Trace Id is missing
ข้ามไปที่เนื้อหาหลัก
Security Insider

การรักษาความปลอดภัยจะดีพอๆ กับข่าวกรองเกี่ยวกับภัยคุกคามของคุณเท่านั้น

โล่สีน้ำเงินที่มีแม่กุญแจสีขาวอยู่ด้านบน

ตอนนี้รัดกุมยิ่งขึ้นด้วย AI

ผู้สังเกตการณ์การรักษาความปลอดภัยทางไซเบอร์มาเป็นเวลานานจะทราบดีว่าการต่อสู้เพื่อความก้าวหน้านั้นน่าหงุดหงิดเพียงใด อาชีพของเราต้องการความระมัดระวังอย่างต่อเนื่อง และการรับประกันว่างานจะออกมาดีนั้นไม่มีความสำคัญเลยหากเป็นเรื่องที่เข้าใจยาก แม้ว่าจะมีข่าวร้ายขึ้นพาดหัวข่าว และมีรายงานถึงเรื่องน่าหดหู่จำนวนมาก แต่เราก็ยังได้เห็นเรื่องราวความสำเร็จของการรักษาความปลอดภัยทางไซเบอร์ทุกวัน

ทุกๆ วัน ผู้ป้องกันของเราจะแบ่งปันข้อมูลอย่างเงียบๆ ทุกๆ วัน พวกเขาเพิ่มค่าใช้จ่ายของการก่ออาชญากรรมสำหรับผู้โจมตีและองค์กรอาชญากรรมขนาดใหญ่ของพวกเขา ทุกๆ วัน พวกเขาใช้ทักษะและความสามารถจำนวนมากเพื่อค้นหาอาชญากรได้เร็วขึ้นและขับไล่พวกเขาเร็วขึ้น

ข่าวกรองเกี่ยวกับภัยคุกคาม (TI) ใช้ได้ผล และเวลาแฝงตัวมัธยฐานของปรปักษ์ยังคงลดลงอย่างต่อเนื่อง ระดับ 20 วันในปัจจุบันแสดงถึงการเปลี่ยนแปลงที่ชัดเจนจากเมื่อผู้โจมตีสามารถแฝงตัวไม่ถูกตรวจพบเป็นเวลาหลายเดือน

เราต้องขอบคุณข่าวกรองที่ดีขึ้นสำหรับความแตกต่างนี้ เราต้องขอบคุณเครื่องมือที่ดีขึ้น เราต้องขอบคุณทรัพยากรที่ดีขึ้น และเมื่อเรารวมพลังเหล่านี้เข้าด้วยกัน โดยเฉพาะ TI ข้อมูลในวงกว้าง และปัญญาประดิษฐ์ (AI) ผลกระทบของเราในฐานะผู้ป้องกันจะเร่งความเร็วและขยายผลออกไป

ข้อมูลคือสิ่งที่ผู้ป้องกันมองเห็น และวิสัยทัศน์ของเราก็ไม่เคยดีเท่านี้มาก่อน การแข่งขันบนคลาวด์ได้ลดต้นทุนการถือครองและการสืบค้นข้อมูลลงอย่างมาก ทำให้เกิดการพัฒนานวัตกรรมอย่างก้าวกระโดด ต้นทุนที่ลดลงทำให้สามารถปรับใช้เซนเซอร์ที่มีความละเอียดสูงขึ้นทั่วทั้งทรัพย์สินทางดิจิทัลได้ การเพิ่มขึ้นของ XDR+SIEM ได้ขยายข้อมูลและสัญญาณจากปลายทาง ไปยังแอป ข้อมูลประจำตัว หรือระบบคลาวด์

สัญญาณที่มากขึ้นจะทำให้มีพื้นที่ผิวของ TI มากขึ้น จากนั้น TI นี้จะป้อนข้อมูลให้กับ AI TI ทำหน้าที่เป็นป้ายชื่อและข้อมูลการฝึกอบรมสำหรับโมเดล AI เพื่อคาดการณ์การโจมตีครั้งต่อไป

สิ่งที่ TI สามารถค้นพบได้ AI สามารถช่วยขยายผลได้

สัญชาตญาณและประสบการณ์ที่อยู่เบื้องหลังชัยชนะอันชาญฉลาดนั้นสามารถสร้างโมเดลทางดิจิทัลด้วยพารามิเตอร์นับล้านเทียบกับสัญญาณ 65 ล้านล้านสัญญาณของเรา

Microsoft ใช้แนวทางที่ยึดปรปักษ์เป็นศูนย์กลางในข่าวกรองเกี่ยวกับภัยคุกคาม เราติดตามผู้ดำเนินการภัยคุกคามที่ไม่ซ้ำกันมากกว่า 300 ราย ซึ่งรวมถึงกลุ่มมากกว่า 160 กลุ่มที่เชื่อมโยงกับรัฐชาติและกลุ่มแรนซัมแวร์มากกว่า 50 กลุ่ม

การทำงานต้องการความคิดสร้างสรรค์และนวัตกรรม และการสนับสนุนจากผู้มีส่วนร่วมจากสหสาวิชาจำนวนมาก ข่าวกรองเกี่ยวกับภัยคุกคามที่ดีจะนำผู้คนมารวมตัวกัน ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยทางไซเบอร์และนักวิทยาศาสตร์ประยุกต์ที่ทำงานร่วมกันควบคู่ไปกับหน่วยงานด้านภูมิรัฐศาสตร์และการบิดเบือนข้อมูล เพื่อพิจารณาปรปักษ์ทั้งหมด เพื่อให้พวกเขาสามารถเข้าใจได้ว่าการโจมตีเกิดขึ้นอย่างไร และหยั่งรู้สาเหตุและตำแหน่งที่อาจเกิดขึ้นต่อไป

รายงาน Security Insider

หากต้องการดูการทำงานจริงของข่าวกรองเกี่ยวกับภัยคุกคามที่ดีที่สุด ให้ดาวน์โหลดหนึ่งปีแห่งสงครามไฮบริดของรัสเซียในยูเครน

ปัญญาประดิษฐ์ (AI) ช่วยเพิ่มขนาดการป้องกันตามอัตราการโจมตี เมื่อใช้ AI การโจมตีแรนซัมแวร์ที่ดำเนินการโดยมนุษย์สามารถยับยั้งได้เร็วขึ้น โดยเปลี่ยนสัญญาณความเชื่อมั่นต่ำให้กลายเป็นระบบแจ้งเตือนล่วงหน้า

ผู้ตรวจสอบที่เป็นมนุษย์จะปะติดปะต่อเบาะแสแต่ละชิ้นเข้าด้วยกันเพื่อทราบว่ามีการโจมตีเกิดขึ้น ซึ่งต้องใช้เวลา แต่ในสถานการณ์ที่มีเวลาน้อย กระบวนการในการระบุเจตนาร้ายสามารถทำได้ด้วยความเร็วของ AI ปัญญาประดิษฐ์ทำให้สามารถเชื่อมโยงบริบทเข้าด้วยกันได้

เช่นเดียวกับวิธีที่ผู้ตรวจสอบที่เป็นมนุษย์คิดในหลายระดับ เราสามารถรวมอินพุทที่ได้รับข้อมูลจาก AI สามประเภท เพื่อค้นหาการโจมตีของแรนซัมแวร์ที่จุดเริ่มต้นของการยกระดับ

  • ที่ระดับองค์กร AI จะใช้การวิเคราะห์สิ่งผิดปกติตามชุดข้อมูลเวลาและสถิติ
  • ที่ระดับเครือข่าย จะสร้างมุมมองกราฟเพื่อระบุกิจกรรมที่เป็นอันตรายในอุปกรณ์ต่างๆ
  • ที่ระดับอุปกรณ์ จะใช้การตรวจสอบลักษณะการทำงานและใช้ TI เพื่อระบุกิจกรรมที่มีความเชื่อมั่นสูง

สปอตไลต์เกี่ยวกับแรนซัมแวร์: พูดคุยกับ Jessica Payne

ข่าวดีที่สุดเกี่ยวกับแรนซัมแวร์ก็คือเป็นภัยคุกคามที่สามารถป้องกันได้เป็นส่วนใหญ่ การรายงานเกี่ยวกับแรนซัมแวร์จำนวนมากมุ่งเน้นไปที่ส่วนข้อมูลที่ติดแรนซัมแวร์ ซึ่งทำให้ดูเหมือนเป็นภัยคุกคามที่ขยายขนาดอย่างไม่รู้จบจากผู้โจมตีหลายสิบราย แต่ความจริงคือเป็นกลุ่มย่อยของผู้โจมตีที่ใช้เทคนิคเดียวกันแต่สลับไปมาระหว่างแรนซัมแวร์ที่มีอยู่เป็นส่วนข้อมูลบริการ

ด้วยการมุ่งเน้นไปที่ผู้ดำเนินการที่อยู่เบื้องหลังการโจมตีเทียบกับส่วนข้อมูล เราสามารถแสดงให้เห็นว่าผู้โจมตีส่วนใหญ่ที่ใช้แรนซัมแวร์ไม่ได้ใช้ทักษะเวทย์มนตร์หรือพัฒนาการโจมตีช่องโหว่แบบ Zero-day ตามความต้องการ แต่พวกเขากำลังใช้ประโยชน์จากจุดอ่อนด้านความปลอดภัยทั่วไป

ผู้โจมตีจำนวนมากใช้เทคนิคเดียวกัน คุณจึงสามารถดูตำแหน่งที่ภัยคุกคามซ้อนทับกันและนำการบรรเทาไปใช้ได้ การโจมตีแรนซัมแวร์เกือบทุกครั้งเกี่ยวข้องกับผู้โจมตีที่เข้าถึงข้อมูลประจำตัวที่มีสิทธิพิเศษสูง เช่น ผู้ดูแลโดเมนหรือบัญชีการปรับใช้ซอฟต์แวร์ ซึ่งเป็นสิ่งที่คุณสามารถแก้ไขได้ด้วยเครื่องมือในตัว เช่น นโยบายกลุ่ม บันทึกเหตุการณ์ และกฎการลดพื้นหน้าของการโจมตี (ASR)

ในบางองค์กรที่เปิดใช้งานกฎ ASR พวกเขาพบว่าเหตุการณ์ลดลง 70% ซึ่งหมายถึงความเหนื่อยล้าของ SOC น้อยลง และผู้โจมตีมีโอกาสในการเข้าถึงเริ่มต้นเพื่อทำลายระบบป้องกันน้อยลง องค์กรที่ประสบความสำเร็จในการต่อต้านแรนซัมแวร์คือองค์กรที่มุ่งเน้นไปที่การเพิ่มความรัดกุมด้านนี้

งานป้องกันเป็นสิ่งจำเป็น

สิ่งหนึ่งที่ผมชอบพูดก็คือการป้องกันและการตรวจหาไม่ใช่สิ่งที่คล้ายกัน การป้องกันคือผู้พิทักษ์ของการตรวจหา เนื่องจากจะทำให้เครือข่ายเงียบลงและให้พื้นที่ว่างแก่คุณในการค้นหาสิ่งที่สำคัญที่สุด

โดยรวมแล้ว ข่าวกรองเกี่ยวกับภัยคุกคามที่อยู่ใกล้มือสร้างความแตกต่างในการป้องกันการโจมตีหรือขัดขวางการโจมตีโดยอัตโนมัติ

เรียนรู้เพิ่มเติมเกี่ยวกับวิธีการปกป้ององค์กรของคุณจากแรนซัมแวร์ และอ่านรายงานฉบับเต็ม

กลุ่มคนกำลังเดินอยู่บนบล็อกสีสันสดใส
แนะนำ

การจัดการภัยคุกคามทางไซเบอร์และการเสริมสร้างการป้องกันในยุค AI

ความก้าวหน้าด้านปัญญาประดิษฐ์ (AI) แสดงให้เห็นถึงภัยคุกคามและโอกาสใหม่ๆ สำหรับการรักษาความปลอดภัยทางไซเบอร์ ค้นพบวิธีที่ผู้ดำเนินการภัยคุกคามใช้ AI เพื่อทำการโจมตีที่ซับซ้อนยิ่งขึ้น จากนั้นทบทวนแนวทางปฏิบัติที่ช่วยป้องกันภัยคุกคามทางไซเบอร์แบบดั้งเดิมและที่ใช้งาน AI

วันนี้ เรากำลังเข้าสู่ยุคใหม่ของ AI ที่ปรับปรุงความปลอดภัย การเรียนรู้ของเครื่องถือเป็นเรื่องปกติในเทคโนโลยีการป้องกันในปัจจุบัน แต่จนถึงปัจจุบัน AI เน้นไปที่เทคโนโลยีเป็นหลัก ลูกค้าได้รับประโยชน์จากบทบาทในการปกป้อง แต่ไม่สามารถโต้ตอบได้โดยตรง และเรื่องนั้นก็ได้เปลี่ยนไปแล้ว

เรากำลังย้ายจากโลกแห่ง AI ตามงานซึ่งตรวจจับฟิชชิ่งหรือการโจมตีแบบ Password Spray ได้ดีไปสู่โลกแห่ง AI สร้างสรรค์ที่ต่อยอดจากโมเดลพื้นฐานที่ยกระดับทักษะผู้ป้องกันได้ทุกที่

TI และ AI รวมกันเพื่อช่วยให้ผู้ป้องกันทำงานได้เร็วกว่าที่เคย ผมรู้สึกตื่นเต้นที่ได้เห็นว่าคุณจะทำอะไรได้บ้างเมื่อใช้งาน ไม่ว่าจะเป็นอะไรก็ตาม ผมรู้ดีว่าเราร่วมกันปกป้องโลกได้ดีขึ้น

บทความที่เกี่ยวข้อง

การปกป้องยูเครน: บทเรียนเบื้องต้นจากสงครามไซเบอร์

สิ่งที่ค้นพบล่าสุดในความพยายามอย่างต่อเนื่องของเราในด้านข่าวกรองเกี่ยวกับภัยคุกคามในสงครามระหว่างรัสเซียกับยูเครน และบทสรุปต่างๆ จากสี่เดือนแรกเน้นย้ำถึงความจำเป็นที่ต้องมีการลงทุนทั้งอย่างต่อเนื่องและการลงทุนใหม่ๆ ในด้านเทคโนโลยี ข้อมูล และความเป็นพันธมิตร เพื่อสนับสนุนภาครัฐ บริษัท องค์กรนอกภาครัฐ และมหาวิทยาลัย

สามวิธีในการปกป้องตัวคุณเองจากแรนซัมแวร์

การป้องกันแรนซัมแวร์สมัยใหม่ต้องการมากกว่าแค่การตั้งค่ามาตรการตรวจหา ค้นพบสามวิธีแรกที่คุณสามารถเพิ่มความปลอดภัยให้กับเครือข่ายของคุณจากแรนซัมแวร์ได้ในปัจจุบัน

เรียนรู้เบื้องต้นเกี่ยวกับการไล่ล่าภัยคุกคาม

เมื่อเป็นเรื่องเกี่ยวกับความปลอดภัยทางไซเบอร์ การระมัดระวังก็ช่วยได้ ต่อไปนี้เป็นวิธีไล่ล่า ระบุ และบรรเทาภัยคุกคามที่เกิดขึ้นและภัยคุกคามใหม่

ติดตาม Microsoft Security