Threat Hunting Is Critical to SOC Maturity but Often Misses Real Attacks

บทความนี้เน้นย้ำถึงความสำคัญของการทำ Threat Hunting ในศูนย์ปฏิบัติการความปลอดภัย (SOC) เพื่อตรวจจับภัยคุกคามที่ซ่อนเร้นก่อนที่จะสร้างความเสียหาย อย่างไรก็ตาม ทีม SOC จำนวนมากยังคงประสบปัญหาในการตรวจจับการโจมตีที่แท้จริง เนื่องจากข้อมูลกระจัดกระจาย ข้อมูลภัยคุกคามที่ล้าสมัย และการขาดบริบทเชิงพฤติกรรม บทความนำเสนอโซลูชันผ่านการใช้ข้อมูลภัยคุกคามที่ได้จาก Sandbox แบบเรียลไทม์ เช่น ANY.RUN’s TI Lookup ซึ่งรวบรวมข้อมูลจากการวิเคราะห์ Sandbox กว่า 50 ล้านครั้ง ทำให้การค้นหาภัยคุกคามมีประสิทธิภาพ วัดผลได้ และลดเวลาในการตรวจจับ (dwell time) อย่างเห็นได้ชัด ส่งผลให้ลดค่าใช้จ่ายในการจัดการเหตุการณ์ สร้างผลตอบแทนจากการลงทุนที่ดีขึ้น และลดภาระงานของนักวิเคราะห์ นอกจากนี้ยังแสดงให้เห็นถึงกรณีศึกษาในการปรับปรุงการตรวจจับเทคนิค MITRE, การติดตามแคมเปญที่กำลังดำเนินอยู่, การตรวจสอบ YARA rules และการจัดลำดับความสำคัญตามอุตสาหกรรม

Severity: สูง

System Impact:

• Security Operations Centers (SOCs)
• SIEMs (Security Information and Event Management)
• SOARs (Security Orchestration, Automation, and Response)
• TIPs (Threat Intelligence Platforms)
• MITRE ATT&CK Framework
• Windows-based systems (จากการกล่าวถึง “svchost.exe” และ “powershell”)

Technical Attack Steps:

1. การปลอมแปลง (Masquerading): ผู้โจมตีใช้เทคนิค T1036.003 จาก MITRE ATT&CK โดยการเปลี่ยนชื่อยูทิลิตี้ของระบบ เช่น การเปลี่ยนชื่อ “svchost.exe” เพื่อเลียนแบบเครื่องมือที่ถูกต้องตามกฎหมาย และหลบเลี่ยงการตรวจจับ
2. การโจมตีแบบฟิชชิ่ง (Phishing Campaigns): แคมเปญฟิชชิ่งมีการพัฒนาอย่างรวดเร็ว โดยใช้รูปแบบโดเมนเฉพาะ (เช่น “^loginmicrosoft”) เพื่อสร้างหน้าเว็บ Microsoft ปลอม และใช้ตระกูลมัลแวร์อย่าง EvilProxy หรือ Tycoon phishing kits เพื่อกำหนดเป้าหมายผู้บริหารด้านการเงิน
3. การขโมยข้อมูล (Data Exfiltration): มัลแวร์ เช่น AgentTesla ใช้ช่องทาง SMTP/HTTP เพื่อส่งข้อมูลที่ถูกขโมยออกไปจากระบบ

Recommendations:

Short Term:

• ผสานรวมข้อมูลภัยคุกคามที่ได้จาก Sandbox (เช่น ANY.RUN’s TI Lookup) เข้ากับเครื่องมือ SOC ที่มีอยู่ (SIEMs, SOARs, TIPs) ทันที
• จัดลำดับความสำคัญของการทำ Threat Hunting โดยใช้ข้อมูลการดำเนินการที่สดใหม่และเป็นเรียลไทม์
• ตรวจสอบและยืนยัน YARA rules กับตัวอย่างจริงก่อนนำไปใช้งานจริง เพื่อลด False Positives
• มุ่งเน้นการติดตามแคมเปญการโจมตีที่กำลังดำเนินอยู่ โดยใช้ IOCs ที่อัปเดตล่าสุด

Long Term:

• พัฒนากระบวนการ Threat Hunting ให้มีความสมบูรณ์ยิ่งขึ้น โดยการผนวกบริบทเชิงพฤติกรรม (IOBs, IOAs, TTPs) นอกเหนือจาก IOCs แบบคงที่
• ใช้แพลตฟอร์ม Threat Intelligence ที่รวบรวมข้อมูลจากการวิเคราะห์ Sandbox ที่หลากหลายและครอบคลุม
• ปรับการทำ Threat Hunting ให้สอดคล้องกับความเสี่ยงทางธุรกิจที่เกี่ยวข้อง เช่น การกำหนดเป้าหมายเฉพาะอุตสาหกรรม
• สร้างขั้นตอนการทำงานที่ชัดเจนจากรายงานข้อมูลภัยคุกคามไปสู่การตรวจจับและตอบสนองต่อเหตุการณ์
• ปรับปรุงความสามารถในการตรวจจับอย่างต่อเนื่องโดยอาศัยพฤติกรรมของผู้โจมตีที่สังเกตได้

Source: https://cybersecuritynews.com/threat-hunting-for-soc-maturity/