41 ชั่วโมง: จุดบอดของ MDR ที่สร้างความเสียหายหลายล้าน

เกิดอะไรขึ้น

ในการละเมิดความปลอดภัยครั้งใหญ่ล่าสุด กลุ่ม QSR รายใหญ่ประสบปัญหาการหยุดชะงักอย่างมีนัยสำคัญและการขโมยข้อมูลในสามบริษัทในเครือที่แตกต่างกัน การประนีประนอมเริ่มต้นจากการโจมตีแบบฟิชชิงที่ซับซ้อนโดยมุ่งเป้าไปที่ผู้ดูแลระบบไอทีระดับกลางที่มีสิทธิ์พิเศษ ซึ่งนำไปสู่การประนีประนอมข้อมูลประจำตัวที่สำเร็จและสร้างฐานที่มั่นในเครือข่ายองค์กรในเวลาต่อมา

องค์กรดังกล่าวใช้บริการผู้จำหน่าย Managed Detection and Response (MDR) ชั้นนำสำหรับการตรวจสอบตลอด 24 ชั่วโมงทุกวันและการคัดแยกเหตุการณ์ แม้ว่าข้อตกลงระดับบริการ (SLA) ของผู้จำหน่ายสำหรับการแจ้งเตือนที่มีความรุนแรงสูง แต่การแจ้งเตือนที่สำคัญซึ่งเกิดจากกิจกรรมการดูแลระบบที่ผิดปกติและการเชื่อมต่อเครือข่ายที่น่าสงสัยกลับไม่ได้รับการตอบรับเป็นเวลา 41 ชั่วโมง ความล่าช้าที่ยืดเยื้อนี้พิสูจน์แล้วว่าเป็นหายนะ ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์และสร้างความคงทนได้

ในช่วงจุดบอดนี้ ผู้คุกคามได้เคลื่อนย้ายไปด้านข้างอย่างมีประสิทธิภาพที่น่าตกใจ โดยใช้ประโยชน์จากความสัมพันธ์ที่เชื่อถือได้ระหว่างบริษัทแม่และบริษัทในเครือ พวกเขาใช้ประโยชน์จากการกำหนดค่าความน่าเชื่อถือที่ผิดพลาดและการควบคุมการเข้าถึงที่อ่อนแอในการเปลี่ยนจากสภาพแวดล้อมที่ถูกประนีประนอมเริ่มต้นไปยังหน่วยธุรกิจอื่นอีกสองหน่วย การขโมยข้อมูลเริ่มขึ้นไม่นานหลังจากสร้างความคงทน โดยมุ่งเป้าไปที่ข้อมูลลูกค้าและข้อมูลการดำเนินงานที่ละเอียดอ่อน

ทำไมรูปแบบนี้จึงเกิดขึ้นซ้ำๆ

เหตุการณ์นี้ไม่ใช่ความผิดปกติที่แยกออกมา แต่เป็นโหมดความล้มเหลวที่เกิดขึ้นซ้ำๆ ในการดำเนินงานด้านความปลอดภัยแบบเอาท์ซอร์ส สาเหตุหลักมีหลายปัจจัย ซึ่งมักเกิดจากการรวมกันของความคลุมเครือในสัญญา ปัจจัยมนุษย์ และข้อจำกัดทางเทคโนโลยี สัญญา MDR มักจะกำหนดความรุนแรงของการแจ้งเตือนและเวลาตอบสนอง แต่การดำเนินการจริงอาจแตกต่างกันอย่างมาก

ปัญหาหลักประการหนึ่งคือปริมาณการแจ้งเตือนจำนวนมากที่เกิดขึ้นในองค์กรสมัยใหม่ แม้จะมีการเชื่อมโยงขั้นสูง แต่ผู้ดูแลระบบ SOC ก็ประสบกับความเหนื่อยล้าจากการแจ้งเตือน ซึ่งนำไปสู่การพลาดสัญญาณหรือการสืบสวนที่ล่าช้า สิ่งนี้เลวร้ายลงเมื่อผู้ให้บริการ MDR ให้ความสำคัญกับปริมาณมากกว่าคุณภาพ หรือเมื่อกระบวนการภายในของพวกเขาขาดการกำกับดูแลและความรับผิดชอบที่เพียงพอสำหรับการแจ้งเตือนทุกรายการ

ปัจจัยสนับสนุนอีกประการหนึ่งคือลักษณะ 'กล่องดำ' ของบริการ MDR บางอย่าง ลูกค้ามักจะขาดการมองเห็นอย่างเต็มที่ในเวิร์กโฟลว์การคัดแยกภายในของผู้จำหน่าย ระดับพนักงาน และกลไกการควบคุมคุณภาพ ความทึบนี้สามารถบดบังปัญหาเชิงระบบ เช่น การขาดแคลนพนักงานในช่วงกะที่สำคัญ หรือการฝึกอบรมที่ไม่เพียงพอสำหรับนักวิเคราะห์รุ่นเยาว์ จนกว่าเหตุการณ์สำคัญจะเผยให้เห็น

"ช่องโหว่ที่ใหญ่ที่สุดไม่ใช่ Zero-day เสมอไป แต่เป็นช่องว่างระหว่างนโยบายความปลอดภัยกับการนำไปใช้จริง โดยเฉพาะอย่างยิ่งเมื่อการนำไปใช้นั้นเป็นแบบเอาท์ซอร์ส"

แผนการเล่นของผู้โจมตีแบบทีละขั้นตอน

ผู้โจมตีดำเนินการตามแผนการเล่นที่รู้จักกันดีอย่างพิถีพิถัน แสดงให้เห็นถึงความเข้าใจที่ชัดเจนเกี่ยวกับช่องโหว่ทั่วไปขององค์กรและจุดบอดในการป้องกัน การเข้าถึงเริ่มต้นของพวกเขาได้รับผ่านอีเมลสเปียร์ฟิชชิงที่กำหนดเป้าหมายสูง โดยฝังเอกสารที่เป็นอันตรายซึ่งออกแบบมาเพื่อเก็บข้อมูลประจำตัว การเข้าถึงเริ่มต้นนี้ให้บัญชีผู้ใช้ที่ถูกต้องตามกฎหมาย

หลังจากเข้าถึงครั้งแรก ผู้โจมตีได้ทำการสอดแนม ทำแผนที่เครือข่ายภายในโดยใช้เครื่องมือเช่น BloodHound เพื่อระบุการกำหนดค่า Active Directory ที่ผิดพลาดและเส้นทางการยกระดับสิทธิ์ที่อาจเกิดขึ้น พวกเขามุ่งเน้นเป็นพิเศษในการระบุบัญชีบริการและกลุ่มผู้ดูแลระบบที่มีสิทธิ์กว้างขวาง ซึ่งเป็นเป้าหมายทั่วไปสำหรับการเคลื่อนย้ายด้านข้าง

การยกระดับสิทธิ์ทำได้ผ่านช่องโหว่ที่รู้จัก (รูปแบบของ CVE-2021-42287/CVE-2021-42278) ทำให้พวกเขาสามารถปลอมแปลงเป็นตัวควบคุมโดเมนได้ สิ่งนี้ทำให้พวกเขามีการควบคุมผู้ดูแลระบบองค์กร ด้วยสิทธิ์ที่ยกระดับ พวกเขาสร้างกลไกความคงทนหลายอย่าง รวมถึงงานที่กำหนดเวลา บัญชีบริการใหม่ และการแก้ไข Group Policy Objects (GPOs)

การเคลื่อนย้ายด้านข้างข้ามบริษัทในเครือใช้ประโยชน์จากความน่าเชื่อถือของ VPN ที่มีอยู่และการเชื่อมต่อ RDP ซึ่งอำนวยความสะดวกโดยข้อมูลประจำตัวผู้ดูแลระบบองค์กรที่ถูกประนีประนอม พวกเขาปรับใช้เครื่องมือขโมยข้อมูลที่กำหนดเอง จัดเตรียมข้อมูลที่ละเอียดอ่อนบนการแชร์ไฟล์ภายในก่อนที่จะถ่ายโอนไปยังที่เก็บข้อมูลบนคลาวด์ที่เป็นของผู้โจมตี แนวทางหลายขั้นตอนนี้ทำให้การตรวจจับทำได้ยากขึ้น

สิ่งที่ผู้ป้องกันพลาดไป

การแจ้งเตือนที่มีความรุนแรงสูงเริ่มต้นถูกสร้างขึ้นโดยโซลูชัน EDR โดยแจ้งเตือนรูปแบบการดำเนินการกระบวนการที่ผิดปกติและความพยายามในการสื่อสาร C2 ขาออกจากเวิร์กสเตชันของผู้ใช้ การแจ้งเตือนนี้ควรจะกระตุ้นการสืบสวนและโปรโตคอลการกักกันทันที ความล่าช้า 41 ชั่วโมงในการรับทราบหมายความว่าความสามารถในการตรวจจับของ EDR ถูกทำให้เป็นโมฆะโดยองค์ประกอบของมนุษย์อย่างมีประสิทธิภาพ

นอกเหนือจากการแจ้งเตือนที่พลาดไปแล้ว การป้องกันหลายชั้นก็ล้มเหลว การยืนยันตัวตนแบบหลายปัจจัย (MFA) ไม่ได้ถูกบังคับใช้ทั่วไปสำหรับบัญชีผู้ดูแลระบบ โดยเฉพาะอย่างยิ่งสำหรับบัญชีที่ใช้ในการเคลื่อนย้ายด้านข้างระหว่างบริษัทในเครือ สิ่งนี้ทำให้ข้อมูลประจำตัวที่ถูกประนีประนอมสามารถนำกลับมาใช้ใหม่ได้ด้วยผลกระทบที่ร้ายแรง การแบ่งส่วนเครือข่ายระหว่างบริษัทในเครือก็ไม่เพียงพอเช่นกัน ทำให้เกิดเครือข่ายแบบราบสำหรับผู้โจมตีเมื่อเข้ามาภายใน

นอกจากนี้ การบันทึกและการตรวจสอบโครงสร้างพื้นฐานที่สำคัญ เช่น Active Directory และเซิร์ฟเวอร์ที่สำคัญ ไม่ครอบคลุมเพียงพอหรือไม่ได้รวมเข้ากับชุดการตรวจสอบของ MDR อย่างเหมาะสม สิ่งนี้จำกัดการมองเห็นที่มีอยู่สำหรับนักวิเคราะห์ MDR แม้ว่าการแจ้งเตือนจะได้รับการรับทราบทันที การวิเคราะห์หลังเหตุการณ์เผยให้เห็นช่องว่างที่สำคัญในการเก็บรักษาและการเข้าถึงบันทึก

สุดท้าย แผนการตอบสนองต่อเหตุการณ์เองก็น่าจะมีข้อบกพร่อง ในขณะที่แผน IR อาจมีอยู่บนกระดาษ แต่ความล้มเหลวในการรับทราบการแจ้งเตือนที่สำคัญเป็นระยะเวลานานขนาดนี้บ่งชี้ถึงความล้มเหลวในการนำแผนดังกล่าวไปปฏิบัติจริง โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับขั้นตอนการส่งมอบและการยกระดับกับผู้ให้บริการ MDR ภายนอก

รายการตรวจสอบการป้องกันที่นำไปใช้ได้จริง

• บังคับใช้ Universal MFA: ใช้ MFA ที่แข็งแกร่งและทนทานต่อฟิชชิงสำหรับบัญชีผู้ดูแลระบบทั้งหมด การเข้าถึง VPN และแอปพลิเคชันทางธุรกิจที่สำคัญ โดยเฉพาะอย่างยิ่งที่ใช้สำหรับการเข้าถึงระหว่างบริษัทในเครือ
• แบ่งส่วนเครือข่ายอย่างเข้มงวด: ใช้หลักการ Zero Trust และการแบ่งส่วนเครือข่ายที่แข็งแกร่งระหว่างหน่วยธุรกิจและสินทรัพย์ที่สำคัญ จำกัดเส้นทางการเคลื่อนย้ายด้านข้างโดยค่าเริ่มต้น
• ตรวจสอบประสิทธิภาพ MDR อย่างต่อเนื่อง: กำหนดตัวชี้วัดประสิทธิภาพที่ชัดเจนและวัดผลได้สำหรับผู้จำหน่าย MDR ของคุณ รวมถึงเวลาในการรับทราบการแจ้งเตือน ความละเอียดอ่อนของการสืบสวน และอัตราการแจ้งเตือนที่ผิดพลาด ดำเนินการตรวจสอบอิสระอย่างสม่ำเสมอ
• ตรวจสอบการบันทึกและ Telemetry: ตรวจสอบให้แน่ใจว่าระบบที่สำคัญทั้งหมด (AD, EDR, อุปกรณ์เครือข่าย, บริการคลาวด์) กำลังส่งบันทึกที่ครอบคลุมไปยัง SIEM/MDR ของคุณ ทดสอบการนำเข้าบันทึกและการสร้างการแจ้งเตือนอย่างสม่ำเสมอ
• ดำเนินการ Purple Team Exercises: ผสานรวมการทดสอบความปลอดภัยเชิงรุก (Red Teaming) กับการวิเคราะห์เชิงรับ (Blue Teaming) เพื่อระบุช่องว่างในการตรวจจับและการตอบสนอง จำลอง TTPs ในโลกแห่งความเป็นจริง รวมถึงการใช้ประโยชน์จาก CVE ที่รู้จักและเทคนิคการเคลื่อนย้ายด้านข้าง
• ทบทวนและทดสอบแผนการตอบสนองต่อเหตุการณ์: อัปเดตและทำตารางแผนการตอบสนองต่อเหตุการณ์อย่างสม่ำเสมอ โดยเน้นที่สถานการณ์ที่เกี่ยวข้องกับผู้ให้บริการภายนอก รวมถึงขั้นตอนเฉพาะสำหรับการแจ้งเตือนที่พลาดไปและความรับผิดชอบของผู้จำหน่าย
• ใช้ Cloud Security Posture Management (CSPM): สำหรับองค์กรที่มีสภาพแวดล้อมแบบไฮบริดหรือมัลติคลาวด์ ให้ตรวจสอบการกำหนดค่าอย่างต่อเนื่องเพื่อหาการกำหนดค่าที่ผิดพลาดที่อาจนำไปสู่การเข้าถึงโดยไม่ได้รับอนุญาตหรือการขโมยข้อมูล

การทดสอบเชิงรุกสมัยใหม่จะจับสิ่งนี้ได้อย่างไร

การมีส่วนร่วมด้านความปลอดภัยเชิงรุกขั้นสูง โดยเฉพาะอย่างยิ่งที่มุ่งเน้นการทำ Red Teaming อย่างต่อเนื่อง หรือการจำลองการละเมิดและการโจมตี (BAS) ได้รับการออกแบบมาเพื่อเปิดเผยจุดบอดในการปฏิบัติงานประเภทนี้โดยเฉพาะ การทำ Purple Team Exercise ที่ดำเนินการอย่างดีจะใช้เวกเตอร์การเข้าถึงเริ่มต้นเดียวกันหรือคล้ายกัน โดยพยายามกระตุ้นการแจ้งเตือนจาก EDR และการควบคุมความปลอดภัยอื่นๆ

ความแตกต่างที่สำคัญอยู่ที่วงจรป้อนกลับทันที ในระหว่างการฝึกซ้อมดังกล่าว เมื่อมีการสร้างการแจ้งเตือน ทีมทดสอบจะคาดหวังว่าจะเห็นการรับทราบและการสืบสวนอย่างรวดเร็วจากทีมตรวจสอบ หากการแจ้งเตือนถูกพลาดไป จะถูกเน้นทันทีว่าเป็นความล้มเหลวที่สำคัญในระหว่างการสรุปการฝึกซ้อม ก่อนที่ผู้โจมตีจริงจะสามารถใช้ประโยชน์ได้

นอกจากนี้ แพลตฟอร์ม BAS ที่มีประสิทธิภาพยังจำลองเทคนิคของผู้โจมตีอย่างต่อเนื่อง โดยตรวจสอบว่าการควบคุมความปลอดภัยสร้าง telemetry ที่คาดหวังหรือไม่ และทีมตรวจสอบดำเนินการกับมันหรือไม่ ทุกสัญญาณจะถูกบันทึกและประทับเวลา ทำให้มั่นใจได้ว่าการตรวจจับที่พลาดไปหรือการตอบสนองที่ล่าช้าสามารถวัดปริมาณและตรวจสอบได้ทันที ป้องกันไม่ให้ความล้มเหลวดังกล่าวถูกซ่อนไว้ บันทึกที่เป็นวัตถุประสงค์และตรวจสอบได้นี้ทำให้ความรับผิดชอบชัดเจน

สิ่งที่ต้องจับตาดูต่อไป

อุตสาหกรรมจะยังคงต่อสู้กับความซับซ้อนของการเอาท์ซอร์สฟังก์ชันความปลอดภัยที่สำคัญ คาดว่าจะมีการตรวจสอบสัญญา MDR อย่างละเอียดมากขึ้น โดยเฉพาะอย่างยิ่งเกี่ยวกับ SLA เวิร์กโฟลว์การจัดการการแจ้งเตือน และความโปร่งใสในการดำเนินงานของผู้จำหน่าย หน่วยงานกำกับดูแลอาจแนะนำแนวทางที่เข้มงวดมากขึ้นสำหรับองค์กรที่พึ่งพาบริการรักษาความปลอดภัยจากบุคคลที่สาม โดยเน้นย้ำถึงความรอบคอบและการกำกับดูแลอย่างต่อเนื่อง

ในด้านเทคโนโลยี แรงผลักดันไปสู่การตรวจจับความผิดปกติที่ขับเคลื่อนด้วย AI และการตอบสนองอัตโนมัติจะเข้มข้นขึ้น อย่างไรก็ตาม องค์ประกอบของมนุษย์ในการตีความการแจ้งเตือนที่ซับซ้อนและการตัดสินใจกักกันที่สำคัญยังคงมีความสำคัญสูงสุด ความท้าทายคือการรวม AI เข้ากับระบบอย่างมีประสิทธิภาพโดยไม่สร้างจุดบอดใหม่ หรือการพึ่งพาอัตโนมัติมากเกินไปที่ขาดความเข้าใจตามบริบท

สุดท้าย การบรรจบกันของการปฏิบัติการด้านความปลอดภัยและการทดสอบความปลอดภัยเชิงรุกจะชัดเจนยิ่งขึ้น องค์กรต่างๆ จะมองหาโซลูชันที่ไม่เพียงแต่ตรวจจับภัยคุกคามเท่านั้น แต่ยังตรวจสอบการป้องกันของตนอย่างต่อเนื่องกับ TTPs ที่กำลังพัฒนา เพื่อให้มั่นใจว่าฟังก์ชัน 'ตรวจจับ' ของกรอบงาน NIST มีประสิทธิภาพอย่างแท้จริงและปรับปรุงอย่างต่อเนื่อง จุดสนใจจะเปลี่ยนจากการมี MDR ไปสู่การทำให้มั่นใจว่า MDR ทำงานได้อย่างน่าเชื่อถือภายใต้แรงกดดันในโลกแห่งความเป็นจริง