การเคลื่อนไหวด้านข้างหมายถึงเทคนิคที่ผู้คุกคามใช้เพื่อนำทางผ่านเครือข่ายหรือระบบที่ถูกบุกรุก โดยเคลื่อนย้ายอย่างลับๆ จากโฮสต์หนึ่งไปยังอีกโฮสต์หนึ่ง ต่างจากการโจมตีแบบดั้งเดิมที่กำหนดเป้าหมายไปที่จุดเริ่มต้นเดียว การเคลื่อนไหวด้านข้างช่วยให้ผู้โจมตีสามารถกระจายอิทธิพล ขยายการควบคุม และเข้าถึงทรัพย์สินอันมีค่าภายในเครือข่าย เป็นขั้นตอนสำคัญของการโจมตี APT ซึ่งช่วยให้ผู้โจมตีสามารถรักษาความเพียรพยายามและบรรลุวัตถุประสงค์ของตนได้
ผู้โจมตีใช้เทคนิคการเคลื่อนไหวด้านข้างด้วยเหตุผลหลายประการ รวมถึงการสร้างความคงอยู่ การเข้าถึงเป้าหมายที่มีมูลค่าสูง สิทธิพิเศษที่เพิ่มขึ้น การขโมยข้อมูล และการหลบเลี่ยงการควบคุมความปลอดภัย
การเคลื่อนไหวด้านข้างเกี่ยวข้องกับชุดขั้นตอนที่ผู้โจมตีต้องผ่านเพื่อแทรกซึมและขยายการควบคุมภายในเครือข่าย โดยทั่วไปขั้นตอนเหล่านี้ได้แก่:
เทคนิคการโจมตี | ลักษณะสำคัญ | ความสัมพันธ์กับการเคลื่อนไหวด้านข้าง |
การโจมตีแบบฟิชชิง | เทคนิควิศวกรรมสังคมเพื่อดึงข้อมูลที่ละเอียดอ่อน | การเคลื่อนไหวด้านข้างอาจเกี่ยวข้องกับการใช้ข้อมูลประจำตัวที่ถูกขโมย |
มัลแวร์ | ซอฟต์แวร์ที่เป็นอันตรายสำหรับการโจรกรรมข้อมูล การหยุดชะงัก หรือการเข้าถึงโดยไม่ได้รับอนุญาต | การเคลื่อนไหวด้านข้างอาจใช้มัลแวร์เพื่อการแพร่กระจายหรือการคงอยู่ |
การโจมตี DoS/DDoS | ครอบงำระบบเป้าหมายด้วยการรับส่งข้อมูลที่มากเกินไป | ไม่มีการจัดตำแหน่งโดยตรงกับการเคลื่อนไหวด้านข้าง |
การโจมตีแบบคนกลาง | สกัดกั้นและจัดการการสื่อสารเพื่อการสกัดกั้นหรือการเปลี่ยนแปลง | การเคลื่อนไหวด้านข้างอาจรวมถึงการสกัดกั้นเป็นส่วนหนึ่งของเทคนิค |
ด้วย SQL Injection | ใช้ประโยชน์จากช่องโหว่ของแอปพลิเคชันเว็บสำหรับการเข้าถึงโดยไม่ได้รับอนุญาต | การเคลื่อนไหวด้านข้างอาจใช้ประโยชน์จากข้อมูลรับรองหรือฐานข้อมูลที่ถูกบุกรุก |
การเขียนสคริปต์ข้ามไซต์ (XSS) | แทรกสคริปต์ที่เป็นอันตรายลงในเว็บไซต์ที่เชื่อถือได้เพื่อเรียกใช้โค้ดตามอำเภอใจหรือการขโมยข้อมูล | ไม่มีการจัดตำแหน่งโดยตรงกับการเคลื่อนไหวด้านข้าง |
วิศวกรรมทางสังคม | จัดการบุคคลเพื่อเปิดเผยข้อมูลที่ละเอียดอ่อนหรือดำเนินการ | การเคลื่อนไหวด้านข้างอาจเกี่ยวข้องกับการวิศวกรรมสังคมในการประนีประนอมเบื้องต้น |
การโจมตีรหัสผ่าน | เทคนิคต่างๆ เช่น การโจมตีแบบ brute-force หรือพจนานุกรมเพื่อถอดรหัสรหัสผ่าน | การเคลื่อนไหวด้านข้างอาจใช้ประโยชน์จากข้อมูลประจำตัวที่ถูกบุกรุกหรือถูกขโมย |
ภัยคุกคามต่อเนื่องขั้นสูง (APTs) | การโจมตีแบบกำหนดเป้าหมายที่ซับซ้อนเพื่อการเข้าถึงอย่างต่อเนื่องและวัตถุประสงค์เฉพาะ | การเคลื่อนไหวด้านข้างเป็นช่วงวิกฤตภายใน APT |
การแสวงหาผลประโยชน์แบบซีโร่เดย์ | กำหนดเป้าหมายช่องโหว่ที่ไม่รู้จักก่อนที่แพตช์จะพร้อมใช้งาน | การเคลื่อนไหวด้านข้างอาจรวมการหาช่องโหว่แบบซีโรเดย์เป็นส่วนหนึ่งของเทคนิค |
เนื่องจากความซับซ้อนของภัยคุกคามทางไซเบอร์ยังคงพัฒนาต่อไป การทำความเข้าใจเทคนิคและวิธีการที่ใช้ในการเคลื่อนที่ด้านข้างจึงเป็นสิ่งสำคัญยิ่งสำหรับกลยุทธ์การป้องกันที่มีประสิทธิภาพ
ด้วยการเข้าใจเทคนิคเหล่านี้ องค์กรต่างๆ สามารถใช้มาตรการรักษาความปลอดภัยเชิงรุกได้ เช่น การควบคุมการเข้าถึงที่แข็งแกร่ง การจัดการช่องโหว่ และการฝึกอบรมการรับรู้ของผู้ใช้ เพื่อลดความเสี่ยงที่เกี่ยวข้องกับการเคลื่อนไหวด้านข้าง และปกป้องทรัพย์สินที่สำคัญจากผู้บุกรุกทางไซเบอร์
ต่อไปนี้เป็นเทคนิคทั่วไปที่เกี่ยวข้องกับการโจมตีด้วยการเคลื่อนไหวด้านข้าง:
การโจมตีแบบ Pass-the-Hash ใช้ประโยชน์จากวิธีที่ Windows จัดเก็บข้อมูลประจำตัวของผู้ใช้ในรูปแบบของค่าที่แฮช ผู้โจมตีแยกแฮชรหัสผ่านออกจากระบบที่ถูกบุกรุก และใช้แฮชเหล่านี้เพื่อตรวจสอบสิทธิ์และเข้าถึงระบบอื่นๆ ภายในเครือข่าย ด้วยการเลี่ยงการใช้รหัสผ่านแบบธรรมดา การโจมตี PtH ช่วยให้ผู้โจมตีสามารถเคลื่อนที่ไปด้านข้างได้โดยไม่จำเป็นต้องขโมยข้อมูลประจำตัวอย่างต่อเนื่อง
การโจมตีแบบ Pass-the-Ticket ใช้ประโยชน์จาก Kerberos ตั๋วการตรวจสอบความถูกต้องเพื่อย้ายด้านข้างภายในเครือข่าย ผู้โจมตีได้รับและใช้ตั๋วที่ถูกต้องซึ่งได้รับจากระบบที่ถูกบุกรุกหรือถูกขโมยจากผู้ใช้ที่ถูกกฎหมายในทางที่ผิด ด้วยตั๋วเหล่านี้ พวกเขาสามารถตรวจสอบและเข้าถึงระบบเพิ่มเติม โดยไม่ต้องผ่านกลไกการตรวจสอบสิทธิ์แบบดั้งเดิม
การไฮแจ็ก RDP เกี่ยวข้องกับการจัดการหรือใช้ประโยชน์จาก Remote Desktop Protocol ซึ่งช่วยให้ผู้ใช้สามารถเชื่อมต่อกับระบบระยะไกลได้ ผู้โจมตีกำหนดเป้าหมายระบบที่เปิดใช้งาน RDP ใช้ประโยชน์จากช่องโหว่ หรือใช้ข้อมูลประจำตัวที่ถูกขโมยเพื่อเข้าถึงโดยไม่ได้รับอนุญาต เมื่อเข้าไปข้างในแล้ว พวกเขาสามารถนำทางในแนวขวางได้โดยการเชื่อมต่อกับระบบอื่น หรือใช้โฮสต์ที่ถูกบุกรุกเป็นจุดเริ่มต้นสำหรับการโจมตีเพิ่มเติม
การขโมยข้อมูลรับรองและการใช้ซ้ำมีบทบาทสำคัญในการเคลื่อนไหวด้านข้าง ผู้โจมตีใช้วิธีการต่างๆ เช่น การล็อกคีย์ ฟิชชิ่ง หรือการบังคับดุร้าย เพื่อขโมยข้อมูลประจำตัวที่ถูกต้อง เมื่อได้รับแล้ว ข้อมูลรับรองเหล่านี้จะถูกนำมาใช้ซ้ำเพื่อตรวจสอบสิทธิ์และย้ายข้ามเครือข่ายด้านข้าง ซึ่งอาจเพิ่มระดับสิทธิ์และเข้าถึงเป้าหมายที่มีมูลค่าสูง
การใช้ประโยชน์จากจุดอ่อนเป็นเทคนิคทั่วไปที่ใช้ในการเคลื่อนไหวด้านข้าง ผู้โจมตีกำหนดเป้าหมายระบบที่ไม่ได้รับการติดตั้งหรือการกำหนดค่าที่ไม่ถูกต้องเพื่อให้เข้าถึงโดยไม่ได้รับอนุญาต การใช้ช่องโหว่ช่วยให้สามารถเคลื่อนย้ายไปด้านข้างได้โดยการประนีประนอมโฮสต์เพิ่มเติม ใช้ประโยชน์จากจุดอ่อนในซอฟต์แวร์หรือการกำหนดค่าเครือข่าย
การแพร่กระจายมัลแวร์เป็นอีกวิธีหนึ่งที่ใช้กันแพร่หลายในการเคลื่อนไหวด้านข้าง ผู้โจมตีปรับใช้ซอฟต์แวร์ที่เป็นอันตราย เช่น เวิร์มหรือบอตเน็ต ภายในเครือข่ายที่ถูกบุกรุก อินสแตนซ์มัลแวร์เหล่านี้แพร่กระจายจากระบบหนึ่งไปยังอีกระบบหนึ่ง ช่วยผู้โจมตีในการนำทางและขยายการควบคุมภายในเครือข่าย
หนึ่งในการโจมตีทางไซเบอร์ที่โดดเด่นที่สุด แฮกเกอร์สามารถเข้าถึงเครือข่ายของ Target Corporation ผ่านทางผู้จำหน่ายบุคคลที่สาม จากนั้นพวกเขาใช้เทคนิคการเคลื่อนไหวด้านข้างเพื่อนำทางผ่านเครือข่าย เพิ่มสิทธิพิเศษ และประนีประนอมกับระบบ ณ จุดขาย (POS) ในที่สุด ผู้โจมตีได้ขโมยข้อมูลบัตรเครดิตของลูกค้าประมาณ 40 ล้านราย ซึ่งนำไปสู่ความสูญเสียทางการเงินที่สำคัญและความเสียหายต่อชื่อเสียงของ Target
ในการโจมตีที่มีชื่อเสียงนี้ แฮกเกอร์เชื่อว่าเชื่อมโยงกับเครือข่ายของ Sony Pictures ที่แทรกซึมเข้าไปในเกาหลีเหนือ เทคนิคการเคลื่อนไหวด้านข้างทำให้พวกเขาสามารถเคลื่อนที่ผ่านเครือข่าย เข้าถึงข้อมูลที่ละเอียดอ่อน รวมถึงภาพยนตร์ที่ยังไม่เผยแพร่ อีเมลผู้บริหาร และข้อมูลส่วนบุคคลของพนักงาน การโจมตีดังกล่าวขัดขวางการดำเนินธุรกิจและส่งผลให้มีการเปิดเผยข้อมูลที่เป็นความลับ ก่อให้เกิดความเสียหายทางการเงินและชื่อเสียงอย่างมาก
นอตเพตยา ransomware การโจมตีเริ่มต้นด้วยการประนีประนอมกลไกการอัปเดตของบริษัทซอฟต์แวร์บัญชีในยูเครน เมื่อเข้าไปข้างใน ผู้โจมตีใช้เทคนิคการเคลื่อนไหวด้านข้างเพื่อแพร่กระจายมัลแวร์ภายในเครือข่ายขององค์กรอย่างรวดเร็ว มัลแวร์แพร่กระจายทางด้านข้าง เข้ารหัสระบบและขัดขวางการดำเนินงานขององค์กรต่างๆ มากมายทั่วโลก NotPetya ก่อให้เกิดความเสียหายมูลค่าหลายพันล้านดอลลาร์ และเน้นย้ำถึงศักยภาพในการทำลายล้างของการเคลื่อนไหวด้านข้างในการแพร่กระจายแรนซัมแวร์
การโจมตี SolarWinds เกี่ยวข้องกับการประนีประนอมของห่วงโซ่อุปทานซอฟต์แวร์ โดยเฉพาะแพลตฟอร์มการจัดการไอทีของ Orion ที่จัดจำหน่ายโดย SolarWinds ด้วยการโจมตีห่วงโซ่อุปทานที่ซับซ้อน ผู้คุกคามได้แทรกการอัปเดตที่เป็นอันตรายซึ่งตรวจไม่พบเป็นเวลาหลายเดือน มีการใช้เทคนิคการเคลื่อนที่ด้านข้างเพื่อเคลื่อนที่ด้านข้างภายในเครือข่ายขององค์กรที่ใช้ซอฟต์แวร์ที่ถูกบุกรุก การโจมตีที่มีความซับซ้อนสูงนี้ส่งผลกระทบต่อหน่วยงานภาครัฐและองค์กรเอกชนจำนวนมาก นำไปสู่การละเมิดข้อมูล การจารกรรม และผลกระทบระยะยาว
ตัวอย่างจากโลกแห่งความเป็นจริงเหล่านี้แสดงให้เห็นถึงผลกระทบของการโจมตีแบบเคลื่อนไหวด้านข้างต่อองค์กรในภาคส่วนต่างๆ พวกเขาแสดงให้เห็นว่าผู้โจมตีใช้การเคลื่อนไหวด้านข้างเพื่อนำทางเครือข่าย เพิ่มสิทธิพิเศษ เข้าถึงข้อมูลอันมีค่า และก่อให้เกิดความเสียหายทางการเงินและชื่อเสียงอย่างมีนัยสำคัญได้อย่างไร
การตรวจจับและ ป้องกันการเคลื่อนไหวด้านข้าง การโจมตีถือเป็นสิ่งสำคัญสำหรับองค์กรในการปกป้องเครือข่ายและทรัพย์สินอันมีค่าของตน ต่อไปนี้เป็นกลยุทธ์ที่มีประสิทธิภาพในการตรวจจับและป้องกันการเคลื่อนไหวด้านข้าง:
การทำความเข้าใจจุดเริ่มต้นที่เป็นไปได้สำหรับการโจมตีด้วยการเคลื่อนที่ด้านข้างถือเป็นสิ่งสำคัญสำหรับองค์กรในการเสริมสร้างการป้องกันอย่างมีประสิทธิภาพ ด้วยการระบุและบรรเทาช่องโหว่เหล่านี้ องค์กรต่างๆ จึงสามารถปรับปรุงมาตรการรักษาความปลอดภัยและลดความเสี่ยงของการโจมตีการเคลื่อนไหวด้านข้างได้สำเร็จ
ข้อมูลรับรองที่อ่อนแอหรือถูกบุกรุก
รหัสผ่านที่ไม่รัดกุม การใช้รหัสผ่านซ้ำ หรือข้อมูลรับรองที่ถูกบุกรุกซึ่งได้รับจากการโจมตีแบบฟิชชิ่งหรือการละเมิดข้อมูลเป็นจุดเริ่มต้นที่สำคัญสำหรับการเคลื่อนไหวด้านข้าง ผู้โจมตีใช้ประโยชน์จากข้อมูลประจำตัวเหล่านี้เพื่อย้ายภายในเครือข่าย ซึ่งมักจะเพิ่มสิทธิพิเศษไปพร้อมกัน
ช่องโหว่ที่ไม่ได้รับการติดตั้ง
ซอฟต์แวร์หรือระบบที่ไม่ได้รับการแพตช์มีช่องโหว่ที่ผู้โจมตีสามารถนำไปใช้ประโยชน์เพื่อเข้าถึงเบื้องต้นและดำเนินการการเคลื่อนไหวด้านข้าง การไม่ใช้แพตช์รักษาความปลอดภัยและการอัปเดตจะทำให้ระบบเสี่ยงต่อช่องโหว่ที่ทราบซึ่งผู้คุกคามสามารถนำไปใช้ประโยชน์เพื่อแทรกซึมเครือข่ายได้
การตั้งค่าความปลอดภัยที่กำหนดค่าไม่ถูกต้อง
การกำหนดค่าความปลอดภัยที่ไม่เพียงพอ เช่น การควบคุมการเข้าถึงที่อ่อนแอ ไฟร์วอลล์ที่กำหนดค่าไม่ถูกต้อง หรือการอนุญาตผู้ใช้ที่กำหนดค่าไม่ถูกต้อง จะสร้างช่องทางสำหรับการเคลื่อนย้ายด้านข้าง ผู้โจมตีใช้ประโยชน์จากการกำหนดค่าที่ไม่ถูกต้องเหล่านี้เพื่อย้ายด้านข้าง เพิ่มระดับสิทธิ์ และเข้าถึงทรัพยากรที่ละเอียดอ่อน
เทคนิควิศวกรรมสังคม
เทคนิควิศวกรรมสังคม รวมถึงฟิชชิ่ง การล่อลวง หรือการแสดงข้อความล่วงหน้า ชักจูงให้บุคคลเปิดเผยข้อมูลที่ละเอียดอ่อนหรือดำเนินการที่ช่วยในการเคลื่อนไหวด้านข้าง ด้วยการหลอกลวงผู้ใช้ให้เปิดเผยข้อมูลประจำตัวหรือดำเนินการแนบไฟล์ที่เป็นอันตราย ผู้โจมตีสามารถตั้งหลักและนำทางผ่านเครือข่ายได้
ภัยคุกคามภายใน
คนวงในที่มีสิทธิ์เข้าถึงเครือข่ายสามารถอำนวยความสะดวกในการโจมตีการเคลื่อนไหวด้านข้างได้ คนวงในหรือบุคคลที่เป็นอันตรายซึ่งข้อมูลประจำตัวถูกบุกรุกสามารถใช้ประโยชน์จากการเข้าถึงที่ถูกต้องตามกฎหมายเพื่อย้ายออกไปด้านข้าง โดยข้ามมาตรการรักษาความปลอดภัยแบบเดิม
เครือข่ายท้องถิ่น (LAN)
เครือข่ายท้องถิ่นเป็นพื้นที่อุดมสมบูรณ์สำหรับการเคลื่อนที่ด้านข้างเนื่องจากลักษณะของอุปกรณ์และระบบที่เชื่อมต่อถึงกัน เมื่อเข้าไปใน LAN ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่หรือใช้ประโยชน์จากข้อมูลประจำตัวที่ถูกบุกรุกเพื่อนำทางผ่านเครือข่ายและเข้าถึงระบบเพิ่มเติม
เครือข่ายไร้สาย
เครือข่ายไร้สายที่มีความปลอดภัยน้อยหรือมีการกำหนดค่าไม่ถูกต้องเป็นจุดเริ่มต้นสำหรับการโจมตีด้วยการเคลื่อนไหวด้านข้าง ผู้โจมตีกำหนดเป้าหมายเครือข่ายไร้สายเพื่อเข้าถึงเครือข่ายและเปิดกิจกรรมการเคลื่อนไหวด้านข้าง โดยเฉพาะอย่างยิ่งเมื่ออุปกรณ์เชื่อมต่อกับเครือข่ายทั้งแบบมีสายและไร้สาย
สภาพแวดล้อมระบบคลาวด์
สภาพแวดล้อมคลาวด์ที่มีลักษณะกระจายตัวและบริการที่เชื่อมต่อถึงกัน อาจเสี่ยงต่อการเคลื่อนไหวด้านข้าง การกำหนดค่าที่ไม่ถูกต้อง การควบคุมการเข้าถึงที่ไม่รัดกุม หรือข้อมูลรับรองระบบคลาวด์ที่ถูกบุกรุกสามารถทำให้ผู้โจมตีสามารถย้ายจากด้านข้างระหว่างทรัพยากรระบบคลาวด์และระบบภายในองค์กรได้
อุปกรณ์ Internet of Things (IoT)
อุปกรณ์ IoT ที่กำหนดค่าอย่างไม่ปลอดภัยหรือไม่ได้ติดตั้งแพตช์จะแสดงจุดเริ่มต้นที่เป็นไปได้สำหรับการเคลื่อนไหวด้านข้าง อุปกรณ์ IoT ที่มีช่องโหว่ซึ่งมักขาดการควบคุมความปลอดภัยที่แข็งแกร่ง สามารถทำหน้าที่เป็นจุดเริ่มต้นสำหรับผู้โจมตีในการแทรกซึมเครือข่ายและดำเนินกิจกรรมการเคลื่อนไหวด้านข้าง
ระบบในองค์กร
ระบบเดิมหรือระบบภายในองค์กรที่ไม่ได้รับการอัปเดตความปลอดภัยเป็นประจำหรือขาดการควบคุมความปลอดภัยที่เพียงพอสามารถกำหนดเป้าหมายสำหรับการเคลื่อนไหวด้านข้างได้ ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในระบบเหล่านี้เพื่อเข้าถึงและเปลี่ยนทิศทางภายในเครือข่าย
พื้นที่ การรักษาความปลอดภัย Zero Trust โมเดลกำลังปฏิวัติวิธีที่องค์กรต่างๆ ป้องกันการโจมตีจากการเคลื่อนไหวด้านข้าง โดยขจัดความเชื่อถือภายในเครือข่าย ความน่าเชื่อถือเป็นศูนย์ ลดความเสี่ยงของการเคลื่อนไหวด้านข้างโดยไม่ได้รับอนุญาตโดยมุ่งเน้นไปที่ประเด็นสำคัญบางประการ:
การยืนยันตัวตน
Zero Trust เน้นการตรวจสอบตัวตนและการตรวจสอบอุปกรณ์อย่างเข้มงวดสำหรับความพยายามในการเข้าถึงทุกครั้ง โดยไม่คำนึงถึงสถานที่ เฉพาะผู้ใช้ที่ได้รับการรับรองความถูกต้องและได้รับอนุญาตเท่านั้นที่จะได้รับการเข้าถึง ซึ่งช่วยลดโอกาสที่จะเกิดการเคลื่อนไหวด้านข้างโดยไม่ได้รับอนุญาต
การแบ่งส่วนย่อย
การแบ่งส่วนย่อยแบ่งเครือข่ายออกเป็นส่วนเล็กๆ ด้วยการควบคุมการเข้าถึงแบบละเอียด โดยบังคับใช้อย่างเข้มงวด การแบ่งส่วนข้อมูลประจำตัวการเคลื่อนไหวด้านข้างถูกจำกัด โดยจำกัดผลกระทบของการละเมิดที่อาจเกิดขึ้น
การตรวจสอบอย่างต่อเนื่อง
Zero Trust ส่งเสริมการตรวจสอบอย่างต่อเนื่องและการวิเคราะห์กิจกรรมเครือข่ายแบบเรียลไทม์ พฤติกรรมผิดปกติที่บ่งบอกถึงการเคลื่อนไหวด้านข้างจะถูกตรวจพบทันที ทำให้เกิดการตอบสนองและการกักกันที่รวดเร็ว
สิทธิเข้าถึงน้อยที่สุด
Zero Trust ปฏิบัติตามหลักการของสิทธิ์ขั้นต่ำ โดยให้สิทธิ์การเข้าถึงขั้นต่ำแก่ผู้ใช้ ความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาตจะถูกระบุและป้องกันอย่างรวดเร็ว ซึ่งช่วยลดความเสี่ยงของการเคลื่อนไหวด้านข้าง
การประเมินความน่าเชื่อถือแบบไดนามิก
Zero Trust ประเมินระดับความน่าเชื่อถือแบบไดนามิกระหว่างการโต้ตอบกับเครือข่าย การประเมินพฤติกรรมผู้ใช้และสุขภาพอุปกรณ์อย่างต่อเนื่องช่วยให้มั่นใจในการตรวจสอบอย่างต่อเนื่อง ซึ่งลดความเสี่ยงของการเคลื่อนไหวด้านข้างให้เหลือน้อยที่สุด