Original Title: DEVELOPMENT TIME OF ZERO-DAY CYBER EXPLOITS IN SUPPORT OF OFFENSIVE CYBER OPERATIONS
Source: hdl.handle.net
Disclaimer: Summary generated by AI based on the provided document. Please refer to the original paper for full scientific accuracy.

ពេលវេលាអភិវឌ្ឍន៍នៃការកេងប្រវ័ញ្ចតាមប្រព័ន្ធអ៊ីនធឺណិត Zero-Day ដើម្បីគាំទ្រប្រតិបត្តិការវាយលុកតាមប្រព័ន្ធអ៊ីនធឺណិត

ចំណងជើងដើម៖ DEVELOPMENT TIME OF ZERO-DAY CYBER EXPLOITS IN SUPPORT OF OFFENSIVE CYBER OPERATIONS

អ្នកនិពន្ធ៖ Konstantinos Bompos, Naval Postgraduate School

ឆ្នាំបោះពុម្ព៖ 2020, Naval Postgraduate School

វិស័យសិក្សា៖ Cybersecurity

១. សេចក្តីសង្ខេបប្រតិបត្តិ (Executive Summary)

បញ្ហា (The Problem)៖ និក្ខេបបទនេះស្រាវជ្រាវអំពីឥទ្ធិពលនៃភាពងាយរងគ្រោះប្រភេទសូន្យថ្ងៃ (Zero-Day Vulnerabilities) ទៅលើសុវត្ថិភាពប្រព័ន្ធកុំព្យូទ័រ និងចន្លោះពេលដែលត្រូវការសម្រាប់ការអភិវឌ្ឍកូដកេងប្រវ័ញ្ច (Zero-Day Exploits) ដើម្បីគាំទ្រដល់ប្រតិបត្តិការវាយលុកតាមប្រព័ន្ធអ៊ីនធឺណិត (Offensive Cyber Operations)។

វិធីសាស្ត្រ (The Methodology)៖ ការសិក្សានេះប្រើប្រាស់ការស្រាវជ្រាវឯកសារ និងការវិភាគស៊ីជម្រៅលើវដ្តជីវិតនៃការអភិវឌ្ឍការកេងប្រវ័ញ្ច ព្រមទាំងការសិក្សាករណីជាក់ស្តែងនៃការវាយប្រហារដើម្បីទាញយកទិន្នន័យ។

ការវិភាគវដ្តជីវិតនៃភាពងាយរងគ្រោះ (Zero-Day Vulnerability Life Cycle Analysis)
ការសិក្សាករណីជាក់ស្តែងនៃការវាយប្រហារ WannaCry ឆ្នាំ ២០១៧ (Case Study of 2017 WannaCry Ransomware Attack)
ការវាយតម្លៃលើប្រព័ន្ធការពារនិងការវាយលុក (Defensive and Offensive Perspectives Evaluation)

លទ្ធផលសំខាន់ៗ (The Verdict)៖

ការសិក្សាបង្ហាញថា អ្នកវាយប្រហារត្រូវការពេលជាមធ្យមត្រឹមតែ ២២ ថ្ងៃប៉ុណ្ណោះក្នុងការអភិវឌ្ឍកូដកេងប្រវ័ញ្ច Zero-Day ដែលអាចដំណើរការបាន ខណៈពេលដែលអ្នកផ្គត់ផ្គង់ប្រព័ន្ធ (Vendors) ត្រូវការពេលជាមធ្យមរហូតដល់ ៣១០ ថ្ងៃដើម្បីរកឃើញភាពងាយរងគ្រោះនេះ។
ការកាត់បន្ថយពេលវេលានៃការអភិវឌ្ឍ Zero-Day exploits អាចធ្វើទៅបានតាមរយៈការបណ្តុះបណ្តាលអ្នកស្រាវជ្រាវក្នុងកម្មវិធីប្រកួតប្រជែង (Capture-the-Flag) ការប្រើប្រាស់បញ្ញាសិប្បនិម្មិត (AI) និងការផ្តោតលើចំណុចខ្សោយនៃឧបករណ៍បណ្តាញអ៊ីនធឺណិត (IoT Devices)។
ការអនុវត្តយន្តការការពារពហុស្រទាប់ (Defense-in-depth) ការបែងចែកបណ្តាញ (Network Segmentation) និងការគ្រប់គ្រងកម្មវិធី (Stateful Application Control) គឺជាវិធីសាស្ត្រដ៏មានប្រសិទ្ធភាពក្នុងការកាត់បន្ថយទំហំនៃការវាយប្រហារប្រភេទ Zero-Day។

២. ការវិភាគលើប្រសិទ្ធភាព និងដែនកំណត់ (Performance & Constraints)

វិធីសាស្ត្រ (Method)	គុណសម្បត្តិ (Pros)	គុណវិបត្តិ (Cons)	លទ្ធផលគន្លឹះ (Key Result)
Offensive Exploit Development (Zero-Day) ការអភិវឌ្ឍកូដកេងប្រវ័ញ្ចប្រភេទ Zero-Day ដោយអ្នកវាយប្រហារ	មានប្រសិទ្ធភាពខ្ពស់ក្នុងការវាយលុក ព្រោះប្រព័ន្ធការពារភាគច្រើនមិនទាន់ស្គាល់វា ហើយវាអាចដំណើរការដោយរលូនលើប្រព័ន្ធគោលដៅ។	ទាមទារជំនាញបច្ចេកទេសកម្រិតខ្ពស់ ពេលវេលា និងធនធានច្រើនក្នុងការស្រាវជ្រាវរកចំណុចខ្សោយតាំងពីដើមទី។	ចំណាយពេលជាមធ្យម ២២ ថ្ងៃដើម្បីអភិវឌ្ឍ ហើយអាចរស់រានមានជីវិត (អាយុកាលកេងប្រវ័ញ្ច) ជាមធ្យម ៦.៩ ឆ្នាំ។
Vendor Vulnerability Discovery & Patching ការស្វែងរកចំណុចខ្សោយ និងការបញ្ចេញកូដជួសជុល (Patch) ដោយក្រុមហ៊ុនផលិត	ជួយដោះស្រាយបញ្ហាចំគោលដៅនៅកម្រិតកូដកុំព្យូទ័រផ្ទាល់ និងការពារប្រព័ន្ធរបស់អ្នកប្រើប្រាស់ទូទាំងពិភពលោកពេលអាប់ដេតរួច។	ដំណើរការមានភាពយឺតយ៉ាវខ្លាំង និងភាគច្រើនជាការឆ្លើយតបបែបអសកម្ម (Reactive) បន្ទាប់ពីការវាយប្រហារបានកើតឡើងរួច។	ចំណាយពេលជាមធ្យមរហូតដល់ ៣១០ ថ្ងៃ ទើបអាចរកឃើញ និងបង្ហាញចំណុចខ្សោយជាសាធារណៈ។
Proactive Defense-in-Depth (ASLR, HIPS, Segmentation) ការការពារពហុស្រទាប់បែបសកម្ម (បច្ចេកវិទ្យា ASLR, ប្រព័ន្ធ HIPS និងការបែងចែកបណ្តាញ)	អាចកាត់បន្ថយហានិភ័យ និងរារាំងការវាយប្រហារពី Zero-Day បានមួយកម្រិត ទោះបីជាមិនទាន់ស្គាល់ពីចំណុចខ្សោយនោះច្បាស់ក៏ដោយ។	តម្រូវឱ្យមានការកំណត់រចនាសម្ព័ន្ធស្មុគស្មាញ ចំណាយខ្ពស់ក្នុងការរៀបចំ និងទាមទារការត្រួតពិនិត្យដានប្រព័ន្ធជាប្រចាំ។	ជួយបិទបង្អួចនៃហានិភ័យ (Window of Exposure) និងកម្រិតផលប៉ះពាល់នៃការវាយប្រហារមកត្រឹមកម្រិតអប្បបរមា។

ការចំណាយលើធនធាន (Resource Cost)៖ ទោះបីជាឯកសារមិនបានបញ្ជាក់ពីតួលេខចំណាយជាក់លាក់លើផ្នែករឹង ឬផ្នែកទន់ក៏ដោយ វានៅតែបង្ហាញពីតម្លៃទីផ្សារដ៏ខ្ពស់ និងធនធានចំណេះដឹងសំខាន់ៗដែលត្រូវការសម្រាប់ប្រតិបត្តិការ។

Financial Cost / Black Market Value: ចំណុចខ្សោយ Zero-Day មានតម្លៃខ្ពស់ណាស់នៅលើទីផ្សារងងឹត (Black Market) ដែលអាចលក់បានក្នុងចន្លោះពី ៥០,០០០ ដុល្លារ ទៅ ៣០០,០០០ ដុល្លារអាស្រ័យលើប្រភេទ។
Human Expertise: ទាមទារអ្នកស្រាវជ្រាវដែលមានជំនាញកម្រិតខ្ពស់ក្នុងការធ្វើ Reverse Engineering ការវិភាគកូដ និងបទពិសោធន៍ពីការប្រកួតប្រជែង Capture the Flag (CTF)។
Security Infrastructure (Defenders): ត្រូវការប្រព័ន្ធការពារចាំបាច់ដូចជា Firewalls, ប្រព័ន្ធ HIPS (Host Intrusion Prevention System) និងឧបករណ៍តាមដានការកំណត់រចនាសម្ព័ន្ធ (Configuration Management)។
Time Resources: អ្នកវាយប្រហារត្រូវការពេលជាមធ្យមប្រមាណពី ៦ ទៅ ៣៧ ថ្ងៃក្នុងការអភិវឌ្ឍកូដវាយលុក ខណៈអ្នកការពារត្រូវការពេលវេលាជាច្រើនខែ។

៣. ការពិនិត្យសម្រាប់បរិបទកម្ពុជា/អាស៊ីអាគ្នេយ៍

ភាពលំអៀងនៃទិន្នន័យ (Data Bias)៖

ការសិក្សានេះពឹងផ្អែកយ៉ាងខ្លាំងលើទិន្នន័យពីស្ថាប័នអន្តរជាតិធំៗ (RAND, Symantec, FireEye) និងកត់ត្រាតែការវាយប្រហារលំដាប់ពិភពលោក (ឧ. Stuxnet, WannaCry)។ វាមិនមានទិន្នន័យជាក់លាក់សម្រាប់ប្រទេសកំពុងអភិវឌ្ឍន៍នោះទេ។ សម្រាប់កម្ពុជា ដែលមានអត្រាប្រើប្រាស់កម្មវិធីមិនមានអាជ្ញាប័ណ្ណ (Pirated software) និងការពន្យារពេលក្នុងការអាប់ដេតប្រព័ន្ធ (Delayed Patching) ខ្ពស់ ហានិភ័យនិងរយៈពេលប៉ះពាល់ពី Zero-Day អាចមានទំហំធំជាងទិន្នន័យក្នុងការស្រាវជ្រាវនេះទៅទៀត។

លទ្ធភាពនៃការអនុវត្ត (Applicability)៖

ការស្រាវជ្រាវនេះមានសារៈសំខាន់ខ្លាំងណាស់សម្រាប់ពង្រឹងយុទ្ធសាស្ត្រសន្តិសុខសាយប័រនៅកម្ពុជា ជាពិសេសក្នុងដំណាក់កាលដែលស្ថាប័នរដ្ឋនិងឯកជនកំពុងធ្វើបរិវត្តកម្មឌីជីថល។

ស្ថាប័នរដ្ឋ និងហេដ្ឋារចនាសម្ព័ន្ធជាតិសំខាន់ៗ (Government & Critical Infrastructure): ការប្រើប្រាស់យុទ្ធសាស្ត្រការពារពហុស្រទាប់ និងការបែងចែកបណ្តាញ (Network Segmentation) គឺចាំបាច់បំផុតដើម្បីទប់ស្កាត់ការវាយប្រហារទ្រង់ទ្រាយធំ មិនឱ្យឆ្លងរាលដាលដល់មូលដ្ឋានទិន្នន័យជាតិសំខាន់ៗ។
វិស័យធនាគារ និងហិរញ្ញវត្ថុ (Financial Sector): ធនាគារក្នុងស្រុកអាចទាញយកប្រយោជន៍ពីការសិក្សានេះ ដោយត្រូវពង្រឹងការគ្រប់គ្រងកម្មវិធី (Stateful Application Control) និងប្រព័ន្ធ HIPS ដើម្បីការពារទិន្នន័យហិរញ្ញវត្ថុរបស់អតិថិជនពីការគំរាមកំហែងដែលមិនទាន់ស្គាល់។
គម្រោងទីក្រុងឆ្លាតវៃ និងឧបករណ៍ IoT (Smart Cities & IoT): ឧបករណ៍ IoT ត្រូវបានចាត់ទុកជា 'ចំណុចខ្សោយបំផុតក្នុងខ្សែសង្វាក់សុវត្ថិភាព' ដូច្នេះរាល់គម្រោងនានានៅកម្ពុជាត្រូវបែងចែកបណ្តាញឧបករណ៍ទាំងនេះ (IoT Network) ដាច់ដោយឡែកពីប្រព័ន្ធប្រតិបត្តិការស្នូល។

សរុបមក ការអនុវត្តទ្រឹស្តីកាត់បន្ថយពេលវេលានៃហានិភ័យ (Window of Exposure) នឹងជួយឱ្យស្ថាប័ននៅកម្ពុជាផ្លាស់ប្តូរពីការរង់ចាំដោះស្រាយបញ្ហា ទៅជាការត្រៀមលក្ខណៈទប់ស្កាត់ហានិភ័យជាមុនដោយភាពឆ្លាតវៃ។

៤. ផែនការសកម្មភាពសម្រាប់និស្សិត (Actionable Roadmap)

ដើម្បីអនុវត្តតាមការសិក្សានេះ និស្សិតគួរអនុវត្តតាមជំហានខាងក្រោម៖

ចូលរួមការប្រកួតប្រជែងសន្តិសុខសាយប័រដើម្បីពង្រឹងជំនាញ: និស្សិតគួរចាប់ផ្តើមពង្រឹងជំនាញស្វែងរកចំណុចខ្សោយតាមរយៈការចូលរួមលេងនៅលើផ្លែតហ្វម Capture the Flag (CTF) (ដូចជា HackTheBox ឬ TryHackMe) និង War Games ដើម្បីស្វែងយល់ពីលំនាំនៃភាពងាយរងគ្រោះក្នុងការអភិវឌ្ឍកូដ Exploits។
អនុវត្តស្តង់ដារនៃការកំណត់រចនាសម្ព័ន្ធប្រព័ន្ធមេ: សិក្សា និងសាកល្បងរៀបចំប្រព័ន្ធម៉ាស៊ីនមេ (Servers) ដោយតម្រូវឱ្យអនុលោមតាមស្តង់ដារអន្តរជាតិដូចជា NIST SP 800-53 ឬ ISO/IEC 27005 ដើម្បីបិទចន្លោះប្រហោង (Harden systems) និងកាត់បន្ថយផ្ទៃនៃការវាយប្រហារ (Attack Surface)។
រៀបចំប្រព័ន្ធការពារពហុស្រទាប់ (Defense-in-Depth) ជាក់ស្តែង: សាងសង់ប្រព័ន្ធបណ្តាញនិម្មិត (Virtual Lab) ដោយបង្កើត DMZ (Demilitarized Zone) ប្រើប្រាស់ Firewall តឹងរ៉ឹង និងដាក់ពង្រាយ HIPS ដើម្បីសិក្សាពីរបៀបប្លុកការទាក់ទងដែលខុសប្រក្រតី។
សិក្សាពីដំណើរការវិភាគបញ្ច្រាស (Reverse Engineering): ប្រើប្រាស់កម្មវិធីដូចជា Ghidra ឬ IDA Pro ដើម្បីវិភាគកូដមេរោគ (Malware Analysis) និងស្វែងយល់ស៊ីជម្រៅពីរបៀបដែលកូដកេងប្រវ័ញ្ច (Exploit) ទាញយកប្រយោជន៍ពីកំហុស Memory ដូចជាការហៀរទំហំសតិ (Buffer Overflow) ជាដើម។
ស្រាវជ្រាវលើការប្រើប្រាស់បញ្ញាសិប្បនិម្មិតសម្រាប់ការរកចំណុចខ្សោយ: ចាប់ផ្តើមគម្រោងស្រាវជ្រាវ ឬសរសេរនិក្ខេបបទដោយប្រើប្រាស់បច្ចេកវិទ្យា Machine Learning ដើម្បីធ្វើការវិភាគនិងស្វែងរកទម្រង់នៃចំណុចខ្សោយ Zero-Day ដោយស្វ័យប្រវត្តិ ផ្អែកលើការទាញយកសំណុំទិន្នន័យ (Dataset) ពីព្រឹត្តិការណ៍ CTF នានា។

៥. វាក្យសព្ទបច្ចេកទេស (Technical Glossary)

ពាក្យបច្ចេកទេស	ការពន្យល់ជាខេមរភាសា (Khmer Explanation)	និយមន័យសាមញ្ញ (Simple Definition)
Zero-Day Vulnerability	ចំណុចខ្សោយ ឬកំហុសឆ្គងនៅក្នុងប្រព័ន្ធកុំព្យូទ័រ ឬកម្មវិធីដែលម្ចាស់និងអ្នកបង្កើតប្រព័ន្ធមិនទាន់បានដឹងនៅឡើយ ធ្វើឱ្យពួកគេមានពេលសូន្យថ្ងៃ (Zero-Day) ក្នុងការបង្កើតកូដជួសជុលការពារ (Patch) មុនពេលវាត្រូវរងការវាយលុក។	វាប្រៀបដូចជាទ្វារសម្ងាត់មួយនៅក្នុងផ្ទះរបស់អ្នកដែលអ្នកមិនធ្លាប់ដឹងថាមាន ប៉ុន្តែចោរបានរកឃើញវាមុនអ្នកបាត់ទៅហើយ។
Zero-Day Exploit	កម្មវិធី ឬកូដបញ្ជាដែលត្រូវបានសរសេរឡើងយ៉ាងពិសេសដោយអ្នកវាយប្រហារ ដើម្បីទាញយកប្រយោជន៍ពីចំណុចខ្សោយ Zero-Day ដោយស្វ័យប្រវត្តិ ក្នុងគោលបំណងចូលគ្រប់គ្រងកុំព្យូទ័រ ឬលួចទិន្នន័យពីប្រព័ន្ធគោលដៅដោយម្ចាស់មិនដឹងខ្លួន។	វាប្រៀបដូចជាសោរច្នៃដែលចោរបានបង្កើតឡើងយ៉ាងពិសេស ដើម្បីចាក់បើកទ្វារសម្ងាត់នៅក្នុងផ្ទះរបស់អ្នកដែលគ្មានអ្នកណាដឹង។
Buffer overflow	ប្រភេទនៃភាពងាយរងគ្រោះដែលកើតឡើងនៅពេលកម្មវិធីមួយព្យាយាមរក្សាទុកទិន្នន័យបញ្ចូលលើសពីទំហំសតិ (Memory) ដែលវាត្រូវបានកំណត់ឱ្យទទួលយក ធ្វើឱ្យទិន្នន័យដែលលើសនោះហូរទៅសរសេរជាន់លើទីតាំងសតិផ្សេងទៀត ដែលអនុញ្ញាតឱ្យហេគឃ័របញ្ចូលកូដបញ្ជាអាក្រក់បានដោយសេរី។	វាដូចជាការចាក់ទឹកចូលក្នុងកែវរហូតដល់ពេញហៀរចេញមកក្រៅ ហើយទឹកដែលហៀរនោះហូរទៅធ្វើឱ្យខូចខាតឯកសារសំខាន់ៗដែលនៅក្បែរនោះលើតុ។
Address Space Layout Randomization (ASLR)	យន្តការការពាររបស់ប្រព័ន្ធប្រតិបត្តិការដែលធ្វើការផ្លាស់ប្តូរទីតាំងសតិ (Memory Address) របស់កម្មវិធីនីមួយៗដោយចៃដន្យរាល់ពេលដែលវាដំណើរការ ដើម្បីធ្វើឱ្យអ្នកវាយប្រហារពិបាកក្នុងការទស្សន៍ទាយទីតាំងកូដជាក់លាក់សម្រាប់ធ្វើការវាយលុកបញ្ជាប្រព័ន្ធ។	វាដូចជាការប្តូរស្លាកលេខបន្ទប់ទាំងអស់នៅក្នុងសណ្ឋាគារជារៀងរាល់ថ្ងៃ ដើម្បីកុំឱ្យអ្នកក្រៅឬចោរអាចទន្ទេញចាំថាអ្នកស្នាក់នៅបន្ទប់មួយណា។
Host Intrusion Prevention System (HIPS)	ប្រព័ន្ធសុវត្ថិភាពដែលដាក់ឱ្យដំណើរការនៅលើកុំព្យូទ័រនីមួយៗ (Host) ដើម្បីតាមដាន និងវិភាគសកម្មភាពរាល់កម្មវិធីក្នុងម៉ាស៊ីននោះ ហើយវានឹងធ្វើការទប់ស្កាត់ភ្លាមៗប្រសិនបើវាសម្គាល់ឃើញសកម្មភាពណាមួយដែលខុសប្រក្រតី ឬសង្ស័យថាជាការវាយប្រហារដោយមិនចាំបាច់ស្គាល់មេរោគនោះពីមុនមក។	វាប្រៀបដូចជាអង្គរក្សផ្ទាល់ខ្លួនដែលឈរយាមក្បែរអ្នកជានិច្ច ហើយរារាំងភ្លាមៗរាល់ទង្វើណាដែលមើលទៅគួរឱ្យសង្ស័យថានឹងប៉ះពាល់ដល់សុវត្ថិភាពរបស់អ្នក។
privilege escalation	សកម្មភាពដែលអ្នកវាយប្រហារប្រើប្រាស់កំហុសរបស់ប្រព័ន្ធ ដើម្បីដំឡើងសិទ្ធិរបស់ខ្លួនពីអ្នកប្រើប្រាស់កម្រិតទាបធម្មតា ទៅជាអ្នកគ្រប់គ្រងប្រព័ន្ធ (Administrator ឬ Root) ដែលអនុញ្ញាតឱ្យពួកគេមានសិទ្ធិពេញលេញក្នុងការផ្លាស់ប្តូរ លុបទិន្នន័យ ឬដំឡើងមេរោគកម្រិតខ្ពស់។	វាដូចជាបុគ្គលិកធម្មតាម្នាក់លួចយកកាតសម្គាល់ខ្លួនរបស់អ្នកនាយកក្រុមហ៊ុន ដើម្បីអាចដើរចូលគ្រប់បន្ទប់សម្ងាត់ទាំងអស់នៅក្នុងអគារបានដោយសេរី។
defense-in-depth	យុទ្ធសាស្ត្ររៀបចំប្រព័ន្ធសុវត្ថិភាពដោយបង្កើតជញ្ជាំងការពារជាច្រើនស្រទាប់តម្រួតគ្នា ដូច្នេះប្រសិនបើអ្នកវាយប្រហារប្រើ Zero-Day Exploit ដើម្បីទម្លុះស្រទាប់ទីមួយបាន ពួកគេនៅតែត្រូវប្រឈមមុខនឹងស្រទាប់ការពារផ្សេងទៀតមុននឹងអាចទាញយកទិន្នន័យបានសម្រេច។	វាប្រៀបដូចជាការការពារប្រាសាទមួយដែលមានគូទឹក កំពែងថ្ម ទ្វារដែក និងឆ្មាំយាមជាច្រើនតំណតម្រួតគ្នា ដើម្បីការពារស្តេចដែលនៅខាងក្នុង។
Proof of Concept (PoC)	កូដ ឬកម្មវិធីសាកល្បងខ្នាតតូចដែលអ្នកស្រាវជ្រាវចំណុចខ្សោយបង្កើតឡើង ដើម្បីបញ្ជាក់យ៉ាងច្បាស់ថាចំណុចខ្សោយដែលរកឃើញនោះពិតជាមានមែន ហើយអាចត្រូវបានគេវាយប្រហារទាញយកប្រយោជន៍បានពិតប្រាកដ មុននឹងឈានទៅបង្កើតជា Exploit ពេញលេញ។	វាដូចជាការបង្ហាញសោរចម្លងមួយដែលចាក់បើកមេសោរបានពិតប្រាកដ ដើម្បីបញ្ជាក់ប្រាប់រោងចក្រផលិតសោរថាមេសោររបស់ពួកគេពិតជាមានបញ្ហាអាចកាច់បានមែន។

៦. ប្រធានបទពាក់ព័ន្ធ (Further Reading)

អត្ថបទដែលបានបោះពុម្ពនៅលើ KhmerResearch ដែលទាក់ទងនឹងប្រធានបទនេះ៖

ប្រធានបទ និងសំណួរស្រាវជ្រាវដែលទាក់ទងនឹងឯកសារនេះ ដែលអ្នកអាចស្វែងរកបន្ថែម៖