Cyber Threat The Series : Cyber Espionage
“จารกรรมทางไซเบอร์” ภัยร้ายต่อข้อมูลลับ
จารกรรมหมายถึงการล้วงข้อมูลลับ ซึ่งโดยทั่วไปมีจุดประสงค์เพื่อสร้างความได้เปรียบทางการค้าให้กับบริษัทคู่แข่งหรือผลประโยชน์ในการต่อต้านองค์กรต่าง ๆ ทั้งภาครัฐและเอกชน
ในยุคที่ข้อมูลสารสนเทศอยู่บนคอมพิวเตอร์ที่เชื่อมโยงกันเป็นเครือข่ายโดยเฉพาะบนโลกอินเทอร์เน็ตนั้น จารกรรมจึงต้องอาศัยกลวิธีมากมายในการ “เจาะ” คอมพิวเตอร์และระบบเครือข่ายคอมพิวเตอร์ เกิดเป็นการโจมตีในรูปแบบที่มีชื่อเรียกว่า “จารกรรมทางไซเบอร์” ( Cyber Espionage หรือ Cyber Spying )
แน่นอนว่า ถ้าข้อมูลลับยิ่งมีความสำคัญต่อการเงิน เศรษฐกิจ ปฏิบัติการทางทหาร การเมือง หรือชื่อเสียงของบุคคลหรือองค์กรมากเท่าใด วิศวกรผู้ออกแบบระบบคอมพิวเตอร์สารสนเทศที่เก็บข้อมูลนั้น ก็ยิ่งประยุกต์ใช้มาตรการที่รัดกุมและมั่นคงปลอดภัยในการปกป้องข้อมูลนั้นไม่ให้ผู้ที่ไม่สิทธิ์เข้าถึงสามารถเข้าถึงได้
ดังนั้น การที่ผู้หนึ่งผู้ใดจะเจาะผ่านมาตรการเหล่านี้ และแทรกซึมสอดแนมอยู่เงียบ ๆ โดยไม่มีใครพบเห็นเมื่อเจาะผ่านเข้าไปได้แล้ว จึงเป็นเรื่องซับซ้อนและ “แพง” ในแง่ทรัพยากรต่าง ๆ ที่ต้องใช้
ปัจจุบันจึงเห็นได้ว่า จารกรรมทางไซเบอร์ที่สร้างความเสียหายได้จนเป็นข่าวโด่งดัง มักดำเนินการเป็นหมู่คณะและมีผู้หนุนหลังที่มีทรัพยากรสนับสนุนให้ได้อย่างเพียงพอ ตัวอย่างกลุ่มจารกรรมที่รัฐบาลและองค์กรใหญ่ ๆ ต้องระวังเป็นพิเศษก็เช่น Cozy Bear และ Deep Panda
บุคคลหรือกลุ่มบุคคลที่เป็นภัยคุกคามทางไซเบอร์ มีความสามารถขั้นสูง และทำงานต่อเนื่องยาวนานเป็นกิจลักษณะ มีชื่อเรียกรวม ๆ ว่า advanced persistent threat หรือ APT ซึ่งเป็นวลีที่พบเห็นได้ทั่วไปในสื่อ เนื่องจากในวงการวิจัยและธุรกิจต่อต้านภัยคุกคามทางไซเบอร์นิยมเรียก APT ด้วยตัวเลขเพื่อประโยชน์ในการศึกษาและจัดจำแนก เช่น APT29 ใช้เรียก Cozy Bear และกลุ่มอื่น ๆ ที่มีจุดประสงค์และเทคนิควิธีการคล้ายคลึงกัน
สามขั้นตอนหลัก
จารกรรมทางไซเบอร์สามารถมองได้ว่าประกอบด้วยสามขั้นตอนหลักคือ “เจาะ-ขยับขยาย-สกัด” (infiltrate-escalate-exfiltrate)
ขั้นตอนการเจาะเริ่มแรกอาจจะใช้เทคนิคเช่น อีเมลที่มีลิงค์ไปยังเว็บไซต์หลอกให้กรอกข้อมูล (phishing email) โดยอาจจะเริ่มจากพนักงานระดับล่างขององค์กรก่อน และใช้ข้อมูลที่ได้ (เช่น username และ password เข้าอีเมล) หลอกพนักงานหรือผู้บริหารระดับอื่นไปเรื่อย ๆ จนหาทางเข้าสู่ระบบเป้าหมายได้ เป็นต้น
ต่อมา เมื่อเข้าสู่ระบบคอมพิวเตอร์หรือเครือข่ายที่ต้องการได้ระดับหนึ่งแล้ว ผู้ไม่ประสงค์ดีก็จะขยับขยายการเข้าถึง โดยสอดส่องว่ามีส่วนใดให้เจาะอีกบ้าง มีข้อมูลใดอื่นที่นำมายกระดับการเข้าถึงให้ลึกเข้าไปอีกได้บ้าง มีช่องโหว่อะไรให้แสวงประโยชน์ได้บ้าง และติดตั้งซอฟต์แวร์ “ประตูหลัง” ไว้สำหรับเข้าๆ ออกๆ ระบบได้เรื่อยๆ โดยไม่มีใครพบเห็น รวมทั้งสะสมรวบรวมข้อมูลเงียบๆ โดยยังไม่ดึงออกมา เพื่อไม่ให้ไก่ตื่น
สุดท้าย เมื่อขยับขยายจนได้ระดับการเข้าถึงที่ต้องการ และสะสมรวบรวมข้อมูลจนเป็นที่น่าพอใจแล้ว ผู้ไม่ประสงค์ดีก็จะสกัดคัดลอกข้อมูลที่ต้องการออกจากระบบ โดยในระหว่างนั้นอาจดำเนินการอย่างอื่นร่วมด้วยเพื่อเบี่ยงเบนความสนใจของแผนกป้องกันภัยคุกคามขององค์กรนั้น ๆ เช่น โจมตีให้เซิร์ฟเวอร์หนึ่งล่ม ในขณะที่กำลังดูดข้อมูลออกจากอีกเซิร์ฟเวอร์หนึ่ง เป็นต้น
การป้องกันจารกรรมทางไซเบอร์
มาตรการที่สำคัญอย่างแรกคือ การอบรมพนักงานและผู้บริหารให้เข้าใจนโยบายด้านความมั่นคงปลอดภัย และมีความรู้เท่าทันการหลอกลวงที่อาจจะเกิดขึ้นผ่านกลวิธีต่าง ๆ ทางสังคม โดยเฉพาะอีเมล ข้อความที่ส่งผ่านโปรแกรมแชต หรือเอกสารอื่นใดที่มีลิงค์ให้คลิก
มาตรการที่สำคัญลำดับต่อมาคือ การตระเตรียมระบบคอมพิวเตอร์สารสนเทศให้มีความมั่นคงปลอดภัยด้วยเทคนิคต่าง ๆ ไม่ว่าจะเป็น การจัดการการเข้าถึงข้อมูลอย่างรัดกุม การออกแบบทางเข้าออกเครือข่ายอย่างรอบคอบ การรักษาซอฟต์แวร์ที่ใช้งานไม่ให้มีช่องโหว่ การตรวจสอบเฝ้าดูกิจกรรมบนระบบอย่างต่อเนื่องว่ามีอะไรผิดสังเกตหรือไม่ (เช่น อยู่ดี ๆ มีการใช้งานตอนดึก ๆ บ่อย ๆ ทั้งที่ปกติไม่ค่อยเกิดขึ้น) เป็นต้น
และสุดท้าย สิ่งที่สำคัญที่สุดเมื่อสงสัยหรือตรวจพบว่าระบบถูกเจาะเข้ามาแล้ว คือ “ความเร็ว” แผนกป้องกันภัยคุกคามขององค์กรต้องมีความสามารถในการตอบสนองต่อภัยคุกคามได้อย่างรวดเร็ว ตั้งแต่ ตรวจพบความผิดสังเกตได้อย่างรวดเร็ว สืบเสาะดูกิจกรรมที่ผู้ไม่ประสงค์ดีขยับขยายอยู่ในระบบได้อย่างรวดเร็ว และบรรเทาความเสียหายได้อย่างรวดเร็ว (อาทิ ตัดการโอนย้ายข้อมูลที่กำลังถูกขโมย กู้คืนข้อมูลที่ถูกทำลาย)
รายงาน 2022 Global Threat Report ของ Crowdstrike หนึ่งในบริษัทด้านความมั่นคงปลอดภัยระดับต้น ๆ ของสหรัฐอเมริกา พบว่า ทุกวันนี้ breakout time หรือเวลาโดยเฉลี่ยที่ APT ใช้ตั้งแต่เริ่มเข้าสู่ระบบจนถึงสามารถขยับขยายเข้าถึงส่วนต่าง ๆ ที่ต้องการ สั้นแค่เพียงประมาณชั่วโมงครึ่งเท่านั้น
อ้างอิง
1. ได้รับมาเป็นจุดเริ่มต้นของบทความ: techtarget.com/searchsecurity/definition/cyber-espionage
2. ตัวอย่างชื่อ APT ที่ใช้เรียกกันในวงการ: attack.mitre.org/groups
3. ตัวอย่างชื่อ APT แบบตัวเลขที่ปรากฏในสื่อกระแสหลัก: http://bloomberg.com/.../russian-state-hackers-breached...
4. การมองแบบสามขั้นตอนหลัก: http://crowdstrike.com/cyb.../advanced-persistent-threat-apt
5. 2022 Global Threat Report: crowdstrike.com/global-threat-report
ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์
ติดต่อเรา Cloudsec Asia
ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิก
Tel.+66 2117 9668
#cybersecurity
#cybersecurityisamust
#cloudsecasia
References
Attack.mitre.org. 2022. Groups | MITRE ATT&CK®. [online] Available at: [Accessed 17 May 2022].
crowdstrike, 2022. 2022 Global Threat Report. [online] Sunnyvale, CA. Available at: [Accessed 17 May 2022].
crowdstrike.com. 2022. What is an Advanced Persistent Threat (APT)? | CrowdStrike. [online] Available at: [Accessed 17 May 2022].
Gillis, A., 2021. What is Cyber Espionage? How to Protect Against It. [online] SearchSecurity. Available at: [Accessed 17 May 2022].
Turton, W. and Jacobs, J., 2021. Russia ‘Cozy Bear’ Breached GOP as Ransomware Attack Hit. [online] Bloomberg.com. Available at: [Accessed 17 May 2022].
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
