TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
วันนี้ TechTalkThai จะพาไปรู้จักกับโซลูชันใหม่จาก Palo Alto Networks ที่ชื่อ ‘Cortex XDR’ หรือ Cloud-based โซลูชันที่ใช้ AI ในการวิเคราะห์และตรวจจับภัยคุกคามเพื่อตอบโจทย์ด้าน Visibility และทำการ Automate Respond ให้แก่ทั้งองค์กรขนาดเล็กที่ต้องการความสามารถการตรวจจับและวิเคราะห์ระดับ SOC แต่ไม่คุ้มค่ากับการลงทุนด้วยตัวเองหรือองค์กรขนาดใหญ่ที่มีศูนย์ SOC ของตนเองให้ทำงานอย่างมีประสิทธิภาพมากขึ้นในการรับมือกับภัยคุกคาม เช่น มัลแวร์ ภัยคุกคามจากภายในองค์กรและทราบถึงเป้าหมายของการโจมตี
ศูนย์ SOC ในองค์กรต่างๆ
หากพูดถึงเรื่องความมั่นคงปลอดภัยคงต้องยอมรับว่าไม่มีองค์กรไหนที่สามารถตรวจจับภัยคุกคามได้ทั้งหมด 100% อย่างดีที่สุดที่น่าจะกล่าวได้คือ 99% ซึ่งอีก 1% อาจเป็นเรื่องของภัยคุกคามที่เราไม่เคยประสบพบเจอมาก่อน (Zero-day) หรืออื่นๆ โดยหน้าที่ 1% เหล่านี้องค์กรมักยกหน้าที่ให้เป็นของศูนย์ตอบสนองเหตุการณ์ด้านความมั่นคงปลอดภัยหรือ Security Operation Center (SOC) อย่างไรก็ตามมี 2 ปัญหาเกี่ยวกับศูนย์ SOC ที่เราต้องพิจารณาดังนี้
1.ปัญหา Siloed-base ของทีม SOC
อุปกรณ์ด้านความมั่นคงปลอดภัยจำนวนมากไม่สามารถทำงานร่วมกันได้แม้กระทั่งอุปกรณ์ยี่ห้อเดียวกันเองก็ยังไม่สามารถนำข้อมูลมาวิเคราะห์ปัญหาร่วมกัน ดังนั้นสถานการณ์ตัวอย่างที่เรามักพบในศูนย์ SOC ได้บ่อยๆ คือการเรียงต่อของจอมอนิเตอร์จำนวนมากเพื่อติดตาม Log ที่เกิดขึ้นจากแต่ละอุปกรณ์เพราะไม่สามารถผสานข้อมูลเข้าด้วยกันได้หรือเป็นปัญหาที่เรียกว่า ‘Siloed-base’
2.ไม่ใช่ทุกองค์กรที่จะมีทีม SOC
แน่นอนว่าองค์กรขนาดเล็กถึงกลางคงไม่เป็นการคุ้มค่าที่จะลงทุนจ้างผู้เชี่ยวชาญมาดูแลเหตุการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์ตลอด 24 ชั่วโมง ดังนั้นองค์กรเหล่านี้จึงพยายามใช้โซลูชันเท่าที่มีซึ่งไม่เพียงพอต่อการป้องกันภัยคุกคามทางไซเบอร์ที่เกิดขึ้นได้ตลอดเวลา
Coxtex XDR แก้ปัญหาได้อย่างไร?
Palo Alto Networks ได้เล็งเห็นถึงปัญหาข้างต้นจึงเกิดเป็นโซลูชันใหม่แบบ Cloud-based ที่ชื่อ Cortex XDR โดยแก้ปัญหา 3 ด้านคือ
- Siloed-based – แก้ปัญหาด้วยการสร้าง Visibility ที่ครอบคลุมด้วยการผสานเอาข้อมูลจากทุกส่วนของ Endpoint, Network และ Cloud มาวิเคราะห์ร่วมกัน
- Simple and Flexibility – ด้วยการใช้งาน AI ทำให้สามารถปรับการทำงานให้เข้ากับพฤติกรรมของแต่ละองค์กรและไม่ต้องอาศัยผู้ที่มีทักษะด้าน Cybersecurity มาบริหารจัดการ
- Automation – ระบบจะสามารถทำงานได้อย่างอัตโนมัติครบวงจรตั้งแต่การ ตรวจจับ วิเคราะห์ และตอบสนองเหตุการณ์ หากใช้งานร่วมกับอุปกรณ์หรือโซลูชันของ Palo Alto Networks ทั้งหมด
จะเห็นได้ว่าโซลูชันนี้ไม่ได้จำกัดแค่องค์กรขนาดใหญ่ที่มีศูนย์ SOC อยู่แล้วเท่านั้นแต่ยังทำให้องค์กรขนาดเล็กมีทางเลือกที่จะลงทุนน้อยแต่สร้างประสิทธิภาพการจัดการภัยคุกคามเทียบเคียงกับการมีศูนย์ SOC เป็นของตนเอง อีกทั้งยังไม่เป็นการเพิ่มภาระงานให้กับทีม IT ที่มีทรัพยากรจำกัด
สถาปัตยกรรมและการทำงานของ Cortex XDR
Cortex XDR มีสถาปัตยกรรมดังรูปด้านบนซึ่งแบ่งเป็น 3 ส่วนคือ (ภาพประกอบด้านบน)
- Interface – Cortex XDR สามารถรับข้อมูลได้จาก Sensor Node หรือผลิตภัณฑ์ของ Palo Alto Networks เช่น ระดับ Network จาก Next-gen Firewall หรือผลิตภัณฑ์อื่นๆ ระดับ Endpoint ผ่านทางโซลูชัน Traps (Agent) ที่ติดตั้งบนเครื่องคอมพิวเตอร์ปลายทาง และส่วนสุดท้ายคือ Cloud ผ่านทางผลิตภัณฑ์อย่าง Virtual Firewall ที่ทำงานได้บน Public Cloud เช่น Azure, GCP, AWS และ Alibaba เป็นต้น หรือผู้ให้บริการ Cloud ในประเทศไทยที่เป็นพาร์ทเนอร์ด้วย
- Data Lake – เป็นฐานเก็บข้อมูลขนาดใหญ่บน Cloud ที่มาจาก Sensor Node เพื่อรอนำไปประมวลผล
- Cortex XDR – ส่วนกลไกการทำงานหลักซึ่งภายในจะมีการสร้างโปรไฟล์เป็น Baseline ว่าในอดีตอุปกรณ์แต่ละชนิดหรือ User แต่ละคนมีลักษณะการใช้งานเป็นอย่างไร ซึ่งเวลาของคาบการเรียนรู้ขึ้นกับปริมาณของข้อมูล ยกตัวอย่างสถานการณ์ เช่น มีการใช้งานอุปกรณ์ Tablet ของทีมการตลาดวิ่งเข้าไปใช้งานโซน Management ของเซิร์ฟเวอร์ยามวิกาลซึ่งไม่ตรงกับ Profile ที่เคยมี ดังนั้นระบบก็จะแจ้งเตือนทีมงาน SOC หรือเจ้าหน้าที่ทีม IT หรือให้ Next-gen Firewall ของ Palo Alto Networks บล็อกทันทีก่อนเหตุการณ์จะยกระดับความรุนแรงหรือเป็นการป้องกันแบบ Proactive นั่นเอง (ภาพประกอบด้านล่าง)
ตัวอย่างของการใช้งาน
จากภาพด้านล่างเป็นตัวอย่างหน้าจอการใช้งานจริงของ Cortex XDR ซึ่งสามารถแสดง Root cause ของปัญหาว่าเกิดจากอะไร ในกรณีตัวอย่างคือผู้ใช้งานที่ชื่อ Uncle leo เข้าไปเปิดอีเมลด้วย Outlook และเข้าไปคลิก URL ภายในอีเมลจากนั้นจึงเกิดการดาวน์โหลดไฟล์ Excel จากเว็บภายนอกผ่าน Chrome และเปิดไฟล์ Excel ดังกล่าวซึ่งมี Script ฝังอยู่ที่ไปเรียก PowerShell จนนำไปสู่การเรียก Kernal.exe ให้สร้าง Child Process ขึ้นมาอีก 3 รายการ โดยประเด็นคือผู้ใช้งาน Cortex XDR จะสามารถวิเคราะห์เหตุการณ์ได้อย่างถ่องแท้ว่าปัญหาคือ User ไปคลิกลิงก์อันตรายหรือเปิดไฟล์จากอีเมลที่ไม่ปลอดภัยจนนำไปสู่การถูกโจมตี ดังนั้น Cortex XDR จึงเข้ามาเปลี่ยนภาพ Visibility แบบเก่าของทีม SOC ให้รู้ทัน มองเห็นและเข้าใจภาพการใช้งานปกติไปจนถึงภัยคุกคามที่เกิดขึ้น
นอกจากนี้ Cortex XDR ยังสามารถตอบโจทย์ความเป็น Automation โดยให้โซลูชันต่างๆ ของ Palo Alto Networks เข้ามาอัปเดต Knowledge จาก Cortex XDR เพื่อใช้ป้องกันภัยคุกคามใหม่ๆ ที่เกิดขึ้นได้ เช่น ให้ Next-gen Firewall มาอัปเดตรายชื่อของโดเมนอันตรายบน Cortex XDR เพื่อบล็อกโดเมนหรือความพยายามที่เป็นอันตรายต่อระบบ แต่ในกรณีของผู้ใช้ที่มีโซลูชันอื่นๆ ในองค์กรก็สามารถ Export ค่า IoC (indicator of compromise) ไปใช้งานได้เช่นกัน
สำหรับการปรับแต่งข้อมูลภัยคุกคามผู้ดูแล Cortex XDR สามารถ import ค่า IoC จากข้อมูลของหน่วยงานด้านความมั่นคงปลอดภัยที่คอยแจ้งเตือนว่าปัจจุบันมีภัยคุกคามอะไรใหม่ เช่น โดเมนไหนควรบล็อกเพราะมีการใช้จากมัลแวร์ เป็นต้น โดยในส่วนของการแจ้งเตือนสามารถทำได้หลายช่องทาง เช่น Line หรือ อีเมล และอื่นๆ
สรุป
Cortex XDR เป็นโซลูชันที่ออกแบบมาเพื่อการวิเคราะห์ภัยคุกคามด้วย AI อย่างแท้จริงจะเห็นได้ว่ามีการสร้างโปรไฟล์การใช้งานตามพฤติกรรมจริงไม่ได้มี Signature เข้ามาแต่อย่างใด ยกตัวอย่างเช่น องค์กร A อาจถือว่า PowerShell เป็นภัยคุกคามที่ไม่ควรเกิดขึ้นแต่องค์กร B อาจจะมองว่าเป็นเรื่องการใช้งานทั่วไปทั้งหมดนี้เกิดจากการเรียนรู้และสร้างโปรไฟล์ด้วย AI ซึ่งไม่ต้องใช้ผู้เชี่ยวชาญมาให้ข้อมูลเลยว่าสิ่งนั้นเป็นอันตรายหรือปลอดภัยโดยการอ้างอิงจาก Behavior ของการใช้งาน
ในส่วนของ Visibility ทาง Cortex XDR สามารถผสานข้อมูลได้ครอบคลุมตั้งแต่ Endpoint, Network และ Cloud เพื่อแสดงภาพสรุป Root cause ของปัญหาได้ในหน้าจอเดียวทำให้ทีมงานด้านความมั่นคงปลอดภัยสามารถเข้าใจและระบุปัญหาได้ง่ายขึ้นอย่างที่ไม่เคยเป็นมาก่อน อีกทั้งยังสามารถป้องกันแบบเชิงรุก (Proactive) คือรู้แต่เนิ่นๆ พร้อมทั้งทำงานร่วมกับโซลูชันจาก Palo Alto Networks อื่นๆ ได้อย่างอัตโนมัติหรือแจ้งเตือนผู้เกี่ยวข้องได้อย่างทันท่วงที
เราจะเห็นได้ว่า Cortex XDR เป็นโซลูชันวิเคราะห์พฤติกรรมการใช้งานแบบ Cloud-based เพื่อค้นหา แจ้งเตือนและตอบสนองเหตุการณ์ภัยคุกคามได้อย่างอัตโนมัติ พร้อมตอบโจทย์องค์กรตั้งแต่ระดับเล็กถึงกลางให้สามารถต่อสู้กับภัยคุกคามเสมือนมีศูนย์ SOC ของตนเอง อย่างไรก็ตามสำหรับองค์กรใหญ่ที่มีความพร้อมของทีม SOC อยู่แล้วจะยิ่งสนับสนุนประสิทธิภาพการทำงานให้สูงขึ้นทั้งยังแก้ปัญหาการขาดแคลนบุคคลากรในด้าน Cybersecurity ไปด้วย
ผู้สนใจสามารถติดตามข้อมูลเพิ่มเติมได้ที่นี่หรือติดต่อสอบถามเพิ่มเติมจาก Palo Alto Networks ได้ตามที่อยู่ด้านล่างครับ
ข้อมูลติดต่อ Palo Alto Networks Thailand
Facebook : https://www.facebook.com/paloaltonetworksthailand/
