แฮกเกอร์มีเทคนิคแพรวพราวไม่สามารถตรวจจับได้ทั้งหมด
ระบบทั้งหมดขององค์กรนั้นประกอบไปด้วยหลายๆ ระบบที่ทำงานร่วมกัน แต่ทุกระบบนั้นใช้อุปกรณ์ปลายทางหรือ Endpoint ในการเริ่มต้นเข้าใช้งาน
นั่นทำให้บางคนเข้าใจว่าแค่มี Endpoint Detection and Response (EDR) ก็เพียงพอแล้ว บทความนี้ผมนำผลการทดลองจาก University of Piraeus ประเทศกรีซ มาเล่าให้ท่านทราบครับว่าทำไมมีแค่ EDR อย่างเดียวถึงเอาไม่อยู่
Endpoint Detection and Response หรือ EDR มีหน้าที่ในการเก็บรวบรวมข้อมูลจากอุปกรณ์ของพนักงานที่มีอยู่กระจัดกระจายในทุกแผนก ทุกๆ คน และนำข้อมูลเหล่านั้นมาสืบค้นพฤติกรรมที่ต้องสงสัยว่าเป็นอันตรายต่อองค์กร
แต่…EDR ทำแบบนั้นได้ทุกครั้งของการโจมตีหรือเปล่า ทีมนักวิจัยจึงได้ทำการทดลองโดยการจำลองเครื่องมือและสร้างพฤติกรรมที่ทำให้ดูเหมือนว่าเป็นผู้คุกคามระบบ ผ่านการใช้หลายๆ วิธีในการโจมตี ได้แก่ การใช้ Script คำสั่ง การกำหนดเป้าหมายรายบุคคล (Spear Phishing) การใช้เทคนิคส่งมัลแวร์หลากหลายชนิด การใช้เครื่องมือที่เป็นที่นิยมอย่าง Cobalt Strike
สำหรับการทำ Lateral Movement ซึ่งก็คือการโจมตีเครื่องแรกจากนั้นค่อยย้ายเครื่องไปเรื่อยๆ จนพบเครื่องที่เป็นเป้าหมายที่แท้จริง และนอกจากนี้ทีมนักวิจัยยังได้ลองวิธีการโจมตีที่เกี่ยวข้องกับ MITRE ATT&CK Framework อีกด้วย
การทดลองทั้งหมดทำเพื่อค้นหาคำตอบของ 4 คำถามกับระบบ EDR ที่นิยมในตลาดของทั้ง 11 ผู้พัฒนา นั่นก็คือ 1.จริงๆ แล้วระบบ EDR สามารถที่จะตรวจพบการโจมตีแบบ Advanced Persistent Threat (APT) ที่เกิดขึ้นทั่วไปได้หรือไม่ 2.ตรงไหนคือจุดบอดในการตรวจพบ
ขณะที่ 3.ข้อมูลชนิดไหนที่เป็นตัวทำให้เกิดการแจ้งเตือนขึ้น 4. สามารถลดเสียงรบกวนในเครื่องรับสัญญาณข้อมูลด้วยเสียง (Telemetry) ได้หรือไม่ ซึ่งการทดลองในครั้งนี้มีข้อจำกัดก็คือ ไม่สามารถอธิบายความแตกต่างของการใช้ร่วมกับเครื่องมือที่ถูกปรับแต่งและหลากหลายได้ทั้งหมด
ความซับซ้อนที่เกิดจากมนุษย์เป็นผู้ทำการทดสอบและการใช้เครื่องมือต่างๆ ที่องค์กรใหญ่ๆ ใช้ร่วมทดลองด้วย เช่น ไฟร์วอลล์ หรือ แอนตี้ไวรัส ที่อาจจับหรือป้องกันการโจมตีเดียวกันนี้ได้
ผลการทดลองกับโซลูชั่น EDR ของ 11 ผู้พัฒนาพบว่า ไม่มี EDR ตัวใดสามารถตรวจจับการโจมตีทั้งหมดได้ แย่ไปกว่านั้นพบว่าจากการโจมตีทั้งหมด 20 ครั้ง มีการโจมตี 10 ครั้งคิดเป็น 50% ประสบความสำเร็จอย่างสมบูรณ์ โดยไม่มีการแจ้งเตือนใดๆ จาก EDR, มีการโจมตี 3 ครั้งที่สำเร็จ EDR กลับออกคำเตือนที่ไม่ได้ให้ความสำคัญมากนัก,
นอกจากนี้ มีการโจมตี 1 ครั้งที่ไม่สำเร็จ แต่ก็ไม่ได้มีการแจ้งเตือนใดๆ มีเพียงการโจมตี 6 ครั้งเท่านั้นที่ถูกตรวจพบ และรายงานโดย EDR ได้อย่างถูกต้อง นี่เป็นผลความสำเร็จที่น่าใจหาย
ผลการทดลองนี้ทำให้เห็นว่าหากมี EDR อย่างเดียวคงไม่เป็นการดีต่อองค์กรแน่นอน เพราะแฮกเกอร์เองก็มีเทคนิคแพรวพราวที่ EDR ก็ตรวจจับไม่ได้ องค์กรจึงต้องใช้ระบบ Cyber Security ตัวอื่นมาเสริมด้วย
เช่น Network Detection and Response (NDR) ดูในเรื่องระบบเครือข่าย รวมถึงควรมีระบบที่เชื่อมต่อไปยังคลาวด์ได้ด้วยเพื่อดูในเรื่องของคลาวด์ซิเคียวริตี้ให้ทุกระบบป้องกันได้ประสานการทำงาน ลดความเสี่ยงเหล่านี้ลงไปครับ