Breaking News
AMR | Citrix Webinar: The Next New Normal

บาป 7 ประการบนการใช้งาน Endpoint Detection & Response

ภัยคุกคามทวีความซับซ้อนและรุนแรงขึ้นเรื่อยๆ ในทุกๆ วัน การป้องกันเพียงอย่างเดียวไม่เพียงพออีกต่อไป การตรวจจับและตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วเริ่มเข้ามามีบทบาทมากขึ้นเพื่อกักกันความเสียหายในเหลือน้อยที่สุด Endpoint Detection & Response (EDR) เป็นหนึ่งในโซลูชันที่ช่วยตอบโจทย์ความต้องการนี้ อย่างไรก็ตาม การบริหารจัดการ EDR อย่างไม่มีศักยภาพเพียงพออาจทำให้องค์กรต้องเผชิญกับบาปทั้ง 7 ประการดังต่อไปนี้ได้

Credit: bikeriderlondon/ShutterStock

1. ขาดความสามารถในการติดตามการทำงานของ Endpoint

การมาถึงของยุค IoT และ Teleworker ทำให้ระบบ IT ในปัจจุบันประกอบด้วยอุปกรณ์หลากหลายประเภท ใช้ระบบปฏิบัติการที่แตกต่างกัน แต่ละองค์กรจำเป็นต้องทำให้อุปกรณ์เหล่านั้นมีความมั่นคงปลอดภัย และกำจัดจุดบอดของ IoT ออกไปให้ได้ การมีความสามารถในการติดตาม (Visibility) อุปกรณ์ Endpoint เรียลไทม์จึงเป็นสิ่งสำคัญที่สุด

2. ล้มเหลวในการวิเคราะห์ข้อมูล

ถึงแม้ว่าองค์กรจะมีระบบ EDR ชั้นยอด ทีมรักษาความมั่นคงปลอดภัยอาจต้องเผชิญกับปริมาณข้อมูลที่ถาโถมเข้ามา จนไม่สามารถเลือกข้อมูลที่มีค่าที่สุดมาตอบสนองได้ แนะนำว่าองค์กรต้องมีเครื่องมือที่เหมาะสมและทรัพยากรบุคคลที่เพียงพอในการวิเคราะห์ข้อมูลที่เข้ามา และมีการตั้งค่าระบบทั้งหมดอย่างถูกต้อง

3. เพิกเฉยต่อการแจ้งเตือนที่เกิดขึ้น

เมื่ออุปกรณ์มีจำนวนมากขึ้น มีแนวโน้มที่การแจ้งเตือนด้านความมั่นคงปลอดภัยจะเพิ่มขึ้น ซึ่งการแจ้งเตือนเหล่านั้นมักประกอบด้วย False Positive ปริมาณมหาศาล การต้องคอยคัดกรองการแจ้งเตือนเหล่านี้บั่นทอนผลิตภาพในการทำงานของทีมรักษาความมั่นคงปลอดภัย ส่งผลให้ทีมอาจเพิกเฉยต่อการแจ้งเตือนบางอย่างเพราะคิดว่าไม่ใช้ภัยคุกคามจริง

4. พึ่งพา IoC มากจนเกินไป

Indicators of Compromise ช่วยให้บ่งชี้การเกิดเหตุ Data Breach ได้อย่างรวดเร็ว จึงควรเฝ้าระวัง IoC เหล่านี้อย่างใกล้ชิด แต่ต้องไม่พึงพา IoC มากจนเกินไป เนื่องจากแฮ็กเกอร์ที่ชาญฉลาดก็รู้จัก IoC เหล่านี้ดีเช่นกัน จึงพยายามซ่อนพรางการโจมตีและหลบเลี่ยงการตรวจจับเหล่านั้น กลยุทธ์ในการป้องกันที่ดีควรมีการเฝ้าระวังพฤติกรรมที่ต้องสงสัยหรือรูปแบบที่ผิดปกติด้วย

5. ขาดบุคลากรที่มีทักษะ

การขาดแคลนบุคลากรที่มีทักษะและความรู้ด้านความมั่นคงปลอดภัยไซเบอร์เป็นปัญหาใหญ่ของทุกองค์กรในปัจจุบัน ต่อให้องค์กรมีระบบ EDR ที่ดีที่สุด ก็ไม่สามารถแสดงศักยภาพที่แท้จริงออกมาได้ถ้าไม่มีนักวิเคราะห์ที่มีความสามารถเพียงพอคอยสนับสนุน ถ้าหาบุคลากรที่มีทักษะไม่ได้จริงๆ การ Outsource หรือจ้าง MSSP มาช่วยตรวจจับและตอบสนองต่อเหตุการณ์ไม่พึงประสงค์ก็อาจเป็นอีกทางเลือกหนึ่ง

6. ล้มเหลวในการตอบสนองอย่างเป็นระบบ

ยิ่งองค์กรสามารถตรวจจับภัยคุกคามได้เร็วเท่าไหร่ ยิ่งทำให้กักกันความเสียหายได้เร็วมากเท่านั้น แต่มันจะไร้ความหมายทันทีถ้าองค์กรไม่สามารถตอบสนองต่อภัยคุกคามนั้นๆ ได้อย่างถูกต้องและรวดเร็ว จึงควรมีการวางแผนการรับมือภัยคุกคามแต่ละประเภท กำหนดหน้าที่ความรับผิดชอบอย่างชัดเจน และฝึกซ้อมจำลองสถานการณ์ที่เกิดขึ้น เพื่อให้มั่นใจว่าทุกคนสามารถตอบสนองต่อเหตุการณ์ต่างๆ ได้อย่างฉับไว

7. ลืมการประเมินและปรับปรุงระบบ

การรักษาความมั่นคงปลอดภัยไม่มีคำว่าสมบูรณ์แบบ องค์กรจำเป็นต้องมีการประเมินและปรับปรุงกลยุทธ์ต่างๆ ให้ดียิ่งขึ้นอยู่เสมอ เพื่อให้พร้อมรับมือกับภัยคุกคามที่พัฒนาขึ้นในทุกๆ วัน ไม่ว่าจะเป็นการนำเทคนิคใหม่ๆ เข้ามาใช้ การเตรียมทรัพยากรให้เพียงพอต่อการใช้งาน หรือการกำหนดลำดับความสำคัญของการแจ้งเตือนให้ทันสมัย เป็นต้น

ที่มา: https://www.csoonline.com/article/3321668/endpoint-protection/the-7-deadly-sins-of-endpoint-detection-and-response.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] เอไอเอส ยืนยัน ไม่มีข้อมูลส่วนบุคคลลูกค้ารั่วไหลตามที่เป็นข่าว

นางสายชล ทรัพย์มากอุดม หัวหน้าสายงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) กล่าวว่า “จากการรายงานข่าวในต่างประเทศเกี่ยวกับการรั่วไหลของข้อมูลลูกค้าเอไอเอส นั้น บริษัทฯ ขอเรียนว่า ข้อมูลดังกล่าวไม่ใช่ข้อมูลส่วนบุคคลของลูกค้าแต่เป็นข้อมูลเกี่ยวกับการใช้งานอินเตอร์เน็ตในภาพรวมบางส่วน และไม่ใช่ข้อมูลที่สามารถก่อให้เกิดความเสียหายด้านการเงินหรือด้านอื่นๆ โดยกรณีนี้เกิดจากการทดสอบเพื่อปรับปรุงคุณภาพเครือข่ายที่มีขึ้นในเดือนพฤษภาคม และภารกิจดังกล่าวได้ดำเนินการเรียบร้อยแล้ว โดยขอยืนยันอีกครั้งว่า ไม่มีลูกค้ารายใดได้รับผลกระทบทั้งด้านการเงินและด้านอื่นๆอย่างแน่นอน”

ข้อมูลการใช้งานอินเทอร์เน็ตของคนไทย 8,300,000,000 Record รั่วไหลผ่านอินเทอร์เน็ต

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยพบฐานข้อมูลที่มี Log DNS Query และ Netflow ของบริษัท AWN เปิดเข้าถึงได้ผ่านอินเทอร์เน็ตโดยไม่มีการป้องกัน ซึ่งมีข้อมูลกว่า 8.3 พันล้าน Record ทั้งนี้ฐานข้อมูล ElasticsSearch …