Okta ได้ประกาศเปิดตัว Auth0 Customer Detection Catalog ซึ่งเป็น repository แบบโอเพ่นซอร์สที่ถูกออกแบบมาเพื่อเพิ่มประสิทธิภาพในการตรวจจับภัยคุกคามเชิงรุกสำหรับลูกค้า Auth0
การเปิดตัวเชิงกลยุทธ์นี้ถือเป็นก้าวสำคัญของการรักษาความปลอดภัยด้านการจัดการข้อมูล identity และ access management ช่วยให้ทีมงานด้านความปลอดภัยมี detection rules ที่ซับซ้อน เพื่อระบุ และตอบสนองต่อภัยคุกคามที่เกิดขึ้นใหม่ในโครงสร้างพื้นฐานการ authentication
Auth0 Customer Detection Catalog
repository นี้จัดเตรียม detection queries ที่สร้างไว้ล่วงหน้า โดยได้รับการสนับสนุนจากทั้งทีมงานของ Okta และชุมชนด้านความปลอดภัยในวงกว้าง โดยมุ่งเน้นไปที่การตรวจจับกิจกรรมที่น่าสงสัย เช่น พฤติกรรมผู้ใช้ที่ผิดปกติ, ความพยายามเข้ายึดบัญชี และการตั้งค่าที่ผิดพลาดซึ่งอาจส่งผลร้ายแรง
แคตตาล็อกนี้ใช้ Sigma-compatible rules โดยอาศัยรูปแบบ Signature มาตรฐานที่ช่วยให้สามารถผสานเข้ากับแพลตฟอร์ม SIEM และเครื่องมือวิเคราะห์ Log ได้อย่างราบรื่น
ทีมรักษาความปลอดภัยสามารถใช้เครื่องมือ sigma-cli converter เพื่อแปลง detection rules เหล่านี้ให้เป็นภาษา query เฉพาะที่รองรับกับโครงสร้างพื้นฐานการ monitoring ที่ใช้งานอยู่
วิธีการนี้ช่วยลดความจำเป็นในการเขียน rules ใหม่จำนวนมาก ขณะเดียวกันก็ยังคงประสิทธิภาพในการตรวจจับในสภาพแวดล้อมด้านความปลอดภัยที่แตกต่างกัน
แคตตาล็อกการตรวจจับนี้ครอบคลุมหลาย threat vectors ผ่าน rule sets เฉพาะที่ออกแบบมาสำหรับผู้ใช้งานแต่ละประเภท
ผู้ดูแลระบบ และนักพัฒนาได้รับประโยชน์จาก rules ที่มุ่งเน้นด้านความปลอดภัยในการตรวจจับการตั้งค่าที่ผิดพลาดโดยไม่ตั้งใจในช่วงต้นของการปรับใช้
ทีม DevOps สามารถผนวกการตรวจสอบด้านความปลอดภัยขั้นสูงเข้ากับ workflows การปฏิบัติงานได้โดยตรง ในขณะที่ Security Analysts และ Threat Hunters ก็สามารถเข้าถึง detection rules ขั้นสูงที่ปรับแต่งให้เหมาะสมกับสภาพแวดล้อมเฉพาะของตนเอง
หมวดหมู่สำคัญของการตรวจจับประกอบด้วย การตรวจสอบการตั้งค่าของ tenant ที่น่าสงสัย เพื่อติดตามการเปลี่ยนแปลงการกำหนดค่าที่สำคัญต่อความปลอดภัย เช่น การแก้ไขรายการ IP allowlist หรือการปิดใช้งานฟีเจอร์ป้องกันการโจมตี
แคตตาล็อกยังรวมถึงคำสั่งตรวจสอบพฤติกรรมของผู้โจมตี ที่สามารถตรวจจับรูปแบบการโจมตีที่รู้จัก เช่น การพยายามโจมตีด้วย SMS pumping ผ่าน sms_bombarding.yaml detection rules และความล้มเหลวในการ refresh token rotation
ด้วยลักษณะที่ Auth0 Customer Detection Catalog เป็นโอเพ่นซอร์ส จึงเปิดโอกาสให้เกิดการพัฒนา และปรับปรุงอย่างต่อเนื่องผ่านการมีส่วนร่วมของชุมชน
ผู้เชี่ยวชาญด้านความปลอดภัยสามารถเข้าถึง detection rules ทั้งหมด แปลงคำสั่งโดยใช้การแปลง Sigma format และผสานเข้ากับ workflows การตรวจสอบความปลอดภัยที่มีอยู่
repository นี้สนับสนุนการมีส่วนร่วมอย่างเต็มที่ผ่าน GitHub Issues เพื่อช่วยระบุ gap identification และการมีส่วนร่วมโดยตรงผ่าน pull requests
โครงการนี้ถือเป็นก้าวสำคัญในการทำให้ความสามารถในการตรวจจับภัยคุกคามขั้นสูงกลายเป็นสิ่งที่เข้าถึงได้สำหรับลูกค้า Auth0 ทั่วทั้งระบบ
ที่มา : cybersecuritynews
You must be logged in to post a comment.