Technology that fills the gaps of cyber threat protection to cover both "Known Threat" and "Unknown Threat" for exposed threats, also known as "Known Threats," is used by cyber defense equipment manufacturers to produce signatures to include in databases of cyber threat protection devices such as Anti-Virus, Intrusion Prevention System, Web security, Mail Security, etc. So I changed the attack pattern by modifying malware code functionality so that it could not be verified from the database of "Known Threats" devices and then using a technique called Social Engineering to trick victims into traps, such as sending fake emails that embed malware. When a user accidentally opens the email, Malware immediately embeds it into the machine. Once inside the system, it uses a quiet, slow way to avoid being of interest to administrators or irregularities with network traffic. After that, it gradually expanded to reach the real target of the attack, which was the theft of important information from the organization's server. Most of these threats come primarily through the web and mail, and we call them "Unknown Threat" or Advanced Threat. This type of threat, such as the "Known Threat" device Anti-Virus, Intrusion Prevention System, Web security, Mail Security, is not detectable, so it is easy to launch through the cyber system and embed it into the user's machine. Therefore, it is a very effective and successful method of attacking. Many organizations have easily stolen trade secrets, as well as important information, before knowing that most victims last for months until years. It causes enormous damage to the organization's business operations and reputational image. Therefore, to enhance threat protection in all kinds of ways, we need to add Advanced Threat Protection (ATP) technology to the network level, including Endpoint. ATP works, it looks for unusual and suspected traffic activity that threatens and stops it, such as trying to steal data and export it with seemingly normal traffic like HTTPS, DNS, etc. In addition to downloading suspicious data or in a vulnerable format, ATP uses a technique called sandboxing to perform simulations to see if the data being downloaded when installed on the Endpoint or Server shows threatening behavior. If so, it will deter it from slipping to the terminal, for example.
เทคโนโลยีที่ช่วยเติมเต็มช่องว่างของการป้องกันภัยคุกคามในระบบไซเบอร์ให้ครอบคลุมทั้ง “Known Threat” และ “Unknown Threat” สำหรับภัยคุกคามที่ถูกเปิดเผยออกมาแล้วหรือที่เรียกกันว่า “Known Threat” นั้นผู้ผลิตอุปกรณ์ป้องกันภัยทางไซเบอร์จะนำข้อมูลของมันไปผลิตเป็น Signature เพื่อบรรจุไว้ในฐานข้อมูลของอุปกรณ์ป้องกันภัยคุกคามทางไซเบอร์ต่างๆ เช่น Anti-Virus, Intrusion Prevention System, Web security, Mail Security เป็นต้น ดังนั้นเมื่อมี Known Threats ผ่านเข้ามาที่อุปกรณ์ก็จะถูกกำจัดในทันที แต่ปัญหายังไม่หมดแค่นั้นเพราะบรรดา Attackers ก็ทราบดีว่าการใช้รูปแบบเดิมๆ ก็จะโดนตรวจจับได้ง่ายเพราะมีการป้องกันเอาไว้หมดแล้ว ก็เลยเปลี่ยนรูปแบบการโจมตีใหม่โดยปรับเปลี่ยนการทำงานของ Malware Code ให้ไม่สามารถตรวจสอบได้จากฐานข้อมูลของอุปกรณ์ “Known Threats” แล้วใช้เทคนิคที่เรียกว่า Social Engineering เพื่อลวงเหยื่อให้ติดกับดัก เช่น ส่ง Email ปลอมที่ฝัง Malware ไปด้วย เมื่อผู้ใช้เผลอเปิด Email นั้นเข้า Malware ก็จะฝังตัวลงไปในเครื่องทันที เมื่อเข้าไปในระบบได้แล้วก็จะใช้วิธีทำงานแบบเงียบๆ ช้าๆ เพื่อไม่ให้เป็นที่สนใจของผู้ดูแลระบบหรือเกิดความผิดปกติขึ้นกับ Traffic ในระบบเครือข่ายอย่างเห็นได้ชัด หลังจากนั้นจึงค่อยๆ ขยับขยายเพื่อไปให้ถึงเป้าหมายที่แท้จริงของการโจมตีซึ่งก็คือการโจรกรรมข้อมูลสำคัญจาก Server ขององค์กรนั่นเอง ภัยคุกคามรูปแบบนี้ส่วนใหญ่จะมาทาง Web และ Mail เป็นหลักและเราเรียกมันว่า “Unknown Threat” หรือ Advanced Threat ซึ่งภัยคุกคามรูปแบบนี้อุปกรณ์ “Known Threat“ อย่าง Anti-Virus, Intrusion Prevention System, Web security, Mail Security นั้นไม่สามารถตรวจพบได้จึงให้ปล่อยผ่านเข้ามาในระบบไซเบอร์และฝังลงไปในเครื่องของผู้ใช้ได้โดยง่าย จึงเป็นวิธีการโจมตีที่มีประสิทธิภาพและประสบผลสำเร็จสูงมาก องค์กรหลายแห่งถูกโจรกรรมความลับทางการค้า รวมถึงข้อมูลสำคัญต่างๆ ออกไปได้โดยง่าย กว่าจะรู้ตัวว่าตกเป็นเหยื่อส่วนมากก็กินเวลาไปนานหลายเดือนจนถึงเป็นปีๆ ก็มี สร้างความเสียหายอย่างใหญ่หลวงต่อการดำเนินธุกิจและภาพพจน์ชื่อเสียงขององค์กร ดังนั้นเพื่อเสริมประสิทธิภาพในการป้องกันภัยคุกคามให้ครอบคลุมทุกรูปแบบ เราจำเป็นต้องเพิ่มเทคโนโลยี Advanced Threat Protection (ATP) เข้าไปที่ระดับเครือข่ายรวมถึง Endpoint ซึ่งการทำงานของ ATP นั้นมันจะมองหากิจกรรมของ Traffic ที่ผิดปกติและน่าสงสัยว่าจะเป็นภัยคุกคามและทำการหยุดยั้งกิจกรรมนั้น เช่น การพยายามขโมยข้อมูลและส่งออกไปกับ Traffic ที่ดูเหมือนปกติอย่าง http, https, DNS เป็นต้น นอกกจากนี้การ Download ข้อมูลที่น่าสงสัยหรืออยู่ใน Format ที่มีความเสี่ยง ATP จะใช้เทคนิคที่เรียกว่า Sandboxing เพื่อทำการ Simulation ดูว่าข้อมูลที่กำลัง Download เข้ามานั้นเมื่อติดตั้งลงไปในเครื่อง Endpoint หรือ Server แล้วมันแสดงพฤติกรรมที่เข้าข่ายเป็นภัยคุกคามออกมาหรือไม่ หากเป็นเช่นนั้นก็จะทำการยับยั้งไม่ให้มันหลุดไปถึงเครื่องปลายทางได้ เป็นต้น