xs
xsm
sm
md
lg

เสริมพลัง ปะทะทุกภัยคุกคามไซเบอร์ด้วย XDR / สุภัค ลายเลิศ

เผยแพร่:   โดย: ผู้จัดการออนไลน์


บทความโดยนายสุภัค  ลายเลิศ กรรมการอำนวยการ และประธานเจ้าหน้าที่ปฏิบัติการ บริษัท ยิบอินซอย จำกัด
แม้การเปลี่ยนผ่านสู่ดิจิทัลซึ่งเชื่อมต่อผ่านเครือข่ายอินเทอร์เน็ต หรือบริการคลาวด์ประเภทต่างๆ จะช่วยให้องค์กรสามารถเพิ่มประสิทธิภาพการดำเนินงานไปจนถึงการพัฒนารูปแบบธุรกิจใหม่เพื่อสร้างความได้เปรียบทางการแข่งขัน แต่ผลข้างเคียงที่เกิดตามมา คือ การเติบโตของภัยคุกคามไซเบอร์ซึ่งส่งผลเสียหายรุนแรงเป็นวงกว้างได้อย่างรวดเร็ว

โดยเฉพาะเมื่อระบบไอทีของเราต้องเชื่อมต่อการทำงานกับอุปกรณ์ปลายทาง หรือเอนด์พอยนต์ (Endpoint) เช่น คอมพิวเตอร์ ไอโอที อุปกรณ์เคลื่อนที่ หรือ BYOD บนระบบปฏิบัติการและแอปพลิเคชันที่หลากหลายจากในและนอกองค์กร ซึ่งเป็นการเพิ่มช่องทางหรือพื้นหน้าการโจมตี (Attack Surface) ที่ข้ามไปมาระหว่างอุปกรณ์และเครือข่ายต่างๆ ได้ง่ายขึ้น หรือสามารถฝังตัวลึกลงสู่ลำดับชั้นการทำงานในเลเยอร์ (Layers) ต่างๆ ของระบบไอที ด้วยหน้าตาของไวรัสและวิธีโจมตีที่ต่างจากเดิม เพิ่มเติมด้วย “ภัยคุกคามที่ไม่ใช่ไวรัส” ซึ่งตรวจจับและกำจัดได้ยากขึ้น เช่น การส่งสคริปต์ (Script) หรือโปรแกรมคำสั่งเพื่อควบคุมระบบไอทีให้ทำงานผิดปกติ เพิ่มพฤติกรรมเสี่ยงในการเปิดรับภัยคุกคามที่สร้างความเสียหายต่อธุรกิจโดยไม่ทันระวังตัว

ข้อจำกัดในการตอบโต้ภัยคุกคาม

หลายครั้งในการทำงานร่วมกับลูกค้าเพื่อวางแผนรับมือและแก้ไขภัยคุกคามไซเบอร์ เรามักพบว่า องค์กรทั้งหลายมีการติดตั้งอุปกรณ์ด้านความปลอดภัยอยู่แล้ว แต่ยังขาดโซลูชันในการตรวจจับและตอบสนองภัยคุกคาม (Threat Detection and Response) มาเสริมประสิทธิภาพการกำกับดูแลเชิงรุกในลำดับชั้นความปลอดภัยต่างๆ เพิ่มเติม เช่น ระบบตรวจจับภัยคุกคาม ณ อุปกรณ์ปลายทาง หรือเอนด์พอยนต์ (Endpoint Detection and Response) ซึ่งถือเป็นด่านแรกในการเปิดรับหรือรับมือกับภัยคุกคามไซเบอร์ โดยเฉพาะการเติบโตของไอโอทีที่เชื่อมต่อเข้าสู่ระบบมากขึ้นทุกๆ ปี การติดตั้งระบบวิเคราะห์ความเคลื่อนไหวของพฤติกรรมผิดปกติในเครือข่าย (Network Traffic Analysis) เพื่อล้อมกรอบเส้นทางหรือตำแหน่งของภัยคุกคามให้อยู่ในวงจำกัด และจัดการแก้ไขไม่ให้ขยายผลไปยังจุดอื่น เป็นต้น

อย่างไรก็ตาม องค์กรส่วนใหญ่ยังต้องเผชิญต่อข้อจำกัดบางประการ ได้แก่ หนึ่ง โซลูชันในการตรวจจับและตอบสนองภัยคุกคามแต่ละชนิดต่างเก็บข้อมูลรูปแบบภัยคุกคามเฉพาะการทำงานในแต่ละลำดับชั้นความปลอดภัย เช่น มีข้อมูลตรวจจับเฉพาะภัยคุกคามที่มีต่อระบบเครือข่าย หรือเฉพาะแอปพลิเคชัน ซึ่งทำให้องค์กรไม่สามารถมองเห็นภาพรวมความสัมพันธ์ของภัยคุกคามที่อาจลงลึกไปในหลายลำดับชั้นความปลอดภัย

และถึงแม้จะมีความพยายามในการออกแบบโซลูชันที่เรียกว่า SIEM (Security Information and Event Management) เพื่อบริหารจัดการข้อมูลการเคลื่อนไหวและรูปแบบการโจมตีจากทุกลำดับชั้นความปลอดภัยมาวิเคราะห์ความสัมพันธ์ร่วม (Correlation) ในการค้นหาพฤติกรรมผิดปกติและแจ้งเตือนจากระยะไกลแบบเรียลไทม์ หรือโซลูชัน SOAR (Security Orchestration Automation and Response) เพื่อสร้างฐานข้อมูลรูปแบบภัยคุกคามทั่วทั้งเครือข่ายให้เกิดการตรวจจับและตอบโต้ภัยคุกคามแบบอัตโนมัติ แต่ก็ยังมีค่าใช้จ่ายสูงเพราะองค์กรต้องมีพื้นที่ที่มากพอในการจัดเก็บข้อมูลรูปแบบภัยคุกคามที่เพิ่มเติมและเปลี่ยนแปลงได้ตลอดเวลา

สอง โซลูชันในการตรวจจับและตอบสนองภัยคุกคามจะเป็นเทคโนโลยีเฉพาะของเจ้าของผลิตภัณฑ์นั้นๆ จึงอาจมีการเก็บรูปแบบภัยคุกคามได้จำกัด และไม่สามารถเชื่อมโยงการวิเคราะห์เข้าหากันได้เนื่องจากมีเทคโนโลยีที่ต่างกัน ทำให้ทุกวันนี้ องค์กรส่วนใหญ่จึงยังคงเผชิญต่อระบบดูแลความปลอดภัยที่ท่วมไปด้วยข้อมูลรูปแบบการโจมตีของทุกโซลูชันที่พร้อมแจ้งเตือนเหตุการณ์ภัยคุกคาม (Event) หรือสิ่งผิดปกติ (Incident) ที่อาจมากถึง 10,000 เหตุการณ์ต่อวัน ทำให้หน่วยงานที่กำกับดูแลความปลอดภัยไอที (SOC) ไม่มีกำลังคนมากพอในการรับมือ หนำซ้ำต้องมาสาละวนอยู่กับการแก้ปัญหาเร่งด่วนเฉพาะหน้า แทนที่จะเอาเวลาไปกำหนดนโยบายและกลยุทธ์ด้านความปลอดภัยเชิงรุก หรือลำดับความสำคัญที่แท้จริงของปัญหาไว้รับมือกับสถานการณ์ภัยคุกคามไซเบอร์ในอนาคต

ไขปัญหาให้ตรงจุด

ปัจจุบัน บริษัทผู้พัฒนาด้านเทคโนโลยีต่างพยายามพัฒนาประสิทธิภาพการทำงานโซลูชันการตรวจจับและตอบสนองภัยคุกคามให้มีความชาญฉลาดมากขึ้น ตัวอย่างเช่น เทรนด์ ไมโคร หนึ่งในผู้นำด้านเทคโนโลยีความปลอดภัยไซเบอร์ (Cybersecurity) ระดับโลก ได้พัฒนาโซลูชันที่เรียกว่า Trend Micro XDR (Detection & Response) ซึ่งจะมาช่วยเพิ่มประสิทธิภาพด้านการป้องกัน การตรวจจับ การวิเคราะห์ข้อมูล เพื่อการตอบสนองต่อภัยคุกคามได้รวดเร็ว ด้วยความสามารถที่โดดเด่นในการขยายมุมมองเส้นทางการโจมตีของภัยคุกคามออกไปในหลายทิศทาง หลายลำดับชั้นความปลอดภัย หรือข้ามเลเยอร์ ซึ่งครอบคลุมทั้งอีเมล อุปกรณ์เอนด์พอยนต์ เซิร์ฟเวอร์ เน็ตเวิร์ก และการทำงานผ่านคลาวด์ประเภทต่างๆ ซึ่งทำให้องค์กรเข้าใจถึงบริบทที่เกี่ยวข้องกับภัยคุกคามได้ดีขึ้น

และที่สำคัญคือ เป็นการมองเห็นถึงเส้นทางการเชื่อมโยงของภัยคุกคามแบบทั่วทั้งระบบ สามารถระบุตำแหน่งผิดปกติ และเลือกวิธีจัดการกับภัยคุกคามแบบครบวงจรได้จากจุดเดียว

ขณะเดียวกัน ยังได้เพิ่มขีดความสามารถในด้านการวิเคราะห์ความสัมพันธ์ระหว่างภัยคุกคามต่างๆ โดยการพัฒนาพื้นที่เก็บข้อมูลส่วนกลาง หรือ Data Lake ให้เป็นแหล่งรวมข้อมูลภัยคุกคามอัจฉริยะ (Threat Intelligence) ที่เกี่ยวเนื่องกับเหตุการณ์การโจมตี รูปแบบของภัยคุกคามหรือพฤติกรรมเสี่ยง รวมถึงให้แนวทางแก้ไขปัญหาที่เกิดขึ้นในสภาพแวดล้อมต่างๆ จากทุกที่ทั่วโลก

องค์กรสามารถส่งข้อมูลความผิดปกติที่พบขึ้นสู่ Data Lake เพื่อทำการวิเคราะห์เปรียบเทียบความสัมพันธ์ระหว่างเหตุการณ์ภัยคุกคามโดยมีเทคโนโลยีเอไอ ร่วมกับเครื่องมือวิเคราะห์ข้อมูลบิ๊ก ดาต้า (Big data Analytic Engine) มาช่วยให้การสืบสวนทวนกลับลงลึกได้ถึงรากเหง้าของปัญหา (Root Cause Analysis) ในหลายลำดับชั้นความปลอดภัย รวมถึงช่วยลดทอนการแจ้งเตือนให้เหลือเฉพาะตำแหน่งที่องค์กรมั่นใจได้มากขึ้นว่า เป็นต้นตอของปัญหาจริงๆ ซึ่งจะทำให้การตรวจจับ การกำหนดแนวทางป้องกันหรือแก้ไขปัญหาเกิดความรวดเร็วและมีประสิทธิภาพ ก่อนที่ความเสียหายจะกระจายไปยังจุดอื่นๆ

นอกจากนี้ ยังช่วยให้องค์กรสามารถก้าวข้ามข้อจำกัดทางเทคโนโลยี โดยการทำงานร่วมกับโซลูชัน SIEM และ SOAR จากภายนอกโดยอัตโนมัติ เพื่อการป้องกันระบบได้อย่างทันท่วงที

สำหรับองค์กรที่ขาดความชำนาญหรือขาดบุคลากรในการรับมือกับภัยคุกคาม สามารถเลือกใช้บริการในรูปแบบแมเนจ เซอร์วิส (Trend Micro Managed XDR) ซึ่งจะมีทีมงานเข้ามาช่วยองค์กรทำการสอบสวนปัญหาเชิงลึกและไล่ล่าภัยคุกคามที่เกิดขึ้น การดูแลแจ้งเตือนปัญหาได้ตลอด 24 ชั่วโมง รวมถึงออกรายงานภาพรวมของปัญหาภัยคุกคามเพื่อให้องค์กรนำไปวางแผนป้องกันเชิงรุกต่อไป

การจัดการกับภัยคุกคามไซเบอร์ที่มีประสิทธิภาพ จำเป็นอย่างยิ่งที่ต้องมีเครื่องมือซึ่งช่วยให้เราสามารถประเมินภาพรวมของภัยคุกคามได้จากทุกมิติ เพื่อนำไปสู่การแก้ไขที่ตรงจุดและจบทุกปัญหา และลดทั้งจำนวนของภัยคุกคาม เวลาในการแก้ไข และความสูญเสียที่เกิดขึ้นกับธุรกิจได้ในที่สุด


กำลังโหลดความคิดเห็น