บาป 7 ประการบนการใช้งาน Endpoint Detection & Response

ภัยคุกคามทวีความซับซ้อนและรุนแรงขึ้นเรื่อยๆ ในทุกๆ วัน การป้องกันเพียงอย่างเดียวไม่เพียงพออีกต่อไป การตรวจจับและตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วเริ่มเข้ามามีบทบาทมากขึ้นเพื่อกักกันความเสียหายในเหลือน้อยที่สุด Endpoint Detection & Response (EDR) เป็นหนึ่งในโซลูชันที่ช่วยตอบโจทย์ความต้องการนี้ อย่างไรก็ตาม การบริหารจัดการ EDR อย่างไม่มีศักยภาพเพียงพออาจทำให้องค์กรต้องเผชิญกับบาปทั้ง 7 ประการดังต่อไปนี้ได้

Credit: bikeriderlondon/ShutterStock

1. ขาดความสามารถในการติดตามการทำงานของ Endpoint

การมาถึงของยุค IoT และ Teleworker ทำให้ระบบ IT ในปัจจุบันประกอบด้วยอุปกรณ์หลากหลายประเภท ใช้ระบบปฏิบัติการที่แตกต่างกัน แต่ละองค์กรจำเป็นต้องทำให้อุปกรณ์เหล่านั้นมีความมั่นคงปลอดภัย และกำจัดจุดบอดของ IoT ออกไปให้ได้ การมีความสามารถในการติดตาม (Visibility) อุปกรณ์ Endpoint เรียลไทม์จึงเป็นสิ่งสำคัญที่สุด

2. ล้มเหลวในการวิเคราะห์ข้อมูล

ถึงแม้ว่าองค์กรจะมีระบบ EDR ชั้นยอด ทีมรักษาความมั่นคงปลอดภัยอาจต้องเผชิญกับปริมาณข้อมูลที่ถาโถมเข้ามา จนไม่สามารถเลือกข้อมูลที่มีค่าที่สุดมาตอบสนองได้ แนะนำว่าองค์กรต้องมีเครื่องมือที่เหมาะสมและทรัพยากรบุคคลที่เพียงพอในการวิเคราะห์ข้อมูลที่เข้ามา และมีการตั้งค่าระบบทั้งหมดอย่างถูกต้อง

3. เพิกเฉยต่อการแจ้งเตือนที่เกิดขึ้น

เมื่ออุปกรณ์มีจำนวนมากขึ้น มีแนวโน้มที่การแจ้งเตือนด้านความมั่นคงปลอดภัยจะเพิ่มขึ้น ซึ่งการแจ้งเตือนเหล่านั้นมักประกอบด้วย False Positive ปริมาณมหาศาล การต้องคอยคัดกรองการแจ้งเตือนเหล่านี้บั่นทอนผลิตภาพในการทำงานของทีมรักษาความมั่นคงปลอดภัย ส่งผลให้ทีมอาจเพิกเฉยต่อการแจ้งเตือนบางอย่างเพราะคิดว่าไม่ใช้ภัยคุกคามจริง

4. พึ่งพา IoC มากจนเกินไป

Indicators of Compromise ช่วยให้บ่งชี้การเกิดเหตุ Data Breach ได้อย่างรวดเร็ว จึงควรเฝ้าระวัง IoC เหล่านี้อย่างใกล้ชิด แต่ต้องไม่พึงพา IoC มากจนเกินไป เนื่องจากแฮ็กเกอร์ที่ชาญฉลาดก็รู้จัก IoC เหล่านี้ดีเช่นกัน จึงพยายามซ่อนพรางการโจมตีและหลบเลี่ยงการตรวจจับเหล่านั้น กลยุทธ์ในการป้องกันที่ดีควรมีการเฝ้าระวังพฤติกรรมที่ต้องสงสัยหรือรูปแบบที่ผิดปกติด้วย

5. ขาดบุคลากรที่มีทักษะ

การขาดแคลนบุคลากรที่มีทักษะและความรู้ด้านความมั่นคงปลอดภัยไซเบอร์เป็นปัญหาใหญ่ของทุกองค์กรในปัจจุบัน ต่อให้องค์กรมีระบบ EDR ที่ดีที่สุด ก็ไม่สามารถแสดงศักยภาพที่แท้จริงออกมาได้ถ้าไม่มีนักวิเคราะห์ที่มีความสามารถเพียงพอคอยสนับสนุน ถ้าหาบุคลากรที่มีทักษะไม่ได้จริงๆ การ Outsource หรือจ้าง MSSP มาช่วยตรวจจับและตอบสนองต่อเหตุการณ์ไม่พึงประสงค์ก็อาจเป็นอีกทางเลือกหนึ่ง

6. ล้มเหลวในการตอบสนองอย่างเป็นระบบ

ยิ่งองค์กรสามารถตรวจจับภัยคุกคามได้เร็วเท่าไหร่ ยิ่งทำให้กักกันความเสียหายได้เร็วมากเท่านั้น แต่มันจะไร้ความหมายทันทีถ้าองค์กรไม่สามารถตอบสนองต่อภัยคุกคามนั้นๆ ได้อย่างถูกต้องและรวดเร็ว จึงควรมีการวางแผนการรับมือภัยคุกคามแต่ละประเภท กำหนดหน้าที่ความรับผิดชอบอย่างชัดเจน และฝึกซ้อมจำลองสถานการณ์ที่เกิดขึ้น เพื่อให้มั่นใจว่าทุกคนสามารถตอบสนองต่อเหตุการณ์ต่างๆ ได้อย่างฉับไว

7. ลืมการประเมินและปรับปรุงระบบ

การรักษาความมั่นคงปลอดภัยไม่มีคำว่าสมบูรณ์แบบ องค์กรจำเป็นต้องมีการประเมินและปรับปรุงกลยุทธ์ต่างๆ ให้ดียิ่งขึ้นอยู่เสมอ เพื่อให้พร้อมรับมือกับภัยคุกคามที่พัฒนาขึ้นในทุกๆ วัน ไม่ว่าจะเป็นการนำเทคนิคใหม่ๆ เข้ามาใช้ การเตรียมทรัพยากรให้เพียงพอต่อการใช้งาน หรือการกำหนดลำดับความสำคัญของการแจ้งเตือนให้ทันสมัย เป็นต้น

ที่มา: https://www.csoonline.com/article/3321668/endpoint-protection/the-7-deadly-sins-of-endpoint-detection-and-response.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ทีม Netflix พบช่องโหว่ DoS หลายรายการบน Linux และ FreeBSD

Jonathan Looney จากทีม Netflix Information Security ได้ออกมาเปิดเผยถึงช่องโหว่หลายรายการบน Linux และ FreeBSD ซึ่งมีสาเหตุมาจากการจัดการกับ TCP Networking ไม่ดีเพียงพอ ส่งผลให้แฮ็กเกอร์สามารถเจาะช่องโหว่จากระยะไกลและก่อให้เกิดความผิดพลาดร้ายแรงบนระบบ …

[Guest Post] Cybersecurity สำหรับธุรกิจขนาดเล็ก

ธุรกิจแบบไหนบ้างที่มีความเสี่ยงด้านความมั่นคงปลอดภัยบนโลกไซเบอร์ สำหรับเจ้าของธุรกิจขนาดเล็กแล้ว มีอุปสรรคมากมายที่ต้องเผชิญ รวมถึงความมั่นคงปลอดภัยของเทคโนโลยี เพราะทุกความเสี่ยงย่อมสร้างความเสียหายให้กับธุรกิจ และคำแนะนำส่วนมากก็มักเขียนสำหรับองค์กรใหญ่ๆ วันนี้เราจึงอยากพูดถึงความมั่นคงปลอดภัยไซเบอร์สำหรับธุรกิจขนาดเล็ก