บาป 7 ประการบนการใช้งาน Endpoint Detection & Response

ภัยคุกคามทวีความซับซ้อนและรุนแรงขึ้นเรื่อยๆ ในทุกๆ วัน การป้องกันเพียงอย่างเดียวไม่เพียงพออีกต่อไป การตรวจจับและตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วเริ่มเข้ามามีบทบาทมากขึ้นเพื่อกักกันความเสียหายในเหลือน้อยที่สุด Endpoint Detection & Response (EDR) เป็นหนึ่งในโซลูชันที่ช่วยตอบโจทย์ความต้องการนี้ อย่างไรก็ตาม การบริหารจัดการ EDR อย่างไม่มีศักยภาพเพียงพออาจทำให้องค์กรต้องเผชิญกับบาปทั้ง 7 ประการดังต่อไปนี้ได้

1. ขาดความสามารถในการติดตามการทำงานของ Endpoint

การมาถึงของยุค IoT และ Teleworker ทำให้ระบบ IT ในปัจจุบันประกอบด้วยอุปกรณ์หลากหลายประเภท ใช้ระบบปฏิบัติการที่แตกต่างกัน แต่ละองค์กรจำเป็นต้องทำให้อุปกรณ์เหล่านั้นมีความมั่นคงปลอดภัย และกำจัดจุดบอดของ IoT ออกไปให้ได้ การมีความสามารถในการติดตาม (Visibility) อุปกรณ์ Endpoint เรียลไทม์จึงเป็นสิ่งสำคัญที่สุด

2. ล้มเหลวในการวิเคราะห์ข้อมูล

ถึงแม้ว่าองค์กรจะมีระบบ EDR ชั้นยอด ทีมรักษาความมั่นคงปลอดภัยอาจต้องเผชิญกับปริมาณข้อมูลที่ถาโถมเข้ามา จนไม่สามารถเลือกข้อมูลที่มีค่าที่สุดมาตอบสนองได้ แนะนำว่าองค์กรต้องมีเครื่องมือที่เหมาะสมและทรัพยากรบุคคลที่เพียงพอในการวิเคราะห์ข้อมูลที่เข้ามา และมีการตั้งค่าระบบทั้งหมดอย่างถูกต้อง

3. เพิกเฉยต่อการแจ้งเตือนที่เกิดขึ้น

เมื่ออุปกรณ์มีจำนวนมากขึ้น มีแนวโน้มที่การแจ้งเตือนด้านความมั่นคงปลอดภัยจะเพิ่มขึ้น ซึ่งการแจ้งเตือนเหล่านั้นมักประกอบด้วย False Positive ปริมาณมหาศาล การต้องคอยคัดกรองการแจ้งเตือนเหล่านี้บั่นทอนผลิตภาพในการทำงานของทีมรักษาความมั่นคงปลอดภัย ส่งผลให้ทีมอาจเพิกเฉยต่อการแจ้งเตือนบางอย่างเพราะคิดว่าไม่ใช้ภัยคุกคามจริง

4. พึ่งพา IoC มากจนเกินไป

Indicators of Compromise ช่วยให้บ่งชี้การเกิดเหตุ Data Breach ได้อย่างรวดเร็ว จึงควรเฝ้าระวัง IoC เหล่านี้อย่างใกล้ชิด แต่ต้องไม่พึงพา IoC มากจนเกินไป เนื่องจากแฮ็กเกอร์ที่ชาญฉลาดก็รู้จัก IoC เหล่านี้ดีเช่นกัน จึงพยายามซ่อนพรางการโจมตีและหลบเลี่ยงการตรวจจับเหล่านั้น กลยุทธ์ในการป้องกันที่ดีควรมีการเฝ้าระวังพฤติกรรมที่ต้องสงสัยหรือรูปแบบที่ผิดปกติด้วย

5. ขาดบุคลากรที่มีทักษะ

การขาดแคลนบุคลากรที่มีทักษะและความรู้ด้านความมั่นคงปลอดภัยไซเบอร์เป็นปัญหาใหญ่ของทุกองค์กรในปัจจุบัน ต่อให้องค์กรมีระบบ EDR ที่ดีที่สุด ก็ไม่สามารถแสดงศักยภาพที่แท้จริงออกมาได้ถ้าไม่มีนักวิเคราะห์ที่มีความสามารถเพียงพอคอยสนับสนุน ถ้าหาบุคลากรที่มีทักษะไม่ได้จริงๆ การ Outsource หรือจ้าง MSSP มาช่วยตรวจจับและตอบสนองต่อเหตุการณ์ไม่พึงประสงค์ก็อาจเป็นอีกทางเลือกหนึ่ง

6. ล้มเหลวในการตอบสนองอย่างเป็นระบบ

ยิ่งองค์กรสามารถตรวจจับภัยคุกคามได้เร็วเท่าไหร่ ยิ่งทำให้กักกันความเสียหายได้เร็วมากเท่านั้น แต่มันจะไร้ความหมายทันทีถ้าองค์กรไม่สามารถตอบสนองต่อภัยคุกคามนั้นๆ ได้อย่างถูกต้องและรวดเร็ว จึงควรมีการวางแผนการรับมือภัยคุกคามแต่ละประเภท กำหนดหน้าที่ความรับผิดชอบอย่างชัดเจน และฝึกซ้อมจำลองสถานการณ์ที่เกิดขึ้น เพื่อให้มั่นใจว่าทุกคนสามารถตอบสนองต่อเหตุการณ์ต่างๆ ได้อย่างฉับไว

7. ลืมการประเมินและปรับปรุงระบบ

การรักษาความมั่นคงปลอดภัยไม่มีคำว่าสมบูรณ์แบบ องค์กรจำเป็นต้องมีการประเมินและปรับปรุงกลยุทธ์ต่างๆ ให้ดียิ่งขึ้นอยู่เสมอ เพื่อให้พร้อมรับมือกับภัยคุกคามที่พัฒนาขึ้นในทุกๆ วัน ไม่ว่าจะเป็นการนำเทคนิคใหม่ๆ เข้ามาใช้ การเตรียมทรัพยากรให้เพียงพอต่อการใช้งาน หรือการกำหนดลำดับความสำคัญของการแจ้งเตือนให้ทันสมัย เป็นต้น

ที่มา: https://www.csoonline.com/article/3321668/endpoint-protection/the-7-deadly-sins-of-endpoint-detection-and-response.html