Slide 1
การตรวจจับภัยคุกคามอย่างต่อเนื่อง

ตรวจจับภัยคุกคามที่คนอื่นพลาด
ลดเวลาเฉลี่ยในการระบุภัยคุกคาม
ค้นหาสาเหตุที่แท้จริงและหลีกเลี่ยงการแพร่เชื้อซ้ำ

บทนำ

ทำไมคุณถึงต้องการการตรวจจับภัยคุกคามอย่างต่อเนื่อง

มัลแวร์ใหม่ 350,000 สายพันธุ์ทุกวัน

•การควบคุมความปลอดภัยที่มีอยู่ของคุณสามารถบล็อกได้เพียง 99.5% เท่านั้น
•นั่นหมายความว่า 1,750 การโจมตีของมัลแวร์ใหม่ทุกวันสามารถเลี่ยงอุปกรณ์รักษาความปลอดภัยของคุณได้

มีการผลิตมัลแวร์และไวรัสใหม่ๆ ทุกวัน ตามสถาบัน AV-TEST มีตัวอย่างมัลแวร์ใหม่กว่า 350,000 ตัวอย่างที่ลงทะเบียนทุกวัน ดังนั้น คุณสามารถจินตนาการได้ว่าหากการควบคุมความปลอดภัยที่มีอยู่ของคุณสามารถบล็อกมัลแวร์ใหม่ได้ 99.5% ทุกวัน ยังมีภัยคุกคามจากมัลแวร์มากกว่า 1,750 รายการที่สามารถข้ามการควบคุมความปลอดภัยและเข้าสู่เครือข่ายของคุณได้ ที่แย่กว่านั้น การศึกษาแสดงให้เห็นว่าการควบคุมความปลอดภัยขององค์กรส่วนใหญ่ไม่สามารถป้องกันมัลแวร์ใหม่ได้ถึง 50%

 

อาวุธ AI เพิ่มความซับซ้อน

•การปกปิดด้วย AI AI
•DGA Botnets
•ทริกเกอร์ AI

ปัญญาประดิษฐ์ (AI) ได้กลายเป็นเทคโนโลยีที่สำคัญสำหรับแฮกเกอร์ พวกเขาได้ค้นพบวิธีสร้างอาวุธให้กับ AI ทำให้มัลแวร์มีความซับซ้อนมากขึ้น การปกปิดที่ขับเคลื่อนด้วย AI ช่วยให้มัลแวร์สามารถปกปิดเพย์โหลดที่เป็นอันตรายและเลี่ยงการตรวจจับความปลอดภัยได้ บ็อตเน็ตอัลกอริธึมการสร้างโดเมน (DGA) สามารถสร้างชื่อโดเมนใหม่และชื่อโดเมนแบบใช้ครั้งเดียวแบบไดนามิกเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ Command & Control และทริกเกอร์ AI สามารถใช้เทคนิคการตรวจสอบ เช่น การจดจำใบหน้า เพื่อระบุและโจมตีเป้าหมาย

 

เทคนิคการหลีกเลี่ยงแซนด์บ็อกซ์

แฮกเกอร์ได้พัฒนาเทคโนโลยีที่พัฒนาแล้วเพื่อเลี่ยงผ่านแซนด์บ็อกซ์ต่อต้านไวรัสและมัลแวร์ เทคโนโลยีการหลีกเลี่ยงแซนด์บ็อกซ์ เช่น

•การดำเนินการล่าช้า
•การตรวจจับฮาร์ดแวร์
•การตรวจจับซีพียู
•การตรวจจับผู้ใช้
•การตรวจจับสภาพแวดล้อม

เป็นเทคนิคที่ใช้กันทั่วไปโดยแฮกเกอร์ในปัจจุบัน วิธีการใดๆ เหล่านี้สามารถทำให้เพย์โหลดที่เป็นอันตรายมองไม่เห็น หลอกแซนด์บ็อกซ์และหลบเลี่ยงการตรวจจับได้อย่างง่ายดาย แน่นอนว่ามีมากกว่าหนึ่งเทคนิคที่สร้างมาในมัลแวร์

 

ทีมรักษาความปลอดภัยต้องเปลี่ยนความคิด

threatdetectpic1
การป้องกันเพียงอย่างเดียวไม่สามารถหยุดการโจมตีได้ ทีมรักษาความปลอดภัยต้องตระหนักว่าภัยคุกคามใหม่ต้องการกระบวนทัศน์ใหม่เพื่อป้องกันภัยคุกคามเหล่านั้น การเปลี่ยนทัศนคติจากการป้องกันไม่ให้ผู้โจมตีออกจากเครือข่ายไปเป็นการสันนิษฐานว่าแฮ็กเกอร์อยู่ในเครือข่ายแล้ว จะช่วยพัฒนากลยุทธ์ที่แข็งแกร่งยิ่งขึ้นในการระบุและหยุดการโจมตีก่อนที่จะสร้างความเสียหาย

การทำความเข้าใจ Mean-time-to-identify (MTTI) และ Mean-time-to-Response (MTTR) เป็นสิ่งสำคัญ เหตุการณ์ด้านความปลอดภัยอาจกลายเป็นการละเมิดได้หากมีเวลาหลายเดือนในการแพร่กระจายทั่วทั้งเครือข่าย ทีมรักษาความปลอดภัยจำเป็นต้องค้นหาและแก้ไขช่องว่างด้านความปลอดภัยเพื่อลด MTTI และ MTTR ยิ่งคุณค้นหาและตอบสนองได้เร็วเท่าใด ความเสียหายก็จะยิ่งน้อยลงเท่านั้น

threatdetectlogo1

ปัญญาประดิษฐ์

•การสร้างแบบจำลองพฤติกรรมแบบไดนามิก
•พฤติกรรมผู้ใช้ที่ผิดปกติ (UEBA)
•Sangfor Neural-X บูรณาการ

threatdetectlogo2

ครอบคลุมเครือข่ายที่สมบูรณ์

•การจราจรเหนือ-ใต้
•จราจรตะวันออก-ตะวันตก
•บันทึกเกตเวย์เครือข่าย
•บันทึกปลายทาง
•การตรวจสอบผู้ใช้

threatdetectlogo3

ตรวจจับได้มากขึ้น

•การคุกคาม/การโจมตีที่รู้จักและไม่รู้จัก
•ทรัพย์สินที่รู้จัก ไม่รู้จักและหลอกลวง
•การโจมตีที่หลบเลี่ยงการควบคุมที่มีอยู่อย่างเงียบ ๆ
•ภัยคุกคามจากภายใน