ជាទូទៅ APTs តំណាងឱ្យកម្រិតខ្ពស់នៃគ្រោះថ្នាក់តាមអុីនធឺណិត ដោយសារតែការរួមបញ្ចូលគ្នានៃបច្ចេកទេសទំនើប ភាពអត់ធ្មត់គ្មានកំណត់ និងការលើកទឹកចិត្តខ្ពស់របស់តួអង្គដែលនៅពីក្រោយពួកគេ។ ការយល់ដឹងអំពីលក្ខណៈពិសេសទាំងនេះគឺជាជំហានដំបូងដ៏សំខាន់ក្នុងការបង្កើតយុទ្ធសាស្រ្តការពារដ៏រឹងមាំប្រឆាំងនឹងការគំរាមកំហែងទាំងនេះ។
ថ្មីៗនេះប្រទេសសឹង្ហបុរីបានធ្វើការប្រកាសជាសាធារណៈអំពីការវាយប្រហារដោយក្រុម APT មានឈ្មោះថា UNC3886 ទៅលើហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ (CII) របស់ខ្លួន ហើយបាននឹងកំពុងបន្តយ៉ាងសកម្ម។
APTs ខុសគ្នាពីការវាយប្រហារតាមអុីនធឺណិតភាគច្រើនដោយសារតែពួកវាមិនមែនជាការវាយប្រហារស្វ័យប្រវត្តិដោយមេរោគកុំព្យូទ័រធម្មតានោះទេ។ អ្នកវាយប្រហារនៅពីក្រោយ APTs គឺជាក្រុមឧក្រិដ្ឋជនអុីនធឺណិតដែលមានការរៀបចំល្អ ឬក្រុមដែលគាំទ្រដោយរដ្ឋ ដែលមានធនធាន ភាពអត់ធ្មត់ និងលទ្ធភាពបច្ចេកទេសដើម្បីរក្សាការវាយប្រហាររយៈពេលវែងប្រឆាំងនឹងគោលដៅជាក់លាក់។ នេះមានន័យថាការការពារតាមបែបប្រពៃណីដែលផ្តោតលើការទប់ស្កាត់ការវាយប្រហាររហ័ស ប្រហែលជាមិនគ្រប់គ្រាន់ដើម្បីទប់ទល់នឹង APTs នោះទេ។
១. កម្រិតខ្ពស់ (Advanced)
APTs ប្រើប្រាស់ព័ត៌មាន និងឧបករណ៍(tools) ចម្រុះ និងមានការវិវត្តជាប់ជានិច្ច។ ពួកគេប្រើបច្ចេកទេសកម្រិតខ្ពស់ដើម្បីគេចវេះពីការរកឃើញ និងអាចបត់បែនបានដើម្បីសម្របខ្លួនទៅនឹងវិធីសាស្ត្រការពារនៃក្រុមគោលដៅរបស់ពួកគេ។ ឧបករណ៍ទាំងនេះអាចរួមបញ្ចូលទាំងមេរោគកុំព្យូទ័រ បច្ចេកទេសប្រមូលព័ត៌មាន និងការប្រើប្រាស់បញ្ហាសុវត្ថិភាពដែលមិនទាន់ត្រូវបានរកឃើញ (zero-day vulnerabilities)។
ភាពកម្រិតខ្ពស់នេះសំដៅទៅលើសមត្ថភាពរបស់ពួកគេក្នុងការបង្កើត និងប្រើប្រាស់ឧបករណ៍ដែលមានលក្ខណៈទំនើប ដែលជាញឹកញាប់ត្រូវបានបង្កើតឡើងជាពិសេសសម្រាប់ប្រតិបត្តិការជាក់លាក់មួយ។ ពួកគេក៏អាចប្រើប្រាស់បច្ចេកទេសវិស្វកម្មសង្គមដ៏ស្មុគស្មាញ និងវិធីសាស្រ្តផ្សេងៗទៀតដើម្បីទទួលបានការចូលប្រើប្រាស់បណ្តាញគោលដៅ។
២. និរន្តរភាព (Persistent)
ការវាយប្រហារ APT ត្រូវបានរៀបចំសម្រាប់រយៈពេលយូរ។ ឧក្រិដ្ឋជនអុីនធឺណិតចំណាយពេលវេលានិងធនធានដើម្បីរក្សាការចូលដំណើរការប្រព័ន្ធគោលដៅរបស់ពួកគេ ជួនកាលរយៈពេលជាច្រើនខែ ឬឆ្នាំ។ ពួកគេបន្តនៅក្នុងប្រព័ន្ធដោយមិនមានការរាំងស្ទះ ដោយផ្តោតលើគោលដៅជាក់លាក់ និងប្រើវិធីសាស្ត្រវាយប្រហារយឺតដើម្បីបង្កើនឱកាសរបស់ពួកគេក្នុងការទទួលបានជោគជ័យ។
លក្ខណៈ “និរន្តរភាព” បង្ហាញថាអ្នកវាយប្រហារនឹងបន្តការខិតខំរបស់ពួកគេ ទោះបីជាមានឧបសគ្គក៏ដោយ រហូតដល់ពួកគេសម្រេចគោលបំណងចុងក្រោយរបស់ពួកគេ។ នេះរាប់បញ្ចូលទាំងការបង្កើតចំណុចចូលប្រើជាច្រើន (backdoors) និងយន្តការតស៊ូ ដើម្បីធានាថាពួកគេអាចចូលដំណើរការបានយូរអង្វែង។
៣. ការគំរាមកំហែង (Threat)
APTs ត្រូវបានអនុវត្តន៍ដោយតួអង្គដែលមានជំនាញខ្ពស់ និងមានការលើកទឹកចិត្តខ្ពស់ដែលមានគោលបំណងច្បាស់លាស់។ ពួកគេជាញឹកញាប់មានធនធានហិរញ្ញវត្ថុ បច្ចេកទេស និងមនុស្សច្រើន ហើយអាចមានការគាំទ្រពីរដ្ឋាភិបាល។ ជាមួយនឹងរចនាសម្ព័ន្ធ ការបណ្តុះបណ្តាល និងធនធានបែបនេះ ពួកគេអាចចាត់វិធានការសម្របសម្រួលសម្រាប់ការវាយប្រហាររយៈពេលវែង។
ពាក្យ “ការគំរាមកំហែង” គូសបញ្ជាក់អំពីសមត្ថភាព និងចេតនារបស់អ្នកវាយប្រហារ។ ពួកគេមិនមែនជាអ្នកវាយប្រហារឯកជន ឬក្រុមស្ម័គ្រចិត្តនោះទេ ប៉ុន្តែជាក្រុមដែលមានការរៀបចំយ៉ាងល្អ ដែលមានជំនាញបច្ចេកទេសខ្ពស់ និងការលើកទឹកចិត្តដ៏ខ្លាំងក្លា មិនថាជាការចារកម្ម រដ្ឋបាល ឬការលួចទ្រព្យសម្បត្តិបញ្ញាក៏ដោយ។ ពួកគេមានភាពអត់ធ្មត់ខ្ពស់ក្នុងការសម្រេចគោលដៅរបស់ពួកគេ។
សរុបសេចក្តី
ការសម្គាល់សំខាន់មួយទៀតនៃ APTs គឺថាក្រុមនេះត្រូវបានបង្កើតឡើងដើម្បីធ្វើប្រតិបត្តិការដោយលាក់កំបាំង និងមិនត្រូវបានរកឃើញក្នុងរយៈពេលយូរ។ នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារសម្រេចគោលបំណងរបស់ពួកគេដោយមិនបណ្តាលឱ្យមានការព្រួយបារម្ភឬការឆ្លើយតបពីអង្គភាពគោលដៅ។ ពួកគេចូលចិត្តធ្វើចលនាយឺតៗ និងដោយប្រុងប្រយ័ត្ននៅក្នុងបណ្តាញរបស់ជនរងគ្រោះ ដោយប្រមូលព័ត៌មាន និងពង្រីកសិទ្ធិចូលប្រើប្រាស់របស់ពួកគេ។
គោលដៅចម្បងរបស់ពួកគេគឺមិនមែនដើម្បីបំផ្លាញប្រព័ន្ធភ្លាមៗនោះទេ ប៉ុន្តែដើម្បីរក្សាវត្តមានសម្ងាត់ ដើម្បីបន្តលួចទិន្នន័យ ឬធ្វើប្រតិបត្តិការចារកម្មក្នុងរយៈពេលយូរ។ នេះធ្វើឱ្យការរកឃើញកាន់តែមានការលំបាក ហើយទាមទារឱ្យមានយុទ្ធសាស្ត្រការពារដែលផ្តោតលើការត្រួតពិនិត្យជាប្រចាំ និងការវិភាគឥរិយាបថដែលមិនប្រក្រតី៕
តើអ្នកយល់យ៉ាងដូចម្តេច?
