Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

Carbon Black: Next-generation Endpoint Security – แนวป้องกัน Advanced Threats รูปแบบใหม่

nforce_logo_2     carbon_black_logo

ปัจจุบันการโจมตีทางด้าน Cyber Security มีรูปแบบที่หลากหลาย เพื่อหลบเลี่ยงแนวป้องกันที่เป็น Network Security โดยจากเดิมที่เน้นการโจมตีแบบแพร่กระจายให้รวดเร็วที่สุด หรือการโจมตีไปที่การทำให้ระบบหยุดให้บริการ เปลี่ยนเป็นการโจมตีที่โฟกัสเป้าหมายเฉพาะกลุ่มมากขึ้น โดยเน้นการปฏิสัมพันธ์กับมนุษย์ได้มากที่สุด เพื่อล่อลวงให้ผู้ใช้ในองค์กร ที่เป็นผู้ที่มีความตระหนักรู้ทางด้าน Cyber Security น้อยที่สุด ทำการดาวน์โหลด Malicious Software มาติดตั้งที่เครื่องคอมพิวเตอร์ของตน จากนั้นแฮ็คเกอร์ จึงทำการเข้าถึงเครื่องคอมพิวเตอร์ผ่าน Command & Control Server โดยแฮ็คเกอร์จะใช้ประโยชน์จากแอพพลิเคชันหรือเครื่องมือบนระบบปฏิบัติการบนคอมพิวเตอร์นั้นๆเ ข้าทำการโจมตีไปยังเซิร์ฟเวอร์ที่เก็บข้อมูลสำคัญและทำการขโมยออกไป หรือทำการเข้ารหัสข้อมูลแล้วเรียกเก็บเงินค่าไถ่

nforce_carbon_black_1
รูปที่ 1 ภาพแสดงวิธีการจารกรรมบนไซเบอร์ (The 7 stages of the cyber kill chain)

ดังนั้นโซลูชัน Network Security และ Antivirus Software จะยังเป็นสิ่งที่จำเป็นอยู่ แต่จากรูปแบบที่เปลี่ยนไปดังกล่าว จำเป็นที่จะต้องมีวิธีการรับมือ ที่ได้ผลและมีประสิทธิภาพมากขึ้น นั่นคือเครื่องคอมพิวเตอร์ปลายทาง (Endpoint) จะต้องมีแนวรับที่ตัวเองอีกชั้นหนึ่ง เพื่อรับมือกับภัยคุมคามดังกล่าว

Carbon Black: Next-generation Endpoint Security ทำงานได้อย่างไร

เพื่อที่จะหยุดและตรวจสอบ Advanced Threats ให้ได้ผล สิ่งที่ Next-generation Endpoint Security ทำคือ

1. จับตาดูทุกความเคลื่อนไหว – ทำการบันทึกกิจกรรมที่เป็นการรันการทำงานต่างๆ การเปิดแอพพลิเคชัน การติดตั้งซอฟต์แวร์ ที่ดูมีความผิดปกติ

รูปที่ 2 ภาพแสดง Watch Every Move จับตาดูทุกกิจกรรมการทำงานของไฟล์และแอพพลิเคชัน
รูปที่ 2 ภาพแสดง Watch Every Move จับตาดูทุกกิจกรรมการทำงานของไฟล์และแอพพลิเคชัน

2. ทำ Centralize ข้อมูลนั้น – ทำการส่งข้อมูลแบบเรียลไทม์มายัง Centralized Server แล้วทำการเชื่อมโยงความสัมพันธ์ขั้นตอนของการโจมตีเพื่อสร้างแผนผังรูปแบบของการโจมตีของทั้งองค์กร จากคอมพิวเตอร์ปลายทางทุกเครื่อง โดยจะไม่กระทบกับทรัพยากรบนคอมพิวเตอร์นั้นๆ

3. Customize Threat Detection – เช่นเมื่อคอมพิวเตอร์เปิดไฟล์ PDF แล้วมีการเรียกใช้งานแอพพิลเคชันอื่นๆ หรือมีการเรียก Process อื่นๆ หรือมีการสร้าง Connection เชื่อมต่อไปที่เครื่องข้างเคียงหรือไม่ โดยรูปแบบต่างๆ เหล่านี้จะมาจาก Predefine ของ Carbon Black และ Threat Intelligence จาก MSSP และ Incident Response ชั้นนำทั่วโลก ทำให้เราสามารถดึงรูปแบบของการตรวจจับเข้ามาใช้งาน และปรับให้เข้ากับองค์กรได้อย่างง่ายดายนอกจากนั้นยังสามารถสร้างรูปแบบได้ด้วยตัวเองเพื่อให้เหมาะสมกับนโยบายขององค์กร

4. Unraveling the Entire Attack – ทำการคลายปมของการโจมตี ในการโจมตีหลักๆ แล้ว แฮ็คเกอร์มักเลือกที่จะโจมตีไปยังช่องโหว่ที่มีการเปิดเผยให้เป็นที่ทราบกันอยู่แล้ว หรืออีกวิธีคือการขโมยข้อมูลชื่อผู้ใช้และรหัสผ่านเพื่อการเข้าถึงข้อมูล

ซึ่งหากเราสามารถวาดภาพรูปแบบการโจมตีได้ และทำการตามรอยหรือตรวจสอบแต่ละขั้นไปที่ต้นทางการโจมตีก็จะทำให้เราเข้าใจถึงต้นเหตุ (Root Cause) และสามารถแก้ปัญหาได้ตรงจุด ว่าใครรัน รันที่ Process อะไร ไปที่ไหนบ้าง ไฟล์แปลกปลอมมาจากไหน Web, Gmail, USB, Disk ฯลฯ

5. Apply Multiple Forms of Prevention – เนื่องจากคอมพิวเตอร์ปลายทางแต่ละเครื่อง ทำงานคนละงาน ดังนั้น แต่ละเครื่องจึงมีความเสี่ยงไม่เท่ากัน เช่น เครื่องที่แผนกบัญชีจะมีรูปแบบการใช้งานแอพพลิเคชันที่แตกต่างจาก แผนกพัฒนาซอฟต์แวร์ จึงจะต้องทดสอบโค้ดของโปรแกรม ดังนั้น Next-generation Endpoint Security จะต้องสามารถสร้างนโยบายและความเข้มงวดที่แตกต่างกันตามบทบาทหน้าที่ได้

6. การเชื่อมต่อเพื่อขยายขอบเขตการป้องกันในปัจจุบัน – การเชื่อมต่อกันระหว่าง Security Solutions เป็นสิ่งที่จำเป็น เพื่อประสานข้อมูลซึ่งกันและกัน และทำให้การป้องกันครบวงจรมากขึ้นโดยการเชื่อมต่อมี 3 รูปแบบ

6.1 Prevention เชื่อมต่อกับ Network Security Appliance เพื่อปกป้องการโจมตีจาก Network มายัง Endpoint
6.2 Detection เชื่อมต่อกับ SIEM เพื่อความแม่นยำของ SIEM Alerts ทำให้ทราบผลกระทบที่แท้จริงว่า Rule ใดมีผลกระทบจริงๆ
6.3 Response เชื่อมต่อกับ PLCM หรือ Patch Management เช่น เมื่อพบว่ามีการเช้าถึงช่องโหว่ใด ก็ทำการเรียกใช้งานแพทช์เพื่ออุดช่องโหว่นั้นได้อย่างทันท่วงที

7. Recovery Collection Defense – เนื่องจากความมั่นคงปลอดภัยเป็นกระบวนการอาศัยทั้ง System, Knowledge และ People ทำให้เราไม่สามารถที่จะทำงานได้คนเดียว Carbon Black ทำการแชร์ Community จากทั่วโลกที่ใช้งาน เข้าถึงกันและกันได้

สนใจปรึกษาหรือสอบถามข้อมูลเพิ่มเติม ติดต่อ

บริษัท nForce Secure

คุณสิทธิพงษ์ นทีประสิทธิพร
Product Manager
091-9974691 / 02-2740984
sale@nforcesecure.com
sittipong@nforcesecure.com

nforce_logo_2



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Citrix Webinar: รู้จักกับ Zero Trust Model แนวทางการเสริม Security ป้องกันภัยคุกคามสมัยใหม่ที่ผู้ดูแลระบบ IT ต้องรู้

TechTalkThai ขอเรียนเชิญ CTO, CISO, CIO, IT Manager, Security Engineer, Network Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง Citrix Webinar Series Back To Office: Ensuring a Flexible & Secure Workspace [Episode 3] ในหัวข้อเรื่อง "รู้จักกับ Zero Trust Model แนวทางการเสริม Security ป้องกันภัยคุกคามสมัยใหม่ที่ผู้ดูแลระบบ IT ต้องรู้" เพื่อทำความรู้จักกับ Zero Trust Model ซึ่งเป็นแนวทางในการรักษาความมั่นคงปลอดภัยให้กับระบบ IT ที่กำลังได้รับความนิยมในธุรกิจองค์กรและระบบ Application สมัยใหม่ พร้อมวิธีการนำมาปรับใช้จริงในระบบ IT ในวันอังคารที่ 6 ตุลาคม 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

Oracle Exadata Cloud at Customer – On-premises Cloud ที่ดีที่สุดสำหรับ Oracle Database และ AI/ML Workload

ระบบฐานข้อมูลยังคงเป็นหัวใจสำคัญของการดำเนินธุรกิจ โดยเฉพาะอย่างยิ่งในยุคดิจิทัลที่ข้อมูลถูกเปรียบเปรยว่าเป็น “แหล่งน้ำมันสมัยใหม่” หลายองค์กรเริ่มจัดเก็บข้อมูลหลากหลายรูปแบบนอกจาก Relational Data มากขึ้น เพื่อเพิ่มความสะดวกในการประมวลผลข้อมูล เมื่อฐานข้อมูลมีหลากหลายรูปแบบ ย่อมต้องการผู้ดูแลที่มีทักษะ ทั้งยังมีเรื่องอธิปไตยของข้อมูล Oracle จึงนำเสนอแนวคิด “Converged Database” …