“RidgeBot” ระบบ Pentest อัตโนมัติของ Ridge Security

เมื่อวันที่ 8 กุมภาพันธ์ เมืองโอ๊คแลนด์ สหรัฐอเมริกาเกิดเหตุการณ์เครือข่ายระบบขัดข้องจากการโจมตีด้วยแรนซั่มแวร์ ส่งผลให้เทศมนตรีของเมืองต้องประกาศให้นี่เป็นสถานการณ์ฉุกเฉินขณะเร่วมือทำการฟื้นฟูซ่อมแซมระบบ 

เพื่อการนี้ ทางเมืองได้ทำการปิดการให้บริการสาย 311 หรือสายที่ประสานคำขอต่อบริการของเมือง ซึ่งเป็นระบบภายในสำหรับการทำสัญญาและการสนับสนุนผู้ขายภายนอก, ป็นศูนย์ขอความอนุมัติสำหรับการพัฒนาท้องถิ่น, และเป็นระบบที่จัดการเรื่องของภาษีธุรกิจและค่าธรรมเนียมที่จอดรถ

ตั้งแต่การโจมตีครั้งแรก ข้อมูลส่วนตัวและข้อมูลทางการเงินที่ตัวไฟล์หลุดไปได้ถูกกลุ่มแรนซัมแวร์ Play นำไปปล่อยลงใน dark web ซึ่งทางเทศบาลได้ออกมายืนยันแล้วว่ากลุ่มแฮ็กเกอร์นี้เป็นกลุ่มเดียวกับที่ทำการปล่อยข้อมูลจำนวน 600 gb เกี่ยวกับหมายเลขประกันสังคม, ที่อยู่, และข้อมูลทางการแพทย์ของเหล่าคนทำงานของเมืองทั้งในปัจจุบันและในอดีต

ที่จริง เมืองโอ๊คแลนด์ไม่ใช่ที่แรกที่รัฐบาลท้องถิ่นถูกเพ่งเล็งโดยกลุ่มแรนซัมแวร์ที่มีชื่อว่า PlayCrypt แต่ยังมีเหยื่อเป็นเทศบาลและธุรกิจอื่น ๆ อีกมากมาย

วิธีป้องกันการโจมตีเหล่านี้ 

การตรวจจับและการตอบโต้ทางไซเบอร์นั้นมีความต่างจากการป้องกันและการกำจัดเป็นอย่างมาก การตรวจจับและการตอบโต้ทางไซเบอร์จะมีปฏิกิริยาตอบสนองในการปกป้องเมื่อภัยคุกคามเข้ามาในเครือข่ายเรียบร้อยแล้วเพื่อการใช้ประโยชน์จากระบบและเพื่อกำจัดข้อมูล ส่วนการป้องกันและการกำจัดนั้นทำงานในเชิงรุก โดยกำจัดจุดอ่อนไปก่อนที่ผู้ไม่หวังดีจะค้นพบ

การโจมตีทางแรนซัมแวร์แบบนี้สามารถป้องกันได้ด้วยกระบวนการพื้นฐานทาง cybersecurity เช่น

• การทำ penetration testing แบบอัตโนมัติ
• อัพเดทซอฟต์แวร์เสมอ 
• ใช้พาสเวิร์ดที่แข็งแรงและการยืนยันตัวตน 2 ขั้นตอน 
• การสำรองข้อมูลอย่างสม่ำเสมอนอกสถานที่ 
• การเทรนพนักงานให้สังเกตุอีเมลฟิชชิ่งและกลวิธีทางวิศวกรรมสังคมอื่น ๆ เป็น 
• การจำกัดการเข้าถึงต่อข้อมูลเซ็นซิทีฟและระบบ
• การใช้ firewall และซอฟต์แวร์รักษาความปลอดภัยปลายทาง

การทำ pentest แบบอัตโนมัตินั้นมีประสิทธิภาพอย่างมาก 

แม้การหยุดยั้งการโจมตีของแรนซัมแวร์โดยสิ้นเชิงจะเป็นไปได้ยาก การทำ pentest แบบอัตโนมัตินั้นถูกทดสอบแล้วว่าเป็นวิธีการทางความปลอดภัยเชิงรุกที่มีประสิทธิภาพ ซึ่งสามารถช่วยให้หน่วยงานราชการและธุรกิจการค้าพลิกจากบทเหยื่อในสนามเป็นผู้ล่าได้

RidgeBot คือหุ่นยนต์ penetration testing สำหรับการจัดการจุดอ่อนตามความเสี่ยง โดยที่มาคือการที่องค์กรต่าง ๆ มักจัดให้มีการฝึกซ้อมแบบแบ่งทีมเป็นทีมแดงและทีมฟ้า ทีมแดงจะประกอบไปด้วยผู้เชี่ยวชาญการโจมตีทางความปลอดภัยที่จะพยายามโจมตีการป้องกันทาง cybersecurity ขององค์กร ส่วนทีมฟ้าก็จะป้องกันและตอบโต้การโจมตีของทีมแดง

Ridge Security ได้ทำระบบนี้ให้เป็นอัตโนมัติด้วย bot ที่เรียกว่า RidgeBot ซึ่งทำหน้าที่เป็นทีมผู้โจมตีโดยการตามหาช่องโหว่อย่างไม่ลดละและบันทึกสิ่งที่ค้นพบ ต่างจากมนุษย์ RidgeBot นั้นมีกลยุทธ์การโจมตีแบบไดนามิคที่สามารถเคลื่อนที่จากเป้าหมายหนึ่งไปอีกเป้าได้ นอกจากนี้ การทำ pentest แบบอัตโนมัติของ RidgeBot นั้นมีราคาไม่แพงและทำงานในระดับองค์กร .  

RidgeBot มีขั้นตอนการทำงาน 4 ขั้นตอน:  

• ทำการตรวจค้นหาทรัพยากรที่องค์กรใช้อยู่ อย่าง เซอร์เวอร์, อุปกรณ์เครือข่าย, ระบบปฏิบัติการณ์, และเว็บไซต์  
• แสกนและรายงานว่าค้นพบทรัพยากรและพื้นผิวการโจมตีอะไรบ้าง ซึ่งรวมถึง URL ที่อ่อนแอ, พอร์ตเปิด, และจุดอ่อนของระบบ การแสกนนั้น นอกจากจะช่วยในเรื่องของการแมปซอฟต์แวร์แล้วก็ยังใช้เพย์โหลดจริงมาตรวจหาช่องโหว่อีกด้วย
• ใช้ประโยชน์จากความสามารถในการแฮ็คอย่างมีจริยธรรม ที่ได้เรียนรู้มาจากผู้ทดสอบที่เป็นมนุษย์ เพื่อทำการโจมตีที่ซับซ้อน, ซ้ำซ้อน, และสัมพันธ์กัน
• ดำเนินการตรวจสอบเพิ่มเติมเพื่อบ่งชี้ว่ามีการกำหนดค่าใดไหมที่ช่วยให้แฮ็คเกอร์สามารถเคลื่อนที่ลึกขึ้นไปรอบ ๆ สภาพแวดล้อมได้ โดยใช้เทคนิคการทดสอบอย่างการยกระดับสิทธิ์, การทำ pass-the-hash และอื่น ๆ 

RidgeBot มีเท็มเพลตแรนซัมแวร์ที่ถูกออกแบบมาเพื่อการต่อสู้กับการโจมตีของแรนซัมแวร์โดยเฉพาะ โดยมีความสามารถอย่างการแสกนหาจุดอ่อนของจุดเข้าใช้งานแรนซัมแวร์ที่ high-profile จำนวน 27 รายการ แล้วจึงทำการโจมตีเพื่อหาทางใช้ประโยชน์จากช่องโหว่เหล่านี้ และจัดการรายงานโดยละเอียดว่าการทดสอบที่สำเร็จนี้เกิดจากกรรมวิธีใด

About Author

Rattalin Songprasit

See author's posts