ห่วงโซ่การโจมตีทางไซเบอร์คืออะไร

ในปี 2011 Lockheed Martin ได้ปรับเปลี่ยนแนวคิดทางการทหารที่เรียกว่าห่วงโซ่การโจมตีทางไซเบอร์สำหรับอุตสาหกรรมการรักษาความปลอดภัยทางไซเบอร์และตั้งชื่อว่าห่วงโซ่การโจมตีทางไซเบอร์ เช่นเดียวกับห่วงโซ่การโจมตี ห่วงโซ่การโจมตีทางไซเบอร์นี้จะระบุขั้นตอนของการโจมตีและให้ข้อมูลเชิงลึกแก่ผู้ปกป้องเกี่ยวกับกลยุทธ์และเทคนิคทั่วไปของปรปักษ์ในแต่ละขั้นตอน แบบจำลองทั้งสองแบบยังสอดคล้องตามความคาดหวังที่ผู้โจมตีจะทำตามแต่ละขั้นตอนตามลำดับ

นับตั้งแต่มีการเปิดตัวห่วงโซ่การโจมตีทางไซเบอร์เป็นครั้งแรก ผู้ดำเนินการภัยคุกคามทางไซเบอร์ได้พัฒนากลยุทธ์และไม่ได้ทำตามทุกขั้นตอนของห่วงโซ่การโจมตีทางไซเบอร์เสมอไป ในการตอบสนอง อุตสาหกรรมความปลอดภัยได้อัปเดตวิธีการและพัฒนาแบบจำลองใหม่ เมทริกซ์ MITRE ATT&CK® คือรายการกลยุทธ์และเทคนิคโดยละเอียดตามการโจมตีจริง ซึ่งใช้ขั้นตอนที่คล้ายกันเป็นห่วงโซ่การโจมตีทางไซเบอร์ แต่ไม่เป็นไปตามลำดับเชิงเส้น

ในปี 2017 Paul Pols ในการทำงานร่วมกันกับ Fox-IT และ Leiden University ได้พัฒนาเฟรมเวิร์กอื่น ได้แก่ ห่วงโซ่การโจมตีทางไซเบอร์แบบครบวงจร ซึ่งรวมองค์ประกอบของเมทริกซ์ MITRE ATT&CK และห่วงโซ่การโจมตีทางไซเบอร์ลงในแบบจำลองที่มี 18 ขั้นตอน

การสอดแนม

ห่วงโซ่การโจมตีทางไซเบอร์กำหนดลำดับของระยะการโจมตีทางไซเบอร์โดยมีเป้าหมายในการทําความเข้าใจความคิดของผู้โจมตีทางไซเบอร์ รวมถึงแรงจูงใจ เครื่องมือ วิธีการ และเทคนิค วิธีการตัดสินใจ และวิธีการหลบเลี่ยงการตรวจจับ การทำความเข้าใจวิธีการทำงานของห่วงโซ่การโจมตีทางไซเบอร์ช่วยให้ผู้ปกป้องหยุดการโจมตีทางไซเบอร์ในขั้นตอนแรกเริ่ม

ในระหว่างขั้นตอนการใช้เครื่องมือ ผู้ดำเนินการที่ไม่เหมาะสมจะใช้ข้อมูลที่ค้นพบในระหว่างการสอดแนมเพื่อสร้างหรือปรับเปลี่ยนมัลแวร์เพื่อใช้ประโยชน์จากจุดอ่อนขององค์กรที่กำหนดเป้าหมายได้ดีที่สุด

เมื่อพวกเขาสร้างมัลแวร์แล้ว ผู้โจมตีทางไซเบอร์จะพยายามเปิดใช้การโจมตี หนึ่งในวิธีการทั่วไปคือการใช้การโจมตีแบบวิศวกรรมสังคม เช่น ฟิชชิ่ง เพื่อหลอกให้พนักงานมอบข้อมูลประจำตัวการลงชื่อเข้าใช้ ผู้ดำเนินการที่ไม่ดีอาจเข้าถึงได้โดยการประโยชน์จากการเชื่อมต่อแบบไร้สายสาธารณะที่ไม่ค่อยปลอดภัยหรือการใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์หรือฮาร์ดแวร์ที่ค้นพบในระหว่างการสอดแนม

หลังจากผู้ดำเนินการภัยคุกคามทางไซเบอร์แทรกแซงองค์กร พวกเขาจะใช้การเข้าถึงเพื่อย้ายจากระบบหนึ่งไปยังอีกระบบหนึ่ง เป้าหมายของพวกเขาคือการค้นหาข้อมูลที่ละเอียดอ่อน ช่องโหว่เพิ่มเติม บัญชีผู้ดูแลระบบ หรือเซิร์ฟเวอร์อีเมลที่สามารถใช้เพื่อสร้างความเสียหายในองค์กร

ในขั้นตอนการติดตั้ง ผู้ดำเนินการที่ไม่ดีจะติดตั้งมัลแวร์ที่ทำให้พวกเขาสามารถควบคุมระบบและบัญชีเพิ่มเติมได้

หลังจากที่ผู้โจมตีทางไซเบอร์สามารถควบคุมระบบจำนวนมากได้ พวกเขาจะสร้างศูนย์ควบคุมที่ทำให้สามารถทำงานจากระยะไกลได้ ในระหว่างขั้นตอนนี้ พวกเขาใช้การบดบังเพื่อปกปิดร่องรอยและหลีกเลี่ยงการตรวจจับ นอกจากนี้ พวกเขายังใช้การโจมตีโดยปฏิเสธการให้บริการเพื่อเบี่ยงเบนความสนใจของผู้เชี่ยวชาญด้านความปลอดภัยจากวัตถุประสงค์ที่แท้จริง

ในขั้นตอนนี้ ผู้โจมตีทางไซเบอร์จะดำเนินการเพื่อให้บรรลุเป้าหมายหลัก ซึ่งอาจรวมถึงการโจมตีห่วงโซ่อุปทาน การบุกรุกขโมยข้อมูล การเข้ารหัสข้อมูล หรือการทำลายข้อมูล

แม้ว่าห่วงโซ่การโจมตีทางไซเบอร์แบบดั้งเดิมของ Lockhead Martin จะมีเพียงเจ็ดขั้นตอน แต่ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยทางไซเบอร์จำนวนมากได้ขยายให้เป็นแปดขั้นตอน เพื่อให้ครอบคลุมสำหรับกิจกรรมที่ผู้ดำเนินการที่ไม่ดีใช้เพื่อสร้างรายได้จากการโจมตี เช่น การใช้แรนซัมแวร์เพื่อเรียกการชำระเงินจากเหยื่อหรือการขายข้อมูลที่ละเอียดอ่อนใน Dark Web

การทำความเข้าใจวิธีที่ผู้ดำเนินการทางไซเบอร์วางแผนและดำเนินการโจมตีช่วยให้ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยทางไซเบอร์ค้นหาและลดช่องโหว่ทั่วทั้งองค์กร นอกจากนี้ยังช่วยให้พวกเขาระบุตัวบ่งชี้ของการละเมิดในช่วงเริ่มต้นของการโจมตีทางไซเบอร์ได้ องค์กรจำนวนมากใช้แบบจำลองห่วงโซ่การโจมตีทางไซเบอร์เพื่อวางมาตรการรักษาความปลอดภัยในเชิงรุกและเพื่อเป็นแนวทางในการตอบสนองต่อเหตุการณ์

ข่าวกรองเกี่ยวกับภัยคุกคาม

หนึ่งในเครื่องมือที่สำคัญที่สุดสำหรับการปกป้ององค์กรจากภัยคุกคามทางไซเบอร์คือ ข่าวกรองเกี่ยวกับภัยคุกคาม โซลูชันข่าวกรองเกี่ยวกับภัยคุกคามที่ดีจะสังเคราะห์ข้อมูลจากทั่วทั้งสภาพแวดล้อมขององค์กรและส่งมอบข้อมูลเชิงลึกที่สามารถดำเนินการได้ ซึ่งช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยตรวจจับการโจมตีทางไซเบอร์ได้ก่อนใคร

บ่อยครั้งที่ผู้ดำเนินการที่ไม่ดีแทรกซึมเข้าไปในองค์กรโดยการคาดเดาหรือการขโมยรหัสผ่าน หลังจากที่พวกเขาเข้ามาข้างใน พวกเขาจะพยายามเลื่อนระดับสิทธิ์เพื่อรับการเข้าถึงระบบและข้อมูลที่ละเอียดอ่อน โซลูชันระบบบริหารจัดการตัวตนและการเข้าถึงทรัพยากร: เรียนรู้วิธีการรักษาความปลอดภัย จัดการ และกำหนดบทบาทผู้ใช้และสิทธิ์การเข้าถึงของ IAMระบบบริหารจัดการตัวตนและการเข้าถึงทรัพยากรช่วยตรวจหากิจกรรมที่ผิดปกติ ซึ่งอาจเป็นการบ่งชี้ถึงผู้ใช้ที่ไม่ได้รับอนุญาตได้รับการเข้าถึง พวกเขายังมีการควบคุมและมาตรการรักษาความปลอดภัย เช่น การรับรองความถูกต้องโดยใช้สองปัจจัย ซึ่งทำให้ยากขึ้นสำหรับผู้อื่นที่ใช้ข้อมูลประจำตัวที่ถูกขโมยเพื่อลงชื่อเข้าใช้

องค์กรจำนวนมากรู้เท่าทันภัยคุกคามทางไซเบอร์ล่าสุดด้วยความช่วยเหลือของโซลูชัน Security Information and Event Management (SIEM) โซลูชัน SIEM จะรวบรวมข้อมูลจากทั่วทั้งองค์กรและจากแหล่งข้อมูลของบริษัทภายนอกเพื่อแสดงการโจมตีทางไซเบอร์ที่สำคัญให้ทีมด้านความปลอดภัยเพื่อคัดแยกและแก้ไข โซลูชัน SIEM จำนวนมากยังตอบสนองต่อภัยคุกคามที่รู้จักบางรายการโดยอัตโนมัติ ซึ่งลดจำนวนเหตุการณ์ที่ทีมจำเป็นต้องตรวจสอบ

ในองค์กรใดองค์กรหนึ่งมีจุดสิ้นสุดหลายร้อยหรือหลายพันจุด ระหว่างเซิร์ฟเวอร์ คอมพิวเตอร์ อุปกรณ์เคลื่อนที่ และอุปกรณ์อินเทอร์เน็ตในทุกสิ่ง (IoT) ที่บริษัทใช้เพื่อดำเนินธุรกิจ อาจแทบจะเป็นไปไม่ได้เลยที่จะอัปเดตอุปกรณ์ทั้งหมดให้ทันสมัยอยู่เสมอ ผู้ดำเนินการที่ไม่ดีทราบเรื่องนี้ ซึ่งเป็นสาเหตุที่การโจมตีทางไซเบอร์จํานวนมากเริ่มต้นด้วยจุดสิ้นสุดที่มีช่องโหว่ โซลูชันการตรวจหาและการตอบสนองปลายทางช่วยให้ทีมรักษาความปลอดภัยตรวจสอบภัยคุกคามและตอบสนองได้อย่างรวดเร็วเมื่อพบปัญหาด้านความปลอดภัยกับอุปกรณ์

โซลูชันการตรวจหาและการตอบสนองแบบขยาย (XDR) เรียนรู้วิธีที่โซลูชันการตรวจหาและการตอบสนองแบบขยาย (XDR) ให้การป้องกันภัยคุกคามและลดเวลาในการตอบสนองในปริมาณงานการตรวจหาและการตอบสนองแบบขยาย (XDR) ใช้การตรวจหาและการตอบสนองปลายทางอีกหนึ่งขั้นตอนด้วยโซลูชันเดียวที่ปกป้องจุดสิ้นสุด ข้อมูลประจำตัว แอปในคลาวด์ และอีเมล

บางบริษัทไม่มีทรัพยากรภายในองค์กรที่สามารถตรวจหาและตอบสนองต่อภัยคุกคามได้อย่างมีประสิทธิภาพ เมื่อต้องการเพิ่มทีมรักษาความปลอดภัยที่มีอยู่ องค์กรเหล่านี้จะเปลี่ยนเป็นผู้ให้บริการที่เสนอการตรวจหาและการตอบสนองที่มีการจัดการ ผู้ให้บริการเหล่านี้มีหน้าที่รับผิดชอบในการตรวจสอบสภาพแวดล้อมขององค์กรและการตอบสนองต่อภัยคุกคาม

แม้ว่าการทำความเข้าใจห่วงโซ่การโจมตีทางไซเบอร์สามารถช่วยให้บริษัทและรัฐบาลเตรียมพร้อมและตอบสนองต่อภัยคุกคามทางไซเบอร์ที่ซับซ้อนและมีหลายขั้นตอนในเชิงรุกได้ แต่การพึ่งพาห่วงโซ่การโจมตีทางไซเบอร์เพียงอย่างเดียวอาจทำให้องค์กรมีความเสี่ยงต่อภัยคุกคามทางไซเบอร์ชนิดอื่น คำวิจารณ์ทั่วไปบางประการเกี่ยวกับห่วงโซ่การโจมตีทางไซเบอร์มีดังนี้:

• มุ่งเน้นไปที่มัลแวร์ เฟรมเวิร์กห่วงโซ่การโจมตีทางไซเบอร์เดิมได้รับการออกแบบมาเพื่อตรวจหาและตอบสนองต่อมัลแวร์และไม่ได้ผลกับการโจมตีประเภทอื่น เช่น ผู้ใช้ที่ไม่ได้รับอนุญาตที่สามารถเข้าถึงด้วยข้อมูลประจำตัวที่ถูกโจมตี

• เหมาะสําหรับความปลอดภัยที่มีขอบเขต ด้วยการเน้นการป้องกันจุดสิ้นสุด แบบจำลองห่วงโซ่การโจมตีทางไซเบอร์ทำงานได้ดีเมื่อมีขอบเขตเครือข่ายเดียวเพื่อป้องกัน ตอนนี้ด้วยพนักงานทางไกล ระบบคลาวด์ และจำนวนอุปกรณ์ที่ขยายตัวอย่างต่อเนื่องจำนวนมากที่เข้าถึงแอสเซทของบริษัท จึงแทบจะเป็นไปไม่ได้เลยที่จะจัดการกับช่องโหว่ทุกจุดสิ้นสุด

• ไม่พร้อมรับมือกับภัยคุกคามภายใน Insider ที่มีการเข้าถึงบางระบบจะตรวจจับได้ยากขึ้นด้วยแบบจำลองห่วงโซ่การโจมตีทางไซเบอร์ องค์กรต้องตรวจสอบและตรวจหาการเปลี่ยนแปลงในกิจกรรมของผู้ใช้แทน

• ตามลำดับเกินไป แม้ว่าภัยคุกคามทางไซเบอร์จำนวนมากจะเป็นไปตามแปดขั้นตอนที่ระบุไว้ในห่วงโซ่การโจมตีทางไซเบอร์ แต่ก็ยังมีอีกจำนวนมากที่ไม่ได้เป็นไปตามนั้นหรือรวมหลายขั้นตอนไว้ในการดำเนินการเดียว องค์กรที่โฟกัสมากเกินไปในแต่ละขั้นตอนอาจพลาดภัยคุกคามทางไซเบอร์เหล่านี้

ตั้งแต่ปี 2011 เมื่อ Lockhead Martin เปิดตัวห่วงโซ่การโจมตีทางไซเบอร์เป็นครั้งแรก มีการเปลี่ยนแปลงจำนวนมากในเทคโนโลยีและภูมิทัศน์ภัยคุกคามทางไซเบอร์ การประมวลผลแบบคลาวด์ อุปกรณ์เคลื่อนที่ และอุปกรณ์ IoT ได้เปลี่ยนแปลงวิธีการทำงานของผู้คนและธุรกิจ ผู้ดำเนินการภัยคุกคามทางไซเบอร์ได้ตอบสนองต่อเทคโนโลยีใหม่ๆ เหล่านี้ด้วยนวัตกรรมของตนเอง รวมถึงการใช้ระบบอัตโนมัติและ AI เพื่อเร่งความเร็วและปรับปรุงการโจมตีทางไซเบอร์ ห่วงโซ่การโจมตีทางไซเบอร์เป็นจุดเริ่มต้นที่ดีสำหรับการพัฒนากลยุทธ์การรักษาความปลอดภัยเชิงรุกที่คำนึงถึงความคิดและวัตถุประสงค์ของผู้โจมตีทางไซเบอร์ Microsoft Security มีแพลตฟอร์ม SecOps แบบรวมศูนย์รวมการดำเนินการรักษาความปลอดภัยของคุณ (SecOps) ในการป้องกัน การตรวจหา และการตอบสนองด้วยแพลตฟอร์มที่ขับเคลื่อนโดย AIแพลตฟอร์ม SecOps แบบรวมที่มี XDR และ SIEM ไว้ในโซลูชันที่ปรับเปลี่ยนได้โซลูชันเดียวเพื่อช่วยองค์กรพัฒนาการป้องกันหลายชั้นที่ปกป้องทุกขั้นตอนในห่วงโซ่การโจมตีทางไซเบอร์ และองค์กรต่างๆ ยังเตรียมพร้อมสำหรับภัยคุกคามทางไซเบอร์ที่ขับเคลื่อนโดย AI และเกิดขึ้นใหม่โดยการลงทุนในโซลูชัน AI สำหรับการรักษาความปลอดภัยทางไซเบอร์ เช่น Microsoft Security Copilot