TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
องค์กรยุคดิจิทัลในปัจจุบันต้องเผชิญความท้าทายด้าน Cybersecurtiy ที่หลากหลาย ไม่ว่าจะเป็น Ransomware หรือ Advanced Attack ที่มีเทคนิคหลบเลี่ยงระบบป้องกัน Alert ที่เยอะมากขึ้นจนจัดลำดับความสำคัญไม่ไหว รวมถึงข้อมูลบริบทของเหตุการณ์ต้องสงสัยที่มีน้อยจนเกินไป ทำให้ต้องเสียเวลาตรวจสอบและรวบรวมข้อมูล ซึ่งเมื่อชัดเจนแล้วว่าเป็นการบุกรุกโจมตี ความเสียหายก็แพร่กระจายเป็นที่เรียบร้อย นอกจากนี้ เมื่ออาชญากรไซเบอร์เริ่มนำ AI มาใช้สนับสนุนการโจมตี องค์กรก็จำเป็นต้องนำ AI มาต่อกรเพื่อยกระดับการป้องกันเช่นกัน
SIS Distribution (Thailand) ในฐานะผู้จัดจำหน่ายโซลูชัน IT ชั้นนำของไทย จึงได้จับมือกับ Cybereason ผู้นำด้านการป้องกันภัยไซเบอร์ที่ขับเคลื่อนด้วยเทคโนโลยี AI นำเสนอโซลูชัน Endpoint Detection & Response (EDR) ที่พลิกโฉมเทคโนโลยีด้วย Malicious Operation (MalOp) Engine และเทคนิค Multi-layered Security ถึง 9 ชั้น ยกระดับประสิทธิภาพและความเร็วในการตรวจจับมัลแวร์ทั้งแบบ Known และ Unknown พร้อมใช้งานได้ทันทีด้วยการตั้งค่าเริ่มต้นจากโรงงานที่ครอบคลุมการรับมือภัยคุกคามเกือบทั้งหมด
Alert-centric Approach ช้าและขาดประสิทธิภาพ ทั้งยังสร้าง Alert มหาศาล
เพื่อรับมือกับภัยคุกคามไซเบอร์ที่ทวีความรุนแรงและซับซ้อนมากขึ้น หลายเทคโนโลยีจึงถูกนำมาประยุกต์ใช้เพื่อยกระดับการรักษาความมั่นคงปลอดภัยขององค์กร หนึ่งในนั้นที่นิยมใช้ คือ Endpoint Detection & Response (EDR) ซึ่งนอกจากจะป้องกันมัลแวร์และภัยคุกคามได้เหนือกว่า Antivirus ทั่วไปแล้ว ยังสามารถรวบรวมและวิเคราะห์เหตุการณ์ต่างๆ ที่เกิดขึ้นบนอุปกรณ์ปลายทาง เพื่อค้นหาการโจมตีที่เล็ดลอดเข้ามาหรือมัลแวร์แบบ Unknown ได้อีกด้วย เป็นการยับยั้งเหตุตั้งแต่จุดเริ่มต้นก่อนที่จะแทรกซึมเข้าสู่ระบบเครือข่าย
อย่างไรก็ตาม EDR ส่วนใหญ่ในปัจจุบันใช้วิธีการตรวจจับภัยคุกคามแบบ Alert-centric ซึ่งอาศัยการติดตาม Alert ที่เกิดขึ้นเป็นหลัก ถึงแม้ว่าวิธีนี้จะสามารถป้องกันมัลแวร์แบบ Known ได้โดยใช้ Signature แต่การค้นหามัลแวร์แบบ Unknown กลับทำได้ช้าและขาดประสิทธิภาพ เนื่องจากผู้ดูแลระบบรักษาความมั่นคงปลอดภัยต้องคอยติดตาม Alert ที่เกิดขึ้นตลอดเวลา ซึ่งเป็นที่ทราบกันดีว่า Alert ในปัจจุบันมีปริมาณมหาศาล การค้นหา Alert ที่เกี่ยวข้องกับมัลแวร์แบบ Unknown ท่ามกลาง Alert อื่นๆ ไม่ว่าจะเป็น Alert ที่เกิดจากมัลแวร์ที่ถูกบล็อกไปแล้ว, Alert ซ้ำๆ ที่เกิดจากเหตุผิดปกติแบบเดียวกันแต่คนละอุปกรณ์ หรือ Alert ที่เป็น False Positive จึงเป็นเรื่องยาก กว่าจะยืนยันว่าเป็นการโจมตีและทำการตอบโต้ก็ใช้เวลาไปนานมาก มัลแวร์อาจแพร่กระจายสู่อุปกรณ์อื่นหรือสร้างความเสียหายเป็นที่เรียบร้อย
พลิกโฉมโซลูชัน EDR ด้วย Operation-centric Approach จาก Cybereason
Cybereason ผู้นำด้านการป้องกันภัยไซเบอร์ที่ขับเคลื่อนด้วยเทคโนโลยี AI จึงได้พลิกโฉมโซลูชัน EDR ด้วยการใช้วิธีตรวจจับภัยคุกคามแบบ Operation-centric โดยนำเสนอ Multi-layered Prevention ประกอบด้วย Next-generation Antivirus (NGAV), Anti-ransomware, Fileless Protection, Behavioral Analysis และ Deception สำหรับกรองมัลแวร์แบบ Known และ Unknown ส่วนหนึ่งออกไปก่อน พร้อมแยก Alert ที่เกิดขึ้นออกมาว่าจัดการเสร็จเรียบร้อยแล้ว เพื่อลดจำนวน Alert ที่ผู้ดูแลระบบต้องติดตามลง รวมถึงส่งข้อมูลเหตุการณ์ที่เกี่ยวข้องกับอุปกรณ์ปลายทางไปยัง Malicious Operation (MalOp) Engine ซึ่งจะทำหน้าที่สกัดกั้นการทำงานที่ไม่พึงประสงค์ก่อนทันที จากนั้นแจ้งเตือนผู้ดูแลระบบพร้อมข้อมูลบริบทที่เกี่ยวข้องอย่างครบถ้วน เช่น อุปกรณ์ที่ได้รับผลกระทบ ไฟล์หรือโปรเซสที่เกี่ยวข้อง การเชื่อมต่อสู่ภายนอก ซึ่งจะช่วยให้ผู้ดูแลระบบสามารถตัดสินใจและทำการตอบโต้ได้อย่างทันท่วงที ก่อนที่ความเสียหายจะบังเกิดขึ้น
Cybereason เป็นบริษัทสัญชาติสหรัฐฯ ก่อตั้งขึ้นเมื่อปี 2012 ได้รับการยอมรับว่าเป็น Top Innovator ที่ระดมทุนได้มากกว่า 24,000 ล้านบาท โดยมีบริษัทยักษ์ใหญ่ร่วมลงทุน เช่น Lockheed Martin, Google Cloud และ Softbank เป็นผู้ให้บริการแพลตฟอร์ม XDR ที่ขับเคลื่อนด้วยเทคโนโลยี AI สนับสนุนโดย Nocturnus ทีม Threat Research & Analysis ที่มีผลงานการค้นพบวัคซีน NotPetya, EventBot Banking Trojan บน Android และ DeadRinger มัลแวร์ที่พุ่งเป้า Telco ในภูมิภาคเอเชียตะวันออกเฉียงใต้
ปัจจุบันนี้ Cybereason มี Global SOC 3 แห่งทั่วโลก พนักงานมากกว่า 900 คน และคุ้มครองอุปกรณ์ปลายทางมากกว่า 500,000 เครื่องทั่วโลก
Cybereason ผ่านการประเมินความสามารถในการตรวจจับและป้องกันเทคนิคการโจมตีระดับสูง MITRE ATT&CK Evaluations: Enterprise ปี 2023 โดยมีอัตรา Protection, Detection และ Visibility 100% ทั้งบน Windows และ Linux ทั้งยังไม่มีดีเลย์ในการตรวจจับ สามารถจับคู่เทคนิคที่ใช้บน MITRE ATT&CK Framework ได้ครอบคลุมถึง 97% ที่สำคัญคือประสิทธิภาพพร้อม 100% ด้วยการตั้งค่าเริ่มต้นจากโรงงาน นอกจากนี้ ในส่วนของ Gartner Magic Quadrant ทางด้าน Endpoint Protection Platform นั้น Cybereason เข้าสู่การจัดอันดับเป็นครั้งแรกในปี 2021 ในตำแหน่ง Visionary จากนั้นทะยานขึ้นสู่ตำแหน่ง Leader ในปีถัดมา เทียบเคียง Microsoft, CrowdStrike, SentinelOne, Trend Micro และ Sophos
ตรวจจับมัลแวร์ด้วยกลไกการตรวจจับ 9 ชั้น พร้อมเทคโนโลยี MalOp
Next-generation Antivirus (NGAV) ของ Cybereason ประกอบด้วยกลไกการตรวจจับและป้องกันมัลแวร์ถึง 9 ชั้น ได้แก่ Endpoint Control, Signature-based Anti-malware, AI-based Anti-malware, Exploit Prevention, Behavioral Document Prevention, Behavioral Execution Prevention, Fileless Malware Prevention, Variant Payload Prevention และ Predictive Ransomware Protection เพื่อให้มั่นใจว่าจะสามารถค้นพบมัลแวร์ทั้งแบบ Known และ Unknown ให้ได้มากที่สุด
แม้ว่าหลายโซลูชัน NGAV ในตลาดจะไม่มีการใช้ Signature แล้ว ด้วยเหตุผลที่ว่าไม่มีประสิทธิภาพเพียงพอ แต่ Cybereason ยังคงการใช้ Signature เป็นส่วนหนึ่งของกลไกการตรวจจับอยู่ เนื่องจากสามารถคัดกรองมัลแวร์แบบ Known ออกมาได้อย่างรวดเร็วและไม่เปลืองทรัพยากรของระบบ ในขณะที่มัลแวร์แบบ Unknown ก็อาศัยกลไกอื่นและ Malicious Operation (MalOp) Engine ช่วยค้นหาแทน
ในกรณีที่มีการโจมตีเล็ดลอดกลไกการป้องกัน (NGAV) เข้ามาได้ Malicious Operation (MalOp) Engine จะรวบรวมข้อมูลที่เกี่ยวข้องกับอุปกรณ์ปลายทาง และใช้เทคโนโลยี AI/ML รวมถึง Threat Intelligence เชื่อมโยงความสัมพันธ์ของ Alert ที่เกิดขึ้น เพื่อค้นหาภัยคุกคามที่ซ่อนอยู่ จากนั้นแจ้งเตือนผู้ดูแลระบบพร้อมแสดงข้อมูลบริบทอย่างครบถ้วน ได้แก่ Root Cause, Tools Leveraged, Affected Users & Machines, Attacker Communication และ Attack Timeline พร้อมตรวจสอบอุปกรณ์ปลายทางอื่นๆ ว่ามีภัยคุกคามเดียวกันเกิดขึ้นหรือไม่ นอกจากนี้ยังมีฟีเจอร์ 1-click Remediation ช่วยให้ผู้ดูแลระบบสามารถทำการตอบโต้ภัยคุกคามที่เกิดขึ้นบนอุปกรณ์ปลายทางได้ทันที ไม่ว่าจะเป็นการกักกัน, ตัดการเชื่อมต่อ, Kill Process หรือลบ Registry Key ผ่านทางการกดปุ่ม “Respond” เพียงปุ่มเดียว ลด MTTR จากหลักวันเหลือเพียงไม่กี่นาทีหรือชั่วโมง
อีกหนึ่งจุดเด่นของ Cybereason คือ การลดปัญหา Alert Fatigue ด้วย การทำ Alert Consolidation ซึ่งเป็นการจัดกลุ่ม Alert ประเภทเดียวกันไว้ด้วยกัน พร้อมทั้งจัดลำดับความสำคัญให้เหลือเฉพาะ Alert ที่ผู้ดูแลระบบควรสนใจ ดังตัวอย่างภาพด้านล่าง จะเห็นว่ามี Alert ทั้งหมด (Total Detection) 176 รายการ แต่เมื่อจัดกลุ่ม Alert ประเภทเดียวกันไว้ด้วยกันแล้ว (Total MalOps) จะเหลือเพียง 22 รายการเท่านั้น โดยมี 17 รายการที่ป้องกันไปเรียบร้อยแล้ว (Prevented MalOps) ผู้ดูแลระบบสามารถมารีวิวภายหลังได้ เหลือเพียง 6 รายการที่ต้องสนใจและรีบดำเนินการแก้ไข (Active MalOps)
ผสานการทำงานกับ 3rd Party ต่อยอดสู่โซลูชัน XDR
Cybereason EDR สามารถผสานการทำงานร่วมกับโซลูชันอื่นของ Cybereason รวมถึง 3rd Party ชั้นนำได้หลากหลาย ครอบคลุมทั้งส่วน Identity, Workspace, Cloud และ Network Security ภายใต้แพลตฟอร์ม Extended Detection and Response (XDR) ซึ่งสนับสนุนโดย Google Theat Intelligence เพื่อขยายขีดความสามารถในการตรวจจับและรับมือกับภัยคุกคามตั้งแต่ระดับ Endpoint, Network ไปจนถึง Cloud ที่สำคัญคือแพลตฟอร์มดังกล่าวให้บริการในรูปแบบ Open XDR ทำให้องค์กรที่พัฒนาโซลูชันด้าน Cybersecurity เป็นของตัวเองสามารถติดต่อเข้ามาเพื่อยื่นเรื่องขอผสานการทำงานร่วมกันได้
นอกจากแพลตฟอร์ม XDR แล้ว Cybereason ยังให้บริการ Threat Hunting และ Managed Detection and Response (MDR) สำหรับการตรวจจับ รับมือ และค้นหาภัยคุกคามแบบครบวงจร รวมถึงบริการ Digital Forensics & IR สำหรับเก็บหลักฐานและตอบโต้การโจมตีโดยทีมผู้เชี่ยวชาญที่มีประสบการณ์อีกด้วย
SIS จับมือ Cybereason ให้บริการโซลูชัน EDR และ XDR แก่ธุรกิจไทย
SIS เป็นผู้จัดจำหน่ายโซลูชันของ Cybereason อย่างเป็นทางการในประเทศไทย โดยให้บริการ EDR ที่ใช้วิธีตรวจจับภัยคุกคามแบบ Operation-centric (MalOp) พร้อมสนับสนุนด้วยเทคโนโลยี AI/ML และ Nocturnus ทีม Threat Research & Analysis ที่มีผลงานโดดเด่นระดับโลก รองรับการติดตั้งทั้งแบบ On-premises, Cloud หรือ Air-gapped ครอบคลุมการปกป้องอุปกรณ์ปลายทางที่รันระบบปฏิบัติการ Windows, Mac และ Linux ทั้งยังสามารถต่อยอดไปสู่ XDR ได้ในอนาคต ด้วยทีมฝ่ายขายและฝ่ายเทคนิคที่ผ่านการอบรมและได้รับใบรับรองจากเจ้าของผลิตภัณฑ์โดยตรง ทำให้มั่นใจว่าลูกค้าจะได้รับการดูแลเป็นอย่างดี ตั้งแต่การให้คำปรึกษา ออกแบบ ติดตั้ง ไปจนถึงการปรับแต่งโซลูชันให้เหมาะสมกับระบบขององค์กร และการซัพพอร์ตหลังการขาย
โซลูชันของ Cybereason ถูกนำเข้ามาจัดจำหน่ายในไทยตั้งแต่กลางปี 2022 ที่ผ่านมา ซึ่งปัจจุบันมีลูกค้าจากหลากหลายอุตสาหกรรมเริ่มใช้บริการกันแล้ว เช่น อุตสาหกรรมการผลิต, คมนาคม, โลจิสติกส์ และบริษัทสัญชาติญี่ปุ่นอีกหลายแห่ง ผู้ที่สนใจโซลูชัน EDR/XDR จาก Cybereason สามารถติดต่อ SIS เพื่อสอบถามข้อมูลเพิ่มเติมได้ที่ cybereason@sisthai.com
