TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
การโจมตีทางไซเบอร์มีแต่จะทวีความรุนแรงขึ้นทุกขณะ ทำให้มีโซลูชันใหม่เกิดขึ้นมากมาย ที่คุยว่าฝ่ายตนจะเข้ามาแก้ปัญหาในมุมมองต่างๆ แต่ความท้าทายที่องค์กรกลับต้องเผชิญคือโซลูชันที่หลากหลายกลับไม่สามารถทำงานร่วมกันได้ นั่นจึงกลายเป็นจุดอ่อนและภาระของฝ่ายดูแลความมั่นคงปลอดภัยขององค์กร ที่ต้องเชื่อมโยงข้อมูลจากหลายส่วนอย่างยากลำบาก ประสิทธิภาพในการทำงานลดลง จากความซับซ้อนเหล่านี้
ด้วยเหตุนี้เองแนวคิดของ XDR จึงถือกำเนิดขึ้น เพื่อรวมศูนย์ข้อมูลด้านความมั่นคงปลอดภัยจากทุกมุมมองเข้าด้วยกัน อย่างไรก็ดีเจ้าของผลิตภัณฑ์ XDR แต่ละราย ก็มีความเชี่ยวชาญแตกต่างกันออกไป ตามความถนัดดั้งเดิม บ้างก็เกิดจากการเข้าซื้อกิจการ บ้างก็เสริมฟีเจอร์เพิ่มจากของเดิมที่นำเสนออยู่ให้กลายเป็น XDR ซึ่งจะเห็นได้ว่าในท้องตลาดมีผู้เล่น XDR จำนวนมากที่ไม่ตอบโจทย์การทำงานร่วมกันกับโซลูชันอื่น กลับกันแนวคิดของ Stellar Cyber ได้ริเริ่มจากแนวคิดที่เปิดกว้าง มองตนเองเป็นส่วนหนึ่งภาพใหญ่ แนวคิดนี้จึงนำไปสู่โครงสร้างพื้นฐานแบบเปิดกว้างที่เน้นการบูรณาการกับโซลูชันอื่นอย่างแท้จริงที่เรียกว่า ‘OpenXDR’
ในบทความนี้เราขอพาทุกท่านไปเจาะลึกเกี่ยวกับ สถาปัตยกรรม และแนวคิดของ Stellar Cyber ผลิตภัณฑ์หนึ่งเดียวจากแนวคิด OpenXDR อย่างแท้จริง ซึ่ง VRcomm ได้เซ็นสัญญาเป็นตัวแทนจำหน่ายในประเทศไทยเมื่อไม่นานนี้
XDR vs SIEM
XDR ถูกพูดถึงมาระยะหนึ่งแล้ว ซึ่งประเด็นก็คือการรวบรวมข้อมูลจากพื้นผิวการโจมตีทั้งหมด โดยความแตกต่างระหว่าง XDR และ SIEM ก็คือ XDR ถูกออกแบบมาให้รองรับข้อมูลได้กว้างขวางกว่า SIEM ที่มักมองเพียงแค่ Firewall, IDS/IPS, Antivirus และอื่นๆ เช่น Application, Remote Server, Mobile และ Social Media ดังนั้นเมื่อมีข้อมูลที่รอบด้านมากกว่า จึงทำให้มองเห็นสัญญานของการโจมตีได้แม่นยำ นำไปสู่การแก้ไขที่ต้นเหตุได้
XDR ยังถูกออกแบบโดยคำนึงถึงความง่ายและความยืดหยุ่นในการใช้งานสูงกว่า ซึ่ง AI ก้าวเข้ามามีบทบาทแทบทุกองค์ประกอบ ตั้งแต่กระบวนการ วิเคราะห์เพื่อตรวจจับ ตอบสนองอย่างอัตโนมัติ หรือให้คำแนะนำแก่ผู้ดูแล กล่าวคือ XDR จึงตอบสนองได้ทันที ในขณะที่ SIEM อาจจะต้องถูกปรับจูนอีกหลายขั้นตอน เพื่อให้ได้ผลลัพธ์เดียวกับ XDR
แนวคิดที่ต่าง นำไปสู่ผลลัพธ์ที่แตกต่าง
XDR ถือได้ว่าเป็นคำโฆษณาที่มีแรงดึงดูดให้ Vendor และบริษัทใหญ่ต้องการเข้าสู่พื้นที่ตลาดนี้ ทั้งจากการควบรวมกิจการ หรือพัฒนาฟังก์ชันของโซลูชันที่ตนมีให้ดียิ่งขึ้น เช่น พัฒนา EDR จากความเข้าใจเพียงแค่ Endpoint และ Network สู่ Application และ อีเมล หรือในมุมของ SIEM ได้มีการปรับปรุงความสามารถในการสกัดข้อมูลจาก Data Lake ให้ดียิ่งขึ้นมากพอที่จะบ่งชี้ถึงรูปแบบการโจมตี พร้อมเสริมความสามารถในการตอบสนองเข้ามา
ในมุมของแบรนด์ XDR หน้าใหม่ พวกเขามักกล่าวอ้างถึง ความรวดเร็ว แม่นยำ ทั้งการแจ้งเตือนและตอบสนอง ตลอดจนความสามารถในการรับข้อมูลได้เป็นจำนวนมาก กลับกันในแบรนด์ใหญ่อาจใช้วิธีการเข้าซื้อกิจการให้ได้มาซึ่งความสามารถใหม่ที่ตนไม่เคยมี แต่สุดท้ายแล้วในกรณีข้างต้น ความท้าทายส่วนใหญ่ที่มักพบเห็นคือการที่ไม่สามารถทำงานร่วมกับโซลูชันในหน้าที่อื่นๆ
ด้วยเหตุนี้เอง Stellar Cyber จึงได้ยืดหยัด เพื่อผลประโยชน์ของผู้ใช้ ด้วยการไม่เพิ่มภาระงานและไม่ต้องตัดอุปกรณ์ดั้งเดิมออกจากภาพ ไม่ว่าองค์กรเดิมคุณจะมีอะไรใช้อยู่ก่อน Stellar Cyber พร้อมที่จะบูรณาการทุกขีดความสามารถเข้ามาทำงานร่วมกัน ทั้งการรับข้อมูลเข้ามาประมวลผลหรือตอบสนองผ่านอุปกรณ์อื่น จากคอนเซปต์ XDR ที่ตลาดนิยามว่า X = extended แต่ที่ Stellar ‘X’ คือ Everything หรือ openXDR ที่หมายถึงการเป็นส่วนหนึ่งของภาพใหญ่
3 ความท้าทายของ OpenXDR
แนวคิด OpenXDR ดูเหมือนเป็นสิ่งที่เข้าใจได้ง่ายและตรงไปตรงมา นั่นคือการรองรับทุกแหล่งที่มาของข้อมูล และเชื่อมต่อทำงานร่วมกับทุกอุปกรณ์ด้านการป้องกัน แต่อันที่จริงแล้วมีความท้าทายที่ซ่อนอยู่ ซึ่ง Stellar จะต้องหาวิธีการแก้ไข และวางแผนตั้งแต่ระดับสถาปัตยกรรมเลยทีเดียว โดยความท้าทาย
ประการแรก คือทุกโซลูชันมักมีรูปแบบข้อมูลของตัวเอง ดังนั้นจะทำอย่างไรที่จะปรับปรุง (normalize) ข้อมูลเหล่านี้ให้อยู่ในรูปแบบที่พร้อมใช้งาน
ประการที่สอง คือต้องวางแผนกลยุทธ์ในการนำ AI เข้ามาใช้ต่างกัน เพราะผลลัพธ์ของอีเว้นต์ที่ออกมาจากอุปกรณ์แต่ละตัวก็มีวิธีคิดต่างกัน มีอัลกอริทึม AI ของตัวเอง แต่เป้าหมายก็คือ XDR ควรจะขมวดการแจ้งเตือนเหล่านี้ให้มีจำนวนน้อยลง หรือจัดกลุ่มความสำคัญ ไม่ใช่เพิ่มปริมาณการแจ้งเตือน
ประการสุดท้าย การเปิดรับทุกข้อมูลย่อมมีปริมาณมหาศาล คำถามคือจะมีวิธีการรับมือข้อมูลเหล่านั้นได้อย่างไรให้ทัน และช่วยลดภาระสุดท้ายในมือของผู้ปฏิบัติงานด้านความมั่นคงปลอดภัย
นี่คือความท้าทายที่ Stellar Cyber ต้องนำมาพิจารณาและหาวิธีการจัดการ ตั้งแต่วันแรกที่ออกแบบระบบ จึงนำไปสู่สถาปัตยกรรมและวิธีการทำงานในหัวข้อถัดไป
สถาปัตยกรรมของ Stellar OpenXDR
InterflowTM เป็นกระบวนการที่ทีมวิศวกรของ Stellar Cyber ออกแบบขึ้นเพื่อรับข้อมูลหลายรูปแบบจาก Network packet, File และ Log ซึ่งมีการรวบรวมและตัดส่วนที่ไม่จำเป็นออก สกัดเอาเฉพาะ Metadata ที่จำเป็น สุดท้ายแล้วผลลัพธ์ที่ได้ต้องมีข้อมูลที่สื่อความหมายสำหรับการวิเคราะห์ เช่น Hostname, User Information, Threat Intelligence และ Geolocation โดยรูปแบบข้อมูลของ InterflowTM ก็คือ JSON ยอดนิยมที่อ่านเข้าใจได้โดยมนุษย์ พร้อมนำออกไปใช้งานต่อ หรือเชื่อมต่อกับ API เข้ากับระบบอื่นๆ
ในการทำงานร่วมกับผลิตภัณฑ์อื่นๆ ทีมงาน Stellar Cyber ต้องเข้าไปศึกษาและทดสอบ อุปกรณ์ยี่ห้ออื่นๆ เพื่อประเมินวิธีการทำงานร่วมกัน ยกตัวอย่างเช่น openEDR หรือการเปิดให้ผู้ใช้งานนำระบบ EDR ใดๆ เข้ามาเชื่อมต่อกับ openXDR ซึ่ง ณ จุดนี้ทีมงานก็ต้องประเมินว่าจะทำการเติมข้อมูลที่ได้มา(Enrichment) หรือ ยุบรวมการแจ้งเตือน(Deduplication) หรือใช้โมเดล Machine Learning ที่ต่างกันออกไป กล่าวคือทีมงานจะเรียนรู้และปรับจูนการทำงานตามความเหมาะสมต่างกันออกไป
ในทุกสถานะการทำงานสิ่งที่เป็นรากฐานสำคัญและขาดไม่ได้ที่ทำให้ระบบ openXDR ของ Stellar สามารถตรวจจับและทำงานได้อย่างทันท่วงที ก็คือระบบ AI ศักยภาพสูงที่ช่วยในการค้นหาภัยคุกคามจากการวิเคราะห์ข้อมูลพฤติกรรม ทั้งยังเรียนรู้พฤติกรรมที่ผู้ใช้งานโต้ตอบกับระบบด้วย ทำให้การตอบสนองในครั้งต่อๆไปทำได้อย่างอัตโนมัติ นอกจากนี้โมเดล AI ยังมีการอัปเดตเพิ่มความรู้ใหม่อยู่เสมอ จากผู้ใช้งานอื่นทั่วโลก หรือ Threat intelligence จากศูนย์กลาง
วิธีการทำงานของ Stellar OpenXDR
ไอเดียของ Stellar จะทำหน้าที่เป็นผู้รวบรวมข้อมูลต่างๆเข้าด้วยกัน วิเคราะห์ตีความถึงบริบทของพฤติกรรม กิจกรรม โดยข้อมูลเหล่านี้ได้มาจาก Agent ที่ผู้ใช้ติดตั้งในเครื่องต่างๆ เมื่อพบกับภัยคุกคามแล้ว ระบบอาจจะดำเนินการให้ท่านอัตโนมัติโดย AI หรือปฏิบัติตาม Playbook ที่ท่านได้สร้างเอาไว้จากความสนใจพิเศษ โดยท่านสามารถเลือก Template ของ Playbook ที่ Stellar เตรียมไว้ให้หลายร้อยรายการ เพื่อปรับปรุงต่อโดยไม่ต้องเริ่มใหม่
Stellar รองรับการใช้งานได้ทั้งในรูปแบบของ On-premise และ Cloud โดยโซลูชันมาพร้อมกับความสามารถพื้นฐานหลายด้าน เช่น NDR (Network Detection and Response), XDR (Extended Detection and Response), SIEM และ SOAR แต่ด้วยแนวคิดที่เปิดกว้าง หากภายในองค์กรของท่านมีโซลูชันการป้องกันเดิม ท่านสามารถนำ Stellar XDR เชื่อมต่อกับระบบเหล่านั้นได้ ทุกยี่ห้อ ทุกชนิด ตามคอนเซปต์ของ ‘OpenXDR’ ที่เปิดกว้างนั่นเอง
ทีมงาน VRCOMM มีความยินดีเป็นอย่างยิ่ง ที่จะให้ข้อมูลเพิ่มเติมเกี่ยวกับ Stellar Cyber openXDR หรือนำผลิตภัณฑ์เข้าไปทดสอบ ตั้งแต่การให้คำปรึกษา ออกแบบ และดูแลหลังการติดตั้ง สนใจติดต่อทีมงาน VRcomm ได้ที่ Tel : 02-116-6800, 02-125-7062 Email : thiravuth@vrcomm.net
