Cyber Threat Hunting คืออะไร?
บทนำ
Threat Hunting เป็นหนึ่งในศัพท์ใหม่ยอดนิยมที่ได้ยินกันอย่างแพร่หลายในวงการ Cyber Security หรือเป็น Marketing Keywords ที่ Vendor/MSSP หลายๆเจ้าชอบพูดถึง และยังเป็นหนึ่งในสายงานที่ร้อนแรงที่สุดในด้านความมั่นคงปลอดภัยทางไซเบอร์อีกด้วย
?? ลองถามเหล่ายามไซเบอร์ว่าอะไรที่ทำให้คุณสะดุ้งตื่นในตอนกลางคืน ??
คำตอบ ก็คือ ก็ไม่รู้ว่าวันไหนองค์กรที่เหล่าดูแลอยู่จะโดยแฮกไง แต่จริงๆแล้วมันก็คือเรากำลังเจอภัยเหล่านี้
- Unknow Threats : ภัยไซเบอร์ชนิดใหม่ที่ยังไม่มีใครรู้จัก หรือช่องโหว่ใหม่ก็ได้
- Undetected : ระบบที่มีอยู่ตรวจจับไม่เจอ
- Unknow Assets : ระบบที่เราไม่รู้เลยว่ามันเป็นของเราด้วยหรอ แต่มันดันใช่ของเรา
- Unknown Unknown : ภัยคุกคามที่เราไม่รู้ด้วยซ้ำว่ามันเป็นภัย (งงในงง 555)
ซึ่งภัยคุกคามเหล่านี้แหละที่ผ่านการป้องกันที่เราเตรียมไว้อย่างดีขององค์กรได้
?? ทำไมยังมี unknow threats ผ่านเข้ามาได้ทั้งที่ๆคุณก็ลงทุนไปหลายล้านในอุปกรณ์ security เพื่อช่วยให้ระบบเครือข่ายปลอดภัยและต้องการจะขัดขวางเหล่า hackers ??
คำตอบนั่นก็ง่ายๆ เพราะเราใช้แต่วิธีการเดิมๆ คือการซื้ออุปกรณ์แพงๆมาวางๆไว้ โดยอาจ enable feature หรือ configure per-defined ตาม vendor แนะนำ หรือก็แค่ทำตอนติดตั้งเท่านั้น แล้วคิดว่ามันจะช่วยให้ระบบของเราปลอดภัยขึ้น นั่นก็อาจจะช่วยให้ปลอดภัยขึ้นได้จริง แต่ก็แค่ ณ ช่วงเวลาที่ติดตั้งแค่นั้นแหละ เพราะมันไม่ได้หยุด Hacker หรือผู้บุกรุกที่มีทักษะช่ำชองแล้วได้เลย
หากคุณไม่คอยหมั่นมา tuning หรือรีวิวเหตุการณ์ต่างๆที่ระบบมันแจ้งเตือนขึ้นมา รวมถึงนำสิ่งที่รู้ว่าเป็นช่องโหว่ หรือเป็น security gap ต่างๆที่เจอไปปรับปรุงแก้ไขมันซะ
!!! การมีอุปกรณ์ราคาหลักสิบล้านก็อาจไม่ช่วยป้องกันอะไรในองค์กรของคุณได้เลย ระบบจะทำงานได้ดีได้ต้องมีคนคอยดูแลมันด้วย!!!
อีกหนึ่งคำศัพท์ที่สำคัญไม่แพ้กันเลย คือ “Dwell time”
Dwell time คือ ช่วงเวลาจากจุดที่ผู้ไม่หวังดีทำการแทรกซึมเข้ามาไปจนถึงจุดที่ตรวจจับเจอ นี่จะเป็นอีกคำที่คุณจะได้ยินบ่อยๆในการพูดถึงเกี่ยวกับการตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์ (Incident Response)
จากรายงานด้านบนจะเห็นว่าเป็นเรื่องที่น่าตกใจพอสมควรว่า เฮ้ย เฮ้ย!!! Hacker มานั่งเล่นอยู่ในระบบขององค์กร โดยเฉลี่ยที่ 56 วัน (ปี 2019)เลยนะ แต่ก็ถือว่าการตรวจจับในยุคนี้ก็พัฒนาไปมาก หากย้อนไปดูที่รายงานแล้วจะพบว่าในปี 2011 ที่เริ่มเก็บข้อมูลนั้น Hacker อยู่ในระบบเป็นปีเลยทีเดียวกว่าจะตรวจจับกันได้
โดยคนส่วนใหญ่มักคิดว่าการทำ Threat Hunting คือการแค่ไปนั่งดู system log ง่ายๆ เพียงอย่างเดียวแล้วหวังว่าบางสิ่งบางอย่างที่ดูเป็นภัยคุกคามนั้นจะ “Popup ออกมา” ใส่พวกเขา แต่มันไม่ใช่เลย การวิเคราะห์บันทึกระบบเป็นเพียงสิ่งหนึ่งของการทำ Threat Hunting แต่จะโชคดีสำหรับเหล่า Threat Hunter มากหากรู้ว่าเขากำลังมองหาอะไรอยู่
Threat Hunting คือ การป้องกันทางไซเบอร์แบบเชิงรุก (Proactive) กล่าวคือ “กระบวนที่ Defenders/Blue Team/SOC ค้นหาสิ่งผิดปกติจากบันทึกข้อมูลที่มีในเชิงรุก เพื่อตรวจจับและแยกภัยคุกคามขั้นสูงอย่าง APTที่อาจหลบเลี่ยงโซลูชันความปลอดภัยที่มีอยู่ และอาจใช้ข้อมูลจาก Threat Intelligence มาช่วยระบุและจัดประเภทของภัยคุกคามที่อาจเกิดขึ้นก่อนการโจมตีได้ โดยที่พวกเขาจะไม่รอ alert จากระบบอย่าง IDS,IPS อีกต่อไป
ข้อเสนอแนะ
- Threat Hunter ต้องพยายามคิดให้เหมือนเหล่า Hackers และมี Mindset แบบ Hacker เพื่อจะช่วยเพิ่มประสิทธิภาพในการล่าภัยคุกคามต่างๆ
- ควรเข้าใจใน Cyber Kill Chain
- ศึกษาเรียนรู้ MITRE ATT&CK
- นำเครื่องมืออย่าง Threat Intelligence มาประยุกต์ใช้ในการล่า ไม่ควรยึดติดกับอุปกรณ์ที่ซื้อมาติดตั้ง(Security Devices)เท่านั้น
- Stay Hungry, Stay Foolish : “จงอยู่อย่างหิวกระหายและทำตัวให้โง่เสมอ” นั่นหมายถึง คนเราจะหยุดหาความรู้ไม่ได้ ต้องมั่นศึกษาหาความรู้และวิธีการใหม่ๆเสมอ เพื่อให้ทันกับเหล่า Hacker ที่จ้องเล่นงานเราอยู่นั่นเอง
จุดประสงค์ของการทำ Threat Hunting
- ตรวจจับผู้บุกรุกหรือพฤติกรรมไม่ปกติได้อย่างรวดเร็ว
- ป้องกันไม่ให้ผู้บุกรุกตั้งหลักปักฐานในระบบเครือข่ายเราได้
- ทำให้กำจัดพวกเขาออกจากเครือข่ายเราโดยเร็วและสิ้นซาก
- ช่วยลดเวลาตรวจจับและเวลาตอบสนองในตอนเกิดเคสจริง
แล้วมีวิธีการทำแบบใดบ้าง ทำอย่างไร พบกันในบทความต่อไปเร็วๆนี้
Reference:
