การโจมตีไซเบอร์ในช่วงหลังมีความท้าทายสำคัญคือองค์กรต่างๆ ไม่ยอมแบ่งปันข้อมูลระหว่างกัน ทำให้องค์กรที่ใช้งานซอฟต์แวร์หรืออุปกรณ์ประเภทเดียวกันถูกโจมตีตามๆ กันไป การที่องค์กรไม่ยอมแบ่งปันข้อมูลส่วนหนึ่งมาจากความกลัวเสียชื่อเสียงว่าถูกโจมตี แต่อีกทางหนึ่งก็กลัวที่จะปล่อยข้อมูลสำคัญให้กับองค์กรอื่นด้วย ตอนนี้ NIST ออกแนวทางการแบ่งปันข้อมูลภัยไซเบอร์

เอกสารนี้แนะนำให้องค์กรกำหนดแนวทางการแบ่งปันข้อมูลภัยไซเบอร์ของตัวเอง สำรวจว่ามีหน่วยงานใดที่ควรต้องมีการแบ่งปันข้อมูลบ้างไม่ว่าจะเป็นภายในหรือภายนอกองค์กร จากนั้นสำรวจแหล่งข้อมูลที่พบภัยไซเบอร์ สร้างกฎการแบ่งปันข้อมูลเพื่อให้กระบวนการแบ่งปันข้อมูลสามารถทำได้โดยง่าย

กฎการแบ่งปันข้อมูลตาม NIST SP 800-150 แนะนำให้กำหนดแนวทาง

• ประเภทของภัยที่จะแบ่งปันข้อมูลกัน
• กำหนดเงื่อนไขเหตุการณ์ที่จะมีการแบ่งปันข้อมูล
• ผู้รับข้อมูลที่ได้รับอนุญาต
• กำหนดกระบวนการปิดบังข้อมูลบางส่วนก่อนจะแบ่งปัน
• กำหนดว่าข้อมูลจะเปิดเผยที่มาหรือไม่
• กำหนดเงื่อนไขการรับข้อมูลให้ชัดเจนว่าต้องปกป้องข้อมูลที่ได้รับอย่างไร

แม้เอกสารจะเป็นภาพกว้างแต่ก็มีตัวอย่างข้อมูลที่ควรให้ความสำคัญเอาไว้ค่อนข้างครบ ตัวอย่างเช่น การแชร์ไฟล์ PCAP มีคำแนะนำให้สำรวจหาข้อมูลระบุตัวตน (Personally Identifiable Information - PII) ออกเสียก่อน และปิดบังข้อมูลเน็ตเวิร์คบางส่วนโดยที่ยังมีข้อมูลเพียงพอจะวิเคราะห์ภัยได้

กระบวนการกำหนดเงื่อนไขการรับข้อมูล แนะนำให้ทำตาม Traffic Light Protocol ที่เพิ่งออกมาเมื่อปลายเดือนสิงหาคม กำหนด 4 สถานะข้อมูล ได้แก่ สีแดง ห้ามแบ่งปันต่อไปยังนอกกลุ่มที่ได้รับแบ่งปันมา, สีเหลือง แบ่งปันต่อได้เฉพาะในองค์กรของตัวเอง, สีเขียว แบ่งปันต่อไปยังองค์กรอื่นได้แต่ห้ามใช้ช่องทางสาธารณะ, สีขาว ไม่มีข้อจำกัดการแบ่งปัน

SP 800-150 ร่างมาตั้งแต่ปี 2014 ตอนนี้เป็นตัวจริงแล้วถ้ากลุ่มอุตสาหกรรมจะนำไปประยุกต์ใช้ก็น่าจะพร้อมสำหรับการศึกษากัน

ที่มา - NIST