ไทย
English
คำว่า TTPs เป็นคำที่พบได้บ่อยมากในด้าน Cybersecurity โดยเฉพาะในงานด้าน Threat Intelligence, CSOC/SOC, Incident Response และ Cyber Threat Hunting
TTPs ย่อมาจาก Tactics, Techniques, and Procedures หรือแปลเป็นไทยได้ว่ายุทธวิธีหรือกลวิธี เทคนิค และขั้นตอนการปฏิบัติของผู้โจมตี
โดยทั่วไป TTPs ใช้เพื่ออธิบายว่าผู้โจมตีมีพฤติกรรมอย่างไรระหว่างการโจมตีไม่ใช่เพียงแค่บอกว่าเกิดเหตุการณ์อะไรขึ้น แต่ช่วยให้ทีม Security เข้าใจลึกลงไปว่า
- ผู้โจมตีต้องการทำอะไร
- ผู้โจมตีใช้วิธีใด
- ผู้โจมตีลงมือทำอย่างไรในรายละเอียด
ตามคำอธิบายของ NIST Computer Security Resource Center TTPs คือการอธิบายพฤติกรรมของผู้โจมตีหรือ Actor โดยแบ่งเป็น 3 ระดับ ได้แก่ Tactic ซึ่งเป็นระดับภาพรวมสูงสุด, Technique ซึ่งให้รายละเอียดมากขึ้นภายใต้ Tactic นั้น และ Procedure ซึ่งเป็นรายละเอียดเชิงลึกที่สุดของการลงมือปฏิบัติ
Table of Contents
Tactic คืออะไร?
Tactic คือเป้าหมายหรือเหตุผลที่ผู้โจมตีทำบางอย่างในการโจมตี
MITRE ATT&CK อธิบายว่า Tactic คือ “why” ของ Technique หรือ Sub-technique กล่าวคือ เป็นเป้าหมายเชิงยุทธวิธีของผู้โจมตี เช่น ผู้โจมตีอาจต้องการขโมยรหัสผ่าน จึงอยู่ในกลุ่มเป้าหมายที่เรียกว่า Credential Access
พูดให้เข้าใจง่ายคือ
| Tactic = ผู้โจมตีต้องการบรรลุเป้าหมายอะไรหรือทำอะไร
ตัวอย่าง Enterprise Tactics จาก MITRE ATT&CK ได้แก่
| ID | Tactic | ความหมาย |
| TA0043 | Reconnaissance | ผู้โจมตีกำลังรวบรวมข้อมูลเพื่อใช้วางแผนโจมตีในอนาคต |
| TA0042 | Resource Development | ผู้โจมตีกำลังเตรียมทรัพยากร เช่น Infrastructure, Domain หรือ Account เพื่อใช้สนับสนุนการโจมตี |
| TA0001 | Initial Access | ผู้โจมตีกำลังพยายามเข้าสู่ Network ของเป้าหมาย |
| TA0002 | Execution | ผู้โจมตีกำลังพยายามรัน Code ที่เป็นอันตราย |
| TA0003 | Persistence | ผู้โจมตีกำลังพยายามรักษาช่องทางการเข้าถึงระบบไว้ |
| TA0004 | Privilege Escalation | ผู้โจมตีกำลังพยายามเพิ่มสิทธิ์ให้สูงขึ้น |
| TA0005 | Credential Access | ผู้โจมตีกำลังพยายามขโมย Account Name และ Password |
| TA0112 | Discovery | ผู้โจมตีกำลังสำรวจสภาพแวดล้อมภายในระบบ |
| TA0006 | Lateral Movement | ผู้โจมตีกำลังพยายามเคลื่อนย้ายไปยังระบบอื่นใน Environment |
| TA0007 | Collection | ผู้โจมตีกำลังรวบรวมข้อมูลที่สนใจ |
| TA0008 | Command and Control | ผู้โจมตีกำลังสื่อสารกับระบบที่ถูกโจมตีเพื่อควบคุมการทำงาน |
| TA0009 | Exfiltration | ผู้โจมตีกำลังพยายามขโมยข้อมูลออกจากองค์กร |
| TA0011 | Impact | ผู้โจมตีกำลังพยายามรบกวน ทำลาย หรือเปลี่ยนแปลงระบบและข้อมูล |
MITRE ATT&CK Enterprise ปัจจุบันแสดง Enterprise Tactics ทั้งหมด 15 รายการ โดยแต่ละรายการสะท้อนเป้าหมายคนละช่วงของพฤติกรรมผู้โจมตี
Technique คืออะไร?
Technique คือวิธีการที่ผู้โจมตีใช้เพื่อให้บรรลุเป้าหมายของ Tactic
MITRE ATT&CK อธิบายว่า Technique คือ “how” หรือวิธีที่ผู้โจมตีใช้เพื่อบรรลุเป้าหมายทางยุทธวิธี เช่น ผู้โจมตีอาจใช้การ Dump Credentials เพื่อให้บรรลุเป้าหมาย Credential Access
พูดให้เข้าใจง่ายคือ
| Technique = ผู้โจมตีใช้วิธีอะไร
ตัวอย่างเช่น
| ID | Technique | คำอธิบายภาษาไทย |
| T1548 | Abuse Elevation Control Mechanism | ผู้โจมตีอาจหลีกเลี่ยงกลไกที่ออกแบบมาเพื่อควบคุมการยกระดับสิทธิ์ เพื่อให้ได้สิทธิ์ในระดับที่สูงขึ้น |
| T1134 | Access Token Manipulation | ผู้โจมตีอาจแก้ไขหรือปรับเปลี่ยน Access Token เพื่อทำงานภายใต้บริบทความปลอดภัยของผู้ใช้หรือระบบอื่น และใช้ดำเนินการต่าง ๆ รวมถึงหลบเลี่ยงการควบคุมสิทธิ์การเข้าถึง |
| T1087 | Account Discovery | ผู้โจมตีอาจพยายามค้นหารายชื่อบัญชีผู้ใช้ Username หรือ Email Address ที่ถูกต้องบนระบบ หรือภายในสภาพแวดล้อมที่ถูกบุกรุก |
| T1098 | Account Manipulation | ผู้โจมตีอาจปรับเปลี่ยนหรือจัดการบัญชีผู้ใช้ เพื่อรักษาการเข้าถึงระบบของเหยื่อไว้ หรือยกระดับสิทธิ์การเข้าถึง |
| T1650 | Acquire Access | ผู้โจมตีอาจซื้อหรือได้มาซึ่งสิทธิ์การเข้าถึงระบบหรือเครือข่ายของเป้าหมายที่มีอยู่แล้วด้วยวิธีอื่น |
| T1583 | Acquire Infrastructure | ผู้โจมตีอาจซื้อ เช่า หรือได้มาซึ่งโครงสร้างพื้นฐานที่สามารถนำมาใช้ระหว่างการกำหนดเป้าหมายหรือดำเนินการโจมตี |
| T1595 | Active Scanning | ผู้โจมตีอาจดำเนินการสแกนเชิงรุกเพื่อรวบรวมข้อมูลที่สามารถนำไปใช้ระหว่างการกำหนดเป้าหมาย |
จากข้อมูลใน MITRE ATT&CK Enterprise มีการจัดหมวดหมู่ Techniques 222 รายการ และ Sub-techniques 475 รายการเพื่อใช้เป็นฐานความรู้ในการอธิบายพฤติกรรมของผู้โจมตีในระดับองค์กร
นอกจาก Enterprise Tactics และ Techniques แล้ว MITRE ATT&CK ยังมี Tactics และ Techniques สำหรับบริบทอื่นด้วย เช่น Mobile สำหรับพฤติกรรมการโจมตีบนอุปกรณ์มือถือ และ ICS สำหรับระบบควบคุมอุตสาหกรรมหรือ Operational Technology โดยแต่ละ Matrix จะมี Tactics, Techniques และ Sub-techniques ที่ออกแบบให้เหมาะกับสภาพแวดล้อมนั้น ๆ
Procedure คืออะไร?
Procedure คือขั้นตอนหรือวิธีปฏิบัติจริงที่ผู้โจมตีใช้ในการดำเนิน Technique นั้น
หากเปรียบเทียบง่าย ๆ:
ระดับ | ความหมาย |
Tactic | เป้าหมาย |
Technique | วิธีการ |
Procedure | ขั้นตอนจริงที่ใช้ลงมือ |
ตัวอย่างเช่น
Tactic | Technique | Procedure ตัวอย่าง |
Initial Access | Phishing | ส่งอีเมลปลอมเป็น Microsoft 365 แจ้งว่ารหัสผ่านใกล้หมดอายุ พร้อมแนบลิงก์ไปยังหน้า Login ปลอม |
Credential Access | Credential Dumping | ใช้เครื่องมือสำหรับดึง Credential จาก Memory หรือระบบปฏิบัติการ |
Discovery | Account Discovery | ใช้คำสั่งหรือเครื่องมือเพื่อค้นหารายชื่อ User, Domain Account หรือ Email Account ภายในองค์กร |
Persistence | Account Manipulation | เพิ่มสิทธิ์ให้ Account ที่ถูกควบคุม หรือสร้างCredential เพิ่มเติมเพื่อกลับเข้าระบบได้ภายหลัง |
Exfiltration | Exfiltration Over Web Service | บีบอัดข้อมูลสำคัญแล้วอัปโหลดไปยังบริการ Cloud หรือ Web Service ที่ผู้โจมตีควบคุม |
Procedure จึงเป็นส่วนที่ละเอียดที่สุด เพราะระบุได้ว่า ผู้โจมตีใช้เครื่องมืออะไร ใช้คำสั่งอะไร ใช้ Infrastructure ใด หรือมีลำดับขั้นตอนอย่างไรในการโจมตีจริง
ตัวอย่างการอธิบาย TTPs
องค์กรพบว่ามีพนักงานคนหนึ่งกรอก Username และ Password ลงในหน้า Login ปลอม หลังจากนั้นผู้โจมตีใช้ Credential ดังกล่าวเข้าสู่ระบบ Cloud Email และพยายามค้นหาข้อมูลภายใน Mailbox
สามารถอธิบายเป็น TTPs ได้ดังนี้
ระดับ | ตัวอย่าง |
Tactic | Initial Access / Credential Access / Discovery |
Technique | Phishing / Account Discovery |
Procedure | ผู้โจมตีส่งอีเมลปลอมเป็น Microsoft 365 ให้พนักงานกดลิงก์ไปยังหน้า Login ปลอม เมื่อได้รหัสผ่านแล้วจึง Login เข้า Cloud Email และค้นหารายชื่อEmail หรือข้อมูลภายใน Mailbox |
จากตัวอย่างนี้จะเห็นว่าเหตุการณ์เดียวอาจมีได้หลาย Tactic และหลาย Technique ต่อเนื่องกัน เพราะการโจมตีจริงมักไม่ได้จบที่ขั้นตอนเดียว แต่เป็นลำดับพฤติกรรมตั้งแต่การเข้าสู่ระบบ การขโมยข้อมูล ไปจนถึงการควบคุมหรือขยายผลการโจมตี
ทำไม TTPs ถึงสำคัญต่อทีม Security?
การเข้าใจ TTPs ช่วยให้ทีม Security วิเคราะห์เหตุการณ์ได้ดีกว่าการดูเฉพาะ Indicators of Compromise หรือ IOCs เช่น IP Address, Domain, URL หรือ File Hash
IOCs มีประโยชน์ แต่เปลี่ยนได้ง่าย เช่น ผู้โจมตีสามารถเปลี่ยน Domain, IP หรือแก้ไขไฟล์ให้ Hash เปลี่ยนได้ตลอดเวลา
แต่ TTPs โฟกัสที่พฤติกรรมซึ่งมักเปลี่ยนได้ยากกว่า เช่น
- วิธีหลอกผู้ใช้งานผ่าน Phishing
- วิธีค้นหา Account ภายในระบบ
- วิธีเพิ่มสิทธิ์ของ Account
- วิธีรักษาการเข้าถึงระบบ
- วิธีขโมยข้อมูลออกจากองค์กร
ดังนั้น การวิเคราะห์ TTPs จะช่วยให้องค์กรสามารถสร้าง Detection และ Response ที่แม่นยำขึ้น เพราะไม่ได้ตรวจจับแค่สิ่งที่ผู้โจมตีใช้ แต่ตรวจจับจากสิ่งที่ผู้โจมตีทำ
TTPs กับ MITRE ATT&CK เกี่ยวข้องกันอย่างไร?
MITRE ATT&CK เป็น Knowledge Base ที่รวบรวมพฤติกรรมของผู้โจมตีจากเหตุการณ์จริง
และจัดเรียงให้อยู่ในรูปแบบที่ทีม Security สามารถนำไปใช้ได้ง่าย
ใน MITRE ATT&CK:
องค์ประกอบ | บทบาท |
Tactics | บอกเป้าหมายของผู้โจมตี |
Techniques | บอกวิธีที่ผู้โจมตีใช้เพื่อให้บรรลุเป้าหมาย |
Sub-techniques | รายละเอียดแยกย่อยของ Technique |
Procedures | ตัวอย่างการใช้งานจริงจากกลุ่มผู้โจมตี เครื่องมือ หรือ Campaign ต่าง ๆ |
ตัวอย่างเช่น หากทีม SOC พบพฤติกรรมการค้นหารายชื่อ User ภายในระบบ อาจนำไป Mapping กับ Technique อย่าง Account Discover ซึ่งอยู่ในกลุ่มพฤติกรรมที่ช่วยให้ผู้โจมตีสำรวจ Environment ของเป้าหมายได้
การ Mapping เหตุการณ์เข้ากับ MITRE ATT&CK จะช่วยให้ทีม Security เข้าใจภาพรวมของการโจมตีได้ดีขึ้น เช่น ตอนนี้ผู้โจมตีอยู่ในขั้นตอนใด
มีแนวโน้มจะทำอะไรต่อ และควรตรวจสอบ Log หรือระบบใดเพิ่มเติม
TTPs vs IOCs ต่างกันอย่างไร?
หัวข้อ | IOC | TTP |
ความหมาย | หลักฐานหรือสิ่งบ่งชี้ว่าอาจมีการบุกรุก | พฤติกรรม วิธีการ และขั้นตอนของผู้โจมตี |
ตัวอย่าง | IP, Domain, URL, File Hash | Phishing, Account Discovery, Credential Dumping, Exfiltration |
ความคงทน | เปลี่ยนได้ง่าย | เปลี่ยนยากกว่า เพราะเกี่ยวข้องกับพฤติกรรม |
การใช้งาน | ใช้ตรวจจับสิ่งที่พบแล้ว | ใช้วิเคราะห์รูปแบบการโจมตีและสร้างDetection เชิงพฤติกรรม |
สรุปง่าย ๆ คือ
IOC บอกว่าเราพบอะไร
TTP บอกว่าผู้โจมตีทำอะไร และทำอย่างไร
สรุปสาระ
TTPs คือแนวคิดสำคัญที่ช่วยให้องค์กรเข้าใจพฤติกรรมของผู้โจมตีอย่างเป็นระบบ โดยแบ่งเป็น
องค์ประกอบ | ความหมาย |
Tactic | เป้าหมายของผู้โจมตี |
Technique | วิธีการที่ผู้โจมตีใช้ |
Procedure | ขั้นตอนจริง เครื่องมือ หรือวิธีปฏิบัติที่ใช้ในการโจมตี |
เมื่อใช้งานร่วมกับ MITRE ATT&CK ทีม Security จะสามารถ Mapping พฤติกรรมของผู้โจมตีเข้ากับ Framework มาตรฐานได้ เช่น Initial Access, Credential Access, Discovery, Lateral Movement, Exfiltration หรือ Impact
การเข้าใจ TTPs จึงช่วยให้องค์กรตรวจจับภัยคุกคามได้แม่นยำขึ้น วิเคราะห์ Incident ได้ลึกขึ้น และวางแผนป้องกันได้ดีกว่าการพึ่งพา IOC เพียงอย่างเดียว การเข้าใจ TTPs ของผู้โจมตี คือส่วนสำคัญสู่การป้องกันภัยคุกคามทางไซเบอร์ที่มีประสิทธิภาพ
BMSP ช่วยให้องค์กรตรวจจับ วิเคราะห์ และตอบสนองต่อภัยคุกคามทางไซเบอร์ ด้วยบริการ Cybersecurity ระดับมืออาชีพที่ปรับให้เหมาะกับความต้องการของธุรกิจคุณ
ติดต่อ BMSP วันนี้ เพื่อยกระดับความปลอดภัยขององค์กร และเตรียมพร้อมรับมือกับภัยคุกคามที่เปลี่ยนแปลงอยู่เสมอ
อ้างอิง
- National Institute of Standards and Technology. “Tactics, Techniques, and Procedures (TTP).” NIST Computer Security Resource Center Glossary.
https://csrc.nist.gov/glossary/term/tactics_techniques_and_procedures - MITRE ATT&CK. “Enterprise Tactics.”
https://attack.mitre.org/tactics/enterprise/ - MITRE ATT&CK. “Enterprise Techniques.”
https://attack.mitre.org/techniques/enterprise/
