What is a threat intelligence feed? ฟีดข่าวภัยคุกคาม
What is a threat intelligence feed?
ฟีดข่าวกรองภัยคุกคาม (Threat Intelligence Feed) คือ สายข้อมูลเกี่ยวกับการโจมตีที่อาจเกิดขึ้น (เรียกว่า “ข่าวกรองภัยคุกคาม”) จากแหล่งข้อมูลภายนอก องค์กรสามารถใช้ฟีดข่าวกรองภัยคุกคามเพื่อให้มาตรการรักษาความปลอดภัยของตนเองทันสมัยและพร้อมรับมือกับการโจมตีล่าสุด
ฟีดข่าวบนเว็บไซต์ข่าวหรือฟีดบนแพลตฟอร์มโซเชียลมีเดียทั้งสองแสดงการอัปเดตอย่างต่อเนื่อง: เนื้อหาใหม่ ข่าวใหม่ การเปลี่ยนแปลงในการพัฒนาเรื่องราว ฯลฯ ในทำนองเดียวกัน ฟีดข่าวกรองภัยคุกคามเป็นแหล่งที่มาของข้อมูลภัยคุกคามที่ได้รับการรีเฟรชอย่างต่อเนื่อง: ตัวบ่งชี้ความเสี่ยง (IoC) โดเมนที่น่าสงสัย ลายเซ็นมัลแวร์ที่ทราบ และอื่นๆ
ฟีดข่าวกรองภัยคุกคามสามารถเปรียบเทียบได้กับการลาดตระเวนทางทหาร กองทัพอาจใช้ข้อมูลเกี่ยวกับสิ่งที่ศัตรูกำลังทำเพื่อตัดสินใจเกี่ยวกับการจัดตั้งแนวป้องกันของพวกเขา ในทำนองเดียวกัน ฟีดข่าวกรองภัยคุกคามช่วยให้ทีมรักษาความปลอดภัยเตรียมพร้อมรับมือกับการโจมตีทางไซเบอร์ปัจจุบันและในอนาคตได้ดีขึ้นฟีดข่าวกรองภัยคุกคามจำนวนมากมีให้บริการฟรีและโอเพนซอร์ส เพื่อส่งเสริมการป้องกันภัยคุกคามอย่างแพร่หลาย ฟีดข่าวกรองภัยคุกคามบางรายการเป็นกรรมสิทธิ์เฉพาะ โดยมีให้สำหรับลูกค้าที่ชำระเงินเท่านั้น
What is a cyber threat?
ภัยคุกคามทางไซเบอร์เป็นภัยคุกคามที่เกิดขึ้นกับข้อมูลและระบบคอมพิวเตอร์ ภัยคุกคามทางไซเบอร์สามารถเกิดขึ้นได้จากหลายสาเหตุ เช่น มัลแวร์ แฮกเกอร์ และบุคคลภายในที่ไม่ปลอดภัย ภัยคุกคามทางไซเบอร์สามารถส่งผลให้เกิดความเสียหายทางการเงิน การสูญเสียข้อมูล และความเสียหายทางชื่อเสียงองค์กรต่างๆ สามารถใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ต่างๆ เพื่อปกป้องตนเองจากภัยคุกคามทางไซเบอร์ มาตรการรักษาความปลอดภัยทางไซเบอร์อาจรวมถึงไฟร์วอลล์ ซอฟต์แวร์ป้องกันไวรัส และการฝึกอบรมด้านความปลอดภัยทางไซเบอร์แม้ว่า Chuck จะยังไม่ได้เข้าสู่กล่องอีเมลของ Bob แต่เขาก็ยังคงเป็นภัยคุกคามต่อ Bob เนื่องจาก Chuck สามารถใช้ข้อมูลที่เขาขโมยมาจากกล่องอีเมลของ Alice เพื่อโจมตี Bob ได้ เช่น Chuck อาจใช้ข้อมูลนี้เพื่อส่งอีเมลฟิชชิงถึง Bob หรือเพื่อเข้าถึงบัญชีอื่นๆ ของ Bobความรู้ด้านข่าวกรองภัยคุกคามที่ใช้งานได้ต้องมีรายละเอียดมากกว่าแค่ “ระวังชัค” เพื่อให้มีประโยชน์กับเครื่องมือและทีมรักษาความปลอดภัย ข่าวกรองเกี่ยวกับภัยคุกคามภายนอกที่อาจเกิดขึ้นสามารถอยู่ในรูปแบบต่างๆ ดังนี้
Tactics, techniques, and procedures (TTP) : TTPs สามารถใช้เพื่อระบุผู้โจมตีและประเภทของการโจมตีที่พวกเขาใช้ TTPs ยังสามารถใช้ในการพัฒนามาตรการป้องกันเพื่อปกป้ององค์กรจากการโจมตี
Malware signatures:ลายเซ็นมัลแวร์ เป็นรูปแบบหรือลำดับไบต์ที่ไม่ซ้ำกันที่สามารถใช้ในการระบุไฟล์ได้ เครื่องมือรักษาความปลอดภัยสามารถค้นหาไฟล์ที่มีลายเซ็นที่ตรงกับมัลแวร์ที่ทราบแล้ว
Indicators of compromise (IoC) : ดัชนีการละเมิด เหล่านี้เป็นชิ้นส่วนของข้อมูลที่ช่วยระบุว่าการโจมตีได้เกิดขึ้นหรือกำลังดำเนินการอยู่หรือไม่
Suspicious IP addresses and domains:การรับส่งข้อมูลทั้งหมดบนเครือข่ายมาจากที่ใดที่หนึ่ง หากพบว่าการโจมตีมาจากโดเมนหรือที่อยู่ IP บางรายการ ไฟร์วอลล์สามารถบล็อกการรับส่งข้อมูลจากแหล่งที่มานี้เพื่อป้องกันการโจมตีในอนาคตที่อาจเกิดขึ้น
Where does the threat intelligence in a feed come from?
ข้อมูลภัยคุกคามในฟีดมาจากไหน
ข้อมูลในฟีดข่าวกรองภัยคุกคามอาจมาจากหลายแหล่ง รวมถึง:
- การวิเคราะห์การรับส่งข้อมูลบนอินเทอร์เน็ตเพื่อตรวจหาการโจมตีและการขโมยข้อมูล
- การวิจัยเชิงลึกโดยผู้เชี่ยวชาญด้านความปลอดภัยเป็นสิ่งสำคัญในการปกป้ององค์กรจากภัยคุกคามทางไซเบอร์ การวิจัยนี้ช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยเข้าใจภัยคุกคามใหม่ๆ และวิธีการปกป้องจากภัยคุกคามเหล่า
- การวิเคราะห์มัลแวร์โดยตรงโดยใช้การวิเคราะห์แบบฮิวริสติก, sandboxing หรือการตรวจจับมัลแวร์อื่นๆ
- ข้อมูลโอเพนซอร์สที่มีให้บริการอย่างแพร่หลายและแชร์กันภายในชุมชนด้านความปลอดภัย
- การรวบรวมเว็บเพื่อระบุการโจมตีและโครงสร้างพื้นฐานการโจมตี (เช่น Cloudflare Area 1 Email Security ใช้รูปแบบของเทคนิคนี้เพื่อระบุการโจมตีแบบฟิชชิงล่วงหน้า)
- ข้อมูลวิเคราะห์และข้อมูลการวัดระยะไกลแบบรวบรวมจากลูกค้าของบริษัทด้านความปลอดภัย
ผู้จัดจำหน่ายฟีดข่าวกรองภัยคุกคามรวบรวมข้อมูลนี้ เพิ่มลงในฟีดของตนเอง
Why use a threat intelligence feed?
เหตุใดจึงต้องใช้ฟีดข่าวกรองภัยคุกคาม
Up-to-date information:เนื่องจากอาชญากรไซเบอร์ต้องการให้การโจมตีของพวกเขาประสบความสำเร็จ พวกเขาจึงเปลี่ยนแปลงและขยายกลยุทธ์อยู่เสมอเพื่อหลีกเลี่ยงการป้องกัน องค์กรที่จัดตั้งขึ้นเพื่อป้องกันการโจมตีของปีที่แล้วอาจถูกโจมตีโดยกลยุทธ์การโจมตีของปีนี้ ดังนั้น ทีมรักษาความปลอดภัยจึงต้องการข้อมูลล่าสุดเพื่อแจ้งให้การป้องกันของตนเองทราบและมั่นใจได้ว่าพวกเขาสามารถหยุดการโจมตีล่าสุดได้
Greater breadth of information: ฟีดข่าวกรองภัยคุกคามนำเสนอข้อมูลที่หลากหลาย กลับไปที่ตัวอย่างของเรา Bob อาจเคยหยุด Chuck จากการขโมยกล่องข้อความอีเมลของเขา แต่ถ้า Alice แจ้งเขาเกี่ยวกับการโจมตีล่าสุดของ Chuck Bob ก็รู้วิธีที่จะบล็อกทั้งการโจมตีที่เขาเคยเผชิญมาก่อนและการโจมตีที่ Alice พุ่งเป้าหมาย ในทำนองเดียวกัน องค์กรต่างๆ สามารถลดความเสี่ยงจากภัยคุกคามที่หลากหลายขึ้นได้โดยใช้ข่าวกรองภัยคุกคาม
Better efficiency:การรับข้อมูลข่าวกรองภัยคุกคามจากแหล่งข้อมูลภายนอกช่วยให้ทีมรักษาความปลอดภัยสามารถใช้เวลาในการป้องกันการโจมตีได้มากขึ้นแทนที่จะรวบรวมข้อมูล ผู้เชี่ยวชาญด้านความปลอดภัยสามารถตัดสินใจและดำเนินการลดความเสี่ยงได้แทนที่จะรวบรวมข้อมูลที่จำเป็นสำหรับการตัดสินใจเหล่านั้น และเครื่องมือรักษาความปลอดภัยเช่น WAFS สามารถเรียนรู้ที่จะจดจำการโจมตีได้ก่อนที่จะเผชิญกับมันจริง ๆ
ฟีดข้อมูลภัยคุกคามการใช้ STIX/TAXII อย่างไรSTIX/TAXII เป็นมาตรฐานอุตสาหกรรมสำหรับการจัดเก็บและแลกเปลี่ยนข้อมูลข่าวกรองภัยคุกคาม STIX ย่อมาจาก Structured Threat Information eXpressions และ TAXII ย่อมาจาก Threat Intelligence Exchange Information eXchange STIX/TAXII ช่วยให้ผู้จัดจำหน่ายฟีดข่าวกรองภัยคุกคามและลูกค้าสามารถแลกเปลี่ยนข้อมูลข่าวกรองภัยคุกคามได้อย่างมีประสิทธิภาพและปลอดภัย
STIX และ TAXII เป็นมาตรฐานสองมาตรฐานที่ใช้ร่วมกันเพื่อแชร์ข้อมูลข่าวกรองภัยคุกคาม STIX เป็นไวยากรณ์สำหรับการจัดรูปแบบข้อมูลข่าวกรองภัยคุกคาม ในขณะที่ TAXII เป็นโปรโตคอลมาตรฐานสำหรับการกระจายข้อมูลนี้ (เช่น HTTP) ฟีดข่าวกรองภัยคุกคามหลายร้อยใช้ STIX/TAXII เพื่อให้แน่ใจว่าข้อมูลของพวกเขาสามารถแปลและนำไปใช้โดยเครื่องมือรักษาความปลอดภัยได้หลากหลาย
Cloudflare กระจายฟีดข่าวกรองภัยคุกคามอย่างไรCloudflare ปกป้องเว็บไซต์จำนวนมากทั่วโลก (ด้วยการประมวลผลคำขอ HTTP 50 ล้านครั้งต่อวินาที) ทำให้ Cloudflare สามารถวิเคราะห์ข้อมูลจำนวนมากเกี่ยวกับการรับส่งข้อมูลบนเครือข่ายและรูปแบบการโจมตีได้ ข้อมูลนี้จะถูกแปลงเป็นข้อมูลข่าวกรองภัยคุกคามที่เสร็จสมบูรณ์ พร้อมใช้งานและพร้อมที่จะนำเข้าสู่เครื่องมือรักษาความปลอดภัย (ผ่าน STIX/TAXII)Cloudflare เสนอฟีดข่าวกรองภัยคุกคามนี้ผ่านบริการ Cloudforce One นำโดยทีมวิจัย
ที่มีประสบการณ์ Cloudforce One รบกวนผู้โจมตีทางไซเบอร์ทั่วโลก
อ้างอิงจาก :https://www.cloudflare.com/learning/security/glossary/threat-intelligence-feed/