WORLD7

BANPU2024

smed PIONEER 720x100

 

 

MTI 720x100

 

YipInTsoiนครินทร์4

VMware Carbon Black ตัวตึงเรื่องความปลอดภัยไอที

โดย นายนครินทร์ เทียนประทีป

ผู้จัดการฝ่ายการตลาด 

บริษัท ยิบอินซอย จำกัด

 

          หลากหลายภัยคุกคามด้านไอที อาทิ ไวรัสโทรจัน แรนซั่มแวร์ การโจมตีแบบดีดอส การปลอมตัวเข้าสู่ระบบ ตลอดจนการใช้ API ที่แฝงตัวเข้ามาในระบบเป็นเวลายาวนานเพื่อรอเวลาโจมตี ยังคงมุ่งก่อกวนการทำงานของระบบให้ผิดปกติ ไม่ว่าจะทำแค่เอาสนุก จงใจขโมยข้อมูลสำคัญ สร้างความสูญเสียทางการเงิน หรือชื่อเสียงองค์กรเสียหาย ตลอดจนประเด็นทางกฎหมายและข้อบังคับเรื่องมาตรฐานความปลอดภัยต่างๆ 

          แนวทางการรับมือที่องค์กรพึงมี คือ การสร้างเครื่องมือวัดผลเชิงรุกในการป้องกัน ตรวจจับ และกำจัดภัยคุกคามที่รวดเร็ว (Proactive Measurement) การฝึกอบรมและเพิ่มความรู้ความเข้าใจในองค์กรให้เท่าทันภัยร้ายไซเบอร์ (Training and Awareness) และการกำหนดแผนการรับมือสถานการณ์การถูกคุกคามเพื่อการบริหารจัดการได้อย่างเป็นระบบ (Incident Response and Planning) 

          72 ชั่วโมงแรกจึงเป็นจังหวะวัดใจว่า องค์กรจะสามารถรับมือและเอาตัวรอดต่อสถานการณ์ภัยคุกความที่เกิดขึ้นได้ดีแค่ไหน

 

          จาก Signature-Based สู่ Behavior Based Detection

          การหมั่นสำรวจอยู่เสมอว่า ระบบความปลอดภัยไอทีที่ใช้อยู่ ณ ปัจจุบัน (Legacy) เพียงพอต่อการป้องกันภัยคุกคามหรือไม่? นับเป็นความจำเป็นอย่างยิ่ง โดยเฉพาะเมื่อมีการคาดการณ์แรนซั่มแวร์ที่เกิดขึ้นมากถึง 74,000 ครั้งในทุกๆ 11 วินาที ซึ่งระบบความปลอดภัยจะทำหน้าที่ตรวจจับและป้องกันอย่างประสิทธิภาพก็ต่อเมื่อมีฐานข้อมูลซึ่งรวบรวมเหตุการณ์การโจมตี ไว้ใช้ในการวิเคราะห์ที่เรียกว่า Signature-Based แบบยิ่งมากยิ่งดี 

          หลายองค์กรที่ต้องเผชิญกับปัญหาแรนซั่มแวร์บ่อยๆ ก็เพราะมี Signature-Based ไม่มากพอ อีกทั้งมักเป็นการโจมตีจากช่องโหว่ที่ไม่เคยเกิดขึ้นมาก่อน (Zero Day Attack) คนที่โดนแรนซั่มแวร์เป็นคนแรกๆ จึงไม่มีซิกเนเจอร์ให้ตรวจจับ เทคโนโลยีการตรวจจับภัยคุกคามยุคใหม่ จึงหันมาหาเทคนิคของการวิเคราะห์พฤติกรรมที่ดูผิดปกติแล้วทำการป้องปรามไว้ก่อนที่เรียกว่า Behavior Based Detection แทน

          นอกจากนี้ องค์กรควรนิยามความเสี่ยงในองค์กรให้ชัดเจนเพื่อปิดจุดอ่อน การไฮยีนระบบงานให้ปลอดภัยโดยระบุการอนุญาต/ไม่อนุญาตการใช้งานแอปพลิเคชันแต่ละประเภท การประเมินกฎระเบียบรวมถึงปรับแต่งมาตรการความปลอดภัยอย่างเหมาะสม การเพิ่มขีดความสามารถในการเข้าใจพฤติกรรมของภัยคุกคาม (Visibility) เพื่อค้นเจอจุดอ่อนให้มากที่สุด รวมถึงการทำ Passive Scan ซึ่งช่วยให้ประสิทธิภาพการทำงานของระบบไม่ให้ตกระหว่างการสแกนหาไวรัสหรือตรวจจับภัยคุกคามใดๆ 

          การกำหนดป้องปราม ตรวจจับ และตอบโต้ผ่านการทำ Threat Research เพื่อรวบรวมข้อมูลพฤติกรรมภัยคุกคาม หรือมัลแวร์ต่างๆ การใช้เทคโนโลยีแมชชีนเลิร์นนิ่งมาช่วยวิเคราะห์พฤติกรรมผิดปกติได้อย่างแม่นยำ การทำ IDS หรือ Visibility ให้ครอบคลุมไปถึงระบบเครือข่าย รวมถึงพิจารณาสิ่งที่ไม่ใช่มัลแวร์แต่มีผลกระทบต่อประสิทธิภาพการทำงานของระบบ (Non Malware) เช่น สคริปต์ หรือรีจิสตรี้ต่างๆ 

 

          กลยุทธ์การป้องกันแบบ Deep Detection 

          เพราะแฮคเกอร์ยุคใหม่ฉลาดนำ Generative AI มาใช้ในการเจาะช่องโหว่ของระบบ การเขียน Exploits เพื่อหาประโยชน์และสร้างความเสียหายให้กับองค์กรโดยเฉพาะด้านการเงิน การพัฒนา Payload Malware ที่พัฒนาและส่งเข้ามาได้เร็วใน 3 วัน บางครั้งเร็วภายใน 3 ชั่วโมง ซึ่งสามารถโจมตีได้มากและส่งผลกระทบเป็นวงกว้าง หรือ ใช้เอไอเขียนจดหมายลวง (Phishing) 

          เราจึงเห็นว่ามีโซลูชันที่ออกแบบมาเพื่อบูรณาการความปลอดภัยเชิงลึกให้ครอบคลุมทุกมิติมากขึ้น เช่น EDR (Endpoint Detection and Response) มุ่งเน้นการตรวจจับเครื่องเอนด์พอยต์ BYOD ต่างๆ XDR (Extended Detection and Response) ซึ่งขยายผลการตรวจจับไปถึงระบบเครือข่าย IDS (Intrusion Detection System) การติดตามสัญญาณจราจรเพื่อวิเคราะห์รูปแบบพฤติกรรมที่ต้องสงสัยว่าเป็นการบุกรุก MDR (Managed Detection and Response) บริการตรวจจับการโจมตีตลอด 24 ชั่วโมง SOAR (Security Orchestration and Automation Response) ซึ่งสามารถป้องกันและตอบสนองต่อการโจมตีทางไซเบอร์โดยอัตโนมัติ SIEM (Security Information and Event Management) การรบรวมข้อมูลและองค์ความรู้ด้านความปลอดภัยต่างๆ ในการจัดการกับ Log หรือ Event ต่างๆ รวมถึงการทำ Forensic ในการถอดบทเรียนภัยคุกคามและเพิ่มการแจ้งเตือนให้รวดเร็วและแม่นยำมากขึ้น 

          หลายองค์กรจึงเลือกที่จะผสมผสานให้เกิดการจัดการภัยคุกคามเชิงลึกมากขึ้น โดยเฉพาะ SIEM ซึ่งเป็นระบบใหญ่และใหม่ในการเอาเอไอเข้าไปเสริมเรื่องการจัดการองค์ความรู้และคำแนะนำต่างๆ เช่น Chat GPT การแตกตัวของ EDR ไปเป็น Behavior EDR เพื่อจับพฤติกรรมที่มีความเสี่ยงสูงมาก และสามารถเก็บ Log ได้สูงสุดถึง 30 วัน การนำเรื่อง Audit & Remediation มาช่วยเพิ่มมุมมองในการจัดการความปลอดภัย นอกจากนี้ บางองค์กรอาจใช้วิธีจ้างบริการ MDR เสริมจากผู้ชำนาญการมาช่วยสอดส่องและโต้ตอบภัยคุกคามที่รวดเร็ว

          การต่อยอดระบบป้องกันภัยคุกคามด้วย XDR เป็นตัวอย่างหนึ่งที่ผสมผสานการป้องกันเครื่องเอนด์พอยต์ที่อยู่ในกระบวนการปฏิบัติงาน (EDR) กับระบบเครือข่าย (NDR) เพื่อเฝ้าจับตาเครื่องต้นทางที่เป็นปัญหาและการเคลื่อนไหวที่ต้องสงสัยเป็นการตอบโจทย์ภัยคุกคามที่ไม่ได้เข้ามาทำร้ายเครื่องคอมพิวเตอร์ในทันที แต่เลือกเข้ามาก่อนหลายเดือนและเคลื่อนไหวระหว่างเครื่องหนึ่งไปยังอีกเครื่องหนึ่ง (Lateral Movement) จนกระทั่งพบเครื่องที่ได้สิทธิการใช้งานสูง (Privilege Escalation) ในการเข้าถึงระบบหรือข้อมูลสำคัญขององค์กรแล้วขโมยออกไป

 

          ครบครันความปลอดภัยจาก VMWare Carbon Black

          ประโยชน์ที่องค์กรได้จาก VMWare Carbon Black ได้แก่ Expand Visibility การมองให้เห็นสินทรัพย์ด้านไอทีในทุกสภาพแวดล้อมการใช้งาน การทำ Deep Detection ที่ลงลึกในการป้องกัน ทำได้เร็ว และตอบสนองฉับไว Slowing Down Attacker การจับตาจับตัวผู้บุกรุกได้เร็วหลังถูกโจมตี Scalability สามารถย่อ-ขยายระบบการป้องกันตามการใช้งานที่มากขึ้นหรือลดลง และ Cloud Native & Hybrid Support สนับสนุนความปลอดภัยในระดับที่เป็นทั้งคลาวด์เนทีฟและไฮบริด โดยวีเอ็มแวร์ มีฐานข้อมูลในการเก็บข้อมูลภัยคุกคามจากทั่วโลก (Threat Data) ซึ่งทำให้เอเจนต์ไม่จำเป็นต้องโหลดข้อมูลมาเก็บให้หนักระบบ แต่สามารถเชื่อมโยงเข้าสู่แหล่งรวมข้อมูลภัยคุกคามกลาง (Cloud-Delivered Threat Intelligence) ที่เรียกว่า VMWare Contexa 

          ข้อมูลที่ผู้ดูแลความปลอดภัยไอทีมักห่วง คือ ข้อมูลหลักของการดำเนินธุรกิจ (Host Data) ซึ่งส่วนใหญ่คือข้อมูลในดาต้าเซ็นเตอร์ ตามด้วยข้อมูลที่วิ่งไปตามระบบเครือข่ายและคลาวด์ ข้อมูลที่มาจากไอโอทีหรือระบบปฏิบัติงาน ข้อมูลผู้ใช้งาน และข้อมูลที่เกิดจากการใช้งานแอปพลิเคชันต่างๆ ยิ่งในปัจจุบันที่แอปพลิเคชัน 1 ตัว ประกอบไปด้วยไมโครเซอร์วิสหลายชุด มีการพัฒนา DepOps ต่างๆ เกิดขึ้นมากมาย การควบคุมการทำงานได้จากจุดเดียว โดยเอเจนต์เดียวและด้วยแพลตฟอร์มเดียวช่วยให้การบริหารจัดการง่ายขึ้น ซึ่ง Carbon Black สามารถรองรับความปลอดภัยในการใช้งานเครื่องเอนด์พอยต์ เวิร์คโหลด คลาวด์คอนเทนเนอร์ต่างๆ โดยควบรวมมาไว้ครบจบในแพลตฟอร์มเดียว เพื่อให้ใช้งานง่าย เร็ว และชาญฉลาดมากขึ้น รวมถึงยังขจัดปัญหาการตั้งค่าที่ผิดพลาด (Misconfiguration) จากการใช้งานระบบความปลอดภัยจากเวนเดอร์หลายราย จนเป็นเหตุให้เกิดรอยรั่วให้แฮคเกอร์เจาะทะลุเข้ามาได้อีกด้วย 

 

 

11091

Click Donate Support Web 

Banner GPF720x100 PX

CKPower 720x100

MTL 720x100

kbank 720x100 66

kasat 720x100TOA 720x100

QIC 720x100

วิริยะ 720x100

AXA 720 x100

aia 720 x100

BKI 720 x 100

PTG 720x100

iconmotor

apm

 

 

Facebook

5 ข่าวฮอตนิวส์!