บาป 7 ประการบนการใช้งาน Endpoint Detection & Response

ภัยคุกคามทวีความซับซ้อนและรุนแรงขึ้นเรื่อยๆ ในทุกๆ วัน การป้องกันเพียงอย่างเดียวไม่เพียงพออีกต่อไป การตรวจจับและตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วเริ่มเข้ามามีบทบาทมากขึ้นเพื่อกักกันความเสียหายในเหลือน้อยที่สุด Endpoint Detection & Response (EDR) เป็นหนึ่งในโซลูชันที่ช่วยตอบโจทย์ความต้องการนี้ อย่างไรก็ตาม การบริหารจัดการ EDR อย่างไม่มีศักยภาพเพียงพออาจทำให้องค์กรต้องเผชิญกับบาปทั้ง 7 ประการดังต่อไปนี้ได้

Credit: bikeriderlondon/ShutterStock

1. ขาดความสามารถในการติดตามการทำงานของ Endpoint

การมาถึงของยุค IoT และ Teleworker ทำให้ระบบ IT ในปัจจุบันประกอบด้วยอุปกรณ์หลากหลายประเภท ใช้ระบบปฏิบัติการที่แตกต่างกัน แต่ละองค์กรจำเป็นต้องทำให้อุปกรณ์เหล่านั้นมีความมั่นคงปลอดภัย และกำจัดจุดบอดของ IoT ออกไปให้ได้ การมีความสามารถในการติดตาม (Visibility) อุปกรณ์ Endpoint เรียลไทม์จึงเป็นสิ่งสำคัญที่สุด

2. ล้มเหลวในการวิเคราะห์ข้อมูล

ถึงแม้ว่าองค์กรจะมีระบบ EDR ชั้นยอด ทีมรักษาความมั่นคงปลอดภัยอาจต้องเผชิญกับปริมาณข้อมูลที่ถาโถมเข้ามา จนไม่สามารถเลือกข้อมูลที่มีค่าที่สุดมาตอบสนองได้ แนะนำว่าองค์กรต้องมีเครื่องมือที่เหมาะสมและทรัพยากรบุคคลที่เพียงพอในการวิเคราะห์ข้อมูลที่เข้ามา และมีการตั้งค่าระบบทั้งหมดอย่างถูกต้อง

3. เพิกเฉยต่อการแจ้งเตือนที่เกิดขึ้น

เมื่ออุปกรณ์มีจำนวนมากขึ้น มีแนวโน้มที่การแจ้งเตือนด้านความมั่นคงปลอดภัยจะเพิ่มขึ้น ซึ่งการแจ้งเตือนเหล่านั้นมักประกอบด้วย False Positive ปริมาณมหาศาล การต้องคอยคัดกรองการแจ้งเตือนเหล่านี้บั่นทอนผลิตภาพในการทำงานของทีมรักษาความมั่นคงปลอดภัย ส่งผลให้ทีมอาจเพิกเฉยต่อการแจ้งเตือนบางอย่างเพราะคิดว่าไม่ใช้ภัยคุกคามจริง

4. พึ่งพา IoC มากจนเกินไป

Indicators of Compromise ช่วยให้บ่งชี้การเกิดเหตุ Data Breach ได้อย่างรวดเร็ว จึงควรเฝ้าระวัง IoC เหล่านี้อย่างใกล้ชิด แต่ต้องไม่พึงพา IoC มากจนเกินไป เนื่องจากแฮ็กเกอร์ที่ชาญฉลาดก็รู้จัก IoC เหล่านี้ดีเช่นกัน จึงพยายามซ่อนพรางการโจมตีและหลบเลี่ยงการตรวจจับเหล่านั้น กลยุทธ์ในการป้องกันที่ดีควรมีการเฝ้าระวังพฤติกรรมที่ต้องสงสัยหรือรูปแบบที่ผิดปกติด้วย

5. ขาดบุคลากรที่มีทักษะ

การขาดแคลนบุคลากรที่มีทักษะและความรู้ด้านความมั่นคงปลอดภัยไซเบอร์เป็นปัญหาใหญ่ของทุกองค์กรในปัจจุบัน ต่อให้องค์กรมีระบบ EDR ที่ดีที่สุด ก็ไม่สามารถแสดงศักยภาพที่แท้จริงออกมาได้ถ้าไม่มีนักวิเคราะห์ที่มีความสามารถเพียงพอคอยสนับสนุน ถ้าหาบุคลากรที่มีทักษะไม่ได้จริงๆ การ Outsource หรือจ้าง MSSP มาช่วยตรวจจับและตอบสนองต่อเหตุการณ์ไม่พึงประสงค์ก็อาจเป็นอีกทางเลือกหนึ่ง

6. ล้มเหลวในการตอบสนองอย่างเป็นระบบ

ยิ่งองค์กรสามารถตรวจจับภัยคุกคามได้เร็วเท่าไหร่ ยิ่งทำให้กักกันความเสียหายได้เร็วมากเท่านั้น แต่มันจะไร้ความหมายทันทีถ้าองค์กรไม่สามารถตอบสนองต่อภัยคุกคามนั้นๆ ได้อย่างถูกต้องและรวดเร็ว จึงควรมีการวางแผนการรับมือภัยคุกคามแต่ละประเภท กำหนดหน้าที่ความรับผิดชอบอย่างชัดเจน และฝึกซ้อมจำลองสถานการณ์ที่เกิดขึ้น เพื่อให้มั่นใจว่าทุกคนสามารถตอบสนองต่อเหตุการณ์ต่างๆ ได้อย่างฉับไว

7. ลืมการประเมินและปรับปรุงระบบ

การรักษาความมั่นคงปลอดภัยไม่มีคำว่าสมบูรณ์แบบ องค์กรจำเป็นต้องมีการประเมินและปรับปรุงกลยุทธ์ต่างๆ ให้ดียิ่งขึ้นอยู่เสมอ เพื่อให้พร้อมรับมือกับภัยคุกคามที่พัฒนาขึ้นในทุกๆ วัน ไม่ว่าจะเป็นการนำเทคนิคใหม่ๆ เข้ามาใช้ การเตรียมทรัพยากรให้เพียงพอต่อการใช้งาน หรือการกำหนดลำดับความสำคัญของการแจ้งเตือนให้ทันสมัย เป็นต้น

ที่มา: https://www.csoonline.com/article/3321668/endpoint-protection/the-7-deadly-sins-of-endpoint-detection-and-response.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ผู้เชี่ยวชาญเผยเซิร์ฟเวอร์ VNC กว่า 9,000 ตัวออนไลน์โดยไร้รหัสผ่าน

ชาวแอดมินทั้งหลายคงรู้จักการใช้ VNC เพื่อรีโมตไปยังเครื่องภายในกันดีอยู่แล้ว แต่สิ่งที่น่ากังวลคือผู้เชี่ยวชาญจาก Cyble ได้สแกนเซิร์ฟเวอร์เหล่านี้ที่ออนไลน์อยู่ในอินเทอร์เน็ตและพบว่ามีเครื่องกว่า 9,000 ตัวที่ไร้การป้องกันด้วยรหัสผ่าน

Microsoft มอบเงินรางวัล 13.7 ล้านเหรียญสหรัฐฯ ให้กับ Bug Bounty Program

ในรอบปีที่ผ่านมา Microsoft มอบเงินรางวัลกว่า 13.7 ล้านเหรียญสหรัฐฯ ให้กับนักวิจัยจำนวน 335 คน ผ่าน Microsoft Bug Bounty Programs