“Threat Hunting” ตามล่าภัยคุกคามทางไซเบอร์ 101
จำเป็นอย่างยิ่งที่จะต้องมีระบบ Proactive Cybersecurity ไว้ เพราะในอนาคตการโจมตีจะมาในหลายรูปแบบและหลายลักษณะ
วันนี้ผมขอเล่าเรื่อง “Threat Hunting” หนึ่งในเรื่องที่น่าสนใจของแวดวงไซเบอร์ ซิเคียวริตี้ สำหรับการเริ่มต้นการทำThreat Hunting มี 4 หัวข้อด้วยกันที่เราต้องเริ่มทำความเข้าใจกันก่อนคือ
1. มีระบบ Threat Hunting แบบเชิงรุก ไม่ใช่เชิงรับ โดยระบบ Threat Hunting จะสร้างสมมติฐานเพื่อทดสอบเงื่อนไขความเป็นไปได้ที่เหล่าบรรดาเฮกเกอร์อาจแทรกซึมเข้ามาในระบบเครือข่าย โดยสมมติฐานเหล่านี้อาจเป็นในรูปแบบของการได้รับแจ้งเตือนเมื่อมีความผิดปกติของระบบเครือข่าย หรือการแจ้งเตือนเมื่อมีการบุกรุกเข้าไปในสถานการณ์ที่ได้จำลองไว้
2. Threat Hunting จะมีการตั้งสมมุติฐานเสมอว่าเหตุการณ์เลวร้ายที่สุดนั้นได้เกิดขึ้นแล้ว จากนั้นระบบThreat Hunting ต้องดำเนินการตามล่าโดยสันนิษฐานว่าแฮกเกอร์ได้หลบเลี่ยงการป้องกันที่มีอยู่ ดังนั้น การไล่ล่าจึงเริ่มต้นด้วยสมมติฐานที่ว่าการโจมตีนั้นสำเร็จแล้ว และจึงเริ่มค้นหาหลักฐานภายใต้เงื่อนไขที่จะยอมให้สมมติฐานดังกล่าวนั้นเป็นจริง
3. แม้ว่ามนุษย์เราจะเป็นผู้ปฏิบัติการ Threat Hunting เพื่อล่าภัยคุกคาม แต่เราก็ยังคงใช้ประโยชน์จากเทคโนโลยีต่างๆ ที่มีความเหมาะสมมาเป็นตัวช่วยในการจัดการสิ่งต่างๆ เหล่านี้ซึ่งในปัจจุบันหลายองค์กรยังคงต้องการให้ผู้เชี่ยวชาญที่ได้รับการฝึกอบรมมาเป็นผู้นำในการตามล่าภัยคุกคามเหล่านี้ โดย ระบบ Threat Hunting จะใช้การคิดเชิงวิพากษ์ ความรู้ในการเขียนสคริป และวิธีการค้นหาด้วยตนเองเพื่อตามหาภัยคุกคามที่หลบเลี่ยงเทคโนโลยีการตรวจจับ อาทิ
เทคโนโลยีที่เกิดขึ้นใหม่อย่าง AI และการเรียนรู้ของโปรแกรมด้วยตัวเอง (Machine Learning) ที่สามารถช่วยให้ระบบ Threat Hunting สามารถกรองข้อมูลปริมาณมากมายมหาศาลและสร้างการค้นหาที่มีข้อมูลมากขึ้นตามข้อมูลภัยคุกคามที่มีอยู่
4. การตามล่าภัยคุกคามนั้นจะช่วยปรับปรุงกระบวนการการรักษาความปลอดภัยขององค์กร โดยไม่คำนึงถึงผลลัพธ์ของการตามล่า การล่าอาจช่วยให้เราพบช่องโหว่ หรืออาจแสดงให้เราเห็นเกี่ยวกับกิจกรรมในเครือข่ายที่ไม่เกี่ยวข้องกับเป้าหมายของการตรวจสอบ แต่ไม่ว่าจะพบสิ่งใด การฝึกตามล่าจะช่วยทำให้เราตระหนักถึงความปลอดภัยและมองเห็นเครือข่ายขององค์กรเราได้
เราจะเห็นได้ว่าระบบไซเบอร์ซีเคียวริตี้ในปัจจุบันจะเป็นในรูปแบบเชิงป้องกัน (defend) เป็นส่วนใหญ่และการหาข้อมูลที่อยู่ในระบบเครือข่ายโดยผ่านระบบ AI หรือระบบฐานข้อมูลที่มีอยู่ โดยภัยต่างๆ เหล่านี้ได้ผ่านเข้ามาในระบบเครือข่ายขององค์กรแล้วซึ่งอาจจะช้าไปและอาจกำลังรอเวลาให้เกิดเหตุการณ์โจมตีรุนแรงขึ้นในอนาคต
ระบบ Threat Hunting จะเป็นในเชิงที่เรียกว่า Proactive Cybersecurity ซึ่งสามารถที่จะมองเห็นหรือวิเคราะห์ว่าองค์กร หรือ digital asset ขององค์กรนั้นๆ มีแนวโน้มจะถูกการโจมตี ทั้งนี้เราจะนำข้อมูลของเหล่าบรรดาแฮกเกอร์ต่างๆ ที่อยู่ใน dark web หรือแม้กระทั้งมีการสื่อสารกันว่า ขณะนี้จะเลือกใช้เป้าหมายองค์กรใด โดเมน (Domain) หรือ IP ไหนบ้าง เราจึงต้องมีการวางแผนเพื่อไล่ล่าแนวการโจมตีเหล่านั้นให้ได้อย่างทันถ่วงที
อย่างที่ผมกล่าวมานั้นระบบ Threat Hunting จึงควรจะมีในองค์กร โดยเฉพาะอย่างยิ่งองค์กรขนาดใหญ่ที่มีผู้ใช้งานเป็นจำนวนมาก จำเป็นอย่างยิ่งที่จะต้องมีระบบ Proactive Cybersecurity ไว้ เพราะในอนาคตการโจมตีจะมาในหลายรูปแบบและหลายลักษณะครับ