Deception Technology มุมมองใหม่ของการตรวจจับภัยคุกคามทางไซเบอร์

สวัสดีครับ ปัจจุบันไม่ว่าจะองค์กรเล็กหรือใหญ่ล้วนให้ความสำคัญกับข้อมูลสารสนเทศที่มีมูลค่าทางธุรกิจ และเป็นความลับของบริษัทเป็นอย่างมาก และหากจะทำให้ข้อมูลเหล่านั้นปลอดภัยจากผู้ไม่หวังดี เทคโนโลยีเหล่านี้ล้วนมีความจำเป็นที่จะมาช่วยป้องกัน รับมือและลดความเสี่ยงจากภัยคุกคามทางไซเบอร์จากพวก Attacker

Deception เป็นเทคโนโลยีที่ช่วยหลอกล่อ และวางกับดักรับมือ Attacker ที่เข้ามาในเครือข่ายและสร้างความเสียหายของข้อมูล ทั้งยังทำให้เรารู้ความเคลื่อนไหวและดักทางของผู้โจมตี เพื่อยกระดับความปลอดภัย โซลูชั่นนี้จึงมีความสำคัญกับองค์กรเป็นอย่างมาก

ผมมี Technology การป้องกันภัยคุกคามทางไซเบอร์ในอีกมุมนึงที่แตกต่างออกไปจาก Technology ที่เรารู้จักหรือใช้งานอยู่ในปัจจุบัน โดยจะมาใน Concept ของการหลอกลวง เพื่อให้ Attacker ตกอยู่ในเกมที่เราเป็นฝ่ายควบคุม

โดยทั่วไปการป้องกันจะเป็นเหมือนการสร้างกำแพงขึ้นมาเป็นชั้นๆ (Layer of Defense) เพื่อตรวจจับและป้องกันภัยคุกคาม อย่างเช่น Firewall, IPS/IDS, ATP ซึ่งปัญหาที่เกิดขึ้นคือ เมื่อมีการโจมตีเข้ามาในองค์กรได้โดยหลุดจากการตรวจจับ ไม่ว่าจะเป็นการ Bypass security ต่างๆ เสมือนการข้ามกำแพงหรือเข้ามาตามรูช่องโหว่ของกำแพง อย่างเช่น การส่ง Email หลอกลวง แล้วเมื่อ User มีการกดเข้าไปเท่ากับว่า Threat มันหลุดเข้ามาในองค์กรละ เป็น Insider threat แล้วเราจะป้องกันได้อย่างไร เราจะรู้ตัวได้อย่างไร

แน่นอนสิ่งที่ Deception ทำเราไม่ได้เป็นกำแพงเพื่อป้องกัน แต่เราแฝงตัวอยู่ในกำแพง อยู่ในองค์กร เราล่อ เราหลอก เราเป็นกับดัก

สิ่งที่เราทำคือการสร้างเครื่องปลอมขึ้นมาในเครือข่ายซึ่งทำหน้าที่เป็นกับดัก (Decoy) และเหยื่อล่อ (Lure) เพื่อหลอกให้ Attacker เข้ามาโจมตี แทนที่เราจะรอให้ Attacker โจมตีเราก่อน โดยการทำ Active defense ก็คือการตั้งรับแบบเชิงรุก ทำให้ Attacker เปิดเผยตัวออกมา ณ วันที่เขาได้เข้ามาในเครือข่ายของเรา ทำให้เรารู้ตัวก่อนที่จะโดนโจมตี

ปกติแล้วพฤติกรรมของ Attacker เวลาที่เข้ามาในเครือข่ายได้แล้ว เขาจะทำการสำรวจเพื่อหาเครื่องที่มีความสำคัญ หาสิทธิ์ที่สูงกว่าหรือ High credential เพื่อที่จะทำให้เขาไปถึงยังเครื่องที่เป็นเป้าหมาย

ซึ่งพฤติกรรมเหล่านี้ Antivirus หรือ EDR ไม่สามารถรู้ได้ เพราะคือพฤติกรรมปกติ แต่เราสามารถรู้ได้ด้วยเครื่องกับดับที่เราสร้างขึ้นมาในแต่ละ Network(VLAN) และเหยื่อล่อที่เราวางไว้ตามเครื่องต่างๆ โดยเหยื่อล่อของเราจะเป็น Credential ที่วางหลอกไว้ เมื่อ Attacker หลงกลหยิบไปลองใช้หรือเขาไปแตะยังเครื่องกับดัก ทำให้เรารู้ตัวทันที

อีกมุมหนึ่ง ในมุมของเครื่อง User เอง Deception ก็มีการป้องการด้วยการซ่อน Active Director (AD) และ File, Drive ต่างๆ

ก่อนอื่นเลย ทำไมต้อง AD เมื่อพูดถึง AD แน่นอน AD คือเมนหลักที่เก็บรวบรวมข้อมูลสำคัญๆ ไว้ เช่น Credential, Asset, หรือข้อมูลพนักงาน ทำให้ AD ตกเป็นเป้าหมายแรกที่ Attacker จะโจมตี

สิ่งที่เราทำคือการซ่อน AD ตัวจริงและให้ข้อมูล AD ปลอมแทน เป็นการตัดตอน Attacker ตั้งแต่ขั้นตอนแรกที่เขาทำการค้นหา AD ของเรา

มุมของ File, Drive สิ่งที่เราทำเช่นเดียวกับ AD คือการซ่อน File, Drive เพื่อไม่ให้ Attacker หาเจอหรือ Ransomware ทำการ Encrypt ได้ (มองไม่เห็น = ไม่สามารถเข้ารหัสได้)

เป็นอย่างไรบ้างกับ Deception ที่เรากำลังนำเสนอไอเดียใหม่ของการป้องกันและตรวจจับภัยคุกคามทางไซเบอร์ ในมุมของการหลอกหลวงเพื่อป้องกันแบบเชิงรุก

ผมหวังว่าเพื่อนๆ จะได้ประโยชน์กับบทความนี้กันนะครับ หากมีข้อสงสัยหรืออยากให้ทางผมช่วยแนะนำ ก็ยินดีมากครับ เพื่อนๆสามารถติดตามบทความอื่นๆ ได้ที่ https://www.facebook.com/SRSIntegration/

และหากอยากรู้จัก SRS Integration ว่า Service ของเรามีอะไรบ้างคลิกได้ที่ link นี้เลยครับ^^ https://www.srsi.co.th/