เลือก Solution Incident Response อย่างไรให้เหมาะกับองค์กร

    ปัจจุบันการเสริมมาตรการการปกป้องระบบโดยเพิ่มมาตรการการเฝ้าระวังด้วยสินค้ากลุ่ม Incident Response อย่าง EDR , XDR , SIEM , SOAR เข้ามาช่วยให้ระบบมีขีดความสามารถในการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์ ได้ง่ายมากขึ้น โดยวันนี้ทาง Avery IT Tech จะมาแยกความสามารถของแต่ละกลุ่มของสินค้าแล้วความเหมาะสมว่าใคร องค์กรไหนเหมาะสมกับสินค้าอะไรก่อนและหลัง

    แน่นอน สินค้ากลุ่มแรก SIEM อยู่ในท้องตลาดมานานในการบริหารจัดข้อมูลจราจรหรือความปลอดภัยในเครือข่ายจากส่วนกลางการลงทุนหรือเลือกซื้อสินค้ากลุ่มนี้นั้น ต้องบอกว่าการมี SIEM ไม่ได้ช่วยบริหารจัดการด้าน Incident Response มากนักเพียงแต่เป็นการรวบรวมข้อมูลแล้วนำมาแสดงผลที่ส่วนกลาง อาจจะต้องพึ่งพาความสามารถของผู้ดูแลระบบ ในการนั่งวิเคราะห์มากกว่า และต้องอาศัยข้อมูลจากระบบอื่นๆเช่น Firewall , Endpoint เพื่อมาวิเคราะห์เพิ่มเติมดังนั้น หากองค์กรยังมี Tool ด้านการรักษาความปลอดภัยไม่ครบก็ทำให้ข้อมูลที่ส่งมาที่ SIEM ไม่เพียงพอนั้นเอง ไม่ใช่ว่า SIEM ไม่ดีนะ แต่ต้องมีข้อมูลให้ครบถึงจะช่วยให้การบริหารจัดการทำได้ง่ายและสะดวกขึ้น

ข้อดี

• บริหารจัดการข้อมูลภาพรวมได้จากส่วนกลาง
• เก็บรวบรวมข้อมูลอย่างมหาศาลจากระบบ และ ทำให้สอดคล้องกับกฎหมายที่ต้องเก็บข้อมูลจราจร 90 วันด้วย
• มีระบบช่วยวิเคราะห์ข้อมูลให้อัตโนมัติจากข้อมูลที่รวบรวมมา

ข้อเสีย

• ข้อมูลที่ส่งมาที่ระบบต้องได้ข้อมูลที่ครบจากทุกระบบถึงจะสามารถวิเคราะห์ได้อย่างมีประสิทธิภาพ
• ต้องพึ่งพาผู้ดูแลในการทำความเข้าใจข้อมูลจากการสรุปผลและตัดสินใจต่อในการทำ Response ของแต่ละเหตุการณ์ที่เกิดขึ้นหรือมีการประสานงานต่อในแต่ละเหตุการณ์
• ใช้งบประมาณค่อนข้างสูงในการลงทุน เพราะต้องอ้างอิงกับจำนวน Event ที่รับมาวิเคราะห์ด้วย

    องค์กรที่เหมาะคือองค์กรที่มีความพร้อมในด้านอุปกรณ์รักษาความปลอดภัยครบแล้วอย่าง Firewall , Endpoint , Proxy เป็นต้นที่จะสามารถส่งข้อมูลมาบริหารจัดการจากส่วนกลางได้ และมีคนที่ถูกมอบหมายให้ดูแลระบบนี้โดยตรงพร้อมที่จะทำความเข้าใจและดูแลกำหนดมาตการด้านความปลอดภัย 3-5 คนเป็นอย่างน้อยในการช่วยดูแลและเฝ้าระวัง และยังเหมาะกับองค์กรที่กำลังมองหาอุปกรณ์ที่ต้องเก็บข้อมูลเครือข่ายที่มากกว่า 90 วันอีกด้วย

กลุ่มสินค้าที่ 2 EDR , XDR

    สินค้ากลุ่มนี้ EDR ต่อยอดการพัฒนามาจาก EPP หรือ Endpoint Protection นั้นเอง แต่เพิ่มขีดความสามารถด้านการทำ Detection & Response เข้าไปทำให้สามารถปกป้องและเฝ้าระวังภัยคุกคามทางไซเบอร์ได้ในเวลาเดียวกัน หลักการทำงานของระบบสินค้ากลุ่มนี้นั้นต้องติดตั้ง Agent เพื่อทำการตรวจสอบ File , Process , Registry หรือพฤติกรรมต่างๆที่เกิดขึ้นบนเครื่องที่ทำการติดตั้ง Agent ลงไปนั้นเอง

ข้อดี

• ปกป้องและเฝ้าระวังภัยคุกคามได้ตามเครื่องที่ติดตั้งอย่างทันที
• มีระบบวิเคราะห์พฤติกรรมที่มีความเสี่ยงให้อัตโนมัติทำให้ตัดสินใจได้ง่ายในการตัดสินใจ
• เวลามีภัยคุกคามเกิดขึ้นในระบบที่ติดตั้ง Agent ผู้ดูแลสามารถทำการเชื่อมต่อได้อย่างทันทีจากระบบบริหารจัดการเพื่อหยุดภัยคุกคามที่เกิดขึ้นหรือนำเครื่องนั้นออกจากระบบเพื่อลดความเสี่ยง

ข้อเสีย

• ต้องทำการติดตั้งระบบ Agent ซึ่งแน่นอน บางองค์กรเครื่องที่ใช้งานอาจจะมีประสิทธิภาพไม่เพียงพอต่อการติดตั้ง Agent หลายตัวเพื่อตรวจสอบภัยคุกคาม เพราะบางระบบของ EDR ต้องการประสิทธิภาพของเครื่องที่สูงพอสมควร
• ราคาสินค้าในกรณีที่ต้องเปรียบเทียบกับระบบ Antivirus แบบเดิมที่เป็น Signature ราคาค่อนข้างต่างกัน

     องค์กรที่เหมาะคือองค์กรที่ ต้องการเปลี่ยนระบบ Antivirus แบบเดิมเพื่อต่อยอดการเฝ้าระวังทั้งการปกป้องและตรวจสอบเครื่องที่ติดตั้ง Agent อยู่ตลอดเวลา และเป็นขั้นเริ่มต้นขององค์กรที่มีผู้ใช้งานไม่มากคุ้มค่าต่อการลงทุนมากกว่าการลงทุนใน SIEM หรือ SOAR ตั้งแต่ต้น ดังนั้นองค์กร SME , Start-Up ก็เหมาะสมเป็นอย่างมาก แต่สำหรับองค์กรขนาดกลางและใหญ่นั้น ต้องคำนวณค่าใช้จ่ายให้เหมาะสมในการมีอุปกรณ์รักษาความปลอดภัยที่มากนั้นการใช้เพียง Antivirus ที่มีประสิทธิภาพ และต่อยอดด้วย SIEM หรือ SOAR อาจจะเหมาะสมมากกว่า

     แล้ว XDR คืออะไร คือการต่อยอดให้ระบบ EDR สามารถทำงานคล้ายกับ SIEM ได้มากขึ้น โดยเชื่อมต่อวิเคราะห์ข้อมูลจาก Network ได้ด้วยทำให้การรวบรวมข้อมูลจากหลายระบบ แต่ยังไม่สามารถมาทดแทน SIEM ได้เนื่องจากข้อมูลที่รับมาทำการเก็บนั้นสนใจเฉพาะที่เป็นการเก็บเพื่อปกป้องภัยคุกคามทางไซเบอร์เท่านั้น แต่ไม่ได้รวมถึงการเก็บการใช้งานทั่วไปที่เป็นความสามารถหลักของ SIEM นั้นเอง ถ้าระบบ XDR มีการพัฒนามากว่านี้ในการรองรับการเชื่อมโยงหรือรับข้อมูลจากอุปกรณ์ความปลอดภัยได้มากขึ้น ถือ ว่าจะเป็น Tool อีก 1 ตัวที่จำเป็นต้องมีในการเสริมทัพด้าน Incident Response ที่องค์กรทุกองค์กรต้องมีเลยก็ว่าได้เพราะ Endpoint , Network , Cloud จำเป็นต้องเฝ้าระวังพร้อมกันทั้งหมดนั้นเอง

กลุ่มสินค้าที่ 3 SOAR

    สินค้ากลุ่มนี้ถือเป็น The Best ด้านการทำ Automate & Response ต้องบอกแบบนี้ว่าการบริหารจัดการหลังจากที่พบภัยคุกคามเกิดขึ้นในระบบนั้นถ้าองค์กรหรือหน่วยงานมีบุคลากรที่มีความเชียวชาญอยู่แล้วก็หายห่วง แต่ถ้าองค์กรไหนมีบุคลากรน้อย และ ขาดความเชี่ยวชาญแน่นอนต้องรีบหา Tool อย่าง SOAR มาเพื่อจัดการกระบวนการตอบสนองต่อภัยคุกคามอย่างมีขั้นตอนและแบบแผนอย่างชัดเจน เพราะการนำ Tool อย่าง SOAR เข้ามานั้นการทำงานข้อง SOAR คือเข้ามาจัดการลำดับขั้นตอนของอุปกรณ์ความปลอดภัยในองค์กรและประสานงานเข้ากับบุคคลอย่างอัตโนมัติ แต่ ทั้งนี้ทั้งนั้น ผู้ดูแลหรือผู้จัดการขั้นตอนนั้นต้องมีการเขียนสิ่งที่เรียกว่า Playbook หรือ Runbook ของอุปกรณ์ในเครือข่ายที่มีให้สอดคล้องกับภัยคุกคามที่จะเกิดขึ้นก่อน และระบบของ SOAR จะจัดการตามขั้นตอนที่ได้กำหนดไว้ให้แล้วตามรูปแบบทันที

ข้อดี

• การจัดการกับภัยคุกคามอย่างอัตโนมัติ
• ลดปัญหากรณีมีคนดูแลที่น้อยหรือมีการเข้าออกของบุคลากรที่ดูแลระบบบ่อยๆ
• ลดปัญหาความรู้ความเข้าใจในการอ่านหรือตอบสนองต่อภัยคุกคามของผู้ดูแลระบบแต่ละคนมีความรู้ที่ต่างกัน

ข้อเสีย

• คล้ายๆข้อเสียของ SIEM ซึ่งสินค้ากลุ่ม SOAR นั้นต้องพึ่งพาและจัดการข้อมูลจากหลายแหล่งเช่น ได้รับข้อมูลจาก SIEM , Firewall และ Endpoint Protection เพื่อสั่งการหรือจัดทำ Playbook
• ความยากในการจัดการของ Playbook และ Runbook ต้องอาศัยผู้เชี่ยวชาญในการเข้าบริหารจัดการนโยบาย

     องค์กรที่เหมาะคือองค์กรที่มีความพร้อมในด้านอุปกรณ์รักษาความปลอดภัยครบแล้วอย่าง Firewall , Endpoint , Proxy และ SIEM เป็นต้น เพื่อที่จะสามารถส่งข้อมูลมาบริหารจัดการความเสี่ยงและกำหนดมาตรการด้านความปลอดภัยให้สอดคล้องกับ Playbook ที่มี ดังนั้นต้องเป็นองค์กรที่มีศูนย์ SOC , CSIRT เป็นต้น หรือองค์กรระดับมหาชน ที่มีเครือข่ายสาขามากมายและต้องการเสริมความแข็งแกร่งให้กับธุรกิจในด้านความมั่นคงปลอดภัยทางไซเบอร์ให้มากขึ้น

     สรูป 3 กลุ่มสินค้ามีจุดแตกต่างที่บางทีก็ ต่างกันแค่นิดเดียวเองจริงๆ แต่พออ่านดูรายละเอียดการทำงานของเค้าแล้ว มันมีจุดที่จำเป็นต้องใช้ ของแต่ละ Tool อยู่เช่น Siem ก็ใช้วิเคราะห์ข้อมูลจากส่วนกลาง ทั้งภัยคุกคามและเก็บข้อมูลตามพรบ , EDR ก็เฝ้าระวังเครื่องในกรณีเกิดเหตุการณ์ภัยคุกคามที่ระบบของ Endpoint ที่ติดตั้งสามารถตอบสนองได้ทันที เหมือนเรานำคนติดเชื่อโควิดไปเข้าห้องความดันลบนั้นเอง , SOAR ระบบบริหารจัดการความเสี่ยงโดยรวมแบบอัตโนมัติโดยมีการกำหนดขั้นตอนเงื่อนไขไว้เป็นตัวอย่างสามารถนำมาประยุกต์ใช้ในองค์กรได้จาก Playbook ที่มี