ไขข้อข้องใจ XDR คืออะไร?

หลายท่านคงเคยได้ยินคำว่า XDR มาระยะหนึ่งแล้วใช่ไหมครับ ประเด็นก็คือฟังไปฟังมาเริ่มจะสับสนกับชื่อเรียกที่ชวนงงทั้ง EDR, NDR และ MDR ยิ่งกว่านั้นพอเริ่มเข้าใจความหมายก็ยังดูพัวพันกับ SIEM และ SOAR กันอีก สรุปแล้วคือยังไงกันแน่ บทความนี้เราจะขอสรุปเนื้อหามาให้ติดตามกันครับว่าแท้จริงแล้ว XDR คืออะไรและแตกต่างจากคำย่อข้างต้นอย่างไร อีกมุมหนึ่งก็คือสิ่งที่ Vendor คุยว่าตัวเองมี XDR นั้นใช่หรือไม่ ครบหรือยัง

XDR และเครือญาติ EDR

EDR ย่อมาจากคำว่า Endpoint Detection ans Response ซึ่งโดยไอเดียแล้วก็คือการมุ่งเน้นการตรวจจับและตอบสนองภัยคุกคามที่อยู่ใน Endpoint เมื่อคลาวด์มาถึงทุกสิ่งทุกอย่างก็เริ่มเปลี่ยนไปที่นำไปสู่ความซับซ้อนมากมาย ที่ Endpoint ไม่ใช่เพียงแค่เครื่อง Physical อีกต่อไปแต่ยกระดับไปครอบคลุมคลาวด์ ซึ่งทำให้ปี 2018 Palo Alto Networks ได้แนะนำให้รู้จักกับ XDR ที่ย่อมาจาก Extended Detection and Response ซึ่งก็คือการต่อยอดมาจาก EDR แต่การรับข้อมูลครอบคลุมกว้างกว่า โดยการ์เนอร์ได้นิยามไว้ว่า XDR เป็นแพลตฟอร์มสำหรับตรวจจับเหตุการณ์ด้านความมั่นคงปลอดภัยและภัยคุกคามพร้อมทำการตอบสนอง จากการรวบรวมและวิเคราะห์ข้อมูลของผลิตภัณฑ์และโซลูชันด้านความมั่นคงปลอดภัยที่หลากหลาย

สงครามแย่งชิงพื้นที่ตลาด

ด้วยความที่ XDR นั้นเป็นเรื่องใหม่ที่ยังกำกวมพอสมควรทำให้ Vendor ที่ถนัดในด้านต่างๆ ก็พยายามโฆษณาว่าตนเป็นส่วนหนึ่งของตลาด XDR โดยอันดับแรกควรพิจารณากันถึงคุณสมบัติในการรับข้อมูลของ XDR กันเสียก่อนที่ครอบคลุมการรับข้อมูลหลายส่วนทั้ง Endpoint, Network, Cloud, Server, Email และอื่นๆ ซึ่งมีข้อสังเกตจาก Allie Mellen ผู้เชี่ยวชาญของ Forrester ชี้ว่าหากองค์กรต้องการวัดว่า Vendor ที่คุยว่าตนนำเสนอ XDR คำถามแรกคือมีโซลูชัน EDR มาก่อนหรือไม่หากไม่มีก็มีแนวโน้มที่จะไม่ใช่ อย่างไรก็ดีแม้ Vendor รายนั้นจะผสม EDR เข้ามาหนึ่งรายการได้ก็ไม่อาจพูดได้ว่าตนเป็น XDR แล้ว

และด้วยความที่ตลาดของ Security นั้นมีสินค้าอย่างหลากหลาย ก็ยังมี Vendor หลายเจ้าที่อ้างว่าผลิตภัณฑ์ของตนได้ให้คุณประโยชน์เช่นเดียวกับ XDR คือค้นหาและตอบสนองภัยคุกคามได้อย่างอัตโนมัติ พร้อมมีความสามารถทำ Integration ร่วมกับโซลูชันอื่นๆ แต่หากเจาะลึกไปแล้วกลับเป็นแค่ผลิตภัณฑ์ที่สามารถทำงานร่วมกับ SIEM ได้

XDR มีกี่ประเภท

Forrester ยังได้ทำการแยกย่อยประเภทของ XDR ลงไปว่าอันที่จริงแล้วสามารถจัดได้ 2 แบบใหญ่ๆคือ

1.) Native XDR 

Vendor ขนาดใหญ่อาจมีโซลูชันด้าน Security ที่ครอบคลุมหลายพื้นผิวการโจมตีเช่น Email Security, Endpoint Security, Firewall และ Cloud ทำให้สร้างความได้เปรียบก็คือ XDR ของตนสามารถครอบคลุมได้เกือบทั้งหมด บริหารจัดการง่ายด้วยโซลูชันหนึ่งเดียว แต่ข้อเสียก็คืออาจสร้างการผูกขาด

2.) Hybrid XDR

เมื่อ Vendor รายเล็กมิอาจตอบสนองทุกส่วนได้ สิ่งที่แก้ปัญหาก็คือการสร้างความร่วมมือระหว่างโซลูชัน 3rd Party ข้อดีคือองค์กรสามารถเลือกผลิตภัณฑ์ที่โดดเด่นในแต่ละเรื่องมารวมกัน แต่ข้อควรระวังคือการทำให้แน่ใจว่าทำงานร่วมกันได้จริง โดยคุณ Mellen ได้ให้คำแนะนำว่าบาง Vendor อาจจะทำ Plugin มาพร้อมใช้จากหน้าร้านค้าของตน แต่ระวังคำเชิญชวนหอมหวนที่คุยว่าเป็น Plug&Play ซึ่งแท้ที่จริงเป็นเพียง API ที่อาจไม่ได้มีคู่มือแนะนำการใช้งานมาให้

อย่างไรก็ตามในทางปฏิบัติจริงกลับกลายเป็นว่า Vendor เจ้าใหญ่ที่แม้จะตอบโจทย์ได้ทุกโซลูชันก็ยังเปิดโอกาสให้ลูกค้าสามารถนำ XDR ไปใช้งานร่วมกับ 3rd party ได้ หรือ Vendor ในรูปแบบของ Ecosystem ที่ทำเองได้ไม่หมดแต่เปิดการทำงานร่วมกับผลิตภัณฑ์อื่นได้เป็นอย่างดี

XDR vs SIEM vs SOAR

เมื่อพิจารณาความหมายของ XDR แล้วยังทำให้เกิดข้อสงสัยต่อไปอีก ในมุมนี้ขออธิบาย Timeline ของแต่ละเทคโนโลยีควบคู่กัน

SIEM เกิดขึ้นมานานแล้วราวปี 2005 โดยเริ่มแรก SIEM พูดถึงเรื่องการรวบรวม Log จาก Application, Endpoint และ Network Device เข้าด้วยกัน แม้จะมีข้อมูลและอีเวนต์ด้าน Security ทั้งหมดแต่กลับขาดเรื่อง Incident Response และ Visualize พร้อมกับไม่สามารถตอบโจทย์การโจมตีที่ซับซ้อนได้เพราะยังขาดข้อมูลจาก Antivirus, IPS, Firewall และอื่นๆ ด้วยเหตุนี้เอง SIEM รุ่นใหม่ๆจึงเริ่มเพิ่มความสามารถของ Big Data, Real-time Analysis, Machine Learning และการวิเคราะห์เชิงพฤติกรรมเข้ามาด้วยการสร้าง Based-line อย่างไรก็ดีแม้จะดูเก่งขึ้นจนสามารถลดเวลาการตรวจพบพฤติกรรมผิดปกติ จึงลดระยะเวลาที่ระบบถูกแทรกแซง แต่ท้ายที่สุดแล้ว ทีม SOC ก็ยังคงถูกกระหน่ำด้วยการแจ้งเตือนที่ซ้ำซ้อนและไม่แม่นยำ รวมถึงยังขาดความสามารถในการตอบสนอง incident อัตโนมัติ

ปี 2015 SOAR (Security Orchestration, Automate and Response) เริ่มถือกำเนิดขึ้นพร้อมความความหวังในการเพิ่มศักยภาพของ SIEM โดยแน่นอนว่าสามารถรับข้อมูลได้มากมายพร้อมตอบสนองอย่างอัตโนมัติต่อเหตุการณ์นั้นๆ แต่หัวใจสำคัญของเรื่องก็คือการผสมผสานความรู้จากคนเพื่อสร้างเป็น playbook ว่าจะปฏิบัติอย่างไรหากเกิดเหตุการณ์ต่างๆ มาถึงตรงนี้ความพยายามแย่งชิงพื้นที่ของตลาดโดยผู้ให้บริการ SIEM นั้นก็แข่งกันเพิ่มความสามารถของ SOAR เพื่อให้กลายเป็นโซลูชัน Standalone ที่จบงานได้ แต่สถานการณ์ก็ยังติดขัดตรงที่ข้อจำกัดของข้อมูลเฉพาะในผลิตภัณฑ์แต่ละ Vendor ทำให้ผลลัพธ์ยังไม่แม่นยำมากนัก

สิ่งที่ XDR ยังขาดจาก SIEM คือความสามารถของLog management, Retention และ Compliance ที่ XDR ทำแทนไม่ได้ ดังนั้น XDR ควรจะมีคุณสมบัติทำงานร่วมกับ SIEM ได้เช่นกัน ซึ่งตรงกับความเห็นของ IBM ในมุมของ SOAR มีคุณสมบัติใกล้เคียงกันแต่จุดชี้ขาดก็คือ XDR สามารถตอบสนองเหตุการณ์ได้โดยไม่ต้องอาศัย playbook แต่จัดการ incident ได้ด้วยตัวเอง เป็นความสามารถที่ถูก Vendor ใส่มาแล้วจึงดูเจาะจงมากกว่า SOAR

กล่าวคือ SIEM, SOAR และ XDR มีจุดยืนที่ต่างกันตามสภาพของการใช้งาน ไม่อาจกล่าวได้ว่าใครจะแทนกัน แต่ XDR ยังเป็นคำใหม่ที่ต้องจับตากันต่อไปว่าเมื่อเข้าสู่สมดุลย์แล้วจะเป็นอย่างไร

ประโยชน์ของ XDR

ก่อนที่ XDR จะมาถึงข้อมูลจากเครื่องด้าน Security ยังไม่สามารถบูรณาการให้เกิดประโยชน์ร่วมกันได้ ทำให้ทีม SOC ต้องทำการสืบสวนสาเหตุเองเมื่อได้รับ Alert ต่างๆ ประเด็นคือเสียเวลามากมายเพราะต้องนำข้อมูลในโดเมนต่างๆมาวิเคราะห์ร่วมกันเอง หนำซ้ำแม้มี SIEM ทีมงานก็ยังได้รับ Alert มหาศาลแถมยังไม่แม่นยำเสียด้วย 

โดย XDR ได้ถูกออกแบบมาให้สามารถบูรณาการข้อมูลต่างๆได้ง่าย พร้อมตอบสนองเหตุการณ์ได้อย่างอัตโนมัติ ทำงานได้เร็ว ซึ่ง XDR มักมาพร้อมกับเครื่องมือที่ช่วยตรวจจับภัยคุกคามได้แบบเรียลไทม์ ช่วยค้นหาภัยคุกคามข้ามโดเมนได้ รวมถึงการตอบสนองว่าจะหยุดยั้งเหตุการณ์ได้อย่างไร ตัวอย่างเช่นในสถานการณ์ที่เหยื่อรับมัลแวร์ผ่านมาทางอีเมลอันตราย ตัว XDR ควรจะสามารถทราบได้ว่าเกิดอะไรขึ้นที่ Endpoint 

เมื่อทราบเช่นนี้แล้วท่านก็สามารถแยกแยะของจาก Vendor ต่างๆได้แล้วว่า XDR ที่ฟังมาเป็นอย่างไร เหมาะกับสภาพแวดล้อมเดิมของท่านหรือไม่ และองค์กรมีเป้าหมายอันสมควรที่ต้องนำ XDR มาใช้หรือไม่อย่างไร ถ้าลงทุนไปแล้วจะได้รับประโยชน์อะไร อีกทั้งอาจกล่าวได้ว่า XDR ยังถือว่าเป็นคำใหม่หนึ่งด้าน Security ที่ยังไม่จบ ท่านจึงควรวางแผนอย่างรัดกุม

ที่มา : 

1. https://www.techtarget.com/searchsecurity/feature/From-EDR-to-XDR-Inside-extended-detection-and-response
2. https://www.techtarget.com/searchsecurity/feature/The-differences-between-open-XDR-vs-native-XDR
3. https://www.techtarget.com/searchsecurity/feature/Experts-debate-XDR-market-maturity-and-outlook
4. https://www.techtarget.com/searchsecurity/tip/SIEM-vs-SOAR-vs-XDR-Evaluate-the-differences
5. https://securityintelligence.com/posts/what-is-extended-detection-response/
6. https://www.darkreading.com/crowdstrike/xdr-what-it-is-what-it-isn-t
7. https://www.techtalkthai.com/trend-micro-xdr-introduction-by-yip-in-tsoi/#:~:text=Gartner%20%E0%B9%84%E0%B8%94%E0%B9%89%E0%B9%83%E0%B8%AB%E0%B9%89%E0%B8%99%E0%B8%B4%E0%B8%A2%E0%B8%B2%E0%B8%A1%E0%B8%81%E0%B8%B1%E0%B8%9A,%E0%B8%A2%E0%B8%AD%E0%B8%94%E0%B8%A1%E0%B8%B2%E0%B8%88%E0%B8%B2%E0%B8%81%20Endpoint%20Detection