คำว่า EDR ย่อมาจากคำว่า Endpoint Detection and Response แปลตรงตัวคือ จุดสุดท้ายการตรวจจับและการตอบโต้
ในทางการรักษาความปลอดภัยไซเบอร์แล้ว เทคโนโลยี EDR มีความสำคัญและจำเป็นต่อทุกๆ หน่วยงานหรือองค์กร เนื่องจากจะช่วยในการป้องกันการเจาะข้อมูล หรือโจมตีองค์กรจากนักเจาะระบบหรือ Hacker นั้นเอง แบบตามเวลาจริงหรือ Real time
การทำงานอย่างมีประสิทธิภาพของ EDR จำเป็นต้องทำหน้าที่ 4 อย่างนี้อย่างดี คือ
1. การรวบรวมข้อมูลการโจมตีทางไซเบอร์และข้อมูลอื่นๆที่อาจจะเกี่ยวข้อง โดยใช้คำสั่งขนาดเล็ก Agents ที่ทำงานอยู่ภายใต้อุปกรณ์แต่ละอย่างเช่น คอมพิวเตอร์ หรือมือถือ เป็นต้น
ตัวอย่างของข้อมูลที่รวบรวม ได้แก่
กระบวนการงานอะไรที่กำลังดำเนินอยู่
เครือข่ายอะไรที่ทำการเชื่อมต่อ
ข้อมูลอะไรที่กำลังเปิดดู เป็นต้น
2. การตรวจจับและตอบโต้ภัยคุกคาม หรือ (Threat)
เป็นการทำงานแบบ Real time หรือตามเวลาจริงและตอบโต้กลับแบบอัตโนมัติ คือผู้ใช้งานไม่จำเป็นต้องมาตอบโต้เอง
ซึ่งรูปแบบของ Threat หรือภัยคุกคามก็จะมี 2 แบบคือ แบบที่เรารู้จักแล้ว กับแบบใหม่ที่เราไม่รู็จักมาก่อน
ซึ่งทีม รปภ.ไซเบอร์ จะสามารถรวบรวมสิ่งที่เรียกว่า สิ่งบอกเหตุการโจมตีของภัยคุกคาม หรือ IOC ย่อมาจากคำว่า Indicator of compromise ถ้าเราตรวจจับและเจอมาแล้ว ก็จะนำไปสร้างสิ่งที่เรียกว่าลายนิ้วมือของการโจมตี หรือ Finger prints ไว้ในระบบเพื่อป้องกันการโจมตีของมัลแวร์หรือ Ransomware นั้นได้ เปรียบเทียบกับคนที่เคยมาเที่ยวผับ แล้วทะเลาะหรือสร้างความเดือดร้อนให้คนที่มาเที่ยวปกติ จนท.รปภ.ก็จะจดจำใบหน้า และพฤติกรรมของคนดังกล่าว และนำไปพรินแปะไว้ที่หน้าประตูทางเข้าผับเป็นต้น ถ้าคนนั้นมาเที่ยวอีกก็จะถูกตรวจจับและห้ามเข้าข้างใน เป็นต้น ซึ่งรูปแบบนี้ก็จะคล้ายกับการทำงานของโปรแกรม Antivirus ที่เรารู้จักและคุ้นเคยกันอยู่แล้ว
แต่ทางกลับกันถ้าคนร้ายหรือคนไม่ดีที่เราไม่เคยรู้จักมาก่อนแฝงตัวเข้ามา เราจะรับมืออย่างไร
การพัฒนา Advance Logarithms ในการตรวจสอบพฤติกรรมของภัยคุกคามที่เราไม่เคยพบมาก่อน ยกตัวอย่างการซ่อนมัลแวร์ ในโปรแกรมสำนักงานของ Microsoft Office ในชุดคำสั่งขนาดเล็กอย่างแมโคร
ของโปรแกรม Ms Excel เป็นต้น ซึ่งเทคโนโลยี EDR จะสามารถสังเกตุเห็นความผิดปกติของมัลแวร์ที่จะแก้ไขหรือตบตาระบบรักษาความปลอดภัย ดังนั้น EDR ก็จะช่วยป้องกันมัลแวร์ไม่ให้ทำงานต่อไปได้
3. การทำหน้าที่สืบสวนพิสูจน์หลักฐานและการตามล่าภัยคุกคาม (Forensic investigation and threat hunting ) ไม่มีใครรับประกันได้ว่า EDR จะสามารถปิดกั้นภัยคุกคามได้ 100% ดังนั้นการรวบรวมข้อมูลและพฤติกรรมของมัลแวร์ที่เกิดขึ้นใหม่ๆ ก็จะช่วยทำให้กระบวนการทำ Fingers print ของภัยคุกคามมีมากขึ้นในอนาคต รวมทั้งทีมนักล่าภัยคุกคามจะสามารถใช้ข้อมูลในการตามล่าภัยคุกคามได้ แบบการป้องกันเชิงรูก (Proactive defense) ทั้งนี้จะต้องใช้การตรวจสอบและตอบโต้แบบ manual หรือไม่ใช่แบบอัตโนมัตินั้นเอง
4.การสนธิและการรายงาน (Integrate and report) สำหรับนักวิเคราะห์ระบบการรักษาความปลอดภัยแล้ว การสนธิข้อมูลเข้าด้วยกันเพื่อหาความเชื่อมโยงเป็นสิ่งจำเป็นในขั้นตอนการทำงานของกระบวนการดังกล่าว เพราะปกติพวกเขาจะได้รับการแจ้งเตือนภัยคุกคาม (Alerts) จำนวนมาก พวกเขาจำเป็นต้องเลือกและคัดแยกในส่วนที่เกี่ยวข้องและจำเป็น ซึ่ง EDR ควรจะมีส่วนช่วยในการทำงานของพวกเขา ในการจัดเรียงลำดับและความเร่งด่วนของภัยคุกคาม
สำหรับทีมรักษาความปลอดภัยไซเบอร์แล้ว EDR จำเป็นต้องผนวกหรือทำงานร่วมกับระบบหรือเครื่องมือเดิมขององค์กรที่มีอยู่แล้ว โดยการส่งรายงานภัยคุกคามไปที่ SIEM ,XDR หรือ SOAR เป็นต้น
สิ่งที่ดีที่สุดของ EDR คือการช่วยให้องค์กรหรือหน่วยงานมีเทคโนโลยีในการตรวจจับภัยคุกคามที่ยืดหยุ่นและอ่อนตัวที่สุด ในการประกันผลสำเร็จของการโจมตีต่อระบบแล้ว จะสามารถตรวจจับภักคุกคาม กู้คืนระบบให้กลับมาใช้งานได้ตามปกติในเวลาที่เร็วที่สุด
ไม่มีความคิดเห็น:
แสดงความคิดเห็น