'Threat Intelligence' หน่วยข่าวกรอง ช่วยรับมือภัยคุกคาม

'Threat Intelligence' หน่วยข่าวกรอง ช่วยรับมือภัยคุกคาม

ฟีดข้อมูลภัยคุกคามถือเป็นอีกหนึ่งตัวช่วยรับมือกับภัยคุกคามทางไซเบอร์ที่มาในหลากหลายรูปแบบ

ผ่านการอัพเดทตัวบ่งชี้ช่องโหว่ (Indicators Of Compromise หรือ IOC) แบบแบบเรียลไทม์ เช่น IP และ URL ปลอมที่เป็นอันตราย

ฟีดข่าวกรองภัยคุกคามแบบโอเพ่นซอร์ส (Threat Intelligence หรือ TI) จะแสดงข้อมูลภัยคุกคามที่มาจากแหล่งข้อมูลจำนวนมากที่รวบรวมและเพิ่มตัวบ่งชี้ด้วยลิงก์ไปยังเซสชันการวิเคราะห์แซนด์บ็อกซ์ (sandbox) ที่เกี่ยวข้อง 

ตัวอย่างเช่น การแชร์ตัวบ่งชี้อัตโนมัติของ DHS, InfraGard Portal ของ FBI, Abuse.ch, Internet Storm Center ของ SANS และโปรเจค Spamhaus โดยฟีด TI จะส่งข้อมูลในรูปแบบมาตรฐานที่เรียกว่า STIX (Structured Threat Information Expression) ซึ่งช่วยให้มั่นใจได้ถึงการแลกเปลี่ยนข้อมูลที่สอดคล้องกันระหว่างระบบความปลอดภัยของผู้จำหน่ายต่างๆ

ดยทั่วไป STIX object จะมีรายละเอียด เช่น IP address มูลค่า รายละเอียดช่วงเวลาการสร้างและการแก้ไข เซสชันแซนด์บ็อกซ์ และป้ายแจ้งภัยคุกคาม

จากนั้นระบบรักษาความปลอดภัยจะนำเข้า IOC เหล่านี้เพื่อช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยสามารถสังเกตพฤติกรรมและประมวลผลภัยคุกคามภายในสภาพแวดล้อมที่มีการควบคุมได้โดยตรง ระบุและบล็อกภัยคุกคามที่อาจเกิดขึ้น

TI Feed จะใช้ประโยชน์จากระบบ SIEM (Security Information and Event Management) จะทำหน้าที่ในการรวบรวม ตรวจสอบข้อมูลและเชื่อมโยงเหตุการณ์ด้านความปลอดภัยพร้อมทั้ง กำหนดค่าให้วิเคราะห์ข้อมูลควบคู่ไปกับการบันทึกจากแหล่งต่างๆ และแพลตฟอร์มข่าวกรองภัยคุกคาม TIP (Threat Intelligence Platform) จะสร้างและจัดลำดับความสำคัญของตัวบ่งชี้ที่มีความเสี่ยงสูง และติดตามองค์ประกอบที่น่าสงสัยไม่

ว่าจะเป็น IP address, domain และ hash ของไฟล์ที่เชื่อมโยงกับภัยคุกคามที่รู้จักโดยเปิดโหมดการตอบสนองอย่างอัตโนมัติตามความรุนแรงของภัยคุกคาม

เช่น การบล็อก IP หรือโดเมนที่เป็นอันตราย โดยการเลือกใช้ทั้ง SIEM และ TIP จะช่วยเพิ่มการมองเห็นภาพรวมของการโจมตี ตัดสินใจแก้ไขระบบได้ดียิ่งขึ้นและยังได้ฟีดข่าวกรองภัยคุกคามที่มีประสิทธิภาพมากขึ้นอีกด้วย

แซนด์บ็อกซ์มัลแวร์ ANY.RUN คือแซนด์บ็อกซ์มัลแวร์อินเตอร์แอคทีฟบนคลาวด์สำหรับทีม SOC และ DFIR ด้วยคุณสมบัติขั้นสูง ผู้เชี่ยวชาญ 300,000 คนสามารถตรวจสอบเหตุการณ์และปรับปรุงการวิเคราะห์ภัยคุกคามที่ได้รวบรวมข้อมูลมาแบบเรียลไทม์จากงานประจำวันถึง 14,000 งาน โดยนักวิจัยมากกว่า 300,000 คน

เพื่อค้นหาตัวอย่างมัลแวร์ที่เลี่ยงผ่านการตรวจจับอัตโนมัติ รวมทั้งยังสามารถจัดการไฟล์ได้สูงสุดถึง 100MB และกำหนดค่า VPN, MITM Proxy และ FakeNet แบบกำหนดเองสำหรับ Windows/Linux ได้เป็นเวลา 20 นาที อีกทั้งยังเชื่อมโยงกับการค้นหาข่าวกรองภัยคุกคาม สามารถระบุตัวบ่งชี้และเข้าถึงเซสชันแซนด์บ็อกซ์ที่บันทึกไว้เพื่อดูข้อมูลเชิงลึกเกี่ยวกับพฤติกรรมมัลแวร์

ขณะเดียวกัน หลีกเลี่ยงความเหนื่อยล้าในการแจ้งเตือนหลอกลวงที่มากเกินไปและที่อาจเกิดขึ้นได้ ให้ใช้การคัดกรองตามชื่อของแหล่งที่มา อายุของตัวบ่งชี้ และรายละเอียดบริบท เพื่อให้แน่ใจว่าทีมรักษาความปลอดภัยจะจัดลำดับความสำคัญและตอบสนองต่อภัยคุกคามของแท้ได้อย่างมีประสิทธิภาพ

ทั้งนี้การใช้ฟีดข่าวกรองภัยคุกคามเชิงพาณิชย์ร่วมกับแบบโอเพ่นซอร์สจะช่วยครอบคลุมภัยคุกคามให้เพิ่มมากขี้นเพราะฟีดเชิงพาณิชย์จะนำเสนอข้อมูลภัยคุกคามที่เกี่ยวข้องและทันท่วงทีในขณะที่ฟีดโอเพ่นซอร์สจะขยายความครอบคลุมโดยรวมให้กว้างขึ้น

ฉะนั้นหน่วยงานของรัฐมีหน้าที่จัดการฟีดข่าวกรองภัยคุกคามเหล่านี้โดยรวมข้อมูลจากแหล่งต่างๆ ไว้ที่ศูนย์กลางและแจกจ่ายเพื่อเพิ่มความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ให้กับผู้ใช้งานในองค์กรต่างๆ เฝ้าระวังและตื่นตัวอยู่ตลอดเวลาและยังเป็นการสร้างภูมิคุ้มกันต่อการโจมตีทางไซเบอร์ได้อีกด้วยครับ