เจาะลึกความท้าทายของ Threat Intelligence Sharing และสถิติภัยคุกคามสำคัญในปี 2016

McAfee ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดัง ออกรายงาน “McAfee Labs Threats Report: April 2017” ประจำไตรมาสแรกของปี 2017 ชี้ Threat Intelligence Sharing ควรพัฒนาอย่างต่อเนื่อง เพื่อรับมือกับภัยคุกคามไซเบอร์ที่นับวันจะทวีความรุนแรงยิ่งขึ้น รวมไปถึงเจาะลึกการโจมตีระดับโลกเมื่อปลายปีที่ผ่านมา คือ Mirai DDoS Botnet และสถิติของภัยคุกคามต่างๆ ที่ค้นพบในปี 2016

สรุปสถิติสำคัญของภัยคุกคามในปี 2016

“เชื่อหรือไม่ว่า มีภัยคุกคามใหม่ 176 รายการเกิดขึ้นทุกๆ 1 นาที หรือเกือบ 3 รายการทุกๆ วินาที” — McAfee ระบุในรายงาน

  • ไตรมาสที่ 4 ของปี 2016 พบเหตุการณ์ที่ส่งผลกระทบต่อความมั่นคงปลอดภัยถูกประกาศสู่สาธารณะรวม 197 เหตุการณ์ และทั้งปี 2016 รวม 974 เหตุการณ์
  • จำนวนมัลแวร์ใหม่บน Mac OS เพิ่มขึ้น 245% ในไตรมาสที่ 4 และพุ่งสูงถึง 744% เมื่อพิจารณาจากปี 2016 ทั้งปี
  • สแปมบ็อต 10 อันดับแรกก่อให้เกิดอีเมลสแปมในไตรมาสที่ 4 ลดน้อยกว่าปี 2015 ถึง 24% คิดเป็น 181 ล้านฉบับ รวมทั้งปี 934 ล้านฉบับ
  • จำนวน Ransomware ในปี 2016 เพิ่มขึ้นถึง 88% อย่างไรก็ตาม จากการลดลงของ Locky และ CryptoWall ทำให้ปริมาณ Ransomware ใหม่ในไตรมาสที่ 4 ลดลงถึง 71%
  • มัลแวร์บนอุปกรณ์พกพามีปริมาณลดลง 17% ในไตรมาสที่ 4 และแต่กลับเพิ่มขึ้นถึง 99% เมื่อพิจารณาทั้งปี
  • จำนวนมัลแวร์ทั้งหมดทั่วโลกเพิ่มปริมาณขึ้น 24% ในปี 2016 คิดเป็น 638 ล้านรายการ

Threat Intelligence Sharing คืออะไร

Threat Intelligence Sharing หรือการแบ่งปันข้อมูลภัยคุกคามอัจฉริยะ เป็นการรวบรวมข้อมูลภัยคุกคามจากแหล่งต่างๆ จากทั่วทุกมุมโลก ผ่านกระบวนการวิเคราะห์ต่างๆ เพื่อให้ทราบว่าขณะนี้องค์กรของเรากำลังเผชิญหน้ากับอะไร ผู้ที่อยู่เบื้องหลังคือใคร ต้องการทำอะไร ระบบไหนที่เป็นเป้าหมาย รวมไปถึงพฤติกรรมเชิงลึกของภัยคุกคามและผู้ที่อยู่เบื้องหลังเหล่านั้น เพื่อให้องค์กรสามารถหามาตรการควบคุมและรับมือกับภัยคุกคามไซเบอร์ต่างๆ ได้อย่างมีประสิทธิผลและทันท่วงที

Threat Intelligence แบ่งออกเป็น 3 แบบ คือ

  • Strategic Intelligence: ข้อมูลหลังผ่านการวิเคราะห์ เช่น กลุ่มผู้ไม่ประสงค์ดีที่กำลังพุ่งเป้ามาที่องค์กรและเป้าหมายของพวกเขา ความเสี่ยงที่อาจจะเกิดขึ้น และกฎหมายข้อบังคับต่างๆ ที่ต้องปฏิบัติตาม สำหรับนำไปปรับใช้กับนโยบายและการวางแผนกลยุทธ์ด้านความมั่นคงปลอดภัย
  • Tactical Intelligence: ข้อมูลที่รวบรวมโดยระบบและเซ็นเซอร์ด้านความมั่นคงปลอดภัย ส่วนใหญ่มักเป็น Indicator of Compromise สำหรับใช้ตรวจสอบหลักฐานทางดิจิทัลและฟื้นฟูความเสียหายที่เกิดขึ้น
  • Operational Intelligence: องค์ประกอบสำคัญที่สุดในการสร้างบริบทของภัยคุกคาม ไม่ว่าจะเป็นขอบเขตหรืออาณาบริเวณของการโจมตี รวมไปถึงวิธีที่ดีที่สุดในการตอบสนองต่อการโจมตีเหล่านั้น Big Data Analytics, Machine Learning และเทคนิคการวิเคราะห์โดยอัตโนมัติต่างๆ จะถูกนำเข้ามาใช้เพื่อสนับสนุนการตัดสินใจของผู้รับผิดชอบ

Threat Intelligence Sharing ในปัจจุบันมีหลายโมเดล แต่ที่พบบ่อยได้แก่ Information Sharing and Analysis Centers (ISACs), Information Sharing and Analysis Organizations (ISAOs), Computer emergency response teams (CERTs) และ Incident Response teams (IRTs), Threat Exchanges, Marketing และ Revenue Partnerships

ความท้าทายสำคัญของการทำ Threat Intelligence Sharing มี 5 ประการ ได้แก่

  • ปริมาณ: เซ็นเซอร์ รวมไปถึงเครื่องมือการทำ Big Data Analytics และ Machine Learning ก่อให้เกิดปัญหาข้อมูลไร้ประโยชน์เป็นจำนวนมาก ซึ่งส่งผลกระทบต่อการคัดแยก ประมวลผล และดำเนินการเพื่อสร้าง Intelligence
  • การตรวจสอบ: แหล่งที่มาของข้อมูลต้องได้รับการตรวจสอบอย่างละเอียด เพื่อให้มั่นใจว่าข้อมูลที่ได้มามีความถูกต้อง ไม่ใช่ข้อมูลที่แฮ็คเกอร์ปล่อยมาเพื่อให้สร้าง Intelligence แบบผิดๆ
  • คุณภาพ: ฟิลเตอร์ แท็ก และการขจัดความซ้ำซ้อนของข้อมูลโดยอัตโนมัติเป็นกระบวนการสำคัญในการรับข้อมูลจากแหล่งที่มาต่างๆ
  • ความรวดเร็ว: การแลกเปลี่ยนข้อมูลแบบเปิดที่ได้มาตรฐานช่วยขจัดปัญหาด้านความล่าช้าของการส่งข้อมูลภัยคุกคามหลังจากตรวจจับได้ เข้าสู่ระบบ Threat Intelligence
  • ความสัมพันธ์: การเชื่อมโยงความสัมพันธ์ระหว่างระบบปฏิบัติการ อุปกรณ์ และระบบเครือข่าย รวมไปถึงการคัดแยกเหตุการณ์และการกำหนดขอบเขตในการตอบสนองเป็นสิ่งสำคัญเพื่อให้สามารถรับมือกับภัยคุกคามได้อย่างมีประสิทธิภาพ

ภาพด้านล่างแสดง Infographic ของวิวัฒนาการของ Mirai DDoS Botnet และการพัฒนา Threat Intelligence Sharing

สำหรับผู้ที่สนใจศึกษา Mirai DDoS Botnet, การพัฒนา Threat Intelligence Sharing อย่างละเอียด และสถิติเชิงลึกเกี่ยวกับภัยคุกคามในปี 2016 สามารถดาวน์โหลดเอกสาร McAfee Labs Threats Report: April 2017 ได้ที่นี่ [PDF]

สอบถามรายละเอียดเกี่ยวกับผลิตภัณฑ์และโซลูชันของ McAfee เพิ่มเติมได้ที่ อินแกรม ไมโคร (ประเทศไทย) อีเมล TH-McAfee@ingrammicro.com ทางเรายินดีให้บริการทุกท่านอย่างเต็มรูปแบบ


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Trend Micro เข้าซื้อ Cloud Conformity เสริมทัพ Cloud Security

Trend Micro ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดัง ประกาศเข้าควบรวมกิจการของ Cloud Confirmity บริษัทที่ให้บริการแพลตฟอร์มด้าน Cloud Security Posture Management ด้วยมูลค่า $70 ล้าน (ประมาณ …

Cyber Defense Initiative Conference (CDIC) 2019 เปิดลงทะเบียนวันนี้แล้ว

Software Park Thailand และ ACIS Professional Center ร่วมกับเหล่าพันธมิตร ขอเชิญผู้ที่สนใจเข้าร่วมงานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ที่ยิ่งใหญ่ที่สุดในประเทศไทยและภูมิภาคอาเซียน “Cyber Defense Initiative Conference (CDIC) 2019” …