Microsoft Azure by Ingram Micro (Thailand)

5 เหตุผล ทำไมองค์กรจำเป็นต้องมี EDR

Endpoint Detection and Response (EDR) ถูกพัฒนาขึ้นมาเพื่อเสริมความสามารถด้านการตรวจจับ การเก็บหลักฐาน และการตอบสนองต่อภัยคุกคามไซเบอร์ให้แก่ระบบ Endpoint Security อย่างไรก็ตาม หลายองค์กรยังคงขาดความเข้าใจเกี่ยวกับแนวคิดเรื่อง EDR และการนำไปใช้ให้เกิดประสิทธิภาพสูงสุดโดยไม่เพิ่มภาระแก่ผู้ดูแลระบบเดิม

Sophos ให้บริการ EDR โดยการผสานรวมกับ Intercept X ซึ่งเป็นโซลูชัน Endpoint and Server Protection ชั้นนำระดับโลกเข้าด้วยกันเป็นโซลูชันเดียว เรียกว่า Intercept X with EDR ช่วยให้องค์กรสามารถตรวจจับและตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยที่เกิดขึ้นบนอุปกรณ์ปลายทางได้อย่างรวดเร็วและแม่นยำ

บทความนี้จะมาบรรยายถึง 5 เหตุผล ทำไม Sophos EDR จึงเป็นโซลูชันที่จำเป็นต่อการรักษาความมั่นคงปลอดภัยของอุปกรณ์ปลายทางในยุคดิจิทัล ดังนี้

1. รักษา IT Security Operations ให้มีประสิทธิภาพที่ดีตลอดเวลา และตามล่าภัยคุกคามที่แอบซ่อนอยู่ในองค์กร

EDR ช่วยสนับสนุนการดำเนินงานทั้งด้าน IT Operations และ IT Security ดังนี้

  • IT Operations: Sophos EDR ช่วยรักษาอุปกรณ์คอมพิวเตอร์ให้อยู่ในสถานะพร้อมใช้งานและมั่นคงปลอดภัยตลอดเวลา ไม่ว่าจะเป็นการค้นหาอุปกรณ์ที่มีปัญหาเรื่องประสิทธิภาพ (เช่น เหลือพื้นที่เก็บข้อมูลน้อยหรือใช้หน่วยความจำสูงเกินไป) การระบุอุปกรณ์ที่มีช่องโหว่ที่ต้องทำการแพตช์ หรือการตรวจสอบเซิร์ฟเวอร์ที่เปิด RDP ทิ้งไว้โดยไม่จำเป็น ทั้งยังช่วยให้ผู้ดูแลระบบสามารถรีโมตเข้าไปแก้ไขปัญหาเหล่านั้นได้สะดวกรวดเร็วอีกด้วย
  • IT Security: EDR สามารถตามล่าภัยคุกคามที่หลุดรอดระบบ Endpoint Protection เข้ามาผ่านทางการติดตาม Indicator of Compromise (IoC) เช่น การตรวจจับความพยายามเชื่อมต่อเข้ายังมาพอร์ตอื่นๆ ที่ไม่ใช่พอร์ตมาตรฐาน, โปรเซสที่ทำการแก้ไขไฟล์หรือ Registry Keys, โปรเซสที่ปลอมแปลงตัวเองเป็นอย่างอื่น หรือผู้ใช้ที่คลิกลิงก์บนอีเมล Phishing จากนั้นรีโมตเข้าไปยังอุปกรณ์ที่เกี่ยวข้องเพื่อเก็บข้อมูลเพิ่มเติม จัดทำ Forensics และจัดการกับโปรเซสที่ต้องสงสัยได้ทันที

2. ตรวจจับการโจมตีที่หลุดลอดเข้ามาโดยไม่รู้ตัว

ไม่มีโซลูชันด้านความมั่นคงปลอดภัยใดที่สามารถป้องกันภัยคุกคามได้ 100% EDR จึงเป็นแนวป้องกันอีกชั้นที่ทำหน้าที่ค้นหา ตรวจจับ และตอบสนองต่อภัยคุกคามที่หลุดรอดผ่านแนวป้องกันแรก เช่น Firewall, IPS, Sandbox เข้ามาได้ องค์กรสามารถใช้ EDR ในการตรวจจับการโจมตีผ่านทางการค้นหา Indicator of Compromise (IoC) ซึ่งได้จากการอัปเดตข้อมูลผ่าน Threat Intelligence

Sophos EDR รวบรวม IoC ของภัยคุกคามล่าสุดที่ค้นพบจากทั่วทุกมุมโลก แล้วนำไปวิเคราะห์ด้วยเทคโนโลยี Machine Learning ของ SophosLabs เพื่อจัดอันดับความสำคัญ ซึ่งช่วยให้นักวิเคราะห์สามารถรู้ได้ทันทีว่าพวกเขาต้องเริ่มตรวจสอบและโฟกัสกับเรื่องใดก่อน เร่งกระบวนการตอบสนองและจัดการกับภัยคุกคามให้เร็วยิ่งขึ้น

3. ตอบสนองต่อเหตุผิดปกติที่อาจเกิดขึ้นได้อย่างรวดเร็ว

หลังตรวจพบเหตุผิดปกติ การจัดการกับเหตุเหล่านั้นให้เร็วที่สุดเพื่อกักกันความเสียหายเป็นเรื่องพื้นฐานในการรักษาความมั่นคงปลอดภัยขององค์กร ซึ่งโดยเฉลี่ยแล้วต้องใช้เวลามากกว่า 3 ชั่วโมงในการจัดการกับเหตุผิดปกติแต่ละครั้ง Sophos EDR สามารถร่นเวลาที่เสียไปได้ด้วยการช่วยผู้ดูแลระบบแยกคอมพิวเตอร์หรือเซิร์ฟเวอร์ที่มีปัญหาออกจากเครือข่ายได้ทันที ควบคุมความเสียหายไม่ให้แพร่กระจายออกไป และเป็นการซื้อเวลาขณะเริ่มทำการตรวจสอบเหตุการณ์และตัดสินใจดำเนินการอย่างหนึ่งอย่างใดต่อ นอกจากนี้ยังนำเสนอแนวทางการแก้ไขปัญหาและสิ่งที่ควรทำทีละขั้นๆ พร้อมข้อมูลประกอบที่เข้าใจง่าย ช่วยให้แม้แต่ผู้ดูแลระบบที่ไม่มีทักษะสูงนักก็สามารถจัดการกับเหตุการณ์ที่เกิดขึ้นได้อย่างรวดเร็ว

จุดเด่นสำคัญอีกประการของ Sophos EDR คือความสามารถในการเข้าถึงอุปกรณ์ปลายทางแบบรีโมตผ่านทาง Command Line ช่วยให้ผู้ดูแลระบบสามารถตอบสนองต่อเหตุผิดปกติได้อย่างรวดเร็วแม้ผู้ใช้จะไม่ได้อยู่ในออฟฟิศ ทั้งยังสามารถติดตั้งเครื่องมือ Forensics เพื่อตรวจสอบปัญหาที่เกิดขึ้น ถอนการติดตั้งซอฟต์แวร์ สั่งจัดการโปรเซสหรือรีบูตอุปกรณ์ได้อีกด้วย

4. เพิ่มศักยภาพให้แก่การรักษาความมั่นคงปลอดภัยโดยไม่ต้องเพิ่มคนหรือเรียนรู้ทักษะใหม่

จากการสำรวจของ Sophos พบว่า เหตุผลสำคัญอันดับหนึ่งที่องค์กรไม่ใช้ EDR คือ การขาดแคลนบุคลากรที่มีทักษะ ตามมาด้วยค่าใช้จ่ายและมูลค่าที่จะได้รับ ด้วยเหตุนี้ Sophos จึงออกแบบโซลูชัน EDR โดยผสานเทคโนโลยี Machine Learning เข้าด้วยกันกับ Threat Intelligence ของ SophosLabs เพื่อทดแทนความเชี่ยวชาญที่ได้จากบุคลากรที่มีทักษะ เช่น นักวิเคราะห์ด้านความมั่นคงปลอดภัย นักวิเคราะห์มัลแวร์ หรือนักวิเคราะห์ข้อมูลภัยคุกคาม ช่วยให้องค์กรสามารถเริ่มใช้งาน EDR ได้โดยไม่ต้องเพิ่มคนหรือเรียนรู้ทักษะใหม่

สำหรับองค์กรที่ต้องการผู้ช่วยบริหารจัดการ EDR ทาง Sophos มีบริการ Managed Threat Response (MTR) สำหรับเพิ่มประสิทธิภาพในการทำ Threat Hunting & Detection, การตรวจสอบเหตุผิดปกติเชิงลึก และการตอบสนองต่อภัยคุกคามที่เกิดขึ้นกับองค์กร

5. เข้าใจการโจมตีที่เกิดขึ้นและยับยั้งไม่ให้เกิดเหตุซ้ำอีก

การรับมือภัยคุกคามโดยทั่วไปนั้น จะใช้วิธีค้นหาและลบไฟล์ไม่พึงประสงค์ (ไฟล์มัลแวร์) ทิ้งไป ซึ่งวิธีนี้เป็นการแก้ไขปัญหาที่ปลายเหตุหรือแก้ปัญหาชั่วคราว เนื่องจากเรายังไม่ทราบวิธีที่แฮ็กเกอร์ใช้บุกรุกเข้ามายังระบบขององค์กร และสิ่งที่พวกนั้นกระทำก่อนที่การโจมตีจะถูกหยุดไป แฮ็กเกอร์อาจโจมตีซ้ำ ณ​ จุดเดิม หรือบางรายอาจสร้าง Backdoor ทิ้งไว้เป็นช่องทางให้กลับมาโจมตีได้อีก

Sophos EDR มีฟีเจอร์ที่เรียกว่า Threat Cases ซึ่งสามารถแสดงเหตุการณ์ทั้งหมดที่เกี่ยวข้องกับการโจมตีที่ตรวจพบ ช่วยให้ผู้ดูแลระบบเข้าใจได้ง่ายว่า ไฟล์ โปรเซส และ Registry Key ไหนที่ได้รับผลกระทบจากมัลแวร์บ้าง ทั้งยังสามารถแสดงผลเป็นแผนภาพการโจมตี ตั้งแต่จุดเริ่มต้น ไปจนถึงจุดที่การโจมตีจบ (หรือถูกหยุด) เหล่านี้ ทำให้ผู้ดูแลระบบสามารถค้นหาต้นตอของปัญหาได้อย่างรวดเร็วและแม่นยำ พร้อมหาวิธีการปิดช่องโหว่ไม่ให้ถูกโจมตีซ้ำได้อีก

รายละเอียดเพิ่มเติม: https://www.sophos.com/en-us/products/endpoint-antivirus.aspx?cmp=116298

สำหรับผู้ที่สนใจ Sophos Intercept X with EDR และโซลูชันด้านความมั่นคงปลอดภัยอื่นๆ จาก Sophos สามารถติดต่อผู้จัดจำหน่ายอย่างเป็นทางการในประเทศไทยทั้ง 2 ราย ได้แก่

IT Green Co., Ltd.
23/87-89 Soi Soonvijai., Rama 9 Rd., Bangkapi, Huay-Kwang, Bangkok 10320
Website: www.itgreen.co.th
Email: sale@itgreen.co.th

VRCOMM Co., Ltd.
44 Soi Udom Kiat, Huai Khwang, Huai Khwang, Bangkok, 10310 Thailand
Website: www.vrcomm.net
Email: sales@vrcomm.net

เกี่ยวกับ Sophos

Sophos เป็นผู้ให้บริการด้านความมั่นคงปลอดยภัยไซเบอร์แบบ Next-generation จากสหราชอาณาจักร นำเสนอโซลูชันชั้นนำสำหรับป้องกันอุปกรณ์ปลายทาง (คอมพิวเตอร์ เซิร์ฟเวอร์ และอุปกรณ์พกพา) และระบบเครือข่ายจากภัยคุกคามไซเบอร์สมัยใหม่ ไม่ว่าจะเป็นมัลแวร์ การโจมตีช่องโหว่ การจารกรรมข้อมูล การเจาะระบบ ฟิชชิ่ง แรนซัมแวร์ และอื่นๆ สนับสนุนโดย SophosLabs ทีม Data Science และ Threat Intelligence ระดับโลก ลูกค้าสามารถบริหารจัดการผลิตภัณฑ์ของ Sophos ทั้ง Endpoint, Network, Web, Email, Encryption, Mobile และ Public Cloud  ได้จากศูนย์กลางผ่านทาง Sophos Central ซึ่งเป็นแพลตฟอร์มบนระบบ Cloud โดยโซลูชันทั้งหมดของ Sophos จะผสานการทำงานร่วมกันแบบบูรณาการภายใต้แนวคิด “Synchronized Security” ซึ่งช่วยให้ตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วและอัตโนมัติ

ในฐานะผู้ให้บริการด้านความมั่นคงปลอดยภัยไซเบอร์แบบ Next-generation Sophos ได้นำนวัตกรรมและเทคโนโลยีระดับสูงอย่าง Cloud, Machine Learning, APIs, Automation, Managed Threat Response และอื่นๆ เข้ามาประยุกต์ใช้กับโซลูชันของตนเพื่อส่งมอบการป้องกันระดับ Enterprise ให้แก่องค์กรทุกระดับ

ปัจจุบันนี้ Sophos มีพาร์ทเนอร์และ Managed Service Providers (MSPs) มากกว่า 53,000 ราย ให้บริการโซลูชันสำหรับรักษาความมั่นคงปลอดภัยแก่ลูกค้ามากกว่า 400,000 องค์กรใน 150 ประเทศทั่วโลก นอกจากนี้ยังได้นำนวัตกรรมต่างๆ กระจายสู่ผู้ใช้ตามบ้านผ่านทาง Sophos Home

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ผสาน Automation และ Intelligence เข้าไปยังความสามารถของงานด้านการผลิต โดย Infor

การนำเทคโนโลยีใหม่ๆเข้ามาใช้งานในธุรกิจนั้นไม่ใช่เรื่องง่าย และแต่ละอุตสาหกรรมก็มีความท้าทายเฉพาะตัวที่ต้องเผชิญหน้า ในอุตสาหกรรมการผลิตเองก็เช่นกันที่ได้รับผลกระทบจากการเปลี่ยนแปลงของเทคโนโลยี ความต้องการของลูกค้า Supply Chain และอื่นๆ 

Cisco ปิดดีลเข้าซื้อ Splunk มูลค่า 1 ล้านล้านบาท

หลังจากผ่านการตรวจสอบอย่างเข้มข้นจนได้รับอนุมัติเรียบร้อย ล่าสุดทาง Cisco ได้ประกาศถึงความสำเร็จในการเข้าซื้อกิจการของ Splunk ที่มูลค่า 28,000 ล้านเหรียญหรือราวๆ 1 ล้านล้านบาทอย่างเป็นทางการแล้ว