สำหรับบทความที่แล้วได้กล่าวถึงเรื่องของ Enterprise Tactic 14 ขั้นตอนในการแบ่งกลุ่มลักษณะพฤติกรรมในแต่ละช่วงของการโจมตีของเหล่าแฮกเกอร์นั้นเอง หรือเราจะนิยามอีกอย่างว่า Threat Actor นั้นเอง ในบทความนี้เราจะมาพูดถึง Enterprise Techniques กันต่อในด้านของการใช้วิธีการในการโจมตีและแน่นอนไม่สามารถที่จะนำมาชี้แจ้งวิธีการทั้งหมดได้

แต่สำหรับ MITRE ถ้าพูดถึงจำนวน Techniques Update ณ วันที่ 28/04/2021 มีจำนวน Techniques ทั้งสิ้น 178 วิธี และแยกย่อยเป็น Sub-Techniques ได้อีก 352 วิธีการ สามารถเข้าไปตรวจสอบเพิ่มเติมได้จาก https://attack.mitre.org/techniques/enterprise/

ยกตัวอย่างให้เห็นแบบนี้แล้วกัน

Techniques T1110 หรือ Brute Force นั้น สามารถแบ่ง Sub-Techniques ได้อีก 4 วิธีการ คือ

1. Password Guessing : การคาดเดาตัวรหัสผ่านตรงๆ หรือ ใช้รหัสผ่านที่มีการตั้งแบบง่ายๆ 1234 , 123456 เป็นต้น หรือกลุ่มของ Most Common Password นั่นเอง
2. Password Cracking : การนำตัวพาสเวิร์ดที่ถูกเข้ารหัสไว้มาถอดรหัส อาจจะได้จากการแฮคข้อมูลมาแล้ว หรือ OS Dumping เป็นต้น
3. Password Spraying : การนำรหัสผ่านที่ใช้กันแพร่หลายมาสุ่มเข้ากับตัวชื่อผู้ใช้ โดยใช้ทีละรหัสผ่านไปเรื่อยๆ จะตรงกันข้ามกับการทำงานของ Brute Force ที่สนใจแค่ 1 ชื่อผู้ใช้งานแต่หลากหลายรหัสผ่าน
4. Credential Stuffing : การนำรหัสผ่านที่ได้จากการโจมตีหรือเคยรั่วไหล ไปลองใช้งานกับระบบอื่นๆ มักจะกระทบในวงกว้าง ณ ปัจจุบันเพราะมีการนำชื่อผู้ และ รหัสผ่านไปใช้งานเหมือนกันหลายระบบ

ดังนั้นแต่ละหัวข้อใหญ่ๆ ใน Techniques นั้นก็จะมีแบ่งแยกย่อยได้อีกขึ้นอยู่กับวิธีการที่นำไปใช้หรือการที่สามารถระบุได้ถึงกระบวนการที่จะก่อให้เกิดภัยคุกคามได้นั้นเอง ดังนั้นการระบุวิธีการให้ได้ทำให้เราสามารถเข้าถึงวิธีการปกป้อง หรือ จัดการกำหนดมาตรการด้านความมั่นคงปลอดภัยไซเบอร์ต่อได้อย่างง่าย โดนปัจจุบันนั้นหลายๆระบบมีการอ้างอิงการใช้ทั้ง Tactic และ Techniques จาก MITRE ATT&CK; ไปใช้งานนการออกแบบ Dashboard และ รูปแบบรายงานทำให้สามารถอ้างอิงได้ง่าย ยกตัวอย่างเช่น

Refer : https://www.fireeye.com/mandiant/security-validation/mitre-attack-dashboard.html

Refer : https://splunkbase.splunk.com/app/4617/

Refer : https://logrhythm.com/press-releases/logrhythm-aligns-platform-with-mitres-adversarial-tactics-techniques-and-common-knowledge-attack-matrix/

นอกเหนือจากนั้นก็มีหลายบทความจากผู้เชี่ยวชาญที่จัดอันดับ วิธ๊การ Techniques ที่ใช้บ่อยในแต่ละปีอีกด้วยตัวอย่างเช่น

จาก https://vfeed.io/

หวังว่าผู้อ่านจะเข้าใจนิยามของ MITRE ATT&CK; ในมุมมองที่กว้างขึ้นและสามารถนำข้อมูลที่มีประโยชน์นี้ไปใช้งานกับการต่อต้านภัยคุกคามที่จะเกิดขึ้นกับองค์กรไม่มากก็น้อย พร้อมทั้งยังสามารถเข้าใจวิธีการ กระบวนการผลกระทบที่จะเกิดขึ้นจากแต่ละวิธีการโจมตีด้วย ดังนั้นหากเริ่มสนใจรายละเอียดกระบวนการที่มากขึ้น ไว้โอกาสหน้าอาจจะมาแนะนำ Open Source เจ๋งๆ ที่นำ MITRE ATT&CK; มาประยุกต์ใช้เพื่อเอาไว้ทดสอบระบบในบทความต่อๆไป