Advanced Persistent Threats (APT) เป็นภัยคุกคามทางไซเบอร์ประเภทที่ซับซ้อน ซึ่งมักได้รับการสนับสนุนจากรัฐ โดยมีลักษณะเป็นแนวทางที่ใช้เวลานาน ซ่อนเร้น และกำหนดเป้าหมาย โดยทั่วไป APT จะกำหนดเป้าหมายไปที่หน่วยงานที่มีข้อมูลที่มีมูลค่าสูง เช่น การป้องกันประเทศ การผลิต หรือภาคการเงิน
บริบททางประวัติศาสตร์ของภัยคุกคามต่อเนื่องขั้นสูง (APT)
แนวคิดของ Advanced Persistent Threats (APT) เกิดขึ้นในช่วงปลายทศวรรษ 2000 และกลายเป็นกระแสหลักมากขึ้นประมาณปี 2010 ด้วยการเปิดเผยต่อสาธารณะเกี่ยวกับ Operation Aurora ซึ่งเป็นชุดการโจมตีทางไซเบอร์ที่ดำเนินการโดยกลุ่ม APT ของจีน พวกเขากำหนดเป้าหมายไปที่บริษัทที่มีชื่อเสียงระดับสูงหลายแห่ง รวมถึง Google เพื่อขโมยทรัพย์สินทางปัญญาและบุกรุกบัญชีผู้ใช้ เหตุการณ์ดังกล่าวแสดงให้เห็นถึงการเปลี่ยนแปลงกระบวนทัศน์ในภาพรวมด้านความปลอดภัยทางไซเบอร์ ซึ่งเผยให้เห็นถึงความซับซ้อนและความเสียหายที่อาจเกิดขึ้นที่ APT สามารถสร้างได้
กายวิภาคของภัยคุกคามต่อเนื่องขั้นสูง (APT)
โดยทั่วไป APT เกี่ยวข้องกับการละเมิดเครือข่ายโดยหน่วยงานที่ไม่ได้รับอนุญาตซึ่งยังคงตรวจไม่พบเป็นเวลานาน แรงจูงใจมักเกิดจากการขโมยข้อมูลหรือการจารกรรม โดยกลุ่ม APT ใช้กลยุทธ์ เทคนิค และขั้นตอนที่ซับซ้อน (TTP) เพื่อเข้าถึง ซ่อนเร้น และบรรลุวัตถุประสงค์
วงจรชีวิตของ APT มักจะประกอบด้วยขั้นตอนต่อไปนี้:
-
การเข้าถึงเบื้องต้น: กลุ่ม APT สามารถเข้าถึงเครือข่ายได้ บ่อยครั้งผ่านทางฟิชชิ่งแบบฟิชชิ่ง การใช้ประโยชน์จากช่องโหว่ หรือใช้มัลแวร์
-
การสถาปนาตั้งหลัก: เมื่อเข้าไปข้างใน กลุ่มจะตั้งค่าปฏิบัติการ สร้างประตูหลังเพื่อให้แน่ใจว่ามีการเข้าถึงอย่างต่อเนื่อง
-
การเพิ่มสิทธิพิเศษ: ผู้คุกคามพยายามได้รับสิทธิพิเศษในระดับที่สูงขึ้นเพื่อการเข้าถึงเครือข่ายที่ลึกยิ่งขึ้น
-
การลาดตระเวนภายใน: ผู้บุกรุกจะสำรวจเครือข่าย ระบุตำแหน่งของข้อมูลอันมีค่า
-
การเคลื่อนไหวด้านข้าง: กลุ่มกระจายอิทธิพลไปทั่วเครือข่ายโดยใช้ประโยชน์จากระบบมากขึ้น
-
การกรองข้อมูล: ข้อมูลอันมีค่าจะถูกแยกและส่งกลับไปยังเซิร์ฟเวอร์ของผู้โจมตี
-
วิริยะ: แม้บรรลุเป้าหมายแล้ว กลุ่มก็ยังอยู่ในเครือข่าย มักไม่มีใครสังเกตเห็น และพร้อมที่จะโจมตีอีกครั้ง
คุณสมบัติหลักของภัยคุกคามถาวรขั้นสูง (APT)
การโจมตี APT มีลักษณะดังนี้:
-
วิธีการขั้นสูง: การใช้เทคนิคที่ซับซ้อน มัลแวร์ และใช้ประโยชน์จากช่องโหว่แบบซีโรเดย์
-
วิริยะ: APT อยู่ในระบบเป็นเวลานาน โดยปกติเป็นเดือนหรือเป็นปี เพื่อให้บรรลุวัตถุประสงค์
-
ชิงทรัพย์: ทำงานอย่างซ่อนเร้นโดยใช้วิธีการที่ผสมผสานกับการรับส่งข้อมูลเครือข่ายปกติ
-
การโจมตีแบบกำหนดเป้าหมาย: APT มักจะมุ่งเน้นไปที่องค์กรหรือภาคส่วนเฉพาะที่มีข้อมูลอันมีค่า
-
ได้รับการสนับสนุนจากรัฐชาติหรือหน่วยงานทางอาญาขนาดใหญ่: APT มักจะมีทรัพยากรที่สำคัญอยู่เบื้องหลัง ทำให้มีความท้าทายในการป้องกันเป็นพิเศษ
ประเภทของภัยคุกคามต่อเนื่องขั้นสูง (APT)
ไม่มีระบบการจำแนกประเภทที่ชัดเจนสำหรับ APT เนื่องจากมักจะทับซ้อนกันและพัฒนาไป อย่างไรก็ตาม โดยทั่วไปแล้วจะรับรู้ได้จากแหล่งที่มาหรือเป้าหมายที่ต้องการ เช่น:
| ชื่อกลุ่ม APT | ที่มาที่เชื่อ | เป้าหมายทั่วไป |
|---|---|---|
| APT28 (แฟนซี แบร์) | รัสเซีย | รัฐบาล ทหาร และองค์กรความมั่นคง |
| APT29 (โคซี่ แบร์) | รัสเซีย | กลุ่มนักคิด องค์กรพัฒนาเอกชน ระบบที่เกี่ยวข้องกับกระบวนการเลือกตั้ง |
| APT3 (แพนด้ากอธิค) | จีน | อุตสาหกรรมกลาโหม โทรคมนาคม และเทคโนโลยีขั้นสูง |
| APT33 (เอลฟิน) | อิหร่าน | ปิโตรเคมี การบิน และโครงสร้างพื้นฐานที่สำคัญ |
การใช้และการป้องกันภัยคุกคามขั้นสูงแบบถาวร (APT)
APT ก่อให้เกิดความเสี่ยงที่สำคัญเนื่องจากลักษณะการซ่อนตัวและความเสียหายที่อาจเกิดขึ้น ดังนั้น การป้องกัน APT จึงต้องอาศัยแนวทางที่ครอบคลุมและเชิงรุก:
-
การศึกษา: ฝึกอบรมพนักงานให้รับรู้และตอบสนองต่อภัยคุกคามที่อาจเกิดขึ้น เช่น อีเมลฟิชชิ่ง
-
การแพตช์และอัปเดตเป็นประจำ: การดูแลระบบและซอฟต์แวร์ให้ทันสมัยช่วยลดความเสี่ยงของการแสวงหาประโยชน์จากช่องโหว่
-
การแบ่งส่วนเครือข่าย: การจำกัดการเคลื่อนไหวภายในเครือข่ายหากผู้โจมตีเข้าถึงได้
-
การล่าภัยคุกคาม: การค้นหาภัยคุกคามภายในเครือข่ายเชิงรุก แทนที่จะรอการแจ้งเตือน
-
เครื่องมือรักษาความปลอดภัยขั้นสูง: การใช้เครื่องมือที่ซับซ้อน เช่น SIEM, EDR และการตรวจจับภัยคุกคามที่ขับเคลื่อนด้วย AI
เปรียบเทียบกับข้อกำหนดที่คล้ายกัน
| ภาคเรียน | คำอธิบาย |
|---|---|
| ภัยคุกคามต่อเนื่องขั้นสูง (APT) | การโจมตีแบบกำหนดเป้าหมายระยะยาวจากผู้โจมตีที่มีทรัพยากรเพียงพอ |
| มัลแวร์ | คำทั่วไปสำหรับซอฟต์แวร์ที่เป็นอันตราย ไม่จำเป็นต้องเป็นขั้นสูงหรือถาวร |
| การโจมตีแบบ DDoS | การโจมตีหมายถึงการครอบงำเครือข่ายหรือเซิร์ฟเวอร์ ซึ่งโดยปกติแล้วจะไม่เป็นการซ่อนเร้นหรือต่อเนื่อง |
| หอกฟิชชิ่ง | ความพยายามฟิชชิ่งแบบกำหนดเป้าหมายมักใช้เป็นเวกเตอร์สำหรับ APT แต่ไม่ใช่ APT เอง |
มุมมองในอนาคตและเทคโนโลยีที่เกี่ยวข้องกับ APT
เมื่อการป้องกันทางไซเบอร์ดีขึ้น กลยุทธ์ APT ก็เช่นกัน เรามีแนวโน้มที่จะเห็นการใช้ AI และการเรียนรู้ของเครื่องเพิ่มขึ้นทั้งในการโจมตีและการป้องกันของ APT นอกจากนี้ อาจมีการโจมตีแบบ "ใช้ชีวิตนอกพื้นที่" เพิ่มขึ้น โดยที่ผู้คุกคามใช้เครื่องมือที่ถูกต้องตามกฎหมายภายในเครือข่ายของเป้าหมายเพื่อทำการโจมตี ทำให้การตรวจจับทำได้ยากยิ่งขึ้น
การเชื่อมโยงพร็อกซีเซิร์ฟเวอร์กับภัยคุกคามถาวรขั้นสูง (APT)
พร็อกซีเซิร์ฟเวอร์อาจเป็นดาบสองคมเมื่อพูดถึง APT ในด้านหนึ่ง สามารถเพิ่มความปลอดภัยได้ด้วยการปกปิดที่อยู่ IP ของเครือข่าย ทำให้กลุ่ม APT ระบุและกำหนดเป้าหมายได้ยากขึ้น ในทางกลับกัน กลุ่ม APT สามารถใช้พร็อกซีเซิร์ฟเวอร์เพื่อซ่อนตำแหน่งและข้อมูลระบุตัวตน ทำให้การตรวจจับและการระบุแหล่งที่มายากขึ้น
สำหรับผู้ให้บริการพร็อกซีเซิร์ฟเวอร์อย่าง OneProxy จำเป็นอย่างยิ่งที่ต้องใช้มาตรการรักษาความปลอดภัยที่เข้มงวด รวมถึงการตรวจสอบการรับส่งข้อมูลและการตรวจจับกิจกรรมที่ผิดปกติ เพื่อให้แน่ใจว่าบริการของพวกเขาจะไม่ถูกนำไปใช้ในทางที่ผิดโดยผู้คุกคาม
