แนวทางการรับมือที่องค์กรพึงมี คือ การสร้างเครื่องมือวัดผลเชิงรุกในการป้องกัน ตรวจจับ และกำจัดภัยคุกคามที่รวดเร็ว (Proactive Measurement) การฝึกอบรมและเพิ่มความรู้ความเข้าใจในองค์กรให้เท่าทันภัยร้ายไซเบอร์ (Training and Awareness) และการกำหนดแผนการรับมือสถานการณ์การถูกคุกคามเพื่อการบริหารจัดการได้อย่างเป็นระบบ (Incident Response and Planning)
72 ชั่วโมงแรกจึงเป็นจังหวะวัดใจว่า องค์กรจะสามารถรับมือและเอาตัวรอดต่อสถานการณ์ภัยคุกความที่เกิดขึ้นได้ดีแค่ไหน
จาก Signature-Based สู่ Behavior Based Detection
การหมั่นสำรวจอยู่เสมอว่า ระบบความปลอดภัยไอทีที่ใช้อยู่ ณ ปัจจุบัน (Legacy) เพียงพอต่อการป้องกันภัยคุกคามหรือไม่? นับเป็นความจำเป็นอย่างยิ่ง โดยเฉพาะเมื่อมีการคาดการณ์แรนซั่มแวร์ที่เกิดขึ้นมากถึง 74,000 ครั้งในทุก ๆ 11 วินาที ซึ่งระบบความปลอดภัยจะทำหน้าที่ตรวจจับและป้องกันอย่างประสิทธิภาพก็ต่อเมื่อมีฐานข้อมูลซึ่งรวบรวมเหตุการณ์การโจมตี ไว้ใช้ในการวิเคราะห์ที่เรียกว่า Signature-Based แบบยิ่งมากยิ่งดี
หลายองค์กรที่ต้องเผชิญกับปัญหาแรนซั่มแวร์บ่อย ๆ ก็เพราะมี Signature-Based ไม่มากพอ อีกทั้งมักเป็นการโจมตีจากช่องโหว่ที่ไม่เคยเกิดขึ้นมาก่อน (Zero Day Attack) คนที่โดนแรนซั่มแวร์เป็นคนแรก ๆ จึงไม่มีซิกเนเจอร์ให้ตรวจจับ เทคโนโลยีการตรวจจับภัยคุกคามยุคใหม่ จึงหันมาหาเทคนิคของการวิเคราะห์พฤติกรรมที่ดูผิดปกติแล้วทำการป้องปรามไว้ก่อนที่เรียกว่า Behavior Based Detection แทน
นอกจากนี้ องค์กรควรนิยามความเสี่ยงในองค์กรให้ชัดเจนเพื่อปิดจุดอ่อน การไฮยีนระบบงานให้ปลอดภัยโดยระบุการอนุญาต/ไม่อนุญาตการใช้งานแอปพลิเคชันแต่ละประเภท การประเมินกฎระเบียบรวมถึงปรับแต่งมาตรการความปลอดภัยอย่างเหมาะสม การเพิ่มขีดความสามารถในการเข้าใจพฤติกรรมของภัยคุกคาม (Visibility) เพื่อค้นเจอจุดอ่อนให้มากที่สุด รวมถึงการทำ Passive Scan ซึ่งช่วยให้ประสิทธิภาพการทำงานของระบบไม่ให้ตกระหว่างการสแกนหาไวรัสหรือตรวจจับภัยคุกคามใด ๆ
การกำหนดป้องปราม ตรวจจับ และตอบโต้ผ่านการทำ Threat Research เพื่อรวบรวมข้อมูลพฤติกรรมภัยคุกคาม หรือมัลแวร์ต่าง ๆ การใช้เทคโนโลยีแมชชีนเลิร์นนิ่งมาช่วยวิเคราะห์พฤติกรรมผิดปกติได้อย่างแม่นยำ การทำ IDS หรือ Visibility ให้ครอบคลุมไปถึงระบบเครือข่าย รวมถึงพิจารณาสิ่งที่ไม่ใช่มัลแวร์แต่มีผลกระทบต่อประสิทธิภาพการทำงานของระบบ (Non Malware) เช่น สคริปต์ หรือรีจิสตรี้ต่าง ๆ
กลยุทธ์การป้องกันแบบ Deep Detection
เพราะแฮคเกอร์ยุคใหม่ฉลาดนำ Generative AI มาใช้ในการเจาะช่องโหว่ของระบบ การเขียน Exploits เพื่อหาประโยชน์และสร้างความเสียหายให้กับองค์กรโดยเฉพาะด้านการเงิน การพัฒนา Payload Malware ที่พัฒนาและส่งเข้ามาได้เร็วใน 3 วัน บางครั้งเร็วภายใน 3 ชั่วโมง ซึ่งสามารถโจมตีได้มากและส่งผลกระทบเป็นวงกว้าง หรือ ใช้เอไอเขียนจดหมายลวง (Phishing)
เราจึงเห็นว่ามีโซลูชันที่ออกแบบมาเพื่อบูรณาการความปลอดภัยเชิงลึกให้ครอบคลุมทุกมิติมากขึ้น เช่น EDR (Endpoint Detection and Response) มุ่งเน้นการตรวจจับเครื่องเอนด์พอยต์ BYOD ต่าง ๆ XDR (Extended Detection and Response) ซึ่งขยายผลการตรวจจับไปถึงระบบเครือข่าย IDS (Intrusion Detection System) การติดตามสัญญาณจราจรเพื่อวิเคราะห์รูปแบบพฤติกรรมที่ต้องสงสัยว่าเป็นการบุกรุก MDR (Managed Detection and Response) บริการตรวจจับการโจมตีตลอด 24 ชั่วโมง SOAR (Security Orchestration and Automation Response) ซึ่งสามารถป้องกันและตอบสนองต่อการโจมตีทางไซเบอร์โดยอัตโนมัติ SIEM (Security Information and Event Management) การรบรวมข้อมูลและองค์ความรู้ด้านความปลอดภัยต่าง ๆ ในการจัดการกับ Log หรือ Event ต่าง ๆ รวมถึงการทำ Forensic ในการถอดบทเรียนภัยคุกคามและเพิ่มการแจ้งเตือนให้รวดเร็วและแม่นยำมากขึ้น
หลายองค์กรจึงเลือกที่จะผสมผสานให้เกิดการจัดการภัยคุกคามเชิงลึกมากขึ้น โดยเฉพาะ SIEM ซึ่งเป็นระบบใหญ่และใหม่ในการเอาเอไอเข้าไปเสริมเรื่องการจัดการองค์ความรู้และคำแนะนำต่าง ๆ เช่น Chat GPT การแตกตัวของ EDR ไปเป็น Behavior EDR เพื่อจับพฤติกรรมที่มีความเสี่ยงสูงมาก และสามารถเก็บ Log ได้สูงสุดถึง 30 วัน การนำเรื่อง Audit & Remediation มาช่วยเพิ่มมุมมองในการจัดการความปลอดภัย นอกจากนี้ บางองค์กรอาจใช้วิธีจ้างบริการ MDR เสริมจากผู้ชำนาญการมาช่วยสอดส่องและโต้ตอบภัยคุกคามที่รวดเร็ว
การต่อยอดระบบป้องกันภัยคุกคามด้วย XDR เป็นตัวอย่างหนึ่งที่ผสมผสานการป้องกันเครื่องเอนด์พอยต์ที่อยู่ในกระบวนการปฏิบัติงาน (EDR) กับระบบเครือข่าย (NDR) เพื่อเฝ้าจับตาเครื่องต้นทางที่เป็นปัญหาและการเคลื่อนไหวที่ต้องสงสัยเป็นการตอบโจทย์ภัยคุกคามที่ไม่ได้เข้ามาทำร้ายเครื่องคอมพิวเตอร์ในทันที แต่เลือกเข้ามาก่อนหลายเดือนและเคลื่อนไหวระหว่างเครื่องหนึ่งไปยังอีกเครื่องหนึ่ง (Lateral Movement) จนกระทั่งพบเครื่องที่ได้สิทธิการใช้งานสูง (Privilege Escalation) ในการเข้าถึงระบบหรือข้อมูลสำคัญขององค์กรแล้วขโมยออกไป
ครบครันความปลอดภัยจาก VMWare Carbon Black
ประโยชน์ที่องค์กรได้จาก VMWare Carbon Black ได้แก่ Expand Visibility การมองให้เห็นสินทรัพย์ด้านไอทีในทุกสภาพแวดล้อมการใช้งาน การทำ Deep Detection ที่ลงลึกในการป้องกัน ทำได้เร็ว และตอบสนองฉับไว Slowing Down Attacker การจับตาจับตัวผู้บุกรุกได้เร็วหลังถูกโจมตี Scalability สามารถย่อ-ขยายระบบการป้องกันตามการใช้งานที่มากขึ้นหรือลดลง และ Cloud Native & Hybrid Support สนับสนุนความปลอดภัยในระดับที่เป็นทั้งคลาวด์เนทีฟและไฮบริด โดยวีเอ็มแวร์ มีฐานข้อมูลในการเก็บข้อมูลภัยคุกคามจากทั่วโลก (Threat Data) ซึ่งทำให้เอเจนต์ไม่จำเป็นต้องโหลดข้อมูลมาเก็บให้หนักระบบ แต่สามารถเชื่อมโยงเข้าสู่แหล่งรวมข้อมูลภัยคุกคามกลาง (Cloud-Delivered Threat Intelligence) ที่เรียกว่า VMWare Contexa
ข้อมูลที่ผู้ดูแลความปลอดภัยไอทีมักห่วง คือ ข้อมูลหลักของการดำเนินธุรกิจ (Host Data) ซึ่งส่วนใหญ่คือข้อมูลในดาต้าเซ็นเตอร์ ตามด้วยข้อมูลที่วิ่งไปตามระบบเครือข่ายและคลาวด์ ข้อมูลที่มาจากไอโอทีหรือระบบปฏิบัติงาน ข้อมูลผู้ใช้งาน และข้อมูลที่เกิดจากการใช้งานแอปพลิเคชันต่าง ๆ ยิ่งในปัจจุบันที่แอปพลิเคชัน 1 ตัว ประกอบไปด้วยไมโครเซอร์วิสหลายชุด มีการพัฒนา DepOps ต่าง ๆ เกิดขึ้นมากมาย การควบคุมการทำงานได้จากจุดเดียว โดยเอเจนต์เดียวและด้วยแพลตฟอร์มเดียวช่วยให้การบริหารจัดการง่ายขึ้น ซึ่ง Carbon Black สามารถรองรับความปลอดภัยในการใช้งานเครื่องเอนด์พอยต์ เวิร์คโหลด คลาวด์คอนเทนเนอร์ต่าง ๆ โดยควบรวมมาไว้ครบจบในแพลตฟอร์มเดียว เพื่อให้ใช้งานง่าย เร็ว และชาญฉลาดมากขึ้น รวมถึงยังขจัดปัญหาการตั้งค่าที่ผิดพลาด (Misconfiguration) จากการใช้งานระบบความปลอดภัยจากเวนเดอร์หลายราย จนเป็นเหตุให้เกิดรอยรั่วให้แฮคเกอร์เจาะทะลุเข้ามาได้อีกด้วย
**บทความโดย นายนครินทร์ เทียนประทีป ผู้จัดการฝ่ายการตลาด บริษัท ยิบอินซอย จำกัด
ที่มา: มายด์ พีอาร์