Wednesday, April 24, 2024
ArticlesCybersecurity

ความสำคัญของ Threat Intelligence เมื่อองค์กรเปลี่ยนเข้าสู่ระบบนิเวศดิจิทัล

Threat Intelligence
ความสำคัญของ Threat Intelligence ที่องค์กรต้องให้ความสำคัญและใช้ประโยชน์จากข้อมูลนี้ เพื่อปรับปรุงมาตรการรักษาความปลอดภัยทางไซเบอร์ และสร้างการป้องกันทางไซเบอร์เชิงรุก

มื่อกันยายนที่ผ่านมา ศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (Thailand Banking Sector Computer Emergency Response Team) หรือ TB-CERT จัดงาน TB-CERT Cybersecurity Annual Conference 2023 ภายใต้แนวคิดความปลอดภัยทางไซเบอร์ที่ยั่งยืน

มีจุดมุ่งหมายเพื่อเสริมสร้างความแข็งแกร่งให้กับชุมชนความปลอดภัยทางไซเบอร์ในภาคการเงินและอื่นๆ รวมถึงการใช้ประโยชน์จากความตระหนักรู้เกี่ยวกับอาชญากรรมในโลกไซเบอร์ การสร้างทักษะทางวิชาชีพของสมาชิก TB-CERT และการให้ความรู้แก่สมาชิก TB-CERT และบุคคลอื่นๆ ด้านความปลอดภัยทางไซเบอร์

ภายในงานมีการประชุมเสวนากันหลายประเด็น ที่สะท้อนถึง ภูมิทัศน์ด้านความปลอดภัยทางไซเบอร์มีการพัฒนาอย่างต่อเนื่อง และองค์กรต่างๆ ก็เผชิญกับภัยคุกคามทางไซเบอร์ที่เพิ่มมากขึ้นเรื่อยๆ

ซึ่งธุรกิจต่างๆ จะต้องนำแนวทางเชิงรุกและทรงพลังมาใช้กับความปลอดภัยทางไซเบอร์ เพื่อให้องค์กรขึ้นก้าวนำหน้าผู้ประสงค์ร้ายก่อภัยคุกคามหนึ่งก้าว และปกป้องข้อมูลที่ละเอียดอ่อนและทรัพย์สินที่สำคัญขององค์กร

หนึ่งในประเด็นสำคัญที่มีการพูดคุยคือ การให้ความสำคัญของข้อมูลภัยคุกคามเชิงรุก หรือ Threat Intelligence โดย วิกเตอร์ ชู หัวหน้าฝ่ายวิศวกรรมระบบ ประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ของแคสเปอร์สกี้ ได้ให้ข้อมูลสนับสนุนและอธิบายถึงความสำคัญของ ข้อมูลภัยคุกคามเชิงรุก

สถานการณ์การโจมตีเพิ่มขึ้นอย่างต่อเนื่อง
วิกเตอร์ ชู หัวหน้าฝ่ายวิศวกรรมระบบ ประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ของแคสเปอร์สกี้

วิกเตอร์ ได้กล่าวถึงข้อมูลภาพรวมภัยคุกคามทั่วโลกและภูมิภาคเอเชียตะวันออกเฉียงใต้ (SEA) ที่วิเคราะห์โดย แคสเปอร์สกี้ให้กับผู้ร่วมงาน ซึ่งประกอบด้วยสมาชิกของ TB-CERT ธนาคารและสถาบันการเงิน บันทึกข้อตกลงความร่วมมือการยกระดับความพร้อมรับมือภัยคุกคามไซเบอร์ ภาครัฐ และหน่วยงานอื่นๆ อีกมากมาย

ในปี 2565 ระบบตรวจจับของแคสเปอร์สกี้ค้นพบไฟล์ที่เป็นอันตรายใหม่ๆ โดยเฉลี่ย 400,000 ไฟล์ต่อวันทั่วโลก เมื่อเปรียบเทียบกับปี 2564 มีการตรวจพบไฟล์เหล่านี้ประมาณ 380,000 ไฟล์ต่อวัน

ซึ่งนับเป็นจำนวนที่เพิ่มขึ้น 5% กล่าวโดยรวมแล้ว ในปี 2565 ระบบของแคสเปอร์สกี้สามารถตรวจจับไฟล์ที่เป็นอันตรายได้ทั้งหมดประมาณ 122 ล้านไฟล์ ซึ่งมากกว่าปีก่อนหน้าถึง 6 ล้านไฟล์

สำหรับภาพรวมภัยคุกคามในภูมิภาคเอเชียตะวันออกเฉียงใต้ในปี 2565 พบว่าจำนวนการโจมตีด้วยมัลแวร์ที่แคสเปอร์สกี้ ป้องกันได้คือ 207,506 ครั้ง โดยสามารถป้องกันการโจมตีในประเทศไทยได้14,050 ครั้ง

แคสเปอร์สกี้ยังสามารถป้องกันความพยายามโจมตีด้วยฟิชชิงในประเทศไทยได้มากถึง 6,283,745 ครั้ง จากจำนวนฟิชชิงทั้งหมดที่มุ่งเป้าโจมตีผู้ใช้ภูมิภาคในเอเชียตะวันออกเฉียงใต้ทั้งหมด 43,445,502 ครั้ง โดยผู้ใช้ในประเทศเวียดนาม มาเลเซีย และไทยตกเป็นเป้าหมายมากที่สุดในภูมิภาคนี้

วิกเตอร์ยังเน้นย้ำว่าแรนซัมแวร์เป็นหนึ่งในภัยคุกคามอันดับต้นๆ ที่โจมตีธุรกิจในภูมิภาคเอเชียตะวันออกเฉียงใต้ ข้อมูลของแคสเปอร์สกี้ระบุว่า บริษัทสามารถบล็อกการโจมตีด้วยแรนซัมแวร์ในประเทศไทยมากถึง 82,438 ครั้ง ซึ่งสูงเป็นอันดับสองของภูมิภาค เนื่องจากประเทศไทยให้ผลตอบแทนจากการลงทุนสูง

นอกจากนี้แรนซัมแวร์ยังกลายเป็นบริการในรูปแบบ Malware-as-a-Service (MaaS) ที่ได้รับความนิยมมากที่สุด ซึ่งคิดเป็น 58% ของ MaaS ทุกรูปแบบระหว่างปี 2558 ถึง 2565

จากรายงาน Incident Response Report ของแคสเปอร์สกี้ปี 2565 กลุ่มอุตสาหกรรมที่เป็นเป้าหมายสูงสุดของการโจมตีทางไซเบอร์ ได้แก่ หน่วยงานรัฐบาล (19.39%) สถาบันการเงิน (18.37%) ภาคอุตสาหกรรม (17.35%) และไอที (9.18%)

วิกเตอร์อธิบายว่าผู้โจมตีใช้เครื่องมือต่างๆ เพื่อเข้ารุกล้ำเป้าหมาย เครื่องมือยอดนิยมคือ LOLBins และ PowerShell ซึ่งผู้โจมตีจะใช้เพื่อไปยังระบบอื่นต่อไป เครื่องมืออื่นๆ ได้แก่ PsExec, Mimikatz และ Cobalt Strike การใช้ผลประโยชน์จาก Microsoft Exchange เป็นเว็กเตอร์ช่องโหว่ของซอฟต์แวร์ที่มีประสิทธิภาพที่พบบ่อยที่สุด

ความสำคัญของข้อมูลภัยคุกคามเชิงลึก

ด้วยสถานการณ์ที่เกิดขึ้น เป็นสาเหตุให้องค์กรต้องมีแนวคิด และให้ความสำคัญกับข้อมูลภัยคุกคามเชิงลึก รวมถึงต้องสำรวจวิธีที่องค์กรต่างๆ จะสามารถใช้ประโยชน์จากข้อมูลนี้ เพื่อปรับปรุงมาตรการรักษาความปลอดภัยทางไซเบอร์ และสร้างการป้องกันทางไซเบอร์เชิงรุก พร้อมแจ้งการตัดสินใจแก่องค์กรเพื่อลดความเสี่ยงทางไซเบอร์

ข้อมูลภัยคุกคามเชิงลึก จะต้องเป็นองค์ความรู้ทั้งหมดที่เกี่ยวกับภัยคุกคามทางไซเบอร์และความสัมพันธ์ของภัยคุกคาม  เป็นข้อมูลสำหรับศูนย์ปฏิบัติการรักษาความปลอดภัย (Security Operations Center – SOC) เพื่อป้องกันการโจมตีทางไซเบอร์ที่อาจส่งผลกระทบต่อองค์กร

โดยที่แพลตฟอร์มสำหรับข้อมูลภัยคุกคามเชิงลึกนี้ จะสามารถดึงข้อมูลภัยคุกคามล่าสุดโดยละเอียด อาทิ เว็บแอดเดรส โดเมน ไอพีแอดเดรส แฮชของไฟล์ ข้อมูลทางสถิติ ข้อมูลพฤติกรรม ข้อมูล WHOIS / DNS และอื่นๆ ผลลัพธ์ที่ได้คือมุมมองภัยคุกคามใหม่ๆ และภัยที่กำลังเกิดขึ้นใหม่ทั่วโลก ซึ่งจะช่วยรักษาความปลอดภัยขององค์กรและส่งเสริมมาตรการตอบสนองต่อเหตุการณ์โจมตี

ประเด็นสำคัญ 4 ประการของข้อมูลภัยคุกคามเชิงลึก

เพื่อความสมบูรณ์ของข้อมูลภัยคุกคามเชิงลึก องค์กรจะต้องพิจารณาประเด็นสำคัญ 4 ด้านเพื่อให้มาตรการป้องกันทางไซเบอร์ที่ดีขึ้นและมีประสิทธิภาพ นั่นคือ ประเด็นเชิงกลยุทธ์ ยุทธวิธี ปฏิบัติการ และทางเทคนิค

องค์กรจะต้องพิจารณา ผสมผสานประเด็นสำคัญทั้ง 4 ประการ และใช้ประโยชน์จากทีมนักวิจัยและนักวิเคราะห์ของแพลตฟอร์มสำหรับข้อมูลภัยคุกคามเชิงลึก ซึ่งช่วยให้องค์กรต่างๆ เข้าถึงข้อมูลทางไซเบอร์เพื่อก้าวนำหน้าศัตรู และบรรเทาภัยคุกคามทางไซเบอร์ที่เกิดขึ้นใหม่

ข้อมูลภัยคุกคามเชิงลึกเป็นองค์ประกอบหลักที่องค์กรใช้ในการจัดการช่องโหว่ (68%) การดำเนินการด้านความปลอดภัย (66%) และการตอบสนองต่อเหตุการณ์ (62%) นักวิเคราะห์ความปลอดภัยทางไซเบอร์และทีม SOC ใช้ข้อมูลนี้เพื่อการตัดสินใจอย่างทันท่วงทีกรณีที่เกิดการโจมตี

“ในการต่อสู้กับภัยคุกคามทางไซเบอร์ในปัจจุบันอย่างมีประสิทธิภาพ การสร้าง SOC เพียงอย่างเดียวนั้นไม่เพียงพอ สิ่งที่สำคัญคือการจัดเตรียมเทคโนโลยีที่จำเป็น ข้อมูลเชิงลึกด้านความปลอดภัย และความเชี่ยวชาญที่เสริมศักยภาพให้องค์กรตอบสนองต่อความท้าทายที่พัฒนาอยู่ตลอดเวลาในภูมิทัศน์ภัยคุกคามแบบไดนามิก” วิกเตอร์ กล่าว

Featured Image: Image By vecstock