การแข่งขันทางอาวุธระหว่างอาชญากรไซเบอร์และอาชญากรไซเบอร์กำลังเติบโตอย่างรวดเร็ว เนื่องจากความก้าวหน้าในเทคโนโลยีและแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ไปพร้อมๆ กันกับอาชญากรไซเบอร์ที่มีความซับซ้อนโดยใช้เทคนิคและวิธีการที่เป็นนวัตกรรมใหม่ เพื่อให้เข้าใจสถานะปัจจุบันของการต่อสู้ที่กำลังดำเนินอยู่ระหว่างฝ่ายปกป้องและผู้โจมตีได้ดีขึ้น เราจำเป็นต้องตรวจสอบแนวโน้มปัจจุบันของการแฮ็ก รวมถึงแนวทางปฏิบัติที่ดีที่สุดที่ผู้เชี่ยวชาญด้านความปลอดภัยสามารถใช้เพื่อให้แน่ใจว่าเครือข่ายของพวกเขาเป็นไปตามข้อกำหนด เตรียมพร้อมสำหรับอาชญากรรมไซเบอร์ยุคใหม่ แนวโน้มที่เด่นชัดที่สุดที่เห็นตลอดปี 2019 น่าจะเป็นการเพิ่มขึ้นของ “การกระโดดข้ามเกาะ” การศึกษาล่าสุดเกี่ยวกับคาร์บอนแบล็กที่เผยให้เห็นการโจมตีทางไซเบอร์ในปัจจุบันใช้เทคนิคนี้ ทฤษฎีพื้นฐานเบื้องหลังการกระโดดข้ามเกาะคือการโจมตีเป้าหมายรองหรือตติยภูมิ ซึ่งผู้โจมตีสามารถเข้าถึงเป้าหมายหลักได้ แม้ว่าเทคนิคนี้จะไม่ใช่ของใหม่ แต่ก็มีรูปแบบใหม่เมื่อความชุกโดยรวมเพิ่มขึ้น นี่ควรเป็นแนวโน้มที่น่ากังวลสำหรับเราทุกคน เพราะมันบอกเป็นนัยว่าแม้ว่าองค์กรจะมีการรักษาความปลอดภัยเพียงพอที่จะต้านทานการโจมตี แต่การไม่มีมาตรการรักษาความปลอดภัยดังกล่าวในส่วนขององค์กรที่ทำธุรกิจด้วยก็สามารถละทิ้งพวกเขาได้ มีความเสี่ยง.
ประเภทการกระโดดเกาะ
รูปแบบของการกระโดดข้ามเกาะสามรูปแบบที่องค์กรควรทราบในขณะนี้ ได้แก่ Network Island, Waterside Attacks และ Reverse Business Email Compromise (BEC) เครือข่ายแบบเกาะเป็นรูปแบบหนึ่งของเทคนิคที่พบบ่อยที่สุด และโดยทั่วไปรู้จักกันในชื่อคำนี้ ผู้โจมตีแทรกซึมเข้าไปในเครือข่ายเพื่อ "กระโดด" ไปยังเครือข่ายในเครือผ่านการกระโดดเกาะเครือข่าย เมื่อเร็วๆ นี้ มักมีการโจมตีแบบกำหนดเป้าหมายต่อ Managed Security Service Provider (MSSP) ของบริษัทเพื่อหลีกเลี่ยงการเชื่อมต่อเครือข่าย แม้ว่าจะพบได้น้อยกว่ามาก แต่การโจมตีแบบ "แอ่งน้ำ" ก็เป็นส่วนสำคัญของการโจมตีแบบเกาะต่อเกาะที่พบในต้นปี 2019 (17% ตามรายงานภัยคุกคามการตอบสนองต่อเหตุการณ์คาร์บอนล่าสุด) สีดำ). ในระหว่างการโจมตีเหล่านี้ แฮกเกอร์จะกำหนดเป้าหมายเว็บไซต์ที่พันธมิตรหรือลูกค้าขององค์กรที่พวกเขาพยายามละเมิดมักแวะเวียนมา โดยส่วนใหญ่แล้ว แฮกเกอร์จะฉีดมัลแวร์เข้าไปในไซต์เป้าหมาย จากนั้นจึงแพร่เชื้อไปยังผู้ใช้ของไซต์ ทำให้ผู้โจมตีได้รับข้อมูลหรือการเข้าถึงที่จำเป็นเพื่อก้าวไปสู่การโจมตีขั้นต่อไป การประนีประนอมทางอีเมลธุรกิจแบบย้อนกลับแสดงถึงแนวโน้มใหม่ของอาชญากรรมในโลกไซเบอร์ โดยเฉพาะอย่างยิ่งในภาคการเงิน การโจมตีเหล่านี้เกิดขึ้นเมื่อแฮกเกอร์จัดการเข้าควบคุมเมลเซิร์ฟเวอร์ของเหยื่อเพื่อเปิดการโจมตีมัลแวร์ที่ไม่มีไฟล์ต่อสมาชิกของบริษัทที่มีแนวโน้มที่จะเชื่อถือเมล อีเมลที่ถูกต้องเข้าสู่กล่องจดหมายของคุณ ผู้โจมตีทำการโจมตีประเภทนี้ด้วยเหตุผลหลายประการ แต่จำนวนการพยายามขโมยทรัพย์สินทางปัญญาได้เพิ่มขึ้นอย่างมาก เพิ่มขึ้น 17% จากไตรมาสก่อนหน้า ผลประโยชน์ทางการเงินยังคงเป็นเป้าหมายที่พบบ่อยที่สุด โดยคิดเป็น 61% ของการโจมตีลักพาตัวเกาะ เมื่อถามว่าทำไมองค์กรของพวกเขาจึงเสี่ยงต่อการโจมตีเหล่านี้ "การขาดการมองเห็น" ถูกระบุว่าเป็นอุปสรรคหลักในการตอบสนองต่อเหตุการณ์ดังกล่าว น่าเสียดายที่ปัญหาที่ทีมรักษาความปลอดภัยพบไม่ได้หยุดอยู่แค่นั้น
เครดิตภาพ: Shutterstock (ภาพ: © Shutterstock)
การตอบสนองต่อเหตุการณ์
ผู้โจมตีไม่พึงพอใจกับการโจมตีแบบทุบตีและการโจรกรรมที่เคยกำหนดขอบเขตของการแฮ็กอีกต่อไป ผู้โจมตีกำลังค้นหาวิธีใหม่ในการคงอยู่บนเครือข่ายของเหยื่อ แม้ว่าจะถูกตรวจพบแล้วก็ตาม ในการสำรวจล่าสุดของ Carbon Black ผู้ตอบแบบสอบถาม 56% เผชิญกับความพยายามในการตอบสนองต่อเหตุการณ์ ซึ่งเพิ่มขึ้น 5% จากไตรมาสก่อนหน้า ความพยายามเหล่านี้มักจะอยู่ในรูปแบบของกลยุทธ์การหลีกเลี่ยงโดยใช้ระบบ เช่น ไฟร์วอลล์หรือโซลูชั่นป้องกันไวรัส เพื่อประหยัดเวลาและบรรลุวัตถุประสงค์ที่แท้จริง จากข้อมูลของผู้ตอบแบบสอบถาม 87% รูปแบบการตอบสนองต่อเหตุการณ์ที่พบบ่อยที่สุดคือการทำลายบันทึกเหตุการณ์อย่างไม่ต้องสงสัย กลยุทธ์การทำลายล้างเหล่านี้ช่วยให้ผู้โจมตีสามารถปกปิดเส้นทางของตนและป้องกันไม่ให้ทีมรักษาความปลอดภัยส่องการโจมตีได้ เนื่องจาก 75% ของผู้ตอบแบบสอบถามกล่าวว่าบันทึกเหตุการณ์เป็นสิ่งประดิษฐ์ที่มีค่าที่สุดที่ทีมตอบสนองต่อเหตุการณ์ควรรวบรวมในระหว่างการสอบสวน ประสิทธิผลของกลยุทธ์นี้จึงไม่สามารถมองข้ามได้ ในสถานการณ์ตอบโต้เหตุการณ์ส่วนใหญ่ โดยทั่วไปแล้วผู้โจมตีจะใช้การเคลื่อนไหวจากด้านหนึ่งไปอีกด้าน ซึ่งพบได้ใน 70% ของคดีที่ได้รับรายงาน นอกจากนี้ 40% ของผู้ตอบแบบสอบถามรายงานการเคลื่อนไหวด้านข้างใน 90% ของการโจมตีที่พวกเขาพบเห็น ความยากลำบากที่เกิดขึ้นในการเคลื่อนไหวด้านข้างนั้นมีมากมาย เนื่องจากแฮกเกอร์สามารถปกปิดการเคลื่อนไหวของตนได้โดยการเลียนแบบการรับส่งข้อมูลปกติหรือแม้แต่ซ่อนกิจกรรมโดยใช้เครื่องมือการดูแลระบบยอดนิยม เช่น PowerShell (ดูโดย 98% ของผู้ตอบแบบสอบถาม GIRTR) หรือ Windows Instrumentation การจัดการ (เห็นโดย 83 เปอร์เซ็นต์ ของผู้ตอบแบบสอบถาม GIRTR)จะตอบยังไงดี?
เมื่อมองไปที่ความท้าทายดูเหมือนว่ามุมมองจะไม่ชัดเจนสำหรับทีมรักษาความปลอดภัยที่พยายามปกป้องเครือข่ายของพวกเขา แต่ด้วยการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สำคัญหลายประการผู้เชี่ยวชาญด้านความปลอดภัยสามารถเตรียมความพร้อมสำหรับการต่อสู้กับอาชญากรรมไซเบอร์ได้ดีขึ้น- มีแผนสำรองสำหรับการตั้งค่าสภาพแวดล้อมการทำงานใหม่ - มักจะต้องมีการตั้งค่าสภาพแวดล้อมใหม่ในกรณีที่เกิดเหตุการณ์ ดังนั้นให้แน่ใจว่าคุณมีแผนที่จะสร้าง ASAP
- อย่าเปิดไฟทันที - ให้มากที่สุดใช้เวลาสังเกตคู่ต่อสู้ของคุณหลังจากตรวจจับเพื่อดูว่าเขาเข้าถึงที่ไหนและเป้าหมายของเขาคืออะไร วิธีนี้จะช่วยให้มั่นใจได้ว่าเมื่อคุณลบแบบฟอร์มจะดีขึ้น
- สำรองข้อมูลของคุณ - ผู้โจมตีต้องการทำลายบันทึกเหตุการณ์ของคุณอย่าทิ้งไว้ เก็บข้อมูลที่บันทึกและบันทึกไว้ในที่ปลอดภัยสำหรับทีมรักษาความปลอดภัย
- ลดเสียงรบกวน: เทคโนโลยีใหม่ช่วยให้ทีมรักษาความปลอดภัยมีข้อมูลมากขึ้นกว่าเดิม แต่จะไร้ประโยชน์หากไม่มีวิธีจัดลำดับความสำคัญและบริบท อย่าลืมสร้างกรอบการทำงานที่ช่วยให้ทีมเข้าใจสิ่งที่พวกเขากำลังมองเห็นได้อย่างรวดเร็วและดำเนินการแทรกแซงที่เหมาะสมและวัดผลได้
- วางแผนและเตรียมพร้อม - เหตุการณ์ด้านความปลอดภัยเป็นสิ่งที่หลีกเลี่ยงไม่ได้ ดังนั้นการมีแผนรับมือกับเหตุการณ์หรือแม้แต่ทีมรับมือเหตุการณ์ที่มีการเก็บรักษาจะช่วยให้มั่นใจได้ว่าคุณจะสามารถตอบสนองได้อย่างรวดเร็วและมีประสิทธิภาพ
- สร้างใหม่ตั้งแต่ต้นและรวมการตรวจจับปลายทางและการตอบสนอง: วิธีที่ง่ายและมีประสิทธิภาพที่สุดในการปรับปรุงความปลอดภัยของคุณคือการเริ่มต้นใหม่ตั้งแต่ต้นและตรวจสอบให้แน่ใจว่าคุณได้รวมเทคโนโลยีขั้นสูงใหม่ ๆ ที่ช่วยให้การรักษาความปลอดภัยทางไซเบอร์สามารถเข้าถึงระดับความสูงใหม่ ๆ เช่นการตรวจจับและการตอบสนองของจุดสิ้นสุด .