Cyber Threat Intelligence

Cyber Threat Intelligence คืออะไร
 

ปัจจุบันภัยคุกคามทางไซเบอร์มีจำนวนที่เพิ่มสูงขึ้นและทวีความรุนแรงขึ้นตามลำดับ การเพิ่มประสิทธิภาพของข่าวกรอง ในการรับรู้ถึงภัยคุกคาม ข้อมูลวิเคราะห์ในเชิงลึก วิธีการตรวจจับ วิธีการป้องกัน หรือโดยภาพรวมเรียกว่า Cyber Threat Intelligence (CTI) จึงเป็นส่วนประกอบที่สำคัญสำหรับองค์กรในการลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่ส่งผลกระทบหรืออาจก่อให้เกิดความเสี่ยงต่อการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคม หรือการให้บริการโดยปกติ  
                   ระบบข่าวกรองภัยคุกคามไซเบอร์ (CTI) คือ ระบบที่จัดการรวบรวมข้อมูลจากแหล่งข่าวโดยตรวจสอบภัยคุกคามแบบ Outside-In คือการมุ่งเน้นไปที่การตรวจสอบจากแหล่งข้อมูลภายนอกไม่ว่าจะเป็น อินเทอร์เน็ต, เครือข่ายสังคมออนไลน์, Surface web, Deepweb, หรือดาร์กเว็บ (Darkweb) เพื่อค้นหาข้อมูลที่เกี่ยวข้องกับองค์กรเพื่อเพิ่มประสิทธิภาพของข่าวกรองในการรับรู้ถึงภัยคุกคาม และวิเคราะห์ข้อมูลภัยคุกคามในเชิงลึก และลดความเสียหายที่อาจเกิดขึ้นจากภัยคุกคามที่มีเป้าหมายโจมที่ภาพลักษณ์ สื่อ ข้อมูลผู้ใช้บริการและภายในองค์กรและวิเคราะห์, ประมวลผลเพื่อให้เข้าถึงบริบท เช่น แรงจูงใจ เป้าหมาย และพฤติกรรมการโจมตีของผู้ไม่ประสงค์ดี พร้อมแนบข้อมูลจำเพาะเกี่ยวกับกลุ่มผู้ไม่ประสงค์ดี วัตถุประสงค์เบื้องหลัง  Tactics, Techniques, Procedures (TTPs) ที่กลุ่มผู้ไม่ประสงค์ดีใช้มาให้ด้วย รวมถึงวิเคราะห์การโจมตีสมัยใหม่มีความซับซ้อน และล้ำสมัยอย่างเช่นการใช้วิศวกรรมสังคม (Social Engineering) ทรัพย์สินขององค์กรที่อาจจะเป็นเป้าหมายของผู้ไม่ประสงค์ดี เช่น ตราสินค้า, ข้อมูลขององค์กร, ข้อมูลบุคลากรองค์กร, source code, ชื่อโดเมน, ซึ่งถูกปล่อยอยู่บน Dark web เพื่อให้องค์กรสามารถเตรียมวิธีรับมือได้อย่างมีประสิทธิภาพ 

Cyber-Threat-intelligence-pafjho10604bokx5fo9701bj8gfq0rgffkkdxzjus4.png

ประโยชน์ที่จะได้รับ

หากบริษัทได้มีการเฝ้าระวังข่าวกรองภัยคุกคามจะสามารถช่วยให้องค์กรสามารถหลีกเลี่ยงหรือจำกัดความเสียหายของภัยคุกคามที่อาจเกิดขึ้นกับองค์กรของคุณได้ด้วยการตรวจจับและหยุดการโจมตี ทราบถึงเทรนด์และวิธีการโจมตีใหม่ๆและเพิ่มประสิทธิภาพการรับมือภัยคุกคามทางไซเบอร์จากเชิงรับเป็นเชิงรุกในการต่อสู้กับผู้ประสงค์ดี การนำระบบข่าวกรองภัยคุกคามไซเบอร์ไปใช้ประโยชน์ได้มีหลายระดับในองค์กร  

       – ระดับยุทธวิธี (tactical) เพื่อเข้าใจข้อมูลที่รวบรวมโดยระบบและเซ็นเซอร์ด้านความมั่นคงปลอดภัย ส่วนใหญ่มักจะเป็น Indicator of Compromise สำหรับใช้ตรวจสอบหลักฐานทางดิจิทัลและฟื้นฟูความเสียหายที่เกิดขึ้น 

      – ระดับปฏิบัติการ (operation) สร้างบริบทของภัยคุกคามและขอบเขตการโจมตี รวมไปถึงวิธีที่ดีที่สุดในการตอบสนองต่อการโจมตีของกลุ่มผู้ไม่ประสงค์ดี 

      – ระดับกลยุทธ์ (strategic) เพื่อเข้าใจข้อมูลหลังผ่านการวิเคราะห์ เช่น กลุ่มผู้ไม่ประสงค์ดีที่กำลังพุ่งเป้ามาที่องค์กร ความเสี่ยงที่อาจจะเกิดขึ้น และกฎหมายข้อบังคับต่างๆ ที่ต้องปฏิบัติตาม สำหรับนำไปปรับใช้กับนโยบายและการวางแผนกลยุทธ์ด้านความมั่นคงปลอดภัย 

 

หน่วยงานใดบ้างที่ใช้ Threat intelligence  

  • ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ CERT
  • หน่วยงานความมั่นคงปลอดภัยระดับประเทศ
  • กลุ่มโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure : CII )
    • หน่วยงานด้านความมั่นคงและบริการภาครัฐที่สำคัญ
    • หน่วยงานด้านการเงินการธนาคาร 
    • หน่วยงานด้านเทคโนโลยีสารสนเทศและโทรคมนาคม 
    • หน่วยงานด้านการขนส่งและโลจิสติกส์
    • หน่วยงานด้านพลังงานและสาธารณูปโภค
    • หน่วยงานด้านสาธารณสุข และ
    • หน่วยงานด้านอื่น ตามที่ กมช. ประกาศกำหนดเพิ่มเติม 

ตัวอย่างกรณีศึกษา
Charming Kitten จากประเทศอิหร่าน กลุ่มที่อยู่เบื้องหลังการรณรงค์มีเป้าหมายหลักในองค์กรในภาคพลังงาน รัฐบาล และเทคโนโลยี ที่มีฐานธุรกิจหรือมีผลประโยชน์ทางธุรกิจในซาอุดิอาระเบีย โดยมีวิธีหลอกลวง เช่น   SMS แจ้งเตือนหลอก เกี่ยวกับความปลอดภัยของบัญชีอีเมลเพื่อพยายามเข้าถึงสิทธิ์การเข้าใช้งานของเหยื่อ, หลอกล่อเพื่อเช้าถึงการเข้าถึง Facebook , instagram หรือ social media อื่นๆ และ Email phishing ผ่าน  Google account

รูปแบบเครื่องมือข่าวกรองภัยคุกคาม

มีทั้งแบบ Opensource และแบบ commercial license โดยความสามารถของแพลตฟอร์มมีหลายระดับ แตกต่างกันออกไป ตั้งแต่การรวบรวมข้อมูลที่เป็นข้อมูลดิบและนำมาวิเคราะห์และสามารถแกะรอย หรือคาดการณ์แนวทางการโจมตีในลำดับต่อไป เพื่อเป็นข้อมูลในเจ้าหน้าที่ปฏิบัติการและผู้บริหารสามารถตัดสินใจได้อย่างทันท่วงที แพลตฟอร์มข่าวกรองภัยคุกคามเป็นอีกเครื่องมือที่ใช้ในการรวมรวมข่าวสารโดยอัตโนมัติที่บูรณาการ มีวัตถุประสงค์เพื่อสกัดกั้นการโจมตีซ้ำและระบุการเส้นทางการโจมตีและช่วยเพิ่มประสิทธิภาพการดำเนินงานด้านความปลอดภัย 

CTI-revise2-1024x576.png

กระบวนการ Take Down sevice 

ในการพิจารณาการใช้ข่าวกรองภัยคุกคามควรเริ่มต้นด้วยการพิจารณาคำถามเหล่านี้: 

อะไรคือความเสี่ยงที่ยิ่งใหญ่ที่สุดต่อองค์กรของคุณ? 

วิธีการที่ข่าวกรองภัยคุกคามสามารถช่วยจัดการกับความเสี่ยงแต่ละประการได้อย่างไร? 

อะไรคือผลกระทบที่อาจเกิดขึ้นจากการจัดการกับความเสี่ยงนั้นๆ? 

สิ่งที่องค์กรต้องการเติมเต็มเติมก่อนสามารถนำข้อมูล เทคโนโลยี หรือทรัพยากรบุคคลมาจัดการกับข่าวกรองภัยคุกคามให้อย่างมีประสิทธิภาพ?
 

CTI-revise-1024x576.png


ทำไมต้อง DataOne

บริษัท DataOne มี Solution การให้บริการด้าน Cybersecurity ที่ครอบคลุมทั้งการผสมผสานเทคโนโลยีต่างๆ รวมถึงกระบวนการนำไปใช้ และทักษะของบุคลากรในการให้คำปรึกษา ติดตั้ง บำรุงรักษา ปฏิบัติการ ตลอดจนการบริหารโครงการให้ประสบความสำเร็จสูงสุดให้เป็นไปตามเป้าหมายทางธุรกิจ บรรลุผลขององค์กรทุกระดับ ด้วยทีมงานที่ปรึกษาและผู้เชี่ยวชาญที่มีความพร้อมจากหลากหลายเทคโนโลยีและมีความชำนาญมากกว่า 20 ปี จึงได้รับความไว้วางใจจากองค์กรชั้นนำมากมาย อาทิ ผู้ให้บริการระบบสื่อสารและโทรคมนาคม, สถาบันการเงิน, บริษัทเงินทุนและหลักทรัพย์, หน่วยงานราชการ, รัฐวิสาหกิจ ในการส่งมอบ Solution ที่มีประสิทธิภาพ เหมาะสมสำหรับแต่ละองค์กรและธุรกิจของคุณ 

Captcha Code

By submitting, I agree to the processing and international transfer of my personal data by DataOne Asia as described in the Private Policy.