หัวใจของ hunt — Hypothesis-driven#

นักสืบที่ดี ไม่เดินสุ่ม. เขาตั้ง hypothesis (สมมติฐาน) ก่อน. ในวงการ security hypothesis ดี ๆ จะมี pattern นี้:

“ถ้าโจรทำ X — ร่องรอย Y จะอยู่ที่ Z”

ลองนึกตัวอย่างจริงครับ. นักวิจัย security อ่านรายงานล่าสุดของ Mandiant ที่บอกว่า — APT29 (กลุ่ม Cozy Bear ของรัสเซีย — ทำ SolarWinds breach) ตอนเข้าระบบ Windows มักใช้ PowerShell ที่ encode เป็น base64 เพื่อเลี่ยง signature detection

นักสืบที่บริษัทคุณ — อ่านแล้วตั้ง hypothesis:

“ถ้า APT29 เข้ามาในระบบเราแล้ว — PowerShell process ที่มี argument ยาวมาก + เป็น base64 จะปรากฏใน Windows Event Log (EID 4688) บน Domain Controller หรือ workstation ของ admin”

แล้วเขาก็เปิด SIEM ค้น log Windows Event 4688 ที่ CommandLine length > 500 + มี pattern -enc / -EncodedCommand ในช่วง 30 วันย้อนหลัง

— ผลที่ออกมา 90% เป็น script ปกติของฝ่าย IT (ต้อง whitelist). แต่ 10% เหลือ — ต้องไปดูทีละตัว. ถ้าเจอ script ที่ decode แล้วเป็น Mimikatz (เครื่องมือขโมย password ของ Windows) — โจรอยู่ในระบบแล้ว

นี่คือการ hunt — ตั้งสมมติฐาน → query log → กรอง noise → ตรวจสอบ candidate → ส่งต่อให้ IR

สูตรของนักสืบที่ใช้กันในวงการ — PEAK / TaHiTI / MaGMA#

ในวงการ security มีหลาย framework สำหรับ hunting. ที่นิยม:

• PEAK (Prepare / Execute / Act with Knowledge) — Splunk’s hunting framework
• TaHiTI (Targeted Hunting integrating Threat Intelligence) — Dutch banks consortium
• MaGMA UC — use case-driven hunting

แต่ทั้งหมดมี โครงเดียวกัน 4 step:

1. Form hypothesis — สมมติฐานที่ specific และ testable
2. Investigate — query log / endpoint / network — เก็บหลักฐาน
3. Uncover new patterns — ถ้าเจอ — แตกเป็น hunt ใหม่ ถ้าไม่เจอ — บันทึก
4. Inform & enrich — ส่ง finding กลับเข้า SIEM rule + threat intel + IR

Threat hunter ทำอะไรบ้างในแต่ละวัน#

ลองนึกตารางงานของ threat hunter ของบริษัทขนาดกลางครับ:

• เช้า — อ่าน threat intel report ของวันก่อน (Mandiant / CrowdStrike / MISP feed) — มี APT ตัวไหนใหม่ที่ใช้ technique อะไร
• กลางวัน — ตั้ง 2-3 hypothesis ที่ relevant กับ business ของบริษัท (เช่น ถ้าบริษัทเป็น financial — APT38 / Lazarus ของ North Korea เป็น target. ถ้าเป็น healthcare — TrickBot / Ryuk เป็น target)
• บ่าย — เปิด SIEM / EDR ค้น log ตาม hypothesis. ถ้าเจอ candidate ที่น่าสงสัย — investigate ลึก
• เย็น — เขียน finding (เจอหรือไม่เจอ — บันทึกทั้งคู่). ถ้าเจอ → escalate ไป IR. ถ้าไม่เจอ → ส่ง pattern ใหม่กลับเข้า SIEM ให้เป็น automated rule ในรอบหน้า

จุดสำคัญ — threat hunter ไม่ใช่ tier 1 SOC analyst. ทักษะที่ต้องมี:

• เข้าใจ MITRE ATT&CK ระดับลึก (มาแล้วใน EP.39)
• เขียน query SIEM เป็น (Splunk SPL / Elastic KQL / Sentinel KQL)
• รู้ระบบที่ตัวเอง hunt (Windows internals / Linux internals / Cloud audit log)
• อ่าน threat intel ภาษาอังกฤษได้คล่อง
• คิดเป็นโจร ได้ — มี mindset ว่า “ถ้าผมเป็นโจร ผมจะหลบยังไง”

มุมผู้บริหาร: Threat hunter เป็นตำแหน่ง scarce + แพง — เงินเดือน senior ต่างประเทศ $130K-200K/ปี. ถ้าบริษัทคุณยังไม่มี SOC ที่ mature (ตอบ tier 1 alert ทันทุกตัว) — อย่าเพิ่งจ้าง threat hunter ลำดับที่ถูกคือ tier 1 → 2 → 3 → hunter เป็น tier 4. ทางลัดคือ outsource ให้ MDR provider ที่มี hunter ของเขาเอง. คำถามที่ board ควรถาม — “dwell time ของ breach ครั้งล่าสุดของเราเท่าไร?” KPI นี้บอกความเป็นจริงมากกว่า “เรามี SOC ไหม”

IoC — สิ่งที่นิ่ง#

IoC (Indicators of Compromise — ตัวบ่งชี้การถูกบุกรุก) = หลักฐานเชิงข้อเท็จจริง ของการโดน. นึกเหมือนตำรวจในที่เกิดเหตุเก็บ:

• รอยนิ้วมือ บนแก้วน้ำ
• เลือดที่ตก บนพื้น
• ป้ายทะเบียนรถ ที่กล้องจับได้
• DNA ในเส้นผม

ในโลก digital — IoC คือ:

• File hash (MD5 / SHA-256) ของ malware ที่รู้แล้ว
• IP address ของ C2 server (Command and Control — เซิร์ฟเวอร์ที่โจรใช้ควบคุม malware)
• Domain name ที่ malware เรียกหา
• URL ของ phishing page
• Email address ของ sender ที่ส่ง phishing
• Registry key หรือ filename ที่ malware สร้าง

ลักษณะของ IoC = static + atomic — เป็นข้อมูลก้อนเล็ก ๆ ที่ ไม่เปลี่ยน (จนกว่าโจรจะเปลี่ยน)

IoA — สิ่งที่เคลื่อนไหว#

IoA (Indicators of Attack — ตัวบ่งชี้การโจมตี) = พฤติกรรม ของการโจมตี. นึกเหมือนนักจิตวิทยาอาชญากรรมเห็น:

• คนเดินเข้าเข้าออก ๆ ธนาคารเดียวกัน 3 รอบ ในเวลาต่างกัน (= reconnaissance)
• คนใส่เสื้อหนา + แว่นดำ + หมวก ในวันร้อน (= disguise + intent)
• มีคนยืนหลังพนักงาน ATM ระยะ 1 เมตร นาน 2 นาที (= shoulder surfing)

ในโลก digital — IoA คือ:

• process Word.exe spawn PowerShell.exe — Word เปิด PowerShell = แทบจะแน่นอนคือ phishing macro
• service account login จาก IP ที่ไม่เคย — credential ถูกขโมยแล้ว
• rdp connection จาก workstation ของพนักงาน → server หลายตัวใน 5 นาที — lateral movement
• encryption process เรียกใช้ CryptoAPI กับไฟล์ใน Documents folder 100 ไฟล์/นาที — ransomware กำลัง encrypt
• PowerShell ใช้ -EncodedCommand + พยายาม download จาก raw.githubusercontent.com — download stage 2

ลักษณะของ IoA = behavioral + contextual — บอกพฤติกรรมและบริบท ไม่ใช่ข้อมูลก้อนเดียว

ทำไม IoA สำคัญกว่า IoC สำหรับ hunting#

ลองคิดดูครับ — โจรเปลี่ยน hash ของ malware ได้ในไม่กี่นาที. เปลี่ยน byte เดียวใน binary — hash เปลี่ยนทันที. เปลี่ยน C2 IP โดยซื้อ VPS ใหม่ — ใช้เวลา 5 นาที. เปลี่ยน domain — สมัครใหม่ราคา $1

แต่ — โจรเปลี่ยน พฤติกรรม ยากกว่ามาก. ทุกกลุ่ม APT มี playbook ที่เขาทำเป็นและถนัด. APT29 ใช้ PowerShell base64. APT28 ใช้ X-Agent. Lazarus ใช้ Manuscrypt. เปลี่ยนวิธีคิดและ tool ทั้งหมดของทีม = ใช้เวลาเป็นเดือน + ทดสอบใหม่หมด

ดังนั้น — hunt ด้วย IoA = เจอโจรที่เปลี่ยน hash/IP ไปแล้ว. hunt ด้วย IoC อย่างเดียว = เจอแต่โจรหน้าโง่ที่ใช้ตัวเดิม

มุมผู้บริหาร: เวลา vendor มาขายของบอกว่า “เรามี threat intel feed ที่มี IoC 10 ล้านรายการ” — อย่ารีบประทับใจครับ. คำถามที่ควรถามต่อ — “feed นี้มี IoA / TTP ด้วยไหม + map กับ MITRE ATT&CK ไหม + age ของ IoC เฉลี่ยกี่วัน”. IoC ที่อายุเกิน 30 วัน เกือบไม่มีค่า (โจรเปลี่ยนไปแล้ว). product ที่ขาย IoC dump ขนาดใหญ่ แต่ไม่อัปเดต — เป็น vanity metric. สิ่งที่จริง ๆ ป้องกันบริษัทได้ = behavior-based detection + hunt ตาม IoA (กลับไปดู EP.29 หัวข้อ Anomaly + Behavior IDS)

STIX — ภาษามาตรฐานของข่าวโจร#

STIX (Structured Threat Information eXpression — รูปแบบมาตรฐานเล่าข่าวโจร) = JSON schema สำหรับเขียน threat intel ให้ทุกคนอ่านได้

ลองนึก STIX เหมือน แบบฟอร์มแจ้งความ ของวงการ security. ทุกคนใช้ฟอร์มเดียวกัน — เขียนถึง:

• Threat Actor (กลุ่มโจร) — APT29 / Lazarus / FIN7
• Campaign (ปฏิบัติการ) — SolarWinds / NotPetya
• Indicator (IoC) — hash / IP / domain
• Attack Pattern (TTP) — เชื่อมไป MITRE ATT&CK ID
• Malware (ตัวที่ใช้) — Sunburst / TrickBot / Cobalt Strike
• Vulnerability (ช่องโหว่ที่ใช้) — CVE-XXXX-YYYY
• Course of Action (วิธีรับมือ) — patch / block IP / hunt query

แล้วใช้ relationship เชื่อมกัน — “APT29 ใช้ Sunburst”, “Sunburst บ่งชี้โดย hash XYZ”, “Sunburst โจมตี Vulnerability CVE-XXXX”

TAXII — รถส่งข่าวโจร#

TAXII (Trusted Automated eXchange of Intelligence Information — โปรโตคอลส่งข่าวโจรอัตโนมัติ) = HTTPS-based API สำหรับให้ระบบดึงและส่ง STIX กัน

ลองนึก TAXII เหมือน บริการส่งหนังสือพิมพ์ — บริษัท A เป็นผู้พิมพ์ (publisher) → publish STIX feed ทาง TAXII server → บริษัท B, C, D เป็นสมาชิก (subscriber) ดึงไปอ่านอัตโนมัติทุกชั่วโมง

ระบบ SIEM / EDR สมัยใหม่ของวงการรองรับ TAXII โดยตรง — ตั้งค่าให้ subscribe feed ของ vendor ไหนก็ได้ → IoC ใหม่ไหลเข้า SIEM อัตโนมัติ

Provider ของ Threat Intel แบ่งเป็น 3 กลุ่ม#

1. Commercial (เสียเงิน — premium)

• Mandiant Advantage (Google เป็นเจ้าของ) — เน้น APT + nation-state. แพง — ระดับ $10K-50K/ปี
• Recorded Future — เน้น real-time + dark web monitoring
• CrowdStrike Falcon Intelligence — เน้น actor profile + เชื่อมกับ EDR ของตัวเอง
• Microsoft Defender Threat Intelligence (ed. RiskIQ) — เน้น domain + internet-scale data

2. ISAC / ISAO (sectoral — ตามอุตสาหกรรม)

• FS-ISAC (Financial Services) — ธนาคารใน global ทั่วโลก share กัน
• H-ISAC (Healthcare) — โรงพยาบาล + medical device
• E-ISAC (Energy) — power grid + oil & gas
• TH-CERT (ของประเทศไทย) — share ในระดับประเทศ

3. Open Source / Community

• MISP (Malware Information Sharing Platform) — open source platform ที่ใช้เยอะที่สุดในวงการ
• AlienVault OTX — free + community
• Abuse.ch feeds (URLhaus / MalwareBazaar / Feodo Tracker) — free + maintained ดี
• CISA AIS (US CISA Automated Indicator Sharing) — free + รัฐบาลอเมริกา publish

มุมผู้บริหาร: เวลา CISO ขออนุมัติงบ threat intel subscription — board ต้องถามคำถามเดียว — “เราเอา intel นี้ไป operationalize ยังไง?” ถ้าซื้อมาแล้วเก็บใน folder ไม่มีใครอ่าน = เผาเงิน. บริษัทกลาง-เล็กที่งบจำกัด — เริ่มจาก MISP + Abuse.ch feeds ฟรีก่อน + ซื้อ premium feed เฉพาะ APT ที่ target อุตสาหกรรมของตัวเอง

ชั้นที่ 1 (ล่างสุด) — Hash values#

โจรเปลี่ยน hash ได้ เป็นวินาที. เปลี่ยน byte เดียวใน malware = hash ใหม่. ระบบที่ block ตาม hash อย่างเดียว = แค่กรอง malware ที่โง่ที่สุด

ระดับความเจ็บปวดของโจร: เกือบเป็น 0

ชั้นที่ 2 — IP addresses#

โจรซื้อ VPS ใหม่ที่ DigitalOcean / Vultr / AWS = ใช้เวลา 5 นาที + $5. block IP เดียวไม่ทำให้โจรหยุด — แค่ทำให้เปลี่ยน

ระดับความเจ็บปวดของโจร: ต่ำ

ชั้นที่ 3 — Domain names#

ขึ้นมาอีกหน่อย. โจรต้องไป register domain ใหม่ที่ registrar (Namecheap / GoDaddy) — ใช้เวลา 15 นาที + $10-50. ถ้าใช้ DGA (Domain Generation Algorithm — algorithm ที่ malware สุ่มชื่อ domain เอง) ก็ยังต้อง register หลาย domain ล่วงหน้า + รอ DNS propagate

ระดับความเจ็บปวดของโจร: กลาง

ชั้นที่ 4 — Network/Host artifacts#

ขึ้นมาอีก. artifact = ร่องรอยที่ malware ทิ้งไว้ — เช่น User-Agent string เฉพาะที่ malware ใช้, Registry key เฉพาะที่สร้าง, mutex name ที่ใช้กัน multiple instance run พร้อมกัน, file path ที่ drop ลง disk

โจรจะเปลี่ยนพวกนี้ — ต้อง แก้ source code ของ malware + recompile + ทดสอบ. ใช้เวลาเป็นชั่วโมง-วัน

ระดับความเจ็บปวดของโจร: เริ่มน่ารำคาญ

ชั้นที่ 5 — Tools#

ขึ้นไปอีก. tool = เครื่องมือที่โจรใช้ — เช่น Mimikatz (ขโมย password Windows), Cobalt Strike (C2 framework — เป็น tool ที่ปกติใช้ใน red team แต่โจรขโมยมาใช้), PsExec (lateral movement)

ถ้าระบบ defender detect Cobalt Strike ทุกตัว — โจรต้องไป เขียน C2 framework ใหม่ของตัวเอง หรือ ซื้อ commercial alternative. ใช้เวลาสัปดาห์-เดือน + ต้อง test stability ใหม่

ระดับความเจ็บปวดของโจร: สูง — ทำให้ operation ของโจรช้าจริง

ชั้นที่ 6 (ยอดบนสุด) — TTPs#

TTP (Tactics, Techniques, Procedures — กลยุทธ์ เทคนิค ขั้นตอน) = วิธีคิด + วิธีทำงาน ของโจร

ตัวอย่าง TTP ของ APT29:

• ใช้ PowerShell encoded command สำหรับ initial execution
• ใช้ WMI subscription สำหรับ persistence (วิธีที่ Windows จะ run script อัตโนมัติเมื่อมี event)
• ใช้ Kerberoasting สำหรับ credential theft (ขโมย service account hash ผ่าน Kerberos)
• ใช้ scheduled task ที่ตั้งใน HKLM registry สำหรับ persistence

ถ้า defender detect TTP ทุกตัว — โจรต้อง เลิกใช้ playbook เดิม + คิดวิธีใหม่ทั้งหมด. ใช้เวลาเดือน-ปี + ต้องเทรนทีมใหม่ + ต้องทดสอบใหม่ + อาจจะใช้กับ target ต่อไปไม่ได้เลย

ระดับความเจ็บปวดของโจร: สุดยอด — เลิกล้มทั้ง campaign

บทเรียนของ Pyramid#

David Bianco สรุปง่าย ๆ —

“ทำให้โจรเจ็บปวดที่ยอดบนสุดของปิรามิด — ที่ TTP — แล้วเขาจะเลิกล้ม campaign กับคุณ”

defender ส่วนใหญ่ทำที่ชั้นล่าง (hash + IP + domain) — ง่ายต่อการทำ แต่ กระทบโจรน้อย. defender ที่เก่งจริงเล่นที่ชั้นบน — hunt ตาม TTP + map กับ MITRE ATT&CK

นี่คือเหตุผลที่ Threat Hunting + MITRE ATT&CK + IoA เป็นเครื่องมือคู่กัน — เพราะทั้ง 3 ตัวเล่นที่ยอดปิรามิด

มุมผู้บริหาร: ถ้าทีม security ของบริษัทคุณ proud ว่า “ปีนี้เรา block IP โจรไป 50,000 ตัว” — ขอบคุณครับ — แต่นี่คือเล่นที่ชั้นล่าง. โจรไม่เจ็บปวด. คำถามที่ดีกว่า — “ปีนี้เรา detect TTP กี่ตัว + map MITRE ATT&CK ไปได้กี่ Technique + ทำให้โจรกลุ่มไหนต้องเปลี่ยน playbook”. KPI ที่ดีในระดับ board — “จำนวน MITRE ATT&CK Technique ที่ระบบเรา detect ได้” / “ทั้งหมดที่ relevant กับเรา” (= MITRE ATT&CK coverage). บริษัทระดับโลก เป้าหมายอยู่ที่ 60-80% coverage ของ Technique ที่ relevant กับ industry ของตัวเอง

Honeypot — ตู้เซฟปลอมในห้อง#

Honeypot (กับดักแบบหม้อน้ำผึ้ง) = ระบบที่ดูเหมือนของจริง — มี service ที่ดู attractive — แต่ไม่ใช่ระบบจริงของบริษัท. ไม่มี business value — มีแต่หน้าที่ logging ทุกคนที่เข้ามา

ตัวอย่าง — บริษัทตั้ง:

• fake database server ที่ดูเหมือน MySQL ของฝ่าย finance — ชื่อ fin-mysql-prod-01 — port 3306 เปิด + login page ดู authentic
• ใส่ fake credential ที่ public บนเครื่องของฝ่าย IT
• ใส่ fake document ที่ตั้งชื่อ passwords.xlsx + network-diagram-2026.pdf ใน file share ของฝ่ายการเงิน

ใครที่พยายาม login เข้า fake MySQL = โจรกำลัง reconnaissance. alert ทันที. high fidelity

Honeypot แบ่งเป็น 2 ระดับ:

• Low-interaction — emulate แค่ service header (เช่นตอบ “MySQL 8.0” ใน TCP banner) — โจรเข้าได้แต่ทำอะไรไม่ได้ — ง่ายต่อการ deploy แต่หลอกโจร advance ไม่ได้นาน
• High-interaction — real OS + real service ที่ตั้งใจให้โจรเข้าได้ — ดูพฤติกรรมจริงของโจร — เสี่ยงเพราะถ้าโจรเข้าได้จริง อาจใช้เป็น pivot ไปต่อ

Honeynet — เมืองปลอมทั้งย่าน#

Honeynet (เครือข่ายล่อ) = หลาย honeypot ใน network ปลอมทั้งย่าน. ดูเหมือนทั้งบริษัทใน segment เดียว — แต่ไม่มีใครทำงานจริง

ใช้สำหรับ:

• threat research — ดู malware ทำอะไรในระบบเต็มรูป
• ดู attacker behavior ระยะยาว — โจรเดินใน honeynet 2 อาทิตย์ — เก็บ TTP ครบ
• delay attacker — ให้โจรเสียเวลาในย่านปลอม → ทีมจริงมีเวลาตั้งรับ

Canary Token — ตั๋วล่อขนาดเล็กที่วางได้ทุกที่#

Canary token (โทเค็นล่อ — ตั้งชื่อตามนกคีรีย์ในเหมืองถ่านหิน) = ของล่อขนาดเล็ก วางได้ทุกที่ — เมื่อมีใครแตะ → alert

นี่คือ product ของ Thinkst Canary ที่ดังในวงการ. ทำง่าย ใช้ฟรี (free version ที่ canarytokens.org) + paid version สำหรับ enterprise

ลองนึก canary token หลายแบบ:

• fake AWS access key — ใส่ใน file config.py บน server. ถ้าใครเอา key นี้ไปเรียก AWS API — Thinkst เห็น (เพราะ key นี้ลงทะเบียนไว้กับ AWS account ของ Thinkst) → alert
• fake Word/PDF document ที่มีชื่อ attractive (Q4-Bonuses.docx / Layoffs-Plan.pdf). ถ้าใครเปิด — มี macro ที่เรียก URL → alert
• fake DNS record — โจรที่ทำ DNS enumeration → query record นี้ → DNS server เห็น → alert
• fake Active Directory user — ชื่อ service_backup_admin — ถ้าใครพยายาม login เป็น user นี้ — alert
• fake URL ใน robots.txt — โจรที่ทำ recon โดยอ่าน robots.txt → ลองเข้า URL → alert
• fake SSH login — ถ้ามีใคร attempt ssh ไป IP นี้ — alert

ข้อดี — ราคาถูก (free-$1000/ปี) + deploy ใน 10 นาที + false positive แทบเป็น 0 + ครอบคลุมทุกระยะของ Kill Chain

ในวงการมีเคสที่ canary token ของบริษัทหนึ่ง alert ครั้งแรก = ตอนที่ red team ทดสอบ — บริษัทเห็นได้ตั้งแต่ phase recon. ไม่มี security tool ตัวอื่นเห็นในระยะนั้น

Honey credentials — รหัสล่อในตู้เซฟ#

Honey credential (รหัสล่อ) = fake username/password ที่วางไว้ในที่ที่โจรน่าจะหาเจอ — เมื่อใครเอาไปใช้ login → alert

ลองนึกฉาก:

• ในไฟล์ memory dump (snapshot ของ RAM ที่โจรน่าจะ dump เพื่อหา credential) มี string admin:P@ssw0rd2026! ที่จริง ๆ ไม่ใช่ admin จริงของบริษัท — เป็นบัญชี honey ที่ตั้งไว้
• ในไฟล์ LSASS (Local Security Authority Subsystem Service — service ของ Windows ที่เก็บ credential ใน memory ที่ Mimikatz เป้า) มี fake credential วางไว้
• ในไฟล์ password manager export ที่ดูเหมือนถูกเซฟ “เผลอ” บน file share

โจรที่ขโมยเครื่องของ admin → dump credential → เห็น honey credential → ลองใช้ login → alert ทันที + รู้ที่ไหนโจรอยู่ + รู้โจรเก่งระดับไหน

นี่คือเทคนิคที่ใช้กันในวงการ — Microsoft Defender for Identity มี feature Honeytoken account ในตัวอยู่แล้ว

ทำไม Deception เป็นเทคนิคที่ผู้บริหารควรสนใจ#

ในวงการ security เครื่องมือ detection ส่วนใหญ่ — false positive สูง. SIEM alert วันละ 10,000 ครั้ง — analyst ตามไม่ทัน — เกิด alert fatigue — alert จริง ๆ ถูกข้าม

Deception = flip the model:

• false positive ใกล้ 0 — เพราะ ไม่มีใครมีเหตุผลแตะของล่อ ยกเว้นโจร
• alert ทุกตัว = investigate ทันที — เพราะ confidence สูง
• ราคาต่ำ เทียบกับ enterprise SIEM
• ครอบคลุม Kill Chain ทุก phase — recon (DNS honey) / initial access (fake login page) / lateral movement (fake server) / credential theft (honey credential) / data exfil (canary file)

มุมผู้บริหาร: Deception คือ ROI สูงสุดที่บริษัทไทยใช้น้อยมาก เพราะ “ไม่มี vendor มาขาย”. quick win ที่ทำได้คืนนี้ — สมัคร canarytokens.org ฟรี + วาง 20-30 token ตามจุดเสี่ยง (file share / source code repo / admin workstation) + ตั้ง alert ไปที่ Slack. ใช้เวลา 1 ชั่วโมง — ราคา 0 บาท — feedback signal ระดับ highest fidelity ตาม Mandiant + Gartner

Snowden 2013 — เคสที่ internal hunting น่าจะจับได้#

ปี 2013 — Edward Snowden ผู้รับเหมาของ NSA (สำนักงานความมั่นคงแห่งชาติของอเมริกา) ที่ทำงานในศูนย์ของ NSA ที่ Hawaii — ใช้สิทธิ์ admin ของตัวเอง copy ไฟล์ลับ ~1.7 ล้านไฟล์ ลง USB drive — แล้วบิน Hong Kong → ปล่อยให้สื่อ

นี่เป็น insider threat classic — credential ถูกต้อง + access ถูกต้อง + behavior ผิดปกติทั้งหมด

ลองคิดดูครับ — อะไรที่ Snowden ทำที่ threat hunting น่าจะจับได้?

1. mass file access pattern — admin คนหนึ่ง access ไฟล์ระดับ 1.7 ล้านไฟล์ในไม่กี่สัปดาห์ — ผิด baseline ของพนักงาน NSA ปกติ. Anomaly hunt น่าจะเห็น
2. USB write activity — admin write data ปริมาณ TB ลง USB. ระบบ DLP ที่ tune ดี (EP.31) น่าจะเห็น
3. honey document — ถ้า NSA วาง canary token ใน “Top Secret PRISM Implementation Notes.docx” ที่ดู attractive — Snowden จะเปิด → alert. ตอนนั้น NSA ไม่มี deception layer
4. honey credential — credential ของ user สมมุติชื่อ admin_china_intel วางในไฟล์ที่ Snowden จะค้น — ลองใช้ = alert

หลัง Snowden — NSA + รัฐบาลอเมริกา เริ่มลงทุน insider threat detection + deception อย่างจริงจัง. CDM (Continuous Diagnostics and Mitigation) program ของ DHS เริ่ม 2014 — เน้น detect anomaly ของ privileged user

บทเรียนของวงการ — defense ที่ดีที่สุดต่อ insider = anomaly hunt + deception. firewall + segmentation + ZTNA — ทั้งหมดไม่ป้องกัน insider ที่ credential ถูก

Canary success stories ที่วงการพูดถึง#

Thinkst (บริษัทผู้สร้าง Canary) ทำ blog post + conference talk ที่ Black Hat / DEF CON เล่าเคสจริงของลูกค้า (แบบ anonymous) — ตัวอย่างที่ดังในวงการ:

• บริษัทเทคโนโลยีอเมริกันบริษัทหนึ่ง วาง canary token เป็น fake AWS key ใน private GitHub repo. 3 เดือนต่อมา — alert = พนักงานคนหนึ่ง leak repo ออกไปนอก org โดยไม่ตั้งใจ. token alert ให้ — ทีม security เข้าไปจัดการก่อนที่ AWS key จริง (ที่อยู่ใน repo เดียวกัน) จะถูก scrape

• โรงพยาบาลในอเมริกา วาง canary token เป็น “Patient_Records_2023.xlsx” ในไฟล์ share. 2 อาทิตย์หลัง = alert = พนักงาน vendor ภายนอกที่ access เกิน scope. หา conversation รู้ว่าโจรขโมย credential ของ vendor → กำลังค้นเครื่อง

• ธนาคารยุโรปบริษัทหนึ่ง ลงทุน Canary 200 ตัวทั่วทั้งเครือข่าย. ปี 2022 — alert จาก canary ใน VLAN ของ HR — เปิดเผยว่ามีคน lateral movement จาก VLAN ของ developer → HR เพื่อหาข้อมูลพนักงาน

จุดร่วม — ไม่มี SIEM / EDR ตัวอื่นเห็น เพราะโจรใช้ credential ที่ถูกต้อง + พฤติกรรมที่ดูปกติ. canary เห็น เพราะของล่อไม่ควรมีใครแตะ

นี่เป็นเหตุผลที่ Gartner รวม Deception Technology เข้า Hype Cycle for Security Operations เป็น mainstream tool ตั้งแต่ 2019

สิ่งที่ผู้นำต้องจำ#

ข้อหนึ่ง — Detection ที่ดีไม่ใช่เครื่องจักรอย่างเดียว — ต้องมีคน hunt + มีของล่อ

ลองคิดดูครับ. SIEM + EDR + XDR ของ EP.43 = automation ที่ดี — แต่ มีเพดาน. โจรที่ใช้ credential ถูกต้อง + tool ที่มีในระบบอยู่แล้ว (living off the land) + เคลื่อนไหวใน working hours → เครื่องจักรไม่เห็น

ตามรายงาน Mandiant M-Trends — dwell time เฉลี่ย 10 วัน. 10 วันที่โจรเดินในบ้าน — เพราะเครื่องไม่เห็น

วิธีลด dwell time ให้เหลือ < 3 วัน:

• เพิ่ม threat hunter (in-house หรือ MDR vendor) ที่ออก hypothesis hunt อย่างน้อย 2-3 ตัวต่อสัปดาห์
• deploy deception อย่างน้อย canary token 20-30 ตัวในจุดเสี่ยง (ราคาเริ่มต้น = ฟรี)
• map MITRE ATT&CK coverage + ตั้งเป้า 60-80% ของ Technique ที่ relevant กับ industry
• operationalize threat intel — ไม่ใช่ subscribe feed แล้วเก็บใน folder — แต่ auto-ingest + feed ให้ hunter ใช้

KPI ที่ board ควรถาม CISO รายไตรมาส — “hypothesis hunt กี่ตัว/เดือน + canary alert/quarter + MITRE coverage % + dwell time ของ breach ครั้งล่าสุด”

ข้อสอง — เล่นที่ยอด Pyramid of Pain — ไม่ใช่ที่ฐาน

ถ้าทีม security บอก “ปีนี้ block IP โจร 50,000 ตัว” — คุณรู้แล้วว่านี่คือเล่นที่ชั้นล่าง — โจรไม่เจ็บปวด

ถามต่อ — “block TTP กี่ตัว + map ATT&CK Technique กี่ตัว + ทำให้ APT กลุ่มไหนต้องเปลี่ยน playbook”

นี่คือ KPI ที่จริงของ Detection maturity. การลงทุน detection ที่ TTP layer + hunting + deception แพงกว่าและซับซ้อนกว่า — แต่ทำให้โจรเลิกล้ม campaign จริง

เอาตรง ๆ — บริษัทไทยส่วนใหญ่ใช้เงิน 80% ไปกับ prevention layer ของ EP.27-37 + 15% กับ basic detection ของ EP.43 + <5% กับ active defense ของ EP.44. ส่วนผสมที่ดีกว่าตามวงการ — 60% prevention + 25% detection + 15% active defense + hunting. ลองคุยกับ CISO ว่า budget ปีหน้าจะ rebalance ยังไง