เหตุผลสำคัญที่ทำให้ XDR มีความสำคัญอย่างมาก ในการป้องกันภัยไซเบอร์ในรูปแบบใหม่

มีรายงานที่อธิบายไว้อย่างชัดเจนเกี่ยวกับวิวัฒนาการจากระบบ EDR มาเป็น XDR ซึ่งโดยสรุปแล้ว ระบบ Endpoint Detection and Response (EDR) นั้นดีมาก แต่อย่างไรก็ตามถ้ามีแหล่งข้อมูลที่มากกว่าจากเอนด์พอยต์ได้ก็จะดียิ่งขึ้นไปอีก ซึ่งตัวอักษร “X” ใน XDR ก็แทนความหมายของการมีแหล่งข้อมูล “จำนวนมาก” ที่นำมาใช้ในการตรวจจับและตอบสนองต่อเหตุการณ์ได้ครอบคลุมมากยิ่งขึ้น

จุดนี้เองที่ XDR แตกต่างจาก EDR อย่างชัดเจน 

อย่างไรก็ดี ย่อมมีเสียงวิจารณ์ตามมาเกี่ยวกับระบบ XDR ว่า “มีลักษณะคล้ายกับ SIEM และแพลตฟอร์มอื่นๆ ที่รวบรวมข้อมูลจากหลายแหล่งมาไว้ในที่เดียว” ดังนั้นทางเราจึงขอใช้โอกาสนี้อธิบายความแตกต่าง และทำไมความแตกต่างดังกล่าวจึงมีความสำคัญเป็นอย่างมากค่ะ

มาดูที่ SIEM กันก่อน ระบบนี้มีความสามารถสูงในการรับมือกับข้อมูลปริมาณมากจากทุกทิศทาง ไม่ว่าจะเป็นข้อมูล Log จากผลิตภัณฑ์ที่มาจากผู้จำหน่ายที่หลากหลายนับร้อยนับพันเจ้า เพื่อนำมาวิเคราะห์สำหรับแจ้งเตือนเฉพาะในเรื่องที่สำคัญจริงๆ

อย่างไรก็ตาม ระบบ SIEM แม้จะครอบคลุมกว้างมากแต่ก็ไม่สามารถทำงานได้ลึกซึ้งหรือละเอียดเท่าไร แม้จะรวบรวมข้อมูลจากแหล่งมากมายแต่สิ่งที่นำมาใช้ประโยชน์ได้กลับมีจำกัด โดย SIEM ไม่สามารถบังคับให้ผลิตภัณฑ์บางประเภทที่จำเพาะอย่างแพลตฟอร์มปกป้องเอนด์พอยต์หรือ EPP ส่งข้อมูลเพิ่มเติมมากกว่าข้อมูลทั่วไปตามมาตรฐานได้ และเมื่อ EPP มีฟีเจอร์ตรวจสอบใหม่ที่เป็นสิทธิบัตรเฉพาะของแบรนด์ตัวเอง ระบบ SIEM ก็มักมีอุปสรรคในการดึงข้อมูลใหม่ดังกล่าวเข้ามาอยู่ในฟีดของตัวเอง

อีกประเด็นหนึ่งที่สำคัญที่สุดของตัว SIEM คือ การที่ไม่มี R หรือฟีเจอร์การตอบสนองต่อเหตุการณ์ (Response) รวมอยู่ด้วย ดังนั้นระบบนี้จึงเป็นแค่ทูลในการตรวจจับ เปรียบเหมือนสัญญาณเตือนเพลิงไหม้ที่ไม่ได้เชื่อมต่อกับระบบสปริงเกอร์ดับไฟ

อย่างไรก็ตาม หลายผลิตภัณฑ์จากหลากหลายผู้ผลิตนั้น ก็ยังคงเห็นคุณค่าในการสนับสนุนการทำงานของ SIEM อยู่ และ XDR ก็ยังไม่สามารถนำมาแทนที่ได้ในทันที  แต่ถ้าเรานำระบบ XDR มาทำงานร่วมด้วยก็จะเพิ่มความสามารถในการทำงานเป็นอย่างมาก ระบบ SIEM มีกลไกการทำงานตามแผนภาพต่อไปนี้

แต่ถ้ามีผู้จำหน่ายที่มีผลิตภัณฑ์ตัวเองมากมายหลากหลายประเภท ซึ่งแน่นอนว่าสามารถแลกเปลี่ยนข้อมูลระหว่างกันได้ละเอียดและฉลาดกว่าระบบ SIEM แถมยังสามารถตอบสนองต่อเหตุการณ์ได้ด้วยนั้น จุดนี้เองจึงเป็นนิยามของแพลตฟอร์มที่พบทั่วไปในท้องตลาด ที่คนมักตั้งข้อสังเกตว่าต่างจากระบบ XDR ตรงไหน คำตอบคือ แพลตฟอร์มเหล่านี้มีข้อเสียที่เด่นที่สุดตรงที่ไม่มีตัวเก็บรวบรวมหรือแหล่งข้อมูลที่เป็นอิสระนั่นเอง

แม้จะมีผู้ผลิตพยายามหาทางประสานแหล่งเก็บข้อมูลที่แยกออกจากกันเหล่านี้มานานหลายปี แต่สุดท้ายก็ยังมีอุปสรรคในการใช้ข้อมูลร่วมกันอยู่ดี แม้จะมีการสื่อสารระหว่างหน่วยย่อยต่างๆ แต่ว่าแต่ละองค์ประกอบย่อยต่างมีหน้าคอนโซลจัดการที่มีระบบวิเคราะห์ข้อมูลเป็นของตัวเอง จึงเป็นที่มาของจุดอ่อน 2 ประการได้แก่ การที่แต่ละคอนโซลเปิดให้เจ้าหน้าที่เฉพาะด้านนั้นๆ มาใช้งาน (เช่น ระบบ EPP ก็มีไว้ให้เฉพาะเจ้าหน้าที่ความปลอดภัยเอนด์พอยต์ใช้ประโยชน์) และการที่ไม่สามารถผสานการทำงานของตัวเองไปทั่วทั้งองค์กรได้

ดังนั้น XDR จึงเข้ามาเป็นกาวผสานระหว่างแหล่งข้อมูลที่แยกเป็นเอกเทศของแต่ละแพลตฟอร์ม โดยทลายพรมแดนที่กั้นระหว่างกันด้วยองค์ประกอบใหม่คือ แหล่งข้อมูลรวมศูนย์กลาง ทำให้ข้อมูลที่รวบรวมได้นั้นไม่ได้ถูกจำกัดแค่สิ่งที่แต่ละแพลตฟอร์มสนใจอีกต่อไป (เรียกว่าไม่ได้ยึดติดกับอุปกรณ์อีกแล้ว) แต่รวมข้อมูลที่เอาเรื่องของการโจมตีเป็นที่ตั้งแทนค่ะ

ระบบ XDR มีความยืดหยุ่นและสามารถระบุหาข้อมูลความปลอดที่จำเป็นได้อย่างละเอียดครบถ้วนและรวดเร็ว ด้วยวิธีรูปแบบใหม่ที่ไม่เคยมีมาก่อน จากการเป็นแหล่งข้อมูลศูนย์กลางที่ออกแบบเพื่อรองรับการร้องขอได้เกือบทุกรูปแบบทั้งที่มีในปัจจุบันและในอนาคต จึงใช้รับมือกับการโจมตีรูปแบบใหม่ๆ ได้ง่ายกว่าเดิม เมื่อทำงานร่วมกับเทคโนโลยีล้ำสมัยอย่าง AI และแมชชีนเลิร์นนิ่งแล้ว ทำให้สามารถยกระดับคุณภาพของการแจ้งเตือนได้ตั้งแต่แหล่งข้อมูลเริ่มต้น ไม่ต้องเสียเวลาจัดการกับการแจ้งเตือนที่ไม่มีคุณภาพปริมาณมหาศาลอีกต่อไป กลไกการทำงานของระบบ XDR อธิบายได้ด้วยแผนภาพต่อไปนี้

จะเห็นได้ว่ามีการสื่อสารระหว่างกันเป็นจำนวนมาก แต่ด้วยองค์ประกอบสำคัญที่ออกแบบให้เป็น API ศูนย์กลางทำให้เปิดรับผลิตภัณฑ์ใหม่เข้ามาในระบบได้ทันที โดยถูกออกแบบมาให้รับส่งข้อมูลจากแหล่งศูนย์กลางของ XDR ได้อย่างรวดเร็ว แต่ถึงแม้จะมี API ที่รองรับได้หลากหลาย แต่ก็ยังไม่ได้ครอบคลุมผลิตภัณฑ์ทุกประเภท อย่างเช่น ระบบความปลอดภัยสำหรับอีเมล์ หรือระบบที่ไม่ได้รองรับแหล่งข้อมูลกลางของ XDR อย่างเจาะจง

ถ้าจะให้สรุปสั้นๆ ก็คือ ระบบ XDR เปรียบเสมือนระบบ EDR ที่ทำงานมากกว่าแค่ป้องกันเครื่องเอนด์พอยต์ แต่มันจะสามารถทำงานครอบคลุมระบบไอทีทั้งหมดขององค์กรได้นั่นเองค่ะ