SIEM กับ SOAR: ความแตกต่างที่สำคัญ

การจัดการข้อมูลความปลอดภัยและเหตุการณ์ (SIEM) และการจัดการความปลอดภัย ระบบอัตโนมัติ และการตอบสนอง (SOAR) ทำหน้าที่ที่แตกต่างกันแต่ทับซ้อนกันในกรอบงานความปลอดภัยทางไซเบอร์ ในด้านหนึ่ง แพลตฟอร์ม SIEM ให้ข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นโดยการรวบรวมและวิเคราะห์ข้อมูลความปลอดภัยจากแหล่งต่างๆ หน้าที่หลักของพวกเขาคือการระบุภัยคุกคามที่อาจเกิดขึ้นผ่านการวิเคราะห์บันทึกและข้อมูลความปลอดภัยโดยละเอียด ในทางกลับกัน เทคโนโลยี SOAR อยู่ถัดจากการนำเข้าบันทึกของ SIEM โดยให้การวิเคราะห์อัตโนมัติที่มีจุดมุ่งหมายเพื่อจัดลำดับความสำคัญอย่างรวดเร็วและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยที่ถูกตั้งค่าสถานะ

Gartner ระบุแนวโน้มความปลอดภัยทางไซเบอร์ยอดนิยมในปี 2024

การเตรียมความพร้อมด้านความปลอดภัยย่อมต้องพัฒนาอย่างต่อเนื่องเพื่อรับมือความซับซ้อนที่เพิ่มมากขึ้นด้วย Gartner ได้สรุป 6 เทรนด์ด้าน Cybersecurity สำหรับปี 2024 และอนาคตอันใกล้

การจัดการอุปกรณ์เคลื่อนที่ ( MDM )

แนวทางปฏิบัติที่ดีที่สุด 7 ข้อสำหรับการจัดการอุปกรณ์เคลื่อนที่ 1.พัฒนานโยบายอุปกรณ์เคลื่อนที่ที่ครอบคลุมโดยเป็นส่วนหนึ่งของกลยุทธ์ความปลอดภัยทางไซเบอร์โดยรวม ซึ่งระบุถึงการใช้อุปกรณ์เคลื่อนที่ที่ยอมรับได้ขององค์กร รวมถึงการรักษาความปลอดภัยของอุปกรณ์ การปกป้องข้อมูล และแนวทางการใช้งานแอป นโยบายนี้ควรได้รับการตรวจสอบเป็นประจำกับผู้มีส่วนได้ส่วนเสียด้านไอที ความปลอดภัย และธุรกิจ และสื่อสารกับพนักงานอย่างสม่ำเสมอ 2. กำหนดนโยบายการใช้งานเป็นส่วนหนึ่งของนโยบายอุปกรณ์เคลื่อนที่แบบครอบคลุมหรือเป็นนโยบายแบบสแตนด์อโลนสำหรับอุปกรณ์ขององค์กร โดยเริ่มจากกฎที่จัดทำเป็นเอกสารเกี่ยวกับการใช้ข้อมูล การโรมมิ่ง และการโทรระหว่างประเทศ 3. ใช้แพลตฟอร์ม MDM เพื่อจัดการและรักษาความปลอดภัยอุปกรณ์ของบริษัทและอุปกรณ์ BYOD ที่จะช่วยให้คุณสามารถล้างข้อมูลอุปกรณ์ที่สูญหายหรือถูกขโมยจากระยะไกล ตรวจสอบการใช้งานอุปกรณ์ รวมถึงค่าใช้จ่ายมือถือ/ข้อมูล และทำการอัปเดตและแพตช์ด้านความปลอดภัยโดยอัตโนมัติ 4.พัฒนามาตรฐานการกำหนดค่าที่ปลอดภัยสำหรับอุปกรณ์ขององค์กร รวมถึงการตั้งค่าอุปกรณ์ให้รับการอัปเดตความปลอดภัยผ่านทางอากาศ (OTA) มาตรฐานอุปกรณ์ควรประกอบด้วยรหัสผ่านที่รัดกุม พื้นที่เก็บข้อมูลที่เข้ารหัสเพื่อความปลอดภัยของข้อมูล และการล็อคอุปกรณ์อัตโนมัติ 5. ทำงานร่วมกับผู้ให้บริการมือถือของคุณเพื่อเลือกแผนองค์กรที่เหมาะสม ซึ่งโดยทั่วไปคือกลุ่มข้อมูลที่ใช้ร่วมกัน ซึ่งช่วยให้องค์กรของคุณประหยัดเงินได้มากที่สุด 6.การฝึกอบรมพนักงานเกี่ยวกับการรักษาความปลอดภัยอุปกรณ์เคลื่อนที่โดยเริ่มจากแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยอุปกรณ์ส่วนบุคคลของตน การฝึกอบรมควรครอบคลุมถึงความปลอดภัยของอุปกรณ์ของบริษัทและความสำคัญของการรักษาข้อมูลของบริษัท โดยเฉพาะอย่างยิ่งหากองค์กรต้องปฏิบัติตามโปรแกรมการปฏิบัติตามข้อกำหนดของอุตสาหกรรม เช่น Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI- DSS) และพระราชบัญญัติ Sarbanes-Oxley การฝึกอบรมจะต้องครอบคลุมถึงผลที่ตามมาจากการไม่ปฏิบัติตามข้อกำหนดสำหรับองค์กรและพนักงาน 7.จัดการฝึกอบรมด้านความปลอดภัยเฉพาะของ BYOD หากองค์กรต้องอาศัยพนักงานอย่างมากโดยใช้อุปกรณ์ของตนเองในการทำงาน การฝึกอบรมดังกล่าวควรเน้นไปที่วิธีที่องค์กรปกป้องข้อมูลองค์กรบนอุปกรณ์ส่วนบุคคลโดยไม่กระทบต่อข้อมูลส่วนบุคคลของพนักงาน

ค้นพบเป้าหมายใหม่ในการโจมตีทางไซเบอร์ มุ่งเป้าไปที่ภาคพลังงานในเดนมาร์ก

การโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่ภาคพลังงานในเดนมาร์กเมื่อปีที่แล้วอาจไม่เกี่ยวข้องกับกลุ่มแฮ็ก Sandworm ที่เชื่อมโยงกับรัสเซีย ซึ่งเป็นข้อค้นพบใหม่จากการแสดง Forescout

การวางแผนสำหรับข้อผิดพลาดจากมนุษย์: การเพิ่มประสิทธิภาพอุปกรณ์เคลื่อนที่ด้วยข้อมูลประจำตัวดิจิทัล

90% ของการโจมตีทางไซเบอร์ที่ประสบความสำเร็จ และ 70% ของการละเมิดข้อมูลที่ประสบความสำเร็จนั้นเกิดขึ้นที่อุปกรณ์ปลายทาง หากไม่มีกลยุทธ์มือถือที่เน้นพนักงานเป็นศูนย์กลางในการวางแผนเชิงรุกสำหรับการใช้งานอุปกรณ์มือถือ แม้แต่อุปกรณ์มือถือที่เป็นขององค์กรและใช้ร่วมกันก็อาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยอย่างมีนัยสำคัญ เปลืองงบประมาณ และทรัพยากรด้านไอที หรือถูกผลักไสให้อยู่ในลิ้นชักหรือชั้นวาง ตามรายงานของ Verizon ปี 2023 คาดว่า 90% ของการโจมตีทางไซเบอร์ที่ประสบความสำเร็จ และ 70% ของการละเมิดข้อมูลที่ประสบความสำเร็จนั้นเกิดขึ้นที่ อุปกรณ์ ปลายทาง การจัดการกับปัจจัยมนุษย์ในการใช้อุปกรณ์ถือเป็นสิ่งสำคัญในการรับรองความปลอดภัยและการปฏิบัติตามข้อกำหนด ในขณะเดียวกันก็เพิ่มการลงทุนบนอุปกรณ์เคลื่อนที่ให้สูงสุด

กระทรวงโทรคมนาคมยักษ์ใหญ่ของไต้หวัน ถูกขโมยข้อมูลเอกสารทางการทหารและรัฐบาล จาก Hacker จำนวน 1.7 เทราไบต์

จากการเปิดเผยโดยกระทรวงกลาโหมของไต้หวันได้เปิดเผยว่า Threat actor ได้มีการขโมยข้อมูลที่ละเอียดอ่อนจากบริษัท รวมถึงเอกสารทางการทหารและรัฐบาลจำนวน 1.7 เทราไบต์

แฮกเกอร์ชาวจีนใช้ประโยชน์จากข้อบกพร่องของ Ivanti VPN เพื่อติดตั้งมัลแวร์ใหม่

กลุ่มจารกรรมทางไซเบอร์ที่ต้องสงสัยอย่างน้อยสองกลุ่มที่เชื่อมโยงกับจีน ซึ่งติดตามในชื่อ UNC5325และ UNC3886 มีสาเหตุมาจากการใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยในอุปกรณ์ Ivanti Connect Secure VPN UNC5325 ใช้ CVE-2024-21893 ในทางที่ผิด เพื่อส่งมัลแวร์ใหม่หลายประเภทที่เรียกว่า LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET และ PITHOOK รวมถึงพยายามรักษาการเข้าถึงอุปกรณ์ที่ถูกบุกรุกอย่างต่อเนื่อง Mandiant กล่าว บริษัทข่าวกรองภัยคุกคามที่ Google เป็นเจ้าของได้ประเมินด้วยความมั่นใจปานกลางว่า UNC5325 มีความเกี่ยวข้องกับ UNC3886 เนื่องจากซอร์สโค้ดซ้อนทับกันใน LITTLELAMB.WOOLTEA และ PITHOOK ด้วยมัลแวร์ที่ใช้โดยรุ่นหลัง

เว็บไซต์ของแก๊งแรนซัมแวร์ LockBit ถูกยึดครองโดยหน่วยงานบังคับใช้กฎหมายระหว่างประเทศ

เว็บไซต์ .onion ของกลุ่มกลุ่ม LOCKBIT จะแสดงข้อความ "ขณะนี้เว็บไซต์นี้อยู่ภายใต้การควบคุมของการบังคับใช้กฎหมาย" ของสำนักงานอาชญากรรมแห่งชาติ (NCA) ของสหราชอาณาจักร

ช่องโหว่ Wi-Fi ใหม่เปิดเผยอุปกรณ์ Android และ Linux แก่แฮกเกอร์

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุข้อบกพร่องในการเลี่ยงการรับรองความถูกต้องสองประการในซอฟต์แวร์ Wi-Fi โอเพ่นซอร์สที่พบในอุปกรณ์ Android, Linux และ ChromeOS ที่อาจหลอกให้ผู้ใช้เข้าร่วมโคลนที่เป็นอันตรายของเครือข่ายที่ถูกกฎหมายหรืออนุญาตให้ผู้โจมตีเข้าร่วมเครือข่ายที่เชื่อถือได้โดยไม่ต้องใช้รหัสผ่าน . ช่องโหว่ดังกล่าวซึ่งติดตามในชื่อ CVE-2023-52160 และ CVE-2023-52161 ถูกค้นพบหลังจากการประเมินความปลอดภัยของ wpa_supplicant และ iNet Wireless Daemon ( IWD ) ของ Intel ตามลำดับ ข้อบกพร่อง "ทำให้ผู้โจมตีหลอกเหยื่อให้เชื่อมต่อกับโคลนที่เป็นอันตรายของเครือข่ายที่เชื่อถือได้และสกัดกั้นการรับส่งข้อมูลและเข้าร่วมเครือข่ายที่ปลอดภัยโดยไม่ต้องใช้รหัสผ่าน" Top10VPN กล่าวในการวิจัยใหม่ที่ดำเนินการร่วมกับ Mathy Vanhoef ซึ่งเคยเปิดเผย เช่น KRACK , DragonBlood และ TunnelCrack