคัญ

 

---

สรุป

ภูมิทัศน์ภัยคุกคามทางไซเบอร์มีการพัฒนาอย่างต่อเนื่อง และทุกวันมีรูปแบบการโจมตีใหม่ๆ ซึ่งผู้คุกคามใช้เพื่อสร้างความเสียหายอย่างมีนัยสำคัญ ท่ามกลางสิ่งนี้ โมเดลความปลอดภัย เช่น ห่วงโซ่การฆ่าทางไซเบอร์ สามารถลดภาระงานของทีม SOC ได้อย่างมาก และรับประกันโครงสร้างพื้นฐานความปลอดภัยทางไซเบอร์ที่แข็งแกร่งขององค์กร ในขณะที่การโจมตีทางไซเบอร์ยังคงมีอยู่ รูปแบบการฆ่าทางไซเบอร์นำเสนอวิธีการที่มีประสิทธิภาพในการรักษาความปลอดภัยสำหรับการโจมตีทางไซเบอร์จำนวนมาก

 

How can SOC analysts use the cyber kill chain?