share

วิธีป้องกันไม่ให้ Hunter-killer Malware ทำลายระบบการควบคุมความปลอดภัย

Last updated: 27 May 2024
268 Views
วิธีป้องกันไม่ให้ Hunter-killer Malware ทำลายระบบการควบคุมความปลอดภัย

วิธีป้องกันไม่ให้ Hunter-killer Malware ทำลายระบบการควบคุมความปลอดภัย

Hunter-killer Malware ได้กลายเป็นปัญหาอันดับต้นๆ ในหลายองค์กรทั่วโลกไปแล้ว เพราะเป็นซอฟต์แวร์ที่สามารถค้นหาและกำจัดเป้าหมายเฉพาะซึ่งมักจะมีจุดประสงค์เพื่อขัดขวางหรือทำลายการควบคุมความปลอดภัยเชิงป้องกันและนี่ถือเป็นการเปลี่ยนแปลงอีกครั้งเลยก็ว่าได้

มีการวิจัยโดยนำตัวอย่างมัลแวร์ 6 แสนตัวอย่างมาวิเคราะห์และพบว่า 70% ของมัลแวร์ใช้กลยุทธ์การลักลอบเข้าระบบและฝังตัวอยู่ในเครือข่ายทำให้มีการโจมตีไฟล์และข้อมูลเพิ่มขึ้นถึง 150%

อีกทั้งยังสามารถขัดขวางประสิทธิภาพในการควบคุมความปลอดภัยและการตรวจจับภัยคุกคามได้อีกด้วย นอกจากนี้เทคนิคที่กำหนดเป้าหมายการใช้งานโปรโตคอล Application Layer เพิ่มขึ้นถึง 176% โดยเฉพาะอย่างยิ่งในรูปแบบแรนซัมแวร์ขู่กรรโชกซ้ำซ้อน

ผู้เชี่ยวชาญจึงรวบรวมเทคนิคการโจมตีที่พบบ่อยที่สุด 10 อันดับ ดังนี้

  • T1055 Process Injection: มีการใช้งานเพิ่มขึ้น 45% ภายในระยะเวลาเพียงหนึ่งปีเท่านั้น เพราะมีความสามารถในการแทรกโค้ดที่เป็นอันตรายลงในกระบวนการใช้งานจริงของเหยื่อโดยไม่มีใครสังเกตเห็น
  • T1059 Command and Scripting Interpreter: แฮกเกอร์สามารถจัดการและปิดบังกิจกรรมที่เป็นอันตรายโดยใช้เครื่องมือที่มีอยู่ในตัวเพื่อหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยแบบเดิมๆ
  • T1562 Impair Defenses: การโจมตีที่ปิดการใช้งานหรือขัดขวางเครื่องมือรักษาความปลอดภัยของระบบเครือข่าย
  • T1082 System Information Discovery: การโจมตีด้วยเทคนิคที่ซับซ้อนมากขึ้นซึ่งมุ่งเป้าไปที่การเข้าถึงข้อมูลสำคัญโดยไม่ได้รับอนุญาต
  • T1486 Data Encrypted for Impact: เป็นภัยคุกคามที่น่ากังวลเพราะสามารถเข้ารหัสข้อมูลเพื่อขู่กรรโชกและเรียกค่าไถ่องค์กรที่ตกเป็นเหยื่อ
  • T1003 OS Credential Dumping: แฮกเกอร์ได้รับสิทธิ์ขั้นสูงเพื่อข้ามผ่านเครือข่าย เข้าควบคุมเครื่องเป้าหมายในระบบ และยังสามารถเพิ่มสิทธิ์ในการเข้าถึงระบบเครือข่ายของเหยื่อได้ทุกระดับด้วย
  • T1071 Application Layer Protocol: มีการใช้เพิ่มขึ้นถึง 176% เพื่อขโมยข้อมูลภายในโดยเป็นแผนการขู่กรรโชกซ้ำซ้อนที่มีความซับซ้อนคล้ายกับแรนซัมแวร์
  • T1547 Boot หรือ Logon Autostart Execution: การบูตหรือล็อกออนอัตโนมัติเพื่อความปลอดภัยในการเข้าถึงเครือข่ายถือเป็นจุดเด่นของภัยคุกคามขั้นสูงแบบถาวร (Advanced Persistent Threats หรือ APT)
  • T1047 Windows Management Instrumentation: การโจมตีเครื่องมือการจัดการข้อมูลสำหรับระบบ Windows โดยรันคำสั่งและสคริปต์จากระยะไกลบนระบบที่ใช้ Windows ทำให้สามารถเลี่ยงการรักษาความปลอดภัยแบบเดิมๆ และเปิดใช้งานกิจกรรมที่เป็นอันตรายต่างๆ รวมถึงการลาดตระเวน การควบคุมเครื่องเป้าหมายในระบบและการคงอยู่ภายในเครือข่ายที่ถูกบุกรุก
  • T1027 ไฟล์หรือข้อมูลที่สร้างความสับสน: การโจมตีที่มีจุดมุ่งหมายเพื่อทำลายประสิทธิภาพของมาตรการรักษาความปลอดภัยและซ่อนการกระทำที่เป็นอันตรายทำให้การตรวจจับการโจมตี การเก็บรวบรวมเพื่อการวิเคราะห์หลักฐานทางดิจิตอล และจัดการตอบสนองต่อเหตุการณ์ได้ยากยิ่งขึ้น

ผมจึงมองถึงความจำเป็นของการมีกลยุทธ์การตรวจจับและการตอบสนองที่มีประสิทธิภาพภายในระบบรักษาความปลอดภัยทางด้านไอทีเพราะการมีแนวทางการป้องกันเชิงลึก อย่าง Zero Trust, machine learning การยืนยันตัวตนแบบหลายปัจจัย (MFA) การผสมผสานการวิเคราะห์พฤติกรรมขั้นสูง

รวมถึงการใช้ประโยชน์จากปัญญาประดิษฐ์ (AI) ที่ออกแบบมาสำหรับตรวจจับความผิดปกติจะเพื่อช่วยลดอัตราการถูกโจมตีให้น้อยลง

นอกจากนี้การตรวจสอบความถูกต้องของระบบอยู่เป็นประจำถือเป็นสิ่งสำคัญอย่างยิ่งในการพิสูจน์ว่ามาตรการรักษาความปลอดภัยของคุณแข็งแกร่งอย่างที่คุณคิดแล้วหรือยังครับ

สามารถติดตามบทความจาก CEO ผ่านทางบทความ Think Secure โดย คุณนักรบ เนียมนามธรรม (นักรบ มือปราบไวรัส) เป็นประจำทุกสัปดาห์ ได้ทางหนังสือพิมพ์กรุงเทพธุรกิจ หรือช่องทาง Online ที่ https://www.bangkokbiznews.com/category/tech/gadget  

ที่มา: หนังสือพิมพ์กรุงเทพธุรกิจ (ฉบับวันที่ 14 พฤษภาคม 2567)
https://www.bangkokbiznews.com/tech/gadget/1126647  

Related Content
This website uses cookies to enhance your experience and providing the best service from us. Please confirm the acceptance. You can learn more about our use of cookies from our Policy. Privacy Policy and Cookies Policy
Compare product
0/4
Remove all
Compare