Blockdit Logo (Mobile)
Cloudsec Asia
23 ก.พ. 2022 เวลา 09:07 • ธุรกิจ
CTI EP03: ประเภทของ CTI
Cyber Threat Intelligence (CTI) หรือระบบข่าวกรองภัยคุกคามทางไซเบอร์ ถูกแบ่งออกเป็นทั้งหมด 4 ประเภทใหญ่ ๆ ด้วยกัน ได้แก่: Strategic, Tactical, Technical และ Operational โดยแต่ละประเภทต่างมีจุดประสงค์และระดับความเหมาะสมในการนำไปใช้งานแตกต่างกัน
ประเภทกลยุทธ์ (Strategic)
Strategic Cyber Threat Intelligence หรือ ข่าวกรองภัยคุกคามทางไซเบอร์ประเภทกลยุทธ์ คือ นิยามที่ใช้อธิบายถึงภาพรวมของการรักษาความปลอดภัยภายในองค์กร โดยมุ่งไปที่ผู้รับสารที่ไม่จำเป็นต้องมีความรู้ความเข้าใจทางด้านเทคนิค เช่น สมาชิกของคณะกรรมการบริหาร หรือ ผู้บริหาร เป็นต้น ซึ่งข่าวกรองประเภทนี้ครอบคลุมถึงรายการของภัยคุกคามที่องค์กรกำลังเผชิญอยู่ในขณะนี้ และอภิปรายถึงผลกระทบที่อาจเกิดขึ้นในกรณีที่มีการโจมตีทางไซเบอร์สำเร็จ
ตัวอย่างของ Strategic Cyber Threat Intelligence ได้แก่ Whitepaper, รายงานด้านความมั่นคงปลอดภัยทางไซเบอร์ที่เผยแพร่โดยบริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์, และรายงานสรุปผลทางสถิติเรื่องการรั่วไหลของข้อมูล (Data Breach) และการโจมตีทางไซเบอร์ประเภทอื่น ๆ
ประเภทยุทธวิธี (Tactical)
Tactical Cyber Threat Intelligence เป็นข่าวกรองภัยคุกคามไซเบอร์ทางด้านกลยุทธ์ที่เหมาะสมกับการนำไปใช้งานโดยทีมรักษาความปลอดภัยขององค์กร เนื่องจากเป็นข่าวกรองที่รวบรวมข้อมูลเรื่องผู้โจมตี, เทรนด์ของการโจมตีทางไซเบอร์, แรงจูงใจในการโจมตี, เทคนิคและกลยุทธ์ในการโจมตี, และวิธีการในการโจมตี (เช่น Phishing, DDoS, Rootkit เป็นต้น) ที่พยายามจะแฝงตัวเข้าในในระบบไอทีขององค์กร
ข้อมูลที่ถูกรวบรวมโดย Tactical Cyber Threat Intelligence จะช่วยทีมรักษาความปลอดภัยขององค์กรในการเสริมสร้างและเพิ่มประสิทธิภาพของกลยุทธ์ในการปกป้ององค์กร ซึ่งจะทำให้ทีมสามารถทำความเข้าใจได้ว่าระบบไอทีของพวกเขาสามารถถูกโจมตีได้อย่างไร และด้วยวิธีไหนบ้าง
ตัวอย่างข้อมูลที่ถูกเก็บรวบรวมโดย Tactical Cyber Threat Intelligence ได้แก่ หมายเลข IP Address ที่มีพฤติกรรมต้องสงสัย และรายชื่อ Domain Name ที่ใช้ในการละเมิดความปลอดภัยของข้อมูลครั้งก่อนและข้อมูล Log ของระบบ
ประเภทเทคนิค (Technical)
Technical Cyber Threat Intelligence หรือข่าวกรองภัยคุกคามทางด้านเทคนิคเจาะจงไปที่การค้นหาหลักฐานจากการโจมตีทางไซเบอร์เพื่อนำมาใช้ในการทำความเข้าใจการโจมตีครั้งอื่น ๆ ที่มีรูปแบบคล้ายคลึงกัน ยกตัวอย่าง เช่น รายงานทางเทคนิคที่รวบรวมข้อมูลและทำการวิเคราะห์ Indicator of Compromise (IOCs)* โดยรายงานทางเทคนิคด้านภัยคุกคามมากมีอายุการใช้งานที่ไม่ยาวนานเนื่องจากข้อมูลในลักษณะนี้มักเป็นข้อมูลที่ใช้ได้เพียงชั่วคราว
* Indicator of Compromise (IOCs) คือ ร่องรอยหรือตัวบ่งชี้ที่ถูกพบในระบบคอมพิวเตอร์ซึ่งสามารถบ่งบอกได้ว่ามีการโจมตีหรือการบุกรุกเกิดขึ้นในระบบ ยกตัวอย่าง IOC ที่องค์กรควรมีการเฝ้าระวังจับตาดู อาทิ
- การเปลี่ยนแปลง Registry หรือ System File ที่น่าสงสัย
- มีการเปลี่ยนแปลงของขนาดของ HTML Response ที่ผิดปกติไปจากเดิม
- มีปริมาณคำขอในการเรียกดูไฟล์เดิมซ้ำ ๆ มากผิดปกติ เป็นต้น
ประเภทปฏิบัติการ (Operational)
Operational Cyber Threat Intelligence หรือ ข่าวกรองภัยคุกคามไซเบอร์สำหรับระดับปฏิบัติการรวบรวมข้อมูลที่เกี่ยวข้องว่าการโจมตีที่อาจเป็นไปได้นั้นจะเกิดขึ้นได้อย่างไรบ้าง ภายในข่าวกรองมีข้อมูลในเรื่องของจังหวะในการโจมตี, เป้าหมาย, แรงจูงใจ, และเทคนิคที่ถูกใช้ในการโจมตี ซึ่งการรวบรวมข้อมูลสำหรับ Operational Cyber Threat Intelligence มักเป็นเรื่องยาก เนื่องจาก Operational Cyber Threat Intelligence เกี่ยวโยงกับการดักฟังบทสนทนาออนไลน์ของอาชญากรไซเบอร์ ทั้งบนโลกอินเทอร์เน็ตทั่วไปและใน Darknet (อาทิ เว็บบอร์ดใน Dark Web) ผ่านการแฮกเข้าไปในช่องทางการสื่อสารของเหล่าบรรดาอาชญากร
การเก็บรวบรวมข้อมูลสำหรับ Operational Cyber Threat Intelligence ถือเป็นเรื่องท้าทายด้วยเหตุผลหลายประการ ดังนี้
1. อาชญากรทางไซเบอร์มักจะสื่อสารกันผ่านช่องทางเข้ารหัสและการแฮกเข้าไปในช่องทางดังกล่าวไม่ใช่สิ่งที่ทำได้โดยง่าย
2. ข้อมูลปริมาณมหาศาลที่หาได้จากช่องทางออนไลน์ ทำให้การรวบรวมและวิเคราะห์ข้อมูลเป็นเรื่องที่ยากจนเกินไป ยกตัวอย่าง เช่น การเฝ้าติดตามการสนทนาบนฟอรั่มหรือห้องแชทบน Darknet ไม่ใช่งานง่ายและยังใช้เวลาเป็นอย่างมาก เนื่องจากมีข้อมูลขนาดมโหฬารที่จำเป็นต้องผ่านการวิเคราะห์เพื่อให้นำมาใช้งานได้
3. กลุ่มองค์กรอาชญากรรมทางไซเบอร์ใช้วิธีการที่ล้ำหน้าในการปกปิดช่องทางการสื่อสารในโลกออนไลน์ อาทิ การใช้เทคนิค Steganography(การเข้ารหัสข้อความภายในรูปภาพ) และการใช้ภาษาที่คลุมเครือเพื่อหลบซ่อนจุดประสงค์ที่แท้จริงของการสนทนา
สรุป จะเห็นได้ว่ารูปแบบของภัยคุกคามในปัจจุบันมีความล้ำหน้าไปพร้อม ๆ โลกของเราที่กำลังถูกขับเคลื่อนด้วยวิทยาการและเทคโนโลยี องค์กรที่ดีควรมีการเตรียมความพร้อมในการรับมือกับภัยคุกคามทางไซเบอร์ที่เราไม่มีทางรู้เลยได้ว่าจะมุ่งเป้ามาที่เราเมื่อไหร่ และมาด้วยวิธีการใด การมี Cyber Threat Intelligence ไว้ในองค์กรจะช่วยองค์กรในการวางกลยุทธ์เอาไว้ล่วงหน้า พร้อมความสามารถในการคาดการณ์เทรนด์และแนวโน้มของภัยคุกคามที่องค์กรต้องเผชิญได้อย่างมั่นคงและแม่นยำ
Read a full English article on - https://digitalforensicsmagazine.com
ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์
ติดต่อเรา Cloudsec Asia
ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิก
Tel.+66 2962 3425
www.cloudsecasia.com
#cybersecurity
#cybersecurityisamust
#cloudsecasia
โฆษณา