IT & gadget

MDR กับการตามล่าภัยคุกคาม และความปลอดภัยไซเบอร์ (1)

By นักรบ เนียมนามธรรม05 ธ.ค. 2022 เวลา 11:00 น.
MDR กับการตามล่าภัยคุกคาม และความปลอดภัยไซเบอร์ (1)

ไม่ว่าจะเป็นการค้นหาและตอบสนองต่อภัยคุกคามโดยอัตโนมัติหรือแนะนำลูกค้าเกี่ยวกับวิธีการตอบสนอง ซึ่งตามหลักการแล้ว ควรทำการวิเคราะห์ขั้นสูงพร้อมกับการจัดการความปลอดภัย และระบบอัตโนมัติ

หากเราเปรียบเทียบอาชีพนักผจญเพลิงต้องเผชิญกับความยากลำบากในการดับไฟ แต่อย่างน้อยเมื่อไฟดับเรียบร้อยก็ได้เวลาที่พวกเข้ากลับบ้านไปพักได้

แต่เราแทบจะไม่สามารถพูดแบบเดียวกันนี้ได้เลยสำหรับทีม Security Operations Center : SOC) จำนวนมากในปัจจุบัน ในช่วงระหว่างการแพร่ระบาดของโควิด 19 ทั่วโลกและสงครามที่ยูเครนที่กำลังยังมีอย่างต่อเนื่อง 

ไปจนถึงการเพิ่มขึ้นของอุปกรณ์ต่างๆ (endpoint) และข้อมูลที่โฮสต์บนคลาวด์ (cloud-hosted data) อย่างไม่เคยมีมาก่อน ผู้เชี่ยวชาญด้านความปลอดภัยกำลังต่อสู้กับภัยคุกคามที่ซับซ้อนมากขึ้นอย่างไม่หยุดหย่อนซึ่งท้าทายคำตอบง่ายๆ ทันทีที่ภัยคุกคามหนึ่งหมดไป ภัยคุกคามอื่นก็เข้ามาแทนที่

Lapsus$, Conti, Black Basta, DarkSide และแก๊งค้าแรนซั่มแวร์อื่นๆ อีกหลาย 10 รายได้ค้นพบวิธีที่จะใช้ประโยชน์จากความซับซ้อนนี้ โดยใช้อุปกรณ์ปลายทางเป็นประตูหลังสำหรับการเคลื่อนย้ายผ่านเครือข่ายและดักจับข้อมูลต่างๆ

ผลที่ได้คือตอนนี้ SOC ได้รับการแจ้งเตือนความปลอดภัยหลายร้อยรายการทุกวัน ซึ่งเป็นสถานการณ์ที่หนักหนาบุคลากรที่มีอยู่และทำให้เจ้าหน้าที่มีความเหนื่อยสูงเป็นประวัติการณ์

ตัวอย่างเช่น ฟอร์เรสเตอร์ได้ทำการสำรวจพบว่าทีมรักษาความปลอดภัยใช้เวลามากถึง 600 ชั่วโมงต่อเดือนในการตรวจสอบและแก้ไขภัยคุกคาม ซึ่งเทียบเท่ากับการทำงานเต็มเวลาของพนักงาน 4 คนเลยทีเดียว และจากความเครียดเหล่านี้

หลายองค์กรได้รับความช่วยเหลือจากองค์กรภายนอกเพื่อแก้ไขจุดอ่อนภายใน นี่คือที่มาของการตรวจจับและตอบสนองต่อภัยคุกคามขั้นสูงที่มีการจัดการ (Managed Detection and Response หรือที่เรียกกันว่า MDR) การตามล่าภัยคุกคามและความปลอดภัยทางไซเบอร์ในฐานะบริการ (cybersecurity-as-a-service หรือ CaaS)

การเพิ่มขึ้นของ MDR

MDR คือการจัดการที่องค์กรจ้างองค์กรภายนอกเพื่อให้เข้ามาดูแลความปลอดภัยทางไซเบอร์ไม่ว่าจะเป็นบางส่วนหรือทั้งหมดให้กับผู้จำหน่ายที่สามารถดูแลได้ทั้งความเชี่ยวชาญในการตามล่าภัยคุกคามและฟังก์ชันการตรวจจับและตอบสนองต่อภัยคุกคามขั้นสูงเพิ่มเติม Extended Detection and Response หรือ XDR แต่การผสมผสานที่แปลกใหม่นี้ได้ช่วยประสานความแตกแยกที่มีมานานมากแล้วในตลาดความปลอดภัย

เนื้อหาที่เกี่ยวข้อง

ปัจจุบันผู้ให้บริการได้ขยายการให้บริการออกไปเพื่อรวม XDR และผู้ขายผลิตภัณฑ์ได้หาและนำเสนอประสบการณ์ในการตามล่าภัยคุกคาม

สำหรับ วิธีการแยกวิเคราะห์สำหรับ MDR landscape : โซลูชัน MDR ที่มีประสิทธิภาพจะรวบรวมความเชี่ยวชาญและเครื่องมือที่ตัวย่อแต่ละตัวนำมาไว้ โดยจะให้บริการฟังก์ชันผลิตภัณฑ์ XDR ซึ่งใช้บันทึกเพื่อจัดประเภทและจัดลำดับความสำคัญในการแจ้งเตือน นอกจากนี้ยังควรให้ตัวเลือกการตอบสนองที่แข็งแกร่ง

ไม่ว่าจะเป็นการค้นหาและตอบสนองต่อภัยคุกคามโดยอัตโนมัติหรือแนะนำลูกค้าเกี่ยวกับวิธีการตอบสนอง ซึ่งตามหลักการแล้ว ควรทำการวิเคราะห์ขั้นสูงพร้อมกับการจัดการความปลอดภัย และระบบอัตโนมัติ เพื่อปรับปรุงการดำเนินงานที่น่าเบื่อหรือซ้ำซ้อน สิ่งที่สำคัญที่สุด โซลูชัน MDR ที่มีประสิทธิภาพนั้น ต้องพร้อมใช้งานและนักล่าภัยคุกคามที่มีความเชี่ยวชาญสามารถเข้าถึงได้ทั้นทีโดยสามารถสร้างสมมติฐานตามภัยคุกคามของ Intel เพื่อระบุช่องโหว่ก่อนที่จะกลายเป็นหนี้สินมูลค่าหลายล้านดอลลาร์

สัปดาห์หน้าเราจะมาตามกันต่อในตอนที่ 2 ของ Forrester MDR กับการตามล่าภัยคุกคามและความปลอดภัยทางไซเบอร์ ที่เกี่ยวกับคุณค่าของการล่าภัยคุกคามและการตรวจเช็คก่อนตัดสินใจเลือก MDR กันนะครับ