MISP คือโครงการโอเพนซอร์สที่ทำให้เราสามารถรับ ส่งและเผยแพร่ข้อมูลของภัยคุกคามได้ระหว่างระบบ MISP ด้วยกัน รวมไปถึงมีฟีเจอร์ที่ทำให้เราสามารถส่งข้อมูลภัยคุกคามไปยังระบบหรืออุปกรณ์อื่นๆ ระบบ MISP ยังสามารถถูกใช้เพื่อจัดเก็บ ค้นหาและเชื่อมความสัมพันธ์โดยใช้ตัวบ่งชี้ภัยคุกคาม (Indicator of Compromise - IOC) เพื่อค้นหาความสัมพันธ์ระหว่างเหตุการณ์การโจมตีที่เกิดขึ้นได้ด้วย ติดตั้ง MISP ได้อย่างไรบ้าง?
วิธีการที่ข่าวกรองภัยคุกคามสามารถช่วยจัดการกับความเสี่ยงแต่ละประการได้อย่างไร? อะไรคือผลกระทบที่อาจเกิดขึ้นจากการจัดการกับความเสี่ยงนั้นๆ? สิ่งที่องค์กรต้องการเติมเต็มเติมก่อนสามารถนำข้อมูล เทคโนโลยี หรือทรัพยากรบุคคลมาจัดการกับข่าวกรองภัยคุกคามให้อย่างมีประสิทธิภาพ?
threat intelligence จะเพิ่มประสิทธิภาพในการดำเนินงานให้กับทีมยังไง? ระบบหรือแอพพลิเคชั่นที่ควรจะได้รับผลประโยชน์? llection: การเก็บรวบรวมข้อมูลดิบ (raw data) มาจากหลายแหล่งข้อมูลเช่นข้อมูลภายใน (internal ก็เช่น network event logs, ข้อมูลเหตุการณ์ในอดีตเช่นเคยถูกโจมตี, เคยมีคน login, เคยมี IP นี้เข้ามา ข้อมูลจากภายนอกเช่น Darkweb และ Public Web หรือข้อมูลด้านเทคนิคโปรดักที่ใช้อยู่จากข้อมูลใน internet Threat data คือข้อมูลที่ภัยคุกคามเช่น IP/Domain ที่ติด Blacklist, ไฟล์ที่ถูกเข้ารหัสไว้ทำเพื่อหลีกเลี่ยงการตรวจจับจากอุปกรณ์ Network Security, ข้อมูลที่เป็นช่องโหว่ (vulnerability information) เช่นข้อมูลส่วนที่เปิดเป็นสาธารณะใน social media เป็นต้น ข้อสำคัญ จุดบอดภายในและภายนอกของคุณอยู่ที่ไหนในปัจจุบัน? ใช้เทคนิคใดในเก็บรวบรวมและสามารถทำแบบอัตโนมัติได้หรือไม่? คุณสามารถเข้าไปอ่านเว็บอาชญากรไซเบอร์และพวก Dark Web หรือไม่? ocessing: เมื่อได้ข้อมูลดิบแล้วก็ให้เราทำการ sort ข้อมูลที่ได้มาให้เป็นแบบ metadata จากนั้นให้ทำการ filter ว่าเป็น false positives และ negatives หรือไม่ โดยข้อมูลที่รวบรวมมาตามที่ได้กล่าวไปนั้นในแต่ละวันมีเยอะมาก ข้อมูลีที่เกิดขึ้นไม่ว่าจะเป็น phishing, compromised credentials, network logs, common vulnerabilities and exploit (CVEs), leaked, malware variants.
ทำไม Cyber Threat Intelligence ถึงสำคัญ?
การวิเคราะห์มีความน่าเชื่อถือ มีความเกี่ยวข้อง และแม่นยำในระดับใด? มีคำแนะนำที่ชัดเจนและเป็นรูปธรรมหรือขั้นตอนถัดไปเกี่ยวกับการวิเคราะห์ขั้นสุดท้ายหรือไม่? 5. Dissemination: คือการแจกจ่าย Threat Intelligence ให้เป็นตามรูปแบบและระยะเวลาที่ผู้ใช้กำหนด รูปแบบส่งมอบจะแบ่งเป็น 3 format ดังนี้ Structured Threat Information Expression (STIX™) Malware Information Sharing Platform (MISP) Custom Schemas. วิธีการแจกจ่าย (Dissemination Methodologies) Flat file downloads: CSV, JSON, spreadsheet, text files API: เขียนโปรแกรมเชื่อมต่อเพื่อดึงข้อมูล Feeds: ดึงอัตโนมัติ ขึ้นอยู่กับว่าตกลงกันไว้ว่าอย่างไร ข้อสำคัญ ใครผู้มีส่วนได้ส่วนเสี/ผู้ที่ได้รับประโยชน์จาก report ของ CTI? วิธีที่ดีที่สุดในการนำเสนอ CTI คืออะไร และความถี่ในการส่งมอเป็นอย่างไร? CTI ที่ทำไปแล้วมีประโยชน์อย่างไร สามารถปรับปรุงให้ดีขึ้นได้อย่างไรในอนาคต? : คำติชมหรือความคิดเห็นควรเป็นการทำงานร่วมกัน เพื่อนำไปพัฒนาการ CTI เชิงรุก Measure of Performance (MOP): ตัวชี้วัดเชิงปริมาณ มี CTI เท่าไหร่ที่ส่งมอบจำนวนเท่าใด Measure of Effectiveness (MOE): ตัวชี้วัดเชิงคุณภาพ เช่น PCIR, FCIR, and/or C3IR.
Deliver World-class Solutions to Enhance IT Operation Efficiency, End-to-End Visibility, Real-Time Actionable Business Insight and Competitiveness for our customers. ติดตามบทความและข่าวสาร STelligence Customer Support ติดต่อแผนกบริการช่วยเหลือลูกค้า Tel: 02-024-6661 Email:
มี Tool ที่ช่วยจัดการข้อมูลและวิเคราะห์ข้อมูลให้เรานั่นก็คือเช่น SIEM Solution ข้อสำคัญ ทรัพย์สิน กระบวนการปฏิบัติ หรือใครกันที่มีความเสี่ยง? threat intelligence จะเพิ่มประสิทธิภาพในการดำเนินงานให้กับทีมยังไง? ระบบหรือแอพพลิเคชั่นที่ควรจะได้รับผลประโยชน์? 4.