ការគំរាមកំហែងឥតឈប់ឈរកម្រិតខ្ពស់របស់ក្រុម (APTs) ក្លាយជាក្តីបារម្ភស្របច្បាប់សម្រាប់ស្ថាប័ន ទាំងអស់។ APT គឺជាភ្នាក់ងារដែលគំរាមកំហែងដល់បណ្តាញហេដ្ឋារចនាសម្ព័ន្ធ និងលាក់បាំងនៅ ក្នុងរយៈពេលយូរ។ ជាធម្មតាពួកគេធ្វើការ Hack ស្មុគស្មាញ ដែលធ្វើឱ្យពួកគេអាចលួច ឬបំផ្លាញ ទិន្នន័យ និងធនធាន។ យោងតាម Accenture APTs រៀបចំខ្លួនជាក្រុម ដែលអាចឱ្យពួកគេចែក រំលែកយុទ្ធសាស្ត្រ និងឧបករណ៍ដើម្បីអនុវត្តការវាយប្រហារតាមទំហំ។ ឧទាហរណ៍ក្រុម Silence APT របស់រុស្ស៊ីត្រូវគេរាយការណ៍ថា កំពុងផ្តោតគោលដៅយ៉ាងសកម្មទៅលើស្ថាប័នហិរញ្ញវត្ថុនានា ហើយលួចលុយរាប់លានដុល្លារពីធនាគារនានាទូទាំងពិភពលោក។
ស្ថាប័នតូចៗក៏ត្រូវប្រយ័ត្នចំពោះការគំរាមកំហែងបែបនេះដែរ។ ក្រុម APT ក៏ប្រើឧបករណ៍ និង បណ្តាញអ៊ីនធឺរណិតដោយស្វ័យប្រវត្តិដើម្បីដំណើរការ network ហើយយុទ្ធសាស្ត្រទាំងនេះមិនរើស អើងដោយផ្អែកលើទំហំឧស្សាហកម្ម ឬតម្លៃទេ។ ហេដ្ឋារចនាសម្ព័ន្ធងាយរងគ្រោះណាមួយអាចត្រូវ រំលោភបំពាន។ ឥឡូវនេះ វាមានសារៈសំខាន់ណាស់សម្រាប់ស្ថាប័នទាំងអស់ក្នុងការស្វែងយល់ ពីរបៀប ដែល APT ប្រតិបត្តិការ និងអនុវត្តវិធានការសន្តិសុខចាំបាច់ដើម្បីកាត់បន្ថយការគំរាមកំហែង ។
សញ្ញាដែលថា APT អាចនឹងត្រូវលាក់បាំង
APTs ធ្វើប្រតិបត្តិការជាសម្ងាត់ ដូច្នេះស្ថាប័ននានាប្រហែលជាមិនដឹងថា ពួកគេត្រូវគេរំលោភ រហូតដល់មានអ្វីប្លែកកើតឡើង។ ឧទាហរណ៍ប្រព័ន្ធ InfoTrax អាចរកឃើញនូវការរំលោភបំពាន អស់រយៈពេលជាច្រើនឆ្នាំ បន្ទាប់ពីការផ្ទុកទិន្នន័យរបស់ម៉ាស៊ីនមេត្រូវពង្រីក។ ក្រុម IT ត្រូវមើល ទៅការចង្អុលបង្ហាញថា APT ប្រហែលជាកំពុងលាក់ខ្លួននៅក្នុងបណ្តាញ។ វាមានសញ្ញាខុសគ្នាមួយចំនួនរួមមាន៖
Excessive logins: APTs ជាធម្មតាពឹងផ្អែកលើសិទ្ធិចូលប្រើ ដែលសម្របសម្រួលដើម្បីទទួល ការចូលប្រើបណ្តាញជាប្រចាំ។ ពួកគេអាចព្យាយាមប្រើកម្លាំងចូលដោយប្រើឈ្មោះ និងលេខ សម្ងាត់សម្ងាត់ ឬអត្តសញ្ញាណប័ណ្ណ ដែលត្រូវលួចពីវិស្វកម្មសង្គម និងការវាយប្រហារពីចោរកម្ម ។ សកម្មភាពចូលច្រើនហួស ឬគួរឱ្យសង្ស័យ ជាពិសេសនៅក្នុងម៉ោងសេសជាញឹកញាប់ត្រូវគេ សន្មតថាជា APTs។
Explosion of malware: APTs ក៏ប្រើមេរោគផ្សេងៗផងដែរ ដើម្បីអនុវត្តការលួចរបស់ពួកគេ។ ដូច្នេះ ប្រសិនបើឧបករណ៍កំចាត់មេរោគជារឿយៗរកឃើញ និងលុបចោលមេរោគវាអាចទៅរួច ដែល APTs កំពុងបន្តបញ្ចូលផែ្នក និងឧបករណ៍ចូលប្រើពីចម្ងាយទៅក្នុងបណ្តាញ។
Increased usage of computing resources: អ្នកដែលគំរាមកំហែងទាំងនេះក៏នឹងត្រូវប្រើធនធាន កុំព្យូទ័ររបស់បណ្តាញដើម្បីអនុវត្តការលួចរបស់ពួកគេផងដែរ។ មេរោគសកម្មនឹងប្រើថាមពលកុំព្យូទ័រ និង memory នៅក្នុង endpoints។ ពួកហេគឃរ័ ក៏អាចរក្សាទុកទិន្នន័យ ដែលលួចរបស់ពួកគេនៅ ក្នុងម៉ាស៊ីនមេផងដែរ។ ការកំណត់បរិមាណទិន្នន័យយ៉ាងច្រើនក៏នឹងបង្ហាញផងដែរថា ជាចរាចរណ៍ ចេញហួសកំរិត។
ការត្រួតពិនិត្យកម្ពស់
ការសម្គាល់សញ្ញាទាំងនេះ not straightforward ដូច្នេះក្រុម IT ត្រូវតែស្រាវជ្រាវរកសញ្ញាទាំងនេះ យ៉ាងសកម្ម។ ជាសំណាងល្អដំណោះស្រាយសន្តិសុខទំនើបឥឡូវនេះផ្តល់នូវសមត្ថភាព ដែលអាចឱ្យ ក្រុមព័ត៌មានវិទ្យាតាមដានវត្តមានរបស់ APT ដែលមានសក្តានុពល និងសកម្មភាពរបស់ពួកគេ។ Log Analysis: កំណត់ហេតុអាចបង្ហាញយ៉ាងត្រឹមត្រូវនូវសកម្មភាពព្រឹត្តិការណ៍ និងភារកិច្ចផ្សេងៗ ដែលមាននៅក្នុងឧបករណ៍ប្រព័ន្ធ និងកម្មវិធី។ ទោះយ៉ាងណាក៏ដោយការឆ្លងកាត់កំណត់ហេតុ ដែល ច្រើនតែជាទ្រង់ទ្រាយអត្ថបទធម្មតា។ ដើម្បីជួយក្រុម IT ចែកព័ត៌មានព័ត៌មានឧបករណ៍វិភាគ កំណត់ហេតុកម្រិតខ្ពស់ ឥឡូវនេះមានក្បួនដោះស្រាយ ដែលអាចស្វែងរកគំរូនៅគ្រប់សមាសធាតុ ហេដ្ឋារចនាសម្ព័ន្ធព័ត៌មានវិទ្យា។ ឧទាហរណ៍ដំណោះស្រាយនៃការគ្រប់គ្រងកំណត់ហេតុ និងការ វិភាគ XpoLog អាចបង្រួបបង្រួមកំណត់ហេតុទាំងអស់នៅលើសមាសធាតុហេដ្ឋារចនាសម្ព័ន្ធផ្សេងៗ។ Xpolog អាចញែក និង tag ព័ត៌មាន ដែលមាននៅក្នុងឯកសារកំណត់ហេតុទាំងនេះដោយស្វ័យប្រវត្តិ។ ដោយប្រើភាពវៃឆ្លាតសិប្បនិម្មិត (AI), Xpolog អាចកំណត់អត្តសញ្ញាណគំរូប្លែក និងបង្កើតការយល់ដឹង រួមទាំងអ្វីដែលបង្ហាញពីការព្រួយបារម្ភខាងសន្តិសុខ។
ព័ត៌មានដូចជាការប្រើប្រាស់ bandwidth, login sessions, ការចែកចាយភូមិសាស្ត្រនៃចរាចរបណ្តាញ អាចត្រូវប្រើដើម្បីបង្ហាញពីវត្តមាននៃការគំរាមកំហែង។ ទិន្នន័យទាំងអស់អាចត្រូវគេមើល ឃើញសម្រាប់ការធ្វើបទបង្ហាញ និងពិនិត្យឡើងវិញកាន់តែងាយស្រួល។ តាមរយៈការរកឃើញទាំងនេះវេទិកាអាចផ្តល់ដំណឹងដល់ក្រុម IT អំពីការវាយប្រហាររបស់ APT ដែលមានសក្តានុពល ដូច្នេះគេអាចចាត់វិធានការភ្លាមៗ។
Breach and Attack Simulations: វេទិការំលោភ និងវាយប្រហារ (BAS) អាចដំណើរការសាកល្បង ជាប្រចាំ ដែលធ្វើត្រាប់តាមការវាយលុកតាមអ៊ីនធឺរណិតជាក់ស្តែងដើម្បីពិនិត្យមើលថា តើវិធាន ការណ៍សន្តិសុខកំពុងដំណើរការដូចបំណងដែរឬទេ។ ពួកគេដើរតួជាជម្រើសជំនួសការធ្វើតេស្ត ជ្រៀតចូលតាមបែប traditional ដែលជាការលំបាកក្នុងការអនុវត្តតាមទម្លាប់។ ឧទាហរណ៍វេទិកា BAS Cymulate ផ្តល់នូវការធ្វើតេស្តជាច្រើន ដែលគ្របដណ្តប់លើវ៉ិចទ័រសក្តានុពលនៃការវាយប្រហារ ទៅលើហេដ្ឋារចនាសម្ព័ន្ធ។ វាអាចសាកល្បង web gateways និងកម្មវិធី firewalls សម្រាប់ភាពងាយ រងគ្រោះ។ វាក៏អាចដាក់ពង្រាយពពួក malware into endpoints ដែលអាចការពារមេរោគផងដែរ។ វាក៏មានក្លែងធ្វើការវាយប្រហារ ដែលអាចកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់ណា ដែលងាយទទួល រងការវាយប្រហារផ្នែកវិស្វកម្មសង្គម។
Cymulate អនុញ្ញាតឱ្យមានការធ្វើតេស្តតាមពេលវេលាកំណត់ និងទម្លាប់ដើម្បីមើលថា តើវិធានការ សន្តិសុខ និងឧបករណ៍ ដែលអនុវត្តរបស់ស្ថាប័នដំណើរការដូចបំណងដែរឬទេ។ APTs បិទ ដំណោះស្រាយសុវត្ថិភាពដូចជា កំចាត់មេរោគ និង firewalls ដូច្នេះការធ្វើតេស្តជាប្រចាំអាចចង្អុល បង្ហាញយ៉ាងងាយ ប្រសិនបើមានអ្វីមួយរំខានដល់ដំណោះស្រាយទាំងនេះ។
Defenses Must Be Improved: ការត្រួតពិនិត្យ និងការរកឃើញមុនគឺជាគន្លឹះក្នុងការរក្សាបរិវេន ការពារ ដែលមានសុវត្ថិភាព។ ស្ថាប័ននានាត្រូវតែរួមបញ្ចូលការខិតខំទាំងនេះ ដែលជាផ្នែកមួយនៃ យុទ្ធសាស្ត្រសន្តិសុខទូលំទូលាយ។
បង្កើនការប្រុងប្រយ័ត្ន: វិភាគកំណត់ហេតុយ៉ាងសកម្ម និងអនុវត្តតេស្តជាប្រចាំនូវវិធានការណ៍ សន្តិសុខអាចជូនដំណឹងដល់ក្រុមព័ត៌មានវិទ្យាអំពីវត្តមានសក្តានុពលរបស់ APTs ដែលអនុញ្ញាតឱ្យ ពួកគេដោះស្រាយការគំរាមកំហែងទាំងនេះភ្លាមៗ។
ទទួលយកសន្តិសុខថ្នាក់សហគ្រាស: ស្ថាប័ននានាក៏ត្រូវប្រើដំណោះស្រាយសន្តិសុខ ដែលមាន សមត្ថភាពផងដែរ។ មេរោគដែលប្រើដោយ APT អាចមានលេខកូដ Polymorphic ដែលអនុញ្ញាត ឱ្យពួកគេគេចចេញពីដំណោះស្រាយប្រឆាំងមេរោគ ដែលមាន free ឬថោក។
ធ្វើឱ្យប្រព័ន្ធ និងកម្មវិធីទាន់សម័យ: APTs ឆ្លៀតភាពងាយរងគ្រោះនៃឧបករណ៍ និងប្រព័ន្ធសម្រាប់ យុទ្ធសាស្ត្រជាច្រើនរបស់វា។ អ្នកអភិវឌ្ឍន៍ចេញផ្សាយបំណះ និងការជួសជុលជាទៀងទាត់ដើម្បី ធានាថាភាពងាយរងគ្រោះសំខាន់ៗត្រូវដោះស្រាយ។ ស្ថាប័នត្រូវតែធានាថា ការធ្វើបច្ចុប្បន្នភាព ទាំងនេះត្រូវអនុវត្តយ៉ាងឆាប់រហ័សនៅពេលដែលពួកគេអាចរក។
បណ្តុះបណ្តាលមនុស្ស: APTs ក៏អាចព្យាយាមកេងចំណេញពីភាពទន់ខ្សោយរបស់មនុស្សតាម រយៈការវាយប្រហារផ្នែកវិស្វកម្មសង្គម។ អង្គភាពនានាត្រូវបណ្តុះបណ្តាលបុគ្គលិកអំពីការអនុវត្ត សុវត្ថិភាពល្អបំផុតរួមមានការកំណត់អត្តសញ្ញាណអ៊ីមែល និងការប៉ុនប៉ងលួចបន្លំត្រឹមត្រូវដោយ ប្រើលេខសម្ងាត់រឹងមាំ និងជៀសវាងការប្រើប្រាស់លេខសំងាត់ឡើងវិញ។
សន្តិសុខគឺជាការវិនិយោគ ស្ថាប័ននានាត្រូវតែដឹងថាសន្តិសុខគឺជាការវិនិយោគដ៏សំខាន់មួយនៅពេលប្រតិបត្តិការនៅក្នុងបរិដ្ឋានថ្ងៃនេះ។ APTs អាចបណ្តាលឱ្យខូចខាតដែលមិនអាចពន្យល់ដល់ក្រុមហ៊ុន។ ការធ្លាក់ជន រងគ្រោះដោយសារការវាយប្រហារអាចបណ្តាលឱ្យពេលវេលារងចាំបាត់បង់អាជីវកម្ម និងការលុប បំបាត់ទំនុកចិត្តរបស់អតិថិជន។ ការរំលោភសន្តិសុខជាមធ្យម ដែលត្រូវប៉ាន់ប្រមាណដោយ ស្ថាប័ន IBM ចំណាយអស់ថវិកាចំនួន ៣,៩២ លានដុល្លារ។ ដូច្នេះវាមានសារៈសំខាន់ណាស់ សម្រាប់ក្រុមហ៊ុននានាក្នុងការអនុវត្តវិធានការណ៍សន្តិសុខដែលមានសមត្ថភាពក្នុងការរកឃើញ និង កាត់បន្ថយការគំរាមកំហែងបែបនេះមុនពេលពួកគេអាចបង្កការខូចខាតធ្ងន់ធ្ងរណាមួយ។ ដូចនេះស្ថាប័ននានាឥឡូវត្រូវត្រៀមខ្លួនផ្លាស់ប្តូរធនធានបន្ថែមទៀតដើម្បីពង្រឹងសន្តិសុខរបស់ខ្លួន។