What is threat hunting?

threat hunting คือกระบวนการไล่ล่าภัยคุกคามในเชิงรุกจากข้อมูลที่ได้เก็บรวบรวมจากอุปกรณ์ Endpoint และ Network Sensor เช่น (IDS/IPS)  ในตามหาและตรวจจับ มัลแวร์ หรือ attacker ที่ซ่อนอยู่ในเครือข่าย ซึ่งเป็นสิ่งใหม่แตกต่างจากโซลูชันรักษาความปลอดภัยแบบเดิมๆ  

จากข้อมูลของ Microsoft ผู้โจมตีอาศัยอยู่ในเครือข่ายที่ถูกบุกรุกเป็นเวลาเฉลี่ย 146 วันก่อนที่จะถูกค้นพบ ทำให้การโจมตีประเภทภัยคุกคามขั้นสูง (APT) ในช่วงเวลานี้ ผู้โจมตีที่อาศัยอยู่ในเครือข่ายที่ซ่อนตัวอยู่ สามารถขโมยข้อมูล เข้าถึงแอปพลิเคชันและนำข้อมูลละเอียดอ่อนของธุรกิจหรือบริษัทนั้นๆ เพื่อกระทำการฉ้อโกง หรือย้ายข้อมูลต่างๆผ่านเครือข่าย เก็บเอาพวกรหัสผ่านในเข้าระบบ บัตรเครดิต บัตรประชาชน หรือข้อมูลอื่นๆ ที่สำคัญและมีคุณค่า ยิ่งไปกว่านั้นถ้ามีความเสียงหายเกิดขึ้นเช่นข้อมูลหาย อาจมีค่าใช้จ่ายสูงและใช้เวลานานในการกู้คืน

แทนที่จะใช้โซลูชันหรือบริการด้านความปลอดภัยในการตรวจจับภัยคุกคามเพียงอย่างเดียว การไล่ล่าภัยคุกคามเป็นจัดว่าเป็นส่วนประกอบหนึ่งในกลยุทธ์การรักษาความปลอดภัยแบบหลายชั้น ซึ่งช่วยให้องค์กรต่างๆ สามารถค้นหาภัยคุกคามในเชิงรุกได้โดยไม่จำเป็นต้องพึ่งพาเฉพาะ CVE, Security Advisory และไม่นั่งรอ Alarm หรือการแจ้งเตือนจากระบบ SIEM ที่ทำ correlation rules ไว้อย่างเดียว แต่นักล่าภัยคุกคาม(Threat Hunter) ใช้ประสบการณ์และความรู้ทั้งหมดเพื่อค้นหาภัยคุกคามและระบุกิจกรรมที่น่าสงสัย จากข้อมูลที่รวบรวมอย่างต่อเนื่องจาก Endpoint และ Network Sensor

อย่างไรก็ตามการไล่ล่าภัยคุกคามมักดำเนินการโดยผู้เชี่ยวชาญด้านความปลอดภัยที่มีทักษะสูงโดยใช้ชุดเครื่องมือที่ซับซ้อนเพื่อระบุและหยุดพฤติกรรมที่เป็นอันตรายที่ยากต่อการค้นหาบนเครือข่าย และนักล่าภัยคุกคามยังใช้ Threat Intelligence ควบคู่กันไปด้วยเพื่อความเกรียงไกร โดยใช้ Tactics, Techniques, และ Procedures เมื่อได้ข้อมูลแนวทางการบุกรุกจาก Attacker ในการสร้าง intelligence และสมมุติฐาน พวกเขาก็นำไปประเมินว่า เห้ยถ้าเจอเหตุการณ์แบบนี้นะแล้วมันคือ Attacker ต่อไปถ้าเจออีกใช่อีกก็คือจบ แต่ถ้าไม่ใช่เขาก็ทำซ้ำโดยอาจจะหาข้อมูลอื่นๆมาเพิ่มเติมจนพบต้นตอ Attacker ในที่สุด

Why is threat hunting necessary?

threat hunting จำเป็นยังไง ขอตอบเลย ณ วันนี้คนทำงานด้าน Security แทบจะรู้จัก Threat Hunting หมดแล้ว บริษัทส่วนมากเริ่มเปิดรับ Threat Hunter โดยเฉพาะบริษัทที่ต้องการความปลอดภัยมาเช่นสถาบันการเงิน งานทรัพย์สินทางปัญญาต่างๆ

ตามที่ได้เกริ่นไป ระบบความปลอดภัยปัจจุบันเช่น Antivirus, Firewall, Email Security, Window Defender หรือตัวรักษาความปลอดภัยต่างๆนั้นไม่สามารถป้องกันภัยคุกคามได้ทั้งหมด เนื่องจากว่าผู้ไม่หวังดีมักจะมีวิธีการโจมตีและเทคนิคใหม่ๆ  คำถามก็คือ คุณจะรู้ได้อย่างไร Firewall ทำงานปกติ ไม่มีคนโจมตีหรือพยามโจมตี, คุณรู้ได้อย่างไรว่า Email Sever ทำงานปกติ,  Window Security Log คุณรู้หรือไม่มีคน Login เนียนๆ โดยใช้ user ไม่ซ้ำกันเข้ามา Bruteforce วันละครั้ง2 ครั้ง? ซึ่งในบางครั้งกว่าเราจะรู้ก็อาจจะสายเกินไปนั่นคือเห็นผลว่าเราต้องเปลี่ยนมาใช้ Security “แบบเชิงรุก”

ข้อสรุป:
หวังว่าบทความนี้จะมีประโยชน์ให้เห็นภาพรวมคร่าวๆ ไม่มากก็น้อย  เนื่องจาก Threat Hunting นั่นรายละเอียดค่อนข้างมากในง่ของเทคนิคและการใช้งาน ท่านใดที่ทำงานด้านนี่อาจจะต้องอ่านเพิ่มเติมอีกพอสมควรครับ

ขอบคุณ/อ่านต่อ

https://cyberpolygon.com/materials/threat-hunting-why-might-you-need-it/

https://cybersecurity.att.com/blogs/security-essentials/threat-hunting-explained

https://www.exabeam.com/security-operations-center/threat-hunting/

https://www.itu.int/en/ITU-D/Cybersecurity/Documents/CyberDrill-2020/Cyber%20Threat%20Hunting%20Workshop%20-%20ITU%2019112020.pdf

 

Leave a Reply

Your email address will not be published.