
ทุกวันนี้รูปแบบภัยคุกคามมีความหลากหลายและซับซ้อนมากยิ่งขึ้น อีกทั้งยังมีอัตราการเพิ่มจำนวนสูงมากยิ่งขึ้นในแต่ละวัน และในปัจจุบันเราจะเห็นได้ว่ารูปแบบของภัยคุกคามนั้นก็มีการพัฒนาและปรับเปลี่ยนไปด้วยเช่นกัน จากในเมื่อก่อน Malware จะต้องถูกเปิดหรือถูก Execute โดยผู้ใช้งาน แต่ในปัจจุบันนี้ ผู้ไม่ประสงค์ดี หรือ Hacker สามารถโจมตีผ่านช่องโหว่ของ OS หรือ Software จากระยะไกล ด้วย Remote Code Execution (RCE) โดยที่เหยื่อไม่รู้ตัว หรือ การโจมตีด้วยรูปแบบ File-Less Attack ที่ในปัจจุบันนั้นเป็นที่นิยมมาก ๆ สำหรับ Hacker ซึ่งมันสามารถฝัง Code ลงบน Memory ของเครื่อง เพื่อแอบ Run คำสั่งบางอย่าง เช่น การขโมยข้อมูล การเข้ารหัสไฟล์ข้อมูล หรือแม้กระทั่งการแอบทำ Backdoor เพื่อสร้างช่องทางให้ Hacker สามารถ Access เข้ามายังเครื่องเหยื่อตรง ๆ ได้ โดยที่ Antivirus หรือ Endpoint แบบดั้งเดิมไม่สามารถตรวจจับได้
โดยในวันนี้ บริษัทคอมพิวเตอร์ยูเนี่ยน มีผลิตภัณฑ์ทางด้าน Endpoint Security มาแนะนำ ซึ่งเป็นผลิตภัณฑ์จากทาง IBM มีชื่อว่า ReaQta

IBM Security ReaQta AI-powered, automated endpoint security
IBM ReaQta เป็น EDR (Endpoint Detection and Response) Solution ที่ถูกพัฒนาขึ้นโดยผู้เชี่ยวชาญทางด้าน AI โดยมุ้งเน้นไปยังการรักษาความปลอดภัยบน Endpoint เป็นหลัก โดยอาศัยประโยชน์จากเทคโนโลยี AI และ Machine Learning ที่เข้ามาช่วยตรวจจับ วิเคราะห์และแก้ไขปัญหาภัยคุกคามที่มีความซับซ้อนสูง ทั้งรูปแบบ Known Threat และ Unknown Threat แบบ Realtime อีกทั้งยังสามารถช่วยเพิ่ม Visibility ให้กับองค์กร โดยที่ Antivirus หรือ Endpoint Security แบบดั้งเดิมไม่สามารถทำได้ โดย IBM ReaQta สามารถตรวจสอบต้อนตอของปัญหา ทั้งหมด ไม่ว่าจะเป็นเครื่องต้นตอของการแพร่กระจาย Malware หรือ Process เริ่มต้นของภัยคุกคาม สามารถทำ Threat Hunting เพื่อค้นหาภัยคุกคามที่แอบแฝงอยู่ภายในองค์กร สามารถทำ Remediation ในกรณีที่เจอเหตุการณ์ที่เป็นลักษณะของภัยคุกคาม อีกทั้งยังสามารถทำ Forensics ในกรณีที่ต้องการวิเคราะห์ข้อมุลเชิงลึกของ Malware และ IBM ReaQta เองยังได้รับการรองรับจาก MITRE ATT&CK ถึงความสามารถในการระบุ Tactics ต่าง ๆ ที่ Malware ที่ใช้ในการโจมตี ซึ่งทำให้เราสามารถหาแนวทางในการรับมือและแก้ไขปัญหาตาม Standard Framework ที่ทาง MITRE ระบุไว้ได้
เสริมความแข็งแกร่งให้กับองค์กรด้วยความสามารถที่หลากหลายของ IBM ReaQta

Autonomous AI-powered endpoint detection and response (EDR)
ใช้ AI ในการเรียนรู้พฤติกรรมของเครื่องอย่างต่อเนื่อง เพื่อนำข้อมูลมาสร้าง Based line behavior เสริมประสิทธิภาพในการตรวจจับ อีกทั้งสามารถป้องกัน Ransomware , File-less attack ทั้งในรูปแบบ Online และ Offline โดยไม่ต้อง Update ฐานข้อมูลตลอดเวลา
Complete hunt and response features
ฟังก์ชัน Threat Hunting ของ IBM ReaQta มี Interface ที่ใช้งานได้ง่าย และมีค่า Parameter ต่าง ๆ กำหนดไว้ให้ได้เลือกใช้ครบถ้วน โดยผู้ที่ไม่มี Skill เรื่องการทำ Threat Hunting ก็สามารถเรียนรู้การใช้งานได้ไม่ยาก อีกทั้งยังสามารถทำ Remediation เพื่อตอบสนองต่อภัยคุกคามด้วยไม่กี่คลิกเท่านั้น ทำให้สามารถตอบสนองต่อภัยคุกคามได้ทันที

High threat resolution
IBM ReaQta สามารถระบุรูปแบบและ Tactics ของการโจมตีผ่าน MITTRE ATT&CK Framework ทำให้ผู้ใช้งานเข้าใจถึงรูปแบบการโจมตีและวิธีการรับมือกับภัยคุกคามผ่านหน้า Interface ReaQta และ IBM ReaQta เองยังมี Threat Intelligence ที่ช่วยทำ Scoring ของภัยคุกคามที่ตรวจจับได้ ซึ่งทำให้ประหยัดเวลาในการทำ Investigation ของผู้ดูแลระบบได้ค่อนข้างมาก อีกทั้งยังสามารถระบุการแพร่กระจายของ Malware เพื่อให้ผู้ดูแลระบบทราบถึงต้นตอของเครื่องที่เกิดปัญหา

Enterprise automation
IBM ReaQta รองรับการทำ Integration ผ่าน API ที่สามารถ Integrate เข้ากับระบบ SIEM หรือ SOAR เพื่อเพิ่มประสิทธิภาพในการตอบสนองต่อภัยคุกคามให้เป็นแบบอัติโนมัติมากยิ่งขึ้น
Deployment in any environment
รองรับรูปแบบ Deployment ที่หลากหลายทั้งแบบ On Cloud, On Prem, รวมไปถึง Air Gap Environment และรองรับการทำ Multitenant ในกรณีที่ต้องการทำ Manage Service
Managed detection and response (MDR)
IBM ReaQta มีบริการ Manage Detection and Response โดยผู้เชี่ยวชาญจากทีม IBM ReaQta ซึ่งจะคอย Monitor ภัยคุกคามให้แบบ 24×7 เพื่อที่จะมั่นใจได้ว่า เหตุการณ์ที่เกิดขึ้นจะถูกวิเคราะห์ แก้ไขและตอบสนองอย่างทันท่วงที
ข้อแตกต่างของ IBM ReaQta กับ Endpoint Solution อื่น
1.) NANO OS (Live-Hypervisor based monitoring)
IBM ReaQta เป็นเจ้าแรกในโลกที่ Agent บน Endpoint ทำงานอยู่ในระดับ Hypervisor Layer ซึ่งทำให้มั่นใจได้ว่า Agent จะไม่ถูก Shutdown จาก Malware หรือผู้ไม่ประสงค์ดี แม้เครื่องจะถูก Compromise โดย Malware ไปแล้ว ทำให้ยังคงความสามารถในการป้องกันได้อย่างต่อเนื่อง และยังสามารถตรวจจับ Malware ขั้นสูง เช่น Keylogging, Dynamic Impersonation, Credential Harvesting, Kernel Exploits, Screen captures ได้
2.) Advanced Threat Hunting DeStra (Detection Strategy) scripting
IBM ReaQta สามารถ Customized Script เพื่อสร้างเงื่อนไขในการตรวจจับ Process หรือสิ่งผิดปกติที่เราสนใจได้ ยกตัวอย่างเช่น ถ้ามีคน หรือ Malware กำลังพยายามที่จะลบ Shadow Copy ของเครื่อง ให้ Alert มาที่ Admin ทันที ซึ่งทำให้ทีมสามารถรับมือกับเหตุการณ์ที่เกิดขึ้นหรืออาจจะเกิดขึ้นในอนาคตได้อย่างทันท่วงที
3.) Cyber Assistant (One-shot learning system)
IBM ReaQta มี Cyber Assistant ที่สามารถเข้ามาช่วยจัดการกับ Task งาน ของผูดูแลระบบให้ Focus ส่วนที่สำคัญก่อน-หลัง และยังสามารถเรียนรู้รูปแบบการตัดสินใจของผู้ดูแลระบบ ทำให้สามารถจัดการกับ Incident ที่เคยเกิดขึ้นมาแล้ว ทำให้ทีมผู้ดูแลไม่ต้องเสียเวลาทำ Investigated กับ Incident เดิม ๆ ที่เคยเกิดขึ้น
แจกฟรี !!! EDR Buyer Guide
สนใจผลิตภัณฑ์สามารถติดต่อได้ที่ บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด
โทร 02 311 6881 #7156 หรือ email : cu_mkt@cu.co.th

เขียนบทความโดย คุณกรวิทย์ กันยา
Presales Software Specialist
บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด
