Cyber Threat Intelligence
Cyber Threat Intelligence
Cyber Threat Intelligence คืออะไร
ปัจจุบันภัยคุกคามทางไซเบอร์มีจำนวนที่เพิ่มสูงขึ้นและทวีความรุนแรงขึ้นตามลำดับ การเพิ่มประสิทธิภาพของข่าวกรอง ในการรับรู้ถึงภัยคุกคาม ข้อมูลวิเคราะห์ในเชิงลึก วิธีการตรวจจับ วิธีการป้องกัน หรือโดยภาพรวมเรียกว่า Cyber Threat Intelligence (CTI) จึงเป็นส่วนประกอบที่สำคัญสำหรับองค์กรในการลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่ส่งผลกระทบหรืออาจก่อให้เกิดความเสี่ยงต่อการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคม หรือการให้บริการโดยปกติ
ระบบข่าวกรองภัยคุกคามไซเบอร์ (CTI) คือ ระบบที่จัดการรวบรวมข้อมูลจากแหล่งข่าวโดยตรวจสอบภัยคุกคามแบบ Outside-In คือการมุ่งเน้นไปที่การตรวจสอบจากแหล่งข้อมูลภายนอกไม่ว่าจะเป็น อินเทอร์เน็ต, เครือข่ายสังคมออนไลน์, Surface web, Deepweb, หรือดาร์กเว็บ (Darkweb) เพื่อค้นหาข้อมูลที่เกี่ยวข้องกับองค์กรเพื่อเพิ่มประสิทธิภาพของข่าวกรองในการรับรู้ถึงภัยคุกคาม และวิเคราะห์ข้อมูลภัยคุกคามในเชิงลึก และลดความเสียหายที่อาจเกิดขึ้นจากภัยคุกคามที่มีเป้าหมายโจมที่ภาพลักษณ์ สื่อ ข้อมูลผู้ใช้บริการและภายในองค์กรและวิเคราะห์, ประมวลผลเพื่อให้เข้าถึงบริบท เช่น แรงจูงใจ เป้าหมาย และพฤติกรรมการโจมตีของผู้ไม่ประสงค์ดี พร้อมแนบข้อมูลจำเพาะเกี่ยวกับกลุ่มผู้ไม่ประสงค์ดี วัตถุประสงค์เบื้องหลัง Tactics, Techniques, Procedures (TTPs) ที่กลุ่มผู้ไม่ประสงค์ดีใช้มาให้ด้วย รวมถึงวิเคราะห์การโจมตีสมัยใหม่มีความซับซ้อน และล้ำสมัยอย่างเช่นการใช้วิศวกรรมสังคม (Social Engineering) ทรัพย์สินขององค์กรที่อาจจะเป็นเป้าหมายของผู้ไม่ประสงค์ดี เช่น ตราสินค้า, ข้อมูลขององค์กร, ข้อมูลบุคลากรองค์กร, source code, ชื่อโดเมน, ซึ่งถูกปล่อยอยู่บน Dark web เพื่อให้องค์กรสามารถเตรียมวิธีรับมือได้อย่างมีประสิทธิภาพ
ประโยชน์ที่จะได้รับ
หากบริษัทได้มีการเฝ้าระวังข่าวกรองภัยคุกคามจะสามารถช่วยให้องค์กรสามารถหลีกเลี่ยงหรือจำกัดความเสียหายของภัยคุกคามที่อาจเกิดขึ้นกับองค์กรของคุณได้ด้วยการตรวจจับและหยุดการโจมตี ทราบถึงเทรนด์และวิธีการโจมตีใหม่ๆและเพิ่มประสิทธิภาพการรับมือภัยคุกคามทางไซเบอร์จากเชิงรับเป็นเชิงรุกในการต่อสู้กับผู้ประสงค์ดี การนำระบบข่าวกรองภัยคุกคามไซเบอร์ไปใช้ประโยชน์ได้มีหลายระดับในองค์กร
– ระดับยุทธวิธี (tactical) เพื่อเข้าใจข้อมูลที่รวบรวมโดยระบบและเซ็นเซอร์ด้านความมั่นคงปลอดภัย ส่วนใหญ่มักจะเป็น Indicator of Compromise สำหรับใช้ตรวจสอบหลักฐานทางดิจิทัลและฟื้นฟูความเสียหายที่เกิดขึ้น
– ระดับปฏิบัติการ (operation) สร้างบริบทของภัยคุกคามและขอบเขตการโจมตี รวมไปถึงวิธีที่ดีที่สุดในการตอบสนองต่อการโจมตีของกลุ่มผู้ไม่ประสงค์ดี
– ระดับกลยุทธ์ (strategic) เพื่อเข้าใจข้อมูลหลังผ่านการวิเคราะห์ เช่น กลุ่มผู้ไม่ประสงค์ดีที่กำลังพุ่งเป้ามาที่องค์กร ความเสี่ยงที่อาจจะเกิดขึ้น และกฎหมายข้อบังคับต่างๆ ที่ต้องปฏิบัติตาม สำหรับนำไปปรับใช้กับนโยบายและการวางแผนกลยุทธ์ด้านความมั่นคงปลอดภัย
หน่วยงานใดบ้างที่ใช้ Threat intelligence
- ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ CERT
- หน่วยงานความมั่นคงปลอดภัยระดับประเทศ
- กลุ่มโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure : CII )
- หน่วยงานด้านความมั่นคงและบริการภาครัฐที่สำคัญ
- หน่วยงานด้านการเงินการธนาคาร
- หน่วยงานด้านเทคโนโลยีสารสนเทศและโทรคมนาคม
- หน่วยงานด้านการขนส่งและโลจิสติกส์
- หน่วยงานด้านพลังงานและสาธารณูปโภค
- หน่วยงานด้านสาธารณสุข และ
- หน่วยงานด้านอื่น ตามที่ กมช. ประกาศกำหนดเพิ่มเติม
ตัวอย่างกรณีศึกษา
Charming Kitten จากประเทศอิหร่าน กลุ่มที่อยู่เบื้องหลังการรณรงค์มีเป้าหมายหลักในองค์กรในภาคพลังงาน รัฐบาล และเทคโนโลยี ที่มีฐานธุรกิจหรือมีผลประโยชน์ทางธุรกิจในซาอุดิอาระเบีย โดยมีวิธีหลอกลวง เช่น SMS แจ้งเตือนหลอก เกี่ยวกับความปลอดภัยของบัญชีอีเมลเพื่อพยายามเข้าถึงสิทธิ์การเข้าใช้งานของเหยื่อ, หลอกล่อเพื่อเช้าถึงการเข้าถึง Facebook , instagram หรือ social media อื่นๆ และ Email phishing ผ่าน Google account
รูปแบบเครื่องมือข่าวกรองภัยคุกคาม
มีทั้งแบบ Opensource และแบบ commercial license โดยความสามารถของแพลตฟอร์มมีหลายระดับ แตกต่างกันออกไป ตั้งแต่การรวบรวมข้อมูลที่เป็นข้อมูลดิบและนำมาวิเคราะห์และสามารถแกะรอย หรือคาดการณ์แนวทางการโจมตีในลำดับต่อไป เพื่อเป็นข้อมูลในเจ้าหน้าที่ปฏิบัติการและผู้บริหารสามารถตัดสินใจได้อย่างทันท่วงที แพลตฟอร์มข่าวกรองภัยคุกคามเป็นอีกเครื่องมือที่ใช้ในการรวมรวมข่าวสารโดยอัตโนมัติที่บูรณาการ มีวัตถุประสงค์เพื่อสกัดกั้นการโจมตีซ้ำและระบุการเส้นทางการโจมตีและช่วยเพิ่มประสิทธิภาพการดำเนินงานด้านความปลอดภัย
กระบวนการ Take down service
ในการพิจารณาการใช้ข่าวกรองภัยคุกคามควรเริ่มต้นด้วยการพิจารณาคำถามเหล่านี้:
อะไรคือความเสี่ยงที่ยิ่งใหญ่ที่สุดต่อองค์กรของคุณ?
วิธีการที่ข่าวกรองภัยคุกคามสามารถช่วยจัดการกับความเสี่ยงแต่ละประการได้อย่างไร?
อะไรคือผลกระทบที่อาจเกิดขึ้นจากการจัดการกับความเสี่ยงนั้นๆ?
สิ่งที่องค์กรต้องการเติมเต็มเติมก่อนสามารถนำข้อมูล เทคโนโลยี หรือทรัพยากรบุคคลมาจัดการกับข่าวกรองภัยคุกคามให้อย่างมีประสิทธิภาพ?
ทำไมต้อง Digitech One
บริษัท Digitech One มี Solution การให้บริการด้าน Cybersecurity ที่ครอบคลุมทั้งการผสมผสานเทคโนโลยีต่างๆ รวมถึงกระบวนการนำไปใช้ และทักษะของบุคลากรในการให้คำปรึกษา ติดตั้ง บำรุงรักษา ปฏิบัติการ ตลอดจนการบริหารโครงการให้ประสบความสำเร็จสูงสุดให้เป็นไปตามเป้าหมายทางธุรกิจ บรรลุผลขององค์กรทุกระดับ ด้วยทีมงานที่ปรึกษาและผู้เชี่ยวชาญที่มีความพร้อมจากหลากหลายเทคโนโลยีและมีความชำนาญมากกว่า 20 ปี จึงได้รับความไว้วางใจจากองค์กรชั้นนำมากมาย อาทิ ผู้ให้บริการระบบสื่อสารและโทรคมนาคม, สถาบันการเงิน, บริษัทเงินทุนและหลักทรัพย์, หน่วยงานราชการ, รัฐวิสาหกิจ ในการส่งมอบ Solution ที่มีประสิทธิภาพ เหมาะสมสำหรับแต่ละองค์กรและธุรกิจของคุณ