การล่าภัยคุกคามในปี 2024 คืออะไร? [คู่มือฉบับสมบูรณ์]

อัปเดตล่าสุดเมื่อ: November 5, 2023 by

การตามล่าภัยคุกคามทางไซเบอร์ถือเป็นวิธีการหนึ่ง วิธีการเชิงรุกของการรักษาความปลอดภัยทางอินเทอร์เน็ต ที่นักล่าภัยคุกคามมองหา อันตรายด้านความปลอดภัย นั่นอาจเป็น ที่ซ่อนอยู่ภายในเครือข่ายของบริษัท.

การตามล่าทางไซเบอร์จะคอยมองหาภัยคุกคามที่ไม่เคยถูกตรวจพบ ไม่ปรากฏชื่อ หรือไม่ได้รับการแก้ไขมาก่อน ซึ่งอาจหลบเลี่ยงกลไกการป้องกันอัตโนมัติของเครือข่ายของคุณ ตรงกันข้ามกับเทคนิคการตามล่าความปลอดภัยทางไซเบอร์แบบพาสซีฟอื่นๆ เช่น ระบบตรวจจับภัยคุกคามอัตโนมัติ

การล่าสัตว์คุกคามคืออะไร

สารบัญ

การไล่ล่าภัยคุกคามคืออะไร?

การกระทำที่กระตือรือร้นในการมองหา ภัยคุกคามทางไซเบอร์ที่ตรวจไม่พบบนเครือข่าย เรียกว่าการตามล่าภัยคุกคาม การตามล่าภัยคุกคามทางไซเบอร์จะค้นหาสภาพแวดล้อมของคุณเพื่อค้นหาผู้ประสงค์ร้ายที่ผ่านมาตรการรักษาความปลอดภัยปลายทางเริ่มต้นของคุณไปแล้ว

อันตรายบางอย่างมีความซับซ้อนและก้าวหน้ากว่า ในขณะที่ส่วนใหญ่ไม่สามารถผ่านระบบรักษาความปลอดภัยได้ เป็นเวลาหลายสัปดาห์ที่ผู้โจมตียังคงตรวจไม่พบในระบบและไฟล์ต่างๆ ในขณะที่ค่อยๆ รุกล้ำผ่านเครือข่ายเพื่อรวบรวมข้อมูลมากขึ้น

อาจผ่านไปเป็นสัปดาห์หรือเป็นเดือนในระหว่างขั้นตอนนี้ สามารถหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัยและบุคลากรโดยไม่ต้องตามล่า

การล่าสัตว์คุกคาม

เหตุใดการตามล่าภัยคุกคามจึงมีความสำคัญ

เนื่องจากภัยคุกคามที่ซับซ้อนสามารถหลบเลี่ยงความปลอดภัยทางไซเบอร์แบบอัตโนมัติได้ การตามล่าหาภัยคุกคามจึงมีความสำคัญ

คุณยังคงต้องกังวลเกี่ยวกับภัยคุกคามที่เหลืออีก 20% แม้ว่าเครื่องมือรักษาความปลอดภัยอัตโนมัติและระดับ 1 และ 2 ศูนย์ปฏิบัติการความปลอดภัย นักวิเคราะห์ (SOC) ควรจะสามารถจัดการได้ ลด 80% ของพวกเขา.

ภัยคุกคามในอีก 20% ที่เหลือมีแนวโน้มที่จะซับซ้อนและสามารถสร้างอันตรายร้ายแรงได้

ผู้โจมตีสามารถเข้าสู่เครือข่ายอย่างซ่อนเร้นและอยู่ที่นั่นเป็นเวลาหลายเดือนในขณะที่พวกเขารวบรวมข้อมูล ค้นหาเอกสารที่ละเอียดอ่อน หรือรับข้อมูลการเข้าสู่ระบบที่จะอนุญาตให้พวกเขาท่องไปรอบๆ สภาพแวดล้อม

ธุรกิจจำนวนมากขาดทักษะการตรวจจับที่ซับซ้อนซึ่งจำเป็นในการป้องกันภัยคุกคามขั้นสูงแบบถาวรไม่ให้ค้างอยู่ในเครือข่าย เมื่อฝ่ายตรงข้ามประสบความสำเร็จในการหลบหนีการตรวจจับและการโจมตีได้ละเมิดการป้องกันขององค์กร

การตามล่าหาภัยคุกคามจึงเป็นองค์ประกอบสำคัญของกลยุทธ์การป้องกัน

ประเภทของการล่าสัตว์คุกคาม

เว็บไซต์อย่างเป็นทางการของ IBM ได้อธิบายการตามล่าภัยคุกคามสามประเภทหลักอย่างเหมาะสม ตามบล็อกของพวกเขา การล่าสัตว์ภัยคุกคามเป็นประเภทต่อไปนี้:

1. การล่าสัตว์แบบมีโครงสร้าง

An ข้อบ่งชี้การโจมตี (IoA) และยุทธวิธี วิธีการ และขั้นตอนของผู้โจมตี (TTP) ทำหน้าที่เป็นรากฐานของการล่าอย่างเป็นระบบ

การล่าทุกครั้งได้รับการวางแผนและอิงตาม TTP ของผู้คุกคาม ด้วยเหตุนี้ นักล่าจึงมักจะจดจำผู้ก่อภัยคุกคามได้ ก่อนที่ผู้โจมตีจะมีโอกาสทำลายสิ่งแวดล้อม 

2. การล่าสัตว์แบบไม่มีโครงสร้าง

การล่าแบบเฉพาะกิจเริ่มต้นขึ้นโดยอาศัยตัวเหนี่ยวไก ซึ่งเป็นหนึ่งในหลาย ๆ ตัว ตัวชี้วัดของการประนีประนอม (ไอโอซี). โดยทั่วไปทริกเกอร์นี้ใช้เพื่อกระตุ้นให้นักล่ามองหา รูปแบบก่อนและหลังการตรวจจับ.

ภายในขอบเขตที่การเก็บรักษาข้อมูลและความผิดที่เกี่ยวข้องก่อนหน้านี้ทำได้ ผู้ล่าอาจทำการศึกษาเพื่อจัดทำแผนของตน

3. ขับเคลื่อนด้วยสถานการณ์หรือเอนทิตี

สมมติฐานเชิงสถานการณ์อาจถูกสร้างขึ้นโดยการประเมินความเสี่ยงภายในองค์กรหรือโดยการตรวจสอบแนวโน้มและจุดอ่อนที่เป็นเอกลักษณ์ของโครงสร้างพื้นฐานด้านไอที

ข้อมูลการโจมตีที่รวบรวมจากสาธารณะทั่วไป ซึ่งเมื่อตรวจสอบแล้ว จะแสดง TTP ล่าสุดของภัยคุกคามทางไซเบอร์ที่กำลังดำเนินอยู่ ซึ่งเป็นที่ที่โอกาสในการขายที่มุ่งเน้นเอนทิตีถูกสร้างขึ้น นักล่าภัยคุกคามสามารถสแกนสภาพแวดล้อมโดยรอบเพื่อหาพฤติกรรมเฉพาะเหล่านี้ได้

การล่าสัตว์คุกคามทำงานอย่างไร?

แง่มุมของมนุษย์และความสามารถในการประมวลผลข้อมูลจำนวนมหาศาลของโซลูชันซอฟต์แวร์ถูกรวมเข้าด้วยกันเพื่อค้นหาภัยคุกคามทางไซเบอร์อย่างมีประสิทธิภาพ

นักล่าภัยคุกคามของมนุษย์อาศัยข้อมูลจากเครื่องมือตรวจสอบความปลอดภัยและการวิเคราะห์ที่ซับซ้อน เพื่อช่วยพวกเขาในการค้นหาและกำจัดภัยคุกคามในเชิงรุก

เป้าหมายของพวกเขาคือการใช้โซลูชันและสติปัญญา/ข้อมูลเพื่อค้นหาศัตรูที่อาจหลบเลี่ยงการป้องกันตามปกติโดยใช้กลยุทธ์เช่นการอยู่นอกแผ่นดิน

สัญชาตญาณ การคิดเชิงจริยธรรมและเชิงกลยุทธ์ และการแก้ปัญหาอย่างสร้างสรรค์ ล้วนเป็นองค์ประกอบสำคัญของกระบวนการตามล่าทางไซเบอร์

องค์กรสามารถแก้ไขภัยคุกคามได้รวดเร็วและแม่นยำยิ่งขึ้นด้วยการใช้คุณลักษณะของมนุษย์เหล่านี้ “นักล่าภัยคุกคามทางไซเบอร์” มีประโยชน์มากกว่าการพึ่งพาระบบตรวจจับภัยคุกคามอัตโนมัติเพียงอย่างเดียว

นักล่าภัยคุกคามทางไซเบอร์

นักล่าภัยคุกคามทางไซเบอร์คือใคร?

Cyber ​​Threat Hunters เพิ่มสัมผัสของมนุษย์ในการรักษาความปลอดภัยทางธุรกิจ ปรับปรุงมาตรการอัตโนมัติ พวกเขาเป็นผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีที่มีทักษะ ซึ่งระบุ บันทึก ติดตาม และกำจัดภัยคุกคามก่อนที่พวกเขาจะเกิดปัญหาร้ายแรง

แม้ว่าบางครั้งจะเป็นนักวิเคราะห์ภายนอก แต่ก็เป็นนักวิเคราะห์ความปลอดภัยที่ดีซึ่งมีความรู้เกี่ยวกับการทำงานของแผนกไอทีของบริษัท

นักล่าภัยคุกคามค้นหาข้อมูลด้านความปลอดภัย พวกเขามองหารูปแบบพฤติกรรมที่น่าสงสัยที่คอมพิวเตอร์อาจพลาดหรือคิดว่าได้รับการจัดการแต่ไม่ได้รับการจัดการ รวมถึงมัลแวร์หรือผู้โจมตีที่ซ่อนอยู่

นอกจากนี้ยังช่วยในการแพทช์ระบบรักษาความปลอดภัยของธุรกิจเพื่อป้องกันการบุกรุกประเภทเดียวกันในอนาคต

การล่าสัตว์คุกคามคืออะไร

ข้อกำหนดเบื้องต้นสำหรับการล่าสัตว์คุกคาม

นักล่าภัยคุกคามจะต้องสร้างบรรทัดฐานของเหตุการณ์ที่คาดการณ์หรือได้รับการอนุมัติก่อน เพื่อระบุความผิดปกติในการตามล่าภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพ

นักล่าภัยคุกคามสามารถเข้าไปดูข้อมูลความปลอดภัยและข้อมูลที่รวบรวมโดยเทคโนโลยีการตรวจจับภัยคุกคามโดยใช้ข้อมูลพื้นฐานนี้และข้อมูลภัยคุกคามล่าสุด

เทคโนโลยีเหล่านี้อาจรวมถึง การตรวจจับและการตอบสนองที่มีการจัดการ (MDR), เครื่องมือวิเคราะห์ความปลอดภัย,หรือ โซลูชันการจัดการข้อมูลความปลอดภัยและเหตุการณ์ (SIEM)

นักล่าภัยคุกคามสามารถค้นหาระบบของคุณเพื่อหาอันตรายที่อาจเกิดขึ้น กิจกรรมที่ซ่อนอยู่ หรือสิ่งกระตุ้นที่ผิดไปจากปกติ หลังจากที่พวกมันได้รับข้อมูลจากแหล่งที่มาที่หลากหลาย รวมถึงข้อมูลปลายทาง เครือข่าย และระบบคลาวด์

นักล่าภัยคุกคามสามารถสร้างสมมติฐานและดำเนินการตรวจสอบเครือข่ายอย่างกว้างขวาง หากพบภัยคุกคาม หรือหากข้อมูลภัยคุกคามที่ทราบชี้ไปยังภัยคุกคามใหม่ๆ ที่เป็นไปได้

นักล่าภัยคุกคามจะค้นหาข้อมูลในระหว่างการสืบสวนเพื่อตรวจสอบว่าภัยคุกคามนั้นเป็นอันตรายหรือไม่เป็นอันตราย หรือเครือข่ายได้รับการปกป้องอย่างเหมาะสมจากภัยคุกคามทางไซเบอร์ที่เกิดขึ้นใหม่หรือไม่

วิธีการตามล่าภัยคุกคาม

นักล่าภัยคุกคามเริ่มการสืบสวนโดยสมมติว่ามีศัตรูอยู่ในระบบแล้ว และมองหาพฤติกรรมแปลก ๆ ที่สามารถชี้ให้เห็นถึงการมีอยู่ของกิจกรรมที่ไม่เป็นมิตร

จุดเริ่มต้นของการสืบสวนนี้มักจะจัดอยู่ในหนึ่งในสามประเภทในการตามล่าหาภัยคุกคามเชิงรุก

เพื่อจุดประสงค์ในการปกป้องระบบและข้อมูลขององค์กรในเชิงรุก กลยุทธ์ทั้งสามนี้เกี่ยวข้องกับความพยายามของมนุษย์ที่รวมทรัพยากรข่าวกรองเกี่ยวกับภัยคุกคามเข้ากับเทคโนโลยีรักษาความปลอดภัยที่ล้ำสมัย

1. การสืบสวนโดยใช้สมมติฐาน

อันตรายใหม่ที่ถูกค้นพบผ่านฐานข้อมูลขนาดใหญ่ของข้อมูลการโจมตีที่รวบรวมจากมวลชนมักจุดประกายการสืบสวนตามสมมติฐาน โดยให้ข้อมูลเกี่ยวกับกลยุทธ์ เทคนิค และขั้นตอนล่าสุดที่ผู้โจมตี (TTP) ใช้

นักล่าภัยคุกคามจะตรวจสอบเพื่อดูว่าการกระทำเฉพาะของผู้โจมตีปรากฏอยู่ในสภาพแวดล้อมของตนเองหรือไม่ เมื่อตรวจพบ TTP ใหม่

2. การสอบสวนตามตัวบ่งชี้การโจมตีหรือตัวบ่งชี้การประนีประนอมที่ระบุ

การใช้ข่าวกรองภัยคุกคามทางยุทธวิธี วิธีการตามล่าภัยคุกคามนี้จะแสดงรายการ IOC และ IOA ที่รู้จักซึ่งเชื่อมโยงกับภัยคุกคามใหม่ๆ นักล่าภัยคุกคามสามารถใช้สิ่งเหล่านี้เป็นตัวกระตุ้นเพื่อค้นหาการโจมตีที่คาดว่าจะเกิดขึ้นหรือกิจกรรมที่เป็นอันตรายที่กำลังดำเนินอยู่

3. การวิเคราะห์ขั้นสูงและการตรวจสอบการเรียนรู้ของเครื่อง

วิธีที่สามขุดค้นข้อมูลจำนวนมหาศาลโดยใช้การเรียนรู้ของเครื่องและการวิเคราะห์ข้อมูลขั้นสูงเพื่อค้นหาความผิดปกติที่อาจชี้ไปที่กิจกรรมที่ไม่เป็นมิตรที่อาจเกิดขึ้น

ความผิดปกติเหล่านี้กลายเป็นเบาะแสการล่าสัตว์ที่ได้รับการตรวจสอบโดยนักวิเคราะห์ที่มีความรู้เพื่อค้นหาอันตรายที่ซ่อนอยู่

การตามล่าภัยคุกคามด้วยผู้รับมอบฉันทะ

นักล่าภัยคุกคามอาจพบข้อมูลมากมายในบันทึกเว็บพรอกซี พรอกซีเหล่านี้ทำหน้าที่เป็นท่อร้อยสายระหว่างเซิร์ฟเวอร์หรืออุปกรณ์ที่รับคำขอและอุปกรณ์ที่ส่งคำขอ

ชุดข้อมูลทั่วไปที่สร้างโดยพร็อกซีของเว็บสามารถใช้เพื่อระบุพฤติกรรมที่ผิดปกติหรือน่าสงสัยได้

ตัวอย่างเช่น นักล่าภัยคุกคามในองค์กรอาจวิเคราะห์ข้อมูลอันตรายที่รวมอยู่ในบันทึกของเว็บพรอกซี และค้นพบกิจกรรมที่น่าสงสัยกับตัวแทนผู้ใช้ เช่น cURL และไซต์ SharePoint.

พวกเขาดึงความสนใจไปที่ปัญหาและพบว่าคำขอนั้นถูกต้องตามกฎหมายและมาจากทีม DevOps

เพื่อตรวจสอบบันทึกเหล่านี้และค้นหาบุคคลที่เป็นอันตรายในกลุ่มต่างๆ นักล่าภัยคุกคามจะใช้โปรโตคอลและวิธีการที่หลากหลาย เว็บพร็อกซี่ บันทึกมักเสนอรายละเอียดต่อไปนี้:

  • URL ปลายทาง (ชื่อโฮสต์)
  • IP ปลายทาง
  • สถานะ HTTP
  • หมวดหมู่โดเมน
  • โปรโตคอล
  • พอร์ตปลายทาง
  • ตัวแทนผู้ใช้
  • วิธีการขอ
  • การทำงานของอุปกรณ์
  • ชื่อไฟล์ที่ร้องขอ
  • ระยะเวลา

**และอื่น ๆ!

การค้นหาภัยคุกคามด้วยบันทึกพร็อกซีทำงานอย่างไร

มาศึกษาว่าบันทึกของเว็บพรอกซีช่วยเหลือนักล่าเหล่านี้ได้อย่างไรเมื่อคุณเข้าใจการตามล่าภัยคุกคามแล้ว นักวิเคราะห์ต้องใช้วิธีต่างๆ มากมายในการค้นหาช่องโหว่และกลุ่มที่เป็นอันตรายที่เกี่ยวข้องกับเครือข่าย เนื่องจากบันทึกของเว็บพรอกซีประกอบด้วยชิ้นส่วนข้อมูลหลายชิ้น

1. ตรวจสอบการรับส่งข้อมูลที่ถูกบล็อก:

สิ่งสำคัญคือต้องค้นหาว่าอะไรทำให้ผู้ใช้เข้าถึงเว็บไซต์ใดเว็บไซต์หนึ่ง แม้ว่าผู้ใช้ขององค์กรอาจถูกห้ามก็ตาม อาจหมายความว่าคอมพิวเตอร์ของพวกเขาติดไวรัส

2. URL ที่มีคำขอ IP:

การกรองนี้สามารถตรวจสอบบันทึกที่ทำงานเกี่ยวกับข้อจำกัดด้านความปลอดภัยของ DNS โดยใช้ที่อยู่ IP แบบฮาร์ดโค้ด

3. URL ที่มีนามสกุลไฟล์:

ตัวกรองนี้จะทำให้ URL ที่อาจเป็นอันตรายซึ่งมีนามสกุลไฟล์ เช่น .doc, .pdf และ .exe มองเห็นได้ ผู้โจมตีมักใช้ไฟล์ doc หรือ pdf พร้อมฟังก์ชันมาโครเพื่อฝังมัลแวร์ลงในเครื่องหรือเครือข่าย

4. URL ผู้อ้างอิงที่รู้จักและมี URL ที่ไม่ธรรมดา:

การระบุลิงก์ฟิชชิ่งอาจทำได้ง่ายขึ้นโดยการกรองบันทึกที่มีโดเมนอ้างอิงยอดนิยมและ URL ที่ไม่ซ้ำกันออก

ความแตกต่างระหว่างการล่าภัยคุกคามและความฉลาดทางภัยคุกคาม

ข่าวกรองภัยคุกคามคือชุดข้อมูลเกี่ยวกับความพยายามหรือการโจมตีที่ประสบความสำเร็จ ซึ่งโดยทั่วไปจะรวบรวมและตรวจสอบโดยระบบรักษาความปลอดภัยอัตโนมัติโดยใช้การเรียนรู้ของเครื่องและปัญญาประดิษฐ์

ข้อมูลนี้ใช้ในการตามล่าหาภัยคุกคามเพื่อทำการค้นหาผู้ใช้ที่เป็นอันตรายทั่วทั้งระบบอย่างละเอียด

กล่าวอีกนัยหนึ่ง การตามล่าหาภัยคุกคามเริ่มต้นที่จุดสิ้นสุดของข่าวกรองภัยคุกคาม การตามล่าภัยคุกคามอย่างมีประสิทธิผลยังอาจพบอันตรายที่ยังไม่เคยเห็นในป่าอีกด้วย

ตัวบ่งชี้ภัยคุกคามบางครั้งใช้เป็นผู้นำหรือสมมติฐานในการตามล่าหาภัยคุกคาม ลายนิ้วมือเสมือนที่มัลแวร์หรือผู้โจมตีทิ้งไว้ ที่อยู่ IP แปลก ๆ อีเมลฟิชชิ่ง หรือการรับส่งข้อมูลเครือข่ายที่ผิดปกติอื่น ๆ ล้วนเป็นตัวอย่างของตัวบ่งชี้ภัยคุกคาม

ลิงค์ด่วน:

สรุป: Threat Hunting 2024 คืออะไร? 

ขั้นตอนปกติของการตรวจจับเหตุการณ์ ปฏิกิริยา และการแก้ไขได้รับการเสริมอย่างมากด้วยการตามล่าหาภัยคุกคาม กลยุทธ์ที่ใช้งานได้จริงและใช้ได้จริงสำหรับธุรกิจคือการเสริมกำลังตนเองจากภัยคุกคามที่คาดไม่ถึง

อย่างไรก็ตาม การตรวจสอบบันทึกพร็อกซียังทำให้สามารถระบุผู้ใช้ที่อาจทำการคัดลอกเว็บไซต์ได้ ผู้ที่เพียงแต่พยายามทำงานให้เสร็จสิ้นมักประสบปัญหาในสถานการณ์เช่นนี้

ด้วยการใช้พรอกซีหลายตัว โดยเฉพาะอย่างยิ่งที่ช่วยปกปิดที่อยู่ IP ที่แท้จริง ผู้ใช้สามารถหลีกเลี่ยงนักล่าภัยคุกคามไม่ให้มองเห็นกิจกรรมของพวกเขาได้

นอกจากนี้ บันทึกของพวกเขาไม่ได้ทำให้เกิดธงสีแดงสำหรับนักล่าเหล่านี้ เนื่องจากไม่มีที่อยู่ IP เดียวสำหรับกิจกรรมทั้งหมดของพวกเขา

ในการดำเนินการนี้ คุณจะต้องมีพรอกซีคุณภาพสูงซึ่งดูเหมือนว่าถูกต้องตามกฎหมายสำหรับซอฟต์แวร์ค้นหาภัยคุกคาม เพื่อตอบคำถามของคุณ ซอฟต์แวร์ตามล่าภัยคุกคามนั้นเป็นโปรแกรมที่ใช้โปรโตคอลและการวิเคราะห์เพื่อตามล่าภัยคุกคาม

ข้อมูลน่าสนใจเพิ่มเติม  

คาชิช แบ๊บเบอร์
ผู้เขียนนี้ได้รับการยืนยันใน BloggersIdeas.com

Kashish สำเร็จการศึกษาจาก B.Com ซึ่งปัจจุบันติดตามความหลงใหลในการเรียนรู้และเขียนเกี่ยวกับ SEO และบล็อก ด้วยการอัปเดตอัลกอริทึมของ Google ใหม่ทุกครั้ง เธอจึงเจาะลึกรายละเอียด เธอกระตือรือร้นที่จะเรียนรู้อยู่เสมอและรักที่จะสำรวจทุกการเปลี่ยนแปลงของการอัปเดตอัลกอริทึมของ Google และเจาะลึกเนื้อหาสำคัญเพื่อทำความเข้าใจวิธีการทำงาน ความกระตือรือร้นของเธอในหัวข้อเหล่านี้สามารถเห็นได้จากงานเขียนของเธอ ทำให้ข้อมูลเชิงลึกของเธอมีทั้งข้อมูลและการมีส่วนร่วมสำหรับทุกคนที่สนใจในภูมิทัศน์ของการเพิ่มประสิทธิภาพกลไกค้นหาและศิลปะของการเขียนบล็อกที่พัฒนาอยู่ตลอดเวลา

การเปิดเผยข้อมูลพันธมิตร: เพื่อความโปร่งใสอย่างสมบูรณ์ – ลิงก์บางลิงก์บนเว็บไซต์ของเราเป็นลิงก์พันธมิตร หากคุณใช้ลิงก์เหล่านั้นในการซื้อ เราจะได้รับค่าคอมมิชชันโดยไม่มีค่าใช้จ่ายเพิ่มเติมสำหรับคุณ (ไม่มีเลย!)

กระทู้ที่เกี่ยวข้อง

แสดงความคิดเห็น