CDIC 2023

[Guest Post] VMware Carbon Black Cloud – การป้องกันภัยคุกคามของ Environment

VMware Carbon Black By VST ECS

แพลตฟอร์มคลาวด์เนทีฟที่มอบสิ่งที่ดีที่สุดกับแอนติไวรัส Carbon Black และการตรวจจับปลายทางและตอบสนองโดยไม่กระทบต่อประสิทธิภาพของระบบ มาทำความรู้จักกับตัว Carbon Black กันก่อนครับ Carbon Black ได้ถูกสร้างขึ้นมาเมื่อปี 2002 โดยใช้ชื่อว่า Bit9 โดยเป็นเจ้าแรกที่ทำในเรื่องของการ Endpoint Detection & respond และ Root Cause Analysis โดยในปี 2019 ได้ถูกทาง VMware Acquire เข้ามาเสริมความสามารถในการทำ Endpoint Protection , Workload Security และ Cloud Security โดยจุดที่เป็น Strong point ก็คือ EDR และ XDR นั่นเอง โดยทาง VMware เน้นในมุมของการทำSimplify Security หมายความว่า Single Platform สามารถ Protect ได้ Across Environment โดย Carbonblack Solution สามารถ Protect ได้ทั้งในมุม Cloud workload และ Endpoint นั่นเอง

Protection platform แบ่งออกเป็น 3 Base ดังนี้ครับ

1.Prevent – เมื่อตรวจพบภัยคุกคามที่อาจส่งผลต่อเครื่องเรา ใม่ว่าจะโดย Script , Malware , Fileless หรือ Ransomware ก็ตาม Next-Generation Antivirus ตรงนี้จะทำหน้าที่หยุดยั้งการทำงานเหล่านั้นทันที มี Device Control ป้องกัน Attack ในมุมที่เป็น point of entry ภัยคุกคามอาจจะมากับ USB สามารถทำการ Block เพื่อป้องกันความเสี่ยงที่มีโอกาสเกิดขึ้นได้

2.Detection & Respond –
ในอดีตเราคงพอใจกับการที่เรารู้ว่าเราติดไวรัสจากที่ไหน แต่ปัจจุบันมันไม่พอแล้ว เราต้องการรู้ Root cause analysis มากขึ้น เราต้องการรู้ถึงต้นเหตุของปัญหาว่ามันมาจากไหน Carbon Black สามารถทำ Detection & Respond ในส่วนตรงนี้ได้ ก็คือ EDR สามารถ Provide Root cause analysis บอกถึงภัยคุกคามขององกรณ์ได้ มันฝังตัวมากี่วันแล้ว มีการ Execute จากอะไร มันทำงานจากอะไร และในขณะเดียวกันเราสามารถ Respond ภัยคุกคามเรานั้นผ่าน Platform ของเราเอง หรือจะเป็นเรื่อง Manage Detection & Respond Service ของทาง Carbon Black เองก็ได้เหมือนกัน

3.Identify Risk –
เราไม่สามารถ Prevention หรือ Detection ภัยคุกคามได้เลย ถ้าเราไม่สามารถ Identify ได้ว่าองค์กรเราตรงนี้มีอะไรบ้างที่เป็นความเสี่ยง อาจจะเป็น Potential Threat ได้ โดยการทำ Audit and Remediation ในส่วนนี้จะมาช่วยเรื่องการทำ IT Hygiene ทำให้เราได้รู้ว่าองค์กรของเราตรงไหนที่มันมีความเสี่ยง รวมไปถึงการทำ Vulnerability Management ที่ต้องบอกว่าปัจจุบันมากกว่า 70% ภัยคุกคามเกิดขึ้นจากช่องโหว่ทั้งสิ้น เราสามารถทำ Assessment จากตรงนี้ได้เพื่อปิดแกปของภัยคุกคาม รวมถึง Modernize Security ต่างๆ


สามารถบอก Next Hop , Peer to Peer ของ Connection host ข้างนอกได้ด้วยว่า PowerShell จากรูป Run ไปที่ IP อะไรบ้างที่เป็น data flow ข้างนอก รวมถึงการ Provide Command ต่างๆ สามารถ Track Command ได้ด้วยว่าถูก Run ด้วย Command อะไร

เมื่อทำการติดตั้ง Carbon Black agent เสร็จแล้วจะมีการ Provide การป้องกันในมุมต่างๆ

Prioritized – หาช่องโหว่ต่างๆ โดย Visibility ถ้าเป็น Windows ปกติจะมีการแจ้งเตือนการอัพเดต Windows อยู่เป็นประจำแต่ถ้าเป็นในส่วนของ Linux ละ เราต้องไปหาการอัพเดตต่างๆอยู่ตลอดเวลา Carbon Black จึงตอบโจทย์ในการหาช่องโหว่ต่างๆ พร้อมมี CVE Detail และ Risk score บอกเพื่อหลีกเลี่ยงความเสี่ยง

Scan less – ทำการ Leverage data ทั้งหมดไปเก็บที่ Cloud management เก็บข้อมูลต่างๆอัตโนมัติ

Image Details – Container หรือ Docker สามารถ Protection across platform ในส่วนของ Runtime และ Image Scan

Traditional Antivirus VS VMware Carbon Black


VMware Carbon Black  มาช่วย Provide ในเรื่องของ Full Security Lifecycle  การทำ cyber security ต้องทำให้ชีวิตขององกรณ์นั้นง่ายขึ้น ไม่ไปเพิ่มงานขององกรณ์ ในส่วนของการทำ Prevent เรามี Next-Gen Antivirus ทำงานตรงนี้อยู่แล้ว เมื่อไรก็ตามที่เจอพฤติกรรมที่ผิดปกติจะทำการ Prevent พฤติกรรมเหล่านั้นทันที หลังจากนั้นเราจะสามารถทำในเรื่องของ Detection & Respond ได้ ตรวจสอบ Track ดูได้เลยว่าตอนนี้เจอการ Attack Compromise ที่เครื่องของ นาย A และนอกเหนือจากเครื่องของ นาย A มันมีไฟล์นี้ไปหลบอยู่ที่ไหนอีก 5,000-6,000 เครื่องในองกรหรือเปล่า ถ้ามีเราสามารถทำการ Tracking , Sweeping และก็ทำการ Prediction และถึง Respond ภัยคุกคามเหล่านั้นได้  สามารถ Integrate กับ Threat intelligence ที่เป็น Open-source หรือจะใช้จากทาง Carbon Black เอง ช่วยให้เราสามารถป้องกัน IOC ล่วงหน้าได้ด้วย

Threat Analysis Unit and Threat Intelligence Notification

TAU and TIN  – นำข้อมูลมาเสริมความสามารถของ Product  โดยมีบุคลากรมากกว่า 30 Team ในการทำ Data Scientists and PhDs  มีมากกว่า 500 เทคโนโลยี Research partner  รวมถึงการถูกตีพิมพ์มากที่สุดใน academia

โดยข้อมูลของเราค่อนข้างจะ confidence และ Faster มากๆ โดยมีการอัพเดตรีพอร์ทอยู่ตลอดเวลา เมื่อกดเข้ามาดูในรีพอร์ท ทีม Threat analysis จะ Provide ข้อมูลมาให้ดูว่าตัว Ransomware ตัวนี้ Behavior summary เป็นอย่างไร มีการบอกข้อมูล IOC ว่าถ้าใช้ Carbon Black อยู่จะมีการป้องกันตัวเองยังไง การ Config ต่างๆ


1.Endpoint standard – next-generation antivirus and behavioral EDR
Carbon Black ไม่ใช่ Anti-virus ทั่วไปที่จะเจาะจงในการ Prevent Malware อย่างเดียว ตัวมันเองสามารถวิเคราะห์ Behavior หรือเรียกว่าพฤติกรรมต่างๆ ที่เปลี่ยนออกไป  มีการตรวจสอบ วิเคราะห์รูปแบบพฤติกรรมของผู้โจมตีในช่วงเวลาหนึ่งเพื่อตรวจจับและหยุดสิ่งที่ไม่เคยเห็นมาก่อน การโจมตี ไม่ว่าจะเป็นมัลแวร์หรือไม่ก็ตาม

2.Managed detection – managed alert monitoring and triage
Monitor Alarm ต่างๆ ถ้า Resouce ไม่เพียงพอ ลูกค้าสามารถใช้ Service จากศูนย์ SOC  

3.Audit and remediation – real-time device assessment and remediation
ใน Operation Windows ทาง Microsoft มีการทำ Patch update ให้เราตลอดอยู่แล้ว ซึ่งถ้าเป็น Linux ละ เราจะต้องไปนั่ง Check list ในส่วนต่างๆ ไม่ว่าจะเป็น Disk ที่ต้องอัพเกรด หรือส่วนอื่นๆ แต่ถ้าเราเอา Agent Carbon Black ไปติดตั้ง มันจะช่วยตอบโจทย์ในการ Patch ที่ควรจะ Update มันจะดีกว่าไหม

 4.Endpoint Detection & Response (EDR)
Carbon Black ไม่เพียงแต่ Prevent ภัยคุกคามต่างๆ มีการตรวจสอบพฤติกรรมที่ผิดปกติในเชิงรุกของการทำงานต่างๆ พร้อมกรองภัยคุกคาม สามารถ Customize detection เพิ่มเติมตามแบบที่เราต้องการ

สนใจติดต่อสอบถามทีมงาน VMware ได้ทันที                 
สำหรับผู้ที่สนใจ VMware สามารถลงทะเบียนลุ้นรับฟรีของรางวัลสุดพิเศษจากทาง VST ECS จำนวน 5 รางวัล ได้ที่ https://docs.google.com/forms/d/e/1FAIpQLSf-PikK1B4eFOHpbQjz_U6anwNCFRJjJg8Qvr22cqMa7lZrvw/viewform?usp=sf_link

หรือสแกน QR Code 

ข้อมูลผลิตภัณฑ์เพิ่มเติม สามารถติตด่อทาง VSTECS  ได้ที่ VMware@vstecs.co.th


About Maylada

Check Also

5 เครื่องมือโอเพ่นซอร์สสแกนหาช่องโหว่

หลายท่านอาจคงมีเครื่องมือการสแกนหาช่องโหว่อยู่แล้วในมุมมองต่างๆ แต่ในบทความนี้เราขอพาทุกท่านไปรู้จักกับ 5 เครื่องมือฟรี ที่ช่วยตอบโจทย์การค้นหาช่องโหว่

เชิญร่วมงานสัมมนาออนไลน์ Unlock the Limits of Your SAP System with Google Cloud โดย Tangerine [18 ต.ค. 2023]

พลาดไม่ได้! สำหรับองค์กรที่ใช้ระบบ SAP ซึ่งนับเป็นระบบสำคัญที่อยู่เบื้องหลังในการดำเนินธุรกิจให้สำเร็จ ซึ่งภายใต้การแข่งขันที่สูงขึ้นความสำคัญก็ยิ่งเพิ่มขึ้นตามไปด้วย ฉะนั้นจะทำอย่างไร? ให้ธุรกิจสามารถรองรับการใช้งานตามความต้องการที่มีการเปลี่ยนแปลงอยู่เสมอ และจะดีกว่าหรือไม่ หากสามารถนำข้อมูลภายใน SAP มาประยุกต์ใช้กับข้อมูลภายนอก สร้าง Analytics Dashboard ได้ง่ายและรวดเร็ว …