Cyber Threat Intelligence (CTI) คืออะไร?
รุ่นต่อไป SIEM
สเตลลาร์ ไซเบอร์ เน็กซ์เจเนอเรชั่น SIEMในฐานะที่เป็นองค์ประกอบสำคัญภายใน Stellar Cyber Open XDR แพลตฟอร์ม...
สัมผัสประสบการณ์การรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI ในการดำเนินการ!
ค้นพบ AI อันล้ำสมัยของ Stellar Cyber เพื่อการตรวจจับและตอบสนองภัยคุกคามในทันที กำหนดเวลาการสาธิตของคุณวันนี้!
ความจำเป็นที่เพิ่มขึ้นสำหรับข่าวกรองภัยคุกคามทางไซเบอร์
ความมั่นคงปลอดภัยไซเบอร์ในปัจจุบันถือเป็นความจริงที่ยากจะให้อภัยสำหรับสถาปนิกด้านความปลอดภัยและ CISO ที่บริหารจัดการองค์กรขนาดกลาง กลุ่มภัยคุกคามขั้นสูงที่ต่อเนื่องดำเนินงานภายใต้การสนับสนุนจากรัฐและทรัพยากรระดับองค์กร โดยเฉพาะอย่างยิ่งบริษัทที่จัดการข้อมูลสำคัญในขณะที่ดำเนินงานภายใต้งบประมาณด้านความปลอดภัยที่จำกัด สมการนี้ดูเหมือนจะไม่สามารถสมดุลได้หากไม่มีความสามารถในการตรวจจับภัยคุกคามอัจฉริยะ
ลองพิจารณาถึงภัยคุกคามทางไซเบอร์ยุคใหม่ที่มีขนาดมหึมา การโจมตีด้วยแรนซัมแวร์ Change Healthcare ในเดือนกุมภาพันธ์ 2024 ส่งผลกระทบต่อข้อมูลผู้ป่วย 190 ล้านราย สร้างความขัดข้องให้กับบริการทางการแพทย์ทั่วประเทศนานกว่าสิบวัน และมีค่าใช้จ่ายมากกว่า 2.457 พันล้านดอลลาร์ เหตุการณ์นี้แสดงให้เห็นว่าช่องโหว่เพียงจุดเดียว คือเซิร์ฟเวอร์ที่ขาดการยืนยันตัวตนแบบหลายปัจจัย สามารถส่งผลสะเทือนต่อวิกฤตระดับชาติที่ส่งผลกระทบต่อชาวอเมริกันหลายล้านคนได้อย่างไร
การละเมิดข้อมูลสาธารณะระดับชาติอาจเปิดเผยข้อมูลกว่า 2.9 พันล้านรายการ เริ่มตั้งแต่เดือนธันวาคม 2023 โดยมีข้อมูลที่ถูกขโมยไปขายในตลาดมืดจนถึงเดือนเมษายน 2024 เหตุการณ์เหล่านี้เน้นให้เห็นว่าโมเดลความปลอดภัยเชิงรับแบบดั้งเดิมล้มเหลวอย่างไรเมื่อต้องเผชิญหน้ากับศัตรูที่มุ่งมั่นซึ่งใช้ประโยชน์จากช่องโหว่ความปลอดภัยพื้นฐานเพื่อสร้างผลกระทบสูงสุด
CTI คืออะไรกันแน่? ข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามทางไซเบอร์ (Cyber Threat Intelligence) หมายถึงการรวบรวม วิเคราะห์ และนำข้อมูลภัยคุกคามไปใช้อย่างมีโครงสร้าง เพื่อปรับปรุงความสามารถในการตรวจจับและตอบสนอง แตกต่างจากการแจ้งเตือนหรือบันทึกความปลอดภัยทั่วไป CTI จะให้บริบทเกี่ยวกับผู้ก่อภัยคุกคาม แรงจูงใจ ความสามารถ และวิธีการของพวกเขา ข้อมูลเชิงลึกนี้ช่วยให้ทีมรักษาความปลอดภัยสามารถเปลี่ยนจากการตอบสนองต่อเหตุการณ์แบบรับมือ (Response) ไปสู่การค้นหาและป้องกันภัยคุกคามเชิงรุก
ทำความเข้าใจประเภทของข่าวกรองด้านภัยคุกคามทั้งสี่ประเภท
ข่าวกรองภัยคุกคามเชิงกลยุทธ์
ข้อมูลเชิงกลยุทธ์ด้านภัยคุกคามช่วยให้ผู้บริหารระดับสูงได้รับข้อมูลเชิงลึกเกี่ยวกับสถานการณ์ภัยคุกคาม ความเสี่ยงที่เกิดขึ้นใหม่ และแนวโน้มความปลอดภัยในระยะยาว ข้อมูลประเภทนี้มุ่งเน้นไปที่ผลกระทบทางธุรกิจมากกว่ารายละเอียดทางเทคนิค ช่วยให้ CISO สามารถสื่อสารความเสี่ยงไปยังคณะกรรมการและแสดงเหตุผลประกอบการลงทุนด้านความปลอดภัยได้
ข่าวกรองเชิงกลยุทธ์ช่วยตอบคำถามต่างๆ เช่น ผู้ก่อภัยคุกคามรายใดที่มุ่งเป้าไปที่อุตสาหกรรมของเรา การเปลี่ยนแปลงกฎระเบียบส่งผลกระทบต่อโปรไฟล์ความเสี่ยงของเราอย่างไร เทคโนโลยีเกิดใหม่ใดบ้างที่สร้างพื้นที่การโจมตีใหม่ๆ กรอบการทำงานของ MITRE ATT&CK ให้บริบทอันมีค่าสำหรับการวางแผนเชิงกลยุทธ์ โดยการเชื่อมโยงพฤติกรรมของฝ่ายตรงข้ามกับความเสี่ยงทางธุรกิจ
ลองพิจารณาดูว่าหมวดหมู่เชิงกลยุทธ์ 14 หมวดหมู่ของกรอบงาน MITRE ช่วยให้ผู้บริหารเข้าใจถึงความครอบคลุมของภัยคุกคามอย่างครอบคลุมได้อย่างไร เมื่อข้อมูลเชิงกลยุทธ์บ่งชี้ถึงการกำหนดเป้าหมายอุตสาหกรรมเฉพาะเจาะจงมากขึ้นผ่านเทคนิคการเข้าถึงเบื้องต้น (TA0001) ผู้นำสามารถให้ความสำคัญกับการลงทุนในการควบคุมความปลอดภัยรอบพื้นที่และโครงการฝึกอบรมพนักงานได้
ข่าวกรองภัยคุกคามเชิงยุทธวิธี
ข่าวกรองเชิงยุทธวิธีช่วยเชื่อมช่องว่างระหว่างการวางแผนเชิงกลยุทธ์และการตอบสนองเชิงปฏิบัติการ โดยมุ่งเน้นไปที่กลยุทธ์ เทคนิค และขั้นตอน (TTP) เฉพาะของผู้ก่อภัยคุกคาม ซึ่งช่วยให้ทีมรักษาความปลอดภัยมีวิธีการโดยละเอียดในการตรวจจับและบรรเทาการโจมตีประเภทต่างๆ
ข้อมูลข่าวกรองประเภทนี้มีความสำคัญอย่างยิ่งต่อกิจกรรมการล่าภัยคุกคามและการตรวจสอบความถูกต้องของการควบคุมความปลอดภัย เมื่อข้อมูลข่าวกรองเชิงกลยุทธ์เผยให้เห็นว่าผู้ก่อภัยคุกคามกำลังใช้ประโยชน์จากช่องโหว่เฉพาะของ NIST SP 800-207 Zero Trust สถาปนิกด้านความปลอดภัยสามารถจัดลำดับความสำคัญของการแก้ไขปัญหาได้อย่างเหมาะสม
การผสานรวมแพลตฟอร์ม CTI เข้ากับระบบข่าวกรองเชิงกลยุทธ์ช่วยให้สามารถเชื่อมโยงพฤติกรรมของผู้ก่อภัยคุกคามจากแหล่งข้อมูลที่หลากหลายได้โดยอัตโนมัติ นักวิเคราะห์ความปลอดภัยสามารถระบุรูปแบบการโจมตีที่กินเวลานานหลายสัปดาห์หรือหลายเดือน เผยให้เห็นแคมเปญที่ซับซ้อนซึ่งการแจ้งเตือนแต่ละรายการอาจพลาดไป
หน่วยข่าวกรองภัยคุกคามด้านปฏิบัติการ
ข่าวกรองเชิงปฏิบัติการให้ข้อมูลเชิงลึกแบบเรียลไทม์เกี่ยวกับภัยคุกคามที่กำลังดำเนินอยู่ การโจมตีที่กำลังดำเนินอยู่ และกิจกรรมของผู้ก่อภัยคุกคามโดยตรง ข่าวกรองประเภทนี้จำเป็นต้องมีการตรวจสอบอย่างต่อเนื่องและการเผยแพร่อย่างรวดเร็วเพื่อให้เกิดประสิทธิภาพสูงสุด
ศูนย์ปฏิบัติการด้านความปลอดภัยพึ่งพาข้อมูลข่าวกรองเชิงปฏิบัติการอย่างมากในการตอบสนองต่อเหตุการณ์และการติดตามภัยคุกคามอย่างต่อเนื่อง เมื่อข้อมูลข่าวกรองเชิงปฏิบัติการระบุโครงสร้างพื้นฐานด้านการบัญชาการและการควบคุมที่ใช้ในปฏิบัติการที่กำลังดำเนินอยู่ SOC นักวิเคราะห์สามารถใช้มาตรการปิดกั้นและค้นหาตัวชี้วัดที่คล้ายคลึงกันในสภาพแวดล้อมของตนได้ทันที
ฟีดข่าวกรองภัยคุกคามมีความสำคัญอย่างยิ่งต่อการเผยแพร่ข่าวกรองเชิงปฏิบัติการ ฟีดอัตโนมัติช่วยให้มั่นใจได้ว่าทีมรักษาความปลอดภัยจะได้รับข่าวกรองที่สามารถนำไปปฏิบัติได้ภายในไม่กี่ชั่วโมงหลังจากระบุภัยคุกคาม แทนที่จะต้องรอรายงานภัยคุกคามรายสัปดาห์หรือรายเดือน
ข่าวกรองภัยคุกคามทางเทคนิค
ข้อมูลเชิงเทคนิคประกอบด้วยตัวบ่งชี้การบุกรุก (IOC) ที่อ่านได้ด้วยเครื่อง เช่น ที่อยู่ IP ชื่อโดเมน แฮชไฟล์ และลายเซ็นมัลแวร์ ตัวบ่งชี้เหล่านี้ช่วยให้สามารถตรวจจับและบล็อกข้อมูลได้โดยอัตโนมัติผ่านเครื่องมือและแพลตฟอร์มด้านความปลอดภัย
เครื่องมือของ CTI โดดเด่นในการประมวลผลข้อมูลทางเทคนิคในระดับขนาดใหญ่ แพลตฟอร์มข้อมูลภัยคุกคามสมัยใหม่สามารถดึงข้อมูล IOC หลายพันรายการต่อวันจากหลายแหล่ง โดยให้คะแนนและจัดลำดับความสำคัญโดยอัตโนมัติตามความเกี่ยวข้องและระดับความเชื่อมั่น
อายุการใช้งานที่สั้นของตัวบ่งชี้ทางเทคนิคนำมาซึ่งความท้าทายที่ไม่เหมือนใคร ที่อยู่ IP ที่เป็นอันตรายอาจเปลี่ยนแปลงได้ภายในไม่กี่ชั่วโมง ขณะที่ชื่อโดเมนอาจถูกจดทะเบียนและถูกยกเลิกภายในไม่กี่วัน ความจริงข้อนี้ต้องการความสามารถในการประมวลผลและเผยแพร่ข้อมูลแบบเรียลไทม์
บทบาทสำคัญของ CTI ในการปฏิบัติการรักษาความปลอดภัยสมัยใหม่
การเพิ่มการแจ้งเตือนความปลอดภัยด้วยบริบท
การแจ้งเตือนความปลอดภัยแบบดิบขาดบริบทที่จำเป็นสำหรับการคัดกรองและการตอบสนองอย่างมีประสิทธิภาพ การแจ้งเตือนไฟร์วอลล์เกี่ยวกับทราฟฟิกเครือข่ายที่น่าสงสัยจะกลายเป็นข้อมูลลับที่นำไปปฏิบัติได้จริงเมื่อเสริมด้วยการระบุแหล่งที่มาของภัยคุกคาม ข้อมูลแคมเปญ และรายละเอียดวิธีการโจมตี
ลองพิจารณาสถานการณ์ทั่วไป: ระบบตรวจจับปลายทางจะสร้างการแจ้งเตือนเกี่ยวกับการทำงานของ PowerShell บนเวิร์กสเตชันหลายเครื่อง หากไม่มีบริบทของข้อมูลภัยคุกคาม นักวิเคราะห์จะต้องตรวจสอบการแจ้งเตือนแต่ละรายการแยกกัน ด้วยการเสริมประสิทธิภาพ CTI นักวิเคราะห์จะเข้าใจได้ทันทีว่าเหตุการณ์เหล่านี้ตรงกับเทคนิคที่รู้จักและเกี่ยวข้องกับภัยคุกคามเฉพาะราย ซึ่งช่วยให้สามารถขยายขอบเขตและควบคุมภัยคุกคามได้อย่างรวดเร็ว
แบบจำลองข้อมูล Stellar Cyber Interflow แสดงให้เห็นว่าการเพิ่มประสิทธิภาพของข่าวกรองภัยคุกคามเกิดขึ้นขณะรับข้อมูล แทนที่จะเป็นระหว่างการวิเคราะห์ วิธีนี้ช่วยให้มั่นใจได้ว่าทุกเหตุการณ์ด้านความปลอดภัยจะได้รับการปรับปรุงตามบริบทก่อนที่จะเข้าสู่ขั้นตอนการทำงานของนักวิเคราะห์ ซึ่งช่วยปรับปรุงความแม่นยำในการตรวจจับและเวลาในการตอบสนองได้อย่างมาก
การจัดลำดับความสำคัญของเหตุการณ์ผ่านการให้คะแนนความเสี่ยง
ภัยคุกคามไม่ได้ก่อให้เกิดความเสี่ยงต่อองค์กรของคุณเท่ากันทั้งหมด การนำแพลตฟอร์ม CTI มาใช้มีกลไกการให้คะแนนที่ซับซ้อน ซึ่งพิจารณาความสามารถของผู้ก่อภัยคุกคาม ความต้องการของเป้าหมาย และความน่าจะเป็นของการโจมตีสำเร็จ เมื่อจัดลำดับความสำคัญของเหตุการณ์ด้านความปลอดภัย
การให้คะแนนความเสี่ยงจะมีประโยชน์อย่างยิ่งเมื่อต้องเผชิญกับข้อจำกัดด้านทรัพยากร ทีมรักษาความปลอดภัยของบริษัทขนาดกลางไม่สามารถตรวจสอบการแจ้งเตือนด้านความปลอดภัยทุกรายการได้อย่างละเอียดถี่ถ้วนเท่าๆ กัน ระบบ Threat Intelligence ช่วยให้สามารถคัดกรองภัยคุกคามได้อย่างชาญฉลาด เพื่อให้แน่ใจว่านักวิเคราะห์จะมุ่งเน้นไปที่ภัยคุกคามที่มีแนวโน้มประสบความสำเร็จสูงสุดในสภาพแวดล้อมเฉพาะของตน
การกำหนดเป้าหมายอุตสาหกรรมเป็นตัวอย่างสำคัญของการจัดลำดับความสำคัญตามความเสี่ยง เมื่อข้อมูลภัยคุกคามบ่งชี้ว่าองค์กรด้านการดูแลสุขภาพกำลังเผชิญกับการกำหนดเป้าหมายแรนซัมแวร์ที่เพิ่มขึ้น บริษัทด้านการดูแลสุขภาพสามารถยกระดับการแจ้งเตือนที่เกี่ยวข้องโดยอัตโนมัติ ในขณะที่อุตสาหกรรมอื่นๆ ยังคงรักษาขั้นตอนการตอบสนองมาตรฐานไว้
การสนับสนุนการล่าภัยคุกคามเชิงรุก
แนวทางการรักษาความปลอดภัยแบบดั้งเดิมจะรอให้การโจมตีเริ่มทำงานก่อนจึงจะตรวจจับได้ CTI ในด้านความปลอดภัยทางไซเบอร์ช่วยให้สามารถค้นหาภัยคุกคามเชิงรุกได้ โดยแสดงตัวบ่งชี้และ TTP ที่ทีมรักษาความปลอดภัยสามารถค้นหาได้ทั่วทั้งสภาพแวดล้อม
กิจกรรมการล่าภัยคุกคามได้รับประโยชน์อย่างมากจากการผสานรวมข้อมูลข่าวกรองภัยคุกคามเข้ากับกรอบงาน MITRE ATT&CK นักวิเคราะห์ความปลอดภัยสามารถค้นหาหลักฐานของเทคนิคการโจมตีเฉพาะเจาะจงได้อย่างเป็นระบบ เพื่อสร้างการครอบคลุมที่ครอบคลุมตลอดวงจรการโจมตี
การละเมิดข้อมูลของ Snowflake ในปี 2024 ซึ่งส่งผลกระทบต่อบริษัทต่างๆ เช่น Ticketmaster และ Santander แสดงให้เห็นถึงคุณค่าของการไล่ล่าเชิงรุก องค์กรที่ไล่ล่าตัวบ่งชี้การยัดเยียดข้อมูลประจำตัวและรูปแบบการเข้าถึงคลาวด์ที่ผิดปกติอย่างแข็งขัน ตรวจพบการโจมตีเหล่านี้ได้เร็วกว่าการโจมตีที่อาศัยการตรวจจับแบบตอบสนองเพียงอย่างเดียว
บูรณาการกับ SIEM และ XDR แพลตฟอร์ม
การรวมฟีดอัตโนมัติ
กระบวนการวิเคราะห์ภัยคุกคามด้วยตนเองไม่สามารถปรับขนาดให้รองรับปริมาณภัยคุกคามในปัจจุบันได้ องค์กรต่างๆ จำเป็นต้องมีฟีดข้อมูลภัยคุกคามอัตโนมัติที่อัปเดตเครื่องมือความปลอดภัยให้สอดคล้องกับ IOC และบริบทภัยคุกคามปัจจุบันอย่างต่อเนื่อง
มาตรฐาน STIX และ TAXII อำนวยความสะดวกในการแบ่งปันข้อมูลข่าวกรองอัตโนมัติระหว่างแพลตฟอร์มต่างๆ STIX 2.1 มีรูปแบบมาตรฐานสำหรับการแสดงข้อมูลภัยคุกคาม ขณะที่ TAXII 2.0/2.1 กำหนดโปรโตคอลการขนส่งที่ปลอดภัยสำหรับการกระจายข้อมูลข่าวกรอง
แพลตฟอร์ม Threat Intelligence ในตัวของ Stellar Cyber เป็นตัวอย่างของการผสานรวมฟีดข้อมูลที่มีประสิทธิภาพ แทนที่จะต้องสมัครสมาชิก TIP และค่าใช้จ่ายในการบริหารจัดการแยกต่างหาก แพลตฟอร์มนี้จะรวบรวมฟีดข้อมูลเชิงพาณิชย์ โอเพนซอร์ส และภาครัฐหลายรายการโดยอัตโนมัติ เพื่อกระจายข้อมูลเชิงลึกที่เสริมประสิทธิภาพไปยังทุกการใช้งานแบบเรียลไทม์
ความสัมพันธ์ข้ามโดเมน
ภัยคุกคามขั้นสูงครอบคลุมการโจมตีหลายรูปแบบพร้อมกัน การบุกรุกเครือข่าย การบุกรุกอุปกรณ์ปลายทาง การกำหนดค่าคลาวด์ที่ไม่ถูกต้อง และการโจมตีข้อมูลประจำตัว มักประกอบด้วยแคมเปญที่ประสานงานกัน ซึ่งเครื่องมือรักษาความปลอดภัยแต่ละเครื่องไม่สามารถตรวจจับได้โดยอิสระ
Open XDR แพลตฟอร์มเหล่านี้มีความโดดเด่นในการเชื่อมโยงข้อมูลข่าวกรองภัยคุกคามจากแหล่งข้อมูลที่หลากหลายเหล่านี้ เมื่อข้อมูลข่าวกรองภัยคุกคามบ่งชี้ว่าผู้ก่อภัยคุกคามรายใดรายหนึ่งมักจะผสมผสานการเข้าถึงเบื้องต้นผ่านการฟิชชิงเข้ากับการเคลื่อนที่ไปยังส่วนอื่น ๆ ผ่านข้อมูลประจำตัวที่ถูกบุกรุก XDR แพลตฟอร์มต่างๆ สามารถเชื่อมโยงเหตุการณ์ที่เกี่ยวข้องโดยอัตโนมัติระหว่างระบบอีเมล ระบบปลายทาง และระบบระบุตัวตนได้
ความท้าทายในการบูรณาการมีความซับซ้อนอย่างยิ่งในสภาพแวดล้อมแบบไฮบริดและมัลติคลาวด์ ผู้ก่อภัยคุกคามจงใจใช้ประโยชน์จากช่องว่างการมองเห็นระหว่างระบบภายในองค์กร แพลตฟอร์มคลาวด์หลายแพลตฟอร์ม และแอปพลิเคชัน SaaS ความสัมพันธ์ของข้อมูลภัยคุกคามที่ครอบคลุมจำเป็นต้องมีแบบจำลองข้อมูลแบบรวมศูนย์ที่ทำให้ข้อมูลภัยคุกคามเป็นมาตรฐานในทุกโดเมนเหล่านี้
การตอบสนองและการประสานงานอัตโนมัติ
การตอบสนองด้วยตนเองแบบตอบโต้ไม่สามารถเทียบได้กับความเร็วของการโจมตีอัตโนมัติ การผสานรวมแพลตฟอร์ม CTI เข้ากับระบบประสานงานความปลอดภัยและระบบตอบสนองอัตโนมัติ (SOAR) ช่วยให้สามารถดำเนินการป้องกันได้ทันทีโดยอิงตามการอัปเดตข้อมูลภัยคุกคาม
พิจารณาสถานการณ์การบล็อกคำสั่งและการควบคุม เมื่อข้อมูลภัยคุกคามระบุโครงสร้างพื้นฐาน C2 ใหม่ที่เกี่ยวข้องกับแคมเปญที่ใช้งานอยู่ ระบบอัตโนมัติสามารถอัปเดตกฎไฟร์วอลล์ ตัวกรอง DNS และการกำหนดค่าพร็อกซีได้ทันทีเพื่อป้องกันการสื่อสาร ระบบอัตโนมัตินี้เกิดขึ้นภายในไม่กี่นาที แทนที่จะเป็นชั่วโมงหรือวันอย่างที่กระบวนการด้วยตนเองต้องใช้
การผสานรวมเฟรมเวิร์ก MITRE ATT&CK รองรับการเลือกคู่มือปฏิบัติการอัตโนมัติ เมื่อข้อมูลภัยคุกคามบ่งชี้การโจมตีที่สอดคล้องกับ TTP เฉพาะ แพลตฟอร์ม SOAR จะสามารถเรียกใช้กระบวนการตอบสนองที่เหมาะสมโดยอัตโนมัติ ซึ่งช่วยลดเวลาเฉลี่ยในการควบคุมและลดผลกระทบจากการโจมตีให้น้อยที่สุด
กรอบงาน MITRE ATT&CK และการบูรณาการ Zero Trust
การแมปข้อมูลภัยคุกคามไปยังเทคนิค ATT&CK
การนำข้อมูลภัยคุกคามไปใช้อย่างมีประสิทธิภาพจำเป็นต้องมีการจัดทำแผนที่ที่สอดคล้องกันระหว่างตัวบ่งชี้ที่สังเกตได้และเทคนิคการโจมตีที่บันทึกไว้ การจัดทำแผนที่นี้ช่วยให้ทีมรักษาความปลอดภัยเข้าใจถึงมาตรการป้องกันที่สามารถรับมือกับภัยคุกคามเฉพาะเจาะจง และระบุช่องว่างความครอบคลุมในสถาปัตยกรรมความปลอดภัยของพวกเขา
หมวดหมู่เชิงกลยุทธ์ 14 หมวดหมู่ของกรอบการทำงาน ตั้งแต่การเข้าถึงเบื้องต้นไปจนถึงผลกระทบ ครอบคลุมวัตถุประสงค์ของฝ่ายตรงข้ามอย่างครอบคลุม เมื่อข้อมูลภัยคุกคามระบุตัวอย่างมัลแวร์ใหม่ๆ นักวิเคราะห์ความปลอดภัยสามารถเชื่อมโยงพฤติกรรมของมัลแวร์เหล่านั้นกับเทคนิค ATT&CK เฉพาะ ทำให้การสื่อสารเกี่ยวกับภัยคุกคามและข้อกำหนดในการรับมือมีความสอดคล้องกัน
ลองพิจารณาวิธีการโจมตีแบบ Change Healthcare การโจมตีเบื้องต้นผ่านการเข้าถึงระยะไกลที่ไม่มีการป้องกันจะเชื่อมโยงกับการเข้าถึงครั้งแรก (TA0001) การเคลื่อนที่ด้านข้าง (lateral movement) เป็นเวลาเก้าวันสอดคล้องกับกลยุทธ์ Discovery (TA0007) และ Lateral Movement (TA0008) การติดตั้งแรนซัมแวร์ขั้นสุดท้ายแสดงถึงเทคนิค Impact (TA0040) การแมปนี้ช่วยให้องค์กรเข้าใจข้อกำหนดการป้องกันที่ครอบคลุม
การปรับปรุงสถาปัตยกรรม Zero Trust
หลักการของสถาปัตยกรรม Zero Trust ของ NIST SP 800-207 สอดคล้องกับการปฏิบัติงานด้านข่าวกรองภัยคุกคามที่ครอบคลุม แนวทาง "ไม่ไว้วางใจ ต้องตรวจสอบเสมอ" ของแบบจำลอง Zero Trust ได้รับประโยชน์อย่างมากจากข้อมูลข่าวกรองภัยคุกคามเชิงบริบทที่นำมาใช้ประกอบการตัดสินใจเข้าถึง
การนำ Zero Trust มาใช้จำเป็นต้องมีการประเมินคำขอเข้าถึงอย่างต่อเนื่องโดยเปรียบเทียบกับข้อมูลภัยคุกคามที่มีอยู่ในปัจจุบัน เมื่อข้อมูลบ่งชี้ถึงการกำหนดเป้าหมายบทบาทผู้ใช้หรือภูมิภาคที่เฉพาะเจาะจงมากขึ้น การควบคุมการเข้าถึงจะปรับเปลี่ยนแบบไดนามิกเพื่อให้การป้องกันเพิ่มเติมโดยไม่ส่งผลกระทบต่อการดำเนินธุรกิจที่ถูกต้องตามกฎหมาย
ข้อมูลภัยคุกคามที่มุ่งเน้นที่ตัวตน (Identity-focused threat intelligence) กลายเป็นสิ่งที่มีค่าอย่างยิ่งในสภาพแวดล้อม Zero Trust สถิติที่ระบุว่า 70% ของการละเมิดในปัจจุบันเริ่มต้นจากข้อมูลประจำตัวที่ถูกขโมย ตอกย้ำถึงความสำคัญของความสามารถในการตรวจจับและตอบสนองต่อภัยคุกคามจากตัวตน สถาปัตยกรรม Zero Trust จำเป็นต้องผสานรวมข้อมูลภัยคุกคามแบบเรียลไทม์เกี่ยวกับข้อมูลประจำตัวที่ถูกบุกรุก รูปแบบการเข้าถึงที่ผิดปกติ และความพยายามยกระดับสิทธิ์
การวิเคราะห์การละเมิดในโลกแห่งความเป็นจริงและบทเรียนที่ได้รับ
เหตุการณ์การเปลี่ยนแปลงด้านการดูแลสุขภาพ
การโจมตีแรนซัมแวร์ Change Healthcare ถือเป็นการละเมิดข้อมูลด้านสาธารณสุขครั้งสำคัญที่สุดครั้งหนึ่งในประวัติศาสตร์สหรัฐอเมริกา ส่งผลกระทบต่อประชาชน 190 ล้านคน และมูลค่าความเสียหายกว่า 2.457 พันล้านดอลลาร์สหรัฐ การโจมตีครั้งนี้ประสบความสำเร็จด้วยการใช้ช่องโหว่ด้านความปลอดภัยพื้นฐาน นั่นคือเซิร์ฟเวอร์การเข้าถึงระยะไกลของ Citrix ที่ขาดการยืนยันตัวตนแบบหลายปัจจัย
การนำข่าวกรองภัยคุกคามมาใช้อย่างมีประสิทธิภาพสามารถป้องกันเหตุการณ์นี้ได้ผ่านกลไกที่หลากหลาย ข่าวกรองเชิงกลยุทธ์เกี่ยวกับการกำหนดเป้าหมายด้านการดูแลสุขภาพที่เพิ่มขึ้นจะให้ความสำคัญกับการนำ MFA มาใช้ ข่าวกรองเชิงยุทธวิธีเกี่ยวกับ ALPHV/BlackCat TTP จะช่วยให้สามารถค้นหาการโจมตีที่อิงข้อมูลประจำตัวเชิงรุกได้ ข่าวกรองทางเทคนิคเกี่ยวกับข้อมูลประจำตัวที่ถูกบุกรุกอาจกระตุ้นให้เกิดการบล็อกอัตโนมัติก่อนที่จะเริ่มการเคลื่อนย้ายทางด้านข้าง
ระยะเวลาเก้าวันนับตั้งแต่การโจมตีครั้งแรกจนถึงการใช้แรนซัมแวร์ถือเป็นโอกาสสำคัญในการตรวจจับ การตรวจสอบที่เสริมด้วยข้อมูลภัยคุกคามจะสามารถระบุรูปแบบการท่องเครือข่ายที่ผิดปกติ พฤติกรรมการเข้าถึงข้อมูล และการใช้งานบัญชีผู้ดูแลระบบที่เป็นลักษณะเฉพาะของการโจมตีนี้
การเปิดเผยข้อมูลสาธารณะระดับชาติ
การละเมิดข้อมูลสาธารณะแห่งชาติ (National Public Data Breach) แสดงให้เห็นว่าแนวทางปฏิบัติด้านความปลอดภัยที่ย่ำแย่ทำให้ข้อมูลรั่วไหลจำนวนมาก เหตุการณ์นี้เริ่มต้นตั้งแต่เดือนธันวาคม 2023 และต่อเนื่องไปจนถึงเดือนเมษายน 2024 และอาจส่งผลกระทบต่อข้อมูลกว่า 2.9 พันล้านรายการทั่วสหรัฐอเมริกา สหราชอาณาจักร และแคนาดา
ช่องโหว่ด้านความปลอดภัยที่พบในการละเมิดครั้งนี้ ได้แก่ นโยบายรหัสผ่านที่อ่อนแอ ข้อมูลประจำตัวผู้ดูแลระบบที่ไม่ได้เข้ารหัส ช่องโหว่ของเซิร์ฟเวอร์ Apache ที่ไม่ได้รับการแก้ไข และการกำหนดค่าพื้นที่จัดเก็บข้อมูลบนคลาวด์ที่ไม่ถูกต้อง ช่องโหว่เหล่านี้จะปรากฏอยู่ในฟีดข้อมูลภัยคุกคามในปัจจุบัน โดยเป็นช่องทางการโจมตีที่ต้องได้รับการแก้ไขอย่างเร่งด่วน
ขนาดของการละเมิด ซึ่งอาจส่งผลกระทบต่อเกือบทุกคนที่มีหมายเลขประกันสังคม แสดงให้เห็นถึงความเสี่ยงเชิงระบบที่เกิดขึ้นเมื่อองค์กรที่จัดการข้อมูลสำคัญขาดการควบคุมความปลอดภัยขั้นพื้นฐาน การนำข้อมูลภัยคุกคามเชิงลึกมาใช้อย่างครอบคลุมประกอบด้วยข้อมูลช่องโหว่ที่จัดลำดับความสำคัญของการแก้ไขและการจัดการการกำหนดค่าโดยพิจารณาจากการโจมตีภัยคุกคามที่เกิดขึ้นจริง
แนวโน้มการโจมตีร่วมสมัย
การวิเคราะห์ภัยคุกคามล่าสุดเผยให้เห็นแนวโน้มที่น่ากังวลซึ่งเน้นย้ำถึงความสำคัญของข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามที่ครอบคลุม การโจมตีแบบฟิชชิ่งที่ขับเคลื่อนด้วย AI เพิ่มขึ้น 703% ในปี 2024 ขณะที่เหตุการณ์แรนซัมแวร์เพิ่มขึ้น 126% สถิติเหล่านี้แสดงให้เห็นว่าผู้ก่อภัยคุกคามได้นำเทคโนโลยีใหม่ๆ มาใช้อย่างรวดเร็วเพื่อเพิ่มประสิทธิภาพการโจมตี
การโจมตีซัพพลายเชนเพิ่มขึ้น 62% โดยมีระยะเวลาตรวจจับเฉลี่ยอยู่ที่ 365 วัน การโจมตีเหล่านี้ใช้ประโยชน์จากความสัมพันธ์ที่เชื่อถือได้และช่องทางการเข้าถึงที่ถูกต้อง ทำให้การตรวจจับทำได้ยากอย่างยิ่งหากไม่มีข้อมูลภัยคุกคามเกี่ยวกับการกำหนดเป้าหมายและตัวบ่งชี้การบุกรุกซัพพลายเชน
การเพิ่มขึ้นของภัยคุกคามจากภายในถือเป็นความท้าทายที่สำคัญอีกประการหนึ่ง โดยในปี 2024 องค์กรถึง 83% รายงานเหตุการณ์ที่เกี่ยวข้องกับภายใน การตรวจจับต้องใช้การวิเคราะห์พฤติกรรมที่เสริมด้วยข้อมูลภัยคุกคามเกี่ยวกับรูปแบบและวิธีการของภัยคุกคามจากภายใน
ความสามารถ CTI ในตัวของ Stellar Cyber
การรวบรวมข่าวกรองหลายแหล่ง
แพลตฟอร์มนี้จะรวบรวมข้อมูลภัยคุกคามจากแหล่งข้อมูลเชิงพาณิชย์ โอเพนซอร์ส และหน่วยงานภาครัฐต่างๆ โดยอัตโนมัติ ซึ่งรวมถึง Proofpoint, DHS, OTX, OpenPhish และ PhishTank การรวบรวมนี้ช่วยให้ลูกค้าไม่จำเป็นต้องสมัครใช้บริการข้อมูลภัยคุกคามแบบแยกส่วน ขณะเดียวกันก็มั่นใจได้ว่าข้อมูลจะครอบคลุมภัยคุกคามทุกประเภทอย่างครอบคลุม
การปรับปรุงแพลตฟอร์มล่าสุดประกอบด้วยการผสานรวม CrowdStrike Premium Threat Intelligence ซึ่งมอบ IOC แบบเรียลไทม์ที่มีความเที่ยงตรงสูง เพื่อการตรวจจับที่รวดเร็วและแม่นยำยิ่งขึ้น การผสานรวมนี้ตอกย้ำความมุ่งมั่นในการนำเสนอข้อมูลภัยคุกคามระดับองค์กรโดยไม่เพิ่มความซับซ้อนในการปฏิบัติงาน
แนวทาง Multi-Layer AI™ จะใช้ข้อมูลภัยคุกคามอัจฉริยะตั้งแต่การรับข้อมูล แทนที่จะใช้ในระหว่างการวิเคราะห์ เพื่อให้มั่นใจว่าการโจมตีแบบแอบแฝงหรือแบบเนียนๆ จะได้รับบริบทที่เหมาะสมตั้งแต่ขั้นตอนแรกของการประมวลผล วิธีการนี้แตกต่างอย่างมากจากแนวทางที่เพิ่มข้อมูลภัยคุกคามอัจฉริยะให้กับกระบวนการที่มีอยู่หลังจากเกิดเหตุการณ์แล้ว
การเสริมประสิทธิภาพข้อมูลแบบอินเทอร์โฟลว์
Stellar Cyber Interflow นำเสนอแบบจำลองข้อมูลมาตรฐานและเสริมประสิทธิภาพของแพลตฟอร์ม ซึ่งผสานรวมข้อมูลภัยคุกคามอัจฉริยะระหว่างการประมวลผลข้อมูลเบื้องต้น แนวทางนี้ช่วยให้มั่นใจได้ว่าทุกเหตุการณ์ด้านความปลอดภัยจะได้รับการปรับปรุงตามบริบท ช่วยเพิ่มความแม่นยำในการตรวจจับ และลดภาระงานของนักวิเคราะห์
การเพิ่มประสิทธิภาพแบบเรียลไทม์ประกอบด้วยการวิเคราะห์ชื่อเสียง IP การประเมินความเสี่ยงโดเมน การจำแนกประเภทแฮชไฟล์ และการระบุแหล่งที่มาของมัลแวร์ แพลตฟอร์มนี้จะเชื่อมโยงตัวบ่งชี้เหล่านี้กับเวกเตอร์การโจมตีที่หลากหลาย เพื่อระบุแคมเปญที่ซับซ้อนซึ่งอาจยังคงซ่อนอยู่เมื่อตรวจสอบแหล่งข้อมูลแต่ละแหล่ง
กระบวนการเสริมประสิทธิภาพจะทำงานโดยอัตโนมัติโดยไม่ต้องกำหนดค่าหรือบำรุงรักษาด้วยตนเอง เมื่อมีข้อมูลภัยคุกคามใหม่ๆ เกิดขึ้น แพลตฟอร์มจะรวมข้อมูลดังกล่าวเข้ากับการวิเคราะห์อย่างต่อเนื่องทันที เพื่อให้มั่นใจว่าความสามารถในการตรวจจับภัยคุกคามที่เปลี่ยนแปลงอยู่เสมอจะยังคงทันสมัยอยู่เสมอ
การให้คะแนนและการกำหนดลำดับความสำคัญอัตโนมัติ
แพลตฟอร์มนี้ใช้กลไกการให้คะแนนอัตโนมัติที่พิจารณาความสามารถของผู้ก่อภัยคุกคาม ความต้องการของเป้าหมาย และความน่าจะเป็นของการโจมตีสำเร็จ เมื่อจัดลำดับความสำคัญของเหตุการณ์ด้านความปลอดภัย การให้คะแนนนี้จะช่วยลดผลบวกลวง (false positive) ขณะเดียวกันก็ช่วยให้นักวิเคราะห์มุ่งเน้นไปที่ภัยคุกคามที่มีแนวโน้มประสบความสำเร็จสูงสุดในสภาพแวดล้อมเฉพาะของตน
การเชื่อมโยงข้ามโดเมนช่วยให้แพลตฟอร์มสามารถระบุรูปแบบการโจมตีที่ครอบคลุมเครือข่าย จุดสิ้นสุด ระบบคลาวด์ และระบบระบุตัวตน เมื่อข้อมูลภัยคุกคามบ่งชี้ถึงแคมเปญที่ประสานงานกัน แพลตฟอร์มจะแจ้งเตือนที่เกี่ยวข้องโดยอัตโนมัติและแสดงไทม์ไลน์การโจมตีที่ครอบคลุมเพื่อให้นักวิเคราะห์ตรวจสอบ
ประโยชน์ของการนำ CTI มาใช้อย่างครอบคลุม
การตรวจจับและตอบสนองภัยคุกคามที่รวดเร็วยิ่งขึ้น
การนำข้อมูลภัยคุกคามเชิงลึกมาใช้อย่างครอบคลุมช่วยลดเวลาเฉลี่ยในการตรวจจับและตอบสนองได้อย่างมาก เมื่อแพลตฟอร์มความปลอดภัยได้รับข้อมูลข่าวกรองอย่างต่อเนื่องเกี่ยวกับภัยคุกคามที่เกิดขึ้น พวกเขาสามารถระบุรูปแบบการโจมตีได้ภายในไม่กี่นาที แทนที่จะเป็นหลายวันหรือหลายสัปดาห์
ระยะเวลาการโจมตีของ Change Healthcare ที่เก้าวันแสดงให้เห็นถึงโอกาสในการตรวจจับที่ระบบข่าวกรองภัยคุกคามมอบให้ องค์กรที่มีการนำระบบ CTI มาใช้อย่างครอบคลุมมักจะตรวจจับการเคลื่อนไหวด้านข้างได้ภายในไม่กี่ชั่วโมงผ่านการวิเคราะห์พฤติกรรมที่เสริมประสิทธิภาพด้วยระบบข่าวกรอง TTP ของผู้ก่อภัยคุกคาม
ฟีดข้อมูลภัยคุกคามช่วยให้สามารถบล็อกโครงสร้างพื้นฐานอันตรายที่ทราบแล้วได้ล่วงหน้าก่อนการโจมตี วิธีการเชิงรุกนี้ช่วยป้องกันการโจมตีได้มากกว่าการตรวจจับการโจมตีหลังจากการโจมตีสำเร็จ
ลดอัตราการเกิดผลบวกปลอม
การแจ้งเตือนความปลอดภัยแบบดิบมักก่อให้เกิดผลบวกลวง (false positive) จำนวนมากจนทำให้นักวิเคราะห์ต้องใช้ทรัพยากรจนหมดและสร้างความเหนื่อยล้าจากการแจ้งเตือนที่เป็นอันตราย บริบทของ Threat Intelligence ช่วยปรับปรุงอัตราส่วนสัญญาณต่อสัญญาณรบกวนได้อย่างมาก ด้วยการให้คะแนนความเกี่ยวข้องและการระบุแหล่งที่มาของการโจมตี
เมื่อนักวิเคราะห์เข้าใจว่าการแจ้งเตือนเฉพาะเจาะจงนั้นสอดคล้องกับพฤติกรรมของผู้ก่อภัยคุกคามที่ทราบอยู่แล้ว พวกเขาสามารถจัดลำดับความสำคัญของความพยายามในการสืบสวนได้อย่างเหมาะสม ในทางกลับกัน เมื่อการแจ้งเตือนขาดบริบทของข้อมูลภัยคุกคาม นักวิเคราะห์สามารถเลื่อนการสืบสวนไปมุ่งเน้นไปที่เหตุการณ์ที่มีลำดับความสำคัญสูงกว่าได้อย่างปลอดภัย
แนวทาง AI หลายชั้นที่ใช้โดยแพลตฟอร์มขั้นสูงใช้ข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามเพื่อให้คะแนนและจัดลำดับความสำคัญของการแจ้งเตือนโดยอัตโนมัติ ลดอัตราผลบวกปลอมได้มากถึง 90% ในขณะที่ยังคงรักษาความไวในการตรวจจับที่สูงไว้
เพิ่มประสิทธิภาพของทีมรักษาความปลอดภัย
CTI ในด้านความมั่นคงปลอดภัยไซเบอร์ได้เปลี่ยนโฉมเวิร์กโฟลว์ของนักวิเคราะห์ความปลอดภัยจากการประมวลผลการแจ้งเตือนแบบตอบสนอง ไปสู่การค้นหาภัยคุกคามเชิงรุกและการปรับปรุงความปลอดภัยเชิงกลยุทธ์ นักวิเคราะห์ใช้เวลามากขึ้นในการระบุและแก้ไขสาเหตุที่แท้จริง แทนที่จะตรวจสอบเหตุการณ์เฉพาะหน้า
การผสานรวมข้อมูลภัยคุกคามเข้ากับกรอบงาน MITRE ATT&CK ช่วยให้นักวิเคราะห์มีระเบียบวิธีเชิงโครงสร้างสำหรับการทำความเข้าใจแคมเปญการโจมตีและพัฒนากลยุทธ์การตอบสนองที่ครอบคลุม โครงสร้างนี้ช่วยปรับปรุงความสอดคล้องของการตรวจสอบและช่วยให้สามารถแบ่งปันความรู้ระหว่างทีมรักษาความปลอดภัยได้
นักวิเคราะห์รุ่นเยาว์ได้รับประโยชน์อย่างมากจากบริบทของข้อมูลข่าวกรองภัยคุกคาม ซึ่งให้ข้อมูลพื้นฐานเกี่ยวกับภัยคุกคาม วิธีการโจมตี และขั้นตอนการตอบสนอง บริบทนี้ช่วยเร่งการพัฒนาทักษะและพัฒนาศักยภาพโดยรวมของทีม
การพิจารณาในอนาคตและกลยุทธ์การดำเนินการ
การวางแผนและการประเมินการบูรณาการ
องค์กรต่างๆ ควรประเมินเครื่องมือและกระบวนการรักษาความปลอดภัยที่มีอยู่อย่างละเอียดถี่ถ้วนก่อนนำความสามารถด้านข่าวกรองภัยคุกคามที่ครอบคลุมมาใช้ การประเมินนี้จะระบุข้อกำหนดในการผสานรวม ความเข้ากันได้ของรูปแบบข้อมูล และการเปลี่ยนแปลงเวิร์กโฟลว์การปฏิบัติงานที่จำเป็นต่อความสำเร็จ
การเลือกแพลตฟอร์มของ CTI ควรให้ความสำคัญกับโซลูชันที่สามารถผสานรวมเข้ากับโครงสร้างพื้นฐานด้านความปลอดภัยที่มีอยู่ได้อย่างราบรื่น แทนที่จะต้องเปลี่ยนแพลตฟอร์มทั้งหมด เป้าหมายคือการเพิ่มขีดความสามารถในปัจจุบัน แทนที่จะสร้างภาระงานด้านปฏิบัติการเพิ่มเติม
การนำร่องการใช้งานช่วยให้องค์กรสามารถตรวจสอบคุณค่าของข้อมูลภัยคุกคามก่อนที่จะตัดสินใจปรับใช้อย่างครอบคลุม การเริ่มต้นใช้งานเฉพาะกรณี เช่น การตรวจจับมัลแวร์ หรือการบล็อกคำสั่งและการควบคุม แสดงให้เห็นถึงประโยชน์ที่วัดผลได้ ซึ่งสมควรแก่การขยายการใช้งาน
การฝึกอบรมและพัฒนาทักษะพนักงาน
การนำข้อมูลข่าวกรองภัยคุกคามไปใช้ต้องอาศัยการฝึกอบรมทีมรักษาความปลอดภัยที่ครอบคลุมวิธีการวิเคราะห์ข่าวกรอง การวิจัยผู้กระทำภัยคุกคาม และการใช้กรอบงาน MITRE ATT&CK การฝึกอบรมนี้ช่วยให้มั่นใจว่าทีมงานสามารถใช้ความสามารถด้านข่าวกรองได้อย่างมีประสิทธิภาพ
องค์กรควรวางแผนพัฒนาทักษะอย่างค่อยเป็นค่อยไป แทนที่จะคาดหวังความเชี่ยวชาญในทันที เครื่องมือ CTI ที่ให้การวิเคราะห์แบบมีคำแนะนำและคำแนะนำอัตโนมัติ ช่วยให้ทีมพัฒนาความสามารถในการวิเคราะห์ข่าวกรองเมื่อเวลาผ่านไป
การฝึกอบรมข้ามสายงานระหว่างการวิเคราะห์ข้อมูลภัยคุกคามและการปฏิบัติงานด้านความปลอดภัยแบบดั้งเดิม ช่วยให้มั่นใจได้ว่าข้อมูลเชิงลึกด้านข่าวกรองจะมีอิทธิพลต่อกิจกรรมด้านความปลอดภัยในแต่ละวัน การผสานรวมนี้ช่วยป้องกันไม่ให้ข้อมูลภัยคุกคามกลายเป็นฟังก์ชันที่แยกจากกันและมีผลกระทบต่อการปฏิบัติงานเพียงเล็กน้อย
ภูมิทัศน์ด้านความมั่นคงปลอดภัยไซเบอร์ที่กำลังพัฒนาต้องการความสามารถในการวิเคราะห์ภัยคุกคามที่ซับซ้อน ซึ่งช่วยให้สามารถป้องกันภัยคุกคามเชิงรุกได้อย่างมีประสิทธิภาพ การวิเคราะห์ภัยคุกคามไซเบอร์ถือเป็นรากฐานสำคัญสำหรับการดำเนินงานด้านความปลอดภัยสมัยใหม่ โดยเปลี่ยนการประมวลผลการแจ้งเตือนแบบตอบสนองเป็นการจัดการภัยคุกคามเชิงกลยุทธ์ที่ช่วยปกป้องทรัพย์สินขององค์กรและการดำเนินธุรกิจ ด้วยการใช้งานแพลตฟอร์ม CTI ที่ครอบคลุม องค์กรในตลาดระดับกลางสามารถบรรลุขีดความสามารถด้านความปลอดภัยระดับองค์กรที่สอดคล้องกับความซับซ้อนของภัยคุกคามในปัจจุบัน ขณะเดียวกันก็ดำเนินงานภายใต้ข้อจำกัดด้านทรัพยากรที่สมเหตุสมผล