News

พาอ่านงานวิจัย “ทำไม Security Analyst ถึง Burnout และเราทำอย่างไรกับปัญหานี้ได้บ้าง?”

หนึ่งในกลไกที่สำคัญที่สุดในการขับเคลื่อน Security Operation Center (SOC) นั้นนอกเหนือจากการมีเทคโนโลยีที่เหมาะสม มีกระบวนการทำงานที่ชัดเจน คือกำลังของเหล่า Security Analyst ซึ่งเป็นด่านแรกในการรับมือกับการเกิดขึ้นของการโจมตีทางไซเบอร์และภัยคุกคาม ประสิทธิภาพและผลิตภาพจากกำลังหลักนี้เป็นปัจจัยสำคัญที่สะท้อนประสิทธิภาพของ SOC และในขณะเดียวกันการขาดซึ่งประสิทธิภาพและผลิตภาพก็ส่งผลด้านลบอย่างรุนแรงต่อ SOC ด้วยเช่นเดียวกัน

ในบทความนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัดจะขอพักการใช้ทักษะทางด้านเทคนิคของเรามาโฟกัสที่คำถามที่สำคัญสำหรับเหล่า Security Analyst, SOC Operator และ SOC Manager นั่นคือคำถามว่าปัจจัยใดที่มีผลต่อประสิทธิภาพในการทำงานของเรา และในขณะเดียวกันอะไรที่ทำให้เราไม่มีประสิทธิภาพ แล้วเราสามารถทำอะไรกับมันได้สำหรับปัญหาเหล่านี้

บทความนี้อ้างอิงเนื้อหาโดยส่วนใหญ่มาจากงานวิจัยชื่อ A Human Capital Model for Mitigating Security Analyst Burnout โดย Sathya Chandran และคณะ ซึ่งสามารถดาวโหลดงานวิจัยฉบับเต็มได้ตามลิงค์ที่แนบมาครับ
รายละเอียดการทำวิจัย
ในส่วนแรกของบทความนี้ เราขออธิบายรายละเอียดและที่มาของประเด็นและข้อเสนอที่จะถูกนำเสนอในหัวข้อต่างๆ โดยการพูดถึงกระบวนการทำวิจัย ตัวแปรและทฤษฎีที่สำคัญและข้อจำกัดของงานวิจัยนี้ครับ

เป้าหมายหลักสำคัญของงานวิจัยนี้คือการพุ่งเป้าเพื่อหาคำตอบและวิธีการในการรักษาศักยภาพในการทำงานของกลุ่มอาชีพ Security analyst ซึ่งนำไปสู่การค้นหาว่าปัจจัยใดที่ลดประสิทธิภาพในการทำงานและประเด็นว่าด้วยเรื่องของการ Burnout

งานวิจัยนี้ใช้วิธีการศึกษาโดยให้นักวิจัยมาเข้าร่วมกับสังคมที่จะทำการศึกษา ร่วมปฏิบัติงานด้วยกันและพยายามปฏิบัติเพื่อให้ได้มาซึ่งความเชื่อใจและการยอมรับ โดยในระหว่างนี้นักวิจัยจะทำการบันทึกเหตุการณ์ที่เกิดขึ้นในแต่ละวันภายใน SOC เพื่อนำมาประเมินผล รวมเวลาเก็บข้อมูลทั้งสิ้นทั้งหมด 6 เดือน

ข้อมูลประจำวันที่ได้จากการบันทึกจะถูกนำมาประเมินผลด้วยทฤษฎี Grounded theory ซึ่งเป็นหลักทฤษฎีของการศึกษาปรากฎการณ์ทางสังคมเพื่อสร้างทฤษฎีหรือโมเดลมาอธิบายปัจจัยที่เกี่ยวข้องผ่านทางการให้เหตุผลแบบอุปนัย (Inductive reasoning) จากข้อมูลที่ทำการรวบรวมมา นิยามและคุณลักษณะจะถูกกำหนดให้กับข้อมูลก่อนจะถูกนำมาจับกลุ่มตามความสัมพันธ์ที่มีต่อกันระหว่างนิยาม

ตัวอย่างของข้อมูลที่ถูกเก็บรวบรวมมาจากนักวิจัยซึ่งทำงานกับร่วมกับทีม SOC เช่น
ในระหว่างที่ทำการวิเคราะห์เหตุการณ์ภัยคุกคาม ฉันได้ให้คำแนะนำแก่ Security analyst คนอื่นว่าเราควรลองเข้าถึงระบบ Domain controller เพื่อหาและเก็บข้อมูลที่สำคัญเพิ่มเติม อย่างไรก็ตาม Security analyst อีกคนหนึ่งกล่าวว่าการเข้าถึง Domain controller เป็นการกระทำที่มีความเสี่ยงเกินไปสำหรับ Security analyst
ตัวอย่างข้อมูลนี้จะถูกนิยามและให้คุณลักษณะไว้ว่าเป็นประเด็นที่เกี่ยวข้องกับความรับผิดชอบ (liability) และการถูกไม่ได้รับหรือถูกจำกัดสิทธิ์ที่ควรได้รับเพื่อดำเนินการอย่างใดอย่างหนึ่ง (restricted of empowerment) หลังจากนั้นด้วยข้อมูลและการให้นิยามอื่นๆ ที่แตกต่างกัน นิยามและคุณลักษณะจะถูกจับกลุ่มและรวบรวมให้กลายเป็นประเด็นใหญ่สุดท้ายเพื่อสร้างเป็นโมเดลในการอธิบายพฤติกรรมที่เกี่ยวข้องกัน

ส่วนของการเก็บข้อมูล ศึกษาข้อมูลและพัฒนาโมเดลเพื่ออธิบายพฤติกรรมของ Security analyst ถูกดำเนินการใน SOC ของบริษัททางด้านไอทีที่มีลักษณะของผู้ให้บริการในสหรัฐอเมริกา โดยผลลัพธ์โมเดลที่ได้จากการทำวิจัยนั้นถูกนำมาตรวจสอบกับ SOC ของมหาวิทยาลัยแห่งหนึ่งในสหรัฐฯ ซึ่งได้ผลลัพธ์ที่สอดคล้องกัน  ทังนี้รายละเอียดของบุคลากร SOC รวมไปถึงการแบ่งหน้าที่ เพศ และประสบการณ์ในการทำงานสามารถอ่านได้เพิ่มเติมจากในหัวข้อที่ 4 Fieldwork Setup และหัวข้อที่ 5 SOC Demography
ปัจจัยที่เกี่ยวข้องกับประสิทธิภาพการทำงานของ Security Analyst
ภายใต้งานวิจัยนี้นิยามปัจจัยที่เกี่ยวข้องกับประสิทธิภาพการทำงานของ Security analyst ตามแนวคิดเรื่องทุนมนุษย์ (Human capital) ซึ่งหมายถึงทรัพยากรที่คนหรือกลุ่มคนมี เช่น ความรู้และความเชี่ยวชาญ, ทักษะและประสบการณ์, ความคิดสร้างสรรค์และคุณสมบัติอื่นๆ ที่คนหรือกลุ่มคนพึงมี การที่ Security analyst สามารถสร้างและพัฒนาทุนมนุษย์ได้อย่างเหมาะสมสามารถการันตีความมีประสิทธิภาพของ SOC ในด้านกำลังคนได้

ทุนมนุษย์ของ Security analyst ถูกสร้าง รักษาและพัฒนาจาก 4 ปัจจัยหลัก โดยแต่ละปัจจัยจะมีความเกี่ยวข้องซึ่งกันและกันในมุมที่ว่าปัจจัยก่อนหน้ามีความจำเป็นต่อการมีอยู่และคุณภาพของปัจจัยต่อไป

ความสามารถ (Skills)
อำนาจและสิทธิ์ในการดำเนินการ (Empowerment)
ความสร้างสรรค์ (Creativity)
การพัฒนาและเติบโตของศักยภาพ (Growth)

เราสามารถใช้ 4 ปัจจัยนี้ในการอธิบายทุนมนุษย์ของ Security analyst ได้ดังนี้

Security analyst จะต้องมีความสามารถ (Skills) ที่ตรงกับสิ่งที่ทำรวมไปถึงมีศักยภาพที่เหมาะสม เนื่องจากงานของ SOC นั้นเกี่ยวข้องกับระบบของผู้อื่นรวมไปถึงการตัดสินใจ หากปราศจากซึ่งความสามารถที่เหมาะสมก็ย่อมแยกที่ Security analyst จะสามารถมีคุณลักษณะในขั้นต่อไปได้
เมื่อมีความสามารถที่เหมาะสมแล้ว Security analyst ควรจะได้รับอำนาจและสิทธิ์ในการดำเนินการ (Empowerment) ซึ่งรวมไปถึงการรับผิดชอบในหน้าที่ การมีอำนาจและสิทธิ์นี้สร้างช่องทางให้ Security analyst สามารถทำสิ่งใหม่หรือเสนอวิธีการใหม่ในการทำงานที่จะสร้างผลลัพธ์และเป็นโมเมนตัมในการทำงานและพัฒนาตนเองต่อไปได้ และยังนำไปสู่ประเด็นในเรื่องของความไว้เนื้อเชื่อใจด้วย
ด้วยการมีอำนาจและสิทธิ์ในการดำเนินงานตามความเหมาะสมเป็นใบเบิกทาง Security analyst จะได้รับสิทธิ์ในการที่จะสามารถรับมือและมีส่วนร่วมกับการแก้ปัญหากับสถานการณ์ใหม่ที่อยู่นอกเหนือจาก Procedure ที่ SOC มี การขาดซึ่งความสร้างสรรค์ (Creativity) ในการทำงานจะส่งผลให้เกิดความเบื่อหน่ายเมื่อต้องทำงานเดิมซ้ำๆ และทำให้โอกาสเกิดข้อผิดพลาดมีมากขึ้นด้วย
การได้รับโอกาสเพื่อทำสิ่งใหม่จะส่งผลให้เกิดการพัฒนาและเติบโตของศักยภาพ (Growth) และส่งผลให้ Security analyst รู้สึกประสบความสำเร็จและมีจุดมุ่งหมาย การพัฒนาและเติบโตของศักยภาพสามารถเกิดขึ้นได้จากการเรียนรู้จากผู้ที่มีประสบการณ์มากกว่าหรือผ่านทางการโยกย้ายหน้าที่ไปยังหน้าที่ที่เหมาะสมตามความสามารถ

อ้างอิงจากงานวิจัย โมเดลซึ่งเป็นผลลัพธ์จากการวิจัยได้อธิบายว่าความรู้สึก Burnout ของ Security analyst จะเกิดขึ้นเมื่อพวกเขาติดอยู่ ณ จุดใดจุดหนึ่งของปัจจัยเหล่านี้ไปเรื่อยๆ และไม่สามารถพัฒนาขึ้นไปได้

นอกเหนือจากปัจจัยเฉพาะบุคคลในเรื่องของทุนมนุษย์ งานวิจัยยังเสนอปัจจัยภายนอกอีก 3 ปัจจัยที่สามารถกระทบต่อปัจจัยในเรื่องของทุนมนุษย์ได้ ได้แก่

การทำงานแบบอัตโนมัติ (Automation) หากเกิดขึ้นก็สามารถช่วยงานซ้ำซ้อนใน SOC ได้และทำให้เกิดการทำงานร่วมกันระหว่างหลายฝ่ายซึ่งทำให้เกิดลักษณะงานที่ท้าทายและแปลกใหม่ ทั้งนี้มันจะเกิดขึ้นได้ก็ต่อเมื่อเกิดการตรวจสอบกระบวนการทำงานอย่างจริงจังว่าเกิดข้อจำกัดขึ้นในส่วนใด การขาดซึ่งการทำงานแบบอัตโนมัติส่งผลให้ Security analyst ถูกบังคับให้ทำงานซ้ำซ้อนซึ่งทำให้สูญเสียโอกาสในการพัฒนา Skills และ Creativity ไป
ประสิทธิภาพในเชิงปฏิบัติการ (Operational Efficiency) ปัจจัยนี้ถูกอธิบายในมุมของหาก SOC สามารถปฏิบัติการได้อย่างมีประสิทธิภาพ Security analyst จะได้รับอิทธิพลจากสิ่งนี้และส่งผลกระทบต่อทุนมนุษย์ภายในตัวของเขาเอง ความมีประสิทธิภาพในเชิงปฏิบัติการนั้นร่วมไปถึงการทำงานแบบอัตโนมัติที่ช่วยลดงานซ้ำหรือการเกิดขึ้นของเทคโนโลยีใหม่ที่ช่วยให้การทำงานนั้นเป็นไปได้ง่ายขึ้น
ตัวชี้วัด (Metrics) เนื่องจาก SOC เป็นกระบวนการที่มีการลงทุนสูง การเกิดขึ้นของตัวชี้วัดในงานวิจัยนี้จึงเป็นถูกนำมาเป็นปัจจัยหนึ่งที่กลุ่มของผู้บริหารกำหนดและประเมินรวมไปถึงความคาดหวังต่อกิจกรรมและผลลัพธ์ที่ได้ของ SOC หากตัวชี้วัดถูกกำหนดขึ้นอย่างไม่เหมาะสม นั่นหมายถึงการประเมินที่ผิดพลาดในประสิทธิภาพในเชิงปฏิบัติการและอาจหมายถึงการสูญเสียโอกาสในการพัฒนาทุนมนุษย์และปัจจัยอื่นๆ ไป งานวิจัยนี้ยังคงไม่อาจสรุปได้ถึงตัวชี้วัดที่เหมาะสมในการประเมินประสิทธิภาพในเชิงปฏิบัติการ โดยเสนอเพียงแค่ผลกระทบที่มีเท่านั้น

งานวิจัยนี้ยังคงมีข้อจำกัดในหลายประเด็น อาทิ กระบวนการพัฒนาโมเดลเพื่ออธิบายปรากฎการณ์ทางสังคมรวมไปถึงกระบวนการทดสอบเกิดขึ้นกับ SOC เพียงไม่กี่ราย ซึ่งอาจทำให้โมเดลไม่ได้สะท้อนถึงความจริงได้อย่างแม่นจำ และด้วยข้อจำกัดที่ผู้ทำวิจัยจะต้องเข้าร่วมในกระบวนการทำงานของ SOC เป็นระยะเวลาที่นานซึ่งทำให้ความหลากหลายของสภาพแวดล้อมในการทำวิจัยเกิดขึ้นได้ยาก รวมไปถึงข้อผิดพลาดที่อาจเกิดขึ้นในการเก็บข้อมูล ผลลัพธ์จากงานวิจัยนี้จึงสมควรที่จะถูกตั้งคำถามและพิสูจน์เพื่อการพัฒนาต่อไป
สรุป
งานวิจัย A Human Capital Model for Mitigating Security Analyst Burnout นี้ผูกประเด็นปัญหาของการ Burnout ใน Security analyst ไว้กับประเด็นเรื่องของทุนมนุษย์อันได้แก่ ความสามารถ, สิทธิ์และอำนาจนการดำเนินการ, ความสร้างสรรค์และการพัฒนาและเติบโตของศักยภาพ พร้อมกับปัจจัยภายนอกอื่นๆ เป็นหลัก โดยได้เสนอในมุมว่าประสิทธิภาพและความพึงพอใจในการทำงานขึ้นอยู่กับการสร้าง พัฒนาและรักษาตัวแปรเหล่านี้เอาไว้ ในขณะเดียวกันปัญหาของการ Burnout เกิดจากการไม่สามารถสร้าง พัฒนาและรักษาตัวแปรเหล่านี้เอาไว้ได้

แม้ว่างานวิจัยจะสามารถนำเสนอโมเดลเพื่อให้เราได้นำมาทดสอบและพิสูจน์ถึงความแม่นยำกันต่อไป โมเดลและทฤษฎีซึ่งนำเสนอตัวแปรของพฤติกรรมในสังคมก็ยังคงทำหน้าที่ได้เพียงชี้ให้เห็นถึงความเป็นไปได้ของกลุ่มปัจจัยหนึ่งจากปัจจัยมากมายที่จะส่งผลกระทบต่อการทำงานของ Security analyst การควบคุมปัจจัยที่เกี่ยวข้องกับประสิทธิภาพก็ยังคงไม่ชัดเจนและเหลือทิ้งไว้เป็นคำถามต่อไปว่า Manager และ Executive ควรจะบริหารและจัดการ รวมไปถึงบาลานซ์ปัจจัยต่างๆ ให้เหมาะสมได้อย่างไรเพื่อให้ทุนมนุษย์และปัจจัยที่เกี่ยวข้องสามารถเกิดขึ้นได้อย่างมีประสิทธิภาพและปราศจากผลกระทบที่ไม่พึงประสงค์ได้มากที่สุด

Cisco Patches Critical CDP Flaws Affecting Millions of Devices

Cisco แก้ช่องโหว่ Cisco Discovery Protocol (CDP) กระทบหลายผลิตภัณฑ์

5 ช่องโหว่ในระดับ critical ถูกค้นพบในการ Cisco Discovery Protocol (CDP) ช่องโหว่เหล่านี้อนุญาตให้ผู้โจมตีที่เข้าถึง local network สามารถยึดอุปกรณ์ได้ กระทบอุปกรณ์เน็ตเวิร์คระดับองค์กรมากกว่าล้านชิ้น ช่องโหว่เหล่านี้ถูกค้นพบโดยบริษัทด้านความปลอดภัยของ IoT (Armis)
CDP คือโปรโตคอลที่มีการใช้งานใน Layer 2 (Data Link Layer) บนอุปกรณ์เน็ตเวิร์คที่เป็นของทาง Cisco มีค่าตั้งค่าเริ่มต้นให้มีการใช้งานในทุกอุปกรณ์ โดยปัจจุบันยังไม่มีให้แก้ไขหรือปิดการใช้งานจากผู้ใช้งานได้โดยตรง

Aimis ได้แสดงวีดีโอสาธิตการใช้ช่องโหว่ใน CDP ซึ่งมีการตั้งชื่อเล่นให้ว่า CDPwn ช่องโหว่ที่พบเป็นช่องโหว่เกี่ยวกับ Remote code execution 4 ช่องโหว่ และ denial of service 1 ช่องโหว่ จากการสาธิตแสดงให้เห็นว่านักวิจัยสามารถดักฟังข้อมูลจากโทรศัพท์ ภาพ และ เสียง ขโมยข้อมูลผ่านทาง switch รวมถึงทำการโจมตีข้ามไปยังเครือข่ายต่างๆ ได้

ช่องโหว่ CDPwn ส่งผลต่ออุปกรณ์ของ Cisco มากมายรวมถึงเราเตอร์ Cisco IOS XR สวิตช์ Cisco NX-OS, ระบบ Cisco NCS, ไฟร์วอลล์ Cisco FirePower, Cisco 8000 IP Camera Series และ Cisco IP Phone 7800 และ 8800 series

ปัจจุบัน Cisco ได้ให้ข้อมูลอัปเดตเพิ่มเติมและรายละเอียดการลดผลกระทบจากช่องโหว่ของ CDPwn ในหน้า Security Advisory เมื่อวันที่ 5 กุมภาพันธ์ร่วมกับ Armis โดยสามารถดูได้จาก https://tools.

Adobe addresses 42 flaws in its five products

Adobe ออกอัปเดตแพตช์ประจำเดือนกุมภาพันธ์ 2020

Adobe ออกอัปเดตแพตช์ประจำเดือนกุมภาพันธ์เพื่อแก้ไข 42 ช่องโหว่ใน 5 ผลิตภัณฑ์ ได้แก่ Framemaker, Acrobat รวมถึง Reader, Flash Player, Digital Editions และ Experience Manager

ช่องโหว่ใน Framemaker ส่วนใหญ่ถูกจัดอยู่ในความรุนแรงระดับ Critical และมีผลกระทบกับ Framemaker บนระบบปฏิบัติการ Windows โดยช่องโหว่ที่พบคือ buffer overflow, heap overflow, out-of-bounds write, และ memory corrupt flaws ส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายด้วยสิทธิของผู้ใช้งานปัจจุบันได้

นอกจากนี้ทาง Adobe ยังกล่าวถึงช่องโหว่อีก 17 ช่องโหว่ของผลิตภัณฑ์ Acrobat รวมถึง Reader ในระบบปฏิบัติการ Windows และ MasOs ซึ่งเป็นช่องโหว่ที่มีความรุนแรงระดับ Critical 2 ช่องโหว่ ได้แก่ช่องโหว่ memory corruption ที่ส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายบนอุปกรณ์ที่มีช่องโหว่ และช่องโหว่ privilege escalation bugs ที่อนุญาตให้ผู้โจมตีสามารถเขียนไฟล์ที่เป็นอันตรายไปยังระบบได้ ในส่วนของข้อบกพร่องที่เหลืออยู่ใน Acrobat and Reader ถูกจัดลำดับความรุนแรงในระดับปานกลางได้แก่ช่องโหว่ memory leaks และช่องโหว่ information disclosure ข้อบกพร่องถูกรายงานไปยัง Adobe โดยผู้เชี่ยวชาญอิสระและนักวิจัยจาก Qihoo 360, Tencent, Renmin University of China, Cisco Talos, the Chinese Academy of Sciences, Baidu, และ McAfee

นอกจากนี้ทาง Adobe ยังเปิดเผยถึงช่องโหว่ arbitrary code execution ใน Flash Player ซึ่งหากผู้โจมตีสามารถรันคำสั่งแปลกปลอมด้วยสิทธิของผู้ใช้งานปัจจุบัน รวมถึงช่องโหว่ใน Digital Editions ได้แก่ ช่องโหว่ command injection bug, information disclosure และช่องโหว่ denial-of-service (DoS) ที่ส่งผลกระทบกับ Adobe Experience Manager เวอร์ชั่น 6.5 และ 6.4

โดยทาง Adobe ยื่นยันว่ายังไม่พบการโจมตีผ่านช่องโหว่ทั้งหมดนี้เกิดขึ้น

ที่มา : securityaffairs

Microsoft’s February 2020 Patch Tuesday Fixes 99 Flaws, IE 0day

ไมโครซอฟต์ออกแพตช์ประจำเดือนกุมภาพันธ์ 2020
ไมโครซอฟต์ได้แก้ไขข้อบกพร่อง 99 รายการซึ่งรวมไปถึงช่องโหว่ 0 day ใน Internet Explorer (IE) ในแพตช์ประจำเดือนกุมภาพันธ์ 2020 มีช่องโหว่ระดับ Critical 10 ช่องโหว่ ระดับ Important 87 ช่องโหว่และระดับ Moderate 2 ช่องโหว่
ในการแก้ไขครั้งนี้ยังรวมไปถึงการแก้ไขช่องโหว่ CVE-2020-0674 ช่องโหว่ 0 day ใน Internet Explorer (IE) ซึ่งมีการพบการโจมตีแล้ว
ผู้ใช้ควรอัปเดทติดตั้งความปลอดภัยโดยเร็วที่สุดเพื่อป้องกันวินโดว์จากความเสี่ยงด้านความปลอดภัยที่ถูกเปิดเผยแล้ว
นอกเหนือจากช่องโหว่ IE CVE-2020-0674 แล้วไมโครซอฟต์ระบุว่ามีการเปิดเผยช่องโหว่อื่นอีกสามช่องโหว่ต่อสาธารณชนแต่ยังไม่พบการโจมตีช่องโหว่เหล่านี้ ได้แก่ CVE-2020-0683 ช่องโหว่ยกระดับสิทธิ์ใน Windows Installer CVE-2020-0686 ช่องโหว่ยกระดับสิทธิ์ใน Windows Installer และ CVE-2020-0706 ช่องโหว่การเปิดเผยข้อมูลใน Microsoft Browser

ที่มา : bleepcomputer

ทำความรู้จักเทคโนโลยี Deception Solution ตรวจจับและรับมือภัยคุกคามด้วยลูกไม้และการหลอกลวง

ในช่วงปี 2019 ที่ผ่านมา เทรนด์หนึ่งซึ่งได้รับการพูดถึงอย่างมีนัยยะสำคัญและเริ่มได้รับความสนใจในมุมของการตรวจจับ ป้องกันและตอบสนองภัยคุกคามคือเทรนด์ซึ่งนำแนวคิดเดิมของ Honeypot และ Sandbox มาเปลี่ยนโฉมเพื่อให้แทนที่จะทำหน้าที่ในการ "กักกัน" ภัยคุกคามเพียงอย่างเดียว มันยังสามารถวิเคราะห์และตอบสนองภัยคุกคามที่ตรวจพบได้ในตัว อีกทั้งยังสามารถเปลี่ยนระบบทั่วไปให้มีศักยภาพในการเป็น Honeypot เพื่อหลอกล่อให้ภัยคุกคามไม่สามารถบรรลุเป้าหมายของมันได้ เทคโนโลยีกลุ่มนี้ถูกนำเสนอในชื่อของ Deception Solution และในวันนี้เราจะมาพูดถึงเทคโนโลยีนี้กันครับ
วิวัฒนาการและพฤติกรรมของภัยคุกคามในปี 2019
Advance Persistent Threat (APT)
เมื่อไม่กี่ปีที่ผ่านมา หากเราพูดถึงการมาของกลุ่มภัยคุกคามที่ศักยภาพและทักษะที่สูงซึ่งเรามักจะเรียกกันว่า Advance Persistent Threat (APT) มันอาจยังคงเป็นเรื่องที่ไกลตัวและคงไม่ใช่ประเด็นที่ต้องกังวลมากนักว่าจะมีใครทุ่มเทศักยภาพและทักษะขนาดนั้นเพื่อโจมตีระบบและธุรกิจของเรา อย่างไรก็ตามการวิวัฒนาการและพฤติกรรมของ APT นั้นกลับเกิดขึ้นขัดแย้งกับแนวความคิดนี้ การโจมตีจาก APT สามารถเกิดขึ้นแม้เราจะไม่ได้เป็น group of interests ที่ APT หมายปองแต่อาจเกิดขึ้นได้เพียงเพราะว่าเรามีปัจจัยที่สามารถช่วยให้กลุ่ม APT กลุ่มนั้นสามารถบรรลุเป้าหมายได้

Advance Persistent Threat (APT) คือรูปแบบของภัยคุกคามรูปแบบหนึ่งที่มีพฤติกรรมในการพยายามจะฝังตัวไว้ในเครือข่ายของเป้าหมายและทำการหลบซ่อนจากระบบการตรวจจับในเครือข่าย จุดประสงค์ของการโจมตีของ APT มีหลากหลายตามเป้าหมายของการโจมตี การรวบรวมข้อมูลที่สำคัญเป็นเพียงขั้นตอนหนึ่งเท่านั้นเพื่อให้ภัยคุกคามสามารถเคลื่อนย้ายตัวเองไปยังระบบอื่นๆ เมื่อได้ข้อมูลครบเรียบร้อยตัวของภัยคุกคามจะทำการเคลื่อนย้ายตัวเอง (Lateral movement) ไปยังเครื่องอื่น ๆ ตามข้อมูลที่พบเจอ เพื่อที่จะหาแหล่งข้อมูลสำคัญขององค์กร รวมถึงช่องโหว่ที่เกิดขึ้นในองค์กรอีกด้วย เป้าหมายของการโจมตีโดย APT คือการเข้าถึงถึงระบบต่าง ๆ ในเครือข่าย โดยไม่ถูกตรวจจับและสามารถจารกรรมข้อมูลสำคัญให้มากที่สุด

คำว่า “Advance” หมายถึง เทคนิคและวิธีการที่ภัยคุกคามใช้เพื่อบรรลุเป้าหมายในการโจมตีซึ่งแตกต่างจากภัยคุกคามทั่วไป และคำว่า“Persistent” หมายถึงศักยภาพในการฝังตัวในระบบเป็นระยะเวลานานและตรวจจับได้ยาก ส่วนใหญ่ผู้โจมตีฝังตัวอยู่ในระบบเป็นเวลานานเพื่อคอยสำรวจระบบเพื่อหาข้อมูลเพิ่มเติม/เคลื่อนย้ายตัวเอง ในอีกด้านหนึ่ง "Persistent" ยังไม่ถึงความพยายามในการบรรลุให้ถึงเป้าหมายของการโจมตีให้ได้ด้วยโจมตี
BOTNET

Botnet คือรูปแบบของภัยคุกคามที่อาศัยการแพร่กระจายไปยังระบบเป็นเจ้ามากเพื่อควบคุมและแสวงหาประโยชน์ โดยกลุ่มของ Botnet สามารถถูกใช้เพื่อสร้างการโจมตีในลักษณะ Distributed Denial of Services (DDoS) ส่งผลให้เว็บไซต์หรือระบบขององค์กรนั้น ไม่สามารถใช้งานได้ โดยส่วนใหญ่นั้น Botnet มักจะถูกควบคุมให้ทำงานตามคำสั่งของผู้ควบคุมให้มีการสั่งการจาก Command and Control Center (C&C) รวมไปถึงรับและส่งข้อมูลที่ Bot เองสามารถแสวงหาจากระบบที่ยึดครองได้

การตรวจจับและป้องกันในปัจจุบันพึ่งพาอาศัยการตรวจจับให้ได้จึงจะป้องกันให้ได้ นั่นหมายถึงระบบในการตรวจจับ อาทิ Next-Gen Firewall, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), Web Application Firewall (WAF), Endpoint Protection จะต้องสามารถแยกแยะพฤติกรรมการใช้งานปกติออกจากพฤติกรรมที่เป็นการโจมตีได้ แยกแยะไฟล์ที่เป็นอันตรายกับไฟล์ที่ไม่เป็นอันตรายได้ ซึ่งนั่นทำให้เกิดเกมไล่จับของตำรวจที่ต้องมองหาคนร้ายที่ต้องปลอมตัวมาอย่างแนบเนียนและมีการเปลี่ยนลักษณะไปเรื่อยๆ

จะเป็นอย่างไรถ้าเราทำให้สภาพแวดล้อมที่เป็นเป้าหมายของภัยคุกคามนั้นมั่นคงและพร้อมรับการโจมตีที่สุด จับตาในทุกๆ มุมที่คนร้ายอาจซ่อนเร้น ให้ข้อมูลปลอมแก่คนร้ายเพื่อให้คนร้ายเปิดเผยตัวตนออกมา และรอในจุดที่พร้อมที่สุดเพื่อจับกุมคนร้ายในจังหวะที่คนร้ายเปิดเผยตัวเอง แนวคิดเหล่านี้คือที่มาของเทคโนโลยีที่มีชื่อว่า Deception Solution ครับ
Deception Solution Features
ด้วยคุณสมบัติของ Deception Solution ที่ได้มีการพัฒนาขึ้นมาเพื่อเฝ้าระวัง และตอบโต้การทำงานของภัยคุกคามที่มีความสามารถในการปกปิดตัวเองและสร้างความเสียหายได้สูง ฟีเจอร์หลักของ Deception Solution ครอบคลุมความสามารถดังต่อไปนี้

Real-time detection
สามารถแสดงรูปแบบการโจมตีของผู้ไม่ประสงค์ดี โดยการวางเหยื่อล่อ (Decoy) ให้อยู่ในสภาพแวดล้อมของอค์กร เพื่อทำการเบี่ยงเบนหรือลวงผู้ไม่ประสงค์ดีให้ทำการเข้ามาโจมตีเหยื่อล่อ (Decoy) เพื่อตรวจสอบพฤติกรรมในการเข้ามาโจมตี ไม่ว่าจะเป็นรูปแบบการทำงานของ Ransomware และ Phishing attack หรือในขณะเริ่มกระบวนการ การเก็บข้อมูลภายในระบบเพื่อโจมตีเป้าหมาย (Reconnaissance) และการเคลื่อนที่ในเครือข่าย (Lateral movement) ในดาต้าเซ็นเตอร์ขององค์กรและบนคลาวด์ เป็นต้น
Enhanced Prevention
ยกระดับมาตรการในการป้องกันความปลอดภัย ด้วย การประเมินความเสี่ยงของ Account Credential (Attack Path), ช่องโหว่ (Vulnerability), ความเสี่ยง (Risk), และการวิเคราะห์พฤติกรรมการโจมตีของผู้ไม่ประสงค์ดี โดย Solution นี้สามารถนำไปใช้ร่วมกับ 3rd party solutions อื่น ๆ ในการทำ Automatic Blocking และ Quarantine การโจมตีอย่างทันท่วงที
Detailed Attack ANalysis
สามารถรวบรวมและตรวจสอบ Tactics, Techniques, and Procedures (TTPs) ของ BOTs, APTs, Insider Threats และยังสามารถทำการวิเคราะห์พฤติกรรมการโจมตีของผู้ไม่ประสงค์ดีได้อีกด้วย
Substantiated Alerts
สามารถบริหารจัดการการแจ้งเตือนตามรูปแบบการโจมตี และแจ้งข้อมูลที่เกี่ยวข้องของเครื่องที่ถูกบุกรุก รวมถึงรูปแบบของการโจมตี
Actionable Forensics
สามารถรายงานข้อมูลการโจมตีและนำไปใช้งานในรูปแบบต่าง ๆ เช่น IOC, STIX, Syslog, PDF, CSV และ PCAP ได้
Accelerated Incident Response
รูปแบบการวิเคราะห์ที่เกิดขึ้นสามารถนำไปใช้ร่วมกับระบบอื่น ๆ เพื่อยกระดับการตอบสนองได้อย่างรวดเร็ว
Technology Advantage Points
จากแนวความคิดที่อยู่ในรูปแบบของการป้องกันเพียงอย่างเดียว (Protect) ซึ่งนำมาสู่การพัฒนามาเป็นรูปแบบในการเฝ้าระวัง (Detect) และการตอบสนอง (Response) ต่อภัยคุกคามโดยใช้ Deception Solution (เหยื่อล่อ) เพื่อทำการหลอกล่อให้ผู้ไม่ประสงค์ดีหรือมัลแวร์แสดงตัวออกมา และทำการหยุดยั้งการโจมตีได้ทันที จุดเด่นของ Deception Solution มีตามรายละเอียดดังต่อไปนี้
ตรวจจับภัยคุกคามอย่างรวดเร็วและหยุดยั้งการโจมตีทุกขั้นตอน

ทำการวางเหยื่อล่อ (Decoy) เพื่อล่อหลอกให้ผู้ไม่ประสงค์ดีหรือมัลแวร์ทำการโจมตี เมื่อมีการโจมตีมาที่เหยื่อล่อ ระบบจะแจ้งเตือนในทันที โดยระบบจะแสดงรูปแบบของการโจมตี ตั้งแต่ขั้นตอนที่ผู้ไม่ประสงค์ดีหรือมัลแวร์เริ่มเคลื่อนไหวในเครือข่าย
ลดเวลาในการตรวจสอบภัยคุกคาม โดยสามารถระบุเครื่องที่ถูกโจมตีได้ รวมถึงสามารถวิเคราะห์การโจมตีก่อนที่จะก่อให้เกิดความเสียหาย
หยุดยั้ง APT, Botnet และการโจมตีในรูปแบบอื่น ๆ ด้วยการแจ้งเตือนไปยังผู้ดูแลระบบผ่านทางอีเมล์ ถ้ามีเหตุการณ์ภัยคุกคามเกิดขึ้นในขณะที่มีการโจมตี
สามารถวางเหยื่อล่อ (Decoy) ที่มีความคล้ายคลึงระบบในเครือข่ายจริงเพื่อตรวจจับ zero-day attacks โดยไม่จำเป็นต้องใช้ signatures ในการป้องกัน

เข้าถึงข้อมูลพฤติกรรมของภัยคุกคามและป้องกันการโจมตีในอนาคต

สามารถตรวจจับพฤติกรรมที่เกิดขึ้นจริงของภัยคุกคามและทำการวิเคราะห์ เพื่อให้เข้าถึงและเข้าใจการโจมตีรวมถึงเป้าหมายการโจมตีได้
แสดงข้อมูลรายงาน Indicators of Compromise (IOC) และรายงานรูปแบบการโจมตีผ่าน UI, PCAP files, Syslog, IOC, และ CSV เพื่อใช้ร่วมกับระบบอื่น ๆ ได้

Attivo Networks: Active Deception for Threat Detection Solutions
Deception and Decoy
Attivo Networks ออกแบบและพัฒนาระบบ Deception Solution ให้มีความเสมือนกับระบบจริงบนเครือข่ายของผู้ใช้งาน ซึ่ง Attivo Networks ทำหน้าที่เป็นระบบตรวจจับโดยใช้การวางเหยื่อล่อ (Decoy) เพื่อตอบโต้ภัยคุกคามทุกรูปแบบ ตั้งแต่พฤติกรรมของภัยคุกคามที่เริ่มทำงานจนเข้าถึงเป้าหมาย และตรวจจับพฤติกรรมภัยคุกคามในเครือข่าย รวมไปถึงสามารถที่จะประเมินโอกาสที่จะเกิดความเสี่ยงของ Lateral movement ในเครือข่ายได้อีกด้วย

โดยพื้นฐานของการวางเหยื่อล่อ (Decoy) และการเบี่ยงเบนเป้าหมายการโจมตีของผู้ไม่ประสงค์ดีหรือมัลแวร์ Attivo Networks สามารถเข้ารับมือกับการโจมตีของผู้ไม่ประสงค์ดีหรือมัลแวร์ได้ และสามารถแจ้งเตือนไปยังผู้ดูแลรระบบผ่านทางอีเมล์ รวมถึงแจ้งเตือนให้ระบบอื่น ๆ (3rd Party) เข้ามาช่วยทำการป้องกันและหยุดยั้งการโจมตีได้อย่างทันท่วงที ลดเวลาในการวิเคราะห์พฤติกรรมการโจมตีของผู้ไม่ประสงค์ดีหรือมัลแวร์ และยังช่วยลดความรุนแรงที่ก่อให้เกิดความเสียหายกับระบบได้ โดย Attivo Networks ถูกออกแบบเพื่อให้ใช้ได้ทั้งในเครือข่าย, ภายในองค์กร, ดาต้าเซ็นเตอร์ และบนคลาวด์ ซึ่งมีให้บริการทั้งในรูปแบบของ Appliance และ Virtual Machine เป็นต้น
Attivo Networks สามารถทำให้ทุกจุดเชื่อมต่อและเครือข่ายกลายเป็นเหยื่อล่อ (Decoy) ได้
Attivo Networks ทำการสร้างจุดเชื่อมต่อและเครือข่ายต่าง ๆ ให้กลายเป็นเหยื่อล่อ โดยการสร้างร่องรอยของข้อมูลการเชื่อมต่อที่น่าเชื่อถือเพื่อลวงให้เกิดการโจมตีไปยังเหยื่อล่อที่วางไว้ เป็นการสร้างระบบป้องกันแบบตอบโต้เพื่อปกป้ององค์กรและข้อมูลสำคัญในองค์กร
การสนับสนุนการป้องกันระบบ
Attivo Networks การตรวจจับและเก็บข้อมูลพฤติกรรมรวมถึงการแนะนำวิธีการแก้ไขปัญหาเบื้องต้น เช่น

IP Address ของเครื่องที่ตรวจพบพฤติกรรมของภัยคุกคาม หรือถูกบุกรุกแล้ว
การใช้งาน Username และ Password
ไฟล์ที่เกี่ยวข้องกับภัยคุกคามที่ถูกนำมาวาง (dropped payloads) และการวิเคราะห์รูปแบบการทำงานไฟล
รายละเอียดการโจมตี และรายละเอียดที่เกี่ยวข้อง เพื่อใช้ในการนำไปวิเคราะห์
รายละเอียดของการแก้ไขใน System, การทำงานของ Process, Registry และการใช้งาน Network Activity

เพิ่มประสิทธิภาพในการขยายตัวของเครือข่ายและการทำงานร่วมกับ 3rd Party Solutions
Attivo Networks สามารถรองรับการขยายตัวของเครือข่ายได้หลากหลายรูปแบบ ทั้งเครือข่ายที่ไปยังสาขา บนคลาวด์ หรือแม้กระทั่งการแบ่งย่อยของ VLAN ในเครือข่าย โดยสามารถบริหารจัดการได้จากส่วนกลางเพื่อให้ง่ายต่อการดูแล ทั้งยังลดภาระของผู้ดูแลโดยสามารถเชื่อมต่อใช้งานร่วมกับ 3rd Party Solution Partners ของ Attivo Networks

สนใจ Solution หรือต้องการข้อมูลเพิ่มเติ่มติดต่อได้ที่ Nattapong@i-secure.

Increased Emotet Malware Activity

สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (CISA) ของสหรัฐอเมริกาออกคำเตือนถึงการเพิ่มขึ้นของการโจมตีด้วยมัลแวร์ Emotet
Emotet เป็นโทรจันที่มีความซับซ้อนซึ่งโดยทั่วไปจะทำหน้าที่เป็นตัวดาวน์โหลดหรือ dropper มัลแวร์อื่น ๆ โดยส่วนใหญ่มัลแวร์ดังกล่าวจะแพร่กระจายผ่านไฟล์แนบทางอีเมลที่เป็นอันตรายและพยายามแพร่กระจายภายในเครือข่ายโดยการ Brute Force ข้อมูลประจำตัวของผู้ใช้และการ shared drives หากโจมตีสำเร็จผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญของผู้ใช้งานได้

CISA แนะนำผู้ใช้งานและผู้ดูแลระบบปฏิบัติตาม best practice ต่อไปนี้เพื่อป้องกัน

บล็อกไฟล์อันตรายที่ถูกแนบมากับอีเมล (เช่น ไฟล์ .dll และ .exe)
บล็อกไฟล์แนบอีเมลที่ไม่สามารถสแกนได้โดยซอฟต์แวร์ป้องกันไวรัส (เช่นไฟล์. zip)
แนะนำให้ทำการตั้งค่า Group Policy Object และ Firewall rule
แนะนำให้ติดตั้งโปรแกรมป้องกันไวรัสและทำการแพทช์อย่างสม่ำเสมอ
ติดตั้งตัวกรองที่เกตเวย์อีเมลและบล็อก IP ที่น่าสงสัยที่ไฟร์วอลล์
ยึดตามหลักการของ least privilege
ตั้งค่า Domain-Based Message Authentication, Reporting & Conformance (DMARC)
จัดการแบ่งโซนเน็ตเวิร์ค
จำกัดสิทธิการเข้าถึงที่ไม่จำเป็น

CISA แนะนำให้ผู้ใช้และผู้ดูแลระบบตรวจสอบแหล่งข้อมูลต่อไปนี้สำหรับข้อมูลเกี่ยวกับการป้องกัน Emotet และมัลแวร์อื่น ๆ

CISA Alert Emotet Malware https://www.

พบการปล่อยโค้ดโจมตีสำหรับช่องโหว่ CVE-2020-0609 และ CVE-2020-0610

พบการปล่อยโค้ดโจมตีสำหรับช่องโหว่ CVE-2020-0609 และ CVE-2020-0610

ช่องโหว่ใน Windows RD Gateway (CVE-2020-0609 และ CVE-2020-0610) เป็นช่องโหว่ที่ทำให้สามารถรันคำสั่งจากระยะไกลได้ (Remote Code Execution) โดยที่ผู้โจมตีไม่จำเป็นต้องเข้าสู่ระบบ เพียงแค่เชื่อมต่อด้วย RDP และส่ง request อันตรายไปยังเครื่องเป้าหมายเท่านั้น ส่งผลกระทบ Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 และ Windows Server 2019 ทั้งสองช่องโหว่เพิ่งได้รับการแก้ไขในแพตช์ประจำเดือนมกราคม 2020

ปัจจุบันมีการปล่อยตัวแสกนหาช่องโหว่และโค้ดสำหรับโจมตีออกมาแล้ว ซึ่งโค้ดสำหรับโจมตีที่ถูกปล่อยมานี้ยังไม่ใช้โค้ดที่ทำการโจมตีเพื่อการรันคำสั่งจากระยะไกล เป็นเพียงโค้ดสำหรับการโจมตีเพื่อให้หยุดทำงาน (Denial-of-Service) เท่านั้น แต่เป็นไปได้ที่จะมีความพยายามต่อยอดโค้ดโจมตีดังกล่าวให้ร้ายแรงขึ้นในไม่ช้า

สามารถอ่านรายละเอียดของช่องโหว่ CVE-2020-0609 และ CVE-2020-0610 โดยละเอียดได้จาก kryptoslogic โดยบทความดังกล่าวระบุว่าช่องโหว่ทั้งสองเกิดจากความผิดพลาดในส่วนจัดการ UDP

ที่มา : MalwareTechBlog

Microsoft discloses security breach of customer support database

Microsoft ตั้งค่าผิด ข้อมูลลูกค้าถูกเปิดเผย

Microsoft เปิดเผยรายละเอียดเกี่ยวกับเหตุการณ์ฐานข้อมูลของลูกค้ารั่วไหล เกิดจากการตั้งค่าผิดพลาด ซึ่งเกิดขึ้นเมื่อช่วง 5 ธันวาคม - 31 ธันวาคม 2019 และได้มีแจ้งรายงานไปยัง Microsoft โดย Bob Diachenko นักวิจัยด้านความปลอดภัย โดยข้อมูลดังกล่าวเป็นของลูกค้าที่เคยใช้บริการ customer support

การรั่วไหลของข้อมูลเกิดบน Elasticsearch 5 Server ซึ่งข้อมูลใน Server ทั้งห้าเป็นข้อมูลที่ซ้ำกันเพื่อสำรองซึ่งกันและกัน มีประมาณ 250 ล้านรายการ เช่น ที่อยู่อีเมล, ที่อยู่ IP และรายละเอียดต่างๆ แต่ข้อมูลบันทึกส่วนใหญ่ไม่มีข้อมูลผู้ใช้ส่วนบุคคล

สำหรับกรณีนี้ Microsoft ได้เริ่มแจ้งไปยังลูกค้าที่ได้รับผลกระทบถึงแม้ว่าจะไม่พบการใช้งานที่เป็นอันตรายของข้อมูล และได้กล่าวว่าเหตุการณ์ดังกล่าวเป็นผลมากจากการตั้ง Azure security rules ที่ไม่ถูกต้อง ซึ่งปรับใช้เมื่อวันที่ 5 ธันวาคม และตอนนี้ได้ทำการแก้ไขเรียบร้อยแล้วและเพิ่มมาตรการการรักษาความปลอดภัยและการตั้งค่าให้รัดกุมขึ้น

ที่มา : ZDNet

Cisco Firepower Management Center Lightweight Directory Access Protocol Authentication Bypass Vulnerability

Cisco ออกแพตช์ให้ช่องโหว่ร้ายแรงใน Firepower Management Center
มีช่องโหว่ร้ายแรงในหน้า web interface ของ Firepower Management Center (CVE-2019-16028) ถ้าเปิดให้ authentication ผ่าน external LDAP server ผู้โจมตีจะสามารถสร้าง HTTP request อันตรายเพื่อเข้าถึงหน้า web interface ด้วยสิทธิ์ผู้ดูแลระบบได้
สามารถตรวจสอบได้ว่ามีความเสี่ยงต่อช่องโหว่นี้หรือไม่ได้จากเมนู System > Users > External Authentication แล้วตรวจสอบว่ามีการเปิดใช้ LDAP หรือไม่
Cisco แนะนำว่าควรปิดการใช้งานการ authentication ด้วย LDAP จนกว่าจะทำการอัปเดตแพตช์

ที่มา : Cisco