ស្វែងយល់អំពី Threat Intelligence Platform(TIP)

១. ព័ត៌មានទូទៅ

Threat Intelligence Platform (TIP) គឺជាដំណោះស្រាយបច្ចេកវិជ្ជាមួយដែលប្រមូលផ្តុំ និងរៀបចំទិន្នន័យ ការគំរាមកំហែងពីប្រភព និងទម្រង់ជាច្រើន។ ជំនួយផ្ដល់ឱ្យក្រុមសន្តិសុខដោយផ្តល់នូវព័ត៌មានអំពីមេរោគដែលគេស្គាល់ និងការគំរាមកំហែងផ្សេងទៀត ក្នុងនោះមានការកំណត់អត្តសញ្ញាណការគំរាមកំហែង ការស៊ើបអង្កេត និងការឆ្លើយតបប្រកបដោយប្រសិទ្ធភាព និងត្រឹមត្រូវ។ អនុញ្ញាតឱ្យអ្នកក្រុមអ្នកវិភាគទិន្នន័យងាយស្រួលធ្វើការវិភាពផ្នែកសុវត្ថិភាពជាជាងចំណាយពេលវេលារបស់ពួកគេក្នុងការប្រមូល និងគ្រប់គ្រងទិន្នន័យ។ ជាងនេះទៅទៀត TIP អនុញ្ញាតឱ្យក្រុមស៊ើបការណ៍សម្ងាត់ និងសន្តិសុខចែករំលែកយ៉ាងងាយស្រួលនូវទិន្នន័យចារកម្មគំរាមកំហែងជាមួយអ្នកពាក់ព័ន្ធ និងប្រព័ន្ធសុវត្ថិភាពផ្សេងទៀត។ TIP អាច​ត្រូវ​បាន​ដាក់​ឱ្យ​ប្រើ​ជា Software-as-a-service (SaaS) ឬ​ជា​ដំណោះ​ស្រាយ​នៅ​នឹងកន្លែង ។

២. តើអ្វីទៅជា Threat Intelligence Platform និងហេតុអ្វីបានជាក្រុមហ៊ុនត្រូវការ?

Threat Intelligence គឺជាទិន្នន័យ ឬចំណេះដឹងទផ្នែកបច្ចេកទេស ដែលអាច​ឱ្យមនុស្សអាចធ្វើការព្យាករណ៍អំពីការគំរាមកំហែងនាពេលអនាគត់ ៖

• ស្វែងរក កំណត់អត្តសញ្ញាណ និងស៊ើបអង្កេតការគំរាមកំហែងសុវត្ថិភាពដែលអាចកើតមានពីការវាយប្រហារ តួអង្គគំរាមកំហែង និងភស្តុតាងនៃឧប្បត្តិហេតុ (IOCs) ។
• ស្វែងយល់ពីបរិបទទូលំទូលាយ និងផលប៉ះពាល់នៃការគំរាមកំហែង និងការវាយប្រហារផ្នែកសន្តិសុខសាយប័រ។
• ផ្តល់ព័ត៌មានដែលទាក់ទងនឹងការគំរាមកំហែង ការឆ្លើយតបឧប្បត្តិហេតុ ការគ្រប់គ្រងហានិភ័យ នាយកប្រតិបត្តិឬអ្នកគ្រប់គ្រង និងក្រុមផ្សេងៗទៀតជាទៀងទាត់។

Threat Intelligence Platform (TIP) អនុញ្ញាតអោយក្រុមការងារ SOC អាចធ្វើការប្រមូលផ្តុំទិន្នន័យគំរាមកំហែងពីគ្រប់ស្ថាប័ននានាដោយបានបំពាក់នៅSensor និងអាចព្យាករណ៍អំពីការគំរាមកំហែងបានល្អប្រសើរជាងមុន។ ទោះជាយ៉ាងណាក៏ដោយ ដោយសារទិន្នន័យចារកម្មគំរាមកំហែងជាញឹកញាប់បានមកពីប្រភពរាប់រយ ការប្រមូលផ្តុំព័ត៌មាននេះដោយដៃគឺត្រូវចំណាយពេលវេលាច្រើន ដូចនេះ Threat Intelligence Platform ត្រូវស្វ័យប្រវត្តិកម្ម។ នៅក្នុងមជ្ឈមណ្ឌលប្រតិបត្តិការសន្តិសុខភាគច្រើន (SOCs) Threat Intelligence Platform គឺជាមុខងារមួយសំខាន់ ដែលអង្គភាព ឬក្រុមហ៊ុនធំៗតែងតែយកចិត្តទុកដាក់ក្នុងការប្រើប្រាស់។

៣. ហេតុអ្វីបានជាក្រុមហ៊ុនត្រូវការ Threat Intelligence Platform

កាលពីមុន ក្រុមការងារសន្តិសុខសាយប័របានប្រើប្រាស់ពីឧបករណ៍ជាច្រើនដើម្បីប្រមូល និងពិនិត្យទិន្នន័យចារកម្មពីការគំរាមកំហែងដោយដៃពីប្រភពផ្សេងៗគ្នា ក្នុងនោះមានការកំណត់អត្តសញ្ញាណ និងឆ្លើយតបទៅនឹងការគំរាមកំហែងផ្នែកសុវត្ថិភាព និងការចែករំលែកព័ត៌មានសម្ងាត់គំរាមកំហែងជាមួយអ្នកពាក់ព័ន្ធផ្សេងទៀត (ជាធម្មតាតាមរយៈអ៊ីមែល សៀវភៅបញ្ជី ឬ វិបផតថលអនឡាញ) ។

ដោយសារតែការវាយប្រហារមានការកើនឡើងច្រើន វិធីសាស្រ្តនេះក៏ឈប់ដំណើរការ៖

• សព្វថ្ងៃនេះ ក្រុមហ៊ុនកំពុងប្រមូលទិន្នន័យយ៉ាងច្រើនក្នុងទម្រង់ផ្សេងៗគ្នា ដូចជា STIX/TAXII, JSON, XML, PDF, CSV, email ជាដើម។
• ចំនួន និងប្រភេទនៃការគំរាមកំហែងផ្នែកសុវត្ថិភាព (ពីតួអង្គព្យាបាទ មេរោគ ឆបោក botnets ការវាយប្រហារបដិសេធសេវាកម្ម (DDoS) មេរោគ ransomware ។ល។) បន្តកើនឡើងច្រើន និង កាន់តែទំនើប។
• ភស្តុតាងនៃឧប្បត្តិហេតុរាប់លានត្រូវបានកើនឡើងជារៀងរាល់ថ្ងៃ។
• ក្រុមហ៊ុនត្រូវឆ្លើយតបទៅនឹងការគំរាមកំហែងផ្នែកសន្តិសុខសាយប័រលឿនជាងអ្វីដែលពួកគេធ្លាប់បានធ្វើកាលពីអតីតកាល ដើម្បីការពារការខូចខាតដែលរីករាលដាល។

កត្តាទាំងអស់នេះហើយបណ្តាលឱ្យក្រុមការងារសន្តិសុខសាយប័រជួបនៅផលវិបាកក្នុងការដោះស្រាយនិងបែកចែកព័ត៌មានមួយណាដែលត្រឹមត្រូវ៖ 1) ទិន្នន័យណាដែលពាក់ព័ន្ធ និងមានប្រយោជន៍បំផុតសម្រាប់ក្រុមហ៊ុនរបស់ពួកគេ ដូចនេះពួកគេអាចវិភាគ និងកំណត់សុវត្ថិភាពនៃការគំរាមកំហែង; និង 2) កាបែងចែកព័ត៌មាននៃការគំរាមកំហែងពិតប្រាកដ ឬមិនពិត ដូច្នេះពួកគេអាចផ្តោតពេលវេលារបស់ពួកគេទៅតាមនោះ។

ក្រុមការងារសន្តិសុខសាយប័រគួរតែធ្វើ៖

• ត្រួតពិនិត្យសកម្មភាពសំខាន់ៗផ្សេងទៀតដែលទាក់ទងនឹងសន្តិសុខ ដូចជាការធ្វើផែនការសន្តិសុខ ការត្រួតពិនិត្យ មតិកែលម្អ ការឆ្លើយតប និងដំណោះស្រាយ។
• បន្តផ្តល់ទិន្នន័យចារកម្មគំរាមកំហែងចុងក្រោយបំផុតដល់ភាគីពាក់ព័ន្ធ និងប្រព័ន្ធសុវត្ថិភាពផ្សេងទៀត។

វាមិនពិបាកក្នុងការមើលពីរបៀបដែលវិធីសាស្រ្តប្រពៃណីក្នុងការប្រមូលផ្តុំ និងការចងក្រងព័ត៌មានសម្ងាត់គំរាមកំហែងគឺហួសសម័យ គ្មានប្រសិទ្ធភាព និងមិនអាចធ្វើមាត្រដ្ឋានបានទេ។

៤. តម្លៃនៃ Threat Intelligence Platform

តាមការប្រៀបធៀបរបស់ក្រុមការងារThreat Intelligence ៖

• ធ្វើស្វ័យប្រវត្តិកម្ម សម្រួល និងសម្រួលដំណើរការទាំងមូលនៃការស្រាវជ្រាវ ប្រមូល ប្រមូលផ្តុំ និងរៀបចំទិន្នន័យស៊ើបការណ៍គំរាមកំហែង ក៏ដូចជាការធ្វើឱ្យមានលក្ខណៈធម្មតា បំបាត់ការបង្ខូច និងធ្វើឱ្យទិន្នន័យនោះប្រសើរឡើង។
• តាមដាន និងស្វែងរកយ៉ាងបានឆាប់រហ័ស និងឆ្លើយតបទៅនឹងការគំរាមកំហែងផ្នែកសុវត្ថិភាពដែលអាចកើតមានក្នុងពេលវេលាជាក់ស្តែង។
• ទទួលបានព័ត៌មានសំខាន់ៗដូចជា ព័ត៌មានលម្អិតអំពីហានិភ័យសុវត្ថិភាពបច្ចុប្បន្ន និងអនាគត ការគំរាមកំហែង ការវាយប្រហារ និងភាពងាយរងគ្រោះ ក៏ដូចជាព័ត៌មានអំពីសត្រូវគំរាមកំហែង និងយុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធី (TTPs) របស់ពួកគេ។
• រៀបចំបង្កើនការឆ្លើយតបឧប្បត្តិហេតុសន្តិសុខសាយប័រ។
• ចែករំលែកទិន្នន័យចារកម្មគំរាមកំហែងជាមួយអ្នកពាក់ព័ន្ធផ្សេងទៀតតាមរយៈផ្ទាំងគ្រប់គ្រង ការជូនដំណឹង របាយការណ៍ជាដើម។
• បន្តផ្តល់ទិន្នន័យចារកម្មគំរាមកំហែងចុងក្រោយបំផុតដល់ប្រព័ន្ធសុវត្ថិភាព ដូចជាដំណោះស្រាយព័ត៌មានសុវត្ថិភាព និងការគ្រប់គ្រងព្រឹត្តិការណ៍ (SIEM) ឧបករណ៍endpoints ជញ្ជាំងភ្លើងfirewalls កម្មវិធី (APIs) ប្រព័ន្ធការពារការឈ្លានពាន (IPSs) និងផ្សេងៗទៀត។

៥. របៀបដែលក្រុមការងារ Threat Intelligence ធ្វើការជាមួយក្រុមផ្សេងទៀត

អត្ថប្រយោជន៏សំខាន់របស់ក្រុមការងារ Threat Intelligence គឺស៊ើបការណ៍សម្ងាត់អំពីការគំរាមកំហែងដោយប្រើប្រាស់ TIP ផ្តល់នូវលំហូរការងារ និងដំណើរការដែលភ្ជាប់មកជាមួយ ការចែករំលែកទិន្នន័យស៊ើបការណ៍គំរាមកំហែងជាមួយក្រុមផ្សេងទៀតដូចជា៖

• អ្នកវិភាគប្រើប្រាស់ទិន្នន័យនោះ ដើម្បីស្វែងរក ផ្ទៀងផ្ទាត់ ស៊ើបអង្កេត និងផ្តល់អាទិភាពដល់ការគំរាមកំហែង។
• ក្រុម SOC ដែលត្រួតពិនិត្យប្រតិបត្តិការសន្តិសុខប្រចាំថ្ងៃរបស់ក្រុមហ៊ុន និងឆ្លើយតបទៅនឹងការគំរាមកំហែង។ ក្រុមនេះអាចប្រើ TIP ដើម្បីធ្វើស្វ័យប្រវត្តិកម្មកិច្ចការទម្លាប់ដូចជា ការពង្រឹងទិន្នន័យ ការដាក់ពិន្ទុ និងធ្វើសមាហរណកម្ម។
• នាយកប្រតិបត្តិ និងអ្នកគ្រប់គ្រងអាចប្រើ TIP ដើម្បីមើលរបាយការណ៍ និងទទួលបានព័ត៌មានអំពីហានិភ័យសុវត្ថិភាព ការគំរាមកំហែង និងការវាយប្រហារ។

ប្រសិនបើមានការវាយប្រហារផ្នែកសន្តិសុខកើតឡើង Threat Intelligence អាចជូនដំណឹងភ្លាមៗ សម្របសម្រួល និងសហការជាមួយភាគីពាក់ព័ន្ធផ្សេងទៀតលើវិធានការតបតសមស្រប។

៦. ឯកសារពាក់ព័ន្ធ

• – https://www.paloaltonetworks.com/cyberpedia/what-is-a-threat-intelligence-