MDR กับการตามล่าภัยคุกคาม และความปลอดภัยไซเบอร์ (จบ)

คุณค่าของการล่าภัยคุกคาม : ประโยชน์ของการตรวจจับและตอบสนองต่อภัยคุกคามขั้นสูงที่มีการจัดการ (Managed Detection and Response หรือที่เรียกกันว่า MDR) ไม่สามารถแสดงให้เห็นถึงคุณค่าของการตามล่าภัยคุกคามได้มากพอ 

การขาดแคลนทักษะด้านความปลอดภัยในโลกไซเบอร์ยังคงส่งผลกระทบอย่างหนักในอุตสาหกรรมนี้ โดยเฉพาะอย่างยิ่งในบริษัทขนาดเล็กถึงขนาดกลาง (SME) ที่ขาดงบประมาณและการนำเสนอผลประโยชน์สวัสดิการเพื่อดึงดูดพนักงานที่มีความสามารถระดับสูงให้อยู่กับองค์กร 

แต่สำหรับ MDR สามารถช่วยให้องค์กรต่างๆ หลีกเลี่ยงปัญหาเหล่านี้ได้โดยให้องค์กรสามารถเข้าถึงนักล่าภัยคุกคาม “Navy SEAL” แห่งโลกความปลอดภัยทางไซเบอร์

นักล่าภัยคุกคามถือได้ว่าเป็นผู้เชี่ยวชาญที่มีประสบการณ์และผ่านการทดสอบการต่อสู้มาแล้วหลากหลายรูปแบบ โดยอาศัยการใช้ความคิดสร้างสรรค์และความอยากรู้อยากเห็นเพื่อกำจัดภัยคุกคามเชิงรุก 

โดยทดสอบสมมติฐานที่ว่า คอมพิวเตอร์หรือ เอไอ อาจมีปัญหาในการรับรู้ในช่วงแรก นักล่าภัยคุกคามจะช่วยทำลายอุปสรรคได้เลย เนื่องจากการสืบสวนสามารถนำไปสู่การรวบรวมข้อมูลจากทีมที่อยู่นอกขอบเขตการรักษาความปลอดภัยแบบเดิม เช่น ฝ่ายทรัพยากรบุคคล ฝ่ายกฎหมาย หรือฝ่ายขาย

วิธีตรวจสอบ ผู้เข้าแข่งขัน MDR ปัจจุบันนี้ MDR ถือว่าเป็นตลาดขนาดใหญ่และมีขนาดใหญ่ขึ้นเรื่อยๆ ด้วยตัวเลือกที่มีอยู่มากมายนั้น องค์กรควรจะตัดสินใจอย่างไรว่าผู้ให้บริการ MDR รายใดเหมาะกับองค์กรของตน ก่อนจะตัดสินใจเลือกซื้อ ผมอยากแนะนำให้

1. ตั้งคำถามกับองค์กร ก่อนว่ามีเหตุผลที่สมเหตุสมผลมั้ยว่า ทำไมองค์กรถึงพิจารณาเลือก MDR และมันสามารถช่วยชี้แจงสิ่งต่างๆ ที่เกิดขึ้น รวมทั้งตรวจพบปัญหาที่องค์กรกำลังพยายามแก้ไขหรือกำลังตอบสนองต่อปัญหาได้อย่างรวดเร็วและทั่วถึง 

องค์กรกำลังมองหาความชัดเจนให้มากขึ้นเกี่ยวกับสาเหตุของช่องโหว่หรือไม่? องค์กรรู้สึกมั่นใจเมื่อแก้ไขภัยคุกคามหรือไม่ หรือองค์กรจะได้รับประโยชน์จากการมีบุคคลที่สามยืนยันว่าภัยคุกคามนั้นถูกกำจัดแล้วหรือไม่

2. ต้องทราบประวัติของผู้จำหน่าย MDR และเปรียบเทียบดูจุดเด่นจุดด้อยของแต่ราย เพื่อให้องค์กรสามารถเลือกรายที่ตรงกับสิ่งที่ต้องการมากที่สุด เพราะแต่ละรายอาจมีความเชี่ยวชาญเฉพาะด้านที่แตกต่างกันออกไป

3. ต้องรู้วิธีการใช้งาน ศึกษาเคสการใช้งานก่อนที่จะเลือก MDR และขอให้ผู้จำหน่ายสาธิต โดยการชี้แจงถึงความท้าทายและจุดอ่อนด้านความปลอดภัยและอธิบายว่าพวกเขาจะแก้ไขกรณีการใช้งานเหล่านี้หรือเหตุการณ์ด้านความปลอดภัยอื่นๆ ที่เป็นข่าวได้อย่างไร การซักถามจะช่วยให้องค์กรสามารถทราบได้ว่าผู้ให้บริการ MDR รายใดที่เหมาะกับความต้องการของตน

4. ประเมินศักยภาพทางไซเบอร์ขององค์กร เพื่อกำหนดความต้องการ MDR หากพนักงานทางไซเบอร์ของบริษัทลาออกและรับพนักงานใหม่บ่อยๆ การหมุนเวียนนั้นจะสร้างการหยุดชะงักและผู้โจมตีสามารถใช้ประโยชน์ได้ ซึ่งอาจไม่อยู่ในความสนใจของบริษัทที่จะมีการใช้งานแบบ MDR ที่มีการว่าจ้างองค์กรภายนอกอย่างเต็มที่ แต่การเข้าถึงของนักล่าภัยคุกคามเมื่อบุคลากรภายในลาออกสามารถรักษาความต่อเนื่องที่อาจขาดหายไปได้ 

แต่ถ้าองค์กรประสบปัญหาในการติดตามการแจ้งเตือนประจำวันหรือแม้แต่การค้นหาแหล่งที่มาของภัยคุกคาม การพิจารณาเลือก MDR ที่เกี่ยวข้องจะเป็นประโยชน์สูงสุด

สุดท้ายถ้าเราจะเลือกบริษัทที่เข้ามาดูแลด้าน Managed Detection and Response (MDR) ก็ต้องพิจารณาถึงศักยภาพของบริษัทนั้นๆ รวมไปถึงการร่วมมือกันระหว่างบริษัทนั้นๆ กับบริษัทอื่นๆ ด้วย เพราะในบางครั้งมีเคสบางเคสเกิดขึ้น ศักยภาพของบริษัทนั้นไม่สามารถทำได้ การที่มี back up กับพาร์ทเนอร์ระดับโลกที่สามารถมาช่วยเหลือเราในกรณีที่เกิดเหตุฉุกเฉินได้ อันนี้ถือเป็นเรื่องที่สำคัญที่สุด

บริษัทนั้นๆ จำเป็นต้องมีประสบการณ์มาก ซึ่งในประเทศไทยยังมีบริษัทเหล่านี้น้อยอยู่ ฉะนั้นการร่วมมือเป็นเรื่องที่เราต้องเผชิญในอนาคตสำหรับการทำ MDR ครับ