ถึงทีภัยคุกคามถูกหลอก

ในบทความที่ผ่านมาผมพูดถึง Deception Tools ที่สามารถหลอกล่อภัยคุกคามได้ อันมีต้นกำเนิดมาจาก Honeypots ที่ถูกพัฒนาจนกลายเป็น “Next-generation Distributed Deception” โดยวันนี้ผมมีข้อมูลน่าสนใจ 5 ข้อที่ชี้ว่าองค์กรจะได้ประโยชน์อะไรบ้างจากการเลือกใช้โซลูชันนี้มาฝากครับ

  1. ทำให้ทีม Security Operations Center (SOC) มีประสิทธิภาพมากกว่าเดิม

หนึ่งในเรื่องน่าปวดหัวที่ทีม SOC ต้องเผชิญคือการแจ้งเตือนที่เข้ามามากมายในแต่ละวัน ซึ่งจากการวิจัยพบว่ามากกว่า 50% ของการแจ้งเตือนนั้นคือผลการแจ้งเตือนที่ไม่เป็นจริง (False Positives) และเป็นสาเหตุที่ทีม SOC ต้องเสียเวลาและทรัพยากรในการตรวจสอบไปโดยเปล่าประโยชน์

Deception จะเข้ามาช่วยในการแยกแยะว่าการแจ้งเตือนใดเป็นของจริง ด้วยเทคโนโลยีการหลอกล่อภัยคุกคามที่มีประสิทธิภาพในการแยกแยะ ทำให้การจู่โจมที่ผิดพลาดเพียงครั้งเดียวจากผู้คุกคามถูกตรวจจับได้ในทันที จนสามารถสืบสวนที่มาได้อย่างรวดเร็ว ช่วยให้ทีม SOC ทุ่มเทเวลาและทรัพยากรไปกับปัญหาหรือภัยคุกคามที่สำคัญและเกิดขึ้นจริงได้ทันที ไม่หลงทางไปกับ False Positives จนทำให้เสียเวลา

  1. ช่วยตรวจจับภัยคุกคามจากภายใน

ผลการวิจัยพบว่าภัยคุกคามมากกว่า 60% คือ Insider Threats เพราะบุคคลภายในสามารถที่จะปฏิบัติการได้เงียบกว่า แนบเนียนกว่า และสร้างความเสียหายได้มากกว่าบุคคลภายนอก เพราะได้รับความไว้เนื้อเชื่อใจในการเข้าถึงข้อมูล หรือทรัพยากรที่มีค่าขององค์กรมากกว่า

Deception จะเข้ามาช่วยในการแยกแยะภัยคุกคามทั้งจากภายในและภายนอก รวมถึงหลอกล่อบุคคลภายในได้อย่างแนบเนียน โดยการใช้เทคนิค Reverse Engineering ในการตรวจสอบ

  1. ปกป้องครอบคลุมทั้ง IT และ OT

เราอาจจะคุ้นชินกับ Information Technology (IT) จนลืมนึกถึง Operational Technology (OT) ที่กลายมาเป็นเป้าหมายสำคัญในการจู่โจมมากขึ้น เพราะระบบ OT นั้นไม่ได้ถูกเฝ้าระวังและได้รับการอุดช่องโหว่เป็นประจำ ซึ่งกรณีนี้จะคล้ายกับกรณีของอุปกรณ์ IoT ที่นับวันจะเริ่มกลายมาเป็นเป้าหมายขึ้นเรื่อยๆ

Deception จะเข้ามาช่วยล่อภัยคุกคามนั้นให้หลงทางด้วยเหยื่อล่อที่สมจริง และตอบสนองได้เหมือนเป็นระบบจริงๆ ทำให้ภัยคุกคามเข้ามาติดกับโดยไม่รู้ว่ากำลังถูกหลอกซ้อนมาอีกที

  1. ตอบโจทย์ข้อบังคับ รวมถึงพ.ร.บ.ต่างๆ

แน่นอนว่าข้อบังคับจากทางภาครัฐเป็นสิ่งที่องค์กรต้องทำตาม ในประเทศไทย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คือตัวอย่างที่เห็นได้ชัดที่สุดในการปรับองค์กรให้ทำงานได้ตามข้อบังคับ จนเกิดเป็นความซับซ้อน และขั้นตอนที่เพิ่มขึ้น

Deception จะเข้ามาช่วยในการคาดคะเนล่วงหน้า ซึ่งความสามารถในการจัดการเชิงรุกแบบนี้ จะช่วยให้องค์กรมั่นใจได้ว่าการป้องกันด้วยโซลูชันนี้มีความปลอดภัย และก้าวนำภัยคุกคามอยู่เสมอ

  1. ทำงานร่วมกับโซลูชันอื่นได้เมื่อต้องตรวจสอบสาเหตุของภัยคุกคาม

เมื่อตกเป็นเหยื่อของภัยคุกคาม แน่นอนว่าทุกองค์กรต้องหาสาเหตุเพื่อป้องกันไม่ให้เหตุการณ์เกิดขึ้นอีกในอนาคต

Deception จะเข้ามาช่วยให้องค์กรหาสาเหตุได้ง่ายและรวดเร็วขึ้น ด้วยการทำงานร่วมกับโซลูชันอื่นๆ เช่น SOAR และ SIEM จนสามารถแสดงผลสิ่งที่ผู้จู่โจมทิ้งร่องรอยไว้ได้ชัดเจน และยังสามารถนำข้อมูลออกไปทำการวิเคราะห์ภัยคุกคามต่อได้อีกด้วย ทำให้องค์กรเข้าใจสาเหตุที่เกิดขึ้น และตอบสนองภัยคุกคามได้ดีกว่าเดิม

เมื่อเกิดภัยคุกคามขึ้นองค์กรจะเสียข้อมูลสำคัญ หรือชื่อเสียงขององค์กรไปเสมอ แต่หากเลือกใช้โซลูชันที่ช่วยหลอกภัยคุกคามให้อยู่ในโลกแห่งความฝัน จนไม่ได้ไปแตะต้องทรัพยากรจริงขององค์กรก็จะทำให้องค์กรแทบจะไม่เสียหายอะไร และยังจัดการกับภัยคุกคามได้ทันทีอีกด้วยครับ