เนื้อหานี้จัดทำโดยPalo Alto Networksลองนึกภาพว่าได้รับอีเมลจากเพื่อนร่วมงานที่ไว้ใจได้ซึ่งขอให้คุณตรวจทานไฟล์ PDF ที่แนบมาก่อนที่จะส่งไปยังผู้นำ เมื่อคุณเปิด PDF คุณจะเห็นป๊อปอัปหลายรายการปรากฏขึ้นบนหน้าจอ จากนั้นคุณจะเห็นป๊อปอัปปรากฏขึ้น บนหน้าจอของคุณ คุณจะเห็นแบนเนอร์ที่ระบุว่า “อ๊ะ ไฟล์ของคุณได้รับการเข้ารหัสแล้ว!” คุณตกเป็นเป้าหมายของอีเมลฟิชชิ่งที่มีแรนซัมแวร์ เป็นไปได้มากว่าหน่วยงานของคุณใช้เงินจำนวนมาก
ไปกับเครื่องมือรักษาความปลอดภัยทางไซเบอร์ แล้วเกิดอะไรขึ้น?
อุตสาหกรรมความปลอดภัยทางไซเบอร์ยอมรับแนวคิดที่ว่า “ผู้ป่วยเป็นศูนย์” ซึ่งเป็นบุคคลหรือระบบแรกที่ตกเป็นเหยื่อของการโจมตีทางไซเบอร์ที่ไม่รู้จักมาก่อนหน้านี้เป็นสิ่งที่หลีกเลี่ยงไม่ได้ ผู้ป่วยหนึ่งหรือสองคนอาจได้รับการป้องกันหลังจากสิบถึงสิบห้านาที แนวทางป้องกันส่วนใหญ่จำเป็นต้องจดจำและสกัดกั้นการโจมตี แต่น่าเสียดายที่บางคนต้องเป็นคนแรก
ด้วยเทคโนโลยีระบบอัตโนมัติที่ซับซ้อนซึ่งขณะนี้มีให้บริการอย่างกว้างขวางทั้งคนดีและคนเลว นั่นเป็นสิ่งที่ยอมรับไม่ได้อีกต่อไป เวลาตอบสนองมีความสำคัญมากกว่าที่เคย แม้แต่ห้านาทีในการตรวจจับก็ยังช้าเกินไป แต่ความเร็วในการตรวจจับต้องตรงกับความเร็วของผู้โจมตีในปัจจุบัน นั่นหมายถึงการค้นหาภัยคุกคามที่สอดคล้องกับทราฟฟิกเครือข่ายจำนวนมหาศาลของหน่วยงานที่ไหลทุกวัน
ขีด จำกัด ของวิธีการตอบโต้
รูปแบบการป้องกันทางไซเบอร์ที่แพร่หลายยอมรับผู้ป่วยที่เสียชีวิตเป็นศูนย์ด้วยเหตุผลด้านการปฏิบัติภารกิจ: ผู้ใช้จะไม่รอสิบนาทีเพื่อให้ไฟล์ถูกแซนด์บ็อกซ์และวิเคราะห์ก่อนที่จะสามารถดาวน์โหลดได้
แทนที่จะทำให้การดำเนินการและเวิร์กโฟลว์หยุดชะงัก
บรรทัดฐานของอุตสาหกรรมตัดสินที่การอนุญาตไฟล์ผ่านแล้ววิเคราะห์ความเสี่ยงในเบื้องหลัง หากพบว่าไฟล์เป็นอันตราย ความปลอดภัยสามารถเขียนลายเซ็นได้อย่างรวดเร็วและแจกจ่ายลายเซ็นนั้นเพื่อหยุดการแพร่กระจายภายในเครือข่าย กรณีที่ดีที่สุดที่จะเกิดขึ้นคือภายในห้าถึงสิบนาที แม้ว่าจะสามารถช่วยผู้ใช้รายอื่นได้อย่างแน่นอน แต่สำหรับผู้ป่วยที่เป็นศูนย์ มันก็สายเกินไป
ยิ่งไปกว่านั้น ผู้ป่วยเป็นศูนย์มักเป็นสินทรัพย์ที่มีมูลค่าสูง จากมุมมองเชิงปฏิบัติ ผู้โจมตีจะติดตามเป้าหมายที่สำคัญที่สุดในความพยายามครั้งแรก (เช่น ผ่านการโจมตีแบบล่าปลาวาฬ [ฟิชชิ่ง]) แทนที่จะตระเวนไปทั่วองค์กรและตรวจจับความเสี่ยงก่อนที่จะบรรลุเป้าหมาย นอกเหนือจากไฟล์แนบอีเมลที่เป็นอันตรายแล้ว ผู้โจมตีที่เชี่ยวชาญอาจ “ปิดบัง” หน้าเว็บฟิชชิ่ง โดยส่ง URL ที่เป็นอันตรายเฉพาะไปยังเป้าหมายที่มีมูลค่าสูงเท่านั้น ใครก็ตามที่พยายามเข้าถึงเพจจะถูกนำทางไปที่อื่น
เมื่อผู้ป่วยเป็นศูนย์ถูกบุกรุก เช่น เพย์โหลดของแรนซัมแวร์ ไม่มีอะไรจะหยุดการทำงานของแรนซัมแวร์ได้ อาจใช้เวลาน้อยกว่าหนึ่งนาทีในการเข้ารหัสระบบของผู้ใช้รายนั้น หากผู้ป่วยศูนย์ควบคุมข้อมูลที่สำคัญที่สุด ไม่สำคัญว่าผู้ป่วยหนึ่งหรือสองคนจะได้รับผลกระทบหรือไม่ ความเสียหายได้ทำไปแล้ว
มีข้อจำกัดในการแก้ปัญหาที่กำหนดไว้สำหรับการโจมตีประเภทนี้ การเรียกใช้บริการพร็อกซีเพื่อหลีกเลี่ยงหน้าเว็บที่เป็นอันตรายช่วยป้องกันการปิดบังหน้าเว็บจริง แต่จะทำให้ประสิทธิภาพการทำงานช้าลง และอาจขัดขวางการโหลดหน้าเว็บอื่นๆ ที่ไม่เกี่ยวข้องได้อย่างถูกต้อง การสร้างลายเซ็นไม่สามารถก้าวทันกับโปรแกรมมัลแวร์ใหม่นับแสนตัวที่โผล่ขึ้นมาทุกวัน ความแตกต่างหลากหลายช่วยให้โปรแกรมเหล่านั้นนับพันได้รับมาจากรหัสต้นฉบับในทันที ลายเซ็นส่วนใหญ่ไม่มีความสามารถในการป้องกันทั่วไปในการบล็อกแหล่งที่มาเหล่านั้น