VMware Carbon Black By VST ECS
แพลตฟอร์มคลาวด์เนทีฟที่มอบสิ่งที่ดีที่สุดกับแอนติไวรัส Carbon Black และการตรวจจับปลายทางและตอบสนองโดยไม่กระทบต่อประสิทธิภาพของระบบ มาทำความรู้จักกับตัว Carbon Black กันก่อนครับ Carbon Black ได้ถูกสร้างขึ้นมาเมื่อปี 2002 โดยใช้ชื่อว่า Bit9 โดยเป็นเจ้าแรกที่ทำในเรื่องของการ Endpoint Detection & respond และ Root Cause Analysis โดยในปี 2019 ได้ถูกทาง VMware Acquire เข้ามาเสริมความสามารถในการทำ Endpoint Protection , Workload Security และ Cloud Security โดยจุดที่เป็น Strong point ก็คือ EDR และ XDR นั่นเอง โดยทาง VMware เน้นในมุมของการทำSimplify Security หมายความว่า Single Platform สามารถ Protect ได้ Across Environment โดย Carbonblack Solution สามารถ Protect ได้ทั้งในมุม Cloud workload และ Endpoint นั่นเอง
Protection platform แบ่งออกเป็น 3 Base ดังนี้ครับ
1.Prevent – เมื่อตรวจพบภัยคุกคามที่อาจส่งผลต่อเครื่องเรา ใม่ว่าจะโดย Script , Malware , Fileless หรือ Ransomware ก็ตาม Next-Generation Antivirus ตรงนี้จะทำหน้าที่หยุดยั้งการทำงานเหล่านั้นทันที มี Device Control ป้องกัน Attack ในมุมที่เป็น point of entry ภัยคุกคามอาจจะมากับ USB สามารถทำการ Block เพื่อป้องกันความเสี่ยงที่มีโอกาสเกิดขึ้นได้
2.Detection & Respond – ในอดีตเราคงพอใจกับการที่เรารู้ว่าเราติดไวรัสจากที่ไหน แต่ปัจจุบันมันไม่พอแล้ว เราต้องการรู้ Root cause analysis มากขึ้น เราต้องการรู้ถึงต้นเหตุของปัญหาว่ามันมาจากไหน Carbon Black สามารถทำ Detection & Respond ในส่วนตรงนี้ได้ ก็คือ EDR สามารถ Provide Root cause analysis บอกถึงภัยคุกคามขององกรณ์ได้ มันฝังตัวมากี่วันแล้ว มีการ Execute จากอะไร มันทำงานจากอะไร และในขณะเดียวกันเราสามารถ Respond ภัยคุกคามเรานั้นผ่าน Platform ของเราเอง หรือจะเป็นเรื่อง Manage Detection & Respond Service ของทาง Carbon Black เองก็ได้เหมือนกัน
3.Identify Risk – เราไม่สามารถ Prevention หรือ Detection ภัยคุกคามได้เลย ถ้าเราไม่สามารถ Identify ได้ว่าองค์กรเราตรงนี้มีอะไรบ้างที่เป็นความเสี่ยง อาจจะเป็น Potential Threat ได้ โดยการทำ Audit and Remediation ในส่วนนี้จะมาช่วยเรื่องการทำ IT Hygiene ทำให้เราได้รู้ว่าองค์กรของเราตรงไหนที่มันมีความเสี่ยง รวมไปถึงการทำ Vulnerability Management ที่ต้องบอกว่าปัจจุบันมากกว่า 70% ภัยคุกคามเกิดขึ้นจากช่องโหว่ทั้งสิ้น เราสามารถทำ Assessment จากตรงนี้ได้เพื่อปิดแกปของภัยคุกคาม รวมถึง Modernize Security ต่างๆ
สามารถบอก Next Hop , Peer to Peer ของ Connection host ข้างนอกได้ด้วยว่า PowerShell จากรูป Run ไปที่ IP อะไรบ้างที่เป็น data flow ข้างนอก รวมถึงการ Provide Command ต่างๆ สามารถ Track Command ได้ด้วยว่าถูก Run ด้วย Command อะไร
เมื่อทำการติดตั้ง Carbon Black agent เสร็จแล้วจะมีการ Provide การป้องกันในมุมต่างๆ
Prioritized – หาช่องโหว่ต่างๆ โดย Visibility ถ้าเป็น Windows ปกติจะมีการแจ้งเตือนการอัพเดต Windows อยู่เป็นประจำแต่ถ้าเป็นในส่วนของ Linux ละ เราต้องไปหาการอัพเดตต่างๆอยู่ตลอดเวลา Carbon Black จึงตอบโจทย์ในการหาช่องโหว่ต่างๆ พร้อมมี CVE Detail และ Risk score บอกเพื่อหลีกเลี่ยงความเสี่ยง
Scan less – ทำการ Leverage data ทั้งหมดไปเก็บที่ Cloud management เก็บข้อมูลต่างๆอัตโนมัติ
Image Details – Container หรือ Docker สามารถ Protection across platform ในส่วนของ Runtime และ Image Scan
Traditional Antivirus VS VMware Carbon Black
VMware Carbon Black มาช่วย Provide ในเรื่องของ Full Security Lifecycle การทำ cyber security ต้องทำให้ชีวิตขององกรณ์นั้นง่ายขึ้น ไม่ไปเพิ่มงานขององกรณ์ ในส่วนของการทำ Prevent เรามี Next-Gen Antivirus ทำงานตรงนี้อยู่แล้ว เมื่อไรก็ตามที่เจอพฤติกรรมที่ผิดปกติจะทำการ Prevent พฤติกรรมเหล่านั้นทันที หลังจากนั้นเราจะสามารถทำในเรื่องของ Detection & Respond ได้ ตรวจสอบ Track ดูได้เลยว่าตอนนี้เจอการ Attack Compromise ที่เครื่องของ นาย A และนอกเหนือจากเครื่องของ นาย A มันมีไฟล์นี้ไปหลบอยู่ที่ไหนอีก 5,000-6,000 เครื่องในองกรหรือเปล่า ถ้ามีเราสามารถทำการ Tracking , Sweeping และก็ทำการ Prediction และถึง Respond ภัยคุกคามเหล่านั้นได้ สามารถ Integrate กับ Threat intelligence ที่เป็น Open-source หรือจะใช้จากทาง Carbon Black เอง ช่วยให้เราสามารถป้องกัน IOC ล่วงหน้าได้ด้วย
Threat Analysis Unit and Threat Intelligence Notification
TAU and TIN – นำข้อมูลมาเสริมความสามารถของ Product โดยมีบุคลากรมากกว่า 30 Team ในการทำ Data Scientists and PhDs มีมากกว่า 500 เทคโนโลยี Research partner รวมถึงการถูกตีพิมพ์มากที่สุดใน academia
โดยข้อมูลของเราค่อนข้างจะ confidence และ Faster มากๆ โดยมีการอัพเดตรีพอร์ทอยู่ตลอดเวลา เมื่อกดเข้ามาดูในรีพอร์ท ทีม Threat analysis จะ Provide ข้อมูลมาให้ดูว่าตัว Ransomware ตัวนี้ Behavior summary เป็นอย่างไร มีการบอกข้อมูล IOC ว่าถ้าใช้ Carbon Black อยู่จะมีการป้องกันตัวเองยังไง การ Config ต่างๆ
1.Endpoint standard – next-generation antivirus and behavioral EDR
Carbon Black ไม่ใช่ Anti-virus ทั่วไปที่จะเจาะจงในการ Prevent Malware อย่างเดียว ตัวมันเองสามารถวิเคราะห์ Behavior หรือเรียกว่าพฤติกรรมต่างๆ ที่เปลี่ยนออกไป มีการตรวจสอบ วิเคราะห์รูปแบบพฤติกรรมของผู้โจมตีในช่วงเวลาหนึ่งเพื่อตรวจจับและหยุดสิ่งที่ไม่เคยเห็นมาก่อน การโจมตี ไม่ว่าจะเป็นมัลแวร์หรือไม่ก็ตาม
2.Managed detection – managed alert monitoring and triage
Monitor Alarm ต่างๆ ถ้า Resouce ไม่เพียงพอ ลูกค้าสามารถใช้ Service จากศูนย์ SOC
3.Audit and remediation – real-time device assessment and remediation
ใน Operation Windows ทาง Microsoft มีการทำ Patch update ให้เราตลอดอยู่แล้ว ซึ่งถ้าเป็น Linux ละ เราจะต้องไปนั่ง Check list ในส่วนต่างๆ ไม่ว่าจะเป็น Disk ที่ต้องอัพเกรด หรือส่วนอื่นๆ แต่ถ้าเราเอา Agent Carbon Black ไปติดตั้ง มันจะช่วยตอบโจทย์ในการ Patch ที่ควรจะ Update มันจะดีกว่าไหม
4.Endpoint Detection & Response (EDR)
Carbon Black ไม่เพียงแต่ Prevent ภัยคุกคามต่างๆ มีการตรวจสอบพฤติกรรมที่ผิดปกติในเชิงรุกของการทำงานต่างๆ พร้อมกรองภัยคุกคาม สามารถ Customize detection เพิ่มเติมตามแบบที่เราต้องการ
สนใจติดต่อสอบถามทีมงาน VMware ได้ทันที
สำหรับผู้ที่สนใจ VMware สามารถลงทะเบียนลุ้นรับฟรีของรางวัลสุดพิเศษจากทาง VST ECS จำนวน 5 รางวัล ได้ที่ https://docs.google.com/forms/d/e/1FAIpQLSf-PikK1B4eFOHpbQjz_U6anwNCFRJjJg8Qvr22cqMa7lZrvw/viewform?usp=sf_link
หรือสแกน QR Code
ข้อมูลผลิตภัณฑ์เพิ่มเติม สามารถติตด่อทาง VSTECS ได้ที่ VMware@vstecs.co.th