Trace Id is missing
ข้ามไปที่เนื้อหาหลัก
Microsoft Security

การไล่ล่าภัยคุกคามไซเบอร์คืออะไร

การไล่ล่าภัยคุกคามไซเบอร์คือกระบวนการค้นหาในเชิงรุกภัยคุกคามที่ไม่รู้จักหรือตรวจไม่พบทั่วทั้งเครือข่าย อุปกรณ์ปลายทาง และข้อมูลขององค์กร

การไล่ล่าภัยคุกคามไซเบอร์ทํางานอย่างไร

การไล่ล่าภัยคุกคามไซเบอร์ใช้นักล่าภัยคุกคามเพื่อค้นหาภัยคุกคามและการโจมตีที่อาจเกิดขึ้นภายในระบบหรือเครือข่าย การทําเช่นนั้นช่วยให้สามารถตอบสนองได้คล่องตัวและมีประสิทธิภาพต่อการโจมตีทางไซเบอร์ที่ดําเนินการโดยมนุษย์และมีความซับซ้อนมากขึ้น ในขณะที่วิธีการรักษาความปลอดภัยทางไซเบอร์แบบดั้งเดิมระบุการละเมิดความปลอดภัยหลังจากเกิดขึ้นจริง การไล่ล่าภัยคุกคามไซเบอร์ดําเนินการภายใต้สมมติฐานว่ามีการละเมิดเกิดขึ้น และสามารถระบุ ปรับตัว และตอบสนองต่อภัยคุกคามที่อาจเกิดขึ้นได้ทันทีเมื่อตรวจพบ

ผู้โจมตีที่มีความซับซ้อนสามารถละเมิดองค์กรและยังคงสามารถหลบซ่อนอยู่ได้เป็นระยะเวลานาน เช่น วัน สัปดาห์ หรือนานกว่านั้น การเพิ่มการไล่ล่าภัยคุกคามไซเบอร์ไปยังโปรไฟล์เครื่องมือรักษาความปลอดภัยที่มีอยู่ของคุณ เช่น การตรวจหาและการตอบสนองที่อุปกรณ์ปลายทาง (EDR) และ Security Information and Event Management (SIEM) สามารถช่วยคุณป้องกันและปรับแก้การโจมตีที่อาจไม่สามารถตรวจพบได้โดยเครื่องมือรักษาความปลอดภัยอัตโนมัติ

การไล่ล่าภัยคุกคามอัตโนมัติ

นักล่าภัยคุกคามทางไซเบอร์สามารถทำให้กระบวนการบางอย่างเป็นอัตโนมัติได้โดยใช้การเรียนรู้ของเครื่อง ระบบอัตโนมัติ และ AI การใช้ประโยชน์จากโซลูชันเช่น SIEM และ EDR สามารถช่วยนักล่าภัยคุกคามในการปรับปรุงขั้นตอนการไล่ล่าโดยการตรวจสอบ การตรวจหา และการตอบสนองต่อภัยคุกคามที่อาจเกิดขึ้น นักล่าภัยคุกคามสามารถสร้างและทําให้คู่มือการวางแผนกลยุทธ์ที่แตกต่างกันสามารถตอบสนองต่อภัยคุกคามที่แตกต่างกันได้โดยอัตโนมัติ ดังนั้นจึงช่วยแบ่งเบาภาระในทีม IT เมื่อใดก็ตามที่มีการโจมตีที่คล้ายกันเกิดขึ้น

เครื่องมือและเทคนิคสําหรับการไล่ล่าภัยคุกคามไซเบอร์

นักล่าภัยคุกคามมีเครื่องมือมากมายให้เลือกใช้ รวมถึงโซลูชัน เช่น SIEM และ XDR ซึ่งออกแบบมาเพื่อทํางานร่วมกัน

  • SIEM: โซลูชันที่รวบรวมข้อมูลจากหลายแหล่งข้อมูลด้วยการวิเคราะห์แบบเรียลไทม์ SIEM สามารถให้ข้อมูลแก่นักล่าภัยคุกคามเกี่ยวกับภัยคุกคามที่อาจเกิดขึ้นได้
  • การตรวจหาและการตอบสนองแบบขยาย (XDR) นักล่าภัยคุกคามสามารถใช้ XDR ซึ่งให้ข่าวกรองเกี่ยวกับภัยคุกคามและการยับยั้งการโจมตีอัตโนมัติ เพื่อให้มองเห็นภัยคุกคามได้มากขึ้น
  • EDR: EDR ซึ่งนอกจากตรวจสอบอุปกรณ์ของผู้ใช้แล้ว ยังให้เครื่องมือที่มีประสิทธิภาพแก่นักล่าภัยคุกคาม ซึ่งให้ข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามที่อาจเกิดขึ้นภายในอุปกรณ์ปลายทางขององค์กรทั้งหมด

การไล่ล่าภัยคุกคามไซเบอร์สามประเภท

โดยทั่วไปแล้วการตรวจหาภัยคุกคามทางไซเบอร์จะใช้หนึ่งในสามรูปแบบต่อไปนี้:

มีโครงสร้าง: ในการไล่ล่าที่มีโครงสร้าง นักล่าภัยคุกคามจะมองหากลยุทธ์ เทคนิค และกระบวนการ (TTP) ที่น่าสงสัยที่บ่งชี้ว่าเป็นภัยคุกคามที่อาจเกิดขึ้น แทนที่จะเข้าไปดูข้อมูลหรือระบบและมองหาผู้ละเมิด ตัวล่าภัยคุกคามจะสร้างสมมติฐานเกี่ยวกับวิธีการของผู้โจมตีที่อาจเกิดขึ้นและทำงานอย่างเป็นระบบเพื่อระบุอาการของการโจมตีนั้น เนื่องจากการไล่ล่าที่มีโครงสร้างเป็นวิธีการเชิงรุกมากขึ้น ผู้เชี่ยวชาญด้าน IT ที่ใช้กลยุทธ์นี้มักจะสามารถสกัดกั้นหรือหยุดผู้โจมตีได้อย่างรวดเร็ว

ไม่มีโครงสร้าง: ในการไล่ล่าที่ไม่มีโครงสร้าง นักล่าภัยคุกคามทางไซเบอร์จะค้นหาตัวบ่งชี้ช่องโหว่ (IoC)  และดําเนินการค้นหาจากจุดเริ่มต้นนี้ เนื่องจากนักล่าภัยคุกคามสามารถย้อนกลับและค้นหาข้อมูลในอดีตสําหรับรูปแบบและเบาะแส การไล่ล่าที่ไม่มีโครงสร้างในบางครั้งสามารถระบุภัยคุกคามที่ไม่ได้ตรวจพบก่อนหน้านี้ซึ่งอาจยังทําให้องค์กรมีความเสี่ยงอยู่

ตามสถานการณ์: การไล่ล่าภัยคุกคามตามสถานการณ์จะจัดลําดับความสําคัญของทรัพยากรหรือข้อมูลเฉพาะภายในระบบนิเวศดิจิทัล หากองค์กรประเมินว่าพนักงานหรือทรัพย์สินบางรายมีความเสี่ยงสูงสุด จะสามารถสั่งให้นักล่าภัยคุกคามทางไซเบอร์มุ่งเน้นความพยายามหรือการป้องกันหรือการแก้ไขไปที่การโจมตีต่อบุคคล ชุดข้อมูล หรืออุปกรณ์ปลายทางที่มีความเสี่ยงเหล่านี้ได้

ขั้นตอนและการใช้งานการไล่ล่าภัยคุกคาม

นักล่าภัยคุกคามทางไซเบอร์มักจะทําตามขั้นตอนพื้นฐานเหล่านี้ในการตรวจสอบและแก้ไขภัยคุกคามและการโจมตี:

  1. สร้างทฤษฎีหรือสมมติฐาน เกี่ยวกับภัยคุกคามที่อาจเกิดขึ้น นักล่าภัยคุกคามอาจเริ่มต้นด้วยการระบุ TTP ทั่วไปของผู้โจมตี
  2. ดําเนินการค้นคว้า นักล่าภัยคุกคามจะตรวจสอบข้อมูล ระบบ และกิจกรรมขององค์กร โซลูชัน SIEM อาจเป็นเครื่องมือที่มีประโยชน์ในขั้นตอนนี้ แล้วรวบรวมและประมวลผลข้อมูลที่เกี่ยวข้อง
  3. ระบุทริกเกอร์ ผลการวิจัยและเครื่องมือรักษาความปลอดภัยอื่นๆ สามารถช่วยให้นักล่าภัยคุกคามแยกแยะจุดเริ่มต้นสําหรับการตรวจสอบของตนได้
  4. ตรวจสอบภัยคุกคาม นักล่าภัยคุกคามใช้เครื่องมือค้นคว้าและการรักษาความปลอดภัยเพื่อตรวจสอบว่าภัยคุกคามนั้นเป็นอันตรายหรือไม่
  5. ตอบสนองและปรับแก้ นักล่าภัยคุกคามดําเนินการเพื่อแก้ไขภัยคุกคาม

ชนิดของภัยคุกคามที่นักล่าภัยคุกคามสามารถตรวจหาได้

การตรวจหาภัยคุกคามทางไซเบอร์มีความสามารถในการระบุภัยคุกคามที่แตกต่างกันมากมาย รวมถึง:

  • มัลแวร์และไวรัส: มัลแวร์ ขัดขวางการใช้งานอุปกรณ์ปกติโดยการเข้าถึงอุปกรณ์ปลายทางโดยไม่ได้รับอนุญาต การโจมตีฟิชชิ่ง สปายแวร์ แอดแวร์ โทรจัน หนอนไวรัส และแรนซัมแวร์เป็นตัวอย่างทั้งหมดของมัลแวร์ ไวรัส ซึ่งเป็นมัลแวร์รูปแบบหนึ่งที่พบบ่อยกว่า ได้รับการออกแบบมาเพื่อรบกวนการทํางานตามปกติของอุปกรณ์โดยการบันทึก ทำให้หยุดชะงัก หรือการลบข้อมูลของอุปกรณ์นั้นก่อนที่จะกระจายไปยังอุปกรณ์อื่นๆ บนเครือข่าย
  • ภัยคุกคามภายใน: ภัยคุกคามภายใน เกิดขึ้นจากบุคคลที่มีสิทธิ์เข้าถึงเครือข่ายขององค์กร ไม่ว่าจะเป็นการกระทําที่เป็นอันตรายหรือพฤติกรรมโดยไม่ได้ตั้งใจหรือโดยประมาท บุคคลภายในองค์กรเหล่านี้จะใช้เครือข่าย ข้อมูล ระบบ หรือสถานที่ขององค์กรในทางที่ผิดหรือก่อให้เกิดความเสียหาย
  • ภัยคุกคามต่อเนื่องขั้นสูง: ผู้ดำเนินการที่มีความซับซ้อนที่ละเมิดเครือข่ายขององค์กรและยังคงไม่พบในช่วงระยะเวลาหนึ่งคือภัยคุกคามต่อเนื่องขั้นสูง ผู้โจมตีเหล่านี้มีทักษะและมักจะมีทรัพยากรที่ดี
    การโจมตีแบบวิศวกรรมสังคม: ผู้โจมตีทางไซเบอร์สามารถใช้การจัดการและการหลอกลวงเพื่อทําให้พนักงานขององค์กรเข้าใจผิดในการให้สิทธิ์การเข้าถึงหรือข้อมูลที่ละเอียดอ่อนแก่ตน การโจมตีแบบวิศวกรรมสังคมทั่วไป ได้แก่ ฟิชชิ่ง การล่อเหยื่อ และสแกร์แวร์

 

แนวทางปฏิบัติในการไล่ล่าภัยคุกคามไซเบอร์

เมื่อใช้โพรโทคอลการตรวจหาภัยคุกคามทางไซเบอร์ในองค์กรของคุณ โปรดคํานึงถึงแนวทางปฏิบัติต่อไปนี้:

  • ให้การมองเห็นองค์กรของคุณทั้งหมดแก่นักล่าภัยคุกคาม นักล่าภัยคุกคามจะประสบความสําเร็จมากที่สุดเมื่อพวกเขาเข้าใจภาพรวม
  • รักษาเครื่องมือรักษาความปลอดภัยเพิ่มเติม เช่น SIEM, XDR และ EDR นักล่าภัยคุกคามทางไซเบอร์พึ่งพาระบบอัตโนมัติและข้อมูลที่ได้รับจากเครื่องมือเหล่านี้เพื่อระบุภัยคุกคามได้รวดเร็วยิ่งขึ้นและมีบริบทที่มากขึ้นเพื่อการแก้ปัญหาที่รวดเร็วยิ่งขึ้น
  • รับข้อมูลอยู่เสมอเกี่ยวกับภัยคุกคามและกลวิธีที่เกิดขึ้นใหม่ล่าสุด ผู้โจมตีและกลยุทธ์ของพวกเขามีการพัฒนาอย่างต่อเนื่อง ตรวจสอบให้แน่ใจว่านักล่าภัยคุกคามของคุณมีทรัพยากรล่าสุดเกี่ยวกับแนวโน้มปัจจุบัน
  • ฝึกอบรมพนักงานเพื่อระบุและรายงานพฤติกรรมที่น่าสงสัย ลดความเป็นไปได้ของการคุกคามจากบุคคลภายในโดยแจ้งให้บุคคลของคุณทราบอยู่เสมอ
  • ใช้การจัดการช่องโหว่เพื่อลดความเสี่ยงโดยรวมขององค์กรของคุณ

เหตุใดการไล่ล่าภัยคุกคามจึงสําคัญสําหรับองค์กร

เนื่องจากผู้ดำเนินการที่เป็นอันตรายมีความซับซ้อนมากขึ้นเรื่อยๆ ในวิธีการโจมตี องค์กรต่างๆ จึงต้องลงทุนในการไล่ล่าภัยคุกคามทางไซเบอร์เชิงรุก การไล่ล่าภัยคุกคามไซเบอร์ที่นำมาเสริมระบบการป้องกันภัยคุกคามแบบตั้งรับมากกว่า ทำให้สามารถปิดช่องว่างด้านความปลอดภัย ทําให้องค์กรสามารถปรับแก้ภัยคุกคามที่อาจไม่สามารถตรวจพบได้ ภัยคุกคามที่เข้มข้นยิ่งขึ้นจากผู้โจมตีที่ซับซ้อนหมายความว่าองค์กรต้องเสริมการป้องกันของตนเพื่อรักษาความน่าเชื่อถือในความสามารถในการจัดการข้อมูลที่ละเอียดอ่อนและลดค่าใช้จ่ายที่เกี่ยวข้องกับการละเมิดความปลอดภัย

ผลิตภัณฑ์เช่น Microsoft Sentinel สามารถช่วยให้คุณนําหน้าภัยคุกคามได้โดยการรวบรวม จัดเก็บ และเข้าถึงข้อมูลในอดีตในระดับคลาวด์ การตรวจสอบที่ปรับปรุงประสิทธิภาพ และทําให้งานทั่วไปเป็นระบบอัตโนมัติ โซลูชันเหล่านี้สามารถให้เครื่องมือที่มีประสิทธิภาพแก่นักล่าภัยคุกคามทางไซเบอร์เพื่อช่วยปกป้ององค์กรของคุณ

เรียนรู้เพิ่มเติมเกี่ยวกับ Microsoft Security

Microsoft Sentinel

มองเห็นและยับยั้งภัยคุกคามทั่วทั้งองค์กรของคุณด้วยการวิเคราะห์การรักษาความปลอดภัยอัจฉริยะ

เรียนรู้เพิ่มเติม

Microsoft Defender Experts for Hunting

ขยายขอบเขตการไล่ล่าภัยคุกคามเชิงรุกให้ครอบคลุมมากกว่าอุปกรณ์ปลายทาง

เรียนรู้เพิ่มเติม

Microsoft Defender Threat Intelligence

ช่วยปกป้ององค์กรของคุณจากผู้ไม่หวังดีและภัยคุกคามสมัยใหม่ เช่น แรนซัมแวร์

เรียนรู้เพิ่มเติม

SIEM และ XDR

ตรวจหา ตรวจสอบ และตอบสนองต่อภัยคุกคามทั่วทั้งทรัพย์สินทางดิจิทัลของคุณ

เรียนรู้เพิ่มเติม

คำถามที่ถามบ่อย

  • ตัวอย่างของการไล่ล่าภัยคุกคามทางไซเบอร์คือ การไล่ล่าตามสมมติฐานที่นักล่าภัยคุกคามระบุกลยุทธ์ เทคนิค และกระบวนการที่น่าสงสัยที่ผู้โจมตีอาจใช้ จากนั้นค้นหาหลักฐานภายในเครือข่ายขององค์กร

  • การตรวจหาภัยคุกคามเป็นแนวทางในการรักษาความปลอดภัยทางไซเบอร์ที่กระตือรือร้นและมักจะเป็นแบบอัตโนมัติ ในขณะที่การไล่ล่าหาภัยคุกคามเป็นแนวทางเชิงรุกและไม่อัตโนมัติ

  • ศูนย์การดำเนินการรักษาความปลอดภัย (SOC) เป็นฟังก์ชันหรือทีมแบบรวมศูนย์ ซึ่งอาจอยู่ในสถานที่หรือจ้างจากภายนอก มีหน้าที่รับผิดชอบในการปรับปรุงเสถียรภาพการรักษาความปลอดภัยทางไซเบอร์ขององค์กร และป้องกัน ตรวจหา และตอบสนองต่อภัยคุกคาม การไล่ล่าภัยคุกคามไซเบอร์เป็นหนึ่งในกลยุทธ์ที่ SOC ใช้เพื่อระบุและปรับแก้ภัยคุกคาม

  • เครื่องมือการไล่ล่าภัยคุกคามไซเบอร์เป็นทรัพยากรซอฟต์แวร์ที่พร้อมใช้งานสําหรับทีม IT และนักล่าภัยคุกคามเพื่อช่วยตรวจหาและแก้ไขภัยคุกคาม ตัวอย่างของเครื่องมือไล่ล่าภัยคุกคาม รวมถึงสิ่งต่างๆ เช่น การป้องกันไวรัสและไฟร์วอลล์ ซอฟต์แวร์ EDR เครื่องมือ SIEM และการวิเคราะห์ข้อมูล

  • วัตถุประสงค์หลักของการไล่ล่าภัยคุกคามไซเบอร์คือ การตรวจหาและแก้ไขภัยคุกคามและการโจมตีที่ซับซ้อนในเชิงรุกก่อนที่จะเป็นอันตรายต่อองค์กร

  • ข่าวกรองภัยคุกคามไซเบอร์ คือข้อมูลและชุดข้อมูลที่ซอฟต์แวร์รักษาความปลอดภัยทางไซเบอร์รวบรวม ซึ่งมักจะเป็นแบบอัตโนมัติ เป็นส่วนหนึ่งของโพรโทคอลความปลอดภัยเพื่อป้องกันการโจมตีทางไซเบอร์ที่ดียิ่งขึ้น การตรวจหาภัยคุกคามเกี่ยวข้องกับการรับข้อมูลที่รวบรวมจากข่าวกรองเกี่ยวกับภัยคุกคามและใช้ข้อมูลดังกล่าวจัดทำสมมติฐานและการดําเนินการเพื่อค้นหาและปรับแก้ภัยคุกคาม

ติดตาม Microsoft Security