สรุปสั้น

บริษัท Criminal IP ซึ่งเป็นเสิร์ชเอนจินข่าวกรองภัยคุกคามไซเบอร์และแพลตฟอร์มบริหารจัดการพื้นผิวการโจมตี (Attack Surface Management) ประกาศความร่วมมือและการผนวกระบบเข้ากับบริษัท Torq ผู้นำด้านการปฏิบัติการความมั่นคงปลอดภัยแบบ Agentic (Agentic Security Operations) โดยการผสานนี้นำข่าวกรองภัยคุกคาม “พร้อมตัดสินใจ” (Decision-Ready) ของ Criminal IP เข้ามาเสริมแพลตฟอร์ม Torq AI SOC เพื่อช่วยให้ทีมความมั่นคงปลอดภัยคัดกรอง สืบสวน และตอบสนองต่อภัยคุกคามได้รวดเร็วยิ่งขึ้น

โจทย์สำคัญที่ทั้งสองบริษัทต้องการแก้คือปริมาณการแจ้งเตือน (Alert) จำนวนมหาศาลที่ศูนย์ปฏิบัติการความมั่นคงปลอดภัย (SOC) ต้องเผชิญ ซึ่งบ่อยครั้งบังคับให้นักวิเคราะห์ต้องสลับไปมาระหว่างแพลตฟอร์มข่าวกรองหลายตัวด้วยมือ เพื่อตัดสินว่าที่อยู่ IP โดเมน หรือสินทรัพย์ที่เปิดสู่อินเทอร์เน็ต เป็นความเสี่ยงจริงหรือไม่ การผนวก Criminal IP เข้ากับ Torq AI SOC ทำให้องค์กรสามารถเสริมข้อมูลตัวชี้วัด (Indicator) ด้วยข่าวกรองภัยคุกคามที่ครบถ้วนโดยอัตโนมัติ และเร่งกระบวนการปฏิบัติการโดยไม่ต้องออกจากเวิร์กโฟลว์เดิม

รายละเอียดข่าว

เว็บไซต์ HackRead รายงานเมื่อวันที่ 13 กรกฎาคม พ.ศ. 2569 (อ้างอิงข่าวประชาสัมพันธ์ผ่าน CyberNewswire จากเมือง Torrance รัฐแคลิฟอร์เนีย) ว่านาย Byungtak Kang ซึ่งเป็นซีอีโอของ Criminal IP กล่าวว่าแพลตฟอร์มของบริษัทถูกสร้างขึ้นเพื่อทำให้ข่าวกรองภัยคุกคามระดับอินเทอร์เน็ตสามารถค้นหาและนำไปใช้ได้จริงแบบเรียลไทม์ และการร่วมมือกับ Torq หมายความว่าข่าวกรองไม่เพียงแค่ช่วยประกอบการตัดสินใจ แต่ยังลงมือปฏิบัติตามการตัดสินใจนั้นได้ทันที ทุก IP โดเมน และสินทรัพย์ที่เปิดเผยซึ่ง Criminal IP วิเคราะห์ จะสามารถขับเคลื่อนการตอบสนองอัตโนมัติได้ในทันทีที่ถูกตรวจพบ

ด้านนาย Eldad Livni ซึ่งเป็น CINO และผู้ร่วมก่อตั้งบริษัท Torq กล่าวว่าพันธมิตรของ Torq มีบริษัทความมั่นคงปลอดภัยชั้นนำระดับโลกหลายราย และยินดีต้อนรับ Criminal IP เข้าร่วม โดยมองว่า Criminal IP เป็นตัวอย่างของผู้ให้บริการที่สร้างสรรค์ซึ่งส่งมอบโซลูชันที่มีผลกระทบสูง สอดรับกับการปลดล็อกศักยภาพของ AI SOC ที่ผสานข่าวกรองภัยคุกคามจากแหล่งข้อมูลเชิงลึกเข้ากับการตอบสนอง แก้ไข และบรรเทาภัยที่ขับเคลื่อนด้วย AI อย่างรวดเร็ว

เมื่อมีการส่งตัวชี้วัดเข้ามา แพลตฟอร์ม Torq AI SOC จะกำหนดเส้นทางตัวชี้วัดนั้นไปยังบริการข่าวกรองที่เหมาะสมของ Criminal IP โดยอัตโนมัติ และรับคำตัดสิน (Verdict) แบบพร้อมใช้พร้อมบริบทสนับสนุนกลับมาแบบเรียลไทม์ ไม่ว่าจะเป็นการระบุว่า IP นั้นเป็นอันตราย น่าสงสัย หรือถูกปกปิดตัวตน โดเมนนั้นชี้ไปยังเว็บไซต์อันตรายหรือฟิชชิงหรือไม่ มีอะไรเปิดเผยอยู่บนสินทรัพย์ที่สแกน และมีช่องโหว่ (Exploit) ใดที่เกี่ยวข้อง จากนั้นแพลตฟอร์มจะประมวลผลข่าวกรองที่เสริมเข้ามาเพื่อพิจารณาระดับความรุนแรงและเส้นทางการตอบสนองที่เหมาะสม

รายละเอียดความสามารถ

การผนวกระบบครั้งนี้เปิดให้แพลตฟอร์ม Torq AI SOC เข้าถึงพื้นผิวข่าวกรองเต็มรูปแบบของ Criminal IP ได้แก่ การตรวจสอบชื่อเสียง (Reputation) กิจกรรมอันตราย และกิจกรรมน่าสงสัยของ IP, การตรวจจับ VPN โฮสติง และความเสี่ยงด้านความเป็นส่วนตัวของ IP ทุกหมายเลข, การประเมินความปลอดภัยของเซิร์ฟเวอร์ DNS, การสแกนโดเมน ตรวจสอบสถานะการสแกน และรายงานข่าวกรองโดเมนฉบับเต็ม, การค้นหาสินทรัพย์ที่เปิดสู่อินเทอร์เน็ต, การค้นหา Service Banner บนสินทรัพย์ที่เชื่อมต่ออินเทอร์เน็ต, การค้นหา Exploit ที่เชื่อมโยงกับบริการที่เปิดเผยและช่องโหว่ที่รู้จัก ตลอดจนรายงาน IP และโดเมนทั้งฉบับเต็มและฉบับย่อสำหรับการสืบสวนเชิงลึก

กรณีการใช้งานหลักครอบคลุมสามด้าน ได้แก่ การเสริมข้อมูลตัวชี้วัดอัตโนมัติ (Automated Indicator Enrichment) ที่ทุก IP โดเมน หรือสินทรัพย์ที่เข้ามาจะถูกให้คะแนนและใส่บริบทด้วยข่าวกรองของ Criminal IP ก่อนถึงมือนักวิเคราะห์, การตอบสนองที่อิงข่าวกรอง (Threat-Informed Response) โดยตัวชี้วัดที่ยืนยันแล้วว่าเป็นอันตรายจะกระตุ้นการบล็อกและกักกันอัตโนมัติทั่วทั้งระบบความมั่นคงปลอดภัย และการสืบสวนพื้นผิวการโจมตี (Attack Surface Investigation) ที่นักวิเคราะห์เปิดเคสซึ่งถูกเติมบริบทเรื่องการเปิดเผย Banner และ Exploit ของสินทรัพย์ทุกตัวไว้ล่วงหน้าแล้ว

ผลกระทบต่อไทย

องค์กรไทยจำนวนมากกำลังเผชิญปัญหาเดียวกับที่ SOC ทั่วโลกเจอ คือปริมาณการแจ้งเตือนที่ล้นทะลักจนนักวิเคราะห์ตามไม่ทัน และการต้องสลับไปมาระหว่างเครื่องมือหลายตัวเพื่อยืนยันว่าตัวชี้วัดหนึ่ง ๆ เป็นภัยจริงหรือไม่ แนวคิด AI SOC ที่ผสานข่าวกรองภัยคุกคามเข้ากับการตอบสนองอัตโนมัติเป็นทิศทางที่หลายองค์กรในไทย โดยเฉพาะภาคการเงินและโครงสร้างพื้นฐานสำคัญ กำลังพิจารณานำมาใช้เพื่อลดภาระงานซ้ำซากและร่นเวลาตอบสนองภัย

อย่างไรก็ตาม การนำระบบตอบสนองอัตโนมัติมาใช้ต้องอาศัยความรอบคอบ เพราะการบล็อกหรือกักกันอัตโนมัติที่อิงข่าวกรองผิดพลาดอาจกระทบการทำงานปกติได้ องค์กรจึงควรทดสอบและปรับจูนกฎการตอบสนองในสภาพแวดล้อมจริงก่อนเปิดใช้เต็มรูปแบบ และประเมินว่าข่าวกรองจากผู้ให้บริการภายนอกครอบคลุมภัยคุกคามที่เกี่ยวข้องกับภูมิภาคเอเชียตะวันออกเฉียงใต้มากน้อยเพียงใด

คำแนะนำ

  1. ประเมินคุณภาพข่าวกรองก่อนเปิดการตอบสนองอัตโนมัติ — ตรวจสอบความแม่นยำและความครอบคลุมของแหล่งข่าวกรองภัยคุกคาม โดยเฉพาะอัตราการแจ้งเตือนผิดพลาด (False Positive) ก่อนผูกกับการบล็อกอัตโนมัติ
  2. เริ่มจากโหมดเสริมข้อมูล (Enrichment) ก่อนโหมดตอบสนองอัตโนมัติเต็มรูปแบบ — ให้ระบบช่วยจัดลำดับและใส่บริบทให้นักวิเคราะห์ก่อน แล้วค่อยขยับสู่การตอบสนองอัตโนมัติเมื่อมั่นใจในความแม่นยำ
  3. กำหนดขอบเขตการตอบสนองอัตโนมัติให้ชัดเจน — จำกัดว่าการกระทำอัตโนมัติใดทำได้เอง และการกระทำใดต้องผ่านการอนุมัติจากมนุษย์ เพื่อลดความเสี่ยงกระทบระบบปกติ
  4. ทดสอบและปรับจูนในสภาพแวดล้อมจริง — วัดผลทั้งด้านความเร็วในการตอบสนองและผลกระทบต่อการดำเนินงานก่อนใช้งานเต็มรูปแบบ

แหล่งอ้างอิง