จาก OSINT สู่ Threat Intelligence: อีกกุญแจสำคัญสู่ความมั่นคงไซเบอร์

ในปัจจุบันภัยคุกคามหรือการโจมตีทางไซเบอร์มีมาให้เห็นในหลากหลายรูปแบบ ไม่ว่าจะเป็นการค้นพบช่องโหว่จนนำไปสู่การเข้ายึดครองรระบบ หรือการใช้เทคนิคในการหลอกล่อเพื่อขโมยข้อมูลหรือทำธุรกรรมใด ๆ เพราะฉะนั้นการรักษาความปลอดภัยทางไซเบอร์ (Cybersecurity) เป็นสิ่งที่ทุกองค์กรต้องให้ความสำคัญ โดยความพยายามในการป้องกันมักเริ่มต้นจากการรวบรวมข้อมูลภัยคุกคาม (Threat Data) ซึ่ง Open Source Intelligence หรือ OSINT หรือข้อมูลข่าวกรองจากแหล่งเปิดเป็นหนึ่งในเครื่องมือหลักที่ถูกนำมาใช้

แต่คำถามต่อมาคือ OSINT เพียงพอต่อการป้องกันภัยคุกคามทางไซเบอร์หรือไม่? คำตอบคือ ไม่เสมอไป เพราะโลกไซเบอร์มีการเปลี่ยนแปลงอยู่เสมอ นี่คือจุดที่ Threat Intelligence (TI) เข้ามาเติมเต็มและกลายเป็นกุญแจสำคัญในการเสริมความสามารถขององค์กรให้แข็งแกร่งยิ่งขึ้น

OSINT: ก้าวแรกของการสำรวจภัยคุกคาม

Open-source intelligence (OSINT) คือ การรวบรวมและวิเคราะห์ข้อมูลที่รวบรวมจากแหล่งข้อมูลที่เปิดเผยต่อสาธารณะ และสามารถเข้าถึงได้โดยถูกต้องตามกฎหมาย ซึ่งข้อมูลเหล่านี้มีที่มาจากแหล่งต่าง ๆ เช่น เว็บไซต์ โซเชียลมีเดีย ฐานข้อมูลออนไลน์ สื่อสิ่งพิมพ์ และแหล่งข้อมูลที่เป็นสาธารณะอื่น ๆ แต่ข้อมูลที่พบมักเป็นข้อมูลดิบที่มีความกระจัดกระจาย ไม่มีโครงสร้าง จึงต้องมีการจัดเรียงหรือประมวลข้อมูลก่อนนำไปใช้ต่อ

Figure 1: OSINT

ตัวอย่าง OSINT Framework ที่สามารถเข้าถึงและสามารถใช้งานได้ฟรี ดังภาพ

Figure 2: OSINT Framework

ประโยชน์ของการใช้ OSINT Framework มีอยู่ดังนี้

• ค่าใช้จ่ายต่ำ: การใช้งาน OSINT Framework ไม่จำเป็นต้องลงทุนในเครื่องมือหรือทรัพยากรมากนัก เพราะข้อมูลส่วนใหญ่ได้รับการเปิดเผยสู่สาธารณะและสามารถเข้าถึงได้ฟรี
• เข้าถึงข้อมูลที่หลากหลาย: OSINT จะรวบรวมข้อมูลจากหลากหลายแหล่ง และสามารถนำไปใช้ในการวิเคราะห์แนวโน้มของภัยคุกคามได้
• ไม่จำกัดขอบเขต: สามารถเข้าถึงข้อมูลที่เป็นสาธารณะหรือถูกเปิดเผยแล้วได้จากทั่วโลก

แต่ก็มีข้อจำกัดอยู่หลายประการ ดังนี้

• ข้อมูลมีปริมาณมหาศาล: การจัดการกับข้อมูลจำนวนมากที่มาจากแหล่งต่าง ๆ อาจทำให้กระบวนการคัดกรองและวิเคราะห์ข้อมูลต้องใช้เวลามากขึ้น
• ความน่าเชื่อถือของข้อมูล: มีความเสี่ยงที่ข้อมูลจะถูกบิดเบือนหรือข้อมูลมีความล้าสมัยจนเกินไป รวมถึงบางข้อมูลยังขาดความเฉพาะเจาะจงเชิงลึก ซึ่งจะส่งผลด้านความน่าเชื่อถือของข้อมูล
• การละเมิดความเป็นส่วนตัว: การใช้ข้อมูลจากแหล่งสาธารณะอาจมีความเสี่ยงในการละเมิดความเป็นส่วนตัวของบุคคลหรือองค์กร

จาก OSINT สู่ Threat Intelligence: การยกระดับความปลอดภัย

OSINT Framework ทำหน้าที่เป็นตัวช่วยในด่านแรกของการตรวจจับภัยคุกคาม โดยจะช่วยในการรวบรวมข้อมูลพื้นฐานต่าง ๆ แต่การตอบสนองต่อภัยคุกคามในระดับที่องค์กรต้องการจำเป็นต้องเป็นเครื่องมือที่มีความเฉพาะเจาะจงมากกว่า เพื่อทำความเข้าใจและวิเคราะห์ข้อมูลจนนำไปสู่การป้องกันภัยคุกคามอย่างมีประสิทธิภาพ นั่นคือ บทบาทและการเข้ามาสู่ของ Threat Intelligence (TI)

Threat Intelligence (TI) เป็นอีกหนึ่งกุญแจสำคัญที่ช่วยให้องค์กรก้าวข้ามข้อจำกัดของ OSINT ได้โดย TI ไม่เพียงแค่รวบรวมข้อมูลเชิงรุก แต่ยังวิเคราะห์และแปลงข้อมูลเหล่านั้นให้เป็น ข้อมูลที่เฉพาะเจาะจงและสามารถใช้งานได้จริง เพื่อนำไปสู่การตอบสนองที่มีประสิทธิภาพ

หลักการทำงานของ Threat Intelligence

• เก็บรวบรวมข้อมูล: TI จะเริ่มต้นด้วยการเก็บรวบรวมข้อมูลจากแหล่งข้อมูลหลาย ๆ แหล่ง รวมถึงแหล่งข้อมูลจาก OSINT Framework และโดยเฉพาะแหล่งข้อมูลจาก Dark Web ต่าง ๆ
• วิเคราะห์และแปลงข้อมูล: หลังจากรวบรวมข้อมูลมาได้แล้ว จะทำการวิเคราะห์ข้อมูลที่ได้รับและแปลงเป็นข่าวกรองที่นำไปใช้งานหรือปฏิบัติได้
• การประมวลผลและตอบสนองอัตโนมัติ: การประมวลผลข้อมูลภัยคุกคามและแจ้งเตือนเมื่อพบรวมถึงการตอบสนองเพื่อป้องกันในทันทีหรืออัตโนมัติ รวมไปถึงนำไปใช้ในการกำหนดกลยุทธ์การตอบสนองต่อเหตุการณ์ (Incident Response)
• การปรับปรุงอย่างต่อเนื่อง: ข้อมูลข่าวกรองภัยคุกคามในเชิงลึกที่ได้จากการวิเคราะห์จะถูกนำมาช่วยปรับปรุงกลยุทธ์และเพิ่มประสิทธิภาพกลไกการป้องกันมากขึ้น นอกจากนี้จะถูกนำมาปรับปรุงตัวเครื่องมือ Ti เพื่อให้มีประสิทธิภาพมากขึ้น

จุดเด่นของ Threat Intelligence (TI)

• ข้อมูลที่พบจะได้รับการวิเคราะห์หรือประมวลผล: TI มีความสามารถในการวิเคราะห์ข้อมูลข่าวกรองจำนวนมากในเชิงลึก ช่วยให้องค์กรสามารถตอบสนองต่อภัยคุกคามก่อนที่จะเกิดการโจมตี รวมไปถึงนำข้อมูลไปปรับใช้เพื่อสร้างกลยุทธ์ในการป้องกันต่อไป
• ข้อมูลมาจากแหล่งที่เชื่อถือได้: TI จะสืบค้นและรวบรวมข้อมูลจากแหล่งที่เชื่อถือได้ ก่อนนำมาวิเคราะห์ ประมวลผล เพื่อดำเนินการต่อไป

ซึ่งทางดาต้าฟาร์ม มี Threat Intelligence Platform (TIP) มานำเสนอครับ คือ “Personar — Data Leak Monitoring Service” ที่สามารถตรวจสอบและเฝ้าระวังข้อมูลรั่วไหลจากแหล่งข้อมูลต่าง ๆ ทั่วโลก เช่น Dark Web, Social Media, Public Database เป็นต้น ซึ่งจะมุ่งเน้นไปที่ข้อมูลสำคัญที่อาจส่งผลกระทบต่อองค์กรในเชิง ธุรกิจ หรือ บุคคลต่าง ๆ ได้

Figure 3: Personar Threat Intelligence

การทำงานของระบบ Personar

1. ระบบตรวจสอบและเฝ้าระวัง (Data Leak Monitoring)

โดย “Personar” ถูกพัฒนาในรูปแบบของ Artificial Intelligence หรือ AI ในการช่วยตรวจจับและวิเคราะห์ข้อมูลที่รั่วไหลอย่างมีประสิทธิภาพ นอกจากนี้ “Personar” ยังรองรับการตรวจสอบข้อมูลจากหลากหลายประเภท เช่น ข้อมูลระบุตัวตนของบริษัทและส่วนบุคคล(Corporate or Personally Information), ข้อมูลการเงิน(Financial Data), ข้อมูลรหัสผ่านในการเข้าสู่ระบบ(Credentials)

2. ระบบการแจ้งเตือนขั้นสูง (Advance Alert System)

ระบบการแจ้งเตือนของ “Personar” จะแจ้งเตือนการรั่วไหลของข้อมูลในรูปแบบเรียลไทม์ พร้อมทั้งจัดระดับความรุนแรงและวิเคราะห์ผล เพื่อให้องค์กรสามารถตอบสนองได้อย่างทันท่วงที

3. ที่สำคัญที่สุด “Personar” รองรับการใช้งานภาษาไทยในทุกฟีเจอร์ รวมถึงมุ่งเน้นให้ความสำคัญกับข้อมูลของคนไทยเป็นหลัก โดยจะทำการตรวจสอบฐานข้อมูลรั่วไหลจากทั้งในและนอกประเทศเพื่อให้ได้รับข้อมูลที่ครอบคลุมที่สุด

อ้างอิง

• https://en.wikipedia.org/wiki/Open-source_intelligence
• https://osintframework.com/
• https://www.paloaltonetworks.com/cyberpedia/what-is-a-threat-intelligence-platform#:~:text=Threat%20intelligence%20platforms%20(TIPs)%20provide,and%20mitigate%20cyber%20risks%20effectively.