share

'Threat Intelligence' หน่วยข่าวกรอง ช่วยรับมือภัยคุกคาม

Last updated: 13 Jun 2024
310 Views
'Threat Intelligence' หน่วยข่าวกรอง ช่วยรับมือภัยคุกคาม

'Threat Intelligence' หน่วยข่าวกรอง ช่วยรับมือภัยคุกคาม

ฟีดข้อมูลภัยคุกคามถือเป็นอีกหนึ่งตัวช่วยรับมือกับภัยคุกคามทางไซเบอร์ที่มาในหลากหลายรูปแบบ

ผ่านการอัพเดทตัวบ่งชี้ช่องโหว่ (Indicators Of Compromise หรือ IOC) แบบแบบเรียลไทม์ เช่น IP และ URL ปลอมที่เป็นอันตราย

ฟีดข่าวกรองภัยคุกคามแบบโอเพ่นซอร์ส (Threat Intelligence หรือ TI) จะแสดงข้อมูลภัยคุกคามที่มาจากแหล่งข้อมูลจำนวนมากที่รวบรวมและเพิ่มตัวบ่งชี้ด้วยลิงก์ไปยังเซสชันการวิเคราะห์แซนด์บ็อกซ์ (sandbox) ที่เกี่ยวข้อง 

ตัวอย่างเช่น การแชร์ตัวบ่งชี้อัตโนมัติของ DHS, InfraGard Portal ของ FBI, Abuse.ch, Internet Storm Center ของ SANS และโปรเจค Spamhaus โดยฟีด TI จะส่งข้อมูลในรูปแบบมาตรฐานที่เรียกว่า STIX (Structured Threat Information Expression) ซึ่งช่วยให้มั่นใจได้ถึงการแลกเปลี่ยนข้อมูลที่สอดคล้องกันระหว่างระบบความปลอดภัยของผู้จำหน่ายต่างๆ

โดยทั่วไป STIX object จะมีรายละเอียด เช่น IP address มูลค่า รายละเอียดช่วงเวลาการสร้างและการแก้ไข เซสชันแซนด์บ็อกซ์ และป้ายแจ้งภัยคุกคาม

จากนั้นระบบรักษาความปลอดภัยจะนำเข้า IOC เหล่านี้เพื่อช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยสามารถสังเกตพฤติกรรมและประมวลผลภัยคุกคามภายในสภาพแวดล้อมที่มีการควบคุมได้โดยตรง ระบุและบล็อกภัยคุกคามที่อาจเกิดขึ้น

TI Feed จะใช้ประโยชน์จากระบบ SIEM (Security Information and Event Management) จะทำหน้าที่ในการรวบรวม ตรวจสอบข้อมูลและเชื่อมโยงเหตุการณ์ด้านความปลอดภัยพร้อมทั้ง กำหนดค่าให้วิเคราะห์ข้อมูลควบคู่ไปกับการบันทึกจากแหล่งต่างๆ และแพลตฟอร์มข่าวกรองภัยคุกคาม TIP (Threat Intelligence Platform) จะสร้างและจัดลำดับความสำคัญของตัวบ่งชี้ที่มีความเสี่ยงสูง และติดตามองค์ประกอบที่น่าสงสัยไม่

ว่าจะเป็น IP address, domain และ hash ของไฟล์ที่เชื่อมโยงกับภัยคุกคามที่รู้จักโดยเปิดโหมดการตอบสนองอย่างอัตโนมัติตามความรุนแรงของภัยคุกคาม

เช่น การบล็อก IP หรือโดเมนที่เป็นอันตราย โดยการเลือกใช้ทั้ง SIEM และ TIP จะช่วยเพิ่มการมองเห็นภาพรวมของการโจมตี ตัดสินใจแก้ไขระบบได้ดียิ่งขึ้นและยังได้ฟีดข่าวกรองภัยคุกคามที่มีประสิทธิภาพมากขึ้นอีกด้วย

แซนด์บ็อกซ์มัลแวร์ ANY.RUN คือแซนด์บ็อกซ์มัลแวร์อินเตอร์แอคทีฟบนคลาวด์สำหรับทีม SOC และ DFIR ด้วยคุณสมบัติขั้นสูง ผู้เชี่ยวชาญ 300,000 คนสามารถตรวจสอบเหตุการณ์และปรับปรุงการวิเคราะห์ภัยคุกคามที่ได้รวบรวมข้อมูลมาแบบเรียลไทม์จากงานประจำวันถึง 14,000 งาน โดยนักวิจัยมากกว่า 300,000 คน

เพื่อค้นหาตัวอย่างมัลแวร์ที่เลี่ยงผ่านการตรวจจับอัตโนมัติ รวมทั้งยังสามารถจัดการไฟล์ได้สูงสุดถึง 100MB และกำหนดค่า VPN, MITM Proxy และ FakeNet แบบกำหนดเองสำหรับ Windows/Linux ได้เป็นเวลา 20 นาที อีกทั้งยังเชื่อมโยงกับการค้นหาข่าวกรองภัยคุกคาม สามารถระบุตัวบ่งชี้และเข้าถึงเซสชันแซนด์บ็อกซ์ที่บันทึกไว้เพื่อดูข้อมูลเชิงลึกเกี่ยวกับพฤติกรรมมัลแวร์

ขณะเดียวกัน หลีกเลี่ยงความเหนื่อยล้าในการแจ้งเตือนหลอกลวงที่มากเกินไปและที่อาจเกิดขึ้นได้ ให้ใช้การคัดกรองตามชื่อของแหล่งที่มา อายุของตัวบ่งชี้ และรายละเอียดบริบท เพื่อให้แน่ใจว่าทีมรักษาความปลอดภัยจะจัดลำดับความสำคัญและตอบสนองต่อภัยคุกคามของแท้ได้อย่างมีประสิทธิภาพ

ทั้งนี้ การใช้ฟีดข่าวกรองภัยคุกคามเชิงพาณิชย์ร่วมกับแบบโอเพ่นซอร์สจะช่วยครอบคลุมภัยคุกคามให้เพิ่มมากขี้นเพราะฟีดเชิงพาณิชย์จะนำเสนอข้อมูลภัยคุกคามที่เกี่ยวข้องและทันท่วงทีในขณะที่ฟีดโอเพ่นซอร์สจะขยายความครอบคลุมโดยรวมให้กว้างขึ้น

ฉะนั้นหน่วยงานของรัฐมีหน้าที่จัดการฟีดข่าวกรองภัยคุกคามเหล่านี้โดยรวมข้อมูลจากแหล่งต่างๆ ไว้ที่ศูนย์กลางและแจกจ่ายเพื่อเพิ่มความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ให้กับผู้ใช้งานในองค์กรต่างๆ เฝ้าระวังและตื่นตัวอยู่ตลอดเวลาและยังเป็นการสร้างภูมิคุ้มกันต่อการโจมตีทางไซเบอร์ได้อีกด้วยครับ

สามารถติดตามบทความจาก CEO ผ่านทางบทความ Think Secure โดย คุณนักรบ เนียมนามธรรม (นักรบ มือปราบไวรัส) เป็นประจำทุกสัปดาห์ ได้ทางหนังสือพิมพ์กรุงเทพธุรกิจ หรือช่องทาง Online ที่ https://www.bangkokbiznews.com/category/tech/gadget 

ที่มา: หนังสือพิมพ์กรุงเทพธุรกิจ (ฉบับวันที่ 28 พฤษภาคม 2567)
https://www.bangkokbiznews.com/blogs/tech/gadget/1128775 

Related Content
This website uses cookies to enhance your experience and providing the best service from us. Please confirm the acceptance. You can learn more about our use of cookies from our Policy. Privacy Policy and Cookies Policy
Compare product
0/4
Remove all
Compare