វិស្វករបណ្តាញ នៅលើផ្ទៃខាងលើ គ្រាន់តែជា "កម្មករបច្ចេកទេស" ដែលបង្កើត បង្កើនប្រសិទ្ធភាព និងដោះស្រាយបញ្ហាបណ្តាញ ប៉ុន្តែតាមពិតទៅ យើងគឺជា "ខ្សែការពារទីមួយ" ក្នុងសន្តិសុខតាមអ៊ីនធឺណិត។ របាយការណ៍ CrowdStrike ឆ្នាំ 2024 បានបង្ហាញថា ការវាយប្រហារតាមអ៊ីនធឺណិតទូទាំងពិភពលោកបានកើនឡើង 30% ដោយក្រុមហ៊ុនចិនទទួលរងការខាតបង់លើសពី 50 ពាន់លានយ័ន ដោយសារតែបញ្ហាសន្តិសុខតាមអ៊ីនធឺណិត។ អតិថិជនមិនខ្វល់ថាអ្នកជាអ្នកឯកទេសប្រតិបត្តិការ ឬសន្តិសុខទេ។ នៅពេលដែលមានឧប្បត្តិហេតុបណ្តាញកើតឡើង វិស្វករគឺជាអ្នកដំបូងដែលទទួលខុសត្រូវ។ មិនត្រូវនិយាយពីការទទួលយកយ៉ាងទូលំទូលាយនៃ AI, 5G និងបណ្តាញ cloud ដែលធ្វើឱ្យវិធីសាស្ត្រវាយប្រហាររបស់ពួក Hacker កាន់តែមានភាពស្មុគស្មាញ។ មានការបង្ហោះដ៏ពេញនិយមមួយនៅលើ Zhihu ក្នុងប្រទេសចិនថា "វិស្វករបណ្តាញដែលមិនរៀនសន្តិសុខកំពុងកាត់ផ្តាច់ផ្លូវគេចខ្លួនរបស់ពួកគេ!" សេចក្តីថ្លែងការណ៍នេះ ទោះបីជាធ្ងន់ធ្ងរក៏ដោយ ក៏នៅតែជាការពិត។
នៅក្នុងអត្ថបទនេះ ខ្ញុំនឹងផ្តល់នូវការវិភាគលម្អិតអំពីការវាយប្រហារបណ្តាញទូទៅចំនួនប្រាំបី ចាប់ពីគោលការណ៍ និងការសិក្សាករណីរបស់ពួកគេ រហូតដល់យុទ្ធសាស្ត្រការពារ ដោយរក្សាវាឱ្យជាក់ស្តែងតាមដែលអាចធ្វើទៅបាន។ មិនថាអ្នកជាអ្នកចំណូលថ្មី ឬជាអតីតយុទ្ធជនដែលមានបទពិសោធន៍ដែលកំពុងស្វែងរកការជំរុញជំនាញរបស់អ្នកទេ ចំណេះដឹងនេះនឹងផ្តល់ឱ្យអ្នកនូវការគ្រប់គ្រងកាន់តែច្រើនលើគម្រោងរបស់អ្នក។ ចូរចាប់ផ្តើម!
ការវាយប្រហារ DDoS លេខ 1
ការវាយប្រហារแบบ Distributed Denial-of-Service (DDoS) គ្របដណ្ដប់លើម៉ាស៊ីនមេគោលដៅ ឬបណ្តាញដែលមានចរាចរណ៍ក្លែងក្លាយយ៉ាងច្រើន ដែលធ្វើឱ្យអ្នកប្រើប្រាស់ស្របច្បាប់មិនអាចចូលប្រើបាន។ បច្ចេកទេសទូទៅរួមមាន SYN flooding និង UDP flooding។ នៅឆ្នាំ 2024 របាយការណ៍ Cloudflare បានបង្ហាញថា ការវាយប្រហារ DDoS មានចំនួន 40% នៃការវាយប្រហារបណ្តាញទាំងអស់។
នៅឆ្នាំ ២០២២ វេទិកាពាណិជ្ជកម្មអេឡិចត្រូនិកមួយបានរងការវាយប្រហារដោយ DDoS មុនទិវា Singles' Day ដោយចរាចរណ៍ខ្ពស់បំផុតឈានដល់ 1Tbps ដែលបណ្តាលឱ្យគេហទំព័រគាំងរយៈពេលពីរម៉ោង និងបណ្តាលឱ្យខាតបង់រាប់សិបលានយ័ន។ មិត្តភ័ក្តិម្នាក់របស់ខ្ញុំទទួលបន្ទុកការឆ្លើយតបក្នុងគ្រាអាសន្ន ហើយស្ទើរតែឆ្កួតនឹងសម្ពាធនេះ។
តើធ្វើដូចម្តេចដើម្បីទប់ស្កាត់វា?
○ការសម្អាតលំហូរ៖ដាក់ពង្រាយសេវាកម្មការពារ CDN ឬ DDoS (អ្នកប្រហែលជាត្រូវការ Mylinking™ Inline Bypass Tap/Switch) ដើម្បីត្រងចរាចរណ៍ព្យាបាទ។
○ភាពលើសលប់នៃកម្រិតបញ្ជូន៖បម្រុងទុក 20%-30% នៃកម្រិតបញ្ជូន ដើម្បីទប់ទល់នឹងការកើនឡើងនៃចរាចរណ៍ភ្លាមៗ។
○សំឡេងរោទិ៍ត្រួតពិនិត្យ៖ប្រើឧបករណ៍ (អ្នកប្រហែលជាត្រូវការ Mylinking™ Network Packet Broker) ដើម្បីតាមដានចរាចរណ៍ក្នុងពេលវេលាជាក់ស្តែង និងជូនដំណឹងអំពីភាពមិនប្រក្រតីណាមួយ។
○ផែនការសង្គ្រោះបន្ទាន់សហការជាមួយ ISP ដើម្បីប្តូរខ្សែទូរស័ព្ទ ឬទប់ស្កាត់ប្រភពវាយប្រហារបានយ៉ាងឆាប់រហ័ស។
ការចាក់ SQL លេខ 2
ពួក Hacker ចាក់កូដ SQL ដែលមានគំនិតអាក្រក់ចូលទៅក្នុងវាលបញ្ចូលគេហទំព័រ ឬ URL ដើម្បីលួចព័ត៌មានមូលដ្ឋានទិន្នន័យ ឬបំផ្លាញប្រព័ន្ធ។ នៅឆ្នាំ 2023 របាយការណ៍ OWASP បានបញ្ជាក់ថា ការចាក់ SQL នៅតែជាការវាយប្រហារគេហទំព័រកំពូលទាំងបី។
គេហទំព័ររបស់សហគ្រាសខ្នាតតូច និងមធ្យមមួយត្រូវបានលួចចូលដោយពួក Hacker ដែលបានបញ្ចូលសេចក្តីថ្លែងការណ៍ "1=1" ដែលអាចទទួលបានពាក្យសម្ងាត់របស់អ្នកគ្រប់គ្រងយ៉ាងងាយស្រួល ពីព្រោះគេហទំព័រនេះមិនអាចត្រងការបញ្ចូលរបស់អ្នកប្រើប្រាស់បាន។ ក្រោយមកវាត្រូវបានគេរកឃើញថាក្រុមអភិវឌ្ឍន៍មិនបានអនុវត្តការផ្ទៀងផ្ទាត់ការបញ្ចូលទាល់តែសោះ។
តើធ្វើដូចម្តេចដើម្បីទប់ស្កាត់វា?
○សំណួរដែលមានប៉ារ៉ាម៉ែត្រ៖អ្នកអភិវឌ្ឍន៍ Backend គួរតែប្រើសេចក្តីថ្លែងការណ៍ដែលបានរៀបចំរួច ដើម្បីជៀសវាងការភ្ជាប់ SQL ដោយផ្ទាល់។
○នាយកដ្ឋាន WAF៖ជញ្ជាំងភ្លើងកម្មវិធីគេហទំព័រ (ដូចជា ModSecurity) អាចរារាំងសំណើដែលមានគំនិតអាក្រក់។
○ការត្រួតពិនិត្យជាប្រចាំ៖ប្រើឧបករណ៍ (ដូចជា SQLMap) ដើម្បីស្កេនរកចំណុចខ្សោយ និងបម្រុងទុកមូលដ្ឋានទិន្នន័យមុនពេលធ្វើការជួសជុល។
○ការគ្រប់គ្រងការចូលប្រើ៖អ្នកប្រើប្រាស់មូលដ្ឋានទិន្នន័យគួរតែត្រូវបានផ្តល់សិទ្ធិតិចតួចបំផុតដើម្បីការពារការបាត់បង់ការគ្រប់គ្រងទាំងស្រុង។
ការវាយប្រហារស្គ្រីបឆ្លងគេហទំព័រលេខ ៣ (XSS)
ការវាយប្រហារឆ្លងគេហទំព័រ (XSS) លួចយកខូគីអ្នកប្រើប្រាស់ លេខសម្គាល់វគ្គ និងស្គ្រីបព្យាបាទផ្សេងទៀតដោយចាក់វាចូលទៅក្នុងគេហទំព័រ។ ពួកវាត្រូវបានចាត់ថ្នាក់ជាការវាយប្រហារឆ្លុះបញ្ចាំង រក្សាទុក និងផ្អែកលើ DOM។ នៅឆ្នាំ 2024 XSS មានចំនួន 25% នៃការវាយប្រហារគេហទំព័រទាំងអស់។
វេទិកាមួយបានបរាជ័យក្នុងការច្រោះមតិយោបល់របស់អ្នកប្រើប្រាស់ ដែលអនុញ្ញាតឱ្យពួក Hacker បញ្ចូលកូដស្គ្រីប និងលួចព័ត៌មានចូលពីអ្នកប្រើប្រាស់រាប់ពាន់នាក់។ ខ្ញុំបានឃើញករណីដែលអតិថិជនត្រូវបានគេជំរិតទារប្រាក់ចំនួន ៥០០,០០០ យ័ន ដោយសារតែរឿងនេះ។
តើធ្វើដូចម្តេចដើម្បីទប់ស្កាត់វា?
○ការច្រោះបញ្ចូល: គេចចេញពីការបញ្ចូលរបស់អ្នកប្រើប្រាស់ (ដូចជាការអ៊ិនកូដ HTML)។
○យុទ្ធសាស្ត្រ CSP៖បើកគោលការណ៍សុវត្ថិភាពខ្លឹមសារ ដើម្បីរឹតត្បិតប្រភពស្គ្រីប។
○ការការពារកម្មវិធីរុករក៖កំណត់បឋមកថា HTTP (ដូចជា X-XSS-Protection) ដើម្បីរារាំងស្គ្រីបព្យាបាទ។
○ការស្កេនឧបករណ៍៖ប្រើ Burp Suite ដើម្បីពិនិត្យមើលភាពងាយរងគ្រោះរបស់ XSS ជាប្រចាំ។
ការបំបែកពាក្យសម្ងាត់លេខ ៤
ពួក Hacker ទទួលបានពាក្យសម្ងាត់អ្នកប្រើប្រាស់ ឬអ្នកគ្រប់គ្រងតាមរយៈការវាយប្រហារដោយប្រើកម្លាំង ការវាយប្រហារតាមវចនានុក្រម ឬវិស្វកម្មសង្គម។ របាយការណ៍ Verizon ឆ្នាំ 2023 បានបង្ហាញថា 80% នៃការឈ្លានពានតាមអ៊ីនធឺណិតគឺទាក់ទងនឹងពាក្យសម្ងាត់ខ្សោយ។
រ៉ោតទ័ររបស់ក្រុមហ៊ុនមួយ ដែលប្រើពាក្យសម្ងាត់លំនាំដើម "admin" ត្រូវបានលួចចូលយ៉ាងងាយស្រួលដោយពួក Hacker ដែលបានបង្កប់ទ្វារក្រោយ។ វិស្វករដែលពាក់ព័ន្ធត្រូវបានបណ្តេញចេញជាបន្តបន្ទាប់ ហើយអ្នកគ្រប់គ្រងក៏ត្រូវទទួលខុសត្រូវផងដែរ។
តើធ្វើដូចម្តេចដើម្បីទប់ស្កាត់វា?
○ពាក្យសម្ងាត់ស្មុគស្មាញ៖បង្ខំតួអក្សរចំនួន 12 ឬច្រើនជាងនេះ អក្សរធំចម្រុះ លេខ និងនិមិត្តសញ្ញា។
○ការផ្ទៀងផ្ទាត់ពហុកត្តា៖បើកដំណើរការ MFA (ដូចជាលេខកូដផ្ទៀងផ្ទាត់ SMS) នៅលើឧបករណ៍សំខាន់ៗ។
○ការគ្រប់គ្រងពាក្យសម្ងាត់៖ប្រើឧបករណ៍ (ដូចជា LastPass) ដើម្បីគ្រប់គ្រងជាកណ្តាល និងផ្លាស់ប្តូរវាជាប្រចាំ។
○ការប៉ុនប៉ងកំណត់៖អាសយដ្ឋាន IP ត្រូវបានចាក់សោបន្ទាប់ពីការប៉ុនប៉ងចូលចំនួនបីដងបរាជ័យ ដើម្បីការពារការវាយប្រហារដោយកម្លាំងព្រៃផ្សៃ។
ការវាយប្រហារដោយមនុស្សនៅកណ្តាលលេខ ៥ (MITM)
ពួក Hacker ជ្រៀតជ្រែករវាងអ្នកប្រើប្រាស់ និងម៉ាស៊ីនមេ ដោយស្ទាក់ចាប់ ឬកែប្រែទិន្នន័យ។ នេះជារឿងធម្មតានៅក្នុង Wi-Fi សាធារណៈ ឬការទំនាក់ទំនងដែលមិនបានអ៊ិនគ្រីប។ នៅឆ្នាំ 2024 ការវាយប្រហារ MITM មានចំនួន 20% នៃការលួចចូលបណ្តាញ។
វ៉ាយហ្វាយ (Wi-Fi) របស់ហាងកាហ្វេមួយកន្លែងត្រូវបានពួក Hacker លួចចូល ដែលបណ្តាលឱ្យអ្នកប្រើប្រាស់ខាតបង់រាប់ម៉ឺនដុល្លារ នៅពេលដែលទិន្នន័យរបស់ពួកគេត្រូវបានស្ទាក់ចាប់ ខណៈពេលកំពុងចូលទៅក្នុងគេហទំព័ររបស់ធនាគារ។ ក្រោយមកវិស្វករបានរកឃើញថា HTTPS មិនត្រូវបានអនុវត្តទេ។
តើធ្វើដូចម្តេចដើម្បីទប់ស្កាត់វា?
○បង្ខំ HTTPS៖គេហទំព័រ និង API ត្រូវបានអ៊ិនគ្រីបជាមួយ TLS ហើយ HTTP ត្រូវបានបិទ។
○ការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ៖សូមប្រើប្រាស់ HPKP ឬ CAA ដើម្បីធានាថាវិញ្ញាបនបត្រនេះគួរឱ្យទុកចិត្ត។
○ការការពារ VPN៖ប្រតិបត្តិការដ៏រសើបគួរតែប្រើប្រាស់ VPN ដើម្បីអ៊ិនគ្រីបចរាចរណ៍។
○ការការពារ ARP៖ត្រួតពិនិត្យតារាង ARP ដើម្បីការពារការក្លែងបន្លំ ARP ។
ការវាយប្រហារតាមប្រព័ន្ធអេឡិចត្រូនិកលេខ ៦
ពួក Hacker ប្រើប្រាស់អ៊ីមែល គេហទំព័រ ឬសារជាអក្សរក្លែងក្លាយ ដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យបង្ហាញព័ត៌មាន ឬចុចលើតំណភ្ជាប់ដែលមានគំនិតអាក្រក់។ នៅឆ្នាំ 2023 ការវាយប្រហារតាមអ៊ីនធឺណិតមានចំនួន 35% នៃឧប្បត្តិហេតុសន្តិសុខតាមអ៊ីនធឺណិត។
បុគ្គលិកម្នាក់របស់ក្រុមហ៊ុនមួយបានទទួលអ៊ីមែលពីនរណាម្នាក់ដែលអះអាងថាជាថៅកែរបស់ពួកគេ ដោយស្នើសុំការផ្ទេរប្រាក់ ហើយបានខាតបង់រាប់លានដុល្លារ។ ក្រោយមកគេបានរកឃើញថាដែនអ៊ីមែលនោះក្លែងក្លាយ។ បុគ្គលិកនោះមិនទាន់បានផ្ទៀងផ្ទាត់វានៅឡើយទេ។
តើធ្វើដូចម្តេចដើម្បីទប់ស្កាត់វា?
○ការបណ្តុះបណ្តាលបុគ្គលិក៖ធ្វើការបណ្តុះបណ្តាលអំពីការយល់ដឹងអំពីសន្តិសុខតាមអ៊ីនធឺណិតជាប្រចាំ ដើម្បីបង្រៀនពីរបៀបកំណត់អត្តសញ្ញាណអ៊ីមែលបន្លំ។
○ការត្រងអ៊ីមែល៖ដាក់ពង្រាយច្រកទ្វារប្រឆាំងការបន្លំ (ដូចជា Barracuda)។
○ការផ្ទៀងផ្ទាត់ដែន៖សូមពិនិត្យមើលដែនរបស់អ្នកផ្ញើ ហើយបើកគោលការណ៍ DMARC។
○ការបញ្ជាក់ពីរដង៖ប្រតិបត្តិការដ៏រសើបតម្រូវឱ្យមានការផ្ទៀងផ្ទាត់តាមទូរស័ព្ទ ឬដោយផ្ទាល់។
លេខ ៧ មេរោគចាប់ជំរិត
មេរោគចាប់ជំរិតអ៊ិនគ្រីបទិន្នន័យរបស់ជនរងគ្រោះ ហើយទាមទារប្រាក់លោះសម្រាប់ការឌិគ្រីប។ របាយការណ៍ Sophos ឆ្នាំ 2024 បានបង្ហាញថា 50% នៃអាជីវកម្មទូទាំងពិភពលោកបានជួបប្រទះការវាយប្រហារ ransomware។
បណ្តាញរបស់មន្ទីរពេទ្យមួយត្រូវបានវាយប្រហារដោយ LockBit ransomware ដែលបណ្តាលឱ្យប្រព័ន្ធខ្វិន និងការផ្អាកការវះកាត់។ វិស្វករបានចំណាយពេលមួយសប្តាហ៍ដើម្បីសង្គ្រោះទិន្នន័យ ដែលបណ្តាលឱ្យមានការខាតបង់យ៉ាងច្រើន។
តើធ្វើដូចម្តេចដើម្បីទប់ស្កាត់វា?
○ការបម្រុងទុកជាប្រចាំ៖ការបម្រុងទុកទិន្នន័យសំខាន់ៗនៅក្រៅទីតាំង និងការធ្វើតេស្តដំណើរការសង្គ្រោះ។
○ការគ្រប់គ្រងបំណះ៖ធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធ និងកម្មវិធីឱ្យបានទាន់ពេលវេលា ដើម្បីបិទចន្លោះប្រហោង។
○ការតាមដានអាកប្បកិរិយា៖ប្រើឧបករណ៍ EDR (ដូចជា CrowdStrike) ដើម្បីរកឃើញឥរិយាបថមិនប្រក្រតី។
○បណ្តាញដាច់ដោយឡែក៖ការបែងចែកប្រព័ន្ធងាយរងគ្រោះ ដើម្បីការពារការរីករាលដាលនៃមេរោគ។
ការវាយប្រហារសូន្យថ្ងៃលេខ ៨
ការវាយប្រហារ Zero-day កេងប្រវ័ញ្ចភាពងាយរងគ្រោះនៃកម្មវិធីដែលមិនត្រូវបានបង្ហាញ ដែលធ្វើឱ្យពួកវាពិបាកការពារខ្លាំងណាស់។ នៅឆ្នាំ 2023 Google បានរាយការណ៍ពីការរកឃើញភាពងាយរងគ្រោះដែលមានហានិភ័យខ្ពស់ចំនួន 20 ដែលភាគច្រើនត្រូវបានប្រើសម្រាប់ការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់។
ក្រុមហ៊ុនមួយដែលប្រើប្រាស់កម្មវិធី SolarWinds ត្រូវបានវាយប្រហារដោយភាពងាយរងគ្រោះ zero-day ដែលប៉ះពាល់ដល់ខ្សែសង្វាក់ផ្គត់ផ្គង់ទាំងមូលរបស់ខ្លួន។ វិស្វករគ្មានទីពឹង ហើយអាចរង់ចាំតែការជួសជុលប៉ុណ្ណោះ។
តើធ្វើដូចម្តេចដើម្បីទប់ស្កាត់វា?
○ការរកឃើញការឈ្លានពាន៖ដាក់ពង្រាយ IDS/IPS (ដូចជា Snort) ដើម្បីតាមដានចរាចរណ៍មិនប្រក្រតី។
○ការវិភាគ Sandbox៖ប្រើប្រអប់ខ្សាច់ដើម្បីញែកឯកសារគួរឱ្យសង្ស័យ និងវិភាគឥរិយាបថរបស់វា។
○ស៊ើបការណ៍សម្ងាត់អំពីការគំរាមកំហែង៖ជាវសេវាកម្ម (ដូចជា FireEye) ដើម្បីទទួលបានព័ត៌មានអំពីភាពងាយរងគ្រោះចុងក្រោយបំផុត។
○សិទ្ធិតិចតួចបំផុត៖ដាក់កម្រិតការអនុញ្ញាតកម្មវិធី ដើម្បីកាត់បន្ថយផ្ទៃវាយប្រហារ។
សមាជិកបណ្តាញទាំងអស់គ្នា តើលោកអ្នកធ្លាប់ជួបប្រទះការវាយប្រហារប្រភេទណាខ្លះ? ហើយតើលោកអ្នកបានដោះស្រាយវាដោយរបៀបណា? ចូរយើងពិភាក្សាគ្នាអំពីរឿងនេះ ហើយធ្វើការរួមគ្នាដើម្បីធ្វើឱ្យបណ្តាញរបស់យើងកាន់តែរឹងមាំ!
ពេលវេលាបង្ហោះ៖ ខែវិច្ឆិកា-០៥-២០២៥
