សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
សុវត្ថិភាពកុំព្យូទ័រ ប្រយ័ត្ន!...

ប្រយ័ត្ន! ការវាយប្រហារតាមអ៊ីនធឺណិតរបស់អ៊ីរ៉ង់គំរាមកំហែងដល់ហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗនៅក្នុងយុទ្ធនាការសកលដែលកំពុងដំណើរការ

ដោយ Mura ក្នុង សុវត្ថិភាពកុំព្យូទ័រ
បកប្រែទៅ៖
ភាសាខ្មែរ

នៅក្នុងពិភពនៃការគម្រាមកំហែងតាមអ៊ីនធឺណិតដែលកំពុងរីកចម្រើន និន្នាការគួរឱ្យព្រួយបារម្ភបំផុតមួយគឺការកើនឡើងនៃ ការវាយប្រហារតាមអ៊ីនធឺណិតដែលឧបត្ថម្ភដោយរដ្ឋដែលផ្តោតលើហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ ។ ការផ្តល់ប្រឹក្សារួមថ្មីៗពីទីភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិត និងទីភ្នាក់ងារស៊ើបការណ៍សម្ងាត់នៅទូទាំងសហរដ្ឋអាមេរិក អូស្ត្រាលី និងកាណាដា បង្ហាញពីយុទ្ធនាការរយៈពេលមួយឆ្នាំដែលកំពុងបន្តដោយអ្នកដើរតួតាមអ៊ីនធឺណិតរបស់អ៊ីរ៉ង់ សំដៅលើវិស័យសំខាន់ៗដូចជា ការថែទាំសុខភាព ថាមពល រដ្ឋាភិបាល និងបច្ចេកវិទ្យាព័ត៌មាន។

វិធីសាស្រ្តនៅពីក្រោយការវាយប្រហារតាមអ៊ីនធឺណិតរបស់អ៊ីរ៉ង់

ចាប់តាំងពីខែតុលា ឆ្នាំ 2023 មក តួអង្គអ៊ីនធឺណេតរបស់អ៊ីរ៉ង់បាន ប្រើប្រាស់ការវាយប្រហារដោយបង្ខំ និងការបាញ់ពាក្យសម្ងាត់ទៅកាន់អង្គការដែលជ្រៀតចូល ។ យុទ្ធសាស្ត្រទាំងនេះពាក់ព័ន្ធនឹងការទាយពាក្យសម្ងាត់ជាប្រព័ន្ធ និងប្រព័ន្ធចូលច្រើនលើសលប់ ដើម្បីទទួលបានការចូលប្រើគណនីអ្នកប្រើប្រាស់ដោយគ្មានការអនុញ្ញាត។ វិស័យដូចជាការថែទាំសុខភាព វិស្វកម្ម និងសេវារដ្ឋាភិបាលគឺជាគោលដៅចម្បង ដោយផ្តល់ភាពចាប់អារម្មណ៍ និងសារៈសំខាន់របស់ពួកគេ។

យុទ្ធសាស្ត្រដែលកំពុងលេចចេញមួយដែលត្រូវបានប្រើប្រាស់ដោយអ្នកវាយប្រហារទាំងនេះគឺការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវពហុកត្តា (MFA) ដែលត្រូវបានគេស្គាល់ថាជា MFA អស់កម្លាំង។ ដោយការជន់លិចអ្នកប្រើប្រាស់ជាមួយនឹងសំណើ MFA ម្តងហើយម្តងទៀត អ្នកវាយប្រហារសង្ឃឹមថានឹងរំខាន ឬបំភាន់ជនរងគ្រោះឱ្យមានការយល់ព្រមដោយអចេតនា។ Ray Carney អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតនៅ Tenable ស្នើឱ្យប្រើ MFA ដែលធន់នឹងការបន្លំ ឬប្រើការផ្គូផ្គងលេខសម្រាប់ដំណើរការផ្ទៀងផ្ទាត់ដែលមានសុវត្ថិភាពជាងមុន។

គោលដៅចម្បងនៃការវាយប្រហារទាំងនេះគឺដើម្បីលួចព័ត៌មានសម្ងាត់ និងព័ត៌មានបណ្តាញលម្អិត ដែលបន្ទាប់មកត្រូវបានលក់នៅលើវេទិការក្រោមដី។ នេះបង្កើតឱកាសសម្រាប់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផ្សេងទៀតដើម្បីទាញយកប្រព័ន្ធសម្របសម្រួលសម្រាប់ការវាយប្រហារបន្ថែមទៀត ស្របតាមទិដ្ឋភាពសន្តិសុខអ៊ីនធឺណិតទូលំទូលាយនៃការសហការរវាងក្រុមដែលឧបត្ថម្ភដោយរដ្ឋ និងឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលបានរៀបចំ។

បច្ចេកទេសវាយប្រហារកម្រិតខ្ពស់

បន្ទាប់ពីការចូលដំណើរការដំបូង អ្នកវាយប្រហារអ៊ីរ៉ង់ជាធម្មតាធ្វើការត្រួតពិនិត្យហ្មត់ចត់នៃប្រព័ន្ធរបស់គោលដៅ។ ពួកគេប្រើប្រាស់ឧបករណ៍ "រស់នៅក្រៅដី" (LotL) ដែលប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធផ្ទាល់ខ្លួនរបស់ស្ថាប័នដើម្បីនៅតែមិនអាចរកឃើញបាន។ ការកេងប្រវ័ញ្ចនៃការកើនឡើងឯកសិទ្ធិ ដូចជាភាពងាយរងគ្រោះ Zerologon ដ៏ល្បីល្បាញ (CVE-2020-1472) ជួយអ្នកវាយប្រហារផ្លាស់ទីកាន់តែជ្រៅទៅក្នុងប្រព័ន្ធ។

ក្នុងករណីជាច្រើន អ្នកវាយប្រហារប្រើប្រាស់ពិធីការផ្ទៃតុពីចម្ងាយ (RDP) និងឧបករណ៍ដូចជា Cobalt Strike ដើម្បីបង្កើតការតភ្ជាប់ពាក្យបញ្ជា និងបញ្ជា (C2)។ គួរកត់សម្គាល់ថា ពេលខ្លះពួកគេចុះឈ្មោះឧបករណ៍ផ្ទាល់ខ្លួនរបស់ពួកគេជាមួយប្រព័ន្ធ MFA ដែលអនុញ្ញាតឱ្យពួកគេរក្សាការចូលប្រើប្រាស់ជាប់លាប់ក្នុងរយៈពេលយូរដោយមិនបង្កឱ្យមានការសង្ស័យ។

ការកំណត់គោលដៅ Active Directory និង Beyond

អ្នកដើរតួតាមអ៊ីនធឺណិតរបស់អ៊ីរ៉ង់កំពុងផ្តោតកាន់តែខ្លាំងឡើងលើការសម្របសម្រួល Active Directory ដែលជាឆ្អឹងខ្នងនៃបរិស្ថាន IT សហគ្រាសជាច្រើន។ Active Directory ដើរតួនាទីយ៉ាងសំខាន់ក្នុងការគ្រប់គ្រងការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ និងការអនុញ្ញាតលើបណ្តាញនានា។ ការសម្របសម្រួលនៃប្រព័ន្ធនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារបង្កើនសិទ្ធិ ដោយផ្តល់ឱ្យពួកគេនូវសិទ្ធិទទួលបានព័ត៌មានរសើបខ្លាំង និងការគ្រប់គ្រងលើប្រព័ន្ធសំខាន់ៗ។

ការផ្លាស់ប្តូរថ្មីៗនៅក្នុងទិដ្ឋភាពការគំរាមកំហែងជាសកលក៏ចង្អុលបង្ហាញពីនិន្នាការនៃការសហការគ្នារវាងក្រុមលួចចូលរដ្ឋ និងអង្គការឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផងដែរ។ របាយការណ៍ការពារឌីជីថលឆ្នាំ 2024 របស់ក្រុមហ៊ុន Microsoft គូសបញ្ជាក់ថា អ្នកវាយប្រហារដែលឧបត្ថម្ភដោយរដ្ឋរបស់អ៊ីរ៉ង់មិនត្រឹមតែធ្វើប្រតិបត្តិការសម្រាប់ហេតុផលភូមិសាស្ត្រនយោបាយប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងត្រូវបានលើកទឹកចិត្តដោយការចំណេញផ្នែកហិរញ្ញវត្ថុផងដែរ។ តាមរយៈការផ្តល់ផ្នែកខ្លះនៃប្រតិបត្តិការរបស់ពួកគេទៅឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ពួកគេបានពង្រីកលទ្ធភាពរបស់ពួកគេខណៈពេលដែលរក្សាទម្រង់ទាបជាង។

អ្វីដែលអង្គការអាចធ្វើបាន

ដើម្បីកាត់បន្ថយហានិភ័យទាំងនេះ អង្គការក្នុងវិស័យគោលដៅត្រូវតែចាត់វិធានការសកម្ម៖

  • អនុវត្ត MFA ដែលធន់នឹងការបន្លំ នៅពេលណាដែលអាចធ្វើទៅបាន។ ប្រសិនបើមិនអាចទេ សូមប្រើការផ្គូផ្គងលេខជាជម្រើសផ្ទៀងផ្ទាត់ទីពីរ។
  • ធ្វើសវនកម្ម និងជួសជុលភាពងាយរងគ្រោះជាប្រចាំ ជាពិសេសនៅក្នុង Active Directory និងប្រព័ន្ធសំខាន់ៗផ្សេងទៀត។
  • បណ្តុះបណ្តាលបុគ្គលិកឱ្យទទួលស្គាល់សញ្ញានៃភាពអស់កម្លាំងរបស់ MFA និងលើកទឹកចិត្តឱ្យពួកគេរាយការណ៍អំពីការប៉ុនប៉ងចូលដែលគួរឱ្យសង្ស័យ។
  • តាមដានចរាចរណ៍បណ្តាញសម្រាប់សកម្មភាពមិនធម្មតា ជាពិសេសការតភ្ជាប់ទៅក្រៅប្រទេសទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធ C2 ដែលស្គាល់។
  • សហការជាមួយភ្នាក់ងាររដ្ឋាភិបាល និងដៃគូឧស្សាហកម្ម ដើម្បីរក្សាព័ត៌មានអំពីការគំរាមកំហែងចុងក្រោយបំផុត និងការអនុវត្តល្អបំផុតសម្រាប់វិស័យការពារជាតិ។

ផ្លូវខាងមុខ

នៅពេលដែលការវាយប្រហារតាមអ៊ីនធឺណិតកាន់តែមានភាពស្មុគ្រស្មាញ និងជាប់ពាក់ព័ន្ធទៅនឹងគោលបំណងភូមិសាស្ត្រនយោបាយសកល អាជីវកម្មត្រូវតែមានការប្រុងប្រយ័ត្ន។ យុទ្ធនាការរយៈពេលមួយឆ្នាំដោយអ្នកដើរតួតាមអ៊ីនធឺណិតរបស់អ៊ីរ៉ង់ ដើរតួជាការរំលឹកយ៉ាងមុតមាំថា សូម្បីតែប្រព័ន្ធសន្តិសុខដ៏រឹងមាំបំផុតក៏អាចត្រូវបានគេសម្របសម្រួលដោយគ្មានការការពារត្រឹមត្រូវនៅនឹងកន្លែង។

ការបន្តនាំមុខការគំរាមកំហែងទាំងនេះតម្រូវឱ្យមានការសម្របខ្លួនជាប្រចាំ ការសហការ និងការប្តេជ្ញាចិត្តចំពោះការអនុវត្តល្អបំផុតសុវត្ថិភាពអ៊ីនធឺណិត។ ខណៈពេលដែលគ្មានប្រព័ន្ធមិនដំណើរការ អង្គការដែលមានការជូនដំណឹង និងរៀបចំទុកជាឱកាសល្អជាងក្នុងការទប់ទល់នឹងរលកនៃការវាយប្រហារតាមអ៊ីនធឺណិតដែលកំពុងកើនឡើង។

កំពុង​ផ្ទុក...