เนื้อหานี้ได้รับการสนับสนุนโดย Booz Allenเจ้าหน้าที่อาวุโสของสหรัฐฯ เรียกร้องให้องค์กรต่าง ๆ ยกระดับความปลอดภัยทางไซเบอร์และเตรียมพร้อมสำหรับการโจมตีทางไซเบอร์ที่อาจก่อกวน วิธีหนึ่งสำหรับเกือบทุกหน่วยงานในการปรับปรุงการป้องกันทางไซเบอร์คือการมีส่วนร่วมในการตามล่าภัยคุกคามเชิงรุกและต่อเนื่อง“ไม่มีเหตุผลที่จะต้องรอที่จะเริ่มการตามล่าภัยคุกคาม” Mike Saxton ผู้อำนวยการฝ่ายการตามล่าภัยคุกคามของรัฐบาลกลางและนิติวิทยาศาสตร์ดิจิทัลและการตอบสนองต่อเหตุการณ์ที่ Booz Allen กล่าว “การตามล่าภัยคุกคามไม่จำเป็นต้องมีสภาพแวดล้อมที่
สมบูรณ์แบบ ไม่ใช่สถานะที่คุณบรรลุแล้วคุณดำเนินการ
คุณสามารถทำการล่าภัยคุกคามได้ตลอดเวลา และยิ่งเอเจนซี่เริ่มต้นเร็วเท่าไร พวกเขาจะยิ่งเข้าใจว่ามันเข้ากับกลยุทธ์โดยรวมได้ดีเพียงใด และพวกเขาจะสามารถเข้าใจสภาพแวดล้อมและท่าทางการรักษาความปลอดภัยได้ดีขึ้น”
ทุกหน่วยงานจะมีวิธีการที่แตกต่างกันในการตามล่าภัยคุกคาม ขึ้นอยู่กับความต้องการและโครงสร้างองค์กร แต่ในทุกสภาพแวดล้อม การทำงานเชิงรุกเป็นกุญแจสำคัญที่จะทำให้มันออกมาดี นั่นหมายถึงไม่เพียงแค่การตรวจสอบเชิงรุกและการตามล่าบนเครือข่าย แต่ยังร่วมมือกับหลายองค์กรเพื่อแบ่งปันข่าวกรองภัยคุกคาม ตัวบ่งชี้ และการสังเกตการณ์
“องค์ประกอบของการแจกจ่ายทำหน้าที่ในการเสริมพลังให้กับผู้อื่น หากย้อนเวลากลับไปหลายปี เมื่อฐานอุตสาหกรรมกลาโหมต้องเผชิญกับข้อเท็จจริงที่ว่ามีเครือข่ายในต่างประเทศ ผู้รับเหมากลาโหมรายใหญ่เริ่มทำงานร่วมกันเพื่อแบ่งปันข้อมูลจำนวนมากนี้” เบรตต์กล่าว Scarborough หัวหน้าการเติบโตของพอร์ตโฟลิโอสำหรับแพลตฟอร์ม National Cyber ของ Booz Allen “และในที่สุดก็เติบโตเป็นโครงสร้างที่เป็นทางการมากขึ้นโดยมีผู้เข้าร่วมจากรัฐบาลกลางและอุตสาหกรรม: สภาพแวดล้อมการแบ่งปันข้อมูลความร่วมมือด้านการป้องกัน และตอนนี้ความร่วมมือด้านการป้องกันทางไซเบอร์ร่วม เราเห็นการเปลี่ยนแปลงในวันนี้โดยที่ CISA มีบทบาทเป็นผู้นำอย่างแท้จริงในการพยายามดึงชุมชนที่กว้างขึ้นนอกเหนือจาก DIB เพื่อทำสิ่งเดียวกันหลายอย่าง”
สถานะปัจจุบันของการตามล่าภัยคุกคามคือการเจริญเต็ม
ที่ของโปรแกรมปฏิบัติการด้านความปลอดภัย แต่ทีมปฏิบัติการด้านความปลอดภัยกำลังประสบปัญหาจากความเหนื่อยล้าในการแจ้งเตือน การหมุนเวียนสูง สถานะที่ไม่ชัดเจน และไม่มีเวลาเชื่อมโยงข้อมูลข่าวกรอง เนื่องจากศัตรูเจาะเครือข่ายอย่างต่อเนื่อง ทีมปฏิบัติการด้านความปลอดภัยจึงใช้เวลาทั้งหมดไปกับการป้องกันแบบวันต่อวัน และแทบไม่ได้รับโอกาสและเวลาในการสำรวจสิ่งที่ลึกลงไปกว่านี้
การล่าภัยคุกคามเกิดขึ้นจากสถานการณ์นั้น และเมื่อนักล่าภัยคุกคามทำภารกิจ พวกเขามีสองทางเลือกให้เลือก: พวกเขาสามารถส่งต่อให้กับทีมปฏิบัติการด้านความปลอดภัยที่ทำงานหนักเกินไป หรือพวกเขาสามารถรวบรวมข้อมูลเพิ่มเติม นั่นคือที่มาของข่าวกรองภัยคุกคาม นิติวิทยาศาสตร์ดิจิทัล และการตอบสนองเหตุการณ์ พวกเขาใส่เครื่องมืออีกสองสามอย่างในกล่องเครื่องมือของนักล่าภัยคุกคาม ยิ่งมีข้อมูลมากเท่าใด ก็ยิ่งสามารถทำหน้าที่ได้ดียิ่งขึ้นในอนาคต ผลที่ได้คือทีม Federal Threat Hunt Team ของ Booz Allen เห็นอัตราบวกจริงเฉลี่ย 80% เทียบกับอัตราบวกจริง 30% จากทีม SOC เนื่องจากความสามารถในการมุ่งเน้นไปที่เหตุการณ์เฉพาะเจาะจงมากกว่าการป้องกันภัยคุกคามที่เกิดขึ้นทันที
“เมื่อสิ้นสุดภารกิจการตามล่า คุณสามารถมีความสามารถในการรวบรวมข้อมูลทั้งหมดของคุณไว้ในที่เดียว และนั่นทำให้คุณไปถึงจุดหนึ่ง แต่ไม่อาจปิดการตามล่าหรือปิดคดีได้” แซกซ์ตันกล่าว “ตามเนื้อผ้า ข้อมูลที่คุณต้องการเพื่อจบกรณีนั้นอาจไม่ใช่หรือเป็นไปได้มากที่สุด โดยปกติแล้วจะไม่ใช่ข้อมูลที่กำลังเข้ามาในเครื่องมือข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (SIEM) ของคุณ ดังนั้น หากคุณดำเนินการตามล่าภัยคุกคามบน Data Lake หรือภายใน SIEM ของคุณ และมันแจ้งให้คุณทราบว่ามีสิ่งเลวร้ายเกิดขึ้น บางครั้งคุณอาจต้องเข้าถึงอุปกรณ์หรือระบบนั้น EDR เป็นวิธีที่ยอดเยี่ยมที่คุณสามารถออกไปและเริ่มทำสิ่งต่างๆ เช่น การทิ้งหน่วยความจำหรือแสดงกระบวนการที่กำลังทำงานอยู่ทั้งหมด”
Credit : สล็อตยูฟ่าเว็บตรง
