วันพุธที่ 18 มกราคม พ.ศ. 2566

Microsoft Cybersecurity ตอนที่ 1 (Cyber Kill Chain)

      สวัสดีครับทุกท่าน สำหรับบทความนี้จะเป็นบทความเริ่มต้นของเรื่องราว Microsoft Cybersecurity ครับ สำหรับท่านใดที่สนใจเรื่องราวดังกล่าวนี้ สามารถติดตาม WT Blog ของผมได้เลยครับ ตั้งใจว่าจะเขียนเรื่องราวเกี่ยวกับ Microsoft Cybersecurity หลายตอนครับ และเพื่อไม่ให้เป็นการเสียเวลา เรามาเริ่มตอนที่ 1 กันเลยครับ


Cyber Kill Chain คืออะไร?

โดยบทความตอนที่ 1 นี้จะเป็นเรื่องราวของ Framwork หนึ่งที่ชื่อว่า "Cyber Kill Chain" ซึ่งเป็นส่วนหนึ่งของ Inelligence Driven Defense Model ครับ โดย K. Lockheed Martin เป็นผู้คิดค้นขึ้นเพื่ออธิบายถึงขั้นตอนหรือกระบวนการต่างๆ ที่ Attackers จะพยายามหาและใช้เทคนิคตลอดจนวิธีการต่างๆ เข้าจู่โจม IT Environment ขององค์กรที่ตกเป็นเป้าหมายครับ เพื่อเข้าถึง Resources ต่างๆ ครับ  รูปด้านล่างคือ รูปของ Framework ดังกล่าว (Cyber Kill Chain) ที่แสดงถึงขั้นตอนต่างๆ ที่ Attackers จะดำเนินการเพื่อจู่โจมครับ เรามาดูทีละขั้นตอนครับ




1. Reconnaissance เป็นขั้นตอนที่ Attackers ทำการวางแผนตลอดจนทำการรวบรวมข้อมูลเกี่ยวกับองค์กรที่เป็นเป้าหมายของจู่โจม โดยการรวบรวมข้อมูลดังกล่าวนี้ Attackers จะใช้เทคนิคและวิธีการต่างๆ เช่น Social Media, Phishing, Scanning Management Ports, และอื่นๆ ครับ เป้าหมายของขั้นตอนนี้คือ พยายามหาช่องทางในการเข้าถึง IT Environment ขององค์กร

2. Intrusion หลังจากขั้นตอนแรกสำเร็จเรียบร้อยแล้ว Attackers จะพบช่องทางที่จะเข้าไปในระบบหรือ Systemts ต่างๆ ที่อยู่ภายใน Network จากนั้น Attackers ก็จะใช้เทคนิคตลอดจนวิธีการเข้าไปภายในระบบหรือ Systems ดังกล่าว เช่น การเดา Username และ Password (เช่น Brute-Force Attack เป็นต้น) ของผู้ใช้งานในองค์กรดังกล่าว

3. Exploitation เมื่อมาถึงขั้นตอนนี้ Attackers สามารถเข้าไปภายในระบบหรือ Systems ได้เรียบร้อยแล้ว เช่น ได้ข้อมูลของผู้ใช้งานในองค์กร จากนั้น Attackers จะดำเนินการต่างๆ ที่ไม่ดีหรือไม่เป็นผลดีกับองค์กรดังกล่าว เช่น ส่ง Malware เข้าไปในระบบหรือ Systems ขององค์กรดังกล่าว

4. Privilege Escalation ขั้นตอนดังกล่าวนี้ จะเป็นขั้นตอนที่ Attackers พยายามใช้เทคนิคและวิธีการต่างๆในการค้นหา User Accounts ที่มีสิทธิ์สูงๆ เช่น Administrator Accounts เพื่อจะได้เข้าถึง Resources ตลอดจนข้อมูลสำคัญๆ ขององค์กร

5. Lateral Movement เป็นขั้นตอนที่ Attackers จะเข้าถึงระบบต่างๆ ขององค์กรที่ตกเป็นเป้าหมาย เพื่อค้นหาข้อมูลสำคัญ (Most Valuable Assets) ขององค์กร เช่น เมื่อ Attackers จู่โจมและเข้าถึง Endpoints (เช่น Devices ของผู้ใช้งาน) ได้แล้ว สิ่งที่ Attackers ได้ไปแล้ว คือ ข้อมูลต่างๆ ของผู้ใช้งานและข้อมูลที่อยู่ใน Endpoints ดังกล่าว จากนั้น Attackers จะเข้าถึงระบบอื่นๆ ต่อจาก Endpoints เช่น เข้าถึง Virtual Machines, Applications, เป็นต้น เพื่อเข้าถึงข้อมูลสำคัญๆ ต่างๆ ขององค์กรต่อไป

6. Obfuscation/Anti-Forensics เป็นขั้นตอนที่ Attackers จะพยายามกลบร่องรอยที่เข้าถึงระบบต่างๆ เพื่อไม่ให้ถูกพบเจอ  เช่น Attackers ทำการสร้าง User Accounts ขึ้นมาใหม่ที่มีสิทธิ์ในการเข้าถึงข้อมูลต่างๆ ขององค์กรได้ (เพราะมีความเป็นไปได้ที่ User Account ที่ใช้ก่อนหน้านี้อาจจะใช้งานไม่ได้แล้ว เนื่องจากองค์กรดังกล่าวได้ทำการป้องกัน) ซึ่งถ้าดูเผินๆ User Account ดังกล่าวนี้ก็คือ User Account ปรกติที่สามารถสร้างขึ้นมาได้ตามความต้องการในแต่ละช่วงเวลา

7. Denial Of Service เป็นขั้นตอนที่ Attackers ทำการตัดหรือ Cut Off การเข้าถึง Resources ต่างๆ จากผู้ใช้งาน โดยใช้เทคนิคหรือวิธีการต่างๆ เช่น Ransomware, SYN Flood, และอื่นๆ

8. Exfiltration/Data Exfiltration เป็นขั้นตอนสุดท้ายของ Cyber Kill Chain นั่นหมายความถึงจุดที่ Attackers สามารถเข้าถึง Resources ตลอดจนข้อมูลสำคัญๆ (Most Valuable Assets) ได้เรียบร้อยแล้ว  และ Attackers ทำการนำเอาข้อมูลต่างๆ ออกจากระบบหรือ Systems ต่างๆ ขององค์กรไปยังที่ๆ  Attackers ได้เตรียมไว้ และนำเอาข้อมูลเหล่านั้นไปใช้งานต่อไปตามความต้องการ


และทั้งหมดนี้คือเรื่องราวของ Cyber Kill Chain ครับผม.....






ไม่มีความคิดเห็น:

แสดงความคิดเห็น