THE GURU • CYBER SECURITY

XDR ซีเคียวริตี้แพลตฟอร์ม ป้องกันภัยไซเบอร์เต็มรูปแบบ

4 มี.ค. 2563 บทความโดย: ปิยธิดา ตันตระกูล

เทรนด์ไมโครย้ำอยู่เสมอมาตลอดช่วง 15– 20 ปีที่ผ่านมาว่า ระบบรักษาความปลอดภัยที่ซ้อนกันหลายระดับชั้นถือเป็น “แนวทางปฏิบัติที่ดีที่สุด” แต่ก็เป็นเรื่องธรรมดาของสิ่งที่เรียกว่าดีที่สุด ที่มักจะเป็นเรื่องในอุดมคติมากกว่าจะจับต้องได้จริง องค์กรหลายแห่งมองว่าต้องลงทุนราคาแพงเพื่อปกป้องตัวเอง จนทำให้เหล่าผู้บริหารด้านความปลอดภัยระบบไอที (Chief Information Security Officer : CISO) ส่วนใหญ่หยุดอยู่กับระบบปฏิบัติการและแอพพลิเคชั่นแบบเก่าเนื่องจากไม่มีเงินลงทุนเพียงพอ

สำหรับธุรกิจที่ต้องการความเข้มงวดด้านความปลอดภัยเป็นพิเศษแต่ก็มีทรัพยากรจำกัด เช่น สถาบันการเงินและหน่วยงานภาครัฐ การจะได้ความปลอดภัยระดับสูงสุด จำเป็นต้องลงทุนกับผลิตภัณฑ์ด้านซีเคียวริตี้จำนวนมาก นอกจากนี้ยังต้องเพิ่มกำลังคนในแต่ละระดับ โดยหวังว่าพวกเขาจะสามารถประสานการทำงานของแต่ละลำดับชั้นเพื่อป้องกัน ตรวจจับ ตอบสนอง และกู้คืนระบบจาการโจมตีได้

ความท้าทายในปัจจุบัน

มีเพียงไม่กี่องค์กรที่สามารถมีระบบรักษาความปลอดภัยขั้นสูง ซึ่งต้องยอมรับว่ายังมีองค์กรธุรกิจอีกมากกว่า 90% ที่ยังติดเรื่องของทรัพยากรที่จำกัด และที่ต้องระวังคือภัยคุกคามไซเบอร์นั้นได้ทวีความรุนแรงขึ้นอย่างต่อเนื่อง และแฮกเกอร์ก็มองเห็นช่องโหว่ที่องค์กรส่วนใหญ่มีอยู่ด้วย

มีหลายเหตุผลมากว่าทำไมเราถึงตกอยู่ในภาวะที่เต็มไปด้วยข้อมูลที่มากเกินไป ไม่ว่าจะเป็นการแจ้งเตือนหรือบันทึก Log แต่ก็มีสาเหตุเดียวที่เราสามารถชี้ชัดได้ว่าเป็นตัวปัญหาต่อทั้งการออกแบบและการปฏิบัติงานด้านการสร้างความปลอดภัย ซึ่งก็คือการให้ความสำคัญกับ “การกำจัดห่วงโซ่การโจมตี”

แนวทางการให้ความสำคัญแบบนี้ใช้ได้ผลในการมองและอธิบายลักษณะการแพร่กระจายการโจมตีผ่านแต่ละลำดับชั้นที่แตกต่างกันได้ อย่างไรก็ตาม วิธีนี้ก็ไม่เพียงพอที่จะระบุความเป็นจริงของธรรมชาติการโจมตีซึ่งไม่เคยทำแบบตรงไปตรงมา รวมทั้งยังทำให้มองข้ามความสำคัญในการวิเคราะห์ดูเทคนิค วิธีการ และเครื่องมือที่ผู้โจมตีทั่วโลกใช้กันอยู่ตอนนี้

ปัจจุบันมีแหล่งองค์ความรู้ด้านการรักษาความปลอดภัยที่เรียกว่า ATT&CK (เว็บไซต์ https://attack.mitre.org/) เป็นแหล่งข้อมูลที่เข้าถึงได้จากทั่วโลก รวบรวมเทคนิควิธีการ และคำแนะนำจากการเฝ้าสังเกตสิ่งที่เกิดขึ้นในโลกของความเป็นจริง ATT&CK ได้เปิดให้เจ้าหน้าที่รักษาความปลอดภัยเครือข่าย และนักวิเคราะห์ข้อมูลเกี่ยวกับอันตรายทางไซเบอร์มาพูดคุยแลกเปลี่ยนการทำงานร่วมกันผ่านสังคมแบบเปิด เพื่อช่วยกันระบุหาเทคนิค วิธีการ และเครื่องมือที่อาชญากรไซเบอร์กว่า 90 กลุ่มทั่วโลกใช้งานอยู่ เพื่อนำมาใช้ยกระดับการตรวจจับและปกป้องระบบต่อไป

การป้องกันอันตรายในปัจจุบัน

อีกเทรนด์หนึ่งที่เป็นนวัตกรรมใหม่ซึ่งทำงานได้ผลดีเหมือนกับการใช้ ATT&CK ก็คือการเปลี่ยนจากระบบป้องกันแบบ EDR (Endpoint Detection and Response) ไปเป็นแบบ XDR (All Detection and Response) ที่เป็นซีเคียวริตี้แพลตฟอร์ม ให้การปกป้องครอบคลุมโครงสร้างพื้นฐานด้านไอทีทั้งแบบฟิสิคอลและคลาวด์รวมถึงเครื่องเอนด์พอยต์ในองค์กร ช่วยให้องค์กรเห็นภาพรวมของภัยคุกคามได้ทุกมิติ ป้องกันอันตรายได้อย่างเต็มประสิทธิภาพ

แม้ว่าการปกป้องที่เอนด์พอยต์ยังมีความสำคัญมาก แต่ก็ยังมีอันตรายอีกมากมายหลากหลายแบบที่ยังแอบซ่อนหรือถูกมองข้ามอยู่ตามบนเครือข่าย คลาวด์ และเกตเวย์ ซึ่ง XDR จะเข้ามาอุดช่องโหว่เหล่านี้ได้ ดังนั้นนี้คือสิ่งจำเป็นอย่างมากที่ผู้บริหารระบบไซเบอร์ซีเคียวริตี้จำเป็นต้องให้ความสำคัญอย่างยิ่ง