ການໂຈມຕີທີ່ເບິ່ງບໍ່ເຫັນ: ເປັນຫຍັງການຕິດຕາມການຈະລາຈອນຈຶ່ງບໍ່ພຽງພໍອີກຕໍ່ໄປ

ການຮັກສາຮູບແບບການຕິດຕາມການຈະລາຈອນແບບດັ້ງເດີມ, ໂດຍອີງໃສ່ການວິເຄາະແພັກເກັດ, ການກວດສອບຄວາມຜິດປົກກະຕິ, ແລະການກວດກາເຂດແດນ, ເປັນການເສຍເວລາຂອງທີມງານໄອທີທີ່ມີຄ່າ. ນີ້ແມ່ນຍ້ອນວ່າເຕັກນິກກ້າວຫນ້າທາງດ້ານໄດ້ຖືກພັດທະນາຫຼາຍຂຶ້ນເພື່ອຫຼີກເວັ້ນການກວດພົບໂດຍລະບົບຄລາສສິກ, ການຂຸດຄົ້ນຊ່ອງໂຫວ່ທີ່ຍັງເບິ່ງບໍ່ເຫັນກັບເຄື່ອງມືຄວາມປອດໄພໂດຍອີງໃສ່ການຈະລາຈອນເຄືອຂ່າຍເທົ່ານັ້ນ.

ໃນຄວາມເປັນຈິງ, 72% ຂອງຜູ້ຕອບໃນການສໍາຫຼວດທົ່ວໂລກໂດຍກອງປະຊຸມເສດຖະກິດໂລກ 2025 ໄດ້ລາຍງານການເພີ່ມຂຶ້ນຂອງຄວາມສ່ຽງທາງອິນເຕີເນັດຂອງອົງການຈັດຕັ້ງ, ສະທ້ອນໃຫ້ເຫັນເຖິງວິທີການຂົ່ມຂູ່ທີ່ຈະຫລີກລ້ຽງການປ້ອງກັນແບບດັ້ງເດີມ. ນອກຈາກນັ້ນ, ການໂຈມຕີແບບບໍ່ມີໄຟລ໌ແມ່ນ 10 ເທົ່າທີ່  ຈະປະສົບຜົນສໍາເລັດຫຼາຍກ່ວາການໂຈມຕີ malware ທີ່ອີງໃສ່ໄຟລ໌ແບບດັ້ງເດີມ.

cybercriminals ບໍ່ດໍາເນີນການໂດຍການທົດລອງແລະຄວາມຜິດພາດ. ໃນມື້ນີ້, ພວກເຂົາປະຕິບັດຢ່າງແນ່ນອນແລະບໍ່ມີຮ່ອງຮອຍ. ເຂົາເຈົ້າໃຊ້ການໂຈມຕີແບບບໍ່ມີໄຟລ໌ຫຼາຍ, ນຳໃຊ້ເຄື່ອງມືລະບົບທີ່ຖືກຕ້ອງຕາມກົດໝາຍເຊັ່ນ PowerShell ແລະ WMI ເພື່ອປະຕິບັດຄຳສັ່ງທີ່ເປັນອັນຕະລາຍ ໂດຍບໍ່ຕ້ອງສົງໄສ, ແລະເຄື່ອນຍ້າຍຜ່ານເຄືອຂ່າຍຢ່າງງຽບໆ, ຄືກັບວ່າພວກມັນຢູ່ໃນສະພາບແວດລ້ອມແລ້ວ.

ປະເພດຂອງການກະທໍາຜິດນີ້ຖືກອອກແບບໂດຍເຈດຕະນາເພື່ອປະກົດວ່າຖືກຕ້ອງ; ການຈະລາຈອນບໍ່ໄດ້ສ້າງຄວາມສົງໃສ, ເຄື່ອງມືທີ່ບໍ່ຮູ້ຈັກ, ແລະເຫດການບໍ່ປະຕິບັດຕາມຮູບແບບການຂົ່ມຂູ່ທົ່ວໄປ. ໃນສະຖານະການນີ້, ອີງຕາມບົດລາຍງານຂອງເວທີປາໄສເສດຖະກິດໂລກ 2025, 66% ຂອງອົງການຈັດຕັ້ງເຊື່ອ  ວ່າປັນຍາປະດິດຈະມີຜົນກະທົບທີ່ສຸດຕໍ່ຄວາມປອດໄພທາງອິນເຕີເນັດ , ທັງດ້ານການປ້ອງກັນແລະການໂຈມຕີ, ສະທ້ອນໃຫ້ເຫັນເຖິງການປ່ຽນແປງແບບຢ່າງ.

ການແກ້ໄຂແບບດັ້ງເດີມ, ເຊັ່ນ firewalls, IDS, ແລະລະບົບການເຊື່ອມໂຍງແບບງ່າຍດາຍ, ບໍ່ໄດ້ສະຫນອງການປົກປ້ອງທີ່ຈໍາເປັນ, ໂດຍສະເພາະນັບຕັ້ງແຕ່ 47% ຂອງອົງການຈັດຕັ້ງອ້າງເຖິງຄວາມກ້າວຫນ້າຂອງສັດຕູທີ່ຂັບເຄື່ອນໂດຍ AI ທົ່ວໄປເປັນຄວາມກັງວົນຕົ້ນຕໍຂອງພວກເຂົາ. ນອກຈາກນັ້ນ, 54% ຂອງອົງການຈັດຕັ້ງຂະຫນາດໃຫຍ່ຊີ້ໃຫ້ເຫັນຄວາມອ່ອນແອຂອງລະບົບຕ່ອງໂສ້ການສະຫນອງເປັນອຸປະສັກທີ່ໃຫຍ່ທີ່ສຸດຕໍ່ຄວາມຢືດຢຸ່ນທາງອິນເຕີເນັດ, ເຮັດໃຫ້ເກີດຄວາມສັບສົນຕື່ມອີກ.

ບົດບາດຂອງການເບິ່ງເຫັນ granular

ເນື່ອງຈາກສະຖານະການນີ້, ການເບິ່ງເຫັນແບບ granular ເກີດຂື້ນເປັນຄວາມຕ້ອງການພື້ນຖານສໍາລັບຍຸດທະສາດຄວາມປອດໄພທາງອິນເຕີເນັດທີ່ມີປະສິດທິພາບ. ມັນຫມາຍເຖິງຄວາມສາມາດໃນການສັງເກດ, ລາຍລະອຽດ, ພຶດຕິກໍາຂອງຈຸດສິ້ນສຸດ, ຜູ້ໃຊ້, ຂະບວນການ, ການໄຫຼເຂົ້າພາຍໃນ, ແລະກິດຈະກໍາລະຫວ່າງລະບົບ, ໃນລັກສະນະທີ່ສອດຄ່ອງແລະຢ່າງຕໍ່ເນື່ອງ.

ວິທີການນີ້ຮຽກຮ້ອງໃຫ້ມີການນໍາໃຊ້ເຕັກໂນໂລຢີທີ່ກ້າວຫນ້າທາງດ້ານຫຼາຍເຊັ່ນ EDR (ການຊອກຄົ້ນຫາຈຸດສິ້ນສຸດແລະການຕອບສະຫນອງ), XDR (ການກວດພົບແລະການຕອບສະຫນອງ) ແລະ NDR (ການຊອກຄົ້ນຫາເຄືອຂ່າຍແລະການຕອບສະຫນອງ). ເຄື່ອງມືເຫຼົ່ານີ້ເກັບກໍາຂໍ້ມູນ telemetry ໃນຊັ້ນຕ່າງໆ, ຈາກເຄືອຂ່າຍໄປຫາຈຸດສິ້ນສຸດ, ແລະນໍາໃຊ້ການວິເຄາະພຶດຕິກໍາ, ປັນຍາປະດິດ, ແລະຄວາມກ່ຽວຂ້ອງຂອງເຫດການເພື່ອກວດພົບໄພຂົ່ມຂູ່ທີ່ຈະບໍ່ສັງເກດເຫັນໃນສະພາບແວດລ້ອມທີ່ຕິດຕາມພຽງແຕ່ປະລິມານການຈະລາຈອນ.

ເຕັກນິກການຂຸດຄົ້ນເບິ່ງບໍ່ເຫັນ

ໃນບັນດາຍຸດທະວິທີທົ່ວໄປທີ່ສຸດທີ່ໃຊ້ໃນການໂຈມຕີ stealth ແມ່ນ:

• DNS tunneling, encapsulation ຂອງຂໍ້ມູນໃນການສອບຖາມ DNS ເບິ່ງຄືວ່າປົກກະຕິ;
• steganography ດິຈິຕອລ, ການເຊື່ອງຄໍາສັ່ງທີ່ເປັນອັນຕະລາຍພາຍໃນໄຟລ໌ຮູບພາບ, ສຽງ, ຫຼືວິດີໂອ; 
• ຊ່ອງທາງຄໍາສັ່ງແລະການຄວບຄຸມ (C2) ເຂົ້າລະຫັດສະຫນອງການສື່ສານທີ່ປອດໄພລະຫວ່າງ malware ແລະຕົວຄວບຄຸມຂອງມັນ, ເຮັດໃຫ້ການຂັດຂວາງມີຄວາມຫຍຸ້ງຍາກ. 
• ເຕັກນິກເຫຼົ່ານີ້ບໍ່ພຽງແຕ່ຜ່ານລະບົບແບບດັ້ງເດີມ, ແຕ່ຍັງໃຊ້ຂໍ້ບົກພ່ອງໃນການພົວພັນລະຫວ່າງຊັ້ນຄວາມປອດໄພ. ການຈະລາຈອນອາດຈະປາກົດວ່າສະອາດ, ແຕ່ກິດຈະກໍາທີ່ແທ້ຈິງແມ່ນເຊື່ອງໄວ້ຢູ່ຫລັງການດໍາເນີນງານທີ່ຖືກຕ້ອງຫຼືຮູບແບບທີ່ຖືກເຂົ້າລະຫັດ.

ການ​ຕິດ​ຕາມ​ສະ​ຫລາດ​ແລະ​ສະ​ພາບ​ການ​

ເພື່ອຮັບມືກັບໄພຂົ່ມຂູ່ປະເພດນີ້, ມັນເປັນສິ່ງຈໍາເປັນທີ່ການວິເຄາະເກີນຕົວຊີ້ວັດຂອງການປະນີປະນອມ (IoCs) ແລະເລີ່ມຕົ້ນພິຈາລະນາຕົວຊີ້ວັດຂອງພຶດຕິກໍາ (IoBs). ນີ້ຫມາຍຄວາມວ່າການຕິດຕາມບໍ່ພຽງແຕ່ "ສິ່ງທີ່" ເຂົ້າເຖິງຫຼືສົ່ງ, ແຕ່ຍັງ "ວິທີການ", "ເວລາ", "ໂດຍໃຜ" ແລະ "ໃນສະພາບການໃດ" ການກະທໍາດັ່ງກ່າວເກີດຂຶ້ນ.

ນອກຈາກນັ້ນ, ການເຊື່ອມໂຍງລະຫວ່າງແຫຼ່ງຂໍ້ມູນທີ່ແຕກຕ່າງກັນ, ເຊັ່ນ: ບັນທຶກການກວດສອບ, ການປະຕິບັດຄໍາສັ່ງ, ການເຄື່ອນໄຫວທາງຂ້າງ, ແລະການໂທ API, ຊ່ວຍໃຫ້ການກວດສອບການບິດເບືອນທີ່ລະອຽດອ່ອນແລະການຕອບສະຫນອງໄວແລະຖືກຕ້ອງຫຼາຍຕໍ່ກັບເຫດການ.

ທັງຫມົດນີ້ຫມາຍຄວາມວ່າແນວໃດ?

ຄວາມຊັບຊ້ອນທີ່ເພີ່ມຂຶ້ນຂອງການໂຈມຕີທາງອິນເຕີເນັດຮຽກຮ້ອງໃຫ້ມີການປະເມີນຄືນຢ່າງຮີບດ່ວນຂອງການປະຕິບັດການປ້ອງກັນດິຈິຕອນ. ການ​ຕິດ​ຕາມ​ກວດ​ກາ​ຈະ​ລາ​ຈອນ​ແມ່ນ​ຍັງ​ມີ​ຄວາມ​ຈໍາ​ເປັນ​, ແຕ່​ວ່າ​ມັນ​ບໍ່​ສາ​ມາດ​ເປັນ​ເສົາ​ຄ້​ພຽງ​ແຕ່​ຂອງ​ການ​ປົກ​ປັກ​ຮັກ​ສາ​. ການເບິ່ງເຫັນແບບກະຈ່າງແຈ້ງ, ດ້ວຍການວິເຄາະຕໍ່ເນື່ອງ, ບໍລິບົດ, ແລະທີ່ກ່ຽວຂ້ອງ, ກາຍເປັນສິ່ງຈຳເປັນໃນການກວດສອບ ແລະຫຼຸດຜ່ອນໄພຂົ່ມຂູ່ທີ່ເບິ່ງບໍ່ເຫັນ.

ການລົງທຶນໃນເທກໂນໂລຍີການຊອກຄົ້ນຫາແບບພິເສດແລະກົນລະຍຸດທີ່ພິຈາລະນາພຶດຕິກໍາຕົວຈິງຂອງລະບົບແມ່ນ, ໃນມື້ນີ້, ວິທີດຽວທີ່ມີປະສິດທິພາບທີ່ຈະປະເຊີນຫນ້າກັບສັດຕູທີ່ຮູ້ວິທີການຊ່ອນຢູ່ໃນສາຍຕາທໍາມະດາ.