ข่าวกรองด้านภัยคุกคามคืออะไร

ข่าวกรองด้านภัยคุกคามรวมข้อมูลจากแหล่งที่มาภายในและภายนอกต่าง ๆ เพื่อทำความเข้าใจความเสี่ยงทางไซเบอร์ที่มีอยู่และเกิดขึ้นต่อธุรกิจและเสริมสร้างกลยุทธ์การป้องกัน โปรแกรมข่าวกรองด้านภัยคุกคามที่ประสบความสำเร็จจะทำให้ข้อมูลภัยคุกคามแบบสามเหลี่ยม กรองและจัดลำดับความสำคัญของภัยคุกคามตามความเสี่ยงทางธุรกิจ และป้อนกลับเข้าสู่ระบบภายในและการควบคุมความปลอดภัย ข่าวกรองด้านภัยคุกคามเป็นองค์ประกอบสำคัญของโปรแกรมรักษาความปลอดภัยทางไซเบอร์ที่มีความพร้อมและสมบูรณ์

ข่าวกรองด้านภัยคุกคามทางไซเบอร์เผยถึงภัยคุกคามในปัจจุบันและเกิดขึ้นต่อองค์กร โดยการทำความเข้าใจกลยุทธ์ เทคนิค และขั้นตอนของฝ่ายตรงข้าม องค์กรสามารถต่อต้านภัยคุกคามต่าง ๆ ได้อย่างมีประสิทธิภาพมากขึ้นก่อนระหว่างและหลังเหตุการณ์ด้านความปลอดภัย

โปรแกรมข่าวกรองด้านภัยคุกคามช่วยให้องค์กรตัดสินใจที่มีประสิทธิภาพมากขึ้นเกี่ยวกับวิธีแก้ไขช่องโหว่ ดำเนินการกลยุทธ์การทดสอบ พัฒนาแผนการตอบสนองต่อเหตุการณ์ และรับประกันความต่อเนื่องทางธุรกิจในกรณีที่เกิดเหตุการณ์ ทีมข่าวกรองด้านภัยคุกคามทำงานร่วมกับทีมความเสี่ยงทางไซเบอร์และทีมรักษาความปลอดภัย

ระบบข่าวกรองด้านภัยคุกคามเป็นศูนย์กลางที่รวบรวม วิเคราะห์ และสร้างข้อมูลเชิงลึกในการตอบสนองต่อข้อมูลการรักษาความปลอดภัยทางไซเบอร์ ระบบเหล่านี้ช่วยติดตามเหตุการณ์ด้านความปลอดภัยและกำหนดว่าผู้มีภัยคุกคามใดอยู่และทีมรักษาความปลอดภัยโดยย่อเกี่ยวกับวิธีการตอบสนอง พวกเขามักใช้ข้อมูลข่าวกรองด้านภัยคุกคามทางไซเบอร์ (CTI) ซึ่งเป็นการรวบรวมแหล่งที่มาของข้อมูลทั้งจากภายในและภายนอก เพื่อช่วยให้ข้อมูลเชิงบริบทกับระบบ

ระบบข่าวกรองด้านภัยคุกคามทำงานเป็นส่วนหนึ่งของโซลูชันซอฟต์แวร์รักษาความปลอดภัยแบบองค์รวม โซลูชันเช่น AWS Security Hub มักจะรวมกิจกรรมวงจรชีวิตข่าวกรองด้านภัยคุกคามสำหรับการจัดการแบบรวมศูนย์

วงจรชีวิตของข่าวกรองด้านภัยคุกคามเป็นกระบวนการต่อเนื่องที่ต้องมีการอัปเดตและรีวิวเป็นประจำ

นี่คือขั้นตอนหลักของวงจรชีวิตข่าวกรองด้านภัยคุกคาม

ขอบเขตสิ่งแวดล้อม

ก่อนที่จะใช้โปรแกรมข่าวกรองด้านภัยคุกคาม องค์กรจะต้องกำหนดระบบ ข้อมูล เครือข่าย บริการ ผู้ใช้ และสินทรัพย์อื่นขององค์กร องค์กรควรจำแนกสินทรัพย์ขององค์กรตามความสำคัญในการดำเนินงานและความละเอียดอ่อนของข้อมูล โดยการทำความเข้าใจขอบเขตของสภาพแวดล้อมขององค์กร จึงเป็นไปได้ที่จะเข้าใจว่าภัยคุกคามใดที่เกี่ยวข้องกับธุรกิจและสินทรัพย์ใดที่อาจเป็นเป้าหมายที่ใหญ่กว่า

การเก็บรวบรวมข้อมูลภัยคุกคาม

เมื่อการกำหนดขอบเขตเสร็จสมบูรณ์ ขั้นตอนต่อไปในวงจรชีวิตของข่าวกรองด้านภัยคุกคามทางไซเบอร์คือการเก็บรวบรวมแหล่งที่มาของข้อมูลจำนวนมากเป็นแหล่งที่มาของความจริงส่วนกลาง ระบบข่าวกรองด้านภัยคุกคามจะรับข้อมูลการรักษาความปลอดภัยภายใน รายงานระบบ และแหล่งภายนอก เช่น ฟีดภัยคุกคามแบบโอเพนซอร์สแบบเรียลไทม์และกระจายจากผู้ขาย ฐานข้อมูลช่องโหว่ และการตรวจสอบโซเชียลมีเดียและการตรวจสอบเว็บมืด

ขั้นตอนนี้มีวัตถุประสงค์เพื่อเก็บข้อมูลภัยคุกคามให้มากที่สุดเท่าที่จะเป็นไปได้เพื่อให้ได้ข้อมูลที่ครอบคลุม การนำข้อมูลเข้าในขั้นตอนนี้มีความเป็นอัตโนมัติสูง เกิดขึ้นอย่างต่อเนื่อง และยังไม่ได้ผ่านการกรองตามขอบเขตของธุรกิจ

การประมวลผลข้อมูล

หลังจากการเก็บรวบรวมข้อมูล องค์กรจะทำการกรอง จัดโครงสร้าง ปรับให้เป็นมาตรฐาน เพิ่มคุณภาพ และแปลงข้อมูลเพื่อให้ข้อมูลนั้นสามารถนำไปใช้งานได้จริง ข้อมูลที่ไม่มีโครงสร้างจะถูกเปลี่ยนเป็นรูปแบบที่เครื่องสามารถอ่านได้ ในขณะที่ข้อมูลที่มีโครงสร้างจะถูกจัดระเบียบเพื่อปรับปรุงคุณภาพของข้อมูลและติดแท็กด้วยข้อมูลเมตา ข้อมูลที่ซ้ำซ้อนและนอกขอบเขตจะถูกลบออก การประมวลผลควรดำเนินการอัตโนมัติมากที่สุด

การวิเคราะห์

ขั้นตอนการวิเคราะห์จะเปลี่ยนข้อมูลข่าวกรองด้านภัยคุกคามให้เป็นข้อมูลเชิงลึกที่สามารถดำเนินการได้สำหรับธุรกิจ ระบบอัตโนมัติจะเริ่มระบุรูปแบบและความสัมพันธ์ในข้อมูลที่ประมวลผลใด ๆ โดยมองหาความผิดปกติ ความคลาดเคลื่อนหรือผลลัพธ์ที่ทีมการรักษาความปลอดภัยทางไซเบอร์ตรวจสอบเพิ่มเติม

ในขั้นตอนนี้ นักวิเคราะห์ข้อมูลสามารถใช้เทคนิคขั้นสูงที่หลากหลาย เช่น การใช้แมชชีนเลิร์นนิงและการสร้างแบบจำลองเชิงคาดการณ์เพื่อทำแผนที่ตัวบ่งชี้ภัยคุกคามที่เฉพาะเจาะจง กระบวนการเหล่านี้มีทั้งรูปแบบที่ทำด้วยตนเองและแบบอัตโนมัติ ซึ่งถูกออกแบบมาเพื่อให้ทีมรักษาความปลอดภัยได้รับข้อมูลเชิงลึกที่เกี่ยวข้องและเป็นประโยชน์ เพื่อใช้ในการกำหนดกลยุทธ์การป้องกันทางไซเบอร์

การรายงาน

การรายงานจะส่งมอบผลลัพธ์จากการวิเคราะห์ข่าวกรองด้านภัยคุกคามให้กับผู้มีส่วนได้ส่วนเสียทางธุรกิจและทีมงานที่เกี่ยวข้อง รายงานจะถูกปรับแต่งให้เหมาะสมกับกลุ่มเป้าหมาย และอาจรวมถึงแดชบอร์ดที่มีข้อมูลเฉพาะส่วน ไฟล์ข้อความ งานนำเสนอ หรือรูปแบบการสื่อสารอื่น ๆ

ขั้นตอนการจัดทำรายงานมักจะเป็นแบบอัตโนมัติ โดยระบบข่าวกรองด้านภัยคุกคามจะสร้างรายงานและแจกจ่ายไปยังบุคลากรที่จำเป็นทุกคน เมื่อเกิดภัยคุกคามด้านการรักษาความปลอดภัยที่รุนแรงขึ้น อาจกลายเป็นตัวกระตุ้นให้จำเป็นต้องมีการจัดทำรายงานด้วยตนเอง

ทีมงานอาจรายงานภัยคุกคามใหม่ที่ยังไม่เป็นที่รู้จักไปยังชุมชนในวงกว้าง เพื่อให้องค์กรอื่น ๆ สามารถนำข้อมูลนี้ไปรวมเข้ากับระบบของตนเองได้

การติดตรวจสอบและการปรับแต่ง

ระบบข่าวกรองด้านภัยคุกคามตรวจสอบปัญหาด้านการรักษาความปลอดภัยที่อาจเกิดขึ้น ติดตาม IoC และช่วยสนับสนุนทีมรักษาความปลอดภัย ระบบข่าวกรองด้านภัยคุกคามเป็นซอฟต์แวร์ที่สำคัญภายในศูนย์ปฏิบัติการรักษาความปลอดภัยที่มีพนักงาน (SOC) ตลอด 7 วัน 24 ชั่วโมง

ในระหว่างการวิเคราะห์ ทีมงานสามารถติดตามตัวบ่งชี้การบุกรุก (IOC) ที่เกี่ยวข้องกับเหตุการณ์ด้านความปลอดภัยที่อาจเกิดขึ้น เพื่อนำไปพัฒนาแผนการตอบสนองต่อเหตุการณ์และเพลย์บุ๊ก ติดตั้งหรือปรับปรุงมาตรการควบคุมการรักษาความปลอดภัย เปลี่ยนแปลงโครงสร้างสถาปัตยกรรมของระบบ และอัปเดตระดับความเสี่ยงที่มีต่อธุรกิจ การตอบสนองที่ได้รับข้อมูลครบถ้วนนี้จะช่วยให้มั่นใจได้ว่าระดับการสภาวะการรักษาความปลอดภัยของบริษัทจะยังคงไม่ถูกคุกคาม

ทีมงานต้องเรียนรู้จากเหตุการณ์ด้านความปลอดภัยที่ไม่คาดคิดและข้อมูลใหม่ ๆ เพื่อนำไปพัฒนาซ้ำและปรับปรุงประสิทธิภาพการทำงานจากที่ผ่านมาให้ดียิ่งขึ้น ทีมรักษาความปลอดภัยสามารถตรวจสอบประสิทธิภาพของเครื่องมือรักษาความปลอดภัย แสดงความคิดเห็นเกี่ยวกับการตอบสนอง และระบุความไม่สอดคล้องกันเพื่อช่วยให้ซอฟต์แวร์ข่าวกรองด้านภัยคุกคามปรับปรุงอย่างต่อเนื่อง

ฟีเจอร์ของโปรแกรมข่าวกรองด้านภัยคุกคามทางไซเบอร์ขึ้นอยู่กับความซับซ้อนของสภาพแวดล้อมทางธุรกิจ ข้อกำหนดด้านข้อมูลที่ละเอียดอ่อน และภาระผูกพันในการปฏิบัติตามข้อกำหนด นี่คือฟีเจอร์ที่พบบ่อยที่สุดของโปรแกรมข่าวกรองด้านภัยคุกคาม

ฟีดข้อมูล

ฟีดข้อมูลหมายถึงแหล่งข้อมูลทั้งหมดที่แพลตฟอร์มข่าวกรองด้านภัยคุกคามใช้เพื่อนำมาวิเคราะห์และส่งมอบข้อมูลเชิงลึก บริการข่าวกรองด้านภัยคุกคามเหล่านี้เป็นองค์ประกอบหลักของโปรแกรมข่าวกรองด้านภัยคุกคาม

แหล่งที่มาของฟีดข้อมูลภายนอก ได้แก่ ข้อมูลข่าวกรองโอเพนซอร์สแบบเรียลไทม์ (OSINT), ฟีดภัยคุกคามสาธารณะ และข้อมูลที่จัดทำโดยหน่วยงานความปลอดภัยทางไซเบอร์ของรัฐบาล แหล่งที่มาของฟีดข้อมูลภายใน ได้แก่ ข้อมูลบันทึกไฟร์วอลล์ พฤติกรรมการเข้าถึงของผู้ใช้ การแจ้งเตือนระบบตรวจจับการบุกรุก (IDS) ข้อมูลบันทึกของตำแหน่งข้อมูลและการตรวจวัดระยะไกลสำหรับบริการคลาวด์

เทคโนโลยี

การข่าวกรองด้านภัยคุกคามใช้เทคโนโลยีหลายอย่างที่ทำงานร่วมกันเพื่อส่งข้อมูล วิเคราะห์ข้อมูล และให้ข้อมูลเชิงลึกที่สามารถดำเนินการได้สำหรับทีมรักษาความปลอดภัย ตัวอย่างเช่น ซอฟต์แวร์ข่าวกรองด้านภัยคุกคามบางตัวช่วยในการนำข้อมูลเข้าและจัดระเบียบข้อมูล รวมทั้งแบ่งปันข้อมูลเชิงลึกโดยตรงกับทีมรักษาความปลอดภัยเมื่อพวกเขาจำเป็นต้องดำเนินการ

เทคโนโลยีการวิเคราะห์ มีความสำคัญในการค้นหารูปแบบและความผิดปกติในข้อมูลที่ช่วยระบุเหตุการณ์ด้านความปลอดภัยที่อาจเกิดขึ้น ความสามารถในการวิเคราะห์ของข่าวกรองด้านภัยคุกคามทางไซเบอร์หมายถึงเทคโนโลยีใด ๆ ที่ทีมใช้เพื่อเพิ่มความชัดเจน ความแม่นยำ และความลึกของข้อมูล ซึ่งรวมถึงการวิเคราะห์ด้วยแมชชีนเลิร์นนิง อัลกอริทึมการทำนายและการวิเคราะห์พฤติกรรม

ระบบการจัดการข้อมูลและการรักษาความปลอดภัย (SIEM) จะทำการเชื่อมโยงข้อมูลบันทึกการรักษาความปลอดภัยภายในองค์กรเข้ากับข้อมูลเหตุการณ์ เพื่อให้ข้อมูลเชิงลึกแบบเรียลไทม์ว่าภัยคุกคามที่กำลังเกิดขึ้นอาจส่งผลกระทบต่อธุรกิจของคุณอย่างไร บางบริษัทยังฝังคำเตือนในแอปลงในผลิตภัณฑ์ของตนซึ่งจะให้บริบทเพิ่มเติมแก่นักพัฒนาเกี่ยวกับข้อบกพร่องที่อาจเกิดขึ้นเมื่อทำงานในบางแง่มุม

เฟรมเวิร์ก

เฟรมเวิร์กที่รวมถึงการข่าวกรองด้านภัยคุกคามเสนอโครงสร้างมาตรฐานสำหรับองค์กรที่ต้องปฏิบัติตาม เฟรมเวิร์กเหล่านี้มีค่าอย่างมากและได้รับการอัปเดตอย่างสม่ำเสมอ เพื่อรวมถึงคำแนะนำทั้งในเชิงบรรยายและเชิงกำหนดแนวทางสำหรับองค์กร เฟรมเวิร์กความปลอดภัยทางไซเบอร์ที่มุ่งเน้นไปที่การข่าวกรองด้านภัยคุกคามคือกรอบโครงการ MITRE ATT&CK และ Cyber Kill Chain เฟรมเวิร์กทั้งสองนี้รวมถึงวิธีการจัดการกลยุทธ์ เวกเตอร์มาตรฐาน และ IoC

กิจกรรม

ระบบข่าวกรองด้านภัยคุกคามทางไซเบอร์มีส่วนร่วมในกิจกรรมหลายอย่างเพื่อสร้างข้อมูลเชิงลึกและปรับปรุงความสามารถของพวกเขา ตัวอย่างเช่น ระบบเหล่านี้อาจทำการประเมินความเสี่ยงแบบเรียลไทม์ แก้ไขช่องโหว่ที่ทราบด้วยการอัปเดต ตอบสนองต่อเหตุการณ์ด้วยข้อเสนอแนะและให้ข้อมูลเชิงลึกแก่ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยทางไซเบอร์ว่าควรจัดลำดับความสำคัญของเหตุการณ์ใดก่อน

การข่าวกรองด้านภัยคุกคามทางไซเบอร์มีสี่ประเภทหลักที่ผู้เชี่ยวชาญด้านความปลอดภัยจะใช้

ข่าวกรองด้านภัยคุกคาม

ข่าวกรองด้านภัยคุกคามเชิงกลยุทธ์หมายถึงข้อมูลภูมิทัศน์ภัยคุกคามที่กว้างขึ้นที่ระบบรวบรวม รวมถึงข้อมูลภูมิรัฐศาสตร์ ข้อมูลเศรษฐกิจ และข้อมูลข่าวกรองที่ไม่ใช่ทางเทคนิคอื่น ๆ ที่อาจมีประโยชน์ในการสร้างโปรไฟล์ตามบริบทของเหตุการณ์ความปลอดภัยที่อาจเกิดขึ้น ข้อมูลข่าวกรองด้านภัยคุกคามเชิงกลยุทธ์ที่ไม่ใช่ทางเทคนิคประเภทนี้ให้ข้อมูลเชิงลึกที่มีค่าซึ่งช่วยในการทำความเข้าใจช่องโหว่ด้านการรักษาความปลอดภัยที่กว้างขึ้นและการพัฒนา

ข่าวกรองด้านภัยคุกคามเชิงกลยุทธ์

การข่าวกรองด้านภัยคุกคามเชิงกลยุทธ์หมายถึงการรวบรวมข้อมูลที่เกี่ยวข้องกับกลยุทธ์ เทคนิค และขั้นตอนของฝ่ายตรงข้าม (TTP) รวมถึง TTP จากภัยคุกคามถาวรขั้นสูง (APT) ข้อมูลข่าวกรองทั่วทั้งอุตสาหกรรมจะถูกแชร์ในฟีดด้านการรักษาความปลอดภัยสาธารณะ ข้อมูลนี้ช่วยให้ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยมีความเข้าใจเกี่ยวกับพฤติกรรมทั่วไปของการโจมตีเฉพาะเวกเตอร์ที่ใช้และลำดับของการกระทำที่เกิดขึ้นในเหตุการณ์ความปลอดภัยใด ๆ

ข่าวกรองด้านภัยคุกคามทางเทคนิค

ข่าวกรองด้านภัยคุกคามทางเทคนิคหมายถึงสัญญาณของการบุกรุกใด ๆ ที่ถูกตรวจพบโดยเครื่องจักร IOC เหล่านี้ เช่น การปรากฏของที่อยู่ IP ที่เป็นอันตราย, URL ด้านความปลอดภัยที่ไม่คาดคิด การตอบสนองของไฟร์วอลล์ หรือการเปลี่ยนแปลงอย่างกะทันหันของค่าการดำเนินงานที่คาดไว้ของระบบ จะถูกทำเครื่องหมายค่าสถานะเพื่อให้ทีมงานนำไปตรวจสอบโดยละเอียดต่อไป

ข่าวกรองด้านภัยคุกคามด้านการดำเนินงาน

ข่าวกรองด้านภัยคุกคามด้านการดำเนินงานเป็นรูปแบบองค์ประกอบของการข่าวกรองระหว่างข้อมูลเชิงกลยุทธ์และข้อมูลทางเทคนิค รูปแบบของการข่าวกรองด้านการดำเนินงานนี้จะให้ข้อมูลเชิงลึกเกี่ยวกับความรู้ทั่วทั้งอุตสาหกรรม เช่น วิธีการที่แรนซัมแวร์หรือมัลแวร์ในรูปแบบเฉพาะเจาะจงกำลังถูกพบมากขึ้นในบางบริษัทหรือบางภูมิภาค การข่าวกรองด้านภัยคุกคามด้านการดำเนินงานช่วยให้บริษัทต่าง ๆ สามารถดำเนินการเพื่อบรรเทาเหตุการณ์ด้านความปลอดภัยที่อาจเกิดขึ้นก่อนที่เกิดขึ้น

AWS Cloud Security ช่วยรักษาความปลอดภัยให้กับสภาพแวดล้อมระบบคลาวด์ของคุณด้วยการผสานรวมข้อมูลข่าวกรองด้านภัยคุกคามโดยเฉพาะ ระบบอัตโนมัติ และการแสดงภาพข้อมูล AWS Cloud Security ช่วยในการระบุความเสี่ยงที่อาจเกิดขึ้น ปกป้องโครงสร้างพื้นฐานโดยการนำมาตรการปกป้องข้อมูลมาปรับใช้ ติดตามการตรวจสอบสภาวะการรักษาความปลอดภัยสำหรับเหตุการณ์ที่ไม่คาดคิด และยังสามารถตอบสนองต่อเหตุการณ์ผิดปกติได้โดยตรง

AWS Security Hub จะช่วยจัดลำดับความสำคัญของประเด็นด้านความปลอดภัยที่สำคัญ และช่วยให้คุณตอบสนองต่อเหตุการณ์ในขนาดที่เหมาะสมเพื่อปกป้องสภาพแวดล้อมของคุณ มันทำหน้าที่ให้ข้อมูลข่าวกรองด้านภัยคุกคามตรวจพบประเด็นสำคัญโดยการเชื่อมโยงและเพิ่มข้อมูลให้กับสัญญาณต่าง ๆ จนกลายเป็นข้อมูลเชิงลึกที่สามารถนำไปปฏิบัติได้จริง ซึ่งช่วยให้กระบวนการตอบสนองมีความคล่องตัวและรวดเร็วยิ่งขึ้น

เริ่มต้นใช้งานระบบข่าวกรองด้านภัยคุกคามบน AWS โดย การสร้างบัญชีฟรีวันนี้