วิธีป้องกันไม่ให้ Hunter-killer Malware ทำลายระบบการควบคุมความปลอดภัย

วิธีป้องกันไม่ให้ Hunter-killer Malware ทำลายระบบการควบคุมความปลอดภัย

Hunter-killer Malware ได้กลายเป็นปัญหาอันดับต้นๆ ในหลายองค์กรทั่วโลกไปแล้ว เพราะเป็นซอฟต์แวร์ที่สามารถค้นหาและกำจัดเป้าหมายเฉพาะซึ่งมักจะมีจุดประสงค์เพื่อขัดขวางหรือทำลายการควบคุมความปลอดภัยเชิงป้องกันและนี่ถือเป็นการเปลี่ยนแปลงอีกครั้งเลยก็ว่าได้

มีการวิจัยโดยนำตัวอย่างมัลแวร์ 6 แสนตัวอย่างมาวิเคราะห์และพบว่า 70% ของมัลแวร์ใช้กลยุทธ์การลักลอบเข้าระบบและฝังตัวอยู่ในเครือข่ายทำให้มีการโจมตีไฟล์และข้อมูลเพิ่มขึ้นถึง 150%

อีกทั้งยังสามารถขัดขวางประสิทธิภาพในการควบคุมความปลอดภัยและการตรวจจับภัยคุกคามได้อีกด้วย นอกจากนี้เทคนิคที่กำหนดเป้าหมายการใช้งานโปรโตคอล Application Layer เพิ่มขึ้นถึง 176% โดยเฉพาะอย่างยิ่งในรูปแบบแรนซัมแวร์ขู่กรรโชกซ้ำซ้อน

ผู้เชี่ยวชาญจึงรวบรวมเทคนิคการโจมตีที่พบบ่อยที่สุด 10 อันดับ ดังนี้

• T1055 Process Injection: มีการใช้งานเพิ่มขึ้น 45% ภายในระยะเวลาเพียงหนึ่งปีเท่านั้น เพราะมีความสามารถในการแทรกโค้ดที่เป็นอันตรายลงในกระบวนการใช้งานจริงของเหยื่อโดยไม่มีใครสังเกตเห็น
• T1059 Command and Scripting Interpreter: แฮกเกอร์สามารถจัดการและปิดบังกิจกรรมที่เป็นอันตรายโดยใช้เครื่องมือที่มีอยู่ในตัวเพื่อหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยแบบเดิมๆ
• T1562 Impair Defenses: การโจมตีที่ปิดการใช้งานหรือขัดขวางเครื่องมือรักษาความปลอดภัยของระบบเครือข่าย
• T1082 System Information Discovery: การโจมตีด้วยเทคนิคที่ซับซ้อนมากขึ้นซึ่งมุ่งเป้าไปที่การเข้าถึงข้อมูลสำคัญโดยไม่ได้รับอนุญาต
• T1486 Data Encrypted for Impact: เป็นภัยคุกคามที่น่ากังวลเพราะสามารถเข้ารหัสข้อมูลเพื่อขู่กรรโชกและเรียกค่าไถ่องค์กรที่ตกเป็นเหยื่อ
• T1003 OS Credential Dumping: แฮกเกอร์ได้รับสิทธิ์ขั้นสูงเพื่อข้ามผ่านเครือข่าย เข้าควบคุมเครื่องเป้าหมายในระบบ และยังสามารถเพิ่มสิทธิ์ในการเข้าถึงระบบเครือข่ายของเหยื่อได้ทุกระดับด้วย
• T1071 Application Layer Protocol: มีการใช้เพิ่มขึ้นถึง 176% เพื่อขโมยข้อมูลภายในโดยเป็นแผนการขู่กรรโชกซ้ำซ้อนที่มีความซับซ้อนคล้ายกับแรนซัมแวร์
• T1547 Boot หรือ Logon Autostart Execution: การบูตหรือล็อกออนอัตโนมัติเพื่อความปลอดภัยในการเข้าถึงเครือข่ายถือเป็นจุดเด่นของภัยคุกคามขั้นสูงแบบถาวร (Advanced Persistent Threats หรือ APT)
• T1047 Windows Management Instrumentation: การโจมตีเครื่องมือการจัดการข้อมูลสำหรับระบบ Windows โดยรันคำสั่งและสคริปต์จากระยะไกลบนระบบที่ใช้ Windows ทำให้สามารถเลี่ยงการรักษาความปลอดภัยแบบเดิมๆ และเปิดใช้งานกิจกรรมที่เป็นอันตรายต่างๆ รวมถึงการลาดตระเวน การควบคุมเครื่องเป้าหมายในระบบและการคงอยู่ภายในเครือข่ายที่ถูกบุกรุก
• T1027 ไฟล์หรือข้อมูลที่สร้างความสับสน: การโจมตีที่มีจุดมุ่งหมายเพื่อทำลายประสิทธิภาพของมาตรการรักษาความปลอดภัยและซ่อนการกระทำที่เป็นอันตรายทำให้การตรวจจับการโจมตี การเก็บรวบรวมเพื่อการวิเคราะห์หลักฐานทางดิจิตอล และจัดการตอบสนองต่อเหตุการณ์ได้ยากยิ่งขึ้น
  

ผมจึงมองถึงความจำเป็นของการมีกลยุทธ์การตรวจจับและการตอบสนองที่มีประสิทธิภาพภายในระบบรักษาความปลอดภัยทางด้านไอทีเพราะการมีแนวทางการป้องกันเชิงลึก อย่าง Zero Trust, machine learning การยืนยันตัวตนแบบหลายปัจจัย (MFA) การผสมผสานการวิเคราะห์พฤติกรรมขั้นสูง

รวมถึงการใช้ประโยชน์จากปัญญาประดิษฐ์ (AI) ที่ออกแบบมาสำหรับตรวจจับความผิดปกติจะเพื่อช่วยลดอัตราการถูกโจมตีให้น้อยลง

นอกจากนี้การตรวจสอบความถูกต้องของระบบอยู่เป็นประจำถือเป็นสิ่งสำคัญอย่างยิ่งในการพิสูจน์ว่ามาตรการรักษาความปลอดภัยของคุณแข็งแกร่งอย่างที่คุณคิดแล้วหรือยังครับ

สามารถติดตามบทความจาก CEO ผ่านทางบทความ Think Secure โดย คุณนักรบ เนียมนามธรรม (นักรบ มือปราบไวรัส) เป็นประจำทุกสัปดาห์ ได้ทางหนังสือพิมพ์กรุงเทพธุรกิจ หรือช่องทาง Online ที่ https://www.bangkokbiznews.com/category/tech/gadget  

ที่มา: หนังสือพิมพ์กรุงเทพธุรกิจ (ฉบับวันที่ 14 พฤษภาคม 2567)
https://www.bangkokbiznews.com/tech/gadget/1126647