Skip to main content

ความปลอดภัยทางไซเบอร์

19 กุมภาพันธ์ 2568

Recorded Future ค้นหาและติดตามภัยคุกคามทางไซเบอร์ได้อย่างไร? หัวหน้าฝ่ายวิทยาศาสตร์ข้อมูลของบริษัทอธิบายว่า

Neque porro quisquam est qui dolorem ipsum quia dolor นั่ง amet, consectetur, adipisci velit

ภาพอาคารสีแดงที่มีคำว่า Recorded Future อยู่บนนั้น ตัดกับท้องฟ้า

เบน ฟ็อกซ์ รูบิน

รองประธานฝ่ายเนื้อหาบรรณาธิการ

แมตต์ โคดามะ หัวหน้าฝ่ายวิทยาศาสตร์ข้อมูลของบริษัทรักษาความปลอดภัยทางไซเบอร์ Recorded Future เปรียบงานของเขาเหมือนกับการทำงานในครัวของร้านอาหาร ทีมของเขาเป็นผู้ที่ซื้อของชำ ออกแบบสูตรอาหาร ปรุงอาหาร และจัดจานอาหาร 

ส่วนประกอบที่ทีมของเขาใช้ในการทำงานคือข้อมูลที่พวกเขารวบรวมจากทั่วทั้งเว็บ จากนั้นจึงนำมาวิเคราะห์เพื่อแยกแยะข้อมูลที่เป็นประโยชน์ซึ่งลูกค้าสามารถนำไปใช้ได้ จากนั้นข้อมูลดังกล่าวจะถูกป้อนเข้าสู่แพลตฟอร์มซอฟต์แวร์ของ Recorded Future ซึ่งสถาบันการเงินขนาดใหญ่ รัฐบาล และหน่วยงานอื่นๆ อีกมากมายใช้ในการติดตามภัยคุกคามที่อาจเกิดขึ้นทั้งทางออนไลน์และในโลกแห่งความเป็นจริงต่อองค์กรของตนแบบเรียลไทม์ 

เมื่อเร็วๆ นี้ ทีมข่าวของ Mastercard ได้ไปเยี่ยมชม สำนักงานใหญ่ของ Recorded Future ซึ่งได้เข้าร่วม เป็นส่วนหนึ่งของ Mastercard ในเดือนธันวาคม และมีโอกาสได้พูดคุยกับโคดามะและรับฟังเกี่ยวกับงานของเขา 

คำถามและคำตอบต่อไปนี้ได้รับการแก้ไขเพื่อให้กระชับและชัดเจนยิ่งขึ้น 

คุณใช้ข้อมูลอะไรบ้าง?

ระบบนี้ครอบคลุมทุกด้าน ตั้งแต่ข้อมูลหลากหลายประเภทที่เปิดเผยต่อสาธารณะ ในทางตรงกันข้าม เราได้คิดค้นวิธีการที่ชาญฉลาดและซับซ้อนในการ Access ข้อมูลจากสถานที่ที่เข้าถึงยาก ซึ่งมักถูกใช้โดยผู้ก่อภัยคุกคามทางไซเบอร์ 

คุณช่วยยกตัวอย่างที่เฉพาะเจาะจงได้ไหม?

สำหรับผู้ก่อภัยคุกคาม หนึ่งในเป้าหมายสำคัญที่สุดในขณะนี้คือการขโมยข้อมูลจากคอมพิวเตอร์ส่วนบุคคล ตอนนี้แฮกเกอร์ได้ข้อมูลล็อกอิน รหัสผ่าน คุกกี้ และข้อมูลทั้งหมดเกี่ยวกับหน้าตาคอมพิวเตอร์ของคุณไปแล้ว ด้วยข้อมูลนี้ ผู้โจมตีสามารถสร้างเครื่องปลอมที่ดูเหมือนคอมพิวเตอร์ของคุณ และทำให้การรับส่งข้อมูลผ่านเบราว์เซอร์จากเครื่องปลอมนั้นดูเหมือนว่ามาจากเมืองของคุณได้ 

หากคุณเป็นผู้โจมตีที่ทำงานในวงการ แรนซัมแวร์ ระดับองค์กร ข้อมูลนี้จะเป็นประโยชน์อย่างมากในการเจาะเข้าไปในเครือข่ายเป้าหมายของคุณ จำนวนไฟล์จากคอมพิวเตอร์ที่ติดไวรัสแบบนี้ที่ถูกนำมาขายนั้นเยอะมากจนน่าตกใจ นี่เป็นธุรกิจขนาดใหญ่

โลกนี้มันบ้าบอจริงๆ มันเหมือนตลาดนัดเลย 

สิ่งที่ลูกค้าหลายคนให้ความสำคัญคือ การที่พวกเขาสามารถรู้ได้โดยเร็วที่สุดว่าการเข้าสู่ระบบที่มีความเสี่ยงสูง เช่น การเข้าถึง VPN ของพวกเขา ถูกเปิดเผยหรือไม่ พวกเขาสามารถดำเนินการด้านความปลอดภัยที่เฉพาะเจาะจงได้ หากมีการล็อกอินอยู่ ให้ยกเลิกเซสชันนั้น ไม่ว่ารหัสผ่านปัจจุบันของบัญชีนั้นคืออะไร ให้รีเซ็ตรหัสผ่านนั้น เพราะโดยพื้นฐานแล้วมันคือการแข่งขัน: ผู้คุกคามจะนำข้อมูลนี้ไปใช้เร็วแค่ไหน และผู้ป้องกันจะค้นพบและแก้ไขปัญหาได้เร็วแค่ไหน 

เรื่องราว

ภายใน Recorded Future: บรรยากาศแบบสตาร์ทอัพ ดนตรีร็อคคลาสสิก และอนาคตของความปลอดภัยทางไซเบอร์

ทีมข่าวของ Mastercard ได้ไปเยี่ยมชมสำนักงานใหญ่ของบริษัทด้านการวิเคราะห์ภัยคุกคามทางไซเบอร์แห่งนี้ ในช่วงเวลาที่ทั้งสองทีมกำลังผนึกกำลังกันทางด้านไซเบอร์

อ่านเพิ่มเติม

คุณมีตัวอย่างอื่นอีกไหม?

คอมพิวเตอร์ทุกเครื่องที่พยายามส่งข้อความผ่านอินเทอร์เน็ตจำเป็นต้องมีตารางเหล่านี้ที่ระบุว่า "หากคุณพยายามสื่อสารกับโดเมนนี้ทางออนไลน์ ให้ส่งข้อความไปยังที่อยู่ IP นี้" มันก็เหมือนสมุดโทรศัพท์สำหรับโลกอินเทอร์เน็ตนั่นแหละ 

วิธีการวิเคราะห์พื้นฐานแต่ได้ผลดีอย่างหนึ่งก็คือ นำข้อมูลทั้งหมดมาวิเคราะห์แล้วถามว่า “วันนี้มีอะไรใหม่บ้างที่เมื่อวานไม่มี?” มีการสร้างธุรกิจใหม่ ๆ ขึ้นอยู่ตลอดเวลา และแน่นอนว่าหลายธุรกิจก็ล้มเหลว ดังนั้นจึงเป็นเรื่องปกติมาก ๆ ที่โดเมนใหม่ ๆ จะปรากฏขึ้นมาโดยไม่ก่อให้เกิดอันตรายใด ๆ และในที่สุดก็จะหายไป ดังนั้นฉันจึงไม่สามารถบอกทุกคนได้ว่า “นี่คือโดเมนใหม่ บล็อกมันซะ” เราสามารถตรวจสอบโดเมนใหม่เหล่านั้นทีละโดเมนและลองเชื่อมต่อดูแทนได้ และหากใบรับรองความปลอดภัยที่ส่งกลับมาเป็นใบรับรองใหม่และดูแปลก ๆ นั่นคือใบรับรองที่มีความเสี่ยง 

โดยสรุปแล้ว สิ่งที่ลูกค้าพยายามทำก็คือ “ช่วยกรุณาให้รายชื่อโดเมนเนมสั้นๆ ที่ผมควรใส่ลงในตัวกรอง [ระบบชื่อโดเมน] ของผม เพื่อให้แน่ใจว่าไม่มีพนักงานคนใดเข้าชมโดเมนเหล่านั้นได้ไหมครับ” ถ้าพวกเขาสามารถบล็อกได้ นั่นคือมาตรฐานสูงสุดแล้ว 

ด้วยวิธีนี้ คุณจึงสามารถบล็อกเว็บไซต์ฟิชชิ่งได้ก่อนที่อีเมลฟิชชิ่งจะถูกส่งไปยังเหยื่อเป้าหมายใช่หรือไม่?

ในอุดมคติแล้ว ใช่ค่ะ พวกคนร้ายต้องสร้างโครงสร้างพื้นฐานของตนให้เสร็จก่อนจึงจะสามารถใช้งานได้ แนวคิดคือการตรวจจับเมื่อมีการติดตั้งโครงสร้างพื้นฐานอย่างรวดเร็วมาก ๆ จากนั้นจึงระบุได้อย่างถูกต้องว่าสิ่งใหม่ใดเหมาะสม
โครงสร้างพื้นฐานดังกล่าวถูกดำเนินการโดยผู้ก่อภัยคุกคาม ซึ่งแตกต่างจากสิ่งต่างๆ ที่เป็นปกติและไม่เป็นอันตราย

ลูกค้านำข้อมูลนี้ไปใช้อย่างไร?

ปัญหาของโลกในปัจจุบันคือ มีการกระทำของพวกคนชั่วมากมายเหลือเกิน ถ้าผมสามารถส่งข้อมูลโดเมนเนมที่มีความเสี่ยงสูงทั้งหมดที่ควรบล็อกให้กับบริษัทนั้นได้อย่างมหัศจรรย์ — เพราะระบบควบคุมความปลอดภัยของพวกเขายังไม่รองรับจำนวนโดเมนเหล่านั้นได้ มีแต่เรื่องแย่ๆ เยอะเกินไป ลูกค้าต่างกระหายข้อมูลเชิงลึกที่เราสามารถให้ได้เป็นอย่างมาก ไม่ใช่แค่ว่าชื่อโดเมนนี้มีความเสี่ยง แต่พวกเขาตั้งเป้าหมายไปที่ใคร และมีสัญญาณอะไรบ้างที่บ่งชี้ว่าพวกเขากำลังเล็งลูกค้าอย่างฉัน เพราะถ้าเป็นเช่นนั้น ผมก็จะให้ความสำคัญกับการใช้ข้อมูลชิ้นนั้นเพื่อความปลอดภัยของผม มากกว่าภัยคุกคามที่คล้ายคลึงกันถึง 90% ซึ่งดูเหมือนกันแทบทุกประการ แต่พวกมันมุ่งเป้าไปที่คนอื่น 

ลูกค้ามีปัญหาการเพิ่มประสิทธิภาพที่ยากมาก เช่น ขีดจำกัดของระบบควบคุมความปลอดภัย พวกเขาจะมุ่งเน้นไปที่เรื่องอะไร? มีมากเกินไป ดังนั้นพวกเขาจึงกระหายที่จะได้รับข้อมูลเชิงลึกจากเรา ซึ่งจะช่วยพวกเขาในการแก้ปัญหาการปรับปรุงประสิทธิภาพนั้น  

คำอธิบาย

ข่าวกรองภัยคุกคามคืออะไร? คู่มือของคุณในการรักษาความปลอดภัยให้กับธุรกิจของคุณ

การเติบโตอย่างรวดเร็วของอีคอมเมิร์ซหลังการระบาดใหญ่ได้กระตุ้นให้เกิดอาชญากรรมไซเบอร์ และการเข้าถึงเครื่องมือ AI ที่เพิ่มมากขึ้นทำให้การโจมตีแบบอัตโนมัติในวงกว้างเป็นเรื่องง่าย สาขาใหม่ของความปลอดภัยทางไซเบอร์ที่เรียกว่า การวิเคราะห์ภัยคุกคาม (Threat Intelligence) กำลังรับมือกับอันตรายที่เกิดขึ้นใหม่ก่อนที่จะก่อให้เกิดความเสียหาย

เรียนรู้เพิ่มเติม