เมื่อก่อนระบบป้องกันไซเบอร์มักเน้นพวก firewall, antivirus, การตั้งรหัสผ่านให้แข็งแรง — แต่ตอนนี้พวกนั้นไม่พอแล้ว เพราะคนร้ายไม่แฮ็กเข้ามาเหมือนเดิม แต่ “ล็อกอินเหมือนเป็นพนักงานจริง!”
บริษัทวิจัยอย่าง CrowdStrike เผยว่า เวลาที่คนร้ายใช้แพร่กระจายตัวภายในองค์กร (breakout time) เร็วสุดอยู่ที่แค่ “51 วินาที” เท่านั้น! ซึ่งเร็วเกินกว่าที่ระบบแจ้งเตือนหรือทีมจะวิเคราะห์ได้ทัน
อีกทั้งตอนนี้ยังมีภัยแบบใหม่ ๆ เช่น:
- AI ใช้เรียนรู้พฤติกรรมพนักงาน แล้วเลียนแบบมาขอสิทธิ์เข้าระบบ
- ผู้ไม่ประสงค์ดีเจาะจุดอ่อนคลาวด์ที่ไม่มีระบบแบ่งสิทธิ์ชัดเจน
- ระบบตรวจสอบแบบ “รอให้เกิดเหตุแล้วค่อยแจ้ง” ไม่ทันอีกต่อไป
ทีมความปลอดภัยยุคใหม่ต้องใช้เทคนิคพวก anomaly detection — ตรวจจับ “พฤติกรรมแปลก” ที่ไม่ตรงกับโปรไฟล์ปกติ เช่น
ทำไมคนแผนกบัญชีถึงเข้าระบบของ DevOps? ทำไมระบบจากออฟฟิศ A ถึงยิงคำสั่งไปเครื่องในออฟฟิศ B?
ไม่ใช่แค่นั้นครับ — แม้จะจับได้แล้ว การจัดการผู้บุกรุกก็ยังยาก เพราะถ้า “ตัดเร็วเกิน” ระบบธุรกิจอาจล่ม ถ้าช้าไป ข้อมูลอาจหลุดออกไปหมด → นักวิจัยจึงแนะนำให้เตรียม “แผน containment แบบผ่าตัดจุด” ที่แยกบาง subnet ได้ ไม่ต้องสั่งล่มทั้งเครือข่าย
สุดท้ายคือ “การวิเคราะห์หลังเหตุการณ์” ต้องละเอียดมากขึ้น — โดยเฉพาะถ้าใช้ SIEM แบบใหม่ที่เก็บ log ได้เพียงพอ และดูไทม์ไลน์ทุกจุดที่ผู้บุกรุกแตะ
https://www.csoonline.com/article/4009236/cisos-must-rethink-defense-playbooks-as-cybercriminals-move-faster-smarter.html
บริษัทวิจัยอย่าง CrowdStrike เผยว่า เวลาที่คนร้ายใช้แพร่กระจายตัวภายในองค์กร (breakout time) เร็วสุดอยู่ที่แค่ “51 วินาที” เท่านั้น! ซึ่งเร็วเกินกว่าที่ระบบแจ้งเตือนหรือทีมจะวิเคราะห์ได้ทัน
อีกทั้งตอนนี้ยังมีภัยแบบใหม่ ๆ เช่น:
- AI ใช้เรียนรู้พฤติกรรมพนักงาน แล้วเลียนแบบมาขอสิทธิ์เข้าระบบ
- ผู้ไม่ประสงค์ดีเจาะจุดอ่อนคลาวด์ที่ไม่มีระบบแบ่งสิทธิ์ชัดเจน
- ระบบตรวจสอบแบบ “รอให้เกิดเหตุแล้วค่อยแจ้ง” ไม่ทันอีกต่อไป
ทีมความปลอดภัยยุคใหม่ต้องใช้เทคนิคพวก anomaly detection — ตรวจจับ “พฤติกรรมแปลก” ที่ไม่ตรงกับโปรไฟล์ปกติ เช่น
ทำไมคนแผนกบัญชีถึงเข้าระบบของ DevOps? ทำไมระบบจากออฟฟิศ A ถึงยิงคำสั่งไปเครื่องในออฟฟิศ B?
ไม่ใช่แค่นั้นครับ — แม้จะจับได้แล้ว การจัดการผู้บุกรุกก็ยังยาก เพราะถ้า “ตัดเร็วเกิน” ระบบธุรกิจอาจล่ม ถ้าช้าไป ข้อมูลอาจหลุดออกไปหมด → นักวิจัยจึงแนะนำให้เตรียม “แผน containment แบบผ่าตัดจุด” ที่แยกบาง subnet ได้ ไม่ต้องสั่งล่มทั้งเครือข่าย
สุดท้ายคือ “การวิเคราะห์หลังเหตุการณ์” ต้องละเอียดมากขึ้น — โดยเฉพาะถ้าใช้ SIEM แบบใหม่ที่เก็บ log ได้เพียงพอ และดูไทม์ไลน์ทุกจุดที่ผู้บุกรุกแตะ
https://www.csoonline.com/article/4009236/cisos-must-rethink-defense-playbooks-as-cybercriminals-move-faster-smarter.html
เมื่อก่อนระบบป้องกันไซเบอร์มักเน้นพวก firewall, antivirus, การตั้งรหัสผ่านให้แข็งแรง — แต่ตอนนี้พวกนั้นไม่พอแล้ว เพราะคนร้ายไม่แฮ็กเข้ามาเหมือนเดิม แต่ “ล็อกอินเหมือนเป็นพนักงานจริง!”
บริษัทวิจัยอย่าง CrowdStrike เผยว่า เวลาที่คนร้ายใช้แพร่กระจายตัวภายในองค์กร (breakout time) เร็วสุดอยู่ที่แค่ “51 วินาที” เท่านั้น! ซึ่งเร็วเกินกว่าที่ระบบแจ้งเตือนหรือทีมจะวิเคราะห์ได้ทัน
อีกทั้งตอนนี้ยังมีภัยแบบใหม่ ๆ เช่น:
- AI ใช้เรียนรู้พฤติกรรมพนักงาน แล้วเลียนแบบมาขอสิทธิ์เข้าระบบ
- ผู้ไม่ประสงค์ดีเจาะจุดอ่อนคลาวด์ที่ไม่มีระบบแบ่งสิทธิ์ชัดเจน
- ระบบตรวจสอบแบบ “รอให้เกิดเหตุแล้วค่อยแจ้ง” ไม่ทันอีกต่อไป
ทีมความปลอดภัยยุคใหม่ต้องใช้เทคนิคพวก anomaly detection — ตรวจจับ “พฤติกรรมแปลก” ที่ไม่ตรงกับโปรไฟล์ปกติ เช่น
ทำไมคนแผนกบัญชีถึงเข้าระบบของ DevOps? ทำไมระบบจากออฟฟิศ A ถึงยิงคำสั่งไปเครื่องในออฟฟิศ B?
ไม่ใช่แค่นั้นครับ — แม้จะจับได้แล้ว การจัดการผู้บุกรุกก็ยังยาก เพราะถ้า “ตัดเร็วเกิน” ระบบธุรกิจอาจล่ม ถ้าช้าไป ข้อมูลอาจหลุดออกไปหมด → นักวิจัยจึงแนะนำให้เตรียม “แผน containment แบบผ่าตัดจุด” ที่แยกบาง subnet ได้ ไม่ต้องสั่งล่มทั้งเครือข่าย
สุดท้ายคือ “การวิเคราะห์หลังเหตุการณ์” ต้องละเอียดมากขึ้น — โดยเฉพาะถ้าใช้ SIEM แบบใหม่ที่เก็บ log ได้เพียงพอ และดูไทม์ไลน์ทุกจุดที่ผู้บุกรุกแตะ
https://www.csoonline.com/article/4009236/cisos-must-rethink-defense-playbooks-as-cybercriminals-move-faster-smarter.html
0 ความคิดเห็น
0 การแบ่งปัน
34 มุมมอง
0 รีวิว
English