Laptops attached to a network with a padlock in the middle.
MITRE ร่วมมือกับหน่วยงานพันธมิตร จัดทำฐานข้อมูลรายละเอียดเทคนิคและวิธีการที่ถูกใช้งานโดยกลุ่มผู้โจมตีทางไซเบอร์ ภายใต้ชื่อโครงการ Adversary Emulation Library ซึ่งเปิดให้เข้าถึงได้ฟรีผ่านเว็บไซต์ https://github.com/center-for-threat-informed-defense/adversary_emulation_library จุดประสงค์ของการจัดทำฐานข้อมูลดังกล่าวเพื่อให้ทีมรับมือภัยคุกคามได้ศึกษารูปแบบการโจมตีอย่างเป็นระบบ และนำสิ่งที่เรียนรู้ไปปรับปรุงเพื่อป้องกันและลดความเสี่ยงได้
โดยพื้นฐานแล้วในแต่ละครั้งที่กลุ่มผู้โจมตีทางไซเบอร์ (adversary) ลงมือโจมตีนั้นก็มักจะใช้กลยุทธ์ เทคนิค และวิธีการ (tactics, techniques, and procedures หรือ TTPs) ที่คล้ายคลึงกับรูปแบบเดิม หมายความว่าหากพบรูปแบบการโจมตีที่มีลักษณะใกล้เคียงกับเหตุการณ์ที่เคยเกิดขึ้นก่อนหน้าก็พอที่จะอนุมานได้ว่ากลุ่มผู้ก่อเหตุนั้นน่าจะเป็นกลุ่มใดบ้าง การศึกษารูปแบบการโจมตีที่เคยเกิดขึ้นจริงแล้วนำรูปแบบเครื่องมือและวิธีการดังกล่าวมาซักซ้อมในระบบที่ใกล้เคียงกับสภาพแวดล้อมจริง (เรียกว่าเป็นการทำ adversary emulation) ก็จะสามารถช่วยให้ผู้ที่ปฏิบัติงานด้านการรับมือสามารถเข้าใจวิธีการตรวจจับและป้องกันความเสียหายที่จะเกิดขึ้นได้
ในเบื้องต้น ข้อมูลใน Adversary Emulation Library ของ MITRE นั้นยังมีเฉพาะส่วนที่เกี่ยวข้องกับกลุ่ม FIN6 ซึ่งเป็นกลุ่มผู้โจมตีที่เน้นปฏิบัติการในสถาบันทางการเงิน รายละเอียดใน FIN6 Adversary Emulation (https://github.com/center-for-threat-informed-defense/adversary_emulation_library/tree/master/fin6) โดยหลัก ๆ สามารถแบ่งได้เป็น 3 ส่วน ดังนี้
- Intelligence Summary เป็นข้อมูลสรุปภาพรวมของกลุ่มผู้โจมตี เช่น ประวัติการโจมตีที่ผ่านมา หน่วยงานที่เคยตกเป็นเป้าหมาย เครื่องมือที่ใช้ในการโจมตี รูปแบบและวิธีการที่อ้างอิงตาม MITRE ATT&CK
- Operations Flow ลำดับขั้นตอนการโจมตี โดยเริ่มตั้งแต่การเตรียมการ ไปจนถึงกระบวนการโจมตีจริง
- Emulation Plan แนวทางการใช้คำสั่ง สคริปต์ และเครื่องมือเพื่อใช้โจมตีในแต่ละขั้นตอน
ทั้งนี้ ทาง MITRE ระบุว่ามีแผนที่จะจัดทำ adversary emulation ของกลุ่มผู้โจมตีอื่น ๆ เพิ่มเติมในอนาคต ผู้ที่สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้จากที่มา
——————————————————
ที่มา : ThaiCERT / 16 กันยายน 2563
Link : https://www.thaicert.or.th/newsbite/2020-09-16-02.html#2020-09-16-02
