Black Hat Asia 2023
Black Hat Asia 2023

Palo Alto Networks ออก Cortex XDR 2.5

September 11, 2020 Network Security, Palo Alto Networks, Products, Security

โซลูชัน Cortex XDR จาก Palo Alto Networks ได้ก้าวเข้าสู่เวอร์ชันที่ 2.5 แล้ว หลังจากปล่อยเวอร์ชันแรกมาปีกว่าๆ

credit : Palo Alto Networks

สำหรับที่ใครยังไม่รู้จักกับ Cortex XDR ก็คือโซลูชันที่ช่วยให้องค์กรมีความสามารถในการตอบสนองภัยคุกคามได้เสมือนมีทีม SOC ได้อย่างเด็ดขาดและว่องไว สามารถอ่านเพิ่มเติมได้ที่นี่ 

อย่างไรก็ดีในเวอร์ชันใหม่ทาง Palo Alto Networks ได้นำเสนอฟีเจอร์ใหม่ๆ ดังนี้

1.) Host Insight Module

ต้องเข้าใจก่อนว่า Cortex XDR คือการเก็บข้อมูลจากแหล่งต่างๆ (Endpoint) มาวิเคราะห์และตอบสนอง ซึ่งในเวอร์ชันใหม่ได้มี Add-on ที่ไปช่วยตรวจสอบและจำกัดการโจมตีในตัวโฮสต์เลย โดยตัวโมดูลมีความสามารถดังนี้

  • Search and Destroy – ค้นหาและกำจัดภัยคุกคามในทุกๆ Endpoint โดยมีการทำ Index ทุกไฟล์ใน Windows เพื่อใช้หาว่ามีไฟล์ไหนอันตราย 
  • Host Inventory – ปิดช่องว่างด้านความมั่นคงปลอดภัย โดยจะมีข้อมูลเกี่ยวกับ User, Group, Application, Service, Driver, Share, Disk และ System Setting ให้ทีมไอทีสามารถดูได้ว่าแต่ละโฮสต์ของตนเป็นอย่างไรมีปัญหาตรงไหน
  • Vulnerability Management – ทำให้ทีมไอทีเห็นภาพของเครื่องว่าขาดแพตช์ในช่องโหว่ตรงไหนบ้าง ซึ่งในเวอร์ชัน 2.5 รองรับกับเครื่อง Linux ด้วย โดยฐานข้อมูลสดใหม่เสมออัปเดตจากฐานข้อมูลของ NIST

2.) ประเมินอุปกรณ์ที่ไม่ได้รับการจัดการ (Rough Device)

เราไม่สามารถป้องกันความเสี่ยงที่ไม่รู้จักได้ ดังนั้นฟังก์ชัน Asset management ของ Cortex XDR 2.5 จะช่วยให้ไอทีสามารถเห็นภาพอุปกรณ์ทั้งหมดในสภาพแวดล้อมขององค์กรได้ นอกจากการสแกนปกติแล้ว ยังจะสามารถตรวจหาโฮสต์ที่หลบหลีกได้ด้วยโดยดูจากข้อมูลเครือข่ายและ Log การพิสูจน์ตัวตน

3.) กู้คืนเครื่องได้ทันใจ

เมื่อถูกโจมตีแล้วการกู้เครื่องกลับมานั้นลำบากมาก อาจจะต้องติดตั้งอิมเมจใหม่แถมต้องตั้งค่าโปรไฟล์แต่ละบุคคลใหม่อีก แต่ Cortex XDR มีฟีเจอร์ที่ช่วยให้การกู้คืนเครื่องกลับมาสถานะที่สะอาดได้ไวขึ้นทันใด ด้วยการลบสิ่งอันตรายจากไฟล์และ Registry Key โดยไม่ต้องทำอิมเมจใหม่หรือสร้างสคิร์ปต์ใดๆ

4.) ขยายการป้องกันสู่ macOS

Cortex XDR Agent 7.2 สามารถทำงานบน macOS ได้แล้ว โดยมีความสามารถเช่น Host Firewall, FileVault Disk Encryption, Device Control on USB, DMG File Analysis

5.) Asset View โฉมใหม่

Asset View ใหม่จะสามารถแสดงข้อมูลและ Incident เฉพาะที่เกิดกับโฮสต์นั้นๆ (รูปประกอบด้านบน) เช่น Service, Users, Group, Share และอื่นๆ เพื่อให้ทีมไอทีสามารถวิเคราะห์ตรงไปยังเครื่องโดยไม่เสียเวลามากนัก นอกจากนี้ Hash View ยังแสดงภาพได้อย่างครอบคลุม

6.) ป้องกันภัยคุกคามแบบครบวงจร

แทนที่จะนั่งรอให้นักวิเคราะห์มาตอบสนองการโจมตี Cortex XDR 2.5 ได้เปิดให้เปลี่ยนจาก Detection Rule ไปเป็นการป้องกันอัตโนมัติได้ นอกจากนี้ผู้ใช้ยังสามารถ Copy และ Edit ตัว Detection Policy เพื่อแก้เป็น Prevention Policy หรือเรียกว่า ‘Behavioral Threat Protection’

ที่มา : https://blog.paloaltonetworks.com/2020/09/cortex-xdr-2-5

Tags


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พลิกมุมคิดการจัดการคลาวด์ไอทีอย่างสมาร์ตฉบับวีเอ็มแวร์ [Guest Post]

แม้คลาวด์จะกลายเป็นส่วนหนึ่งของการพาองค์กรก้าวข้ามวิกฤตไปสู่การสร้างสรรค์โมเดลธุรกิจหรือกลยุทธ์การแข่งขันใหม่ ด้วยคุณลักษณะที่คล่องตัว (Agility) ในการปรับความต้องการใช้งานโดยอัตโนมัติ (Auto-Scaling) ได้ด้วยตัวเอง (Self-Services) ทว่าหลายองค์กรซึ่งเลือกปฏิวัติระบบธุรกิจขึ้นสู่คลาวด์กลับประสบปัญหาการจัดการทรัพยากรที่ยิบย่อยบนคลาวด์ไม่ไหว แถมหัวจะปวดกับภัยคุกคามที่ยุ่งยากในการป้องกัน ด้วยเหตุนี้ ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและแพลตฟอร์มคลาวด์ไอทีให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own Vancouver 2023 ผู้เข้าแข่งขันกวาดเงินรางวัลสูงสุด 475,000 เหรียญ หรือประมาณ 16 …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand