ภัยคุกคามขั้นสูงอย่างต่อเนื่องคืออะไร

ภัยคุกคามขั้นสูงอย่างต่อเนื่อง (APT) เป็นเหตุการณ์ความปลอดภัยหลายขั้นตอนที่ซับซ้อนซึ่งกำหนดเป้าหมายสินทรัพย์ทางธุรกิจเฉพาะ APT คือผู้ก่อเหตุไม่ได้รับอนุญาตซึ่งเข้ามายังสภาพแวดล้อมขององค์กร เคลื่อนย้ายผ่านระบบต่าง ๆ เพื่อเข้าถึงทรัพย์สิน ถ่ายโอนข้อมูลที่ละเอียดอ่อน และพยายามหลบหนีออกไปโดยไม่ให้ถูกตรวจพบ ภัยคุกคามขั้นสูงอย่างต่อเนื่องอาจเป็นเรื่องท้าทายในการระบุและรับมือ เนื่องจากกลยุทธ์ที่ซับซ้อนและแนวทางที่กำหนดเป้าหมาย การป้องกันจาก APT ต้องใช้แนวทางหลายระบบและหลายสาขาวิชา

เหตุการณ์ APT อาจมีวัตถุประสงค์ใดอย่างหนึ่งดังต่อไปนี้

ขโมยทรัพย์สินทางปัญญา

ทรัพย์สินทางปัญญา เช่น ความลับทางการค้าหรือรัฐบาล ซอร์สโค้ดที่เป็นกรรมสิทธิ์ หรือการสื่อสารส่วนตัว เป็นข้อมูลที่ละเอียดอ่อนทั้งหมดที่เป็นส่วนตัวขององค์กร ในการเข้าถึงข้อมูลนี้เป็นครั้งแรก กลุ่ม APT จะได้รับข้อมูลมาอย่างผิดกฎหมายเพื่อสร้างความได้เปรียบในการแข่งขัน หรือส่งผลกระทบในทางลบต่อเครือข่ายธุรกิจที่เป็นเป้าหมาย

การฉ้อโกงทางการเงิน

APT สามารถควบคุมระบบและการดำเนินงานทางธุรกิจ ทำให้ผู้มีสิทธิ์เข้าถึงสิทธิพิเศษที่จำเป็นในการฉ้อโกงทางการเงิน การปฏิบัติการเหล่านี้อาจมีการส่งคำสั่งโอนเงินจากบัญชีผู้ใช้ หรือขโมยข้อมูลที่ละเอียดอ่อนจากบริษัทเพื่อนำไปใช้สวมรอยเป็นบุคคลที่มีสิทธิ์สูงภายในบริษัท

แรนซัมแวร์ 

เหตุการณ์ APT ที่ประสบความสำเร็จอาจมีเป้าหมายในการใช้แรนซัมแวร์ ในตัวอย่างนี้ APT เริ่มเข้ารหัสข้อมูลที่ละเอียดอ่อนและป้องกันไม่ให้ผู้ใช้เข้าถึงเครือข่ายเป้าหมาย กลุ่มที่ไม่ได้รับอนุญาตเหล่านี้สามารถเรียกค่าไถ่ในราคาสูงเพื่อแลกกับการมอบกุญแจสำหรับถอดรหัสไฟล์ 

ความเสียหายต่อชื่อเสียง

เป้าหมายเฉพาะของกลุ่ม APT บางกลุ่มคือการสร้างความเสียหายต่อชื่อเสียงให้กับองค์กรโดยการปล่อยข้อมูลให้รั่วไหลไปยังสาธารณชน

APT พิจารณาเป้าหมายที่มีมูลค่าสูงเท่านั้น ภัยคุกคามขั้นสูงอย่างต่อเนื่อง (APT) มีความซับซ้อนในการระบุมากกว่าภัยคุกคามทางไซเบอร์ทั่วไป เนื่องจากภัยเหล่านี้ไม่เป็นไปตามรูปแบบดั้งเดิม เนื่องจากไม่มีเวกเตอร์เหตุการณ์ความปลอดภัยทั่วไป กรอบเวลาสำหรับเหตุการณ์ หรือลายเซ็น จึงมีความท้าทายมากกว่าที่จะค้นหาและต่อต้านเหตุการณ์ความปลอดภัยเหล่านี้ 

ในเหตุการณ์ความปลอดภัยทั่วไป อาจมีการพุ่งสูงขึ้นอย่างกะทันหันของการใช้งานฐานข้อมูลหรือปริมาณการรับส่งข้อมูล แต่แนวทางที่เป็นระบบและแยบยลกว่าของเหตุการณ์ APT จะยังคงซ่อนตัวอยู่ได้

APT อาจไม่แสวงหาผลกำไรได้ทันที ทำให้พวกเขาใช้เวลาในการสร้างภัยคุกคามที่กว้างขวางมากขึ้น ด้วยการที่ไม่ถูกตรวจพบในระบบ APT จึงสามารถแฝงตัวอยู่ภายในบริษัทเป็นระยะเวลานาน จนกว่ากลุ่มดังกล่าวจะตัดสินใจเริ่มดำเนินการ

นี่คือลักษณะและอาการที่พบบ่อยที่สุดของภัยคุกคามขั้นสูงอย่างต่อเนื่อง

กิจกรรมที่ซับซ้อนหลายขั้นตอนเพื่อให้ได้การเข้าถึง

ภัยคุกคามขั้นสูงอย่างต่อเนื่องเกี่ยวข้องกับเหตุการณ์หลายขั้นตอน ซึ่งมักทำตามขั้นตอนที่คล้ายกัน

ขั้นแรก ผู้ก่อเหตุที่ไม่ได้รับอนุญาตจะทำการค้นดูรายละเอียดในองค์กรเป้าหมายและระบบต่าง ๆ ขององค์กร เพื่อรวบรวมข้อมูลเกี่ยวกับสินทรัพย์และช่องโหว่ที่อาจเกิดขึ้น จากจุดนี้ พวกเขาจะพัฒนาวิธีการเพื่อใช้ประโยชน์จากช่องโหว่ที่ระบุได้เหล่านั้น

หลังจากผู้ก่อเหตุที่ไม่ได้รับอนุญาตเข้าถึงระบบของบริษัทได้แล้ว เขาจะเคลื่อนย้ายไปยังส่วนต่าง ๆ ของระบบนั้น ๆ พวกเขาทำเช่นนั้นโดยการเข้าถึงสิทธิ์ที่สูงขึ้นผ่านการล่อลวงทางสังคม การนำทางในส่วนต่าง ๆ ของเครือข่าย และเทคนิคอื่น ๆ นอกจากนี้ยังสามารถเบี่ยงเบนความสนใจของบุคลากรด้านการรักษาความปลอดภัย เซิร์ฟเวอร์คำสั่งและการควบคุมถูกตั้งค่าเพื่อประสานงานการสื่อสาร

หลังจากที่เข้าถึงสินทรัพย์เป้าหมายได้แล้ว โดยปกติแล้วผู้กระทำการที่ไม่ได้รับอนุญาตจะเริ่มทำการดึงข้อมูลออกไป หรือแก้ไขระบบที่ถูกบุกรุก ทั้งนี้ขึ้นอยู่กับเป้าหมายของเหตุการณ์นั้น ๆ ภัยคุกคามอย่างต่อเนื่องขั้นสูงบางส่วนจะทำตามขั้นตอนสุดท้ายนี้ด้วยความพยายามที่จะปกปิดร่องรอยของพวกเขา เพื่อช่วยป้องกันไม่ให้เกิดความรู้ใด ๆ เกี่ยวกับเหตุการณ์ที่เกิดขึ้น

ดำเนินการโดยกลุ่ม APT ที่มีแรงจูงใจสูง

กิจกรรม APT มาจากผู้ก่อเหตุที่ไม่ได้รับอนุญาตที่มีแรงจูงใจสูงซึ่งมักจะดำเนินการเป็นกลุ่ม กลุ่มเหล่านี้มีหลายรูปแบบ รวมถึง APT ที่ได้รับการสนับสนุนจากรัฐ องค์กรอาชญากรรมทางไซเบอร์ระดับมืออาชีพ กลุ่มนักเคลื่อนไหวแฮ็กทิวิสต์ หรือทีมแฮ็กเกอร์รับจ้างขนาดเล็ก

แม้ว่าเป้าหมายหลักของ APT คือการแสวงหาผลกำไรทางการเงิน แต่บางกลุ่มเหล่านี้ก็มีส่วนร่วมในการเริ่มเหตุการณ์ APT เพื่อรวบรวมข้อมูลที่ละเอียดอ่อน เปิดเผยข้อมูล ทำลายโครงสร้างพื้นฐาน หรือส่งผลกระทบต่อชื่อเสียงขององค์กร 

เหตุการณ์ที่เกิดขึ้นเป็นระยะเวลาสำคัญครอบคลุมหลายระบบ

ขั้นตอนที่ได้กล่าวไว้ก่อนหน้านี้สามารถเกิดขึ้นได้ในช่วงระยะเวลาที่ยาวนาน เนื่องจากลักษณะที่มุ่งเน้นเป้าหมายของเหตุการณ์ APT กลุ่มต่าง ๆ จึงวางแผนอย่างรอบคอบเพื่อเคลื่อนไหวในจังหวะที่ช้า เพื่อหลีกเลี่ยงการดึงดูดความสนใจหรือการกระตุ้นการแจ้งเตือนในระบบ ในบางกรณี APT ยังคงไม่ถูกตรวจพบเป็นเวลาหลายเดือนหรือหลายปี ก่อนที่จะเริ่มดำเนินการในขั้นตอนต่าง ๆ เพื่อให้บรรลุเป้าหมายเดิม

ออกแบบมาเพื่อไม่ทิ้งร่องรอย

ขั้นตอนสุดท้ายของการเคลื่อนไหวของผู้กระทำการภัยคุกคาม APT คือการปกปิดร่องรอยของเหตุการณ์ โดยใช้เทคนิคต่าง ๆ เช่น การลบไฟล์ การแก้ไขข้อมูลบันทึกเหตุการณ์หรือการปิดบังบางส่วนของฐานข้อมูล ด้วยการลดโอกาสที่ทีมความปลอดภัยไซเบอร์จะตรวจพบความผิดปกติของระบบ ผู้กระทำการที่ไม่ได้รับอนุญาตจึงมีแนวโน้มที่จะถอนตัวออกไปโดยไม่มีผลกระทบใด ๆ ตามมา

นอกจากนี้ ด้วยการครอบคลุมหลักฐานการปรากฏตัวของพวกเขา APT ยังสามารถรักษาความลับเกี่ยวกับวิธีการแทรกซึมที่เฉพาะเจาะจงของพวกเขาไว้ได้อีกด้วย ทางออกที่เป็นความลับนี้ช่วยให้พวกเขาสามารถใช้กลยุทธ์ที่เชื่องช้าและเป็นระบบแบบเดียวกันนี้กับองค์กรเป้าหมายอื่น ๆ ได้

ข่าวกรองด้านภัยคุกคามขั้นสูงอย่างต่อเนื่อง (APT) เป็นรูปแบบเฉพาะของการข่าวกรองภัยคุกคามที่แจ้งและชี้นำธุรกิจในแคมเปญ APT อย่างต่อเนื่อง ผู้ก่อเหตุที่ไม่ได้รับอนุญาต APT ที่ก่อตั้งขึ้น และเทคนิคทางวิศวกรรมสังคมในปัจจุบันที่ใช้ APT 

ข่าวกรอง APT แตกต่างจากข้อมูลข่าวกรองด้านภัยคุกคามทั่วไปในด้านแหล่งที่มา เทคนิคการสร้างสามเหลี่ยม การรายงาน การวิเคราะห์ และการใช้งาน

นี่คือมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพหลายประการ เพื่อช่วยป้องกัน APT

ข่าวกรองด้านภัยคุกคาม

ระบบข่าวกรองด้านภัยคุกคามเป็นกลยุทธ์ที่มีประสิทธิภาพในการช่วยป้องกัน APT ข่าวกรองด้านภัยคุกคามรวบรวมข้อมูลการรักษาความปลอดภัยภายในและภายนอกเพื่อให้มุมมองแบบองค์รวมของสถานะปัจจุบันของเหตุการณ์และเวกเตอร์ทั่วไป ด้วยการใช้ข้อมูลสาธารณะและข้อมูลส่วนตัว คุณจะสามารถระบุคู่ต่อสู้ APT หลักที่อาจเกิดขึ้น รวมถึงกลยุทธ์ และวิธีการป้องกันตนเองจากพวกเขาได้

องค์กรสามารถดึงข้อมูลข่าวสารและสร้างกลยุทธ์ได้โดยการปรับใช้แพลตฟอร์มข่าวกรองด้านภัยคุกคาม ฟีดข่าวกรองด้านภัยคุกคามแบบโอเพนซอร์ส และเฟรมเวิร์ก เช่น MITRE ATT&CK

การบันทึกและการตรวจวัดระยะไกล

การบันทึกที่มีประสิทธิภาพและครอบคลุมของระบบความมั่นคงปลอดภัยไซเบอร์ เครือข่าย จุดการเข้าถึงสินทรัพย์ การตรวจสอบตำแหน่งข้อมูล และข้อมูลการตรวจสอบสถานะระบบโดยรวม ช่วยให้ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยสามารถพัฒนาภาพรวมที่ครอบคลุมของระบบธุรกิจของคุณได้ การเก็บรักษาข้อมูลบันทึกที่มีความละเอียดและการปรับใช้การวิเคราะห์ขั้นสูงช่วยปรับปรุงการตรวจจับความผิดปกติ และสนับสนุนการสืบสวนย้อนหลังเกี่ยวกับเหตุการณ์ด้านความปลอดภัยที่ไม่คาดคิด

เทคโนโลยี

มีเทคโนโลยีหลายประการที่คุณสามารถใช้เพื่อเพิ่มความสามารถในการตรวจจับ ยับยั้ง และบรรเทา APT ได้ นี่คือเทคโนโลยีหลักบางประการในสแต็กเทคโนโลยีการรักษาความปลอดภัยนี้:

• ระบบตรวจจับการบุกรุก (IDS): เครื่องมือที่ตรวจสอบปริมาณการรับส่งข้อมูลเครือข่ายเพื่อระบุกิจกรรมแปลก ๆ
• ระบบการจัดการข้อมูลและเหตุการณ์ความปลอดภัย (SIEM): โซลูชันที่นำข้อมูลจากระบบความปลอดภัยต่าง ๆ มาวิเคราะห์ความสัมพันธ์เพื่อเสนอการตรวจจับภัยคุกคามแบบเรียลไทม์ และการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยที่ไม่คาดคิด
• การตรวจจับและตอบสนองต่อตำแหน่งข้อมูล (EDR): ทำแผนผังและตรวจสอบตำแหน่งข้อมูลอุปกรณ์ทั้งหมดของบริษัทเพื่อระบุความผิดปกติและตอบสนองต่อสิ่งเหล่านั้นโดยอัตโนมัติ

การรักษาความปลอดภัยแบบเลเยอร์

นอกจากมาตรการรักษาความปลอดภัย APT คุณยังสามารถใช้กลยุทธ์การรักษาความปลอดภัยแบบเลเยอร์เพื่อลดโอกาสที่จะเกิดเหตุการณ์ความปลอดภัยที่ไม่คาดคิด คุณสามารถนำการแบ่งส่วนเครือข่าย พื้นที่จัดเก็บข้อมูลในพื้นที่ที่ปลอดภัยมาใช้ ปรับใช้การให้สิทธิ์เท่าที่จำเป็น บังคับใช้การยืนยันตัวตนแบบหลายปัจจัยสำหรับบัญชีบริษัททั้งหมด และใช้มาตรฐานการเข้ารหัสที่แข็งแกร่งทั้งในขณะอยู่ในพื้นที่จัดเก็บและในขณะที่อยู่ระหว่างการถ่ายโอน นอกจากนี้ การติดตั้งแพตช์ซอฟต์แวร์เครือข่าย ซอฟต์แวร์ระบบ และซอฟต์แวร์แอปพลิเคชันอย่างสม่ำเสมอจะช่วยบรรเทาช่องโหว่ที่รู้จักได้

การฝึกอบรม

หนึ่งในจุดเริ่มต้นที่พบบ่อยที่สุดสำหรับ APT และเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่ไม่คาดคิดอื่น ๆ คือผ่านการติดต่อกับพนักงานของบริษัท ไม่ว่าจะผ่านกลโกงฟิชชิ่งหรือการล่อลวงทางสังคมด้วยการหลอกให้พนักงานคลิกลิงก์ที่ถูกบุกรุก กลุ่มต่าง ๆ มักจะตั้งเป้าหมายไปที่บุคคลภายในองค์กร ด้วยความก้าวหน้า AI เทคนิคการแปลอมตัวขั้นสูงกำลังกลายเป็นเรื่องธรรมดา

คุณสามารถดำเนินโปรแกรมสร้างความตระหนักรู้ด้านการรักษาความปลอดภัยอย่างสม่ำเสมอ เพื่อต่อสู้กับภัยคุกคามจากการล่อลวงทางสังคมภายในองค์กรของคุณ พนักงานของคุณควรสามารถจำแนกสัญญาณเริ่มต้นของ APT และรายงานเหตุการณ์ไปยังทีมรักษาความปลอดภัยของคุณ

AWS นำเสนอบริการที่ออกแบบมาเพื่อช่วยปกป้ององค์กรจากภัยคุกคามขั้นสูงอย่างต่อเนื่อง AWS Security Hub พลิกโฉมการรักษาความปลอดภัยบนคลาวด์ด้วยการสร้างการมองเห็นแบบรวมศูนย์ ข้อมูลเชิงลึกที่นำไปปฏิบัติได้จริง และเวิร์กโฟลว์แบบอัตโนมัติ

Amazon GuardDuty มอบบริการตรวจจับภัยคุกคามที่มีการจัดการและสามารถขยายขนาดได้อย่างเต็มรูปแบบสำหรับระบบคลาวด์ Amazon GuardDuty สามารถระบุ เชื่อมโยง และตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วด้วยการวิเคราะห์อัตโนมัติและคำแนะนำการแก้ไขเฉพาะบุคคลเพื่อช่วยลดการหยุดชะงักของธุรกิจให้เหลือน้อยที่สุด Amazon GuardDuty มอบการตรวจจับภัยคุกคามอัจฉริยะเพื่อช่วยปกป้องบัญชี AWS, เวิร์กโหลด และข้อมูลของคุณ

Amazon Inspector ค้นพบเวิร์กโหลดโดยอัตโนมัติ เช่น อินสแตนซ์ Amazon Elastic Compute Cloud (Amazon EC2), อิมเมจคอนเทนเนอร์ และฟังก์ชัน AWS Lambda รวมถึงที่เก็บรหัส และสแกนหาช่องโหว่ของซอฟต์แวร์และการเปิดรับเครือข่ายโดยไม่ได้ตั้งใจ

Amazon Macie ค้นหาข้อมูลที่ละเอียดอ่อนโดยใช้แมชชีนเลิร์นนิงและการจับคู่รูปแบบ โดยให้ภาพรวมของความเสี่ยงด้านการรักษาความปลอดภัยของข้อมูล และช่วยให้สามารถป้องกันความเสี่ยงเหล่านั้นได้โดยอัตโนมัติ

AWS Security Incident Response อนุญาตให้คุณเตรียมพร้อม ตอบสนอง และกู้คืนจากเหตุการณ์ด้านการรักษาความปลอดภัย บริการตอบสนองต่อเหตุการณ์ความปลอดภัยช่วยควบคุมการติดตามตรวจสอบและสืบสวนโดยอัตโนมัติ เร่งการสื่อสารและการประสานงาน และให้การเข้าถึงทีม AWS Customer Incident Response Team (CIRT) โดยตรงตลอด 7 วัน 24 ชั่วโมง

เริ่มต้นด้วยการปกป้ององค์กรของคุณจาก APT บน AWS โดยการสร้างบัญชีฟรีวันนี้