Threat Intelligence

ข่าวกรองด้านภัยคุกคามและความสำคัญต่อความปลอดภัยทางด้านไซเบอร์

CTI (Cyber Threat Intelligence) คือ การรวบรวมข้อมูลที่ช่วยให้ทีมงานด้านความปลอดภัยของข้อมูลสร้างกลยุทธ์การป้องกันที่แข็งแกร่ง องค์กรต่างๆ ในยุคใหม่ตระหนักถึงคุณค่าของข่าวกรองภัยคุกคามทางไซเบอร์มากขึ้น โดยหลายแห่งวางแผนที่จะลงทุนด้านข่าวกรองภัยคุกคามมากขึ้นในปีต่อๆ ไป อย่างไรก็ตาม การรับรู้ถึงคุณค่ากับการได้รับผลประโยชน์นั้นแตกต่างกัน

ปัจจุบัน องค์กรส่วนใหญ่มักยึดติดกับข้อมูลภัยคุกคามในรูปแบบพื้นฐานที่สุด (เช่น ฟีดข้อมูลภัยคุกคาม, IPS, firewalls) โดยไม่ได้ใช้ประโยชน์จากข้อมูลภัยคุกคามอย่างเต็มที่ CTI ที่สามารถดำเนินการได้จะเปิดโอกาสมากมาย เมื่อจัดการอย่างเหมาะสม

ข่าวกรองภัยคุกคามคืออะไร? (What is threat intelligence?)

ข่าวกรองภัยคุกคามไซเบอร์ คือ ข้อมูลภัยคุกคามไซเบอร์ที่รวบรวมและวิเคราะห์โดยใช้อัลกอริทึมขั้นสูง นักวิเคราะห์ภัยคุกคามไซเบอร์สามารถรวบรวมข้อมูลจำนวนมากเกี่ยวกับภัยคุกคามและแนวโน้มปัจจุบัน และวิเคราะห์ข้อมูลดังกล่าว ซึ่งช่วยให้ลูกค้าตรวจจับและเตรียมพร้อมรับมือกับภัยคุกคามไซเบอร์ได้ดีขึ้น

จากนั้น ทีมงานด้านความปลอดภัยจะรวบรวมข้อมูลนี้ไว้ในรายงานข่าวกรอง ซึ่งจะเผยแพร่และแบ่งปันกับแผนกอื่นๆ เป้าหมายสุดท้ายคือการลดการโจมตีโดยทำความเข้าใจว่าผู้ก่อภัยคุกคามทำงานอย่างไร

เหตุใดข่าวกรองภัยคุกคามจึงมีความสำคัญ? เช่นเดียวกับข่าวกรองรูปแบบอื่นๆ CTI มอบคุณค่าเพิ่มเติมให้กับการรักษาความปลอดภัยไซเบอร์ โดยช่วยเสริมความสามารถขององค์กรในการลดความเสี่ยงทางไซเบอร์ จัดการภัยคุกคาม และส่งข้อมูลข่าวกรองกลับไปยังผลิตภัณฑ์ทั้งหมดที่ปกป้องการโจมตี

ข้อมูลข่าวกรองด้านภัยคุกคามทำงานอย่างไร? 

นอกเหนือจากการระบุช่องโหว่ในซอฟต์แวร์และฮาร์ดแวร์แล้ว รายงานนี้ยังรวมถึงตัวบ่งชี้กลวิธี, เทคนิค และขั้นตอน (Tactics, Techniques and procedure, TTP) TTP ถือเป็นแนวคิดสำคัญในด้านความปลอดภัยทางไซเบอร์และอธิบายถึงวิธีที่ผู้โจมตีทางไซเบอร์วางแผน, ดำเนินการ และจัดการการโจมตีเชิงปฏิบัติการ

"กลวิธี" (Tactics) กำหนดว่าเป้าหมายของผู้โจมตีทางไซเบอร์คืออะไร และกลยุทธ์ทั่วไปที่ใช้ในการเข้าถึงระบบและข้อมูลขององค์กร (เช่น วิศวกรรมสังคม (Social engineering) หรือการแทรกซึมทางกายภาพ (Physical infiltration)) 

"เทคนิค" (Techniques) อธิบายถึง วิธีการดำเนินการโจมตีทางไซเบอร์ (เช่น การฟิชชิ่งผู้ใช้ผ่านไฟล์แนบอีเมล) และ 

"ขั้นตอน" (Procedure) คือการประสานงานการโจมตีแบบทีละขั้นตอน และมักจะเป็นวิธีที่ดีที่สุดในการสร้างโปรไฟล์ของผู้โจมตี ซึ่งอาจรวมถึงการสแกนเว็บไซต์เพื่อหาช่องโหว่, เขียน SQL ที่มีโค้ดที่เป็นอันตราย จากนั้นส่งไปยังแบบฟอร์มเว็บที่ไม่ปลอดภัยเพื่อควบคุมเซิร์ฟเวอร์

ข้อมูลข่าวกรองด้านภัยคุกคาม จำเป็นสำหรับใครบ้าง? 

คำตอบสั้นๆ คือ ทุกคน ข่าวกรองภัยคุกคามไซเบอร์มีไว้สำหรับทุกคนที่มีผลประโยชน์ทับซ้อนในโครงสร้างพื้นฐานด้านความปลอดภัยทางไซเบอร์ขององค์กร แม้ว่า CTI จะปรับแต่งให้เหมาะกับกลุ่มเป้าหมายใดก็ได้ แต่ในกรณีส่วนใหญ่ ทีมข่าวกรองภัยคุกคามจะทำงานอย่างใกล้ชิดกับศูนย์ปฏิบัติการด้านความปลอดภัย (Security Operation Center, SOC) ซึ่งคอยตรวจสอบและปกป้องธุรกิจในแต่ละวัน

การวิจัยแสดงให้เห็นว่า CTI ได้พิสูจน์แล้วว่ามีประโยชน์ต่อผู้คนในทุกระดับของรัฐบาล (ระดับชาติ, ระดับภูมิภาค หรือระดับท้องถิ่น) ตั้งแต่เจ้าหน้าที่รักษาความปลอดภัย, หัวหน้าและผู้กำหนดนโยบาย ไปจนถึงผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศและเจ้าหน้าที่บังคับใช้กฎหมาย นอกจากนี้ CTI ยังมีคุณค่าต่อผู้เชี่ยวชาญอื่นๆ อีกมากมาย เช่น ผู้จัดการฝ่ายไอที, นักบัญชี และนักวิเคราะห์อาชญากรรม

วงจรชีวิตของข่าวกรองด้านภัยคุกคาม

การสร้างข่าวกรองด้านภัยคุกคามทางไซเบอร์เป็นกระบวนการแบบวงจรที่เรียกว่า “วงจรข่าวกรอง” ในวงจรนี้ซึ่งประกอบด้วย 5 ขั้นตอน จะมีการวางแผน, ดำเนินการ และประเมินการรวบรวมข้อมูล จากนั้นจึงวิเคราะห์ผลลัพธ์เพื่อสร้างข่าวกรอง ซึ่งต่อมาจะเผยแพร่และประเมินผลใหม่โดยเปรียบเทียบกับข้อมูลใหม่และข้อเสนอแนะจากผู้บริโภค วงจรของกระบวนการนี้หมายถึง การระบุช่องว่างในข่าวกรองที่ส่งมอบ การเริ่มต้นข้อกำหนดในการรวบรวมข้อมูลใหม่ และการเริ่มต้นวงจรข่าวกรองใหม่ทั้งหมดอีกครั้ง

ประเภทของข่าวกรองภัยคุกคาม 3 ประเภท

โดยทั่วไป ข่าวกรองจะถูกแบ่งออกเป็น 3 ส่วนเพื่อให้เหมาะกับความต้องการข่าวกรองที่หลากหลายขององค์กรต่างๆ ซึ่งอาจรวมถึงข้อมูลระดับต่ำเกี่ยวกับมัลแวร์ที่ใช้ในการโจมตี, ไปจนถึงข้อมูลระดับสูงที่ใช้เพื่อแจ้งการลงทุนเชิงกลยุทธ์และการกำหนดนโยบาย, การศึกษาความต้องการเหล่านี้ทำให้สามารถประเมินเชิงกลยุทธ์, ปฏิบัติการ, และยุทธวิธีได้อย่างมีข้อมูลเพียงพอ

• ข่าวกรองเชิงกลยุทธ์ (Strategic intelligence): ข่าวกรองด้านภัยคุกคามประเภทนี้มีจุดประสงค์เพื่อให้เห็นภาพรวมว่าภัยคุกคามและกลยุทธ์ (รวมถึงผู้กระทำ, เครื่องมือ และ TTP) เปลี่ยนแปลงไปอย่างไรเมื่อเวลาผ่านไป โดยข้อมูลนี้สร้างขึ้นตามความต้องการในรูปแบบรายงาน โดยมุมมองภาพรวมของภัยคุกคามจะช่วยให้ผู้ตัดสินใจสามารถตัดสินใจระดับสูงได้แบบเรียลไทม์

• ข่าวกรองด้านปฏิบัติการ (Operational intelligence): ข่าวกรองด้านภัยคุกคามประเภทนี้มุ่งเน้นไปที่การทำความเข้าใจความสามารถ, โครงสร้างพื้นฐาน และ TTP ของฝ่ายตรงข้าม จากนั้นจึงใช้ความเข้าใจนั้นในการดำเนินการด้านความปลอดภัยทางไซเบอร์ที่ตรงเป้าหมายและมีลำดับความสำคัญมากขึ้น ซึ่งไม่สามารถทำได้ด้วยเครื่องจักรเพียงอย่างเดียว และต้องมีการวิเคราะห์โดยมนุษย์เพื่อแปลงข้อมูลให้เป็นรูปแบบที่ย่อยง่าย

• ข่าวกรองเชิงยุทธวิธี (Tactical intelligence): ข่าวกรองด้านภัยคุกคามประเภทนี้เกี่ยวข้องกับการทำความเข้าใจแนวโน้มระดับสูงและแรงจูงใจของฝ่ายตรงข้าม จากนั้นจึงใช้ข้อมูลนั้นในการตัดสินใจด้านความปลอดภัยเชิงกลยุทธ์และการดำเนินธุรกิจ ข่าวกรองนี้ให้การสนับสนุนการปฏิบัติการในระดับยุทธวิธี และสามารถรวบรวมข้อมูลโดยอัตโนมัติได้เกือบทุกครั้ง

ข้อมูลข่าวกรองภัยคุกคามทั้งสามประเภทนี้ (เชิงกลยุทธ์, เชิงปฏิบัติการ และเชิงยุทธวิธี) ถือเป็นส่วนสำคัญของ ISO/IEC27002:2022 ที่ปรับปรุงใหม่ โดยมุ่งหวังที่จะช่วยให้องค์กรต่างๆ รวบรวมและวิเคราะห์ “ข้อมูลที่เกี่ยวข้องกับภัยคุกคามด้านความปลอดภัยของข้อมูล” การเพิ่มการควบคุมนี้มีความสำคัญอย่างยิ่ง ไม่เพียงแต่ทำให้ความต้องการข้อมูลข่าวกรองภัยคุกคามเป็นมาตรฐานเท่านั้น แต่ข้อมูลข่าวกรองที่ใช้ยังช่วยให้องค์กรสามารถแจ้งกลยุทธ์ด้านความปลอดภัยและดำเนินการบรรเทาผลกระทบที่เหมาะสมได้อีกด้วย ผลลัพธ์ที่ได้คือข้อมูลข่าวกรองที่ “เกี่ยวข้อง” “เข้าใจง่าย” “สอดคล้องกับบริบท” และ “ดำเนินการได้” ทั่วทั้งขอบเขตความปลอดภัยขององค์กร

บูรณาการข่าวกรองภัยคุกคามเข้ากับองค์กร

โซลูชันข่าวกรองที่ดีจะช่วยให้องค์กรใช้ข่าวกรองได้อย่างง่ายดาย ดำเนินการ และเพิ่มผลกระทบสูงสุดจากการลงทุนด้านข่าวกรอง หน้าที่ของแพลตฟอร์มข่าวกรองภัยคุกคามขั้นสูง หรือเรียกสั้นๆ ว่า TIP (Threat intelligence platform) คือการทำให้กระบวนการตรวจสอบภัยคุกคามเป็นแบบอัตโนมัติ ส่งมอบข่าวกรองที่ดำเนินการได้ และให้การมองเห็นที่ลึกซึ้งยิ่งขึ้นเกี่ยวกับภัยคุกคามทั่วโลก เมื่อมีระบบอัตโนมัติในระดับนี้แล้ว ทีมงานด้านความปลอดภัยทางไซเบอร์ ก็จะสามารถเริ่มวิเคราะห์ภัยคุกคามที่เกี่ยวข้องกับองค์กรมากที่สุดได้

สำหรับผลลัพธ์ที่ดีที่สุด ให้เลือกแพลตฟอร์มข่าวกรองภัยคุกคามที่มีลักษณะดังต่อไปนี้:

• ความสัมพันธ์ของข้อมูลหลายแหล่ง เช่น ความสามารถในการรวบรวมแหล่งข้อมูลภายในและภายนอกเพื่อให้องค์กรมองเห็นภัยคุกคามทางไซเบอร์ได้อย่างครอบคลุม

• การวิเคราะห์และการคัดกรองอัตโนมัติ ซึ่งหลีกเลี่ยงความเสี่ยงจากการต้องเผชิญกับข้อมูลซ้ำซ้อนและคุณภาพต่ำจำนวนมาก

• ฟังก์ชันการแบ่งปันข้อมูล กระจายข้อมูลโดยอัตโนมัติทั่วทั้งการปรับใช้ระบบรักษาความปลอดภัยขององค์กร

• ระบบอัตโนมัติ ใช้เพื่อเร่งการวิเคราะห์และการใช้ข้อมูลข่าวกรองด้านภัยคุกคาม

• ข้อมูลเชิงลึกที่ดำเนินการได้ เพื่อให้คำแนะนำเชิงปฏิบัติเกี่ยวกับวิธีที่องค์กรสามารถปกป้องตนเองจากภัยคุกคามที่ข้อมูลข่าวกรองด้านไซเบอร์นำมาสู่ความสนใจ

มาตรฐานที่เกี่ยวข้องกับ Threat intelligence ประกอบไปด้วย

ISO/IEC 27001:2022 ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ

ISO/IEC 27002:2022 การควบคุมความปลอดภัยของข้อมูล

การนำระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC27001:2022 Information Security Management System) มาประยุกต์ใช้เป็นหนึ่งในเครื่องมือที่ช่วยให้องค์กร เสริมสร้างความปลอดภัยทางด้านไอที เพิ่มความเชื่อมั่นให้กับลูกค้า, ผู้บริหารและผู้มีส่วนได้ส่วนเสียต่าง ๆ 

สนใจฝึกอบรมจัดทำระบบ ติดต่อเรา ยินดีให้คำปรึกษากับทุกองค์กร

ติดต่อที่ปรึกษาจัดทำระบบ ISO27001, ISO27701, ISO9001 หรืออื่น ๆ  โทร. 084-1147666 

#Cybersecurity, #IdentityManagement, #ISMS, #ISO27001, #IAM