ระยะเวลาที่แรนซัมแวร์แฝงตัว: การเจาะลึกของ CISO ในช่วงเงียบของการบุกรุก

ในภูมิทัศน์ของภัยคุกคามทางไซเบอร์ที่ไม่หยุดนิ่ง คำว่า 'ระยะเวลาที่แฝงตัว' ได้กลายเป็นตัวชี้วัดที่สำคัญสำหรับผู้นำด้านความปลอดภัย มันแสดงถึงช่วงเวลาระหว่างการเข้าถึงระบบข้อมูลโดยไม่ได้รับอนุญาตครั้งแรกของผู้โจมตี และช่วงเวลาที่การเข้าถึงนี้ถูกตรวจพบ การวิเคราะห์เหตุการณ์ล่าสุดเน้นย้ำว่าช่วงเงียบนี้มักเป็นที่ที่ความเสียหายที่สำคัญที่สุดถูกเตรียมไว้ โดยเฉพาะอย่างยิ่งในช่วงก่อนการติดตั้งแรนซัมแวร์

เกิดอะไรขึ้น

รายงานเหตุการณ์เผยให้เห็นรูปแบบที่สอดคล้องกันว่าการโจมตีด้วยแรนซัมแวร์ไม่ได้เกิดขึ้นอย่างกะทันหัน แต่เกิดขึ้นหลังจากช่วงเวลาที่ตรวจไม่พบอย่างมีนัยสำคัญภายในระบบขององค์กร 'ระยะเวลาที่แฝงตัว' นี้ช่วยให้ผู้บุกรุกสามารถทำแผนที่เครือข่าย เพิ่มสิทธิ์ และจัดเตรียมข้อมูลสำหรับการขโมยหรือการเข้ารหัสได้อย่างละเอียด ตัวอย่างเช่น บางเหตุการณ์ได้เน้นย้ำว่าจุดเริ่มต้นแรก เช่น ข้อมูลประจำตัวที่ถูกบุกรุก สามารถอำนวยความสะดวกให้เกิดระยะเวลาที่แฝงตัวอย่างมีนัยสำคัญก่อนที่เพย์โหลดแรนซัมแวร์จะถูกเปิดใช้งาน

ในช่วงเวลาที่ยาวนานนี้ ผู้คุกคามได้มีส่วนร่วมในกิจกรรมที่มักจะหลีกเลี่ยงการควบคุมความปลอดภัยแบบดั้งเดิม พวกเขาดำเนินการอย่างลับๆ โดยใช้เทคนิคที่สอดคล้องกับภัยคุกคามขั้นสูงแบบต่อเนื่อง (APTs) เช่น การใช้เครื่องมือพื้นฐานในทางที่ผิด (Living off the Land) และการเคลื่อนที่ด้านข้างขั้นสูง วิธีการเหล่านี้ได้รับการออกแบบมาเพื่อหลีกเลี่ยงอุปสรรค EDR และ SIEM แบบอัตโนมัติ ทำให้การตรวจจับเป็นเรื่องที่ท้าทายสำหรับศูนย์ปฏิบัติการด้านความปลอดภัย (SOCs) ภายในที่มุ่งเน้นไปที่กระบวนการแจ้งเตือนในแต่ละวันเป็นหลัก

ทำไมรูปแบบนี้จึงเกิดขึ้นซ้ำๆ

การคงอยู่ของระยะเวลาที่แฝงตัวนานในการโจมตีด้วยแรนซัมแวร์มีรากฐานมาจากความท้าทายเชิงระบบหลายประการ ผู้โจมตีมีความซับซ้อนมากขึ้นเรื่อยๆ โดยแสดงให้เห็นถึงวินัยในการปฏิบัติงานที่สามารถแข่งขันกับทีมรักษาความปลอดภัยขององค์กรที่มีวุฒิภาวะแล้ว พวกเขาเข้าใจว่าการคงอยู่เป็นเวลานานโดยไม่ถูกตรวจพบช่วยให้พวกเขาบรรลุวัตถุประสงค์ด้วยความแน่นอนและผลกระทบที่สูงขึ้น

หลายองค์กรยังคงพึ่งพามาตรการรักษาความปลอดภัยเชิงรับ โดยมุ่งเน้นที่การตรวจจับหลังจากที่การละเมิดชัดเจนแล้ว แม้ว่า SOC ภายในจะเชี่ยวชาญในการจัดการการแจ้งเตือนตามปกติ แต่พวกเขามักจะขาดความเชี่ยวชาญเฉพาะทางในการพิสูจน์หลักฐานทางดิจิทัล การรวบรวมข้อมูลเมตาของเครือข่ายใหม่ และการวิเคราะห์มัลแวร์ที่จำเป็นในการค้นหาการบุกรุกที่ซับซ้อนและลับๆ ช่องว่างนี้ทำให้ผู้โจมตีสามารถคงอยู่และเตรียมการโจมตีครั้งสุดท้ายได้โดยไม่ก่อให้เกิดการแจ้งเตือนทันที

ช่วงเวลาที่เงียบสงบก่อนการติดตั้งแรนซัมแวร์ไม่ใช่ช่วงเวลาที่สงบเงียบ แต่เป็นช่วงเวลาที่มีการวางแผนและดำเนินการอย่างกระตือรือร้นในการสอดแนมและเตรียมการโดยผู้บุกรุก

ขั้นตอนการดำเนินการของผู้โจมตีทีละขั้นตอน

การโจมตีด้วยแรนซัมแวร์จำนวนมาก โดยเฉพาะอย่างยิ่งที่นำหน้าด้วยระยะเวลาที่แฝงตัวนาน มักจะปฏิบัติตามรูปแบบของขั้นตอน:

1. การเข้าถึงเริ่มต้นและการสร้างฐาน: มักเริ่มต้นด้วยข้อมูลประจำตัวที่ถูกบุกรุก ผู้โจมตีจะได้รับจุดเริ่มต้นแรกเข้าสู่เครือข่าย บ่อยครั้งผ่านเส้นทางที่ถูกตรวจสอบน้อยกว่า
2. การสร้างความคงทน: เมื่อเข้ามาข้างในแล้ว ผู้บุกรุกจะทำงานเพื่อให้แน่ใจว่ามีการเข้าถึงอย่างต่อเนื่อง แม้ว่าวิธีการเข้าถึงครั้งแรกของพวกเขาจะถูกค้นพบหรือแก้ไขแล้วก็ตาม ซึ่งอาจเกี่ยวข้องกับการติดตั้งแบ็คดอร์ การสร้างบัญชีผู้ใช้ใหม่ หรือการแก้ไขการกำหนดค่าระบบ
3. การสอดแนมภายใน: จากนั้นผู้โจมตีจะทำแผนที่เครือข่ายอย่างเป็นระบบ ระบุสินทรัพย์ที่สำคัญ และทำความเข้าใจการไหลของข้อมูล ขั้นตอนนี้มีความสำคัญอย่างยิ่งต่อการวางแผนการเคลื่อนที่ด้านข้างและการระบุเป้าหมายที่มีมูลค่าสูง
4. การเข้าถึงข้อมูลประจำตัวและการยกระดับสิทธิ์: ผู้คุกคามพยายามที่จะได้รับข้อมูลประจำตัวระดับสูงขึ้น โดยมักจะกำหนดเป้าหมายบัญชีผู้ดูแลระบบ ซึ่งช่วยให้พวกเขาสามารถเคลื่อนที่ได้อย่างอิสระมากขึ้นภายในเครือข่ายและเข้าถึงระบบที่ละเอียดอ่อน โดยมักจะหลีกเลี่ยงการควบคุมความปลอดภัยที่มีอยู่
5. การเคลื่อนที่ด้านข้าง: การใช้ข้อมูลประจำตัวที่ถูกบุกรุกและช่องโหว่ที่ค้นพบ ผู้โจมตีจะขยายการปรากฏตัวของพวกเขาไปทั่วเครือข่าย เข้าถึงระบบหลักและที่เก็บข้อมูล ซึ่งมักจะเกี่ยวข้องกับการใช้เครื่องมือพื้นฐานที่มีอยู่ในระบบในทางที่ผิด ทำให้การตรวจจับเป็นเรื่องยาก
6. การจัดเตรียมข้อมูลและการขโมยข้อมูล (ทางเลือกแต่พบบ่อย): ก่อนการเข้ารหัส ผู้โจมตีมักจะรวบรวมและจัดเตรียมข้อมูลที่ละเอียดอ่อน เตรียมพร้อมสำหรับการขโมยข้อมูล ซึ่งเพิ่มองค์ประกอบการกรรโชกข้อมูลให้กับภัยคุกคามแรนซัมแวร์
7. การติดตั้งแรนซัมแวร์: หลังจากขั้นตอนก่อนหน้านี้เสร็จสิ้นแล้ว ผู้โจมตีจึงจะปล่อยเพย์โหลดแรนซัมแวร์ เข้ารหัสระบบและเรียกร้องค่าไถ่

สิ่งที่ผู้ป้องกันพลาดไป

ในเหตุการณ์ที่มีระยะเวลาที่แฝงตัวนาน ผู้ป้องกันมักจะมองข้ามตัวบ่งชี้ที่ละเอียดอ่อน ซึ่งเมื่อมองย้อนกลับไปแล้ว อาจเป็นสัญญาณของการบุกรุกที่กำลังดำเนินอยู่ ระบบ EDR และ SIEM แบบอัตโนมัติ แม้จะมีประสิทธิภาพ แต่ก็อาจถูกครอบงำด้วยความเหนื่อยล้าจากการแจ้งเตือน หรือถูกบายพาสด้วยเทคนิค APT ที่ซับซ้อน ตัวอย่างเช่น การใช้เครื่องมือพื้นฐานในทางที่ผิด ทำให้กิจกรรมที่เป็นอันตรายผสมผสานกับกระบวนการระบบที่ถูกต้อง ทำให้ยากสำหรับลายเซ็นแบบดั้งเดิมหรือการวิเคราะห์พฤติกรรมในการแจ้งเตือน

นอกจากนี้ การขาดการล่าภัยคุกคามเชิงรุกอย่างต่อเนื่องทำให้ภัยคุกคามที่ซ่อนอยู่รอดพ้นจากการตรวจจับ หลายองค์กรมุ่งเน้นที่มาตรการเชิงรับ รอการแจ้งเตือนแทนที่จะค้นหาความผิดปกติที่บ่งชี้ถึงการบุกรุกอย่าง actively องค์ประกอบของมนุษย์ เช่น การใช้ข้อมูลประจำตัวที่ถูกบุกรุก ยังเน้นย้ำถึงช่องโหว่ที่สำคัญที่มักถูกมองข้ามในการควบคุมทางเทคนิคเพียงอย่างเดียว การขาดความเชี่ยวชาญเฉพาะทางในด้านต่างๆ เช่น การรวบรวมข้อมูลเมตาของเครือข่ายใหม่ และการวิเคราะห์มัลแวร์ขั้นสูง ยิ่งทำให้ความท้าทายซับซ้อนขึ้น ป้องกันไม่ให้ทีมภายในสามารถวิเคราะห์การกระทำที่ซับซ้อนของผู้บุกรุกขั้นสูงได้อย่างมีประสิทธิภาพ

รายการตรวจสอบการป้องกันเชิงปฏิบัติ

การลดระยะเวลาที่แรนซัมแวร์แฝงตัวต้องใช้วิธีการที่หลากหลาย ซึ่งรวมเทคโนโลยี กระบวนการ และความเชี่ยวชาญเฉพาะทาง CISO และวิศวกรความปลอดภัยควรให้ความสำคัญกับสิ่งต่อไปนี้:

• ปรับปรุงการมองเห็นและการวิเคราะห์: ใช้การบันทึกและการตรวจสอบที่ครอบคลุมทั่วทั้งปลายทาง เครือข่าย และสภาพแวดล้อมคลาวด์ทั้งหมด ใช้การวิเคราะห์ขั้นสูงเพื่อเชื่อมโยงเหตุการณ์ที่ดูเหมือนไม่เกี่ยวข้องกัน
• การล่าภัยคุกคามเชิงรุก: จัดตั้งทีมล่าภัยคุกคามโดยเฉพาะ หรือรวมการล่าภัยคุกคามเป็นกิจกรรมการปฏิบัติงานปกติภายใน SOC เพื่อค้นหาภัยคุกคามที่ซ่อนอยู่ซึ่งหลีกเลี่ยงการควบคุมอัตโนมัติอย่าง actively
• ใช้การตรวจสอบสิทธิ์แบบต่อเนื่องและ Zero Trust: จำกัดหรือแจ้งเตือนพฤติกรรมที่น่าสงสัย และป้องกันการยกระดับสิทธิ์โดยการตรวจสอบยืนยันตัวตนของผู้ใช้และความน่าเชื่อถือของอุปกรณ์อย่างต่อเนื่อง
• พัฒนากลยุทธ์การตอบสนองต่อเหตุการณ์ที่แข็งแกร่ง: ตรวจสอบให้แน่ใจว่ามีขั้นตอนที่ชัดเจนสำหรับการมีส่วนร่วมกับผู้เชี่ยวชาญด้านการตอบสนองต่อเหตุการณ์ทางไซเบอร์ภายนอก เมื่อเหตุการณ์แสดงลักษณะ APT เช่น การใช้เครื่องมือพื้นฐานในทางที่ผิด หรือการเคลื่อนที่ด้านข้างขั้นสูง
• เสริมสร้างการจัดการข้อมูลประจำตัว: บังคับใช้นโยบายรหัสผ่านที่รัดกุม การตรวจสอบสิทธิ์หลายปัจจัย (MFA) ทั่วทั้งระบบที่สำคัญทั้งหมด และการตรวจสอบสุขอนามัยข้อมูลประจำตัวเป็นประจำ แก้ไขความเสี่ยงของข้อมูลประจำตัวที่ใช้ร่วมกันหรือนำกลับมาใช้ใหม่
• การทดสอบความปลอดภัยเชิงรุกเป็นประจำ: ดำเนินการทดสอบเชิงรุกแบบอัตโนมัติด้วย Proof-of-Concepts ที่สามารถเรียกใช้งานได้ เพื่อระบุช่องโหว่และตรวจสอบความสามารถในการป้องกันก่อนที่ผู้บุกรุกจะใช้ประโยชน์จากมัน
• ลงทุนในความสามารถในการพิสูจน์หลักฐานทางดิจิทัลและการวิเคราะห์มัลแวร์: พัฒนาความเชี่ยวชาญภายในองค์กร หรือร่วมมือกับบริษัทภายนอกที่เชี่ยวชาญในการพิสูจน์หลักฐานทางดิจิทัล การรวบรวมข้อมูลเมตาของเครือข่ายใหม่ และการวิเคราะห์มัลแวร์สำหรับการตรวจสอบเหตุการณ์ที่ลึกซึ้งยิ่งขึ้น

การทดสอบเชิงรุกสมัยใหม่จะตรวจจับสิ่งนี้ได้อย่างไร

ระยะเวลาที่แฝงตัวที่ยาวนานที่พบในการโจมตีด้วยแรนซัมแวร์ล่าสุด เน้นย้ำถึงช่องว่างที่สำคัญที่การทดสอบเชิงรุกสมัยใหม่ โดยเฉพาะแพลตฟอร์มแบบอัตโนมัติ ได้รับการออกแบบมาเพื่อแก้ไข การสแกนช่องโหว่และการทดสอบการเจาะระบบแบบดั้งเดิมมักจะให้การประเมิน ณ จุดเวลา ซึ่งอาจพลาดกลยุทธ์ที่ละเอียดอ่อนกว่าและหลายขั้นตอนที่ผู้บุกรุกใช้ในช่วงหลายสัปดาห์หรือหลายเดือน

การทดสอบเชิงรุกแบบอัตโนมัติ ผ่าน PoCs ที่สามารถเรียกใช้งานได้ สามารถจำลองการเคลื่อนที่ด้านข้าง การบุกรุกข้อมูลประจำตัว และเทคนิคการคงทนที่กลุ่มภัยคุกคามใช้ ด้วยการเลียนแบบเส้นทางการโจมตีในโลกแห่งความเป็นจริงอย่างต่อเนื่อง มันจะระบุว่าจุดเริ่มต้นแรกสามารถบานปลายไปสู่การบุกรุกที่สมบูรณ์ได้อย่างไร วิธีการเชิงรุกและต่อเนื่องนี้เผยให้เห็นเส้นทางที่สามารถใช้ประโยชน์ได้และจุดบอดในการป้องกัน ก่อน ที่ผู้โจมตีจริงจะสามารถใช้ประโยชน์จากมัน การทดสอบดังกล่าวจะเน้นช่องโหว่ในการจัดการข้อมูลประจำตัว ความสามารถในการเคลื่อนที่ด้านข้างที่ไม่ถูกตรวจจับ และศักยภาพในการใช้เครื่องมือพื้นฐานในทางที่ผิด ให้ข้อมูลเชิงลึกที่นำไปปฏิบัติได้เพื่อเสริมสร้างการป้องกันก่อนที่แรนซัมแวร์จะถูกติดตั้งนาน

สิ่งที่ต้องจับตาดูต่อไป

ภูมิทัศน์ภัยคุกคามที่เปลี่ยนแปลงไปเรียกร้องให้ผู้นำด้านความปลอดภัยต้องปรับตัวอย่างต่อเนื่อง คาดว่าจะมีการให้ความสำคัญกับการโจมตีที่การเข้าถึงเริ่มต้นเกิดขึ้นผ่านผู้ขายภายนอก ซึ่งอาจใช้มาตรการรักษาความปลอดภัยที่อ่อนแอลง ความซับซ้อนของเทคนิค Living off the Land ก็จะยังคงเติบโต ทำให้การระบุแหล่งที่มาและการตรวจจับเป็นเรื่องที่ท้าทายมากยิ่งขึ้น นอกจากนี้ การบรรจบกันของ AI และแมชชีนเลิร์นนิงทั้งในด้านความปลอดภัยทางไซเบอร์เชิงรุกและเชิงรับจะเร่งตัวขึ้น ทำให้ CISO ต้องเข้าใจว่าเทคโนโลยีเหล่านี้ส่งผลต่อการตรวจจับและการตอบสนองต่อภัยคุกคามอย่างไร การจัดลำดับความสำคัญของมาตรการรักษาความปลอดภัยเชิงรุก การตรวจสอบความถูกต้องอย่างต่อเนื่อง และความเชี่ยวชาญเฉพาะทางจะเป็นสิ่งสำคัญยิ่งในการบรรเทาผลกระทบที่เงียบสงบ แต่ร้ายแรง ของระยะเวลาที่แฝงตัวที่ยาวนาน