Black Hat Asia 2021

[Guest Post] ทําไมแค่ XDR ถึงไม่เพียงพอ

หนึ่งในแนวทางการรักษาความปลอดภัยทางไซเบอร์ล่าสุดคือการขยายการตรวจจับและการตอบสนองหรือที่รู้จักกันทั่วไปว่า Extended Detection and Response(XDR) ที่เป็นการเพิ่มความสามารถหลักด้านต่างๆให้กับการรักษาความปลอดภัยจากไซเบอร์  ซึ่งทาง Gartner เองนั้นได้ให้นิยามของ XDR ว่า “… แพลตฟอร์มการตรวจจับและตอบสนองเหตุการณ์ด้านความปลอดภัยแบบรวม ที่สามารถรวบรวมและเชื่อมโยงข้อมูลจากคอมโพเนนต์ความปลอดภัยที่หลากหลายรายได้โดยอัตโนมัติ” ฟังดูแล้วคล้ายกับระบบ Security Information and Event Management (SIEM) ที่มีการเพิ่มความสามารถในการตอบสนองต่อภัยคุกคาม แต่เนื่องจากแนวคิดของ XDR นั้นยังมีข้อจำกัดค่อนข้างมาก เช่น การตรวจจับและตอบสนองยังไม่ครอบคลุม เวลาในการตอบสนองต่อภัยคุกคามทำได้ช้า Sangfor จึงมีเทคโนโลยีการขยายขอบเขตการตรวจจับ การป้องกัน และการตอบสนอง หรือ Extended Detection, Defense & Response (XDDR) เพื่อให้สามารถสื่อสารและปกป้องภัยคุกคามได้ระหว่างระบบหรืออุปกรณ์ต่าง ๆ เป็นไปได้แบบครบวงจร โดย XDDR จะทำการขยายการตรวจจับภัยคุกคาม และตอบสนองต่อภัยคุกคามนอกเหนือจากที่กล่าวมาทั้งหมด โดยใช้ผลิตภัณฑ์ที่เรียกว่า Sangfor Cyber Command

XDR คืออะไร?

หนึ่งในแนวทางการรักษาความปลอดภัยทางไซเบอร์ล่าสุดคือการขยายการตรวจจับและการตอบสนองหรือที่รู้จักกันทั่วไปว่า Extended Detection and Response(XDR) แนวคิดนี้ได้เริ่มต้นขึ้นโดย Palo Alto Networks ที่เป็นการเพิ่มความสามารถหลักให้กับการรักษาความปลอดภัยจากไซเบอร์ แต่หลังจากนั้นผู้ผลิตรายอื่น ๆ ก็ได้ทยอยเปิดตัวฟังก์ชันที่เป็น XDR ที่มีรูปแบบใกล้เคียงกัน หรือมีการทำงานคล้ายกันในบางส่วน และแน่นอนว่าทั้งหมดนี้ ผู้ผลิตแต่ละรายได้มีการกําหนดทิศทางและให้คำจำกัดความ XDR ที่แตกต่างกันออกไป โดยท้ายสุดทางแล้ว Gartner เองนั้นได้ให้นิยามของ XDR ว่า “… แพลตฟอร์มการตรวจหาและตอบสนองเหตุการณ์ด้านความปลอดภัยแบบรวม ที่สามารถรวบรวมและเชื่อมโยงข้อมูลจากคอมโพเนนต์ความปลอดภัยที่หลากหลายรายได้โดยอัตโนมัติ” ซึ่งฟังดูแล้วอาจจะแปลก ที่คำนิยามนี้ฟังดูแล้วคล้ายกับระบบ Security Information and Event Management (SIEM) ที่มีการเพิ่มความสามารถในการตอบสนอง และนั่นคือจุดสําคัญซึ่งทำให้ SIEM แตกต่างอย่างชัดเจนจาก XDR นั้น คือไม่เพียงแต่ช่วยระบุเหตุการณ์ด้านความปลอดภัยเท่านั้น แต่ยังมีการตอบสนองต่อภัยคุกคามต่างๆ ได้อย่างอัตโนมัติ

ผู้ผลิตส่วนใหญ่ที่มีเทคโนโลยี XDR กําลังเพิ่มประสิทธิภาพพร้อมกับเสริมการรวมผลิตภัณฑ์รักษาความปลอดภัยเข้าด้วยกัน เพื่อสร้างการตอบสนองที่ประสานงานกันได้ดียิ่งขึ้น แต่ความจริงก็คือ XDR ส่วนใหญ่พยายามรวมระบบป้องกันอุปกรณ์ปลายทาง และระบบป้องกันเครือข่ายเข้าด้วยกันเท่านั้น โดยอาศัยซอฟต์แวร์ Endpoint Detection and Response (EDR) และ Next-Generation Firewall (NGFW) โดยแนวคิดเริ่มต้นจาก EDR นั้นสามารถบอก Firewall ได้ว่าควรบล็อกอะไร เช่น Malware Command & Control (C&C) เท่านั้น

แล้วทําไมแค่ XDR ถึงไม่เพียงพอในปัจจุบัน

เนื่องจากแนวคิดของ XDR นั้นยังมีข้อจำกัดค่อนข้างมาก ซึ่งประกอบด้วยเหตุผลหลายประการ:

  • XDR ปกป้องแค่ทิศทางเดียว

ในโซลูชันของ XDR นั้นส่วนใหญ่ทำงานผ่าน EDR ที่สามารถส่งข้อมูลไปยังไฟร์วอลล์เพื่อสั่งการตอบสนองต่อภัยคุกคาม แต่ไฟร์วอลล์จะไม่ส่งข้อมูลไปยังระบบปลายทางเพื่อตอบสนองต่อภัยคุกคามใด ๆ ตัวอย่างเช่น เครื่องลูกข่ายปลายทางสามารถบอกไฟร์วอลล์ได้ว่าตรวจพบมัลแวร์บนเครื่อง และไฟร์วอลล์สามารถบล็อกการสื่อสารทั้งหมดจากปลายทางนั้นได้ แต่เมื่อไฟร์วอลล์เห็นการรับส่งข้อมูลที่น่าสงสัย จะไม่สามารถสั่งการตอบสนองไปยังอุปกรณ์ปลายทางเพื่อสั่งการสแกนเพื่อตรวจสอบและหามัลแวร์ได้

  • เวลาตอบสนองทำได้ช้าเนื่องจาก ไม่สามารถสื่อสารกันได้โดยตรง

เป็นเรื่องที่น่าตื่นเต้นเมื่อมีการทำงานร่วมกันระหว่าง EDR และ NGFW แต่ความเป็นจริงแล้ว EDR และ NGFW อาจไม่ได้ทำการสื่อสารกันโดยตรง ความเป็นจริงการสื่อสารและการตอบสนองต่อภัยคุกคามนั้น จะถูกกําหนดให้สื่อสารผ่านแพลตฟอร์มการบริหารจัดการ(Management) หรือ Threat Intelligence (TI) แทน ดังนั้นการสื่อสารทางอ้อมนี้อาจส่งผลกระทบต่อระยะเวลาที่ใช้นานขึ้น ในการเริ่มต้นสั่งการตอบสนองต่อภัยคุกคามต่างๆ

  • XDR ยังเกิดช่องว่างระหว่างอุปกรณ์

อุปกรณ์รักษาความปลอดภัยนั้นมีพื้นที่ในการปกป้องที่แตกต่างกันเช่น NGFW ปกป้องในมุมของการสื่อสารระหว่างเครือข่าย ส่วน EDR ปกป้องอุปกรณ์ปลายทางจากมัลแวร์ แต่ในปัจจุบันนั้นมัลแวร์มีความซับซ้อนมากขึ้น และสามารถใช้ประโยชน์จากช่องว่างระหว่างระบบการป้องกันระดับเครือข่ายและระดับปลายทาง

โดย Ransomware เป็นตัวอย่างที่ชัดเจนที่สุดของมัลแวร์ ที่สามารถใช้ประโยชน์จากช่องว่างของ XDR ได้ ในปัจจุบันนี้ Ransomware เป็นมัลแวร์ที่ประสบความสําเร็จมากที่สุดตัวหนึ่ง ที่สามารถโจมตีโจมตีและเข้ารหัสข้อมูลภายในองค์กร แทบทุกประเภท ทั่วโลก และทุกองค์กรต่างๆ ที่ถูกโจมตีจาก Ransomware นั้นล้วนมีระบบ EDR และ NGFW อยู่แล้วแทบทั้งสิ้น ยกตัวอย่างเช่นเหตุการณ์ Ransomware ที่ค่อนข้างมีผลกระทบในประเทศไทย คือในช่วงเดือนกันยายน ปี 2563 ที่ผ่านมากรณีของโรงพยาบาลสระบุรี นั้นแสดงให้เห็นว่าเหตุการณ์การโจมตีนั้น ทําให้ข้อมูลผู้ป่วยออนไลน์ทั้งหมดไม่พร้อมใช้งาน ส่งผลให้ผู้ป่วย พยาบาล หมอและแผนกต่างๆ ต้องใช้สําเนาเวชระเบียน และใบสั่งยาของพวกเขาในระหว่างการรักษาคนไข้

มีทางอื่นที่ดีกว่านี้อีกไหม?

XDR ที่มีอยู่ในปัจจุบันนั้นอาจไม่เพียงพออีกต่อไป ในปัจจุบันระบบเหล่านี้จําเป็นต้องมีการทํางานร่วมกันที่ดียิ่งขึ้น ซึ่งจะเกิดขึ้นระหว่างผลิตภัณฑ์รักษาความปลอดภัยระดับต่างๆ ให้สามารถปกป้องจากมัลแวร์ที่สามารถพัฒนาตัวเองตลอดเวลาด้วยเทคโนโลยีในยุคปัจจุบันอย่างเช่น AI ซึ่งหนึ่งในวิธีการปรับปรุง และเพิ่มประสิทธิภาพทํางานร่วมกัน คือการขยายขอบเขตของการปกป้องระบบรักษาความปลอดภัยไซเบอร์ให้ครอบคลุมยิ่งขึ้น เพื่อช่วยปิดช่องว่างต่างๆ และเพื่อป้องกันมัลแวร์เช่น Ransomware ที่อาจนำช่องว่างเหล่านี้ไปใช้ประโยชน์ได้ โดยการเปิดให้ผลิตภัณฑ์การป้องกันระดับเครือข่าย และระบบการป้องกันปลายทาง สามารถสื่อสารกันได้โดยตรง เพื่อช่วยระบุภัยคุกคามได้ดีกว่าเดิม และยังสามารถตอบสนองต่อภัยคุกคามได้รวดเร็วยิ่งขึ้น เพื่อเป็นการขยายขอบเขตการปกป้องระบบรักษาความปลอดภัยไซเบอร์ได้อย่างมีนัยสำคัญ และเนื่องจากลูกค้าอาจมีโซลูชันรักษาความปลอดภัยไซเบอร์จากหลากหลายผู้ผลิตอยู่แล้วนั้น Sangfor จึงมีเทคโนโลยีการขยายขอบเขตการตรวจจับ การป้องกัน และการตอบสนอง หรือ Extended Detection, Defense & Response (XDDR) เพื่อให้สามารถสื่อสารและปกป้องภัยคุกคามได้ระหว่างระบบหรืออุปกรณ์ต่าง ๆ เป็นไปได้แบบครบวงจร โดย XDDR จะทำการขยายการตรวจจับภัยคุกคาม และตอบสนองต่อภัยคุกคามนอกเหนือจากที่กล่าวมาทั้งหมด โดยใช้ผลิตภัณฑ์ที่เรียกว่า Sangfor Cyber Command ซึ่งสามารถหาข้อมูลเพิ่มเติมเกี่ยวกับ Sangfor XDDR และ Cyber Command ได้โดยคลิกที่นี่

เราขอเชิญคุณเข้าร่วมการสัมมนาออนไลน์กับเราในวันศุกร์ที่ 12 มีนาคม เวลา 14:00 เพื่อทำความเข้าใจถึงแตกต่างระหว่าง XDR และ XDDR และได้ทราบประโยชน์อันเป็นเอกลักษณ์ของ XDDR ที่จะช่วยปรับปรุงความปลอดภัยในโลกไซเบอร์จากเดิมได้อย่างไร:

https://sangfor.zoom.us/webinar/register/1316146725218/WN_yNI1WLd6TjS71ji6CttMtA

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] เงินติดล้อ มั่นใจ ออราเคิล อัปเกรดศักยภาพองค์กรด้วยระบบคลาวด์ เสริมประสิทธิภาพด้านเทคโนโลยี เพื่อลูกค้าคนสำคัญ

พร้อมตอกย้ำความมุ่งมั่นพัฒนาด้านดิจิทัล วางแผนทรัพยากรองค์กรผ่าน Oracle Cloud ERP

Microsoft ประกาศจัดตั้งดาต้าเซนเตอร์แห่งแรกในมาเลเซีย

Microsoft ได้ประกาศโครงการความร่วมมือในประเทศมาเลเซียหรือ ‘Bersama Malaysia’ (Together with Malaysia) เพื่อตอบสนองเศรษฐกิจดิจิทัลและดิจิทัลทรานส์ฟอร์เมชัน นอกจากนี้ยังวางแนวทางสร้างทักษะแก่ประชาชนในประเทศให้ได้ถึง 1 ล้านคนภายในปี 2023