How AI Unlocks the Value of Your Existing SOC Talent
By Eugene Eng, Regional Manager, Vectra AI
ความรุนแรงของ Hybrid Attack
เมื่อโลกของการทำงานยุคใหม่นั้นกลายเป็นลักษณะ Hybrid แบบเต็มตัว การโจมตีทางไซเบอร์ที่เกิดขึ้นก็เป็นในลักษณะของ Hybrid Attack เช่นเดียวกัน ซึ่ง Hybrid Attack นั้นเกิดขึ้นจากการโจมตีทางไซเบอร์ที่ใช้วิธีการผสมผสานหลายรูปแบบในการโจมตีพร้อมกันหรือเป็นขั้นตอน โดยมีเป้าหมายหลักเพื่อหลบเลี่ยงการป้องกันและสร้างความเสียหายให้แก่องค์กรอย่างกว้างขวาง
การโจมตีลักษณะนี้เกิดขึ้นในสภาพแวดล้อมที่หลากหลายและซับซ้อน ซึ่งสามารถโจมตีได้ทั้งระบบออนไลน์และออฟไลน์ หรือข้ามระหว่างเครือข่ายต่าง ๆ ได้อย่างรวดเร็ว ถึงแม้ว่าองค์กรจะมีมาตรการป้องกันที่ครบถ้วนแล้วก็ตาม การรับมือกับการโจมตีลักษณะนี้ยังคงเป็นเรื่องที่ท้าทาย เนื่องจาก Hybrid Attack มักจะมีลักษณะดังต่อไปนี้:
1) Bypass Prevention: ผู้โจมตีมักใช้เทคนิคที่ซับซ้อนเพื่อลดการตรวจจับจากระบบป้องกัน เช่น Firewall หรือ Anti-virus โดยใช้วิธีการต่าง ๆ อย่างเช่น Advanced Phishing หรือ Zero-Day Exploit ที่มุ่งโจมตีจุดอ่อนเฉพาะ ทำให้ระบบป้องกันมาตรฐานไม่สามารถตรวจจับได้ทันก่อนที่ระบบจะถูกเจาะ
2) Compromise Identities: การโจมตีมักพุ่งเป้าไปที่ข้อมูลการยืนยันตัวตนของผู้ใช้ เช่น รหัสผ่านหรือ Token เมื่อผู้โจมตีได้สิทธิ์การเข้าถึงแล้ว สามารถเคลื่อนที่ภายในระบบอย่างไม่ถูกตรวจจับ ทำให้สามารถกระทำการที่เป็นอันตรายได้โดยไม่เป็นที่สังเกต
3) Elevate & Hide Privilege: ผู้โจมตีจะพยายามยกระดับสิทธิ์ของตนเองในระบบ เพื่อเข้าถึงข้อมูลสำคัญหรือฟังก์ชันที่สำคัญของระบบ และทำการซ่อนการยกระดับนี้ไว้ ทำให้สามารถดำเนินการในระบบอย่างอิสระโดยที่มาตรการรักษาความปลอดภัยไม่สามารถตรวจจับหรือป้องกันได้
4) Move Laterally Across Domain: เมื่อเข้าถึงระบบแล้ว Hybrid Attacker สามารถเคลื่อนที่ข้ามระบบที่ถูกโจมตีไปยังระบบอื่น ๆ ภายในเครือข่ายได้ เพื่อค้นหาข้อมูลที่มีค่าเพิ่มขึ้นหรือแพร่กระจายมัลแวร์ โดยใช้ช่องโหว่ในแต่ละโดเมน ทำให้การควบคุมและหยุดการโจมตียากยิ่งขึ้น
ความรุนแรงของ Hybrid Attack
เมื่อโลกของการทำงานยุคใหม่นั้นกลายเป็นลักษณะ Hybrid แบบเต็มตัว การโจมตีทางไซเบอร์ที่เกิดขึ้นก็เป็นในลักษณะของ Hybrid Attack เช่นเดียวกัน ซึ่ง Hybrid Attack นั้นเกิดขึ้นจากการโจมตีทางไซเบอร์ที่ใช้วิธีการผสมผสานหลายรูปแบบในการโจมตีพร้อมกันหรือเป็นขั้นตอน โดยมีเป้าหมายหลักเพื่อหลบเลี่ยงการป้องกันและสร้างความเสียหายให้แก่องค์กรอย่างกว้างขวาง
การโจมตีลักษณะนี้เกิดขึ้นในสภาพแวดล้อมที่หลากหลายและซับซ้อน ซึ่งสามารถโจมตีได้ทั้งระบบออนไลน์และออฟไลน์ หรือข้ามระหว่างเครือข่ายต่าง ๆ ได้อย่างรวดเร็ว ถึงแม้ว่าองค์กรจะมีมาตรการป้องกันที่ครบถ้วนแล้วก็ตาม การรับมือกับการโจมตีลักษณะนี้ยังคงเป็นเรื่องที่ท้าทาย เนื่องจาก Hybrid Attack มักจะมีลักษณะดังต่อไปนี้:
1) Bypass Prevention: ผู้โจมตีมักใช้เทคนิคที่ซับซ้อนเพื่อลดการตรวจจับจากระบบป้องกัน เช่น Firewall หรือ Anti-virus โดยใช้วิธีการต่าง ๆ อย่างเช่น Advanced Phishing หรือ Zero-Day Exploit ที่มุ่งโจมตีจุดอ่อนเฉพาะ ทำให้ระบบป้องกันมาตรฐานไม่สามารถตรวจจับได้ทันก่อนที่ระบบจะถูกเจาะ
2) Compromise Identities: การโจมตีมักพุ่งเป้าไปที่ข้อมูลการยืนยันตัวตนของผู้ใช้ เช่น รหัสผ่านหรือ Token เมื่อผู้โจมตีได้สิทธิ์การเข้าถึงแล้ว สามารถเคลื่อนที่ภายในระบบอย่างไม่ถูกตรวจจับ ทำให้สามารถกระทำการที่เป็นอันตรายได้โดยไม่เป็นที่สังเกต
3) Elevate & Hide Privilege: ผู้โจมตีจะพยายามยกระดับสิทธิ์ของตนเองในระบบ เพื่อเข้าถึงข้อมูลสำคัญหรือฟังก์ชันที่สำคัญของระบบ และทำการซ่อนการยกระดับนี้ไว้ ทำให้สามารถดำเนินการในระบบอย่างอิสระโดยที่มาตรการรักษาความปลอดภัยไม่สามารถตรวจจับหรือป้องกันได้
4) Move Laterally Across Domain: เมื่อเข้าถึงระบบแล้ว Hybrid Attacker สามารถเคลื่อนที่ข้ามระบบที่ถูกโจมตีไปยังระบบอื่น ๆ ภายในเครือข่ายได้ เพื่อค้นหาข้อมูลที่มีค่าเพิ่มขึ้นหรือแพร่กระจายมัลแวร์ โดยใช้ช่องโหว่ในแต่ละโดเมน ทำให้การควบคุมและหยุดการโจมตียากยิ่งขึ้น
มุมมองในการรับมือภัยคุกคามของผู้บริหารและระดับปฏิบัติการ
จากการสำรวจนั้นพบว่าในมุมมองของผู้บริหาร IT เชื่อว่าการใช้เครื่องมืออย่าง EDR (Endpoint Detection and Response), MFA (Multi-factor Authentication), และ SIEM (Security Information and Event Management) จะช่วยเพิ่มประสิทธิภาพการรักษาความปลอดภัยทางไซเบอร์และเพิ่มความมั่นใจในการป้องกันภัยคุกคามขององค์กรได้มากขึ้น
แต่มุมมองของผู้ปฏิบัติงานเช่น ทีม SOC นั้นกลับตรงกันข้าม พวกเขามองว่าในความเป็นจริงนั้น:
1) 90% ของ SOC Analysts ไม่สามารถวิเคราะห์ Alert ทั้งหมดได้ทันเวลา แม้จะมีเครื่องมือช่วยเหลือ
2) 83% ของการแจ้งเตือน ที่ทำการตรวจสอบโดยผู้ปฏิบัติงาน SOC นั้นเป็น False Positives ซึ่งทำให้เสียเวลาตรวจสอบข้อมูลที่ไม่เกี่ยวข้องกับภัยคุกคามจริง
3) 97% ของ SOC Analysts กังวลว่าพวกเขาอาจพลาดการตรวจจับการโจมตีจริงที่ซ่อนอยู่ในจำนวนแจ้งเตือนมากมายในแต่ละวัน
4) SOC Analysts ใช้เวลาเฉลี่ย 2.57 ชั่วโมงต่อวัน เพื่อตรวจสอบการแจ้งเตือนที่เป็นภัยคุกคามที่ไม่ได้เกิดขึ้นจริง (False Alerts)
5) 67% ของ SOC Analysts พบว่าระยะเวลาตั้งแต่การตรวจจับภัยคุกคาม (MTTD), การจำแนก (MTTI), และการตอบสนอง (MTTR) ไม่ได้มีการปรับปรุงหรือเปลี่ยนแปลงในช่วง 2 ปีที่ผ่านมา
ใช้ AI เพื่อรับมือกับ AI
ในปัจจุบัน ฝ่าย Hybrid Attacker ได้นำ AI มาใช้ในการยกระดับการโจมตี ด้วยการนำ AI เข้ามาจัดการปฏิบัติการทุกอย่างที่เคยเป็นระบบ Manual ซึ่งทำให้การโจมตีมีความรวดเร็วและรุนแรงมากขึ้น ด้วยเหตุนการที่จะรับมือกับการโจมตีด้วย AI องค์กรจึงจำเป็นต้องนำระบบ AI เข้ามาใช้งาน ซึ่ง AI นั้นจะช่วยให้องค์กรสามารถตรวจพบการโจมตีที่การป้องกันแบบเดิมไม่สามารถตรวจจับได้ ทำให้ทีม SOC สามารถตอบสนองต่อภัยคุกคามได้อย่างทันเวลาและมีประสิทธิภาพมากขึ้น
ซึ่งภายใต้แนวคิดของ Vectra AI Platform จะเข้ามาช่วยทีม SOC ขององค์กร ดังนี้:
1) Coverage: การครอบคลุมภัยคุกคามในทุกพื้นที่
Vectra AI Platform ให้การป้องกันภัยคุกคามในทุกส่วนของเครือข่าย ตั้งแต่ Network, Cloud, SaaS, Identity และ Hybrid Infrastructure
ครอบคลุมทุกจุดที่อาจเป็นจุดเริ่มต้นหรือแหล่งที่มาของการโจมตี ทำให้การตรวจจับมีความทั่วถึง ไม่ว่าจะเป็นการเชื่อมต่อภายในหรือการเชื่อมต่อจากภายนอกองค์กร
ระบบสามารถตรวจจับได้ในทุกโซนของเครือข่าย ทำให้ไม่มีช่องโหว่ในการโจมตีที่ไม่ถูกมองเห็น
2) Clarity: ความชัดเจนของการแจ้งเตือนและข้อมูลภัยคุกคาม
AI ใน Vectra สามารถช่วยให้ข้อมูลภัยคุกคามที่ถูกตรวจจับนั้นมีความแม่นยำและชัดเจนมากยิ่งขึ้น โดยการวิเคราะห์พฤติกรรมของการโจมตี
ระบบจะช่วยลด False Positives หรือการแจ้งเตือนที่ไม่สำคัญออกไป ทำให้ทีม SOC สามารถมุ่งเน้นไปที่ภัยคุกคามที่แท้จริงและเร่งด่วน
AI ยังช่วยจัดลำดับความสำคัญของการแจ้งเตือนตามระดับความรุนแรงและความเป็นไปได้ของการโจมตี ทำให้การตรวจสอบภัยคุกคามนั้นมีประสิทธิภาพมากขึ้น
3) Control: การควบคุมและการตอบสนองต่อภัยคุกคามที่รวดเร็ว
Vectra AI Platform ช่วยให้ทีม SOC มีเครื่องมือในการทำงานที่สามารถควบคุมการตอบสนองต่อภัยคุกคามได้อย่างมีประสิทธิภาพ ทั้งในส่วนของการ Threat Hunting และ Automated Investigation
ระบบช่วยในการตอบสนองต่อภัยคุกคามอย่างรวดเร็ว ผ่านการทำงานอัตโนมัติ ช่วยลดระยะเวลาในการตอบสนองและปรับปรุงประสิทธิภาพของทีมให้ดีขึ้น
สามารถทำ Advance Investigation เพื่อขยายการวิเคราะห์และสืบสวนภัยคุกคามข้ามหลาย Domain ภายในองค์กรได้อย่างครอบคลุม
ด้วยแพลตฟอร์มของ Vectra AI องค์กรสามารถรับมือกับ Hybrid Attack ได้อย่างมีประสิทธิภาพ โดยสนับสนุนทีม SOC ในการเปลี่ยนกระบวนการตรวจจับภัยคุกคามจากรูปแบบเดิมไปสู่ระบบ Automate ที่ขับเคลื่อนด้วย AI และ Machine Learning ซึ่งสามารถเรียนรู้และพัฒนาอย่างต่อเนื่อง
แพลตฟอร์มนี้ช่วยลดจำนวนการแจ้งเตือนจากหลักหมื่นเหลือเพียงหลักหน่วยต่อวัน พร้อมทั้งจัดลำดับความสำคัญของภัยคุกคาม เพื่อให้ทีมสามารถจัดการกับภัยคุกคามได้อย่างมีประสิทธิภาพ นอกจากนี้ยังช่วยให้เวลาเฉลี่ยในการตรวจจับภัยคุกคาม การจำแนก และการตอบสนอง (MTTD, MTTI, MTTR) มีความรวดเร็วมากยิ่งขึ้น
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity #BCD2024 #AI #VectraAI #HybridAttack #SOC #MTTD #MTTI #MTTR
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
