Threat intelligence

ဒီနေ့ Article မှာတော့ Security Teamတွေ ကြားမှာ အပြော များနေတဲ့ Threat Intelligence ဆိုတဲ့ အကြောင်း ဆွေးနွေး ပေးသွားမှာ ဖြစ်ပါတယ်။ ‍‍‍‍‍‍
‍‍‍‍‍‍ 
➡ Threat Intelligence
————————-
Threat Intelligence ဆိုတာ Cyberattack တွေကို ကြိုတင်ကာကွယ်နိုင်တဲ့ သို့မပာုတ် လျော့ချနိုင်တဲ့ နည်းပညာ တစ်ခုလို့ သတ်မှတ်နိုင်ပါတယ်။‍‍‍‍‍‍
‍‍‍‍‍‍ 
ယနေ့ ခေတ်မှာ Cyberattack တွေပာ သာမာန် Threat တွေကနေ Targeted Attack တွေ APT (Advanced Persistent Threat) အဆင့်ထိတောင် ရောက်ရှိလာပါပြီ။ Data Breaches တွေပာလဲ ကမ္ဘာနဲ့ အဝှမ်း ဖြစ်ပျက်နေပါတယ်။ ဒီတော့ Organization တွေ အနေနဲ့ World-wide ဖြစ်နေတဲ့ Threat Pattern တွေ Behavior တွေ ကို Identify လုပ်ပြီး ဒီ Attack တွေ ကို ကာကွယ်ဖို့ ဘယ်လို Decision Making ချမှတ်ရမလဲဆိုတာ သိနိုင်ဖို့ အတွက် Security Team တွေအနေနဲ့ Threat Intelligence ကို အသုံး ပြုသင့်ပါတယ်။‍‍‍‍‍‍
‍‍‍‍‍‍ 
✔ Threat Data နဲ့ Threat Intelligence ကွာခြားပုံ
‍‍‍‍‍‍ 
➡ Threat Data (Threat Feeds)
Threat Data ဆိုတာက Attacker ထောင်ထားတဲ့ Malicious Domain Site တွေ၊ Fake IP Addresses တွေနဲ့ TI Specialist တွေက သတ်မှတ်ထားတဲ့ Malicious File တွေရဲ့ Hash Value တွေစတဲ့ ဒေတာ တွေကို စုစည်း ထားတဲ့ Raw Data Collection ဖြစ်ပါတယ်။ ‍‍‍‍‍‍
‍‍‍‍‍‍ 
➡ Threat Intelligence (TI)
Threat Intelligence မှာ Threat Context မဖြစ်မနေ ပါဝင်ဖို့လိုအပ်ပါတယ်။ Threat Context ဆိုတာ Threat Data တွေ အဖြစ် ရလာတဲ့ Raw Data တွေကို Analyze နဲ့ Refine လုပ်ပြီး Security Team အတွက် သင့်တော်တဲ့ Decision Making တွေ လုပ်နိုင်အောင် Information ပေးနိုင်ပါတယ်။ ‍‍‍‍‍‍
‍‍‍‍‍‍ 
➡ Threat Intelligence ရဲ့ အလုပ်လုပ်ပုံ
Threat Intelligence ကို အိမ်က ကြောင်လေးနှင့် ဥပမာနှိုင်း ပြောပြရမယ်ဆိုပါစို့။ Intelligence ဆိုတာ ကြောင်လေးနှင့်ပါတ်သက်တဲ့Data တချို့နဲ့ ကြောင်ရဲ့ အရင်ကလုပ်ခဲ့တဲ့ ပြုမူခဲ့တဲ့Action တွေပေါ် အခြေခံပါတယ်လို့ဆိုနိုင်တယ်။ ဥပမာ အခြေအနေ တစ်ခုကို ကြည့်လိုက်ကြရအောင်။ ပထမတစ်ချက် ကသူ့ ကို တိုက်နေကျ ရေခွက်ထဲ မှာ ရေမရှိတော့ တဲ့အချိန် ၊ နောက်တစ်ခုက စာရေးသူ ရဲ့စားပွဲ ပေါ်က ရေခွက်ထဲမှာ ရေရှိနေမယ် ဆိုရင် သူက စားပွဲ ပေါ်ကို ခုန်တက်ပြီး ဖန်ခွက်ထဲက ရေကို လာသောက်လေ့ရှိပါတယ်။ ဒါကို Data Feeds တွေအနေနဲ့ ခွဲချ လိုက်ရင် ပထမဆုံးရမဲ့ ဒေတာက ကြောင်ရဲ့ ရေခွက်ထဲ ရေမရှိတော့တာနဲ့ နောက်တစ်ချက်က စာရေးသူ စားပွဲပေါ်ကရေခွက်ထဲ ရေရှိနေမယ်ဆိုရင် ဒီ နှစ်ချက်ကို အခြေခံပြီး Predict လုပ်လိုရနိုင်တာက ကြောင်က စားပွဲ ပေါ်မှာရှိတဲ့ ရေခွက်ထဲက ရေကို လာသောက်လိမ့်မယ်ဆိုတဲ့ တချက် ဖြစ်ပါတယ်။ ဒီ ဥပမာ အတိုင်းပဲ TI ဆိုတာ Case A နဲ့ Case B စတဲ့ ဖြစ်လေ့ ရှိတဲ့ Historical Data တွေကို သုံးပြီး နောက်ထပ် ဖြစ် နိုင် ချေ ရှိတဲ့ Case C ကို Statistically အရ ခန့်မှန်းနိုင်တာပဲ ဖြစ်ပါတယ်။ ‍‍‍‍‍‍
‍‍‍‍‍‍ 
➡ Threat Intelligence Source Types အမျိုးမျိုး
Threat Intelligence ကိုရနိုင် ဖို့ Threat Feeds တွေကို ဘယ်လို Data Sources တွေဆီက Create လုပ်ကြသလဲ။‍‍‍‍‍‍
‍‍‍‍‍‍ 
➡ Malware Processing 
Malware တစ်ခုကို Sandbox Environment မှာ Run ပြီး Malware Pattern တွေကို Threat Data အဖြစ် ပြောင်းလဲခြင်း‍‍‍‍‍‍
‍‍‍‍‍‍ 
➡ Scanning / Crawling
Network သို့မပာုတ် Websites တွေထဲမှာ ရှိနေတဲ့ Vulnerability တွေကို စစ်ဆေးပြီး Threat Data တွေအ ဖြစ်ေ ပြာင်းလဲ ခြင်း‍‍‍‍‍‍
‍‍‍‍‍‍ 
➡ Honeypots
Attacker ကို Trap လုပ်ပြီး သူ့ရဲ့ Attack Behavior ကို Threat Data အ ဖြစ် ပြောင်းလဲ ခြင်း၊‍‍‍‍‍‍‍‍‍‍
‍‍‍‍‍‍ 
➡ Human Intelligence
ဒါကတော့ Human Analyst တွေကနေ တခြား organization တွေ အထောက် အကူ ပြု အောင် Incident တစ်ခုကို ဖန်တီးပြီး Incident ထဲမှာ ပါဝင်တဲ့ Technique တွေ၊ Incident ဖြစ် နေချိန်အတွင်း လုပ်ဆောင်ရမဲ့ Procedures တွေကို Threat Data တွေ အဖြစ် ဖန်တီးခြင်း‍‍‍‍‍‍
‍‍‍‍‍‍ 
➡ Social Listening
Social Listening က Twitter, Linkedin, Facebook စတဲ့ Social Media တွေဆီက Information ရယူခြင်းပဲ ဖြစ်ပါတယ်။ ဒီထဲမှာမှ Twitter ပာဆိုရင် TI Feeds တွေကို Real-Time အနေနဲ့ Sharing လုပ် ပေးနေတာပဲ ဖြစ်ပါတယ်။‍‍‍‍‍‍
‍‍‍‍‍‍ 
Organization တွေ အနေနဲ့ TI Feeds တွေကို အသုံး ပြုတော့မယ် ဆိုရင် ပထမဆုံး စဉ်းစားသင့်တာက ကိုယ့် Organization Requirement နဲ့ ကိုက်ညီမဲ့ TI Feeds တွေကို ရွေးချယ် ဖို့လိုအပ်ပါတယ်။ ဥပမာ- ကိုယ့် Organization က Manufacturing Company တစ်ခု ဖြစ်ပြီး ကိုယ်ရွေးချယ်လိုက်တဲ့ TI feeds တွေက FS-ISAC ဆိုတဲ့ Financial Sector ထဲက TI Feeds တွေ ဖြစ်နေမယ်ဆိုရင် Industry နဲ့ ပတ်သတ်တဲ့ Security Threat တွေကို Focus လုပ်ပေးနိုင်မှာ မပာုတ်ပါဘူး ။ ဘယ်လို Feeds တွေကို စဉ်းစားသင့်သလဲဆိုတော့ ကိုယ့် Organization ရဲ့ Requirement က‍‍‍‍‍‍
‍‍‍‍‍‍ 
1️⃣ Network Infrastructure လား ၊
2️⃣ Current Security Posture တွေပဲ လိုချင်တာလား၊
3️⃣ Finance Sector တွက် TI Feeds တွေ လိုချင်တာလား၊
4️⃣ နောက်ပြီး ဒီ Data Feeds တွေကို ရရင် TI ကို Manage လုပ်နိုင်စွမ်း ကိုယ့် Organization မှာ ရှိပြီလား၊ 
5️⃣ ဒီ TI Data တွေ ကရော Organization တွက် တကယ် အသုံးဝင်တဲ့ Long-Term Knowledge တွေ Strategy တွေ ချမှတ်ပေးနိုင်လား စတဲ့ Requirement တွေကို စဉ်းစားပြီး ကိုယ့်ရဲ့ TI Goal ကို ရှင်းရှင်းလင်းလင်း အကောင်အထည် ဖော်သင့်ပါတယ်။‍‍‍‍‍‍
‍‍‍‍‍‍ 
ဒီ Requirement တွေစဉ်းစားပြီးပြီဆို ရင် TI ကို Implement စလုပ် လို့ရပါပြီ။ ဒါ ဆို မေးစရာ ရှိတာက TI Feeds တွေက Free လား Paid Subscription နဲ့လား။ Public TI Feeds တွေကို Internet ကနေ အလွယ်တကူ Free ရနိုင်သလို Private TI Feeds တွေကိုတော့ Vendor တွေဆီကနေ ဝယ်လို့ ရပါတယ်။‍‍‍‍‍‍
‍‍‍‍‍‍ 
Public Sources for Free Threat Intelligence Feeds
‍‍‍‍‍‍ 
1️⃣ Open-Source Intelligence (OSINT)
2️⃣ Shodan
3️⃣ Threat Connect
4️⃣ Virus Total
5️⃣ Alien Vaults OTX (Open Threat Exchange)
6️⃣ Zeus Tracker
7️⃣ Some Dark Webs That You Can Get Threat Feeds
‍‍‍‍‍‍ 
စတဲ့ Websites တွေကနေ TI Feeds တွေကို Free ရယူနိုင်ပါတယ်။
Public ရတဲ့ TI Feeds တွေမှာတော့ Updated Quality ရှိတဲ့ TI Feeds တွေကိုအမြဲ မရနိုင်ပါဘူး။‍‍‍‍‍‍
‍‍‍‍‍‍ 
➡ Private Threat Intelligence Feeds
‍‍‍‍‍‍ 
Private TI Feeds တွေကို Microsoft Cyber Trust Blog, SecureWorks Blog, Kaspersky စတဲ့ Private Feeds Vendor တွေကနေ ဝယ် ယူလို့ရပါတယ်။‍‍‍‍‍‍
‍‍‍‍‍‍ 
Suggestion ပေးလိုတာကတော့ Private နဲ့ Public TI Feeds (၂) မျိုး လုံးကို စုဆောင်း ထား ခြင်း ဖြင့် ဒီ Historical Data တွေ ကနေ ပိုမို တိကျတဲ့ Threat Intelligence တွေကို ဖန်တီးနိုင် မှာ ဖြစ်ပါတယ်။ ‍‍‍‍‍‍
‍‍‍‍‍‍ 
TI ကို လွန်ခဲ့တဲ့ ၄ ၊ ၅ နှစ် ကာလ တုန်းက Reactive Way အနေနဲ့ အသုံး ပြုနေခဲ့ တာပဲ ဖြစ်ပါတယ်။ Reactive Way ဆိုတာ TI ရဲ့ အလုပ်လုပ်ပုံမှာ ပြောခဲ့ သလို ဖြစ်လာနိုင် ချေ ရှိတဲ့ Task ကို ဆိုးရွားတဲ့ Result မရောက် အောင် Monitoring လုပ်တာ ဖြစ်ပါတယ်။ Reactive Way ဆိုတာ TI ရဲ့ တစိတ်တပိုင်းပဲ ရှိပါသေးတယ်။ TI ရဲ့ အနှစ်သာရ ဖြစ်တဲ့ ကိုယ့်ရဲ့ Network ကို Damage မဖြစ်ခင် ကြိုတင်ကာကွယ်နိုင်တဲ့ Proactive Way အတိုင်း မဖြစ်သေးပါဘူး။ နောက်ထပ် ခန်းမှန်းချေ (၆) နှစ်လောက်ကြာတဲ့ အချိန်မှာ TI ပာ သူ့ရဲ့ Meaning ကို အပြည့်အဝ အကောင်အထည် ဖော်နိုင်တဲ့ အဆင့်ထိ ရောက် လာနိုင်တယ်လို့ Anomaly ရဲ့ Senior Director of Threat Intelligence က ပြောကြားခဲ့ပါတယ်။‍‍‍‍‍‍ 

Don’t forget to share this post!