What is cyber threat intelligence?

Cyber Threat Intelligence (CTI) เป็นข้อมูลที่เสริมบริบทเกี่ยวกับภัยคุกคาม และช่องโหว่
ทำการนำเสนอเพื่อปรับปรุงกระบวนการตัดสินใจและเพิ่มระดับความปลอดภัยให้กับผู้บริโภค ข้อมูลเสริมบริบทที่ว่าเป็นผลจากการวางแผน การรวบรวม การวิเคราะห์ และการเผยแพร่ ทำให้มีการบ่งชี้ ภัยคุกคามหรือสิ่งที่กำลังจะเกิดขึ้น เพื่อเข้าใจแรงจูงใจ พฤติกรรมต่างๆ ซึ่งนำไปสู่ความตระหนักรู้สถานการณ์มากขึ้นและการสร้างมาตรการต่างๆในการรับมือ

โดย 2 ตัวอย่าง NCA/CIA/Gartner ได้นิยามไว้มีดัง

  1. UK National Crime Agency (NCA)
    คือข้อมูลที่ได้รับหรือรวบรวมเก็บไว้ตอบคำถามโดยเฉพาะ ว่า ใคร, ทำอะไร,ที่ไหน, เมื่อไหร่, ยังไง และทำไม
  2. US Central Intelligence Agency (CIA)
    คือความรู้ และรู้ล่วงหน้าว่าอะไรจะเกิด ของโลกรอบตัวเราซึ่งเป็นบทนำให้เราทำในการตัดสินใจและการลงมือทำ
  3. Gartner
    Threat intelligence is evidence-based knowledge (e.g.,context, mechanisms, indicators, implications and action-oriented advice) about existing or emerging menaces or hazards to assets.

 

ทำไม Cyber Threat Intelligence ถึงสำคัญ?

ทุกวันนี้ ไม่ว่าจะเป็นการโจมตีต่างๆหรือภัยคุกคามแบบต่อเนื่องขั้นสูง advanced persistent threats(APT) ที่สามารถหลบการป้องกันการโจมตีต่างๆ และเข้าสู่ระบบของเป้าหมายได้ฝ่ายป้องกันอย่าง Firewall, IPS, หรือ Antivirus อาจจะตรวจไม่พบจนเกิดเป็น Zeroday ออก patch ให้อัพกันทั่วโลกอย่างมีนัยยะสำคัญ และ CTI นั้นเข้ามาช่วยเสริมให้เราตรวจจับพฤติกรรมที่ต้องสงสัยและสร้างระบบป้องกันภัยคุกคามในแบบเชิงรุก ป้องกันก่อนที่มันจะเกิดขึ้น ในตัวอย่างที่เราเห็นได้ชัดเจนที่ใช้กันมากขั้นนั้นคือ SIEM Solution นั่งเองครับ

 

Threat Intelligence Lifecycle Phase

1.Planning and Direction: การตั้งคำถาม การวางแผนและทิศทางตอบสนองความต้องการที่เกี่ยวข้องของผู้บริโภคได้อย่างมีประสิทธิภาพ

ความต้องการของผู้บริโภคในมุมของ Threat Intelligence เราเรียกว่า intelligence requirements (IRs) หรือ priority intelligence requirements (PIRs) และ C-Suite Critical Cyber Information Requirements (C3IR) จาก IRs และ PIRs เราทราบแล้วว่าข้อมูลอะไรที่ต้องเก็บและควรเก็บรวบรวมอย่างไร และนำมาประมวผลใน  intelligence collection plan (ICP)

ข้อสำคัญ

  • ทรัพย์สิน กระบวนการปฏิบัติ หรือใครกันที่มีความเสี่ยง?
  • threat intelligence จะเพิ่มประสิทธิภาพในการดำเนินงานให้กับทีมยังไง?
  • ระบบหรือแอพพลิเคชั่นที่ควรจะได้รับผลประโยชน์?


2.Collection: การเก็บรวบรวมข้อมูลดิบ (raw data) มาจากหลายแหล่งข้อมูลเช่นข้อมูลภายใน (internal ก็เช่น network event logs, ข้อมูลเหตุการณ์ในอดีตเช่นเคยถูกโจมตี, เคยมีคน login, เคยมี IP นี้เข้ามา
ข้อมูลจากภายนอกเช่น Darkweb และ Public Web หรือข้อมูลด้านเทคนิคโปรดักที่ใช้อยู่จากข้อมูลใน internet  

Threat data คือข้อมูลที่ภัยคุกคามเช่น IP/Domain ที่ติด Blacklist, ไฟล์ที่ถูกเข้ารหัสไว้ทำเพื่อหลีกเลี่ยงการตรวจจับจากอุปกรณ์ Network Security, ข้อมูลที่เป็นช่องโหว่ (vulnerability information) เช่นข้อมูลส่วนที่เปิดเป็นสาธารณะใน social media เป็นต้น

ข้อสำคัญ

  • จุดบอดภายในและภายนอกของคุณอยู่ที่ไหนในปัจจุบัน?
  • ใช้เทคนิคใดในเก็บรวบรวมและสามารถทำแบบอัตโนมัติได้หรือไม่?
  • คุณสามารถเข้าไปอ่านเว็บอาชญากรไซเบอร์และพวก Dark Web หรือไม่?


3.Processing: เมื่อได้ข้อมูลดิบแล้วก็ให้เราทำการ sort ข้อมูลที่ได้มาให้เป็นแบบ metadata จากนั้นให้ทำการ filter ว่าเป็น false positives และ negatives หรือไม่

โดยข้อมูลที่รวบรวมมาตามที่ได้กล่าวไปนั้นในแต่ละวันมีเยอะมาก ข้อมูลีที่เกิดขึ้นไม่ว่าจะเป็น  phishing, compromised credentials, network logs, common vulnerabilities and exploit (CVEs), leaked, malware variants. มี Tool ที่ช่วยจัดการข้อมูลและวิเคราะห์ข้อมูลให้เรานั่นก็คือเช่น SIEM Solution

ข้อสำคัญ

  • ทรัพย์สิน กระบวนการปฏิบัติ หรือใครกันที่มีความเสี่ยง?
  • threat intelligence จะเพิ่มประสิทธิภาพในการดำเนินงานให้กับทีมยังไง?
  • ระบบหรือแอพพลิเคชั่นที่ควรจะได้รับผลประโยชน์?


4.Analysis: การวิเคราะห์ตามข้อมูลที่ได้เก็บรวบรวมข้อมูลมา ต่อจากนี้คือกระบวนการคิดวิเคราะห์มา จากการที่เราได้ตั้งวัตถุประสงค์ กำหนดปัญหาด้านความปลอดภัยที่อาจจะเกิดขึ้น มาทำให้สามารถสร้างกฎหรือเงื่อนไขให้การตอบสนองอย่างมีประสิทธิภาพ (ยกตัวอย่างให้เห็นภาพง่ายการที่ ผู้ใช้งานเข้าใช้งานระบบจาก หลายๆประเทศ ในเวลาใกล้เคียงกัน แบบนี้สามารถตั้ง Rule ว่าภัยคุกคามได้ เพราะว่ามีโอกาสน้อยมากที่คนคนนึงจะบินไปหลายๆ และมาเข้าระบบ ยกเว้นจะมีการใช้ Proxy หรือ VPN ก็ว่ากันตามหน้างาน)

จากตัวอย่าง จะเห็นได้ว่าการวิเคราะห์ภัยคุกคามที่ดีนั้น จำต้องใช้ผู้เชี่ยวชาญด้านความปลอดภัยมาเพื่อสร้าง Rule

ขั้นตอนการวิเคราะห์

  1. Manual Analysis: วิเคราะห์เครื่องมือและประสบการณ์ของมนุษย์จากนั้นนำมาสร้าง Intelligence ใช้เวลานั้นและอาจมีใช้เหตุผลคติส่วนตัวเข้ามาเกี่ยวข้อง
  2. Fully-Automated Analysis: ทำการวิเคราะห์โดย machine ทั้งหมด โดยเราตั้งค่าไว้ล่วงหน้า หรืออีกวิธีคือ Machine Learning (ML) หรือ Artificial Intelligence (AI) ทั้งนี้ทั้งนั้น ความเร็วและประสิทธิภาพอาจจะขึ้นอยู่การเขียนอัลกอริธึมด้วย
  3. Hybrid Analysis: ผสมระหว่าง Manual และ Automate โดยส่วนมาก machine จะทำงานเป็นหลักเมื่อมันไม่สามารถทำหรือตัดสินใจได้อาจส่งต่อให้คน Manual เองในบางครั้ง


ข้อสำคัญ

  • ข้อสำคัญที่สุดของการวิเคราะห์คืออะไรและวิธีที่ดีที่สุดในการอธิบายพวกเขาคืออะไร?
  • การวิเคราะห์มีความน่าเชื่อถือ มีความเกี่ยวข้อง และแม่นยำในระดับใด?
  • มีคำแนะนำที่ชัดเจนและเป็นรูปธรรมหรือขั้นตอนถัดไปเกี่ยวกับการวิเคราะห์ขั้นสุดท้ายหรือไม่?

5.Dissemination: คือการแจกจ่าย Threat Intelligence ให้เป็นตามรูปแบบและระยะเวลาที่ผู้ใช้กำหนด

รูปแบบส่งมอบจะแบ่งเป็น 3 format ดังนี้

  1. Structured Threat Information Expression (STIX™)
  2. Malware Information Sharing Platform (MISP)
  3. Custom Schemas.


วิธีการแจกจ่าย (Dissemination Methodologies)

  1. Flat file downloads: CSV, JSON, spreadsheet, text files
  2. API: เขียนโปรแกรมเชื่อมต่อเพื่อดึงข้อมูล
  3. Feeds: ดึงอัตโนมัติ ขึ้นอยู่กับว่าตกลงกันไว้ว่าอย่างไร


ข้อสำคัญ

  • ใครผู้มีส่วนได้ส่วนเสี/ผู้ที่ได้รับประโยชน์จาก report ของ CTI?
  • วิธีที่ดีที่สุดในการนำเสนอ CTI คืออะไร และความถี่ในการส่งมอเป็นอย่างไร?
  • CTI ที่ทำไปแล้วมีประโยชน์อย่างไร สามารถปรับปรุงให้ดีขึ้นได้อย่างไรในอนาคต?


6.Feedback: คำติชมหรือความคิดเห็นควรเป็นการทำงานร่วมกัน เพื่อนำไปพัฒนาการ CTI เชิงรุก

  • Measure of Performance (MOP): ตัวชี้วัดเชิงปริมาณ มี CTI เท่าไหร่ที่ส่งมอบจำนวนเท่าใด
  • Measure of Effectiveness (MOE): ตัวชี้วัดเชิงคุณภาพ เช่น PCIR, FCIR, and/or C3IR.

 

การแบ่งประเภทของ Threat Intelligence

  1. Tactical Threat Intelligence: ช่วยระบุว่าใครคือศัตรู/ผู้ไม่หวังดี เช่น การวิเคราะห์สัญญาณบ่งชี้การบุกรุก (Indicator of Compromise; IOCs) หรือการสร้างตัวล่อลวงหลบหลอกให้ผู้เห็นผู้ไม่หวังดี (honeypot/deception)
  2. Operational Threat Intelligence: ป้องกันการโจมตีก่อนที่มันจะเกิดขึ้น โดยการเชื่อมโยงจากข้อมูลจากแห่งที่มาต่างๆ เช่นจาก โซเชียลมีเดีย ห้องแชทต่างๆ หรือเว็บมืด
  3. Strategic Threat Intelligence: ช่วยชี้แนวทางการตัดสินใจในความปลอดภัย จากผู้ที่มีอำนาจในการตัดสินใจ

โดยมุมมองมุมสูง(bird’s-eye view)  ไม่มีตัวชี้วัด หรือการโจมตีที่เฉพาะเจาะจงที่ แต่มีจุดมุ่งหมายเพื่อให้เข้าใจผลกระทบในวงกว้างของการตัดสินใจทางธุรกิจ

หลักการของ Intelligence

ขอบคุณ/อ่านต่อตามลิ้งด้านล่างนี้เลยครับ

https://www.crest-approved.org/wp-content/uploads/CREST-Cyber-Threat-Intelligence.pdf

https://fidelissecurity.com/resources/edu/cyber-threat-intelligence/

https://www.recordedfuture.com/threat-intelligence/

https://www.crowdstrike.com/cybersecurity-101/threat-intelligence/

https://www.flashpoint-intel.com/blog/threat-intelligence-lifecycle/

https://zvelo.com/cti-analysis-dissemination-feedback/

https://jfhq.mindef.gov.bn/Documentation/BJDP-2.00%20Joint%20Intelligence%20Edn%201.pdf

Leave a Reply

Your email address will not be published.