ภัยคุกคาม (คอมพิวเตอร์)

ในการรักษาความปลอดภัยของคอมพิวเตอร์ภัยคุกคามคือการกระทำเชิงลบที่อาจเกิดขึ้นหรือเหตุการณ์ที่เกิดขึ้นจากช่องโหว่ที่ส่งผลให้เกิดผลกระทบที่ไม่พึงประสงค์ต่อระบบคอมพิวเตอร์หรือแอปพลิเคชัน

ภัยคุกคามอาจเป็นเหตุการณ์เชิงลบ " โดยเจตนา " (เช่น การแฮ็ก: แครกเกอร์รายบุคคลหรือองค์กรอาชญากรรม) หรือเหตุการณ์เชิงลบ "โดยอุบัติเหตุ " (เช่น ความเป็นไปได้ที่คอมพิวเตอร์ทำงานผิดปกติ หรือความเป็นไปได้ของ เหตุการณ์ ภัยพิบัติทางธรรมชาติเช่นแผ่นดินไหวไฟไหม้หรือพายุทอร์นาโด ) หรือสถานการณ์ ความสามารถ การกระทำ หรือเหตุการณ์อื่นใด [1]

สิ่งนี้แตกต่างจากผู้แสดงภัยคุกคามที่เป็นบุคคลหรือกลุ่มที่สามารถดำเนินการกับภัยคุกคามได้ เช่น การใช้ประโยชน์จากช่องโหว่เพื่อสร้างผลกระทบเชิงลบ

คำจำกัดความที่ครอบคลุมมากขึ้นซึ่งเชื่อมโยงกับมุมมองการประกันข้อมูล สามารถพบได้ใน " Federal Information Processing Standards (FIPS) 200, ข้อกำหนดด้านความปลอดภัยขั้นต่ำสำหรับระบบสารสนเทศและข้อมูลของรัฐบาลกลาง " โดยNISTแห่งสหรัฐอเมริกา[2]

พฤติการณ์หรือเหตุการณ์ใดๆ ที่อาจส่งผลเสียต่อการดำเนินงานขององค์กร (รวมถึงภารกิจ หน้าที่ ภาพลักษณ์ หรือชื่อเสียง) ทรัพย์สินขององค์กร หรือบุคคลผ่านระบบสารสนเทศโดยผ่านการเข้าถึง การทำลาย การเปิดเผย การแก้ไขข้อมูล และ/หรือการปฏิเสธโดยไม่ได้รับอนุญาต บริการ. นอกจากนี้ ศักยภาพของแหล่งที่มาของภัยคุกคามในการใช้ประโยชน์จากช่องโหว่ของระบบข้อมูลโดยเฉพาะ

อภิธานศัพท์การประกันข้อมูลแห่งชาติให้คำจำกัดความภัยคุกคามดังนี้:

สถานการณ์หรือเหตุการณ์ใดๆ ที่อาจส่งผลเสียต่อ IS ผ่านการเข้าถึง การทำลาย การเปิดเผย การแก้ไขข้อมูล และ/หรือการปฏิเสธการให้บริการโดยไม่ได้รับอนุญาต

ENISAให้คำจำกัดความที่คล้ายกัน: [3]

สถานการณ์หรือเหตุการณ์ใด ๆ ที่อาจส่งผลเสียต่อสินทรัพย์ [G.3] ผ่านการเข้าถึง การทำลาย การเปิดเผย การแก้ไขข้อมูล และ/หรือการปฏิเสธการให้บริการโดยไม่ได้รับอนุญาต

Open Groupกำหนดภัยคุกคามเป็น: [4]

สิ่งใดก็ตามที่สามารถกระทำการในลักษณะที่ก่อให้เกิดอันตรายต่อทรัพย์สินและ/หรือองค์กร ตัวอย่างเช่น การกระทำของพระเจ้า (สภาพอากาศ เหตุการณ์ทางธรณีวิทยา ฯลฯ ); นักแสดงที่เป็นอันตราย ข้อผิดพลาด; ความล้มเหลว

การวิเคราะห์ปัจจัยความเสี่ยงด้านข้อมูลกำหนดภัยคุกคามดังนี้: [5]

ภัยคุกคามคือสิ่งใดก็ตาม (เช่น วัตถุ วัตถุ มนุษย์ ฯลฯ) ที่สามารถดำเนินการกับทรัพย์สินในลักษณะที่อาจส่งผลให้เกิดอันตรายได้ พายุทอร์นาโดเป็นภัยคุกคาม เช่นเดียวกับน้ำท่วม เช่นเดียวกับแฮกเกอร์ ข้อควรพิจารณาที่สำคัญคือภัยคุกคามใช้กำลัง (น้ำ ลม รหัสช่องโหว่ ฯลฯ) กับสินทรัพย์ที่อาจทำให้เกิดเหตุการณ์การสูญเสียได้

ศูนย์ฝึกอบรมและการศึกษาการประกันข้อมูลแห่งชาติให้คำจำกัดความที่ชัดเจนยิ่งขึ้นเกี่ยวกับภัยคุกคาม : [6] [7]

วิธีการที่แสดงความสามารถหรือเจตนาของตัวแทนภัยคุกคามที่จะส่งผลเสียต่อระบบอัตโนมัติ สิ่งอำนวยความสะดวก หรือการปฏิบัติงาน จัดหมวดหมู่และจำแนกภัยคุกคามได้ดังต่อไปนี้: หมวดหมู่ ประเภทของมนุษย์ โดยไม่ได้ตั้งใจ สิ่งแวดล้อม สร้างขึ้นโดยธรรมชาติ 2. สถานการณ์หรือเหตุการณ์ใด ๆ ที่อาจก่อให้เกิดอันตรายต่อระบบในรูปแบบของการทำลาย การเปิดเผย การดัดแปลง หรือข้อมูล และ/หรือการปฏิเสธการให้บริการ 3. สถานการณ์หรือเหตุการณ์ใด ๆ ที่อาจก่อให้เกิดอันตรายต่อระบบหรือกิจกรรมของ ADP ในรูปแบบของการทำลาย การเปิดเผย และการแก้ไขข้อมูล หรือการปฏิเสธการให้บริการ ภัยคุกคามอาจก่อให้เกิดอันตรายได้ การปรากฏตัวของภัยคุกคามไม่ได้หมายความว่าจะต้องก่อให้เกิดอันตรายอย่างแท้จริง ภัยคุกคามเกิดขึ้นเนื่องจากการมีอยู่ของระบบหรือกิจกรรม ไม่ใช่เพราะจุดอ่อนที่เฉพาะเจาะจงใดๆ ตัวอย่างเช่น ภัยคุกคามจากไฟไหม้มีอยู่ในสถานที่ทุกแห่ง โดยไม่คำนึงถึงปริมาณการป้องกันอัคคีภัยที่มีอยู่ 4. ประเภทของระบบคอมพิวเตอร์ที่เกี่ยวข้องกับเหตุการณ์ไม่พึงประสงค์ (เช่น ภัย) ที่อาจส่งผลให้เกิดการสูญเสีย ตัวอย่าง ได้แก่ น้ำท่วม การก่อวินาศกรรม และการฉ้อโกง 5. การยืนยันที่เกี่ยวข้องกับเอนทิตีของสภาพแวดล้อมภายนอก (ตัวแทน) เป็นหลัก เรากล่าวว่าตัวแทน (หรือกลุ่มตัวแทน) ก่อให้เกิดภัยคุกคามต่อทรัพย์สินหนึ่งรายการขึ้นไป เราเขียน: T(e;i) โดยที่: e เป็นเอนทิตีภายนอก; i เป็นเอนทิตีภายในหรือเซตว่าง 6. เหตุการณ์ไม่พึงประสงค์ที่อาจจะเกิดขึ้นแต่ไม่ได้เกิดจากการกระทำหรือการตัดสินใจอย่างมีสติ ในการวิเคราะห์ภัยคุกคาม ภัยคุกคามถูกกำหนดให้เป็นคู่ที่เรียงลำดับ <peril; หมวดหมู่สินทรัพย์> โดยแนะนำลักษณะของเหตุการณ์เหล่านี้ แต่ไม่ใช่รายละเอียด (รายละเอียดเฉพาะเหตุการณ์) 7. การละเมิดความปลอดภัยที่อาจเกิดขึ้น 8. ชุดของคุณสมบัติของเอนทิตีภายนอกเฉพาะ (ซึ่งอาจเป็นบุคคลหรือกลุ่มของเอนทิตี) ที่เมื่อรวมกับชุดของคุณสมบัติของเอนทิตีภายในเฉพาะ บ่งบอกถึงความเสี่ยง (ตามองค์ความรู้)

ปรากฏการณ์วิทยา

คำว่า "ภัยคุกคาม" เกี่ยวข้องกับข้อกำหนดด้านความปลอดภัยขั้นพื้นฐานอื่นๆ ดังแสดงในแผนภาพต่อไปนี้: [1]

      + - - - - - - - - - - - - - + + - - - - + + - - - - - - - - - - - -+
      | การโจมตี: | |เคาน์เตอร์- | | ทรัพยากรระบบ: |
      | กล่าวคือ การกระทำที่เป็นภัยคุกคาม | | วัด | | เป้าหมายของการโจมตี |
      | +----------+ | | | | +----------------+ |
      | | ผู้โจมตี |<==================||<========= | |
      | | กล่าวคือ | พาสซีฟ | | | | | ช่องโหว่ | |
      | | ภัยคุกคาม |<=================>||<========> | |
      | | ตัวแทน | หรือใช้งานอยู่ | | | | +-------|||-------+ |
      | +----------+ โจมตี | | | | วีวีวี |
      | | | | | ผลที่ตามมาจากภัยคุกคาม |
      + - - - - - - - - - - - - - + + - - - - + + - - - - - - - - - - - -+

ทรัพยากร (ทั้งทางกายภาพหรือทางตรรกะ) อาจมีช่องโหว่ตั้งแต่หนึ่งรายการขึ้นไปที่ตัวแทนภัยคุกคามสามารถนำไปใช้ประโยชน์ในการดำเนินการที่เป็นภัยคุกคาม ผลลัพธ์อาจส่งผลต่อการรักษาความลับความสมบูรณ์หรือ คุณสมบัติ ความพร้อมของทรัพยากร (อาจแตกต่างไปจากที่มีช่องโหว่) ขององค์กรและฝ่ายอื่นๆ ที่เกี่ยวข้อง (ลูกค้า ซัพพลายเออร์)
สิ่งที่เรียกว่าCIA triadเป็นพื้นฐานของ ความปลอดภัย ของ ข้อมูล

การโจมตีสามารถทำงานได้เมื่อพยายามเปลี่ยนแปลงทรัพยากรระบบหรือส่งผลกระทบต่อการดำเนินงาน ดังนั้นจึงส่งผลต่อความสมบูรณ์หรือความพร้อมใช้งาน " การโจมตีแบบพาสซีฟ " พยายามเรียนรู้หรือใช้ข้อมูลจากระบบ แต่ไม่ส่งผลกระทบต่อทรัพยากรระบบ ดังนั้นจึงลดการรักษาความลับ [1]

OWASP: ความสัมพันธ์ระหว่างตัวแทนภัยคุกคามและผลกระทบทางธุรกิจ

OWASP (ดูรูป) แสดงให้เห็นถึงปรากฏการณ์เดียวกันในแง่ที่แตกต่างกันเล็กน้อย: ตัวแทนภัยคุกคามผ่านเวกเตอร์การโจมตีหาประโยชน์จากจุดอ่อน (ช่องโหว่) ของระบบและการควบคุมความปลอดภัย ที่เกี่ยวข้อง ทำให้เกิดผลกระทบทางเทคนิคต่อทรัพยากรไอที (สินทรัพย์) ที่เชื่อมต่อกับธุรกิจ ผลกระทบ.

ชุดนโยบายที่เกี่ยวข้องกับการจัดการความปลอดภัยของข้อมูล คือระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ได้รับการพัฒนาเพื่อจัดการตามหลักการบริหารความเสี่ยงมาตรการรับมือเพื่อให้บรรลุผลตามกลยุทธ์ด้านความปลอดภัยที่จัดทำขึ้นตามกฎและข้อบังคับที่ใช้บังคับใน ประเทศ. มาตรการตอบโต้เรียกอีกอย่างว่าการควบคุมความปลอดภัย เมื่อนำมาใช้กับการส่งข้อมูลจะมีชื่อว่าบริการรักษาความปลอดภัย [8]

ภาพรวมแสดงถึงปัจจัยเสี่ยงของสถานการณ์ความเสี่ยง [9]

การพึ่งพาคอมพิวเตอร์อย่างกว้างขวางและผลที่ตามมาจากการโจมตีที่ประสบความสำเร็จทำให้เกิดคำศัพท์ใหม่สงคราม ไซเบอร์

ปัจจุบันการโจมตีจริงหลายครั้งใช้ประโยชน์จากจิตวิทยาอย่างน้อยพอๆ กับเทคโนโลยี ฟิชชิ่งและการแสดงข้อความล่วงหน้าและวิธีการอื่นๆ เรียกว่าเทคนิควิศวกรรมสังคม [10] แอปพลิเคชัน Web 2.0โดยเฉพาะบริการเครือข่ายโซเชียลอาจเป็นช่องทางในการติดต่อกับบุคคลที่รับผิดชอบด้านการดูแลระบบ หรือแม้แต่ความปลอดภัยของระบบ กระตุ้นให้พวกเขาเปิดเผยข้อมูลที่ละเอียดอ่อน [11]คดีหนึ่งที่มีชื่อเสียงคือRobin Sage [12]

เอกสารที่แพร่หลายที่สุดเกี่ยวกับความไม่มั่นคงทางคอมพิวเตอร์เป็นเรื่องเกี่ยวกับภัยคุกคามทางเทคนิค เช่นไวรัสคอมพิวเตอร์โทรจันและมัลแวร์ อื่นๆ แต่การศึกษาอย่างจริงจังเพื่อใช้มาตรการรับมือที่คุ้มต้นทุนสามารถทำได้หลังจากการวิเคราะห์ความเสี่ยงด้านไอที ที่เข้มงวด ในกรอบการทำงานของ ISMS เท่านั้น: วิธีการทางเทคนิคจะทำให้เกิดการโจมตีทางจิตวิทยาที่กำลังเพิ่มภัยคุกคาม

การจำแนกประเภทภัยคุกคาม

ภัยคุกคามสามารถจำแนกตามประเภทและที่มา: [13]

  • ประเภทของภัยคุกคาม:
    • ความเสียหายทางกายภาพ: ไฟไหม้ น้ำ มลภาวะ
    • เหตุการณ์ทางธรรมชาติ: ภูมิอากาศ แผ่นดินไหว ภูเขาไฟ
    • การสูญเสียบริการที่จำเป็น ได้แก่ ไฟฟ้า เครื่องปรับอากาศ โทรคมนาคม
    • การประนีประนอมของข้อมูล: การดักฟัง การโจรกรรมสื่อ การดึงวัสดุที่ถูกทิ้งกลับมา
    • ความล้มเหลวทางเทคนิค: อุปกรณ์ ซอฟต์แวร์ ความจุอิ่มตัว
    • การประนีประนอมของฟังก์ชั่น: ข้อผิดพลาดในการใช้งาน, การละเมิดสิทธิ, การปฏิเสธการกระทำ

โปรดทราบว่าประเภทภัยคุกคามสามารถมีได้หลายต้นทาง

  • เจตนา: มุ่งเป้าไปที่สินทรัพย์ข้อมูล
    • สอดแนม
    • การประมวลผลข้อมูลที่ผิดกฎหมาย
  • บังเอิญ
    • ความล้มเหลวของอุปกรณ์
    • ความล้มเหลวของซอฟต์แวร์
  • ด้านสิ่งแวดล้อม
    • เหตุการณ์ทางธรรมชาติ
    • การสูญเสียแหล่งจ่ายไฟ
  • ความประมาทเลินเล่อ: ปัจจัยที่ทราบแต่ถูกละเลย ซึ่งส่งผลต่อความปลอดภัยและความยั่งยืนของเครือข่าย

แนวโน้มภัยคุกคาม

แนวโน้มล่าสุดในภัยคุกคามทางคอมพิวเตอร์แสดงให้เห็นถึงการโจมตีแรนซัมแวร์ การโจมตีห่วงโซ่อุปทาน และมัลแวร์ที่ไม่มีไฟล์เพิ่มมากขึ้น การโจมตีแรนซัมแวร์เกี่ยวข้องกับการเข้ารหัสไฟล์ของเหยื่อและการเรียกร้องการชำระเงินเพื่อกู้คืนการเข้าถึง การโจมตีห่วงโซ่อุปทานมุ่งเป้าไปที่จุดอ่อนที่สุดในห่วงโซ่อุปทานเพื่อเข้าถึงเป้าหมายที่มีมูลค่าสูง การโจมตีมัลแวร์แบบไร้ไฟล์ใช้เทคนิคที่อนุญาตให้มัลแวร์ทำงานในหน่วยความจำ ทำให้ยากต่อการตรวจจับ [14]

ภัยคุกคามทั่วไป

ด้านล่างนี้คือภัยคุกคามที่เกิดขึ้นทั่วไปบางประการ:-

●      ไวรัสคอมพิวเตอร์

●      ม้าโทรจัน

●      เวิร์ม

●      รูทคิท

●      สปายแวร์

●      แอดแวร์

●      แรนซัมแวร์

●      มัลแวร์ที่ไม่มีไฟล์

การจำแนกประเภทภัยคุกคาม

Microsoftเผยแพร่ตัวช่วยจำSTRIDE [15]จากชื่อย่อของกลุ่มภัยคุกคาม:

ก่อนหน้านี้ Microsoft ได้จัดอันดับความเสี่ยงของภัยคุกคามด้านความปลอดภัยโดยใช้ห้าหมวดหมู่ในการจัดประเภทที่เรียกว่าDREAD: โมเดลการประเมินความเสี่ยง โมเดลนี้ถือว่าล้าสมัยโดย Microsoft หมวดหมู่คือ:

  • D amage – การโจมตีจะแย่แค่ไหน?
  • ความสามารถในการทำ ซ้ำได้ – การสร้างการโจมตีซ้ำนั้นง่ายแค่ไหน?
  • E xploitability – ต้องใช้ความพยายามมากแค่ไหนในการโจมตี?
  • ผู้ใช้ที่ได้รับผลกระทบ – มีกี่คนที่ได้รับผลกระทบ?
  • ความสามารถในการครอบคลุม D – การค้นหาภัยคุกคามนั้นง่ายแค่ไหน?

ชื่อ DREAD มาจากชื่อย่อของห้าหมวดหมู่ที่ระบุไว้

การแพร่กระจายไปทั่วเครือข่ายภัยคุกคามสามารถนำไปสู่สถานการณ์ที่เป็นอันตรายได้ ในด้านการทหารและพลเรือน มีการกำหนดระดับภัยคุกคาม ตัวอย่างเช่นINFOCONเป็นระดับภัยคุกคามที่สหรัฐอเมริกาใช้ ผู้จำหน่าย ซอฟต์แวร์ป้องกันไวรัสชั้นนำเผยแพร่ระดับภัยคุกคามทั่วโลกบนเว็บไซต์ของตน [16] [17]

ข้อกำหนดที่เกี่ยวข้อง

เจ้าหน้าที่หรือผู้แสดงภัยคุกคาม

คำว่าThreat Agentใช้เพื่อระบุบุคคลหรือกลุ่มที่สามารถแสดงภัยคุกคามได้ เป็นสิ่งสำคัญพื้นฐานในการระบุว่าใครต้องการใช้ประโยชน์จากทรัพย์สินของบริษัท และพวกเขาจะใช้ทรัพย์สินดังกล่าวเพื่อต่อต้านบริษัทได้อย่างไร [18]

บุคคลในกลุ่มประชากรที่เป็นภัยคุกคาม ในทางปฏิบัติทุกคนและทุกสิ่งสามารถเป็นตัวแทนภัยคุกคามได้ ภายใต้สถานการณ์ที่เหมาะสม ไม่ว่าจะเป็นผู้ควบคุมคอมพิวเตอร์ที่มีเจตนาดีแต่ไม่เหมาะสม ซึ่งทำลายงานชุดรายวันโดยการพิมพ์คำสั่งผิด ผู้ควบคุมดูแลทำการตรวจสอบ หรือกระรอกที่เคี้ยวผ่าน สายเคเบิลข้อมูล [5]

ตัวแทนภัยคุกคามสามารถดำเนินการอย่างน้อยหนึ่งอย่างต่อไปนี้กับสินทรัพย์: [5]

  • การเข้าถึง – การเข้าถึงแบบธรรมดาที่ไม่ได้รับอนุญาต
  • การใช้ในทางที่ผิด – การใช้ทรัพย์สินโดยไม่ได้รับอนุญาต (เช่น การขโมยข้อมูลประจำตัว การตั้งค่าบริการเผยแพร่สื่อลามกบนเซิร์ฟเวอร์ที่ถูกบุกรุก ฯลฯ)
  • เปิดเผย – ตัวแทนภัยคุกคามเปิดเผยข้อมูลที่ละเอียดอ่อนอย่างผิดกฎหมาย
  • แก้ไข – การเปลี่ยนแปลงสินทรัพย์โดยไม่ได้รับอนุญาต
  • ปฏิเสธการเข้าถึง – รวมถึงการทำลาย การโจรกรรมสินทรัพย์ที่ไม่ใช่ข้อมูล ฯลฯ

สิ่งสำคัญคือต้องตระหนักว่าการกระทำแต่ละอย่างส่งผลกระทบต่อสินทรัพย์ที่แตกต่างกัน ซึ่งทำให้เกิดระดับและลักษณะของการสูญเสีย ตัวอย่างเช่น ศักยภาพในการสูญเสียความสามารถในการผลิตอันเป็นผลมาจากสินทรัพย์ที่ถูกทำลายหรือถูกขโมยขึ้นอยู่กับว่าสินทรัพย์นั้นมีความสำคัญต่อผลผลิตขององค์กรเพียงใด หากมีการเข้าถึงสินทรัพย์ที่สำคัญอย่างผิดกฎหมาย จะไม่มีการสูญเสียประสิทธิภาพการทำงานโดยตรง ในทำนองเดียวกัน การทำลายสินทรัพย์ที่มีความอ่อนไหวสูงซึ่งไม่ได้มีบทบาทสำคัญในการผลิตจะไม่ส่งผลโดยตรงต่อการสูญเสียผลิตภาพอย่างมีนัยสำคัญ หากเปิดเผยสินทรัพย์เดียวกันนั้น อาจส่งผลให้สูญเสียความได้เปรียบทางการแข่งขันหรือชื่อเสียงอย่างมีนัยสำคัญ และก่อให้เกิดต้นทุนทางกฎหมาย ประเด็นก็คือการผสมผสานระหว่างสินทรัพย์และประเภทของการดำเนินการกับสินทรัพย์จะเป็นตัวกำหนดลักษณะพื้นฐานและระดับของการสูญเสีย การกระทำใดที่ตัวแทนภัยคุกคามทำจะถูกขับเคลื่อนโดยแรงจูงใจของตัวแทนนั้นเป็นหลัก (เช่น ผลประโยชน์ทางการเงิน การแก้แค้น การพักผ่อนหย่อนใจ ฯลฯ) และลักษณะของสินทรัพย์ ตัวอย่างเช่น ตัวแทนภัยคุกคามที่มุ่งหวังผลประโยชน์ทางการเงินมีโอกาสน้อยกว่าที่จะทำลายเซิร์ฟเวอร์ที่สำคัญมากกว่าที่จะขโมยทรัพย์สินที่ pwp ได้ง่ายเช่นแล็ปท็อป [5]

สิ่งสำคัญคือต้องแยกแนวคิดของเหตุการณ์ที่ตัวแทนภัยคุกคามติดต่อกับสินทรัพย์ (แม้จะเสมือน ผ่านเครือข่าย) และเหตุการณ์ที่ตัวแทนภัยคุกคามกระทำต่อสินทรัพย์นั้น [5]

OWASP รวบรวมรายชื่อตัวแทนภัยคุกคามที่อาจเกิดขึ้นเพื่อป้องกันผู้ออกแบบระบบ และโปรแกรมเมอร์แทรกช่องโหว่ในซอฟต์แวร์ [18]

Threat Agent = ความสามารถ + ความตั้งใจ + กิจกรรมที่ผ่านมา

บุคคลและกลุ่มเหล่านี้สามารถจำแนกได้ดังนี้: [18]

  • ไม่ใช่เป้าหมายเฉพาะ: ตัวแทนภัยคุกคามที่ไม่ใช่เป้าหมายเฉพาะ ได้แก่ ไวรัสคอมพิวเตอร์ เวิร์ม โทรจัน และระเบิดลอจิก
  • พนักงาน: พนักงาน ผู้รับเหมา เจ้าหน้าที่ปฏิบัติการ/ซ่อมบำรุง หรือเจ้าหน้าที่รักษาความปลอดภัยที่ก่อกวนบริษัท
  • กลุ่มอาชญากรและอาชญากร: อาชญากรกำหนดเป้าหมายข้อมูลที่มีคุณค่าสำหรับพวกเขา เช่น บัญชีธนาคาร บัตรเครดิต หรือทรัพย์สินทางปัญญาที่สามารถแปลงเป็นเงินได้ อาชญากรมักจะใช้คนวงในมาช่วยเหลือพวกเขา
  • บริษัท: บริษัทมีส่วนร่วมในสงครามข้อมูลที่น่ารังเกียจหรือข่าวกรองทางการแข่งขัน พันธมิตรและคู่แข่งอยู่ภายใต้หมวดหมู่นี้
  • มนุษย์, ไม่ได้ตั้งใจ: อุบัติเหตุ, ความประมาท.
  • มนุษย์, ความตั้งใจ: คนวงใน, คนนอก.
  • ธรรมชาติ: น้ำท่วม ไฟไหม้ ฟ้าผ่า ดาวตก แผ่นดินไหว

แหล่งที่มาของภัยคุกคาม

แหล่งที่มาของภัยคุกคามคือผู้ที่ต้องการประนีประนอมเกิดขึ้น เป็นคำที่ใช้เพื่อแยกความแตกต่างจากตัวแทน/ผู้คุกคามซึ่งเป็นผู้ดำเนินการโจมตี และอาจได้รับคำสั่งหรือชักจูงจากแหล่งภัยคุกคามให้ทำการโจมตีโดยรู้ตัวหรือไม่รู้ตัว [19]

ชุมชนภัยคุกคาม

ชุมชนภัยคุกคาม
กลุ่มย่อยของประชากรตัวแทนภัยคุกคามโดยรวมที่มีลักษณะสำคัญเหมือนกัน แนวคิดเรื่องชุมชนภัยคุกคามเป็นเครื่องมือที่มีประสิทธิภาพในการทำความเข้าใจว่าใครและสิ่งที่เราเผชิญในขณะที่เราพยายามจัดการความเสี่ยง ตัวอย่างเช่น ความน่าจะเป็นที่องค์กรจะถูกโจมตีจากชุมชนภัยคุกคามของผู้ก่อการร้ายจะขึ้นอยู่กับลักษณะขององค์กรของคุณเป็นส่วนใหญ่เมื่อเทียบกับแรงจูงใจ เจตนา และความสามารถของผู้ก่อการร้าย องค์กรมีความเกี่ยวข้องอย่างใกล้ชิดกับอุดมการณ์ที่ขัดแย้งกับกลุ่มก่อการร้ายที่เป็นที่รู้จักและกระตือรือร้นหรือไม่? องค์กรเป็นตัวแทนของเป้าหมายที่มีชื่อเสียงและมีผลกระทบสูงหรือไม่? องค์กรเป็นเป้าหมายอ่อนหรือไม่? องค์กรเปรียบเทียบกับเป้าหมายที่เป็นไปได้อื่นๆ อย่างไร หากองค์กรถูกโจมตี องค์ประกอบใดขององค์กรที่น่าจะเป็นเป้าหมาย? ตัวอย่างเช่น มีความเป็นไปได้มากน้อยเพียงใดที่ผู้ก่อการร้ายจะกำหนดเป้าหมายไปที่ข้อมูลหรือระบบของบริษัท [5]
ชุมชนภัยคุกคามต่อไปนี้เป็นตัวอย่างของภาพรวมภัยคุกคามต่อมนุษย์ที่องค์กรจำนวนมากเผชิญ:
  • ภายใน
    • พนักงาน
    • ผู้รับเหมา (และผู้จำหน่าย)
    • พันธมิตร
  • ภายนอก
    • อาชญากรไซเบอร์ (แฮกเกอร์มืออาชีพ)
    • สายลับ
    • แฮกเกอร์ที่ไม่เป็นมืออาชีพ
    • นักเคลื่อนไหว
    • หน่วยข่าวกรองแห่งชาติ (เช่น หน่วยข่าวกรองของ CIA เป็นต้น)
    • ผู้เขียนมัลแวร์ (ไวรัส/เวิร์ม/อื่นๆ)

การกระทำที่เป็นภัยคุกคาม

การกระทำที่เป็นภัยคุกคามคือการโจมตีความปลอดภัยของระบบ สถาปัตยกรรมความปลอดภัย
ที่สมบูรณ์เกี่ยวข้องกับทั้งการกระทำโดยเจตนา (เช่น การโจมตี) และเหตุการณ์โดยไม่ได้ตั้งใจ [20]

การดำเนินการภัยคุกคามประเภทต่างๆ ได้รับการกำหนดให้เป็นรายการย่อยภายใต้ "ผลที่ตามมาจากภัยคุกคาม"

การวิเคราะห์ภัยคุกคาม

การวิเคราะห์ภัยคุกคามคือการวิเคราะห์ความน่าจะเป็นของเหตุการณ์และผลที่ตามมาของการกระทำที่สร้างความเสียหายต่อระบบ [1]เป็นพื้นฐานของการวิเคราะห์ความเสี่ยง

การสร้างแบบจำลองภัยคุกคาม

การสร้างแบบจำลองภัยคุกคามเป็นกระบวนการที่ช่วยให้องค์กรระบุและจัดลำดับความสำคัญของภัยคุกคามที่อาจเกิดขึ้นกับระบบของตน โดยเกี่ยวข้องกับการวิเคราะห์สถาปัตยกรรมของระบบ ระบุภัยคุกคามที่อาจเกิดขึ้น และจัดลำดับความสำคัญตามผลกระทบและความเป็นไปได้ การใช้การสร้างแบบจำลองภัยคุกคาม องค์กรสามารถพัฒนาแนวทางเชิงรุกด้านความปลอดภัยและจัดลำดับความสำคัญของทรัพยากรเพื่อจัดการกับความเสี่ยงที่สำคัญที่สุด [21]

หน่วยสืบราชการลับภัยคุกคาม

ข้อมูลภัยคุกคามคือการรวบรวมและวิเคราะห์ข้อมูลเกี่ยวกับภัยคุกคามที่อาจเกิดขึ้นและในปัจจุบันต่อองค์กร ข้อมูลนี้อาจรวมถึงตัวบ่งชี้การประนีประนอม เทคนิคการโจมตี และโปรไฟล์ของผู้คุกคาม ด้วยการใช้ข้อมูลภัยคุกคาม องค์กรสามารถพัฒนาความเข้าใจที่ดีขึ้นเกี่ยวกับภาพรวมของภัยคุกคาม และปรับปรุงความสามารถในการตรวจจับและตอบสนองต่อภัยคุกคาม [22]

ผลที่ตามมาจากภัยคุกคาม

ผลที่ตามมาของภัยคุกคามคือการละเมิดความปลอดภัยที่เป็นผลมาจากการกระทำของภัยคุกคาม [1]
รวมถึงการเปิดเผย การหลอกลวง การหยุดชะงัก และการแย่งชิง

รายการย่อยต่อไปนี้อธิบายผลกระทบของภัยคุกคามสี่ประเภท และยังแสดงรายการและอธิบายประเภทของการดำเนินการภัยคุกคามที่ทำให้เกิดผลที่ตามมาแต่ละรายการ [1] การกระทำภัยคุกคามที่เป็นเหตุการณ์โดยไม่ได้ตั้งใจจะถูกทำเครื่องหมายด้วย "*"

"การเปิดเผยโดยไม่ได้รับอนุญาต" (ผลที่ตามมาจากภัยคุกคาม)
สถานการณ์หรือเหตุการณ์ที่หน่วยงานสามารถเข้าถึงข้อมูลที่หน่วยงานไม่ได้รับอนุญาต (ดู: การรักษาความลับของข้อมูล) การกระทำที่เป็นภัยคุกคามต่อไปนี้อาจทำให้เกิดการเปิดเผยโดยไม่ได้รับอนุญาต:
"การรับสัมผัสเชื้อ"
การกระทำที่เป็นภัยคุกคามโดยการเปิดเผยข้อมูลที่ละเอียดอ่อนโดยตรงไปยังหน่วยงานที่ไม่ได้รับอนุญาต ซึ่งรวมถึง:
“จงใจเปิดเผย”
การเปิดเผยข้อมูลที่ละเอียดอ่อนโดยเจตนาไปยังหน่วยงานที่ไม่ได้รับอนุญาต
" การกวาดล้าง "
การค้นหาข้อมูลตกค้างในระบบเพื่อรับความรู้ที่ไม่ได้รับอนุญาตเกี่ยวกับข้อมูลที่ละเอียดอ่อน
* " ข้อผิดพลาดของมนุษย์ "
การกระทำของมนุษย์หรือการไม่กระทำการที่ส่งผลให้องค์กรได้รับความรู้เกี่ยวกับข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
* "ข้อผิดพลาดด้านฮาร์ดแวร์/ซอฟต์แวร์"
ความล้มเหลวของระบบที่ส่งผลให้เอนทิตีได้รับความรู้เกี่ยวกับข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
" การสกัดกั้น ":
การกระทำที่เป็นภัยคุกคามโดยที่หน่วยงานที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลที่ละเอียดอ่อนที่เดินทางโดยตรงระหว่างแหล่งที่มาและปลายทางที่ได้รับอนุญาต ซึ่งรวมถึง:
" ขโมย "
การเข้าถึงข้อมูลที่ละเอียดอ่อนโดยการขโมยการจัดส่งสื่อทางกายภาพ เช่น เทปแม่เหล็กหรือดิสก์ ที่เก็บข้อมูลดังกล่าว
"การดักฟังโทรศัพท์ (พาสซีฟ)"
การตรวจสอบและบันทึกข้อมูลที่ไหลระหว่างจุดสองจุดในระบบสื่อสาร (ดู: การดักฟังโทรศัพท์ )
"การวิเคราะห์การหลั่ง"
การได้รับความรู้โดยตรงเกี่ยวกับข้อมูลที่สื่อสารโดยการตรวจสอบและแก้ไขสัญญาณที่ปล่อยออกมาจากระบบและมีข้อมูลอยู่ แต่ไม่ได้มีจุดมุ่งหมายในการสื่อสารข้อมูล
" การอนุมาน "
การกระทำที่เป็นภัยคุกคามโดยที่หน่วยงานที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลที่ละเอียดอ่อนทางอ้อม (แต่ไม่จำเป็นว่าต้องเป็นข้อมูลที่มีอยู่ในการสื่อสาร) โดยการให้เหตุผลจากคุณลักษณะหรือผลพลอยได้ของการสื่อสาร ซึ่งรวมถึง:
" การวิเคราะห์การจราจร "
ได้รับความรู้เกี่ยวกับข้อมูลโดยการสังเกตลักษณะของการสื่อสารที่นำข้อมูลไป
“การวิเคราะห์สัญญาณ”
การได้รับความรู้ทางอ้อมเกี่ยวกับข้อมูลที่สื่อสารโดยการตรวจสอบและวิเคราะห์สัญญาณที่ปล่อยออกมาจากระบบและมีข้อมูลอยู่ แต่ไม่ได้มีจุดมุ่งหมายในการสื่อสารข้อมูล
"การบุกรุก"
การกระทำที่เป็นภัยคุกคามโดยที่หน่วยงานที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลที่ละเอียดอ่อนโดยการหลีกเลี่ยงการป้องกันความปลอดภัยของระบบ ซึ่งรวมถึง:
"บุกรุก"
การเข้าถึงข้อมูลที่ละเอียดอ่อนทางกายภาพโดยไม่ได้รับอนุญาตโดยการหลีกเลี่ยงการป้องกันของระบบ
"การเจาะ"
เข้าถึงข้อมูลที่ละเอียดอ่อนทางลอจิคัลโดยไม่ได้รับอนุญาตโดยการหลีกเลี่ยงการป้องกันของระบบ
วิศวกรรมย้อนกลับ
การรับข้อมูลที่ละเอียดอ่อนโดยการแยกส่วนและวิเคราะห์การออกแบบส่วนประกอบของระบบ
" การเข้ารหัสลับ "
การแปลงข้อมูลที่เข้ารหัสเป็นข้อความธรรมดาโดยไม่ต้องมีความรู้เกี่ยวกับพารามิเตอร์หรือกระบวนการเข้ารหัสมาก่อน
" การหลอกลวง " (ผลที่ตามมาจากภัยคุกคาม)
เหตุการณ์หรือเหตุการณ์ที่อาจส่งผลให้หน่วยงานที่ได้รับอนุญาตได้รับข้อมูลเท็จและเชื่อว่าเป็นความจริง การดำเนินการภัยคุกคามต่อไปนี้อาจทำให้เกิดการหลอกลวง:
"หน้ากาก"
การกระทำที่เป็นภัยคุกคามโดยที่หน่วยงานที่ไม่ได้รับอนุญาตเข้าถึงระบบหรือดำเนินการที่เป็นอันตรายโดยสวมรอยเป็นหน่วยงานที่ได้รับอนุญาต
"หลอก"
ความพยายามโดยบุคคลที่ไม่ได้รับอนุญาตในการเข้าถึงระบบโดยสวมรอยเป็นผู้ใช้ที่ได้รับอนุญาต
"ตรรกะที่เป็นอันตราย"
ในบริบทของการปลอมแปลง ฮาร์ดแวร์ เฟิร์มแวร์ หรือซอฟต์แวร์ใดๆ (เช่น ม้าโทรจัน) ที่ดูเหมือนว่าจะทำหน้าที่ที่เป็นประโยชน์หรือพึงประสงค์ แต่จริงๆ แล้วได้รับการเข้าถึงทรัพยากรระบบโดยไม่ได้รับอนุญาต หรือหลอกให้ผู้ใช้ดำเนินการตรรกะที่เป็นอันตรายอื่นๆ
" การปลอมแปลง "
การกระทำที่เป็นภัยคุกคามโดยที่ข้อมูลเท็จหลอกลวงหน่วยงานที่ได้รับอนุญาต (ดู: การดักฟังโทรศัพท์ที่ใช้งานอยู่)
"การแทน"
การเปลี่ยนแปลงหรือแทนที่ข้อมูลที่ถูกต้องด้วยข้อมูลเท็จซึ่งทำหน้าที่หลอกลวงหน่วยงานที่ได้รับอนุญาต
"การแทรก"
การแนะนำข้อมูลเท็จที่ทำหน้าที่หลอกลวงหน่วยงานที่ได้รับอนุญาต
"การปฏิเสธ"
การกระทำที่เป็นภัยคุกคามโดยหน่วยงานหนึ่งหลอกลวงผู้อื่นโดยการปฏิเสธความรับผิดชอบต่อการกระทำอย่างไม่ถูกต้อง
“การปฏิเสธแหล่งกำเนิดอันเป็นเท็จ”
การดำเนินการโดยที่ผู้สร้างข้อมูลปฏิเสธความรับผิดชอบในการสร้างข้อมูล
“การปฏิเสธการรับอันเป็นเท็จ”
การกระทำที่ผู้รับข้อมูลปฏิเสธการรับและครอบครองข้อมูล
“การหยุดชะงัก” (ผลที่ตามมาจากภัยคุกคาม)
สถานการณ์หรือเหตุการณ์ที่ขัดขวางหรือป้องกันการทำงานที่ถูกต้องของบริการและฟังก์ชันของระบบ (ดู: การปฏิเสธการให้บริการ ) การกระทำของภัยคุกคามต่อไปนี้อาจทำให้เกิดการหยุดชะงัก:
"ไร้ความสามารถ"
การกระทำที่เป็นภัยคุกคามที่ป้องกันหรือขัดขวางการทำงานของระบบโดยการปิดการใช้งานส่วนประกอบของระบบ
"ตรรกะที่เป็นอันตราย"
ในบริบทของการไร้ความสามารถ ฮาร์ดแวร์ เฟิร์มแวร์ หรือซอฟต์แวร์ใดๆ (เช่น ระเบิดลอจิก) มีเจตนานำเข้าสู่ระบบเพื่อทำลายฟังก์ชันหรือทรัพยากรของระบบ
"การทำลายล้างทางกายภาพ"
การทำลายส่วนประกอบของระบบโดยเจตนาเพื่อขัดขวางหรือป้องกันการทำงานของระบบ
* "ข้อผิดพลาดของมนุษย์"
การดำเนินการหรือการไม่ดำเนินการที่ปิดใช้งานส่วนประกอบของระบบโดยไม่ได้ตั้งใจ
* "ข้อผิดพลาดของฮาร์ดแวร์หรือซอฟต์แวร์"
ข้อผิดพลาดที่ทำให้ส่วนประกอบของระบบล้มเหลวและทำให้การทำงานของระบบหยุดชะงัก
* "ภัยพิบัติทางธรรมชาติ"
ภัยพิบัติทางธรรมชาติใดๆ (เช่น ไฟไหม้ น้ำท่วม แผ่นดินไหว ฟ้าผ่า หรือลม) ที่ทำให้ส่วนประกอบของระบบไม่ทำงาน [20]
" คอรัปชั่น "
การกระทำที่เป็นภัยคุกคามที่เปลี่ยนแปลงการทำงานของระบบอย่างไม่พึงประสงค์โดยการปรับเปลี่ยนฟังก์ชันหรือข้อมูลของระบบในทางลบ
" แทมเปอร์ "
ในบริบทของการทุจริต ให้จงใจแก้ไขตรรกะ ข้อมูล หรือข้อมูลการควบคุมของระบบเพื่อขัดขวางหรือป้องกันการทำงานของฟังก์ชันระบบอย่างถูกต้อง
"ตรรกะที่เป็นอันตราย"
ในบริบทของความเสียหาย ฮาร์ดแวร์ เฟิร์มแวร์ หรือซอฟต์แวร์ใดๆ (เช่น ไวรัสคอมพิวเตอร์) ได้รับการจงใจเข้าสู่ระบบเพื่อแก้ไขฟังก์ชันหรือข้อมูลของระบบ
* "ข้อผิดพลาดของมนุษย์"
การกระทำหรือการไม่กระทำของมนุษย์ที่ส่งผลให้เกิดการเปลี่ยนแปลงฟังก์ชันหรือข้อมูลของระบบโดยไม่ได้ตั้งใจ
* "ข้อผิดพลาดของฮาร์ดแวร์หรือซอฟต์แวร์"
ข้อผิดพลาดที่ส่งผลให้เกิดการเปลี่ยนแปลงฟังก์ชันหรือข้อมูลของระบบ
* "ภัยพิบัติทางธรรมชาติ"
เหตุการณ์ธรรมชาติใดๆ (เช่น ไฟกระชากที่เกิดจากฟ้าผ่า) ที่เปลี่ยนแปลงฟังก์ชันหรือข้อมูลของระบบ [20]
"สิ่งกีดขวาง"
การกระทำที่เป็นภัยคุกคามที่ขัดขวางการให้บริการระบบโดยการขัดขวางการทำงานของระบบ
" การรบกวน "
การหยุดชะงักของการทำงานของระบบโดยการปิดกั้นการสื่อสารหรือข้อมูลผู้ใช้หรือข้อมูลการควบคุม
"โอเวอร์โหลด"
อุปสรรคต่อการทำงานของระบบโดยการวางภาระส่วนเกินให้กับความสามารถด้านประสิทธิภาพของส่วนประกอบของระบบ (ดู: น้ำท่วม .)
" การแย่งชิง " (ผลที่ตามมาจากภัยคุกคาม)
สถานการณ์หรือเหตุการณ์ที่ส่งผลให้มีการควบคุมบริการหรือการทำงานของระบบโดยหน่วยงานที่ไม่ได้รับอนุญาต การกระทำภัยคุกคามต่อไปนี้อาจทำให้เกิดการแย่งชิง:
การยักยอก
การกระทำที่เป็นภัยคุกคามโดยที่เอนทิตีเข้าควบคุมทรัพยากรระบบทางตรรกะหรือทางกายภาพโดยไม่ได้รับอนุญาต
"การโจรกรรมบริการ"
การใช้บริการโดยไม่ได้รับอนุญาตจากหน่วยงาน
"การขโมยฟังก์ชันการทำงาน"
การได้มาซึ่งฮาร์ดแวร์ ซอฟต์แวร์ หรือเฟิร์มแวร์ที่แท้จริงของส่วนประกอบระบบโดยไม่ได้รับอนุญาต
"การขโมยข้อมูล"
การได้มาและการใช้ข้อมูลโดยไม่ได้รับอนุญาต
" การใช้ในทางที่ผิด "
การกระทำที่เป็นภัยคุกคามที่ทำให้ส่วนประกอบของระบบทำหน้าที่หรือบริการที่เป็นอันตรายต่อความปลอดภัยของระบบ
"แทมเปอร์"
ในบริบทของการใช้ในทางที่ผิด การเปลี่ยนแปลงโดยเจตนาในตรรกะ ข้อมูล หรือข้อมูลการควบคุมของระบบ เพื่อทำให้ระบบทำหน้าที่หรือบริการที่ไม่ได้รับอนุญาต
"ตรรกะที่เป็นอันตราย"
ในบริบทของการใช้งานในทางที่ผิด ฮาร์ดแวร์ ซอฟต์แวร์ หรือเฟิร์มแวร์ใดๆ ที่จงใจนำเข้าสู่ระบบเพื่อดำเนินการหรือควบคุมการทำงานของฟังก์ชันหรือบริการที่ไม่ได้รับอนุญาต
“การละเมิดสิทธิ์
การดำเนินการโดยเอนทิตีที่เกินสิทธิ์ของระบบของเอนทิตีโดยการดำเนินการฟังก์ชันที่ไม่ได้รับอนุญาต

ภูมิทัศน์หรือสภาพแวดล้อมภัยคุกคาม

คอลเลกชันของภัยคุกคามในโดเมนหรือบริบทเฉพาะ พร้อมข้อมูลเกี่ยวกับสินทรัพย์ที่มีช่องโหว่ ภัยคุกคาม ความเสี่ยง ผู้ก่อภัยคุกคาม และแนวโน้มที่สังเกตได้ [23] [24]

การจัดการภัยคุกคาม

ภัยคุกคามควรได้รับการจัดการโดยการดำเนินการ ISMS โดยดำเนิน กิจกรรม การจัดการความเสี่ยงด้านไอที ทั้งหมด ที่กฎหมาย มาตรฐาน และวิธีการคาดการณ์ล่วงหน้า

องค์กรขนาดใหญ่มากมีแนวโน้มที่จะนำ แผนการ จัดการความต่อเนื่องทางธุรกิจ มาใช้ เพื่อปกป้อง บำรุงรักษา และกู้คืนกระบวนการและระบบที่สำคัญทางธุรกิจ แผนบางส่วนเหล่านี้คาดว่าจะจัดตั้งทีมตอบสนองเหตุการณ์ความปลอดภัยของคอมพิวเตอร์ ( CSIRT ) หรือทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ ( CERT )

มีการตรวจสอบกระบวนการจัดการภัยคุกคามบางประเภท:

องค์กรส่วนใหญ่ดำเนินการชุดย่อยของขั้นตอนเหล่านี้ โดยใช้มาตรการรับมือตามแนวทางที่ไม่เป็นระบบ: ความไม่มั่นคงทางคอมพิวเตอร์ศึกษาสนามรบของการแสวงหาผลประโยชน์และการป้องกันความปลอดภัยของคอมพิวเตอร์ที่เป็นผลตามมา

ความตระหนักรู้ด้านความปลอดภัยของข้อมูลถือเป็นตลาดที่สำคัญ (ดูหมวดหมู่:บริษัทรักษาความปลอดภัยคอมพิวเตอร์ ) มีซอฟต์แวร์จำนวนมากที่พัฒนาขึ้นเพื่อจัดการกับภัยคุกคามด้านไอที รวมถึงซอฟต์แวร์โอเพ่นซอร์ส (ดูหมวดหมู่:ซอฟต์แวร์รักษาความปลอดภัยฟรี ) และซอฟต์แวร์ที่เป็นกรรมสิทธิ์ (ดูหมวดหมู่:บริษัทซอฟต์แวร์รักษาความปลอดภัยคอมพิวเตอร์สำหรับรายการบางส่วน)

การจัดการภัยคุกคามทางไซเบอร์

การจัดการภัยคุกคามเกี่ยวข้องกับภัยคุกคามที่หลากหลาย รวมถึงภัยคุกคามทางกายภาพ เช่น น้ำท่วมและไฟไหม้ แม้ว่ากระบวนการประเมินความเสี่ยงของ ISMS จะรวมการจัดการภัยคุกคามสำหรับภัยคุกคามทางไซเบอร์ เช่น บัฟเฟอร์ระยะไกลล้น แต่กระบวนการประเมินความเสี่ยงไม่รวมถึงกระบวนการต่างๆ เช่น การจัดการข่าวกรองภัยคุกคามหรือขั้นตอนการตอบสนอง

การจัดการภัยคุกคามทางไซเบอร์ (CTM) กลายเป็นแนวทางปฏิบัติที่ดีที่สุดในการจัดการภัยคุกคามทางไซเบอร์ นอกเหนือจากการประเมินความเสี่ยงขั้นพื้นฐานที่พบใน ISMS ช่วยให้ระบุภัยคุกคามได้ตั้งแต่เนิ่นๆ การรับรู้สถานการณ์โดยอาศัยข้อมูล การตัดสินใจที่แม่นยำ และการดำเนินการบรรเทาภัยคุกคามอย่างทันท่วงที [25]

CTM รวมถึง:

  • การรวบรวมข่าวกรองด้วยตนเองและอัตโนมัติและการวิเคราะห์ภัยคุกคาม
  • วิธีการที่ครอบคลุมสำหรับการตรวจสอบแบบเรียลไทม์ รวมถึงเทคนิคขั้นสูง เช่น การสร้างแบบจำลองพฤติกรรม
  • การใช้การวิเคราะห์ขั้นสูงเพื่อเพิ่มประสิทธิภาพสติปัญญา สร้างข่าวกรองด้านความปลอดภัย และให้ความตระหนักรู้ในสถานการณ์
  • เทคโนโลยีและบุคลากรที่มีทักษะใช้ประโยชน์จากการรับรู้สถานการณ์เพื่อให้สามารถตัดสินใจได้อย่างรวดเร็วและดำเนินการโดยอัตโนมัติหรือด้วยตนเอง

การล่าภัยคุกคาม

การตามล่าภัยคุกคามทางไซเบอร์คือ "กระบวนการค้นหาในเชิงรุกและวนซ้ำผ่านเครือข่ายเพื่อตรวจจับและแยกภัยคุกคามขั้นสูงที่หลบเลี่ยงโซลูชันความปลอดภัยที่มีอยู่" [26]สิ่งนี้ตรงกันข้ามกับมาตรการการจัดการภัยคุกคามแบบดั้งเดิม เช่นไฟร์วอลล์ระบบตรวจจับการบุกรุกและSIEMซึ่งโดยทั่วไปเกี่ยวข้องกับการสืบสวนหลังจากได้รับคำเตือนถึงภัยคุกคามที่อาจเกิดขึ้น หรือมีเหตุการณ์เกิด ขึ้น

การตามล่าหาภัยคุกคามอาจเป็นกระบวนการที่ต้องดำเนินการด้วยตนเอง ซึ่งนักวิเคราะห์ความปลอดภัยจะกรองข้อมูลต่างๆ โดยใช้ความรู้และความคุ้นเคยกับเครือข่ายเพื่อสร้างสมมติฐานเกี่ยวกับภัยคุกคามที่อาจเกิดขึ้น อย่างไรก็ตาม เพื่อให้มีประสิทธิภาพและประสิทธิผลมากยิ่งขึ้น การค้นหาภัยคุกคามอาจเป็นแบบอัตโนมัติบางส่วนหรือแบบใช้เครื่องช่วยก็ได้เช่นกัน ในกรณีนี้ นักวิเคราะห์ใช้ซอฟต์แวร์ที่ควบคุมการเรียนรู้ของเครื่องและการวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (UEBA) เพื่อแจ้งให้นักวิเคราะห์ทราบถึงความเสี่ยงที่อาจเกิดขึ้น นักวิเคราะห์จะตรวจสอบความเสี่ยงที่อาจเกิดขึ้นเหล่านี้ ติดตามพฤติกรรมที่น่าสงสัยในเครือข่าย ดังนั้นการล่าสัตว์จึงเป็นกระบวนการที่ต้องทำซ้ำๆ ซึ่งหมายความว่าจะต้องดำเนินการอย่างต่อเนื่องเป็นวงกลม โดยเริ่มจากสมมติฐาน สมมติฐานมีสามประเภท:

  • ขับเคลื่อนด้วยการวิเคราะห์: "แมชชีนเลิร์นนิงและ UEBA ใช้เพื่อพัฒนาคะแนนความเสี่ยงรวมที่สามารถใช้เป็นสมมติฐานในการค้นหา" [27]
  • ขับเคลื่อนการรับรู้สถานการณ์: "การวิเคราะห์ Crown Jewel, การประเมินความเสี่ยงขององค์กร, แนวโน้มระดับบริษัทหรือพนักงาน" [27]
  • ขับเคลื่อนด้วยข่าวกรอง: "รายงานข่าวกรองภัยคุกคาม ฟีดข่าวกรองภัยคุกคาม การวิเคราะห์มัลแวร์ การสแกนช่องโหว่" [27]

นักวิเคราะห์ค้นคว้าสมมติฐานของตนโดยดูข้อมูลจำนวนมหาศาลเกี่ยวกับเครือข่าย จากนั้นผลลัพธ์จะถูกจัดเก็บเพื่อให้สามารถนำไปใช้ในการปรับปรุงส่วนอัตโนมัติของระบบการตรวจจับ และเพื่อใช้เป็นรากฐานสำหรับสมมติฐานในอนาคต

สถาบันSANSได้ทำการวิจัยและสำรวจเกี่ยวกับประสิทธิผลของการตามล่าภัยคุกคามเพื่อติดตามและขัดขวางศัตรูทางไซเบอร์ตั้งแต่ต้นกระบวนการเท่าที่จะเป็นไปได้ จากการสำรวจที่ดำเนินการในปี 2019 พบว่า "61% [ของผู้ตอบแบบสอบถาม] รายงานการปรับปรุงมาตรการรักษาความปลอดภัยโดยรวมอย่างน้อย 11% ที่วัดผลได้" และ 23.6% ของผู้ตอบแบบสอบถามมีประสบการณ์ "การปรับปรุงที่สำคัญ" ในการลดเวลาการอยู่อาศัย [28]

การบรรเทาภัยคุกคาม

เพื่อป้องกันตัวคุณเองจากภัยคุกคามทางคอมพิวเตอร์ สิ่งสำคัญคือต้องทำให้ซอฟต์แวร์ของคุณทันสมัยอยู่เสมอ ใช้รหัสผ่านที่รัดกุมและไม่ซ้ำใคร และระมัดระวังเมื่อคลิกลิงก์หรือดาวน์โหลดไฟล์แนบ นอกจากนี้ การใช้ซอฟต์แวร์ป้องกันไวรัสและการสำรองข้อมูลของคุณเป็นประจำสามารถช่วยลดผลกระทบของภัยคุกคามได้

ดูสิ่งนี้ด้วย

อ้างอิง

  1. ↑ abcdef Internet Engineering Task Force RFC 2828 อภิธานศัพท์ความปลอดภัยทางอินเทอร์เน็ต
  2. "มาตรฐานการประมวลผลข้อมูลของรัฐบาลกลาง (FIPS) 200, ข้อกำหนดด้านความปลอดภัยขั้นต่ำสำหรับระบบข้อมูลและสารสนเทศของรัฐบาลกลาง" ( PDF) Carc.nist.gov _ สืบค้นเมื่อ5 พฤศจิกายน 2556 .
  3. "อภิธานศัพท์ – เอนิซา". Enisa.europa.eu. 24 กรกฎาคม 2552 . สืบค้นเมื่อ5 พฤศจิกายน 2556 .
  4. อนุกรมวิธานความเสี่ยงมาตรฐานทางเทคนิคISBN 1-931624-77-1หมายเลขเอกสาร: C081 จัดพิมพ์โดย The Open Group, มกราคม 2552 
  5. ↑ abcdef "An Introduction to Factor Analysis of Information Risk (FAIR)" (PDF ) Riskmanagementinsight.com _ พฤศจิกายน 2549 เก็บถาวรจากต้นฉบับ(PDF)เมื่อวันที่ 18 พฤศจิกายน2557 สืบค้นเมื่อ5 พฤศจิกายน 2556 .
  6. ชู, คอเรย์ (1996) คู่มือข้อกำหนด INFOSEC เวอร์ชัน 2.0 ซีดีรอม (มหาวิทยาลัยรัฐไอดาโฮและองค์กรรักษาความปลอดภัยระบบสารสนเทศ)
  7. ^ "อภิธานคำศัพท์". Niatec.info . 12 ธันวาคม 2554 . สืบค้นเมื่อ 13 กุมภาพันธ์ 2555 .
  8. ไรท์, โจ; จิม ฮาร์เมนิง (2009) "15" ใน Vacca จอห์น (บรรณาธิการ) คู่มือคอมพิวเตอร์และความมั่นคงปลอดภัยสารสนเทศ สิ่งพิมพ์ของมอร์แกน คอฟมันน์ เอลส์เวียร์ อิงค์พี. 257. ไอเอสบีเอ็น 978-0-12-374354-1.
  9. ↑ " ISACA กรอบความเสี่ยงด้านไอที" (PDF) ไอซาก้า. org สืบค้นเมื่อ5 พฤศจิกายน 2556 . ( ต้องลงทะเบียน )
  10. วิศวกรรมความปลอดภัย: คำแนะนำในการสร้างระบบกระจายที่เชื่อถือได้ ฉบับพิมพ์ครั้งที่สอง Ross Anderson, Wiley, 2008 – 1,040 หน้าISBN 978-0-470-06852-6บทที่ 2 หน้า 17 
  11. ไบรอัน พรินซ์ (7 เมษายน พ.ศ. 2552) "การใช้ Facebook เพื่อออกแบบสังคมในแบบของคุณเกี่ยวกับความปลอดภัย" อีวีค.คอม. สืบค้นเมื่อ5 พฤศจิกายน 2556 .
  12. "วิศวกรรมสังคมผ่านเครือข่ายโซเชียล". Networkworld.com . 4 ตุลาคม 2553 . สืบค้นเมื่อ 13 กุมภาพันธ์ 2555 .
  13. ISO/IEC, "เทคโนโลยีสารสนเทศ – เทคนิคความปลอดภัย-การจัดการความเสี่ยงด้านความปลอดภัยสารสนเทศ" ISO/IEC FIDIS 27005:2008
  14. "แนวโน้ม สถิติ และข้อเท็จจริงของแรนซัมแวร์ในปี 2023" ความปลอดภัย. สืบค้นเมื่อ9 พฤษภาคม 2566 .
  15. "แบบจำลองภัยคุกคาม STRIDE". msdn.microsoft.com _ 12 พฤศจิกายน 2552 . สืบค้นเมื่อ28 มีนาคม 2560 .
  16. "ข่าวกรองภัยคุกคามของ McAfee | McAfee, Inc." แมคคาเฟ่.com . สืบค้นเมื่อ 13 กุมภาพันธ์ 2555 .
  17. "Threatcon – ไซแมนเทค คอร์ป" ไซแมนเทค.คอม 10 มกราคม 2555 . สืบค้นเมื่อ 13 กุมภาพันธ์ 2555 .
  18. ↑ abc "หมวดหมู่:ตัวแทนภัยคุกคาม" OWASP. 9 ธันวาคม 2554 . สืบค้นเมื่อ 13 กุมภาพันธ์ 2555 .
  19. การประเมินความเสี่ยงทางเทคนิคมาตรฐาน HMG IA หมายเลข 1
  20. ↑ abc "FIPS PUB 31 การประกาศมาตรฐานการประมวลผลข้อมูล ของรัฐบาลกลาง: มิถุนายน 1974" (PDF) ไทรแคร์.มิล. สืบค้นเมื่อ5 พฤศจิกายน 2556 .[ ลิงก์เสียถาวร ]
  21. ^ "การสร้างแบบจำลองภัยคุกคาม | มูลนิธิ OWASP" owasp.org . สืบค้นเมื่อ9 พฤษภาคม 2566 .
  22. ^ "Threat Intelligence คืออะไร | ไอบีเอ็ม" www.ibm.com . สืบค้นเมื่อ9 พฤษภาคม 2566 .
  23. ภูมิทัศน์ภัยคุกคามของ ENISA และแนวทางปฏิบัติที่ดีสำหรับบ้านอัจฉริยะและสื่อแบบหลอมรวม (1 ธันวาคม 2014)
  24. ภาพรวมภัยคุกคามของ ENISA ปี 2013–ภาพรวมของภัยคุกคามทางไซเบอร์ในปัจจุบันและที่กำลังเกิดขึ้น (11 ธันวาคม 2013)
  25. ^ "การจัดการภัยคุกคามทางไซเบอร์คืออะไร" ioctm.org _ สืบค้นเมื่อ 28 มกราคม 2558 .
  26. "การตามล่าภัยคุกคามทางไซเบอร์: วิธีที่กลยุทธ์การตรวจจับช่องโหว่นี้ช่วยให้นักวิเคราะห์ได้เปรียบ – TechRepublic" เทค รีพับลิสืบค้นเมื่อ7 มิถุนายน 2559 .
  27. ↑ abc "การตามล่าภัยคุกคามทางไซเบอร์ – Sqrrl" ตร. สืบค้นเมื่อ7 มิถุนายน 2559 .
  28. ฟุคส์, มาเธียส; เลมอน, โจชัว. "แบบสำรวจการตามล่าภัยคุกคาม SANS 2019: ความต้องการที่แตกต่างกันของนักล่าหน้าใหม่และนักล่าที่มีประสบการณ์" (PDF ) สถาบันแซนส์ . หน้า 2, 16. เก็บถาวร(PDF)จากต้นฉบับเมื่อวันที่ 1 มีนาคม2022 สืบค้นเมื่อ11 พฤษภาคม 2565 .

ลิงค์ภายนอก

  • คำศัพท์ใน FISMApedia
  • กรอบการจัดการภัยคุกคามทางไซเบอร์
ดึงมาจาก "https://en.wikipedia.org/w/index.php?title=Threat_(computer)&oldid=1209009645"