ตรวจจับภัยคุกคามเชิงรุกด้วยบริการ Threat Hunting จาก NT cyfence

17 พฤศจิกายน 2020

สุธีร์ กิจเจริญการกุล
สุธีร์ กิจเจริญการกุลนักเขียนและผู้ก่อตั้งเว็บไซต์ Techtalkthai เว็บไซต์ที่รวบรวมข่าวสารทางด้านผลิตภัณฑ์ IT ระดับใช้งานในองค์กรโดยเฉพาะ

ภัยคุกคามไซเบอร์นับวันยิ่งทวีความรุนแรงและแยบยลมากยิ่งขึ้น เหตุ Data Breach หลายครั้งเกิดจากการที่อาชญากรไซเบอร์ค่อย ๆ แทรกซึมเข้ามาในระบบเครือข่ายโดยที่กลไกรักษาความมั่นคงปลอดภัยและผู้ดูแลระบบไม่รู้ตัว การตรวจจับและป้องกันแบบ Reactive ที่ใช้กันอยู่ในปัจจุบันไม่เพียงพออีกต่อไป บทความนี้จะมาแนะนำบริการ Threat Hunting ซึ่งเป็นการค้นหาและตรวจจับแบบ Proactive จาก NT cyfence ผู้นำด้านการรักษาความมั่นคงปลอดภัยระบบ IT

รายงาน Cost of Data Breach Report ฉบับล่าสุดปี 2020 จาก Ponemon Institute เปิดเผยว่า องค์กรต้องใช้เวลาโดยเฉลี่ยมากถึง 207 วันในการค้นพบว่ามีการโจมตีหลุดเข้ามา และใช้เวลาอีก 73 วันในการกักกันความเสียหายที่เกิดขึ้น นั่นหมายความว่า อาชญากรไซเบอร์มีเวลามากถึง 280 ที่แทรกซึมและทำอันตรายต่อระบบ IT ขององค์กร ซึ่งอาจสร้างความสูญเสียได้สูงถึงหลักร้อยล้านบาท การเน้นป้องกันภัยคุกคามจากภายนอกไม่ให้เข้ามาจึงไม่เพียงพออีกต่อไป องค์กรต้องมีการเฝ้าระวังและตรวจจับเหตุการณ์ที่เกิดขึ้นภายในระบบ IT ตลอดเวลา เพื่อค้นหาภัยคุกคามที่อาจหลุดลอดเข้ามาและสามารถรับมือได้อย่างทันท่วงที

บริการ Threat Hunting คืออะไร

Threat Hunting เป็นบริการการค้นหาภัยคุกคามเชิงรุก (Proactive) โดยอาศัยการสร้าง Use Case จากข้อมูลภัยคุกคามล่าสุดที่ได้มาจากระบบ Threat Intelligence จากนั้นนำไปสร้าง Rule บนระบบ Security Information Event Management (SIEM) ซึ่งเป็นศูนย์กลางของศูนย์ปฏิบัติการด้านความมั่นคงปลอดภัย (Security Operations Center: SOC) โดยระบบดังกล่าวจะทำหน้าที่จัดเก็บและวิเคราะห์ข้อมูล Log จากอุปกรณ์บนเครือข่าย อุปกรณ์รักษาความมั่นคงปลอดภัย ระบบงานต่าง ๆ รวมไปถึงแอปพลิเคชัน จากนั้นนำมาเชื่อมโยงความสัมพันธ์เพื่อให้เข้าใจถึงภาพรวมเหตุการณ์ที่เกิดขึ้นบนระบบ IT ขององค์กร เมื่อตรวจพบเหตุการณ์ที่ตรงกับ Rule ที่สร้างไว้ แสดงว่ามีความเสี่ยงที่จะมีการโจมตีเกิดขึ้น Threat Hunting จึงทำให้องค์กรสามารถค้นพบความผิดปกติหรือเหตุการณ์ต้องสงสัยว่าเกี่ยวข้องกับภัยคุกคามไซเบอร์ได้อย่างทันท่วงที และกักกันความเสียหายไม่ให้ลุกลามได้อย่างรวดเร็ว

สำหรับการสร้าง Use Case นั้น หลังจากที่ได้ข้อมูลภัยคุกคามอันประกอบด้วยตัวบ่งชี้ภัยคุกคาม (Indicator of Compromise: IoC) เช่น IP, Hash, URL) จาก Threat Intelligence แล้ว NT cyfence จะสร้าง Rule บน SIEM ครอบคลุมการค้นหาภัยคุกคามตามหลักการ Cyber Kill Chain 7 ขั้นตอน ได้แก่ Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control และ Action on Objectives เพื่อให้มั่นใจว่า ไม่ว่าอาชญากรไซเบอร์กำลังดำเนินการโจมตีในขั้นตอนไหน ก็จะสามารถตรวจจับและค้นพบได้ทั้งหมด

นำเข้าข้อมูล Threat Intelligence จาก 3 ค่ายดัง

บริการ Threat Hunting ทั่วไปในท้องตลาดจะอาศัยข้อมูลภัยคุกคามจาก Threat Intelligence เพียงรายเดียว แต่ NT cyfence รวบรวมข้อมูลภัยคุกคามจาก Threat Intelligence ชื่อดังถึง 3 ราย ได้แก่ Malware Information Sharing Platform (MISP), Recorded Future และ McAfee GTI โดยมีทีม Threat Hunting, Malware Analysis และ Forensics ช่วยกันนำข้อมูลที่ได้มาสร้างเป็น Use Case ให้เหมาะสมสำหรับลูกค้าแต่ละอุตสาหกรรม โดยเฉลี่ยแล้ว จะมีการสร้าง Use Case ใหม่ให้ลูกค้าอย่างน้อย 1 Use Case ต่อเดือน

นอกจากนี้ NT cyfence ยังนำข้อมูล Threat Intelligence ที่ได้มาจัดทำเป็นข่าวสารอัปเดต แล้วส่งให้ลูกค้าที่ใช้บริการ Threat Hunting เพื่อให้ลูกค้ารับทราบถึงภัยคุกคามไซเบอร์ล่าสุดที่ควรจับตามองหรือพึงระวัง จะได้รู้เท่าทันและสามารถวางแผนรับมือกับภัยคุกคามเหล่านั้นได้ล่วงหน้า

เริ่มต้นใช้บริการ Threat Hunting ได้อย่างไร

สำหรับองค์กรที่ต้องการเริ่มต้นใช้บริการ Threat Hunting จำเป็นต้องใช้บริการ Cybersecurity Monitoring ของ NT cyfence ก่อน ซึ่งบริการดังกล่าวจะเป็นบริการเฝ้าระวังและแจ้งเตือนเหตุการณ์ภัยคุกคาม โดยองค์กรต้องส่ง Log ของอุปกรณ์ที่เกี่ยวข้องมายัง SOC ของ NT cyfence สำหรับทำการวิเคราะห์และค้นหาภัยคุกคามเชิงรุก หลังจากนั้น NT cyfence จะจัดทำ Use Cases ที่เหมาะสมกับธุรกิจขององค์กร แล้วส่งให้ประเมินความเสี่ยงเพื่อกำหนดระดับความร้ายแรงของ Use Case นั้น ๆ เสร็จแล้วนำไปสร้างเป็น Rule บนระบบ SIEM เพื่อเตรียมตรวจหาภัยคุกคามต่อไป ในกรณีที่ค้นพบภัยคุกคามหรือเหตุผิดปกติที่เกี่ยวข้อง ก็จะดำเนินการแจ้งเตือนลูกค้าตาม SLA ที่กำหนด

นอกจากการค้นหาภัยคุกคามที่อาจจะเกิดขึ้นในอนาคตแล้ว NT cyfence ยังให้บริการค้นหาภัยคุกคามเชิงรุกจาก Use Cases ที่สร้างขึ้นบน Log ย้อนหลังให้ 1 เดือนอีกด้วย เพื่อให้มั่นใจว่า ช่วงก่อนที่ภัยคุกคามจะได้รับการเปิดเผยสู่สาธารณะ ระบบ IT ขององค์กรจะมีความมั่นคงปลอดภัย ไม่ถูกรุกล้ำจากภัยคุกคามดังกล่าว นอกจากนี้ NT cyfence ยังจัดทำรายงานสรุป Use Case ที่สร้างขึ้นในแต่ละเดือนส่งให้ลูกค้าเพื่ออัปเดตข้อมูลให้ทราบอีกด้วย

ค้นหาและเฝ้าระวังภัยคุกคามด้วยผู้เชี่ยวชาญที่มีประสบการณ์นานกว่า 10 ปี

NT cyfence มีผู้เชี่ยวชาญระดับ Tier 3 ของศูนย์ SOC ถึง 7 คนสำหรับทำ Threat Hunting, Malware Analysis และ Forensics ซึ่งมีประสบการณ์ในการวิเคราะห์และเฝ้าระวังระบบรักษาความมั่นคงปลอดภัยมานานกว่า 10 ปี ผ่านการอบรมและได้ใบรับรองจากสถาบันชั้นนำมากมาย อาทิ SANS, EC Council, (ISC)2 และอื่น ๆ รวมไปถึงมีประสบการณ์ในการค้นหาการโจมตีแบบ Zero-day ที่เกิดขึ้นในประเทศไทยมาแล้ว ทำให้มั่นใจว่า Use Cases ที่สร้างสำหรับค้นหาภัยคุกคามเชิงรุกจะครอบคลุมและรัดกุมเพียงพอสำหรับธุรกิจในทุก ๆ อุตสาหกรรม ช่วยให้องค์กรสามารถโฟกัสกับการดำเนินธุรกิจได้อย่างเต็มที่ ปล่อยให้การดูแลและเฝ้าระวังการรักษาความมั่นคงปลอดภัยเป็นหน้าที่ของผู้ให้บริการชั้นนำอย่าง NT cyfence

สนใจใช้บริการ Cybersecurity Monitoring และ Threat Hunting ของ NT cyfence สามารถติดต่อ


บทความที่เกี่ยวข้อง