XDR อีกขั้นของเทคโนโลยีเพื่อช่วยตอบสนองภัยคุกคามได้ดีขึ้น

4 ตุลาคม 2022

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

การโจมตีทางไซเบอร์มีความรุนแรงสูง องค์กรส่วนใหญ่จึงจำเป็นต้องปกป้องระบบเทคโนโลยีสารสนเทศของตัวเอง ด้วยเครื่องมือที่มีประสิทธิภาพ

ด้วยความซับซ้อนของภัยคุกคามในปัจจุบันที่แฝงอยู่ในช่องโหว่ของระบบต่าง ๆ ไม่ว่าจะเป็น Email, Endpoint, Server, Cloud workloads หรือ Network ซึ่งใช้เวลาในการตรวจพบนานมากขึ้น ส่งผลให้การตอบสนองต่อเหตุการณ์ต่าง ๆ ช้าลงไปด้วย การมีระบบตรวจจับและป้องกันภัยที่ดีก็จะช่วยเพิ่มความปลอดภัยให้กับองค์กรได้มากยิ่งขึ้น XDR จึงได้ถูกพัฒนาขึ้นเพื่อเพิ่มขีดความสามารถในการป้องกันภัยระบบ IT ให้มีประสิทธิภาพมากยิ่งขึ้น

XDR คืออะไร?

XDR หรือ Extended Detection and Response ตามคำจำกัดความของ Gartner คือ”เครื่องมือตรวจจับและตอบสนองต่อเหตุการณ์ภัยคุกคามแบบเจาะจง  ในรูปแบบ Software as a Service ซึ่งจะรวมผลิตภัณฑ์ความปลอดภัยหลายตัวเข้ากับระบบปฏิบัติการความปลอดภัยที่แข็งแกร่ง”

หรือถ้าจะอธิบายได้อย่างง่าย ๆ ก็คือ แพลตฟอร์มที่ใช้ในการป้องกัน ตรวจจับและตอบสนองต่อภัยคุกคามทางไซเบอร์แบบอัตโนมัติ โดยสามารถเก็บข้อมูล รวมถึงวิเคราะห์พฤติกรรม ประมวลผล เช่น จัดลำดับความสำคัญและเชื่อมโยงการแจ้งเตือน ไปจนถึงการตรวจจับและระบุภัยคุกคามที่เกิดขึ้นข้าม Security layers ต่าง ๆ รวมไว้ในภาพเดียวได้ ทำให้ขีดจำกัดของทีมดูแลด้านความปลอดภัยไซเบอร์ ที่จะทำหน้าที่ตรวจสอบ ระบุ ป้องกัน และตอบสนองต่อภัยคุกคาม มีประสิทธิภาพและรวดเร็วมากขึ้น

โดย XDR เป็นเทคโนโลยีที่มีการพัฒนาต่อยอดมาจาก EDR หรือ Extended Detection and Response ที่จำกัดความสามารถในการตรวจจับและตอบสนองได้เฉพาะ Endpoint เท่านั้น ซึ่งถ้านำมาใช้งานร่วมกันก็จะช่วยเพิ่มประสิทธิภาพในการป้องกันมากยิ่งขึ้น

ทำไมถึงต้องใช้ XDR?

จากความท้าทายของทีมด้านความปลอดภัยไซเบอร์ในเรื่องการตรวจจับ และตอบสนองต่อภัยคุกคามนั้นจะต้องทำการระบุปัญหาและตอบสนองต่อภัยคุกคามที่มีความรุนแรงให้ได้อย่างรวดเร็วที่สุด เพื่อจำกัดความเสี่ยงและลดความเสียหายที่อาจจะเกิดขึ้น แต่มักจะเจอปัญหาหลายประการที่เกิดขึ้นจากขีดจำกัดของ EDR เดิม ไม่ว่าจะเป็น

มีการแจ้งเตือนที่มากเกินไป และไม่แม่นยำ

ก่อนที่จะมี XDR ทีมดูแลความปลอดภัยด้านไอทีมักจะเจอปัญหา การแจ้งเตือนเกี่ยวกับระบบความปลอดภัยในระบบของ SIEM ที่มากเกินไปและจัดเป็นลักษณะ lower-confidence activities อยู่เสมอ ด้วยปัญหาในข้อนี้อาจทำให้อาจต้องใช้เวลามากขึ้น เพื่อคัดกรองและระบุภัยคุกคามร้ายแรงที่จะเกิดขึ้น

ช่องว่างของข้อมูลระหว่างระบบความปลอดภัยต่าง ๆ

ถึงแม้ผลิตภัณฑ์ทางด้านความปลอดภัยต่าง ๆ จะมีความสามารถในการรวบรวม และแลกเปลี่ยนข้อมูลระหว่างกันได้ แต่มักจะมีข้อจำกัดในการรับ ส่ง และประมวลผลของข้อมูล แต่ในขณะที่ XDR สามารถเก็บรวบรวมข้อมูลจากช่องทางต่าง ๆ มาไว้ใน ระบบฐานข้อมูลเดียวกัน จึงสามารถวิเคราะห์และประมวลผลข้อมูลภัยคุกคามได้อย่างครบถ้วน

สืบค้นและหาร่องรอยของภัยคุกคามยาก

จากสาเหตุข้อมูล Logs ที่มีมากเกินไป และการแจ้งเตือนด้านความปลอดภัยต่าง ๆ มีมากจนเกิดเป็นความซ้ำซ้อน จึงต้องใช้เวลาในการค้นหา สืบค้นร่องรอยของภัยคุกคาม รวมถึงประมวลผลกระทบได้ยากยิ่งขึ้น

ตรวจพบและตอบสนองต่อภัยได้ช้า

จากปัญหาข้อมูลมากเกินไป การแจ้งเตือนที่ไม่แม่นยำ และการขาดความเชื่อมโยงของข้อมูล ส่งผลให้หลายครั้งภัยคุกคามต่าง ๆ อาจถูกตรวจพบและตอบสนองได้ช้า เพิ่มความเสี่ยงและผลกระทบที่ตามมาจากการถูกโจมตี 

XDR จึงได้กลายเป็นตัวช่วยในการหาทางออกของปัญหาข้างต้น ที่จะช่วยให้การทำงานของทีมดูแลด้านความปลอดภัยมีประสิทธิภาพมากขึ้น

XDR แบ่งเป็นกี่ประเภท

โดยพื้นฐาน XDR ถูกแบ่งออกเป็น 2 ประเภท ได้แก่ Open XDR (Hybrid XDR) และ Native XDR อย่างไรก็ตามก่อนที่จะเลือกว่า XDR แบบไหนดี เราควรรู้ความแตกต่างของ XDR ทั้ง 2 ประเภท ได้แก่

1. Open XDR (Hybrid XDR)

เป็น XDR รูปแบบที่สามารถทำงานร่วมกับ 3rd Party ต่าง ๆ ในการเก็บรวบรวมข้อมูลได้ XDR รูปแบบนี้มีข้อดีคือมีความยืดหยุ่นสูง ไม่ยึดกับ Brand  สามารถใช้ผลิตภัณฑ์ที่ดีที่สุดจาก Vendor เจ้าต่าง ๆ มารวมกันในระบบของเราหรือสามารถ integrate เข้ากับระบบเดิมที่ใช้อยู่ได้ แต่ต้องอาศัยประสบการณ์และระยะเวลาในการ integrate ระบบต่าง ๆ เข้าด้วยกันเพื่อให้สามารถทำงานได้อย่างมีประสิทธิภาพ และต้องทำให้มั่นใจว่า XDR นั้นสามารถทำงานร่วมกันได้จริง โดยไม่เกิดปัญหา

2. Native XDR

เป็นรูปแบบ XDR ของ Vendor เจ้าใหญ่ สามารถรวมข้อมูลได้หลากหลาย Security Layers มีจุดเด่นเป็นลักษณะ All-in-One ครบวงจร ข้อมูลช่องทางต่าง ๆ ถูกรวมกันไว้อย่างครบถ้วน มั่นใจว่าระบบสามารถทำงานร่วมกันได้จริง (เพราะมาจาก Brand เดียวกัน) อย่างไรก็ตาม XDR รูปแบบนี้อาจส่งผลให้เกิดการผูกขาดกับ Vendor และอาจมีช่องโหว่ในการป้องกันได้

ประโยชน์ของ XDR

1. ตรวจจับได้มากกว่า

XDR สามารถระบุตัวภัยคุกคามที่มีความสำคัญได้มากกว่า โดยการรวม Endpoints ต่างๆ เข้าด้วยกัน ทำให้วิเคราะห์และระบุภัยคุกคามได้รวดเร็วและแม่นยำกว่า ลดเวลาในการสืบค้น ลดการแจ้งเตือนที่เป็น false positives

2. การสืบค้นที่ดียิ่งขึ้น

สามารถทำงานร่วมกันบนฐานข้อมูลด้านความปลอดภัยที่ครบและเชื่อมโยงกัน ทำให้สามารถรับสัญญาณเตือนที่แม่นยำ ลดการแจ้งเตือนที่ผิดพลาด หรือซ้ำ ๆ  ส่งผลให้การสืบค้นหาต้นต่อของภัยคุกคามทำได้มีประสิทธิภาพมากขึ้น

3. มีการแนะนำที่ดี

ด้วยระบบฐานข้อมูลที่เรียกได้ว่าเป็น rich data ทำให้ระบบ XDR สามารถให้คำแนะนำในการสืบค้น ตรวจจับและตอบสนองภัยคุกคามได้ดียิ่งขึ้น นำเสนอวิธีการตอบสนองต่อภัยคุกคามต่าง ๆ ได้อย่างรวดเร็วและมีประสิทธิภาพ

4. กำจัดภัยคุกคามได้แม่นยำมากขึ้น

เมื่อสามารถตรวจจับ สืบค้นร่องรอย พร้อมคำแนะนำที่แม่นยำ ประกอบกับฐานข้อมูลที่ครบถ้วนมากกว่า ทำให้การทำ threat hunters สามารถระบุและตอบสนองต่อภัยคุกคามต่าง ๆ ที่เกิดขึ้นได้แบบทันท่วงที


สุดท้าย
ไม่ว่าจะเป็นแพลตฟอร์ม XDR ประเภท Open XDR (Hybrid XDR) หรือ Native XDR ก็จุดเด่นที่พัฒนามาจาก EDR เช่นเดียวกัน และมีความจำเป็นต้องอาศัยทีม ที่ดูแลด้าน Cybersecurity ที่มีความเชี่ยวชาญ มีประสบการณ์ ในการวิเคราะห์ความถูกต้องของการแจ้งเตือนภัย ประเมิน และตอบสนองต่อภัยคุกคามต่าง ๆ ได้อย่างถูกต้อง 

หากองค์กรของคุณต้องการเฝ้าระวังระบบที่มีความสำคัญ การเลือกตั้งศูนย์ Cyber Security Operation Center (CSOC) เพื่อทำการเฝ้าระวัง และนำ XDR และ SIEM เข้ามาใช้ในระบบ แต่ยังไม่รู้จะเริ่มต้นอย่างไร NT cyfence มีบริการ CSOC Consulting ให้คำแนะนำปรึกษาเพื่อให้สามารถจัดตั้งศูนย์เฝ้าระวังความปลอดภัยสารสนเทศแบบครบวงจร โดยสามารถอ่านข้อมูลเพิ่มเติมได้ที่นี่ https://www.cyfence.com/services/csoc-consulting/

หรือถ้าหากต้องการให้ผู้เชี่ยวชาญเฉพาะด้านเฝ้าระวังระบบไอทีขององค์กร บริการ Cyber Security Monitoring ของ NT cyfence พร้อมเฝ้าระวังภัยคุกคามทางด้านไซเบอร์ และความปลอดภัยของระบบเทคโนโลยีสารสนเทศให้กับทุกองค์กร โดยมีผู้เชี่ยวชาญที่มีประสบการณ์ (Security Analyst) ในการวิเคราะห์ภัยคุกคามทางด้านไซเบอร์ แจ้งเตือนเหตุการณ์ภัยคุกคาม รวมถึงแนวทางในการจัดการ การแก้ไขปัญหาเบื้องต้นไปยังลูกค้า เมื่อพบเหตุการณ์ต้องสงสัย หรือ เหตุการณ์ผิดปกติที่มีความเสี่ยง 

หากสนใจสามารถอ่านรายละเอียดบริการของเราได้ที่นี่เลย https://www.cyfence.com/services/cyber-security-monitoring/

ที่มา: crowdstrike , techtarge , paloaltonetworks , trellix , gartner

บทความที่เกี่ยวข้อง