Security
Threat Hunting Proactive Security
Threat Hunting Proactive Security คืออะไร / ทำไมถึงสำคัญ
Threat Hunting มันคือการที่เรา "ออกล่า" หาภัยคุกคามที่ซ่อนตัวอยู่ในระบบของเราครับ ไม่ใช่แค่รอให้มันมาโจมตีแล้วค่อยแก้ (Reactive) แต่เราต้องคิดเชิงรุก (Proactive) ดักหน้ามันก่อน
สมัยผมทำร้านเน็ต SiamCafe เมื่อ 20 กว่าปีที่แล้ว (ตอนนี้เป็น SiamCafe Blog ไปแล้ว) เราก็ต้องคอยระวังพวกโปรแกรมแฮกเกมส์ หรือพวกไวรัสที่มากับไฟล์เถื่อนต่างๆ นั่นแหละครับ Threat Hunting ก็คล้ายๆ กัน แค่ซับซ้อนกว่าเยอะ
ทำไมถึงสำคัญ? ก็เพราะว่าพวกแฮกเกอร์มันฉลาดขึ้นทุกวันครับ มันรู้ว่าระบบป้องกันของเราทำงานยังไง แล้วมันก็หาวิธีหลบเลี่ยงได้เสมอ Threat Hunting ช่วยให้เราเจอช่องโหว่ที่ยังไม่มีใครรู้ หรือเจอพวก Malicious Activities ที่ระบบอัตโนมัติของเรามองข้ามไป
พื้นฐานที่ต้องรู้
ความเข้าใจในระบบ
อันดับแรกเลย คือเราต้องรู้จักระบบของเราดีพอครับ รู้ว่าปกติมันทำงานยังไง มี Processes อะไรบ้าง Network Traffic เป็นแบบไหน ถ้าเราไม่รู้ว่า "ปกติ" เป็นยังไง เราก็ไม่มีทางรู้ว่าอะไรคือ "ผิดปกติ"
ความรู้ด้าน Security
ต้องมีความรู้พื้นฐานด้าน Security ครับ พวก Malware, Network Protocols, Intrusion Detection System (IDS), Security Information and Event Management (SIEM) อะไรพวกนี้ ถ้าไม่รู้เลย ก็เหมือนเราไปล่าเสือด้วยมือเปล่าครับ
การใช้เครื่องมือ
มีเครื่องมือเยอะแยะให้เลือกใช้ครับ ตั้งแต่ Open Source อย่าง Wireshark, Suricata ไปจนถึง Commercial Solution อย่าง Splunk, QRadar เลือกที่เหมาะกับงบประมาณและความสามารถของเราครับ
วิธีใช้งาน / เริ่มต้นยังไง
การทำ Threat Hunting ไม่ใช่เรื่องยากครับ แต่ต้องมี Mindset ที่ถูกต้อง คือต้องสงสัยอยู่เสมอ ต้องอยากรู้ว่า "มีอะไรซ่อนอยู่หรือเปล่า" ต้องไม่เชื่อใจอะไรง่ายๆ
เริ่มต้นง่ายๆ จากการตั้งสมมติฐานครับ เช่น "ถ้ามีคนพยายาม Brute Force SSH จะเกิดอะไรขึ้น" แล้วก็เริ่มหาหลักฐานที่สนับสนุนหรือหักล้างสมมติฐานนั้น
ขั้นตอนปฏิบัติจริง
Define Scope
กำหนดขอบเขตให้ชัดเจนครับ เราจะ Focus ที่อะไร? Network Traffic? Log Files? Endpoint Devices? ถ้าขอบเขตกว้างเกินไป เราจะเสียเวลาโดยใช่เหตุ
Gather Data
รวบรวมข้อมูลที่เกี่ยวข้องครับ Log Files, Network Packets, System Metrics อะไรก็ได้ที่อาจจะบ่งชี้ถึงภัยคุกคาม
ตัวอย่างการดึง Log จาก Linux Server:
ssh user@server_ip
sudo cat /var/log/auth.log | grep "Failed password"
Analyze Data
วิเคราะห์ข้อมูลที่รวบรวมมาครับ หา Patterns ที่น่าสงสัย หา Anomalies ที่ผิดปกติ
สมัยผมทำร้านเน็ต ผมเคยเจอเคสที่เครื่องลูกข่ายเครื่องนึงส่ง Traffic ไปยัง IP Address แปลกๆ ตลอดเวลา พอตรวจสอบดู ปรากฏว่าเป็น Botnet ครับ
Report and Remediate
ถ้าเจออะไรผิดปกติ ให้ทำรายงานครับ แจ้งให้ผู้ที่เกี่ยวข้องทราบ และดำเนินการแก้ไขโดยเร็ว
เปรียบเทียบกับทางเลือกอื่น
Threat Hunting มันเป็นแค่ส่วนหนึ่งของ Security Strategy ครับ มันไม่ใช่ยาวิเศษที่แก้ได้ทุกปัญหา เราต้องใช้มันควบคู่ไปกับเครื่องมือและเทคนิคอื่นๆ
ยกตัวอย่างเช่น Intrusion Detection System (IDS) มันจะแจ้งเตือนเราเมื่อมีการโจมตีเกิดขึ้น แต่ Threat Hunting จะช่วยให้เราค้นหาภัยคุกคามที่ IDS มองไม่เห็น
| Feature | Threat Hunting | Intrusion Detection System (IDS) |
|---|---|---|
| Approach | Proactive | Reactive |
| Focus | Unidentified Threats | Known Threats |
| Automation | Low | High |
| Human Involvement | High | Low |
อีกทางเลือกคือ Penetration Testing (Pen Test) ซึ่งเป็นการจำลองการโจมตีเพื่อทดสอบความแข็งแกร่งของระบบ แต่ Threat Hunting จะเน้นไปที่การค้นหาภัยคุกคามที่อาจจะซ่อนตัวอยู่ภายในระบบแล้ว
สุดท้ายนี้ อย่าลืมว่า Security เป็น Process ที่ต้องทำอย่างต่อเนื่องครับ ไม่ใช่แค่ Product ที่ซื้อมาแล้วจบ SiamCafe Blog มีบทความเกี่ยวกับ Security อีกเยอะ ลองเข้าไปอ่านดูได้ครับ
Best Practices / เคล็ดลับจากประสบการณ์
เอาล่ะ มาถึงส่วนที่สำคัญที่สุดแล้ว นั่นคือ "ของจริง" ที่ผมเจอมากับตัว สมัยทำร้านเน็ต SiamCafe นี่แหละ บอกเลยว่า threat hunting ไม่ใช่เรื่องของเครื่องมืออย่างเดียว แต่มันคือ "ใจ" และ "ประสบการณ์"
จำไว้เลยน้องๆ เทคนิคเทพแค่ไหน ถ้าใจไม่สู้ ขี้เกียจอ่าน Log ไฟล์ ก็จบเห่! (สมัยก่อน Log นี่ลายแทงเลยนะ)
3-4 เทคนิคที่ใช้ได้จริง
1. รู้จัก "ปกติ" ของตัวเอง: ข้อนี้สำคัญสุดๆ เหมือนหมอที่ต้องรู้จักคนไข้ก่อนรักษา ร้านเน็ตแต่ละร้าน Traffic, User Behavior, โปรแกรมที่ใช้ มันไม่เหมือนกัน เราต้องรู้ว่า "ปกติ" ของร้านเราเป็นยังไง
สมัยผมทำ SiamCafe ผมจะจดสถิติเลยว่า ปกติวันนึงเครื่องนึงเข้าเว็บอะไรบ้าง เล่นเกมอะไรกี่ชั่วโมง ถ้ามีอะไรแปลกๆ โผล่มา เช่น เครื่องนึงโหลดไฟล์แปลกๆ ทั้งวัน นั่นแหละสัญญาณเตือน
2. Log is your friend: Log ไฟล์นี่แหละเพื่อนแท้ของเรา ถึงมันจะเยอะแยะตาลาย แต่ถ้าอ่านเป็น จะเจออะไรเจ๋งๆ เยอะมาก สมัยก่อนไม่มี SIEM Tools แบบสมัยนี้ ผมใช้วิธีง่ายๆ คือใช้ Text Editor เปิด Log ไฟล์ แล้ว Search หา Keyword ที่น่าสงสัย เช่น "error", "failed login", หรือชื่อโปรแกรมแปลกๆ
# ตัวอย่าง script ง่ายๆ ดึง Log จาก Apache
grep "error" /var/log/apache2/error.log
3. Honeypot แบบบ้านๆ: Honeypot ไม่จำเป็นต้องซับซ้อนเสมอไป สมัยผม ผมจะสร้าง Folder ที่ชื่อว่า "Password" หรือ "Important Documents" ไว้บน Desktop แล้ว monitor ดูว่ามีใครเข้าไปยุ่งรึเปล่า ถ้ามีคนไปเปิด Folder นี้ นั่นแปลว่ามีคนกำลังสอดส่องเครื่องเราแล้ว
เคยเจอเคสนึง เด็กมันเข้าไปเปิด Folder นี้ ผมเลยรีบเข้าไปดู Log พบว่ามันกำลังพยายาม Crack รหัส Wifi ของร้านอยู่ เลยจัดการตักเตือนไป
4. จับตาดู Process ที่แปลกปลอม: ใช้ Task Manager (Windows) หรือ Top (Linux) สังเกต Process ที่ใช้ CPU หรือ Network เยอะผิดปกติ หรือ Process ที่ชื่อแปลกๆ ไม่คุ้นเคย นั่นอาจจะเป็น Malware ก็ได้
สมัยก่อนเจอ Malware ที่มันแอบขุด Bitcoin อยู่เบื้องหลังบ่อยมาก สังเกตได้จาก CPU มันจะวิ่ง 100% ตลอดเวลา
FAQ คำถามที่พบบ่อย
ทำไมต้อง Threat Hunting ในเมื่อมี Antivirus อยู่แล้ว?
Antivirus มันเหมือนยามที่เฝ้าหน้าประตู แต่มันจับได้แค่คนที่อยู่ใน Blacklist เท่านั้น ส่วน Threat Hunting คือการที่เราเดินตรวจตราทั่วบ้าน มองหาคนที่แอบเข้ามาทางหน้าต่าง หรือคนที่ disguise ตัวเองเก่งๆ นั่นเอง iCafeForex ช่วยให้คุณเข้าใจเรื่องนี้ได้ดียิ่งขึ้น
Threat Hunting ต้องใช้ Tool อะไรบ้าง?
Tool มันแค่เครื่องมือ สิ่งที่สำคัญกว่าคือ "ความรู้" และ "ประสบการณ์" เริ่มจาก Tool ง่ายๆ อย่าง Text Editor, Task Manager, Command Line ก่อนก็ได้ พอเริ่มคล่องแล้วค่อยไปใช้ Tool ที่ซับซ้อนขึ้น เช่น SIEM Tools, EDR Tools
Threat Hunting ใช้เวลานานแค่ไหน?
มันขึ้นอยู่กับขนาดและความซับซ้อนของระบบ บางทีอาจจะใช้เวลาแค่ไม่กี่ชั่วโมง บางทีอาจจะใช้เวลาเป็นวันเป็นสัปดาห์ สิ่งที่สำคัญคือต้อง "ทำอย่างต่อเนื่อง" ไม่ใช่ทำแค่ตอนที่มีปัญหา
Threat Hunting จำเป็นต้องมีทีม Security หรือเปล่า?
ไม่จำเป็นเสมอไป ถ้าเรามีพื้นฐานความรู้ด้าน IT Security และมี "ใจ" ที่จะเรียนรู้ เราก็สามารถทำ Threat Hunting ได้ด้วยตัวเองได้ SiamCafe Blog มีบทความดีๆ เกี่ยวกับ Security อีกเยอะ ลองไปอ่านดูนะครับ
สรุป
Threat Hunting ไม่ใช่เรื่องยากอย่างที่คิด มันคือการที่เรา "ใส่ใจ" ในระบบของเรา มองหาสิ่งผิดปกติ และพยายามทำความเข้าใจว่ามันเกิดขึ้นได้อย่างไร อย่ากลัวที่จะลองผิดลองถูก และอย่าหยุดที่จะเรียนรู้
จำไว้ว่า "ความรู้" และ "ประสบการณ์" คืออาวุธที่ดีที่สุดในการต่อสู้กับภัยคุกคามทางไซเบอร์
