១. ព័ត៌មានទូទៅ
ការប្រមាញ់ការគំរាមកំហែង (threat hunting) គឺជាវិធីសាស្រ្តសកម្មដែលស្វែងរកការគំរាមកំហែងដែលលាក់កំបាំង និងមិនត្រូវបានស្គាល់ដែលលាក់ខ្លួននៅក្នុងបណ្តាញរបស់អង្គភាព។ អត្ថបទនេះបង្ហាញពីជំហានសំខាន់ៗដែលអ្នកប្រមាញ់ការគំរាមកំហែងប្រើដើម្បីស្វែងរកការគំរាមកំហែង និងរក្សាអង្គភាពឱ្យមានសុវត្ថិភាព។
ជំហានទី១៖ កំណត់គោលបំណងនៃការគំរាមកំហែង
ការកំណត់គោលដៅជាក់លាក់ធានាថាការប្រមាញ់ការគំរាមកំហែងនឹងត្រូវធ្វើឡើងនៅកន្លែងដែលមានសារៈសំខាន់បំផុត ហើយជួយក្នុងការផ្តោតលើវ៉ិចទ័រវាយប្រហារជាក់លាក់។ អ្នកប្រមាញ់ការគំរាមកំហែងគួរសួរសំណួរមួយចំនួនដូចជា “តើការគំរាមកំហែងអ្វីដែលប៉ះពាល់ដល់អង្គភាពខ្លាំងបំផុត?” ឬ “តើផ្នែកណាមួយនៃបណ្តាញរបស់អង្គភាពងាយរងគ្រោះជាងគេ?”។
ជំហានទី២៖ ប្រមូលនិងវិភាគទិន្នន័យ
ជំហានបន្ទាប់ក្នុងការប្រមាញ់ការគំរាមកំហែងពាក់ព័ន្ធនឹងការប្រមូលទិន្នន័យពីប្រភពផ្សេងៗលើបណ្តាញដូចជា កំណត់ហេតុ (logs), ចរាចរទិន្នន័យលើបណ្តាញ (network traffic), និងសកម្មភាពឧបករណ៍អ្នកប្រើប្រាស់ (endpoint activities) ដើម្បីទទួលបានទិដ្ឋភាពលម្អិតនៃសកម្មភាពបណ្តាញសម្រាប់យកទៅកំណត់អត្តសញ្ញាណភាពមិនប្រក្រតីដែលអាចបង្ហាញពីការគំរាមកំហែងដែលអាចកើតមាន។ កម្មវិធីវិភាគកម្រិតខ្ពស់ដូចជាប្រព័ន្ធព័ត៌មានសុវត្ថិភាពនិងគ្រប់គ្រងព្រឹត្តិការណ៍ (security information and event management systems–SIEM systems) ផ្តល់ឱ្យអ្នកប្រមាញ់នូវទិន្នន័យរួមដើម្បីពិនិត្យមើលទិន្នន័យនិងស្វែងរកភាពមិនប្រក្រតី។
ជំហានទី៣៖ បង្កើតសម្មតិកម្មស្ដីពីភាពមិនប្រក្រតី
នៅពេលដែលទិន្នន័យត្រូវបានប្រមូលនិងវិភាគរួច អ្នកប្រមាញ់ការគំរាមកំហែងបន្តទៅបង្កើតសម្មតិកម្មពីភាពមិនប្រក្រតី។ សម្មតិកម្មទាំងនេះផ្អែកលើព្រឹត្តិការណ៍គំរាមកំហែងដែលអាចកើតមាន និងជួយតម្រង់ទិសក្នុងការស្វែងរកសកម្មភាពមិនប្រក្រតី។ ជាឧទាហរណ៍ ប្រសិនបើមានព័ត៌មានពីឧក្រិដ្ឋកម្មសាយប័រថ្មីៗបង្ហាញពីការកើនឡើងនៃការប៉ុនប៉ងបន្លំ សម្មតិកម្មអាចជា “អ្នកវាយប្រហារអាចប្រើអ៊ីមែលបន្លំដើម្បីទទួលបានការជ្រៀតចូលបឋមទៅកាន់បណ្តាញ”។
ជំហានទី៤៖ ស៊ើបអង្កេត និងកំណត់អត្តសញ្ញាណការគំរាមកំហែង
នៅក្នុងដំណាក់កាលនេះ អ្នកប្រមាញ់ការគំរាមកំហែងស្វែងរកកត្តាបង្ហាញការជ្រៀតចូល (indicators of compromise–IoCs) ក្នុងបណ្តាញដោយផ្អែកលើសម្មតិកម្មដែលពួកគេបានបង្កើត។ កត្តាទាំងនេះអាចរួមមានការចូលប្រើប្រព័ន្ធដោយមិនប្រក្រតី (unusual login patterns), លំហូរទិន្នន័យគួរសង្ស័យ ឬការចូលប្រើប្រាស់ឯកសារសម្ងាត់ដោយគ្មានការអនុញ្ញាត។ ឧបករណ៍និងសុសវែរដូចជា សេវាកម្មស្វែងរកនិងឆ្លើយតបនឹងឧប្បត្តិហេតុលើឧបករណ៍អ្នកប្រើប្រាស់ (endpoint detection and response solutions—EDR) អាចផ្ដល់ភាពងាយស្រួលក្នុងដំណាក់កាលនេះដោយការផ្តល់នូវព័ត៌មានតាមពេលវេលាជាក់ស្តែងស្ដីពីសកម្មភាពលើបណ្តាញ។
ចំណែកសំខាន់មួយនៃជំហាននេះគឺការបែងចែកលទ្ធផលរកឃើញវិជ្ជមានមិនពិតពីលទ្ធផលបញ្ជាក់ពីគំរាមកំហែងវិជ្ជមានពិតប្រាកដ។ មិនមែនរាល់ភាពមិនប្រក្រតីដែលត្រូវបានរកឃើញសុទ្ធតែជាការវាយប្រហារសាយប័រទេ ដូច្នេះអ្នកប្រមាញ់ការគំរាមកំហែងត្រូវតែផ្ទៀងផ្ទាត់លទ្ធផលដែលបានរកឃើញដោយប្រុងប្រយ័ត្ន។
ជំហានទី៥៖ ទប់ស្កាត់ និងលុបបំបាត់ការគំរាមកំហែងពីក្នុងប្រព័ន្ធ
ប្រសិនបើការគំរាមកំហែងពិតប្រាកដត្រូវបានរកឃើញ ជំហានបន្ទាប់គឺការទប់ស្កាត់ (contain) និងការលុបបំបាត់ (eradicate) វាចេញពីប្រព័ន្ធបណ្ដាញរបស់ស្ថាប័ន។ ការទប់ស្កាត់រារាំងការគំរាមកំហែងពីការរីករាលដាល ខណៈដែលការលុបបំបាត់នឹងកម្ចាត់វាចេញពីប្រព័ន្ធទាំងស្រុង។ សកម្មភាពទាំងនេះអាចពាក់ព័ន្ធនឹងការផ្ដាច់ម៉ាស៊ីនឆ្លងមេរោគចេញពីប្រព័ន្ធ ការបិទចរាចរណ៍ទិន្នន័យពី IPs ព្យាបាទ ឬលុបគណនីដែលត្រូវអ្នកវាយប្រហារចូលបានចេញ។
ជំហានទី៦៖ ពិនិត្យ និងកែលម្អ
នៅពេលដែលការគម្រាមកំហែងត្រូវបានដោះស្រាយ វាដល់ពេលដែលត្រូវធ្វើការពិនិត្យឱ្យបានហ្មត់ចត់។ នេះពាក់ព័ន្ធនឹងការវិភាគនូវអ្វីដែលបានដំណើរការ អ្វីដែលមិនបានធ្វើ និងរបៀបដែលការគំរាមកំហែងអាចត្រូវបានរារាំង ឬរកឃើញក្នុងពេលឆាប់ៗនេះ។ ការយល់ដឹងដែលទទួលបានពីការពិនិត្យឡើងវិញនេះជួយពង្រឹងកិច្ចខិតខំប្រឹងប្រែងស្វែងរកការគំរាមកំហែងនាពេលអនាគត និងកាត់បន្ថយលទ្ធភាពនៃឧប្បត្តិហេតុស្រដៀងគ្នានេះ។
២. សារៈសំខាន់នៃការប្រមាញ់ការគំរាមកំហែង
ឧក្រិដ្ឋកម្មសាយប័រកំពុងវិវឌ្ឍឥតឈប់ឈរ ហើយអង្គភាពនានាមិនអាចពឹងផ្អែកតែលើឧបករណ៍ស្វ័យប្រវត្តិដើម្បីរក្សាសន្តិសុខនិងសុវត្ថិភាពប្រព័ន្ធបានទេ។ តាមរយៈការបញ្ចូលសកម្មភាពប្រមាញ់ការគំរាមកំហែងទៅក្នុងយុទ្ធសាស្ត្រសន្តិសុខសាយប័រ អង្គភាពឬស្ថាប័ននានាអាចការពារទិន្នន័យរបស់ពួកគេបានប្រសើរជាងមុន ធានាសុវត្ថិភាពបណ្តាញ និងរក្សាបរិយាកាសឌីជីថលប្រកបដោយសុវត្ថិភាពសម្រាប់អ្នកពាក់ព័ន្ធទាំងអស់។
៣. ឯកសារពាក់ព័ន្ធ
- – https://hackread.com/a-step-by-step-guide-to-how-threat-hunting-works/
