5 เหตุผล ทำไมองค์กรจำเป็นต้องมี EDR
Endpoint Detection and Response (EDR) ถูกพัฒนาขึ้นมาเพื่อเสริมความสามารถด้านการตรวจจับ การเก็บหลักฐาน และการตอบสนองต่อภัยคุกคามไซเบอร์ให้แก่ระบบ Endpoint Security อย่างไรก็ตาม หลายองค์กรยังคงขาดความเข้าใจเกี่ยวกับแนวคิดเรื่อง EDR และการนำไปใช้ให้เกิดประสิทธิภาพสูงสุดโดยไม่เพิ่มภาระแก่ผู้ดูแลระบบเดิม
Sophos ให้บริการ EDR โดยการผสานรวมกับ Intercept X ซึ่งเป็นโซลูชัน Endpoint and Server Protection ชั้นนำระดับโลกเข้าด้วยกันเป็นโซลูชันเดียว เรียกว่า Intercept X with EDR ช่วยให้องค์กรสามารถตรวจจับและตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยที่เกิดขึ้นบนอุปกรณ์ปลายทางได้อย่างรวดเร็วและแม่นยำ
บทความนี้จะมาบรรยายถึง 5 เหตุผล ทำไม Sophos EDR จึงเป็นโซลูชันที่จำเป็นต่อการรักษาความมั่นคงปลอดภัยของอุปกรณ์ปลายทางในยุคดิจิทัล ดังนี้
1. รักษา IT Security Operations ให้มีประสิทธิภาพที่ดีตลอดเวลา และตามล่าภัยคุกคามที่แอบซ่อนอยู่ในองค์กร
EDR ช่วยสนับสนุนการดำเนินงานทั้งด้าน IT Operations และ IT Security ดังนี้
- IT Operations: Sophos EDR ช่วยรักษาอุปกรณ์คอมพิวเตอร์ให้อยู่ในสถานะพร้อมใช้งานและมั่นคงปลอดภัยตลอดเวลา ไม่ว่าจะเป็นการค้นหาอุปกรณ์ที่มีปัญหาเรื่องประสิทธิภาพ (เช่น เหลือพื้นที่เก็บข้อมูลน้อยหรือใช้หน่วยความจำสูงเกินไป) การระบุอุปกรณ์ที่มีช่องโหว่ที่ต้องทำการแพตช์ หรือการตรวจสอบเซิร์ฟเวอร์ที่เปิด RDP ทิ้งไว้โดยไม่จำเป็น ทั้งยังช่วยให้ผู้ดูแลระบบสามารถรีโมตเข้าไปแก้ไขปัญหาเหล่านั้นได้สะดวกรวดเร็วอีกด้วย
- IT Security: EDR สามารถตามล่าภัยคุกคามที่หลุดรอดระบบ Endpoint Protection เข้ามาผ่านทางการติดตาม Indicator of Compromise (IoC) เช่น การตรวจจับความพยายามเชื่อมต่อเข้ายังมาพอร์ตอื่นๆ ที่ไม่ใช่พอร์ตมาตรฐาน, โปรเซสที่ทำการแก้ไขไฟล์หรือ Registry Keys, โปรเซสที่ปลอมแปลงตัวเองเป็นอย่างอื่น หรือผู้ใช้ที่คลิกลิงก์บนอีเมล Phishing จากนั้นรีโมตเข้าไปยังอุปกรณ์ที่เกี่ยวข้องเพื่อเก็บข้อมูลเพิ่มเติม จัดทำ Forensics และจัดการกับโปรเซสที่ต้องสงสัยได้ทันที
2. ตรวจจับการโจมตีที่หลุดลอดเข้ามาโดยไม่รู้ตัว
ไม่มีโซลูชันด้านความมั่นคงปลอดภัยใดที่สามารถป้องกันภัยคุกคามได้ 100% EDR จึงเป็นแนวป้องกันอีกชั้นที่ทำหน้าที่ค้นหา ตรวจจับ และตอบสนองต่อภัยคุกคามที่หลุดรอดผ่านแนวป้องกันแรก เช่น Firewall, IPS, Sandbox เข้ามาได้ องค์กรสามารถใช้ EDR ในการตรวจจับการโจมตีผ่านทางการค้นหา Indicator of Compromise (IoC) ซึ่งได้จากการอัปเดตข้อมูลผ่าน Threat Intelligence
Sophos EDR รวบรวม IoC ของภัยคุกคามล่าสุดที่ค้นพบจากทั่วทุกมุมโลก แล้วนำไปวิเคราะห์ด้วยเทคโนโลยี Machine Learning ของ SophosLabs เพื่อจัดอันดับความสำคัญ ซึ่งช่วยให้นักวิเคราะห์สามารถรู้ได้ทันทีว่าพวกเขาต้องเริ่มตรวจสอบและโฟกัสกับเรื่องใดก่อน เร่งกระบวนการตอบสนองและจัดการกับภัยคุกคามให้เร็วยิ่งขึ้น
3. ตอบสนองต่อเหตุผิดปกติที่อาจเกิดขึ้นได้อย่างรวดเร็ว
หลังตรวจพบเหตุผิดปกติ การจัดการกับเหตุเหล่านั้นให้เร็วที่สุดเพื่อกักกันความเสียหายเป็นเรื่องพื้นฐานในการรักษาความมั่นคงปลอดภัยขององค์กร ซึ่งโดยเฉลี่ยแล้วต้องใช้เวลามากกว่า 3 ชั่วโมงในการจัดการกับเหตุผิดปกติแต่ละครั้ง Sophos EDR สามารถร่นเวลาที่เสียไปได้ด้วยการช่วยผู้ดูแลระบบแยกคอมพิวเตอร์หรือเซิร์ฟเวอร์ที่มีปัญหาออกจากเครือข่ายได้ทันที ควบคุมความเสียหายไม่ให้แพร่กระจายออกไป และเป็นการซื้อเวลาขณะเริ่มทำการตรวจสอบเหตุการณ์และตัดสินใจดำเนินการอย่างหนึ่งอย่างใดต่อ นอกจากนี้ยังนำเสนอแนวทางการแก้ไขปัญหาและสิ่งที่ควรทำทีละขั้นๆ พร้อมข้อมูลประกอบที่เข้าใจง่าย ช่วยให้แม้แต่ผู้ดูแลระบบที่ไม่มีทักษะสูงนักก็สามารถจัดการกับเหตุการณ์ที่เกิดขึ้นได้อย่างรวดเร็ว
จุดเด่นสำคัญอีกประการของ Sophos EDR คือความสามารถในการเข้าถึงอุปกรณ์ปลายทางแบบรีโมตผ่านทาง Command Line ช่วยให้ผู้ดูแลระบบสามารถตอบสนองต่อเหตุผิดปกติได้อย่างรวดเร็วแม้ผู้ใช้จะไม่ได้อยู่ในออฟฟิศ ทั้งยังสามารถติดตั้งเครื่องมือ Forensics เพื่อตรวจสอบปัญหาที่เกิดขึ้น ถอนการติดตั้งซอฟต์แวร์ สั่งจัดการโปรเซสหรือรีบูตอุปกรณ์ได้อีกด้วย
4. เพิ่มศักยภาพให้แก่การรักษาความมั่นคงปลอดภัยโดยไม่ต้องเพิ่มคนหรือเรียนรู้ทักษะใหม่
จากการสำรวจของ Sophos พบว่า เหตุผลสำคัญอันดับหนึ่งที่องค์กรไม่ใช้ EDR คือ การขาดแคลนบุคลากรที่มีทักษะ ตามมาด้วยค่าใช้จ่ายและมูลค่าที่จะได้รับ ด้วยเหตุนี้ Sophos จึงออกแบบโซลูชัน EDR โดยผสานเทคโนโลยี Machine Learning เข้าด้วยกันกับ Threat Intelligence ของ SophosLabs เพื่อทดแทนความเชี่ยวชาญที่ได้จากบุคลากรที่มีทักษะ เช่น นักวิเคราะห์ด้านความมั่นคงปลอดภัย นักวิเคราะห์มัลแวร์ หรือนักวิเคราะห์ข้อมูลภัยคุกคาม ช่วยให้องค์กรสามารถเริ่มใช้งาน EDR ได้โดยไม่ต้องเพิ่มคนหรือเรียนรู้ทักษะใหม่
สำหรับองค์กรที่ต้องการผู้ช่วยบริหารจัดการ EDR ทาง Sophos มีบริการ Managed Threat Response (MTR) สำหรับเพิ่มประสิทธิภาพในการทำ Threat Hunting & Detection, การตรวจสอบเหตุผิดปกติเชิงลึก และการตอบสนองต่อภัยคุกคามที่เกิดขึ้นกับองค์กร
5. เข้าใจการโจมตีที่เกิดขึ้นและยับยั้งไม่ให้เกิดเหตุซ้ำอีก
การรับมือภัยคุกคามโดยทั่วไปนั้น จะใช้วิธีค้นหาและลบไฟล์ไม่พึงประสงค์ (ไฟล์มัลแวร์) ทิ้งไป ซึ่งวิธีนี้เป็นการแก้ไขปัญหาที่ปลายเหตุหรือแก้ปัญหาชั่วคราว เนื่องจากเรายังไม่ทราบวิธีที่แฮ็กเกอร์ใช้บุกรุกเข้ามายังระบบขององค์กร และสิ่งที่พวกนั้นกระทำก่อนที่การโจมตีจะถูกหยุดไป แฮ็กเกอร์อาจโจมตีซ้ำ ณ จุดเดิม หรือบางรายอาจสร้าง Backdoor ทิ้งไว้เป็นช่องทางให้กลับมาโจมตีได้อีก
Sophos EDR มีฟีเจอร์ที่เรียกว่า Threat Cases ซึ่งสามารถแสดงเหตุการณ์ทั้งหมดที่เกี่ยวข้องกับการโจมตีที่ตรวจพบ ช่วยให้ผู้ดูแลระบบเข้าใจได้ง่ายว่า ไฟล์ โปรเซส และ Registry Key ไหนที่ได้รับผลกระทบจากมัลแวร์บ้าง ทั้งยังสามารถแสดงผลเป็นแผนภาพการโจมตี ตั้งแต่จุดเริ่มต้น ไปจนถึงจุดที่การโจมตีจบ (หรือถูกหยุด) เหล่านี้ ทำให้ผู้ดูแลระบบสามารถค้นหาต้นตอของปัญหาได้อย่างรวดเร็วและแม่นยำ พร้อมหาวิธีการปิดช่องโหว่ไม่ให้ถูกโจมตีซ้ำได้อีก
รายละเอียดเพิ่มเติม: https://www.sophos.com/en-us/products/endpoint-antivirus.aspx
สำหรับผู้ที่สนใจ Sophos Intercept X with EDR และโซลูชันด้านความมั่นคงปลอดภัยอื่นๆ จาก Sophos ติดต่อ
IT Green Co., Ltd.
23/87-89 Soi Soonvijai., Rama 9 Rd., Bangkapi, Huay-Kwang, Bangkok 10320
Email: sale@itgreen.co.th