บทเรียนจากผู้เชี่ยวชาญด้านการโจมตีโดยใช้ช่องโหว่ซีโรเดย์

มุมมองของ FortiGuard Labs

ภูมิทัศน์ของภัยคุกคามทางไซเบอร์ไม่สามารถคาดเดาได้อย่างมาก ทีมรักษาความปลอดภัยในปัจจุบัน มีการกระจายตัวที่น้อยมากและมักเผชิญกับภัยคุกคามหลายด้าน สิ่งต่างๆเช่น ransomware , malware ที่ซับซ้อน และการโจมตีแบบฟิชชิ่งซึ่งกำลังกำหนดเป้าหมายช่องโหว่ในเครือข่ายหลักของสำนักงาน, สำนักงานที่บ้าน,  อุปกรณ์ loT เครือข่ายคลาวด์ สภาพแวดล้อมของ DevOps และ ระบบดิจิทัลซัพพลายเชน แต่ทว่าสิ่งที่ threat hunters เผชิญคือ การโจมตีแบบ zero day เนื่องจากพวกเขาใช้ประโยชน์จาก ช่องโหว่ที่ไม่รู้จักหรือใช้วิธีการที่ไม่รู้จักมาก่อน  จึงตรวจพบได้ยากมากและมักที่จะสายเกินไป

โชคดีที่ยังมี วิธีระบุภัยคุกคามเหล่านี้และนำหน้าอาชญากรไซเบอร์ และใครจะเรียนรู้ วิธีค้นหาและต่อต้านการโจมตีเหล่านี้ไปมากกว่า มืออาชีพทางด้านการโจมตีแบบ zero day.  FortiGuard Labs’ Jonas Walker และ Douglas Samtos แบ่งปันมุมมองบางอย่างเกี่ยวกับวิธีที FortiGuard Labs ค้นหาช่องโหว่เชิงรุกของ zero day และสิ่งที่คนอื่นๆสามารถเรียนรู้จากพวกเขา

การโจมตีแบบ zero day คืออะไร?

Jonas- คำว่า “ zero day “ มาจากโลกของสื่อดิจิทัลที่ละเมิดลิขสิทธิ์ แต่ในกรณีนี้หมายถึงระยะเวลาที่ผู้ผลิตรับรู้ถึงช่องโหว่หนึ่งๆ ซึ่งก็คือ zero day ผู้กระทำที่ไม่ดีเริ่มการโจมตีโดยไม่มีการเตือนโดยใช้ช่องโหว่ที่ผู้ผลิตไม่ทราบ ซึ่งหมายความว่าไม่มีแพตช์ ไม่มีการอัพเดทซอฟท์แวร์ หรือแม้แต่เอกสารประกอบที่ช่วยให้องค์กรสามารถป้องกันการแสวงหาประโยชน์เหล่านี้ได้

การโจมตีแบบ zero day มีเป้าหมายที่องค์กรหลักและหน่วยงานของรัฐ พวกเขาให้ผลตอบแทนที่มากที่สุดแก่ผู้โจมตีเนื่องจากเมื่อมีการรายงานช่องโหว่ผู้ค้าจะปล่อยแพตช์ การป้องกันเพิ่มขึ้น และหน้าต่างแห่งโอกาสก็เริ่มปิดลง อาชญากรเหล่านี้มักกำหนดเป้าหมายไปที่ฮาร์ดแวร์และอุปกรณ์ที่เชื่อมต่อ และในกรณีของสเปียร์ฟิชชิ่ง เพราะพวกเขาจะกำหนดเป้าหมายไปที่อุปกรณ์หรือบัญชีของผู้บริหารโดยเฉพาะ เพราะโดยปกติแล้วพวกเขามีสิทธิ์เครือข่ายมากที่สุดในการเข้าถึงสิ่งต่างๆเช่นข้อมูลทางการเงินและทรัพยากร R&D

FortGuard Labs ค้นกาการโจมตีแบบ zero day ได้อย่างไร?

Douglas- ที่ FortiGuard Labs เราได้พัฒนากรอบการทำงานแบบ fuzzing เพื่อค้นหาช่องโหว่ Fuzzing เป็นเทคนิคที่ซับซ้อนที่นักวิจัยด้านภัยคุกคามเมือชีพใช้เพื่อค้นหาช่องโหว่ใน ฮาร์ดแวร์ ซอฟแวร์ อินเทอร์เฟซและแอปพลิเคชัน นักวิจัยโอเวอร์โหลดซอฟแวร์ด้วยข้อมูลที่ไม่ถูกต้องหรือไม่คาดคิดในการตรวจสอบเหตุการณ์ เช่น การขัดข้อง undocumented jumps to debug routines การยืนยันรหัสล้มเหลวและการรั่วไหลของความจำที่อาจเกิดขึ้น

อย่างไรก็ตามสิ่งนี้ต้องใช้ทรัพยากรจำนวนมาก ดังนั้นเราจึงได้เริ่มทดสอบโมเดลแบบแมชชีนเลินนิ่ง เพื่อให้กระบวนการมีประสิทธิภาพและประสิทธิผลมากขึ้น แต่ก็ต้องอาศัยความเชี่ยวชานเฉพาะ  เพราะนอกเหนือจากประสิทธิภาพแล้วการ fuzzing ยังต้องการให้คุณทราบถึงโครงสร้างของซอฟต์แวร์ที่กำลังตรวจสอบและข้อมูลประเภทต่างๆที่จำเป็นในการทำให้เกิดการfuzzอย่างมีประสิทธิภาพ ตัวอย่างเช่นในการทดสอบเว็บบราวเซอร์เราจำเป็นต้องเลือกใช้ไฟล์ HTML หรือ Javascript ประเภทต่างๆเพื่อทดสอบซอฟต์แวร์ แต่ถ้าเรากำลังดูโปรแกรมประมวลผลคำ ประเภทของไฟล์ที่เราใส่ในระหว่างขั้นตอนการฟัซซิ่งจะแตกต่างกัน และหากเกิดข้อขัดข้องสิ่งที่เรารู้ก็คือมีบางอย่างในแอพพลิเคชั่นไม่ถูกต้องจากนั้นการวิเคราะห์จะเริ่มขึ้น เห็นได้ชัดว่านี่เป็นกระบวนการที่ยาวนาน เนื่องจากมีช่องโหว่มากกว่าจะมีคนเรียกใช้แอพพลิเคชั่นฟัชชิ่ง ตั้งนั้นการทำให้กระบวนการนี้เป็นไปโดยอัตโนมัติจึงมีความสำคัญมาก

Jonas-แน่นอนอีกตัวอย่างหนึ่งของการทดสอบแอพพลิเคชั่นที่ต้องการ input บางประเภท  ตัวอย่างเช่นแอพพลิเคชั่นง่ายๆที่ต้องใช้ชื่อผู้ใช้และรหัสผ่านมักจะคาดหวังรหัสผ้าที่มีตัวเลขหรืออักขระจำนวนหนึ่ง แต่ถ้าแทนที่จะเป็น 10 หรือ 15 ตัวคุณส่ง 2 ล้านตัวอักษรล่ะ เป้าหมายคือหาทุกวิถีทางที่จะให้ข้อมูลที่ไม่คาดคิดแก่แอพพลิเคชั่นเพื่อให้มันเกิดความผิดพลาด จากนั้นเมื่อแอพพลิเคชั่นขัดข้องคุณต้องตรวจสอบว่าคุณสามารถแทนที่การลงทะเบียนหรือตำแหน่งหน่วยความจำบางตำแหน่งเพื่อค้นหาช่องโหว่ของ zero day ได้หรือไม่ Machine learning มีประโยชน์มากใน กระบวนการนี้เนื่องจากความสามารถในการทำความเข้าใจและใช้อ่านอัลกอริทึมประเภทต่างๆเพื่อระบุช่องโหว่

จะเกิดอะไรขึ้นหลังจากมีการระบุหรือใช้ประโยชน์จากการโจมตีแบบ zero day ?

Jonas- ที่ FortuGuard Labs เราจะเริ่มทำงานร่วมกับบริษัทและผู้จำหน่ายทันทีเมื่อเราได้รับแจ้งว่ามี zero day ในซอฟต์แวร์ของพวกเขา จากนั้นเราจะไม่รายงานช่องโหว่จนกว่าพวกเขาจะสามารถวางชั้นความปลอดภัยที่เหมาะสมและแก้ไขข้อบกพร่องก่อนที่จะมีการถูกนำใช้ ห้องปฏิบัติการของเรายังพัฒนาแพตช์ของเราเองซึ่งหมายความว่าในขณะที่เรากำลังรอให้ผู้ผลิตสร้างแพตช์เราจะดำเนินการต่อและสร้างลายเส้นสำหรับเป็นครื่องมือรักษาความปลอดภัยของเราเองเพื่อให้ลูกค้าของเราได้รับการป้องกันล่วงหน้า เรายังแบ่งปันข้อมูลนี้กับชุมชน CTA (Cyber Threat Alliance) ของเรา ในทางกับกันแฮ็กเกอร์มีแรงจูงใจทางการเงินที่จะขายการค้นพบ zero dayในตลาดมืด

Douglas- บางครั้งผู้ผลิตต้องใช้เวลาสักพักในการปรับใช้โปรแกรมแก้ไขและอัพเดทระบบของตนในระหว่างนี้นักวิจัยอย่างพวกเราซึ่งทำงานให้กับผู้ขายด้านความปลอดภัย ทำงานเพื่อสร้างลายเซ็นและใช้การป้องกันในเครื่องมือรักษาความปลอดภัยของเราเพื่อระบุการโจมตีและปกป้องลูกค้าจะช่องโหว่ที่อาจเกิดขึ้นซึ่งอาจกำหนดเป้าหมายช่องโหว่ของ zero day เหล่านี้

องค์กรต่างๆจะป้องกันตัวพวกเขาเองจาก zero day ได้อย่างไร?

Douglas- บริษัทต่างๆจำเป็นต้องมุ่งมั่นที่จะพัฒนาการปรับปรุงแผน zero day ซึ่งรวมถึงมาตรการเชิงรุกและเชิงรับ เพียงเพราะกลุ่มชนการรักษาความปลอดภัยทั่วไปไม่ตระหนักถึง zero day หรือช่องโหว่นั้นๆ ไม่ได้หมายความว่าไม่มีอยู่

การมีแผนการจัดการแพตช์ที่มีประสิทธิภาพยังมีความสำคัญต่อความสำเร็จของแผนรับมือ

แพตช์ไม่สามารถป้องกันการโจมตีที่กำหนดเป้าหมายไปยังช่องโหว่ใหม่ได้ หากเปิดตัวก่อนการใช้แพทช์ ดังนั้นแผนรับมือต้องมีไทม์ ไลน์ที่ปรับใช้แพตช์ได้เร็วขึ้นและปลอดภัยมากขึ้นด้วย

Jonas-  กลยุทธ์ด้านความปลอดภัยจำเป็นต้องมีแนวทางการต้องการแบบบูรณาการซึ่งรวมถึงการตรวจจับและการป้องกันเพื่อให้แน่ใจว่าได้รับการสนับสนุนครอบคลุมอย่างเต็มที่ ซึ่งหมายถึง การผสมผสานแนวทางการแก้ไขการป้องกันแบบเดิม เข้ากับเทคโนโลยีการตรวจจับและการตอบสนองที่ใหม่กว่า ผ่านแพลตฟอร์มทั่วไป ดังนั้น แนวทางการแก้ไขความปลอดภัยทั้งหมดไม่ว่าจะนำไปใช้งานที่ใดก็ตามสามารถอัพเดทในเวลาเดียวกันด้วยข้อมูลภัยคุกคามใหม่ๆ

ที่มา  : https://www.fortinet.com/blog/industry-trends/lessons-learned-from-zero-day-hunters