เสริมพลัง ปะทะทุกภัยคุกคามไซเบอร์ด้วย XDR

โดยนายสุภัค  ลายเลิศ
กรรมการอำนวยการ และประธานเจ้าหน้าที่ปฏิบัติการ บริษัท ยิบอินซอย จำกัด

แม้การเปลี่ยนผ่านสู่ดิจิทัลซึ่งเชื่อมต่อผ่านเครือข่ายอินเทอร์เน็ต หรือบริการคลาวด์ประเภทต่าง ๆ จะช่วยให้องค์กรสามารถเพิ่มประสิทธิภาพการดำเนินงานไปจนถึงการพัฒนารูปแบบธุรกิจใหม่เพื่อสร้างความได้เปรียบทางการแข่งขัน แต่ผลข้างเคียงที่เกิดตามมา คือ การเติบโตของภัยคุกคามไซเบอร์ซึ่งส่งผลเสียหายรุนแรงเป็นวงกว้างได้อย่างรวดเร็ว โดยเฉพาะเมื่อระบบไอทีของเราต้องเชื่อมต่อการทำงานกับอุปกรณ์ปลายทาง หรือ เอนด์พอยต์ (Endpoint) เช่น คอมพิวเตอร์ ไอโอที อุปกรณ์เคลื่อนที่ หรือ BYOD บนระบบปฏิบัติการและแอปพลิเคชันที่หลากหลายจากในและนอกองค์กร ซึ่งเป็นการเพิ่ม ช่องทางหรือพื้นหน้าการโจมตี (Attack Surface) ที่ข้ามไปมาระหว่างอุปกรณ์และเครือข่ายต่าง ๆ ได้ง่ายขึ้น หรือสามารถฝังตัวลึกลงสู่ลำดับชั้นการทำงานในเลเยอร์ (Layers) ต่าง ๆ ของระบบไอที ด้วยหน้าตาของไวรัสและวิธีโจมตีที่ต่างจากเดิม เพิ่มเติมด้วย “ภัยคุกคามที่ไม่ใช่ไวรัส” ซึ่งตรวจจับและกำจัดได้ยากขึ้น เช่น การส่งสคริปต์ (Script) หรือ โปรแกรมคำสั่งเพื่อควบคุมระบบไอทีให้ทำงานผิดปกติ เพิ่มพฤติกรรมเสี่ยงในการเปิดรับภัยคุกคามที่สร้างความเสียหายต่อธุรกิจโดยไม่ทันระวังตัว 

ข้อจำกัดในการตอบโต้ภัยคุกคาม

หลายครั้งในการทำงานร่วมกับลูกค้าเพื่อวางแผนรับมือและแก้ไขภัยคุกคามไซเบอร์ เรามักพบว่า องค์กรทั้งหลายมีการติดตั้งอุปกรณ์ด้านความปลอดภัยอยู่แล้ว แต่ยังขาด โซลูชันในการตรวจจับและตอบสนองภัยคุกคาม (Threat Detection and Response) มาเสริมประสิทธิภาพการกำกับดูแลเชิงรุกในลำดับชั้นความปลอดภัยต่าง ๆ เพิ่มเติม เช่น ระบบตรวจจับภัยคุกคาม ณ อุปกรณ์ปลายทาง หรือ   เอนด์พอยต์ (Endpoint Detection and Response) ซึ่งถือเป็นด่านแรกในการเปิดรับหรือรับมือกับภัยคุกคามไซเบอร์ โดยเฉพาะการเติบโตของไอโอทีที่เชื่อมต่อเข้าสู่ระบบมากขึ้นทุก ๆ ปี การติดตั้งระบบวิเคราะห์ความเคลื่อนไหวของพฤติกรรมผิดปกติในเครือข่าย (Network Traffic Analysis) เพื่อล้อมกรอบเส้นทางหรือตำแหน่งของภัยคุกคามให้อยู่ในวงจำกัด และจัดการแก้ไขไม่ให้ขยายผลไปยังจุดอื่น เป็นต้น 

อย่างไรก็ตาม องค์กรส่วนใหญ่ยังต้องเผชิญกับข้อจำกัดบางประการ ได้แก่ หนึ่งโซลูชันในการตรวจจับและตอบสนองภัยคุกคามแต่ละชนิดต่างเก็บ ข้อมูลรูปแบบภัยคุกคามเฉพาะการทำงานในแต่ละลำดับชั้นความปลอดภัย เช่น มีข้อมูลตรวจจับเฉพาะภัยคุกคามที่มีต่อระบบเครือข่าย หรือเฉพาะ         แอปพลิเคชัน ซึ่งทำให้องค์กรไม่สามารถมองเห็นภาพรวมความสัมพันธ์ของภัยคุกคามที่อาจลงลึกไปในหลายลำดับชั้นความปลอดภัย และถึงแม้จะมีความพยายามในการออกแบบโซลูชันที่เรียกว่า SIEM (Security Information and Event Management) เพื่อบริหารจัดการข้อมูลการเคลื่อนไหวและรูปแบบการโจมตีจากทุกลำดับชั้นความปลอดภัยมาวิเคราะห์ความสัมพันธ์ร่วม (Correlation) ในการค้นหาพฤติกรรมผิดปกติและแจ้งเตือนจากระยะไกลแบบเรียลไทม์ หรือโซลูชัน SOAR (Security Orchestration Automation and Response) เพื่อสร้างฐานข้อมูลรูปแบบภัยคุกคามทั่วทั้งเครือข่ายให้เกิดการตรวจจับและตอบโต้ภัยคุกคามแบบอัตโนมัติ แต่ก็ยังมีค่าใช้จ่ายสูงเพราะองค์กรต้องมีพื้นที่ที่มากพอในการจัดเก็บข้อมูลรูปแบบภัยคุกคามที่เพิ่มเติมและเปลี่ยนแปลงได้ตลอดเวลา

สอง โซลูชันในการตรวจจับและตอบสนองภัยคุกคามจะเป็น เทคโนโลยีเฉพาะของเจ้าของผลิตภัณฑ์ นั้น ๆ จึงอาจมีการเก็บรูปแบบภัยคุกคามได้จำกัด และไม่สามารถเชื่อมโยงการวิเคราะห์เข้าหากันได้เนื่องจากมีเทคโนโลยีที่ต่างกัน ทำให้ทุกวันนี้ องค์กรส่วนใหญ่จึงยังคงเผชิญกับระบบดูแลความปลอดภัยที่ท่วมไปด้วยข้อมูลรูปแบบการโจมตีของทุกโซลูชันที่พร้อมแจ้งเตือนเหตุการณ์ภัยคุกคาม (Event) หรือสิ่งผิดปกติ (Incident) ที่อาจมากถึง 10,000 เหตุการณ์ต่อวัน ทำให้หน่วยงานที่กำกับดูแลความปลอดภัยไอที (SOC) ไม่มีกำลังคนมากพอในการรับมือ หนำซ้ำต้องมาสาละวนอยู่กับการแก้ปัญหาเร่งด่วนเฉพาะหน้า แทนที่จะเอาเวลาไปกำหนดนโยบายและกลยุทธ์ด้านความปลอดภัยเชิงรุก หรือลำดับความสำคัญที่แท้จริงของปัญหาไว้รับมือกับสถานการณ์ภัยคุกคามไซเบอร์ในอนาคต   

ไขปัญหาให้ตรงจุด

ปัจจุบัน บริษัทผู้พัฒนาด้านเทคโนโลยีต่างพยายามพัฒนาประสิทธิภาพการทำงานโซลูชันการตรวจจับและตอบสนองภัยคุกคามให้มีความชาญฉลาดมากขึ้น ตัวอย่างเช่น เทรนด์ ไมโคร หนึ่งในผู้นำด้านเทคโนโลยีความปลอดภัยไซเบอร์ (Cybersecurity) ระดับโลก ได้พัฒนาโซลูชันที่เรียกว่า Trend Micro XDR (Detection & Response) ซึ่งจะมาช่วยเพิ่มประสิทธิภาพด้านการป้องกัน การตรวจจับ การวิเคราะห์ข้อมูล เพื่อการตอบสนองต่อภัยคุกคามได้รวดเร็ว ด้วยความสามารถที่โดดเด่นใน การขยายมุมมองเส้นทางการโจมตีของภัยคุกคามออกไปในหลายทิศทาง หลายลำดับชั้นความปลอดภัย หรือ ข้ามเลเยอร์ ซึ่งครอบคลุมทั้ง อีเมล อุปกรณ์เอนด์พอยต์ เซิร์ฟเวอร์ เน็ตเวิร์ก และการทำงานผ่านคลาวด์ประเภทต่าง ๆ  ซึ่งทำให้องค์กรเข้าใจถึงบริบทที่เกี่ยวข้องกับภัยคุกคามได้ดีขึ้น และที่สำคัญคือ เป็นการมองเห็นถึง เส้นทางการเชื่อมโยงของภัยคุกคามแบบทั่วทั้งระบบ สามารถระบุตำแหน่งผิดปกติ และเลือกวิธีจัดการกับภัยคุกคามแบบครบวงจรได้จากจุดเดียว

ขณะเดียวกัน ยังได้เพิ่มขีดความสามารถในด้าน การวิเคราะห์ความสัมพันธ์ระหว่างภัยคุกคามต่าง ๆ โดยการพัฒนา พื้นที่เก็บข้อมูลส่วนกลาง หรือ Data Lake ให้เป็น แหล่งรวมข้อมูลภัยคุกคามอัจฉริยะ (Threat Intelligence) ที่เกี่ยวเนื่องกับเหตุการณ์การโจมตี รูปแบบของภัยคุกคามหรือพฤติกรรมเสี่ยง รวมถึงให้แนวทางแก้ไขปัญหาที่เกิดขึ้นในสภาพแวดล้อมต่าง ๆ จากทุกที่ทั่วโลก โดยองค์กรสามารถส่งข้อมูลความผิดปกติที่พบขึ้นสู่ Data Lake เพื่อทำการวิเคราะห์เปรียบเทียบความสัมพันธ์ระหว่างเหตุการณ์ภัยคุกคามโดยมีเทคโนโลยีเอไอ ร่วมกับเครื่องมือวิเคราะห์ข้อมูลบิ๊ก ดาต้า (Big data Analytic Engine) มาช่วยให้การสืบสวนทวนกลับลงลึกได้ถึงรากเหง้าของปัญหา (Root Cause Analysis) ในหลายลำดับชั้นความปลอดภัย รวมถึงช่วยลดทอนการแจ้งเตือนให้เหลือเฉพาะตำแหน่งที่องค์กรมั่นใจได้มากขึ้นว่า เป็นต้นตอของปัญหาจริง ๆ ซึ่งจะทำให้การตรวจจับ การกำหนดแนวทางป้องกันหรือแก้ไขปัญหาเกิดความรวดเร็วและมีประสิทธิภาพ ก่อนที่ความเสียหายจะกระจายไปยังจุดอื่น ๆ นอกจากนี้ ยังช่วยให้องค์กรสามารถก้าวข้ามข้อจำกัดทางเทคโนโลยี โดยการทำงานร่วมกับโซลูชัน SIEM และ SOAR จากภายนอกโดยอัตโนมัติ เพื่อการป้องกันระบบได้อย่างทันท่วงที

สำหรับองค์กรที่ขาดความชำนาญหรือขาดบุคลากรในการรับมือกับภัยคุกคาม สามารถเลือกใช้บริการในรูปแบบแมเนจ เซอร์วิส (Trend Micro Managed XDR) ซึ่งจะมีทีมงานเข้ามาช่วยองค์กรทำการสอบสวนปัญหาเชิงลึกและไล่ล่าภัยคุกคามที่เกิดขึ้น การดูแลแจ้งเตือนปัญหาได้ตลอด 24 ชั่วโมง รวมถึงออกรายงานภาพรวมของปัญหาภัยคุกคามเพื่อให้องค์กรนำไปวางแผนป้องกันเชิงรุกต่อไป 

การจัดการกับภัยคุกคามไซเบอร์ที่มีประสิทธิภาพ จำเป็นอย่างยิ่งที่ต้องมีเครื่องมือซึ่งช่วยให้เราสามารถประเมินภาพรวมของภัยคุกคามได้จากทุกมิติ เพื่อนำไปสู่การแก้ไขที่ตรงจุดและจบทุกปัญหา และลดทั้งจำนวนของภัยคุกคาม เวลาในการแก้ไข และความสูญเสียที่เกิดขึ้นกับธุรกิจได้ในที่สุด

###

About naruethai

Check Also

ฟอร์ติเน็ตแนะวิธีที่หน่วยงานด้านสาธารณสุขสามารถป้องกันตนเองให้พ้นภัยเรียกค่าไถ่ Ransomware

เลี่ยงสถานการณ์ร้ายที่ไม่สามารถเข้าถึงข้อมูลหรือประวัติผู้ป่วยสูญหาย ที่ส่งให้ชีวิตตกอยู่ในความเสี่ยง Fortinet® (NASDAQ: FTNT) ฟอร์ติเน็ตผู้นำระดับโลกด้านโซลูชั่นการรักษาความปลอดภัยทางไซเบอร์แบบอัตโนมัติและครบวงจรออกโรงประกาศแนะนำวิธีการที่หน่วยงานที่ให้บริการด้านสาธารณสุขและโรงพยาบาลสามารถป้องกันตนเองให้พ้นภัยเรียกค่าไถ่แรนซัมแวร์ (Ransomware) ที่แพร่ระบาดได้ โดยสำรองระบบและข้อมูลที่สำคัญ ตรวจสอบและป้องกันภัยโดยใช้อุปกรณ์ด้านความปลอดภัยเครือข่ายอันครบวงจรที่อยู่บนแพลทฟอร์มซีเคียวริตี้แฟบริค (Security Fabric) ของฟอร์ติเน็ต

แถลงการณ์ของแคสเปอร์สกี้ ต่อเหตุการณ์โจมตีโรงพยาบาลในประเทศไทยด้วยแรนซัมแวร์ พร้อมแนะนำขั้นตอนการป้องกันและแก้ไข

นายเซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ ของแคสเปอร์สกี้ กล่าวว่า “แคสเปอร์สกี้ขอประณามการโจมตีของแรนซัมแวร์ที่เกิดขึ้นในประเทศไทยเมื่อเร็วๆ นี้ โดยมีเป้าหมายที่หน่วยงานภาคสาธารณสุข ในช่วงที่โรงพยาบาลเป็นแนวหน้าของการต่อสู้กับการแพร่ระบาดของโรคโควิด-19 การกระทำที่มุ่งร้ายเช่นนี้ควรหยุดลง อย่างไรก็ตามเราทราบดีอยู่แล้วว่าอาชญากรไซเบอร์นั้นอยู่เบื้องหลังเหตุความวุ่นวายในปัจจุบันเพื่อทำร้ายองค์กรและองค์กรต่างๆ มากขึ้น”