ฟีดข่าวภัยคุกคาม คือ ข้อมูลเกี่ยวกับการโจมตีที่อาจเกิดขึ้น (เรียกว่า “threat intelligence”) ที่ส่งมาจากแหล่งภายนอก องค์กรต่างๆ สามารถใช้ฟีดข่าวภัยคุกคามเพื่ออัปเดตระบบป้องกันความปลอดภัยให้ทันสมัยและพร้อมรับมือกับการโจมตีล่าสุด เปรียบเทียบง่ายๆ เหมือนกับการติดตามข่าวสารประจำวัน ฟีดข่าวภัยคุกคามจะแจ้งให้คุณทราบเกี่ยวกับภัยคุกคามทางไซเบอร์ล่าสุด เช่น มัลแวร์ใหม่, วิธีการโจมตีใหม่ และช่องโหว่ด้านความปลอดภัยที่เพิ่งค้นพบ
เปรียบเทียบฟีดข่าวสารทั่วไปกับฟีดข่าวภัยคุกคาม
ทั้งสองประเภทนี้มีลักษณะคล้ายกันตรงที่เป็นการนำเสนอข้อมูลแบบต่อเนื่อง โดยมีการอัปเดตข้อมูลใหม่ๆ อยู่เสมอ
-
ฟีดข่าวทั่วไป : ข้อมูลที่อัปเดตอาจเป็นเนื้อหาใหม่ ข่าวสารใหม่ การเปลี่ยนแปลงของเรื่องราวที่กำลังพัฒนา เป็นต้น
- ฟีดข่าวภัยคุกคาม : ข้อมูลที่อัปเดตอาจเป็นตัวชี้วัดการบุกรุก (IoC) โดเมนที่น่าสงสัย ลายเซ็นมัลแวร์ที่รู้จัก และอื่นๆ
ข้อมูลข่าวกรองภัยคุกคามสามารถเปรียบเทียบได้กับการลาดตระเวนของทหาร
ฟีดข่าวภัยคุกคามสามารถเปรียบได้เหมือนกับการลาดตระเวนของทหาร
เนื่องจากทั้งสองอย่างมีจุดมุ่งหมายที่เหมือนกัน คือ การรวบรวมข้อมูลเกี่ยวกับศัตรูเพื่อเตรียมพร้อมรับมือกับการโจมตี
ฟีดข่าวภัยคุกคามมีอยู่ด้วยกันสองประเภทหลักๆ
- ฟีดข่าวแบบเครื่องอ่าน (Machine-readable feed)
ข้อมูลในฟีดประเภทนี้จะอยู่ในรูปแบบที่เครื่องสามารถอ่านและเข้าใจได้ เช่น XML, JSON, หรือ STIX/TAXII
ฟีดข่าวประเภทนี้มักใช้ร่วมกับระบบ SIEM (Security Information and Event Management) และเครื่องมือรักษาความปลอดภัยอื่นๆ เพื่ออัปเดตฐานข้อมูลภัยคุกคามและสร้างกฎเกณฑ์การแจ้งเตือนภัยคุกคาม - ฟีดข่าวแบบมนุษย์อ่าน (Human-readable feed)
ฟีดประเภทนี้จะอยู่ในรูปแบบที่มนุษย์สามารถอ่านและเข้าใจได้ เช่น บทความ รายงาน และข่าวสาร
ฟีดข่าวประเภทนี้มักใช้เพื่อให้ทีมรักษาความปลอดภัยทราบเกี่ยวกับภัยคุกคามทางไซเบอร์ล่าสุดและเพื่อช่วยในการตัดสินใจด้านความปลอดภัย
ภัยคุกคามทางไซเบอร์ คืออะไร ?
“ภัยคุกคาม (Threat)” สามารถอธิบายได้ว่าเป็นการกระทำที่อาจส่งผลให้เกิดการ ขโมย สูญหาย เคลื่อนย้าย หรือเปลี่ยนแปลงข้อมูลโดยที่ยังไม่ได้รับอนุญาต อาจหมายถึงการกระทำที่เกิดขึ้นมาแล้วหรืออาจจะกำลังเกิดขึ้นก็ได้
ยกตัวอย่างเหตุการณ์
A ขโมยรหัสผ่านอีเมลของ B และยึดกล่องจดหมายของ B ไป แต่ยังไม่ได้นะไปทำอะไรกับ C โดยที่ A ก็ยังคงคุกคาม C อยู่
B อาจต้องการให้ C รู้ว่า A ทำอะไรลงไปบ้าง เพื่อที่ C ระวังตัวเองและป้องกันตัว จาก A โดย B มอบข้อมูลภัยคุกคามในรูปแบบง่ายๆ ให้ C ไปว่า : ” ระวัง A ! “
แม้ว่าการแจ้งเตือนว่า “ระวัง A !” จะเป็นจุดเริ่มต้นที่ดีในการป้องกันภัย แต่เพื่อให้เป็นประโยชน์ต่อเครื่องมือและทีมรักษาความปลอดภัย ภัยคุกคามทางไซเบอร์จำเป็นต้องมีรายละเอียดมากกว่านั้น
- Tactics, Techniques, and Procedures (TTPs) คือคำอธิบายรายละเอียดเกี่ยวกับพฤติกรรมการโจมตี โดยมักใช้เพื่ออธิบายวิธีการโจมตีทางไซเบอร์ที่เฉพาะเจาะจง
- ลายเซ็นมัลแวร์ (Malware signatures) คือรูปแบบหรือลำดับของไบต์ที่ไม่ซ้ำกัน ซึ่งสามารถใช้ระบุไฟล์ได้ เครื่องมือรักษาความปลอดภัยสามารถค้นหาไฟล์ที่มีลายเซ็นต์ที่ตรงกับมัลแวร์ที่รู้จัก
- Indicators of compromise (IoC) คือชิ้นส่วนของข้อมูลที่ช่วยระบุว่าการโจมตีเกิดขึ้นแล้วหรือกำลังดำเนินการอยู่
- ที่อยู่ IP และโดเมนที่น่าสงสัย (Suspicious IP addresses and domains) ทุกทราฟฟิกบนเครือข่ายมีต้นทางมาจากที่ใดที่หนึ่ง หากตรวจพบการโจมตีที่มาจากโดเมนหรือที่อยู่ IP ใดโดเมนหนึ่ง ไฟร์วอลล์สามารถบล็อกทราฟฟิกจากแหล่งนี้เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นในอนาคต
ข้อมูลภัยคุกคามในฟีด มาจากไหน ?
ข้อมูลในฟีดข่าวกรองภัยคุกคามอาจมาจากหลายแหล่ง เช่น
- การวิเคราะห์การเข้าชมอินเทอร์เน็ต
- การวิจัยเชิงลึกโดยผู้เชี่ยวชาญด้านความปลอดภัย
- การวิเคราะห์มัลแวร์โดยตรง
- ข้อมูลโอเพ่นซอร์ส
- Web crawling
- ข้อมูลการวิเคราะห์และการวัดประสิทธิภาพ
ทำไมถึงต้องใช้ฟีดข่าวกรองถัยคุกคาม ?
- ข้อมูลล่าสุด (Up-to-date information) : อาชญากรไซเบอร์ต้องการให้การโจมตีของพวกเขาประสบความสำเร็จ ดังนั้นพวกเขาจึงปรับเปลี่ยนและพัฒนากลยุทธ์อยู่เสมอเพื่อหลีกเลี่ยงระบบป้องกัน ทีมรักษาความปลอดภัยต้องมีข้อมูลล่าสุดเพื่อป้องกันภัยคุกคาม องค์กรที่เตรียมการป้องกันภัยคุกคามที่เกิดขึ้นในปีที่แล้ว อาจเสี่ยงต่อการถูกโจมตีด้วยกลยุทธ์ใหม่ในปีนี้ ดังนั้น ทีมรักษาความปลอดภัยต้องการข้อมูลล่าสุด เพื่อปรับปรุงการป้องกันให้มีประสิทธิภาพ และสามารถหยุดยั้งการโจมตีล่าสุดได้
- ข้อมูลในวงกว้างมากขึ้น (Greater breadth of information) : ฟีดข้อมูลภัยคุกคามช่วยให้องค์กรลดความเสี่ยงจากภัยคุกคามที่หลากหลาย ฟีดข้อมูลภัยคุกคาม (Threat intelligence feeds) นำเสนอข้อมูลที่ครอบคลุมเกี่ยวกับภัยคุกคามทางไซเบอร์ ฟีดข้อมูลภัยคุกคามจะช่วยให้องค์กรลดความเสี่ยงจากภัยคุกคามประเภทต่างๆ ได้
- ประสิทธิภาพที่ดีขึ้น (Better efficiency) : การใช้ข้อมูลภัยคุกคามจากภายนอกช่วยให้ทีมรักษาความปลอดภัยมีประสิทธิภาพมากขึ้น การได้รับข้อมูลภัยคุกคาม (Threat Intelligence) จากแหล่งภายนอก ช่วยให้ทีมรักษาความปลอดภัยสามารถใช้เวลาน้อยลงในการรวบรวมข้อมูล และมีเวลามากขึ้นในการป้องกันการโจมตี ผู้เชี่ยวชาญด้านความปลอดภัยสามารถตัดสินใจและดำเนินการป้องกันได้อย่างรวดเร็ว โดยไม่ต้องเสียเวลาในการรวบรวมข้อมูลที่จำเป็น นอกจากนี้ เครื่องมือรักษาความปลอดภัย เช่น WAF (Web Application Firewall) สามารถเรียนรู้และจดจำรูปแบบการโจมตีต่างๆ ได้ ทำให้สามารถป้องกันการโจมตีที่อาจเกิดขึ้นได้ก่อนที่จะเกิดความเสียหาย
ฟีดข้อมูลภัยคุกคามใช้ STIX/TAXII อย่างไร ?
TIX และ TAXII เป็นมาตรฐานสองอย่างที่ใช้ร่วมกันเพื่อแบ่งปันข้อมูลภัยคุกคาม STIX เป็นรูปแบบภาษาสำหรับจัดรูปแบบข้อมูลภัยคุกคาม ส่วน TAXII เป็นโปรโตคอลมาตรฐานสำหรับการเผยแพร่ข้อมูลนี้ (เช่น HTTP) ฟีดข้อมูลภัยคุกคามจำนวนมากใช้ STIX/TAXII เพื่อให้แน่ใจว่าข้อมูลของพวกเขาสามารถตีความได้อย่างกว้างขวางและใช้โดยเครื่องมือรักษาความปลอดภัยที่หลากหลาย
STIX ย่อมาจาก Structured Threat Information eXpression เป็นภาษาที่กำหนดวิธีการจัดรูปแบบข้อมูลภัยคุกคาม STIX ช่วยให้ผู้ใช้สามารถแบ่งปันข้อมูลภัยคุกคามในรูปแบบที่เป็นมาตรฐานและเข้าใจได้โดยเครื่องมือรักษาความปลอดภัยต่างๆ
TAXII ย่อมาจาก Trusted Automated Exchange of Intelligence Information เป็นโปรโตคอลที่กำหนดวิธีการส่งและรับข้อมูลภัยคุกคาม TAXII ช่วยให้ผู้ใช้แบ่งปันข้อมูลภัยคุกคามระหว่างระบบรักษาความปลอดภัยต่างๆ ได้อย่างปลอดภัย
Cloudflare กระจายฟีดข่าวกรองภัยคุกคามอย่างไร ?
Cloudflare ปกป้องเว็บไซต์ทั่วโลกจำนวนมาก ด้วยการประมวลผล HTTP request 50 ล้านครั้งต่อวินาที ทำให้ Cloudflare สามารถวิเคราะห์ข้อมูลมหาศาลเกี่ยวกับทราฟิกเครือข่ายและรูปแบบการโจมตี ข้อมูลนี้จะถูกแปลงเป็น Threat Intelligence ที่สมบูรณ์และพร้อมใช้งาน ซึ่งสามารถนำเข้าไปยังเครื่องมือรักษาความปลอดภัยต่างๆ (ผ่าน STIX/TAXII)
Cloudflare นำเสนอ Threat Intelligence Feed นี้ผ่านบริการ Cloudforce One ทีมวิจัยที่มีประสบการณ์ของ Cloudforce One ช่วยหยุดยั้งการโจมตีทางไซเบอร์ทั่วโลก
หากต้องการสอบถามเพิ่มเติมเกี่ยวกับ Cloudflare
สามารถสอบถามเพิ่มเติมได้ที่
💬 Line: @CyberDefense
☎️ Tel: 095-559-5585
✉️ Email: Hello@CyberDefense.co.th
🖥️ Facebook : https://www.facebook.com/CyberDefenseIT
Leave a Reply