Lateral Movement ใน Cybersecurity คืออะไร?

ให้ลองจินตนาการว่ามีขโมยแอบลอบเข้าไปในอาคารแห่งหนึ่ง แน่นอนว่าเป้าหมายของขโมยไม่ใช่การโจรกรรมของที่เห็นชิ้นแรก แต่เป็นการเคลื่อนที่อย่างเงียบๆ จากห้องหนึ่งไปยังอีกห้องหนึ่ง เพื่อค้นหาเอกสารสำคัญหรือกุญแจที่จะไปเปิดห้องที่มีทรัพย์สินที่มีมูลค่าสูงกว่า การกระทำลักษณะนี้เปรียบได้กับ Lateral Movement ในโลกของ Cybersecurity

Lateral Movement คือ กลยุทธ์ที่แฮกเกอร์ใช้หลังจากที่เข้าถึงเครือข่าย โดยแทนที่จะเร่งรีบขโมยข้อมูลหรือสร้างความเสียหายทันที แฮกเกอร์จะสำรวจเครือข่ายขององค์กร อาจเพื่อค้นหาบัญชีผู้ใช้ที่มีสิทธิ์เข้าถึงระดับสูง ระบบที่มีความสำคัญ หรือข้อมูลที่ละเอียดอ่อน ซึ่งเทคนิคนี้เป็นลักษณะเด่นของการโจมตีทางไซเบอร์ที่มีความซับซ้อน เช่น มัลแวร์เรียกค่าไถ่ (Ransomware) หรือการสอดแนมระบบ (Espionage) เป็นต้น

ดังนั้น การทำความเข้าใจ Lateral Movement มีความสำคัญอย่างยิ่งสำหรับทุกองค์กร โดยเฉพาะบริษัทขนาดเล็กและขนาดกลางที่อาจขาดบุคลากรด้านความปลอดภัยทางไซเบอร์ เพราะหากไม่สามารถตรวจจับการเข้าสู่ระบบได้ แฮกเกอร์อาจสามารถอยู่ในเครือข่ายขององค์กรได้นานหลายสัปดาห์หรือหลายเดือน พร้อมขยายสิทธิ์และเข้าควบคุมระบบอย่างต่อเนื่อง

บทความนี้จะพาคุณไปทำความเข้าใจว่า Lateral Movement คืออะไร ทำงานอย่างไร วิธีการที่แฮกเกอร์มักใช้ และแนวทางที่องค์กรจะตรวจจับและหยุดยั้งการโจมตีลักษณะนี้

ความหมายและคำจำกัดความของ Lateral Movement

Lateral Movement หมายถึงกระบวนการที่แฮกเกอร์ใช้หลังเจาะเข้าสู่จุดใดจุดหนึ่งในเครือข่ายได้สำเร็จ โดยจะเคลื่อนที่ข้ามระบบและบัญชีผู้ใช้งาน เพื่อค้นหาทรัพย์สินที่มีค่าหรือสิทธิ์การเข้าถึงที่สูงขึ้น ต่างจากการโจมตีแบบเดิมที่มักจะตรวจจับได้และสร้างความวุ่นวาย โดย Lateral Movement เป็นการดำเนินการที่เงียบและมีการวางแผนอย่างรอบคอบ ซึ่งมักตรวจจับได้ยาก เนื่องจากแฮกเกอร์จะเลียนแบบพฤติกรรมของผู้ใช้งานตามปกติ โดยเป้าหมายคือการเข้าถึงระบบที่มีคุณค่าสูง เช่น Domain Controller เซิร์ฟเวอร์ทางการเงิน หรือทรัพย์สินทางปัญญาต่างๆ โดยไม่ทำให้ระบบแจ้งเตือนทำงาน ซึ่งเทคนิคนี้เป็นส่วนหนึ่งในกลยุทธ์การโจมตีขนาดใหญ่ที่ใช้เพื่อเพิ่มระดับการเข้าถึงและการควบคุมให้ได้มากที่สุด

Lateral Movement ช่วยให้เกิดการโจมตีประเภทใดบ้าง?

ทั้งนี้ Lateral Movement ไม่ใช่การโจมตีทางไซเบอร์โดยตรง แต่เป็นเทคนิคที่ช่วยอำนวยความสะดวกให้กับการโจมตีทางไซเบอร์อื่นๆ ซึ่งการที่แฮกเกอร์สามารถเคลื่อนผ่านระบบเครือข่ายได้ อาจทำให้เกิดอันตรายหลายประการ ได้แก่

Advanced Persistent Threats (APTs)

กลุ่มแฮกเกอร์ที่มีทักษะสูงอาจใช้เทคนิค Lateral Movement เพื่อแอบแฝงอยู่ในเครือข่ายในระยะยาว พร้อมรวบรวมข้อมูลข่าวสาร โจรกรรมข้อมูลที่ละเอียดอ่อน ซึ่งอาจแฝงตัวโดยไม่ถูกตรวจจับเป็นเวลาหลายเดือนหรือแม้กระทั่งหลายปี

การโจมตีด้วย Ransomware

แฮกเกอร์อาจใช้ Lateral Movement เพื่อกระจาย Ransomware ไปยังระบบอื่นๆ ทั่วทั้งเครือข่ายขอองค์กร ซึ่งสิ่งนี้อาจเพิ่มความเสียหายต่อทรัพย์สิน พร้อมสร้างอำนาจต่อรองของแฮกเกอร์ เนื่องจากระบบสำคัญหลายระบบถูกเข้ารหัสพร้อมกันเพื่อเรียกค่าไถ่จากธุรกิจ

• การเปิดเผยหรือขโมยข้อมูล

ด้วยเทคนิค Lateral Movement แฮกเกอร์สามารถเข้าถึงฐานข้อมูล เซิร์ฟเวอร์จัดเก็บไฟล์ หรือแม้แต่ทรัพยากรบนคลาวด์ที่จัดเก็บข้อมูลที่เป็นความลับ จากนั้นพวกจึงสามารถขโมยหรือเผยแพร่ข้อมูลเหล่านี้สู่สาธารณะ ทำให้เกิดความเสียหายทางการเงินและชื่อเสียงของธุรกิจ

• การขยายสิทธิ์และการควบคุมระบบเทคนิค 

Lateral Movement ช่วยให้แฮกเกอร์ค้นหาบัญชีผู้ใชงานที่มีสิทธิ์เป็นผู้ดูแลระบบ (Admin) และใช้สิทธิ์เหล่านี้ทำให้แฮกเกอร์สามารถควบคุมโครงสร้างพื้นฐานที่สำคัญของธุรกิจได้ จากนั้นแฮกเกอร์อาจปิดการทำงานของเครื่องมือด้านความปลอดภัย หรือฝัง Backdoor เอาไว้เพื่อเข้าถึงระบบในอนาคต

• ภัยคุกคามจากภายใน (Insider Threats)

พนักงานที่มีเจตนาร้ายหรือถูกแฮกเกอร์บุกรุกอาจใช้เทคนิค Lateral Movement เพื่อเข้าถึงระบบที่อยู่นอกเหนือสิทธิ์ปกติของบัญชีเหล่านั้น ทำให้ความเสี่ยงและผลกระทบที่อาจเกิดขึ้นจากการละเมิดภายในสูงขึ้น

โดยสรุป Lateral Movement คือ ตัวการเบื้องหลังของโจมตีทางไซเบอร์ที่ซับซ้อนและสร้างความเสียหายมากมาย กล่าวได้ว่า การตรวจจับและป้องกันเป็นองค์ประกอบสำคัญของการรักษาความปลอดภัยทางไซเบอร์

Lateral Movement ทำงานอย่างไร?

1. การเข้าถึงครั้งแรก

• Lateral Movement ทุกครั้งเริ่มต้นด้วยการที่แฮกเกอร์สร้าง “จุดยึด” ในเครือข่าย ผ่านวิธีการต่างๆ ได้แก่
• อีเมลฟิชชิง Phishingที่หลอกลวงผู้ใช้งานให้เปิดไฟล์แนบที่เป็นอันตรายหรือคลิกลิงก์แฝงมัลแวร์เอาไว้
• การใช้ช่องโหว่ของซอฟต์แวร์ในแอปพลิเคชันหรือระบบปฏิบัติการที่เปิดเผยอยู่

ข้อมูล Credential ที่ถูกบุกรุกเช่น ชื่อผู้ใช้และรหัสผ่านที่ได้มาจากการรั่วไหลของข้อมูลหรือการโจมตีด้วยการเดารหัสผ่าน (Brute-Force Attack)

เมื่อเจาะเข้าสู่ระบบได้แล้ว แฮกเกอร์มักจะไม่ดำเนินการทันที แต่จะพยายามแอบแฝงตัวในระบบและสำรวจเครือข่าย

2.สำรวจภายใน (Internal Exploration)

• หลังจากเข้าถึงระบบได้ในครั้งแรก แฮกเกอร์จะรวบรวมข้อมูลเกี่ยวกับสภาพแวดล้อมภายในเครือข่าย ซึ่งขั้นตอนนี้ช่วยให้แฮกเกอร์สามารถระบุได้ว่าจะโจมตีระบบใดต่อไป
• แฮกเกอร์อาจสแกนหาอุปกรณ์อื่นๆ ที่เชื่อมต่ออยู่ พอร์ตที่เปิดอยู่ และบริการที่กำลังดำเนินงานเครื่องมือต่างๆ เช่น Netstat, Nmap หรือคำสั่งที่มีอยู่ใน Windows อาจถูกใช้เพื่อวางแผนที่โครงสร้างเครือข่าย
• แฮกเกอร์จะตรวจสอบว่าผู้ใช้คนใดกำลังเข้าสู่ระบบอยู่ และมีข้อมูล Credential ที่ถูก Cache หรือ Session ที่บันทึกไว้ที่แฮกเกอร์สามารถใช้ประโยชน์ได้หรือไม่

ยิ่งแฮกเกอร์สามารถทำความเข้าใจสภาพแวดล้อมได้มากเท่าไหร่ ก็ยิ่งสามารถวางแผน Lateral Movement ได้อย่างมีประสิทธิภาพมากขึ้นเท่านั้น

3. ขโมยข้อมูล Credential และขยายสิทธิ์

ในการเคลื่อนที่ข้ามเครือข่าย แฮกเกอร์มักจะต้องการข้อมูล Crendential ที่มีระดับสูงกว่าข้อมูลผู้ใช้งานที่ขโมยมาครั้งแรก โดยแฮกเกอร์จะทำสิ่งนี้ผ่านวิธีการต่างๆ เช่น

• Credential Dumping- การดึงรหัสผ่านหรือ Hash ของรหัสผ่านที่เก็บอยู่ในหน่วยความจำหรือไฟล์ระบบ โดยอาจใช้เครื่องมือเช่น Mimikatz เป็นต้น
• Keylogging หรือการขโมย Token- ติดตามกิจกรรมของผู้ใช้งานเพื่อรวบรวมข้อมูลการเข้าล็อกอินสู่ระบบ
• การขยายสิทธิ์ (Privilege Escalation) - แฮกเกอร์ใช้ประโยชน์จากการตั้งค่าที่ผิดพลาด หรือช่องโหว่เพื่อให้ได้มาซึ่งสิทธิ์ระดับ Admin แก่ตนเอง

ณ จุดนี้ แฮกเกอร์สามารถปลอมตัวเป็นผู้ใช้งานหรือแอดมินผู้ดูแลระบบ และเข้าถึงระบบที่ปกติแล้วจะไม่สามารถเข้าถึงได้

4. Lateral Movement ที่แท้จริง

เมื่อมีข้อมูล Credential ที่ถูกต้องและรู้เกี่ยวกับโครงสร้างเครือข่ายแล้ว แฮกเกอร์จะเริ่ม Lateral Movement ดังนี้

• แฮกเกอร์จะเข้าถึงอุปกรณ์อื่นๆ จากระยะไกล โดยใช้โปรโตคอลที่ถูกต้อง เช่น RDP (Remote Desktop Protocol), SMB (Server Message Block) หรือ WMI (Windows Management Instrumentation)
• แฮกเกอร์อาจใช้ Script อัตโนมัติหรือเครื่องมือเพื่อคัดลอก Malware หรือฝัง Backdoor ไปยังเครื่องเป้าหมาย
• เนื่องจากแฮกเกอร์มีข้อมูล Credential และเข้าถึงเครื่องมือที่มีอยู่ในระบบ กิจกรรมนี้มักจะหลบเลี่ยงการตรวจสอบความปลอดภัยขั้นพื้นฐานได้

Lateral Movement สามารถดำเนินต่อไปได้เป็นเวลาหลายวันหรือหลายสัปดาห์ ในขณะที่แฮกเกอร์มุ่งสู่เป้าหมายหลัก

ตัวอย่าง Cyber Attack ที่เกี่ยวข้องกับ Lateral Movement

• Ryuk Ransomware

การโจมตีด้วย Ryuk Ransomware มักเริ่มต้นด้วยอีเมลฟิชชิง (Phishing) หรือไฟล์ที่ติดไวรัส เมื่อเข้าสู่เครือข่ายแล้ว ผู้โจมตีจะใช้เครื่องมือเช่น Cobalt Strike และ RDP เพื่อเคลื่อนที่แบบ Lateral Movement พร้อมระบุและเข้ารหัสระบบที่มีคุณค่าสูง เช่น เซิร์ฟเวอร์ไฟล์หรือไดรฟ์สำรอง

• การโจมตี Supply Chain ของ SolarWinds

ในการละเมิดความปลอดภัยที่โด่งดังครั้งนี้ แฮกเกอร์ได้ทำการบุกรุกซอฟต์แวร์ Orion ของ SolarWinds และแพร่กระจายมัลแวร์ผ่านการอัปเดตซอฟต์แวร์ หลังจากแฮกเกอร์เข้าถึงเครือข่ายขององค์กรได้แล้ว จะใช้เทคนิค Lateral Movement เพื่อโจมตีระบบของภาครัฐและภาคเอกชน ซึ่งสามารถแฝงตัวอยู่ในระบบได้หลายเดือน

5 ระยะของ Lateral Movement

1. การสอดแนม (Reconnaissance)

อันดับแรก แฮกเกอร์จะสำรวจเครือข่าย ระบบ ผู้ใช้งาน และเป้าหมายที่มีคุณค่า โดยเครื่องมือและเทคนิคอาจรวมถึงการสแกน Port, DNS Query และวิเคราะห์ Traffic

2. การเข้าถึงครั้งแรก (Initial Access)

แฮกเกอร์สามารถเข้าสู่ระบบขององค์กรผ่านฟิชชิง (Phishing) เครื่องมือ Exploit Kits หรือข้อมูล Credentials เพื่อบุกรุกระบบจากระยะไกล

3. การเข้าถึงข้อมูล Credential

แฮกเกอร์สามารถเข้าถึงข้อมูล Credential เพิ่มเติมผ่านการ Dumping, Harvesting หรือเดารหัสผ่าน (Brute Force)

4. Lateral Movement

แฮกเกอร์จะใช้ข้อมูล Credentials ที่รวบรวมได้ เพื่อเคลื่อนที่ระหว่างระบบต่างๆ เพื่อขยายการเข้าถึงในเครือข่ายองค์กร

5. ดำเนินการตามวัตถุประสงค์

แฮกเกอร์จะดำเนินการตามเป้าหมายที่วางไว้ ไม่ว่าจะเป็นการโจรกรรมข้อมูล เข้าควบคุมระบบ หรือแพร่กระจาย Ransomware ซึ่งบ่อยครั้งที่แฮกเกอร์จะแฝงตัวอยู่ในระบบเพื่อกลับเข้าสู่ระบบในภายหลัง

ระยะการดำเนินการทั้ง 5 ขั้นตอนนี้สามารถวนซ้ำเป็นวงจรได้ หากธุรกิจขาดกระบวนการตรวจจับที่มีประสิทธิภาพ

วิธีการตรวจจับ Lateral Movement

การตรวจจับ Lateral Movement อาจเป็นเรื่องยาก เนื่องจากลักษณะที่ดูคล้ายกับกิจกรรมปกติทั่วไปภายในระบบ อย่างไรก็ตาม ด้วยเครื่องมือและแนวทางปฏิบัติที่เหมาะสม องค์กรจะสามารถตรวจจับได้ตั้งแต่เนิ่นๆ

การตรวจสอบ Log และ Traffic

แนะนำให้ติดตาม Log ดังนี้

• Log การยืนยันตัวตน(Windows Event ID 4624/4625 สำหรับการเข้าสู่ระบบ)
• Log การเข้าถึงระยะไกล(Remote Access)
• Network Trafficระหว่างอุปกรณ์ปลายทาง (Endpoint) ต่างๆ

แนะนำให้มองหารูปแบบการเข้าสู่ระบบที่ผิดปกติ เช่น

• การเข้าสู่ระบบจากอุปกรณ์ใหม่หรือไม่ได้รับอนุญาตอย่างถูกต้อง
• การเข้าถึงระบบในเวลาที่ผิดปกติไปจากเดิม
• การเข้าถึงหลายๆ ระบบ พร้อมๆ กัน

User and Entity Behavior Analytics (UEBA)

แพลตฟอร์ม UEBA ใช้ AI ใน Cybersecurity และ Machine Learning เพื่อตรวจจับความผิดแปลกไปจากพฤติกรรมผู้ใช้งานเดิม เช่น หากเครื่องคอมพิวเตอร์ของพนักงานบัญชีเริ่มใช้สคริปต์ PowerShell หรือเข้าถึงเซิร์ฟเวอร์ไอทีอย่างกะทันหัน อาจบ่งชี้ได้ว่าระบบถูกบุกรุก

Endpoint Detection and Response (EDR)

โซลูชัน EDR สามารถติดตามอุปกรณ์ปลายทางแต่ละเครื่อง เพื่อหาสัญญาณของกิจกรรมที่น่าสงสัย เช่น การใช้เครื่องมือ Lateral หรือการเข้าถึงข้อมูลรับรองบนหน่วยความจำ โดยปัจจุบันมีโซลูชันเช่น Microsoft Defender for Endpoint, CrowdStrike Falcon หรือ SentinelOne มีความสามารถ EDR ที่แข็งแกร่ง

Security Information and Event Management (SIEM)

เครื่องมือ SIEM มีฟังก์ชันการรวบรวม Log และแจ้งเตือนจากโครงสร้างพื้นฐานทั้งหมด เพื่อเชื่อมโยงเหตุการณ์และสามารถระบุเส้นทางของ Lateral Movement ที่เป็นไปได้ โดยเฉพาะเมื่อผสานรวมกับ Threat Intelligence Feeds

แนวทางการป้องกัน Lateral Movement

องค์กรควรบังคับใช้สิทธิ์การเข้าถึงข้อมูลแบบ Least Privilege โดยพนักงานควรมีสิทธิ์เข้าถึงเฉพาะทรัพยากรที่จำเป็นต่อการทำงานเท่านั้น เพื่อจำกัดสิทธิ์ Admin ให้แก่ผู้ดูแลระบบโดยเฉพาะ พร้อมทำการตรวจสอบการอนุญาตการเข้าถึงเป็นประจำ และควรหลีกเลี่ยงการแชร์ข้อมูล Credential ของ Admin ผู้ดูแลระบบ

• ใช้การแบ่งส่วนเครือข่าย (Network Segmentation)

แบ่งเครือข่ายของคุณออกเป็นส่วนที่แยกจากกัน ตัวอย่างเช่น ระบบ HR ควรแยกจากฐานข้อมูลการผลิต แม้ว่าพื้นที่หนึ่งจะถูกบุกรุก การแบ่งส่วนจะจำกัดระยะทางที่แฮกเกอร์สามารถไปได้

• ใช้การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication - MFA)

ระบบ MFA เพิ่มชั้นความปลอดภัยเพิ่มเติมให้แก่องค์กร เพราะแม้แฮกเกอร์จะขโมยรหัสผ่านได้ ก็จะไม่สามารถเข้าสู่ระบบได้หากปราศจากการยืนยันตัวตนที่ถูกต้อง ไม่ว่าจะเป็นการแจ้งเตือนทางโทรศัพท์ การใช้ Token หรือ Biometric

• ปัดอัพเดตแพตช์ระบบอย่างรวดเร็ว

ระบบที่ไม่ได้อัปเดตแพตช์มักตกเป็นเป้าหมายของแฮกเกอร์ ดังนั้นองค์กรควรอัปเดตด้านความปลอดภัยกับระบบปฏิบัติการ แอปพลิเคชัน และเฟิร์มแวร์เป็นประจำ โดยอาจใช้ระบบการจัดการแพตช์อัตโนมัติ เพื่อรักษาความสม่ำเสมอในการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ

• ใช้สถาปัตยกรรม Zero Trust

องค์กรสามารถนำแนวคิด "Never Trust, Always Verify" มาใช้ในการเข้าถึงระบบ โดยปฏิบัติต่อผู้ใช้งานและอุปกรณ์ทั้งภายในและภายนอกเครือข่ายว่าไม่น่าเชื่อถือโดยเริ่มต้น พร้อมต้องการการยืนยันตัวตนและการอนุญาตอย่างต่อเนื่อง

ทำไม Lateral Movement จึงส่งผลสำคัญต่อธุรกิจขนาดเล็ก

ความเสี่ยงที่เกิดจาก Lateral Movement ไม่ใช่เรื่องที่น่ากังวลเฉพาะบริษัทขนาดใหญ่เท่านั้น ในความเป็นจริง ธุรกิจขนาดเล็กมักจะมีความเสี่ยงมากกว่า เนื่องด้วยทรัพยากรในการรักษาความปลอดภัยที่อ่อนแอกว่า ทำให้แฮกเกอร์สามารถสร้างจุดยึดและสอดแนมระบบได้ง่ายกว่า

ผลที่ตามมาอาจร้ายแรงต่อธุรกิจ ไม่ว่าจะเป็นการสูญเสียข้อมูลที่ละเอียดอ่อน ระบบถูกล็อกด้วยมัลแวร์เรียกค่าไถ่ หรือแม้กระทั่งการถูกลงโทษตามกฎหมายการรักษาความเป็นส่วนตัวของข้อมูล แต่ด้วยความเข้าใจ การตรวจสอบอย่างระมัดระวัง และการป้องกันหลายชั้น องค์กรก็จะสามารถลดความเสี่ยงนี้ได้อย่างมีประสิทธิภาพ

เริ่มต้นจากสิ่งที่คุณควบคุมได้เช่น เสริมความแข็งแกร่งในการป้องกันข้อมูล Credential ทำ Network Segmentation และตรวจสอบอย่างสม่ำเสมอ พร้อมลงทุนในเครื่องมือที่ปรับขนาดได้ เช่น EDR หรือ MDR (Managed Detection and Response) กล่าวได้ว่าการป้องกัน Lateral Movement อาจเป็นแนวทางป้องกันที่ดีที่สุดขององค์กรคุณต่อการโจมตีทางไซเบอร์เต็มรูปแบบ

นอกจากนี้ การใช้เครื่องมือขั้นสูงเช่น AI Cybersecurity และการทำ Penetration Testing เป็นประจำจะช่วยเสริมความแข็งแกร่งให้กับระบบป้องกัน รวมถึงการเตรียมแผน Disaster Recovery ที่เหมาะสม เพื่อรับมือกับเหตุการณ์ไม่คาดคิด

คำถามที่พบบ่อยเกี่ยวกับ Lateral Movement