วิธีการคิดแบบผู้ดำเนินการภัยคุกคาม
ทีมของผมเล่าเรื่องราว การโจมตีตั้งแต่ต้นจนจบ เราเชื่อมโยงจุดต่างๆ ระหว่างระยะต่างๆ ของห่วงโซ่การโจมตีทางไซเบอร์ของผู้โจมตี เพื่อให้เข้าใจถึงสาเหตุที่แท้จริงของการโจมตีได้ดีขึ้นทันทีในขณะที่กำลังเกิดขึ้น
นอกจากนี้ เรายังลอกเลียนเทคนิคและความคิดของผู้โจมตีอีกด้วย
ผู้โจมตีเข้าถึงโลกในแง่ของวัตถุประสงค์และลำดับของกิจกรรม พวกเขาเชื่อมโยงเทคนิคต่างๆ เข้าด้วยกัน ด้วยเหตุนี้เราจึงเรียกเรื่องราวการโจมตีเหล่านี้ว่า “ห่วงโซ่การโจมตีทางไซเบอร์” และเคลื่อนไปตามเส้นทางที่เป็นประโยชน์ต่อพวกเขามากที่สุด ห่วงโซ่นี้ไม่ใช่กระบวนการเชิงเส้น ซึ่งเราเรียกว่าการคิดเป็นกราฟ
ในฐานะผู้ป้องกัน เราต้องใช้ความคิดแบบเดียวกัน เราไม่สามารถปล่อยให้ตัวเองคิดเป็นรายการ ซึ่งเราพยายามประกอบจิ๊กซอว์ทั้งหมดใหม่เมื่อมีการโจมตีเกิดขึ้น โดยสรุปแล้ว เราต้องรู้ว่าผู้โจมตีเข้าถึงได้อย่างไร พวกเขาเคลื่อนย้ายการโจมตีไปยังเครื่องอื่นๆ ได้อย่างไร และพวกเขากำลังทำอะไรอยู่
ผู้ป้องกันจะระบุกิจกรรมที่เป็นอันตรายได้แม่นยำมากขึ้นเมื่อพวกเขาเข้าใจลำดับของกิจกรรมนั้นร่วมกัน ไม่ใช่แค่เทคนิคเฉพาะบุคคลเท่านั้น
ตัวอย่างที่ดีคือเมื่อเราวิเคราะห์การโจมตีการฉ้อโกงทางการเงินชุดล่าสุด และสังเกตเห็นว่าผู้โจมตีใช้การตั้งค่าพร็อกซีแบบย้อนกลับเพื่อเลี่ยงผ่านการรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) ได้อย่างไร เราสังเกตสัญญาณการเลี่ยงผ่าน MFA และดึงการสื่อสารไปยังกรณีอื่นๆ ที่เกิดเทคนิคใหม่นี้ขึ้น สิ่งที่เราเรียนรู้เกี่ยวกับการรวบรวมข้อมูลประจำตัวจากความสามารถของเราในการเชื่อมต่อจุดเหล่านั้นช่วยให้เราสามารถตอบสนองได้ตั้งแต่เนิ่นๆ ในการโจมตี ซึ่งช่วยให้เราเป็นผู้ป้องกันที่ดียิ่งขึ้น
เมื่อมีคนถามถึงสิ่งที่สามารถทำได้เพื่อปกป้ององค์กรให้ดียิ่งขึ้น ผมมักจะให้คำตอบเดียวกันทุกครั้ง: การใช้ประโยชน์จาก MFA อย่างสม่ำเสมอถือเป็นสิ่งสำคัญ นี่เป็นหนึ่งในคำแนะนำที่สำคัญที่สุดที่เรามีให้ นี่เป็นหนึ่งในสิ่งสำคัญที่สุดที่องค์กรสามารถทำได้เพื่อปกป้องตนเองให้ดีขึ้น โดยมุ่งมั่นเพื่อให้มีสภาพแวดล้อมแบบไร้รหัสผ่าน เพราะนั่นจะหยุดยั้งเทคนิคของผู้โจมตีที่เกิดขึ้นใหม่ทั้งหมด การใช้ MFA อย่างเหมาะสมจะทำให้ผู้โจมตีดำเนินการได้ยากขึ้น และหากพวกเขาไม่สามารถเข้าถึงข้อมูลประจำตัวและองค์กรของคุณได้ การโจมตีก็จะซับซ้อนมากขึ้น
ติดตาม Microsoft