แนวโน้มแห่ง NDR ในยุคถัดไป

ปัจจุบัน Network Detection and Response (NDR) ได้ก้าวไปมากกว่าหน้าที่หลักแต่เดิมแล้ว โดยมุ่งเน้นสู่เรื่องของความแม่นยำ การขยายตัวรองรับข้อมูลที่เพิ่มมากขึ้น และความเป็นอัตโนมัติ คำถามคือ NDR กำลังมุ่งหน้าสู่ทิศทางใด

NDR เคยถูกวางตัวไว้เป็นเพียงเครื่องมือมอนิเตอร์และวิเคราะห์ทราฟฟิคเท่านั้น แต่ปัจจุบันสิ่งที่ NDR พยายามทำก็คือการวิเคราะห์เชิงพฤติกรรมด้วยระบบ AI/ML พร้อมตอบสนองเหตุการณ์ได้อย่างอัตโนมัติ แต่สิ่งเหล่านี้กำลังจะเกิดขึ้นกับ NDR ในยุคถัดไป

1.) ต้องมีความสามารถทำงานร่วมกับโซลูชันด้านความมั่นคงปลอดภัยอื่นๆ

มุมมองของก้าวถัดไปเรื่องหนึ่งที่ NDR สนใจก็คือความแม่นยำ ซึ่งสิ่งนี้จะเกิดขึ้นได้ก็ต่อเมื่อระบบมีข้อมูลมากและหลากหลายเพียงพอ โดยทางเดียวที่จะได้มาซึ่งข้อมูล หมายความว่า NDR จะต้องรองรับการเชื่อมต่อกับระบบด้านความมั่นคงปลอดภัยมากมายเช่น Next-gen Firewall, IDS/IPS, EDR, Sandboxes และอื่นๆ เมื่อภาพของจิ๊กซอว์ถูกประกอบครบแล้ว ผลลัพธ์ของการวิเคราะห์จึงจะเกิดขึ้นได้ในภาพกว้างและเชิงลึกอย่างสมบูรณ์

อีกด้านหนึ่งที่สำคัญไม่แพ้กันก็คือข้อมูลที่บ่งบอกถึงบริบทของพฤติกรรม ที่อาจจะถูกรวมเข้ามามีบทบาทใน NDR อย่างเทคโนโลยีด้าน Threat Detection อาทิเช่น Threat Intelligence, Active Directory และอื่นๆ โดยข้อมูลประกอบเหล่านี้จะช่วยให้ระบบมีการแจ้งเตือนผิดพลาดลดลง (False Positive) และนำไปสู่การตอบคำถามว่าเหตุการณ์เหล่านี้เกิดขึ้นเมื่อใด และนานแค่ไหนผู้ใช้งานจึงได้รับการแจ้งเตือน

2.) รูปแบบการ Deploy ใช้งาน NDR มีทางเลือกมากขึ้น

การที่องค์กรตัดสินใจไปคลาวด์นั้นก็เพื่อประโยชน์ในด้านเทคโนโลยีทั้งจากการบริการและความยืดหยุ่นจากการเป็น Cloud Native เช่นกันเมื่อบริบทของการทำงานเปลี่ยนไป โซลูชัน NDR จึงต้องกลายเป็นโมเดลแบบ Cloud Native มากขึ้นเพื่อให้มองเห็นทราฟฟิคใน Microservices ดังนั้นรูปแบบการ Deployment จะไม่จำกัดแค่ ฮาร์ดแวร์ การกระจายเซ็นเซอร์ท่ามกลางเครือข่ายที่ขยายออกไปนำมาวิเคระห์ผ่านแพลตฟอร์มแบบรวมศูนย์ หรือ Virtual อย่างไรก็ดีทางเลือกทั้งหมดก็เพื่อตอบโจทย์ทราฟฟิคได้ทั้ง ขาเข้าและออก (North-South) หรือการคุยกันภายในของแอปพลิเคชัน (East-West)

3.) Automation กลายเป็นหัวใจสำคัญ

ความท้าทายทั้งจากความซับซ้อนของภัยคุกคามและการที่คลาวด์อยู่ในทุกหนแห่ง ทำให้องค์กรจำเป็นต้องมีโซลูชันที่รองรับในความแตกต่างของทราฟฟิคหรือปริมาณที่เพิ่มขึ้นด้วย ซึ่งหัวใจที่จะขับเคลื่อนให้องค์กรสามารถเติบโตไปพร้อมกับความท้าทายเหล่านี้ก็คือความเป็นอัตโนมัตินั่นเอง

เช่นเดียวกับสิ่งที่เรียกว่า Security Orchrestration and Response (SOAR) ที่พูดถึงความสามารถหลายด้านประกอบด้วย ความสามารถในการค้นหาภัยคุกคาม ความสามารถในการตรวจจับภัยคุกคาม ความสามารถในการวิเคราะห์พฤติกรรมที่มีความเสี่ยง และสุดท้ายคือการตอบสนองต่อเหตุการณ์ไม่คาดคิด ด้วย Playbook ที่ถูกเตรียมไว้แล้วในกรณีต่างๆ สิ่งเหล่านี้ก็เพื่อทำให้ผู้เชี่ยวชาญที่มีจำกัดได้ใช้ความสามารถไปกับเคสอื่นๆที่มีความสำคัญมากกว่า ลดความอ่อนล้าจากภาระที่ไม่จำเป็นเร่งด่วน ในภาพรวมนอกจากจะลดต้นทุนการปฏิบัติงานแล้วและยังสร้างประสิทธิผลให้แก่ทีมงานด้านความมั่นคงปลอดภัยที่ดีด้วย

บทส่งท้าย

NDR ไม่ได้เป็นเรื่องใหม่เพราะเกิดขึ้นมาระยะหนึ่งแล้ว จนกระทั่งเริ่มสุกงอม จากทำหน้าที่เดิมด้านมอนิเตอร์ทราฟฟิคแต่ตอนนี้กลับมุ่งหน้าสู่การวิเคราะห์พฤติกรรมด้วย Machine Learning ทั้งหมดนี้เป็นการเติมเต็มให้มีความสมบูรณ์ในการทำงานมากขึ้น แนวโน้มหนึ่งเมื่อต้องรับข้อมูลมากขึ้น NDR ก็อาจกำลังกลายเป็น XDR หรือ EDR แต่หาก NDR สามารถก้าวสู่การวิเคราะห์ทราฟฟิค ตรวจจับภัยคุกคาม ตลอดจนการตอบสนองเหตุการณ์ไม่คาดฝันได้หลากหลาย ในภาพใหญ่มากขึ้นก็อาจกลายเป็น SOAR ท้ายที่สุดแล้วเทคโนโลยีไม่เคยหยุดพัฒนาและรวมความสามารถเข้ามาเรื่อยๆ NDR เองก็กำลังโคจรเข้าสู่ Threat Detection และ Prevention ควบคู่ไปกับการต้องตอบสนองเหตุการณ์ได้อย่างมีประสิทธิภาพ

ท่านใดสนใจเรื่อง NDR เพิ่มเติม ศึกษาได้ที่ white paper

สำหรับผู้ที่สนใจเกี่ยวกับโซลูชัน Cybersecurity ใดๆของ Hillstone Networks สามารถติดต่อกับทีมงานได้ผ่านทาง https://www.hillstonenet.com/more/engage/contact/ ซึ่งจะมีทีมงานติดต่อท่านกลับไป หรือเยี่ยมชมเว็บไซต์ได้ที่ https://www.hillstonenet.com/