เหตุใดทีม SOC ชั้นนำจึงหันมาใช้ Network Detection and Response

เหตุใดทีม SOC ชั้นนำจึงหันมาใช้ Network Detection and Response

ทีม Security Operations Center (SOC) ชั้นนำทั่วโลกเริ่มหันมาใช้เทคโนโลยี Network Detection and Response (NDR) เนื่องจากเครื่องมือรักษาความปลอดภัยแบบเดิมที่เน้นป้องกันที่จุดปลาย (endpoint-based) หรือการตรวจจับโดยใช้ลายเซ็น (signature-based detection) ไม่สามารถติดตามและจับการแทรกแซงของผู้โจมตีที่มีความซับซ้อนได้ ผู้โจมตีรุ่นใหม่ใช้เทคนิค "living-off-the-land" โดยอาศัยเครื่องมือที่มีอยู่ในระบบที่ถูกใช้อย่างถูกต้อง ทำให้กิจกรรมโจมตีสามารถแอบแฝงและหลีกเลี่ยงการตรวจจับได้เป็นเวลานาน บางครั้งอาจนานถึงประมาณ 21 วัน หรือมากกว่านั้นก่อนที่จะถูกพบเห็น

NDR จึงเกิดขึ้นเพื่อเติมเต็มความบกพร่องของมาตรการรักษาความปลอดภัยแบบเดิม โดยระบบนี้จะรวบรวมและวิเคราะห์ข้อมูลจราจรเครือข่าย (raw network traffic) และ metadata ในระดับลึก โดยใช้วิธีการตรวจจับที่หลากหลายรวมถึงการวิเคราะห์พฤติกรรม (behavioral analytics) โมเดล machine learning เพื่อตั้งค่าเกณฑ์เบื้องต้น และการวิเคราะห์โปรโตคอล (protocol analysis) ที่ตรวจสอบ "การสนทนาระหว่างระบบ" นอกจากนี้ ยังมีการรวมข้อมูลข่าวกรองด้านภัยคุกคามเข้ามาช่วยให้การตรวจจับแม่นยำยิ่งขึ้น ระบบ NDR ยังเสนอความสามารถในการตอบสนองต่อเหตุการณ์ผ่านการให้ข้อมูลทางนิรนัย (forensic data) สำหรับการสืบสวนและดำเนินการตอบโต้อย่างอัตโนมัติหรือมีแนวทางแนะนำ ที่ช่วยจำกัดความเสียหายได้อย่างรวดเร็ว

ปัจจัยหลักที่ทำให้ทีม SOC หันมาใช้ NDR มีหลายด้าน ได้แก่:

1. การขยายตัวและความหลากหลายของพื้นผิวการโจมตี
ระบบไอทีสมัยใหม่มีโครงสร้างที่ซับซ้อนมากขึ้นจากการนำคลาวด์ คอนเทนเนอร์ IoT และรูปแบบการทำงานแบบไฮบริดเข้ามาใช้ ทำให้เกิดความท้าทายในการมองเห็นการเคลื่อนไหวภายในเครือข่ายที่เครื่องมือรักษาความปลอดภัยแบบเดิมพลาดได้

2. วิวัฒนาการด้านเทคโนโลยีที่เน้นความเป็นส่วนตัว
เมื่อปริมาณการเข้ารหัสข้อมูลบนเว็บเกือบทั้งหมดเกินกว่า 90% วิธีการตรวจสอบแบบดั้งเดิมจึงไม่มีประสิทธิภาพ ในขณะที่ NDR สามารถวิเคราะห์รูปแบบการจราจรในเครือข่ายที่เข้ารหัสผ่านการตรวจจับ metadata เช่น JA3/JA3S fingerprinting โดยไม่ต้องละเมิดการเข้ารหัส

3. การเพิ่มขึ้นของอุปกรณ์ที่เชื่อมต่อ
จำนวนอุปกรณ์ที่เชื่อมต่อกันอย่างต่อเนื่องทำให้การใช้โซลูชันที่ต้องติดตั้ง agent ในทุกอุปกรณ์เป็นเรื่องที่ซับซ้อน NDR ใช้วิธีการแบบปราศจาก agent ที่สามารถมองเห็นกิจกรรมของอุปกรณ์ที่ไม่สามารถติดตั้งซอฟต์แวร์ป้องกันได้

4. แนวทางการตรวจจับที่เสริมจุดแข็งหลายชั้น
ในขณะที่ EDR (Endpoint Detection and Response) โฟกัสที่การตรวจสอบกิจกรรมในระดับกระบวนการของจุดปลาย NDR จะจับข้อมูลการสื่อสารในเครือข่ายที่ผู้โจมตีไม่สามารถแก้ไขหรือลบได้ง่าย ทำให้ข้อมูลเครือข่ายเป็น "หลักฐานจริง" (ground truth) ที่สำคัญสำหรับการสืบสวน

5. วิกฤตด้านบุคลากรในวงการรักษาความปลอดภัยไซเบอร์
ปัจจุบันมีความขาดแคลนบุคลากรด้านความปลอดภัยมากกว่า 3.5 ล้านตำแหน่ง ทีม SOC จึงต้องพึ่งพาเทคโนโลยีที่ช่วยลดภาระงานตรวจจับภัยคุกคามและให้บริบทข้อมูลที่ครบถ้วนเพื่อให้สามารถตอบโต้ได้อย่างรวดเร็ว

6. การเปลี่ยนแปลงด้านกฎระเบียบและมาตรฐาน
กฎระเบียบที่เข้มงวด เช่น GDPR, CCPA, NIS2 และแนวทางเฉพาะในอุตสาหกรรม ต่างกำหนดให้มีการแจ้งเหตุการณ์ภายในเวลาที่สั้นและนำเสนอหลักฐานการสืบสวนที่ละเอียด NDR จึงมีคุณสมบัติในการบันทึกข้อมูลการตรวจสอบ (audit trails) ที่ครบถ้วนและเป็นที่นิยมในวงการเพื่อให้สามารถปฏิบัติตามข้อกำหนดเหล่านี้

การเปลี่ยนแปลงในสภาพแวดล้อมด้านไอทีและจำนวนของภัยคุกคามที่มีความซับซ้อน ส่งผลให้ทีม SOC ต้องปรับปรุงแนวทางการตรวจจับภัยจากเครื่องมือแบบดั้งเดิมไปสู่ระบบ NDR ที่มีความรอบด้านและสามารถตรวจจับกิจกรรมที่แอบแฝงในเครือข่ายได้อย่างละเอียด เทคโนโลยีนี้ไม่เพียงแต่เพิ่มความสามารถในการตรวจจับภัยคุกคามเท่านั้น แต่ยังช่วยให้ทีมรักษาความปลอดภัยสามารถตอบสนองและจัดการกับเหตุการณ์ได้อย่างมีประสิทธิภาพในยุคที่ข้อมูลเครือข่ายกลายเป็นหลักฐานที่สำคัญในการต่อสู้กับการโจมตีไซเบอร์

ที่มา: Thehackernews

ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ

Mobile: 09 5368 5898

Tel: 0 2093 1625

Fax: 0 2093 1675 (Auto)

Email: sales@ampomicrosys.com