ช่วงสองทศวรรษที่ผ่านมา ต้องยอมรับว่าเครือข่ายขององค์กรต่าง ๆ มีการเปลี่ยนแปลงครั้งใหญ่เกิดขึ้น
บวกกับข้อมูลและแอปพลิเคชันที่มีอยู่ทั่วโลก ครอบคลุมโครงสร้างพื้นฐานที่ซับซ้อนแบบมัลติคลาวด์ (multi-cloud) การติดตั้งใช้งานเองภายในองค์กร (on-premises) และแบบเดิมที่ผู้ใช้เข้าถึงได้ด้วยมือถือและการรีโมท
ในความเป็นจริงแล้วทีมรักษาความปลอดภัยไม่สามารถมองเห็นภัยคุกคามที่อาจเกิดขึ้นได้ทั้งหมดและทำให้ระบบตกอยู่ในความเสี่ยง ซึ่งโดยปกติแล้วทีมรักษาความปลอดภัยใช้เครื่องมือรักษาความปลอดภัยเฉลี่ยประมาณ 50-100
หากไม่สามารถมองเห็นทุกกระบวนการในการรับส่งข้อมูลเครือข่ายและกิจกรรมของผู้ใช้ตั้งแต่ต้นจนจบ ไม่ควบคุมการใช้งานโดยใช้เครื่องมือที่หลากหลาย จะส่งผลเสียต่อประสิทธิภาพของทีมรักษาความปลอดภัย
เพราะการที่ติดตามการแจ้งเตือนความปลอดภัยมากกว่า 1,000 รายการทุกวันเพื่อที่หวังว่าจะไม่มีอะไรพลาดนั้น ผู้โจมตีก็ยังคงพบวิธีใช้ประโยชน์จากช่องว่างในการป้องกันได้อยู่เรื่อย ๆ
แน่นอนว่า อุตสาหกรรมการรักษาความปลอดภัยได้ตระหนักถึงปัญหาเหล่านี้ที่กำลังคุกคามองค์กรจึงได้นำเสนอโซลูชัน XDR การตรวจจับเหตุการณ์ภัยคุกคามและการตอบสนอง (Extended Detection and Response)
โดย XDR ทำให้สามารถมองเห็นภาพรวมทั้งหมดที่มาจากแพลตฟอร์มความปลอดภัยหลายแพลตฟอร์ม เพื่อช่วยวิเคราะห์แหล่งข้อมูลหลายแหล่งในเชิงลึก เพิ่มการตรวจจับที่แม่นยำยิ่งขึ้นและมีสัญญาณรบกวนน้อยลง ส่งผลให้ตอบสนองต่อภัยคุกคามด้านความปลอดภัยได้เร็วและมีประสิทธิภาพยิ่งขึ้น
กลไกการตรวจจับและป้องกันประกอบด้วย การเรียนรู้ของเครื่องและการวิเคราะห์พฤติกรรม การวิเคราะห์บริบท การค้นหาภัยคุกคาม การบูรณาการ SOAR และฟังก์ชันอื่น ๆ
อย่างไรก็ตาม ก็ยังคงมีประเด็นเรื่องการมองเห็นที่จำกัดในการรับส่งข้อมูลบนคลาวด์และแอปพลิเคชัน แม้ว่าโซลูชัน XDR ที่ซับซ้อนที่สุดก็ยังพบว่าเป็นเรื่องยากในการมองเห็นและทำความเข้าใจการรับส่งข้อมูลแบบไฮบริดนี้
การสูญเสียการมองเห็นและการควบคุมทั่วทั้งคลาวด์และ on-premises อาจส่งผลให้เกิดช่องโหว่ในระบบรักษาความปลอดภัยอย่างหลีกเลี่ยงไม่ได้
นอกจากนี้ ยังไม่มีทรัพยากรที่มากเพียงพอในการตรวจสอบการแจ้งเตือน XDR ทั้งหมด กล่าวคือ ทีมรักษาความปลอดภัยได้รับการแจ้งเตือนนับพันรายการต่อวัน
ลองนึกภาพง่าย ๆ ว่าหาก XDR นำเข้าข้อมูลจากหลายแหล่งและถ้าไม่มีระบบอัตโนมัติในการจัดลำดับความสำคัญของข้อมูล ทีมรักษาความปลอดภัยอาจเสียสมาธิและทำให้เกิดช่องโหว่มากขึ้นเพราะไม่มีทรัพยากรเพียงพอที่จะตรวจสอบการแจ้งเตือนทุกครั้งโดยละเอียดได้
แล้ว SASE คืออนาคตของ XDR หรือไม่? SASE เป็นโมเดลที่รวมเทคโนโลยีเครือข่ายและความปลอดภัยเข้าไว้ในแพลตฟอร์มเดียวบนคลาวด์ เพื่อใช้รับส่งข้อมูลทั้งหมดซึ่งง่ายในการตรวจจับและตอบสนองและยังช่วยวิเคราะห์ในเชิงลึกสำหรับการแจ้งเตือนความปลอดภัยที่ถูกตัดการเชื่อมต่อจากแหล่งข้อมูลหลายแห่งทำให้สามารถระบุภัยคุกคามที่สอดคล้องกันได้มากขึ้น และนี่คือจุดที่คลาวด์ SASE สามารถขยายขีดความสามารถของ XDR ได้
โดยทีมรักษาความปลอดภัยจะได้รับการมองเห็นที่จำเป็นในการรับส่งข้อมูลเครือข่ายและอุปกรณ์ปลายทางทั้งหมด ผ่านเครือข่ายคลาวด์เพียงเครือข่ายเดียวเพื่อตรวจจับภัยคุกคามที่อาจเกิดขึ้น โดยจะบันทึกเหตุการณ์ด้านความปลอดภัยทั้งหมดใน Data Lake เดียวผ่านการเชื่อมโยงและจัดลำดับความสำคัญของภัยคุกคามได้อย่างง่ายดาย และนำเสนอในแดชบอร์ดการจัดการเดียว
ในทางกลับกัน ทีมรักษาความปลอดภัยสามารถดู ทำความเข้าใจ และดำเนินการกับภัยคุกคามเหล่านี้เพื่อขจัดความเสี่ยงต่อองค์กรได้เลย โดยไม่จำเป็นต้องมีการปรับมาตรฐานเพื่อให้เข้าใจข้อมูลความปลอดภัยซึ่งนำไปสู่การตรวจจับภัยคุกคามที่แม่นยำยิ่งขึ้นและการแก้ไขที่รวดเร็วยิ่งขึ้น นี่คือวิธีที่ระบบคลาวด์ SASE ทำให้ XDR มีประสิทธิภาพมากขึ้นและลดความเสี่ยงด้านความปลอดภัย
สุดท้าย ผู้มีอำนาจขององค์กรควรพิจารณาถึงความของสำคัญของการใช้เครื่องมือต่าง ๆ อย่างรอบคอบเพื่อให้ระบบขององค์กรปลอดภัยและได้รับประโยชน์สูงสุดครับ
———————————————————
ที่มา : Bangkokbiznews / วันที่เผยแพร่ 15 เม.ย. 2567
Link : https://www.bangkokbiznews.com/blogs/tech/gadget/1122328