April 25, 2024

Language:

ស្វែងយល់អំពី Threat Intelligence Platform(TIP)

១. ព័ត៌មានទូទៅ

Threat Intelligence Platform (TIP) គឺជាដំណោះស្រាយបច្ចេកវិជ្ជាមួយដែលប្រមូលផ្តុំ និងរៀបចំទិន្នន័យ ការគំរាមកំហែងពីប្រភព និងទម្រង់ជាច្រើន។ ជំនួយផ្ដល់ឱ្យក្រុមសន្តិសុខដោយផ្តល់នូវព័ត៌មានអំពីមេរោគដែលគេស្គាល់ និងការគំរាមកំហែងផ្សេងទៀត ក្នុងនោះមានការកំណត់អត្តសញ្ញាណការគំរាមកំហែង ការស៊ើបអង្កេត និងការឆ្លើយតបប្រកបដោយប្រសិទ្ធភាព និងត្រឹមត្រូវ។ អនុញ្ញាតឱ្យអ្នកក្រុមអ្នកវិភាគទិន្នន័យងាយស្រួលធ្វើការវិភាពផ្នែកសុវត្ថិភាពជាជាងចំណាយពេលវេលារបស់ពួកគេក្នុងការប្រមូល និងគ្រប់គ្រងទិន្នន័យ។ ជាងនេះទៅទៀត TIP អនុញ្ញាតឱ្យក្រុមស៊ើបការណ៍សម្ងាត់ និងសន្តិសុខចែករំលែកយ៉ាងងាយស្រួលនូវទិន្នន័យចារកម្មគំរាមកំហែងជាមួយអ្នកពាក់ព័ន្ធ និងប្រព័ន្ធសុវត្ថិភាពផ្សេងទៀត។ TIP អាច​ត្រូវ​បាន​ដាក់​ឱ្យ​ប្រើ​ជា Software-as-a-service (SaaS) ឬ​ជា​ដំណោះ​ស្រាយ​នៅ​នឹងកន្លែង ។

. តើអ្វីទៅជា Threat Intelligence Platform និងហេតុអ្វីបានជាក្រុមហ៊ុនត្រូវការ?

Threat Intelligence គឺជាទិន្នន័យ ឬចំណេះដឹងទផ្នែកបច្ចេកទេស ដែលអាច​ឱ្យមនុស្សអាចធ្វើការព្យាករណ៍អំពីការគំរាមកំហែងនាពេលអនាគត់ ៖

  • ស្វែងរក កំណត់អត្តសញ្ញាណ និងស៊ើបអង្កេតការគំរាមកំហែងសុវត្ថិភាពដែលអាចកើតមានពីការវាយប្រហារ តួអង្គគំរាមកំហែង និងភស្តុតាងនៃឧប្បត្តិហេតុ (IOCs) ។
  • ស្វែងយល់ពីបរិបទទូលំទូលាយ និងផលប៉ះពាល់នៃការគំរាមកំហែង និងការវាយប្រហារផ្នែកសន្តិសុខសាយប័រ។
  • ផ្តល់ព័ត៌មានដែលទាក់ទងនឹងការគំរាមកំហែង ការឆ្លើយតបឧប្បត្តិហេតុ ការគ្រប់គ្រងហានិភ័យ នាយកប្រតិបត្តិឬអ្នកគ្រប់គ្រង និងក្រុមផ្សេងៗទៀតជាទៀងទាត់។

Threat Intelligence Platform (TIP) អនុញ្ញាតអោយក្រុមការងារ SOC អាចធ្វើការប្រមូលផ្តុំទិន្នន័យគំរាមកំហែងពីគ្រប់ស្ថាប័ននានាដោយបានបំពាក់នៅSensor និងអាចព្យាករណ៍អំពីការគំរាមកំហែងបានល្អប្រសើរជាងមុន។ ទោះជាយ៉ាងណាក៏ដោយ ដោយសារទិន្នន័យចារកម្មគំរាមកំហែងជាញឹកញាប់បានមកពីប្រភពរាប់រយ ការប្រមូលផ្តុំព័ត៌មាននេះដោយដៃគឺត្រូវចំណាយពេលវេលាច្រើន ដូចនេះ Threat Intelligence Platform ត្រូវស្វ័យប្រវត្តិកម្ម។ នៅក្នុងមជ្ឈមណ្ឌលប្រតិបត្តិការសន្តិសុខភាគច្រើន (SOCs) Threat Intelligence Platform គឺជាមុខងារមួយសំខាន់ ដែលអង្គភាព ឬក្រុមហ៊ុនធំៗតែងតែយកចិត្តទុកដាក់ក្នុងការប្រើប្រាស់។

. ហេតុអ្វីបានជាក្រុមហ៊ុនត្រូវការ Threat Intelligence Platform

កាលពីមុន ក្រុមការងារសន្តិសុខសាយប័របានប្រើប្រាស់ពីឧបករណ៍ជាច្រើនដើម្បីប្រមូល និងពិនិត្យទិន្នន័យចារកម្មពីការគំរាមកំហែងដោយដៃពីប្រភពផ្សេងៗគ្នា ក្នុងនោះមានការកំណត់អត្តសញ្ញាណ និងឆ្លើយតបទៅនឹងការគំរាមកំហែងផ្នែកសុវត្ថិភាព និងការចែករំលែកព័ត៌មានសម្ងាត់គំរាមកំហែងជាមួយអ្នកពាក់ព័ន្ធផ្សេងទៀត (ជាធម្មតាតាមរយៈអ៊ីមែល សៀវភៅបញ្ជី ឬ វិបផតថលអនឡាញ) ។

ដោយសារតែការវាយប្រហារមានការកើនឡើងច្រើន វិធីសាស្រ្តនេះក៏ឈប់ដំណើរការ៖

  • សព្វថ្ងៃនេះ ក្រុមហ៊ុនកំពុងប្រមូលទិន្នន័យយ៉ាងច្រើនក្នុងទម្រង់ផ្សេងៗគ្នា ដូចជា STIX/TAXII, JSON, XML, PDF, CSV, email ជាដើម។
  • ចំនួន និងប្រភេទនៃការគំរាមកំហែងផ្នែកសុវត្ថិភាព (ពីតួអង្គព្យាបាទ មេរោគ ឆបោក botnets ការវាយប្រហារបដិសេធសេវាកម្ម (DDoS) មេរោគ ransomware ។ល។) បន្តកើនឡើងច្រើន និង កាន់តែទំនើប។
  • ភស្តុតាងនៃឧប្បត្តិហេតុរាប់លានត្រូវបានកើនឡើងជារៀងរាល់ថ្ងៃ។
  • ក្រុមហ៊ុនត្រូវឆ្លើយតបទៅនឹងការគំរាមកំហែងផ្នែកសន្តិសុខសាយប័រលឿនជាងអ្វីដែលពួកគេធ្លាប់បានធ្វើកាលពីអតីតកាល ដើម្បីការពារការខូចខាតដែលរីករាលដាល។

កត្តាទាំងអស់នេះហើយបណ្តាលឱ្យក្រុមការងារសន្តិសុខសាយប័រជួបនៅផលវិបាកក្នុងការដោះស្រាយនិងបែកចែកព័ត៌មានមួយណាដែលត្រឹមត្រូវ៖ 1) ទិន្នន័យណាដែលពាក់ព័ន្ធ និងមានប្រយោជន៍បំផុតសម្រាប់ក្រុមហ៊ុនរបស់ពួកគេ ដូចនេះពួកគេអាចវិភាគ និងកំណត់សុវត្ថិភាពនៃការគំរាមកំហែង; និង 2) កាបែងចែកព័ត៌មាននៃការគំរាមកំហែងពិតប្រាកដ ឬមិនពិត ដូច្នេះពួកគេអាចផ្តោតពេលវេលារបស់ពួកគេទៅតាមនោះ។

ក្រុមការងារសន្តិសុខសាយប័រគួរតែធ្វើ៖

  • ត្រួតពិនិត្យសកម្មភាពសំខាន់ៗផ្សេងទៀតដែលទាក់ទងនឹងសន្តិសុខ ដូចជាការធ្វើផែនការសន្តិសុខ ការត្រួតពិនិត្យ មតិកែលម្អ ការឆ្លើយតប និងដំណោះស្រាយ។
  • បន្តផ្តល់ទិន្នន័យចារកម្មគំរាមកំហែងចុងក្រោយបំផុតដល់ភាគីពាក់ព័ន្ធ និងប្រព័ន្ធសុវត្ថិភាពផ្សេងទៀត។

វាមិនពិបាកក្នុងការមើលពីរបៀបដែលវិធីសាស្រ្តប្រពៃណីក្នុងការប្រមូលផ្តុំ និងការចងក្រងព័ត៌មានសម្ងាត់គំរាមកំហែងគឺហួសសម័យ គ្មានប្រសិទ្ធភាព និងមិនអាចធ្វើមាត្រដ្ឋានបានទេ។

. តម្លៃនៃ Threat Intelligence Platform

តាមការប្រៀបធៀបរបស់ក្រុមការងារThreat Intelligence ៖

  • ធ្វើស្វ័យប្រវត្តិកម្ម សម្រួល និងសម្រួលដំណើរការទាំងមូលនៃការស្រាវជ្រាវ ប្រមូល ប្រមូលផ្តុំ និងរៀបចំទិន្នន័យស៊ើបការណ៍គំរាមកំហែង ក៏ដូចជាការធ្វើឱ្យមានលក្ខណៈធម្មតា បំបាត់ការបង្ខូច និងធ្វើឱ្យទិន្នន័យនោះប្រសើរឡើង។
  • តាមដាន និងស្វែងរកយ៉ាងបានឆាប់រហ័ស និងឆ្លើយតបទៅនឹងការគំរាមកំហែងផ្នែកសុវត្ថិភាពដែលអាចកើតមានក្នុងពេលវេលាជាក់ស្តែង។
  • ទទួលបានព័ត៌មានសំខាន់ៗដូចជា ព័ត៌មានលម្អិតអំពីហានិភ័យសុវត្ថិភាពបច្ចុប្បន្ន និងអនាគត ការគំរាមកំហែង ការវាយប្រហារ និងភាពងាយរងគ្រោះ ក៏ដូចជាព័ត៌មានអំពីសត្រូវគំរាមកំហែង និងយុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធី (TTPs) របស់ពួកគេ។
  • រៀបចំបង្កើនការឆ្លើយតបឧប្បត្តិហេតុសន្តិសុខសាយប័រ។
  • ចែករំលែកទិន្នន័យចារកម្មគំរាមកំហែងជាមួយអ្នកពាក់ព័ន្ធផ្សេងទៀតតាមរយៈផ្ទាំងគ្រប់គ្រង ការជូនដំណឹង របាយការណ៍ជាដើម។
  • បន្តផ្តល់ទិន្នន័យចារកម្មគំរាមកំហែងចុងក្រោយបំផុតដល់ប្រព័ន្ធសុវត្ថិភាព ដូចជាដំណោះស្រាយព័ត៌មានសុវត្ថិភាព និងការគ្រប់គ្រងព្រឹត្តិការណ៍ (SIEM) ឧបករណ៍endpoints ជញ្ជាំងភ្លើងfirewalls កម្មវិធី (APIs) ប្រព័ន្ធការពារការឈ្លានពាន (IPSs) និងផ្សេងៗទៀត។

. របៀបដែលក្រុមការងារ Threat Intelligence ធ្វើការជាមួយក្រុមផ្សេងទៀត

អត្ថប្រយោជន៏សំខាន់របស់ក្រុមការងារ Threat Intelligence គឺស៊ើបការណ៍សម្ងាត់អំពីការគំរាមកំហែងដោយប្រើប្រាស់ TIP ផ្តល់នូវលំហូរការងារ និងដំណើរការដែលភ្ជាប់មកជាមួយ ការចែករំលែកទិន្នន័យស៊ើបការណ៍គំរាមកំហែងជាមួយក្រុមផ្សេងទៀតដូចជា៖

  • អ្នកវិភាគប្រើប្រាស់ទិន្នន័យនោះ ដើម្បីស្វែងរក ផ្ទៀងផ្ទាត់ ស៊ើបអង្កេត និងផ្តល់អាទិភាពដល់ការគំរាមកំហែង។
  • ក្រុម SOC ដែលត្រួតពិនិត្យប្រតិបត្តិការសន្តិសុខប្រចាំថ្ងៃរបស់ក្រុមហ៊ុន និងឆ្លើយតបទៅនឹងការគំរាមកំហែង។ ក្រុមនេះអាចប្រើ TIP ដើម្បីធ្វើស្វ័យប្រវត្តិកម្មកិច្ចការទម្លាប់ដូចជា ការពង្រឹងទិន្នន័យ ការដាក់ពិន្ទុ និងធ្វើសមាហរណកម្ម។
  • នាយកប្រតិបត្តិ និងអ្នកគ្រប់គ្រងអាចប្រើ TIP ដើម្បីមើលរបាយការណ៍ និងទទួលបានព័ត៌មានអំពីហានិភ័យសុវត្ថិភាព ការគំរាមកំហែង និងការវាយប្រហារ។

ប្រសិនបើមានការវាយប្រហារផ្នែកសន្តិសុខកើតឡើង Threat Intelligence អាចជូនដំណឹងភ្លាមៗ សម្របសម្រួល និងសហការជាមួយភាគីពាក់ព័ន្ធផ្សេងទៀតលើវិធានការតបតសមស្រប។

. ឯកសារពាក់ព័ន្ធ

  • – https://www.paloaltonetworks.com/cyberpedia/what-is-a-threat-intelligence-
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.