Trace Id is missing
ข้ามไปที่เนื้อหาหลัก
Security Insider

CISO Insider: ฉบับที่ 2

ดาวน์โหลด
แชร์
ผู้หญิงกำลังตรวจสอบคลิปบอร์ดในโกดังอุตสาหกรรม

เศรษฐกิจในโลกอาชญากรรมไซเบอร์กำลังกระตุ้นให้เกิดการโจมตีที่ซับซ้อนเพิ่มขึ้นอย่างรวดเร็ว ในฉบับนี้ เราจะรับฟังเรื่องราวจาก CISO เกี่ยวกับสิ่งที่พบเห็นในสมรภูมิรบแนวหน้า

จดหมายจาก Rob

ยินดีต้อนรับสู่ CISO Insider ฉบับที่สอง ผมชื่อ Rob Lefferts เป็นหัวหน้าทีมวิศวกร Microsoft 365 Defender และ Sentinel ครับ ที่ Microsoft Security เรารับฟังและเรียนรู้จากลูกค้าอย่างต่อเนื่องในขณะที่พวกเขาเอาตัวรอดในภูมิทัศน์การรักษาความปลอดภัยที่ซับซ้อนมากขึ้น เราออกแบบ CISO Insider ให้เป็นสื่อกลางในการแบ่งปันคำแนะนำที่เรารวบรวมมาจากเพื่อนร่วมงานของคุณและจากการศึกษาวิจัยในอุตสาหกรรมของเราเอง ในฉบับที่สองนี้ เราจะติดตามผลเกี่ยวกับช่องโหว่ที่พบในฉบับที่ 1 โดยศึกษาอย่างใกล้ชิดเกี่ยวกับการกรรโชกทรัพย์ทางไซเบอร์และแนวทางปฏิบัติที่ผู้นำด้านการรักษาความปลอดภัยใช้เพื่อยับยั้งการโจมตีไปยังอุปกรณ์เครื่องอื่น โดยส่งผลกระทบต่อธุรกิจและทีมรักษาความปลอดภัยให้น้อยที่สุด

ใน ฉบับที่ 1 เราได้กล่าวถึงข้อกังวลหลักสามประการสำหรับ CISO ได้แก่ การปรับตัวให้เข้ากับแนวโน้มด้านภัยคุกคามที่เกิดขึ้นในสภาพแวดล้อมแบบไฮบริดและมัลติคลาวด์ การจัดการภัยคุกคามในห่วงโซ่อุปทาน และการแก้ไขปัญหาการขาดแคลนบุคลากรที่มีความสามารถด้านการรักษาความปลอดภัย ในฉบับนี้ เราจะศึกษาอย่างใกล้ชิดถึงสถานการณ์เลวร้ายที่อาจเกิดขึ้นจากปัจจัยเสี่ยงทางไซเบอร์นี้ และพิจารณาวิธีการที่องค์กรต่างๆ กำลังพัฒนากลยุทธ์ของตนเพื่อคลี่คลายภัยคุกคามที่ทวีความรุนแรงยิ่งขึ้น ก่อนอื่น เราจะศึกษาโปรไฟล์ความเสี่ยงที่เปลี่ยนแปลงของแรนซัมแวร์ และแนวทางปฏิบัติที่ดีที่สุดที่สามารถช่วยป้องกันการละเมิดเหล่านี้และอื่นๆ ที่แพร่กระจายไปทั่วทั้งเครือข่าย ต่อไป เราจะพิจารณาทรัพยากรหลักสองประการที่มีความสำคัญซึ่งไม่เพียงแต่ช่วยป้องกันการละเมิดเท่านั้น แต่ยังตอบสนองได้อย่างรวดเร็วในช่วงเวลาสำคัญตั้งแต่แรกอีกด้วย นั่นคือการตรวจหาและการตอบสนองแบบขยาย (XDR) และระบบอัตโนมัติ ทรัพยากรทั้งคู่ช่วยแก้ไขช่องโหว่ที่เรากล่าวถึงในฉบับที่ 1 ได้แก่ ขอบเขตควาด้านการรักษาความปลอดภัยและการระบุตัวตนแบบขยายของเครือข่ายในปัจจุบันที่กระจายตัวไปตามรูปแบบการทํางานแบบไฮบริดและระบบนิเวศของซัพพลายเออร์ และการขาดแคลนทรัพยากรบุคคลในการติดตามและตอบสนองต่อภัยคุกคามเหล่านั้น

เศรษฐกิจในโลกอาชญากรรมไซเบอร์ทำให้อาชญากรไซเบอร์โดยทั่วไปสามารถเข้าถึงเครื่องมือและระบบอัตโนมัติที่ดีขึ้น เพื่อให้สามารถยกระดับการโจมตีและลดต้นทุนได้ เมื่อรวมกับความคุ้มค่าจากการโจมตีที่ประสบความสำเร็จ  แรนซัมแวร์ จึงมีวิถีการปรับใช้ที่รวดเร็ว (Microsoft Digital Defense Report, 2021) ผู้โจมตีได้ยกระดับความเสี่ยงด้วยการนำรูปแบบการขู่กรรโชกแบบสองชั้นมาใช้ ซึ่งเหยื่อจะถูกขู่กรรโชกเพื่อเรียกค่าไถ่ก่อน แล้วจึงถูกขู่กรรโชกอีกครั้งหากไม่ต้องการให้มีการเผยแพร่ข้อมูลที่ถูกขโมยไป เรายังพบเห็นการโจมตีที่เพิ่มขึ้นซึ่งกำหนดเป้าหมายไปยังแอสเซทเทคโนโลยีด้านการปฏิบัติการเพื่อขัดขวางโครงสร้างพื้นฐานที่สำคัญอีกด้วย CISO แตกต่างกันในเรื่องต้นทุนที่สร้างความเสียหายให้กับธุรกิจ การหยุดชะงักทางธุรกิจ หรือการรั่วไหลของข้อมูล โดยขึ้นอยู่กับอุตสาหกรรมและระดับการเตรียมการ ไม่ว่าจะด้วยวิธีการใดก็ตาม การเตรียมพร้อมถือเป็นกุญแจสำคัญในการจัดการความเสี่ยงทั้งสองด้าน นอกเหนือจากกลยุทธ์ในการบรรเทาผลกระทบแล้ว ความพยายามเชิงป้องกันที่ประสบความสำเร็จ เช่น การรักษาความปลอดภัยอุปกรณ์ปลายทาง การปกป้องข้อมูลประจำตัว และการเข้ารหัสที่รัดกุมขึ้นล้วนถือเป็นสิ่งสำคัญเนื่องจากความถี่และความรุนแรงของการโจมตีเหล่านี้

CISO กำลังคิดหาวิธีจัดการกับความเสี่ยงจากแรนซัมแวร์ในเชิงกลยุทธ์มากขึ้น

ผู้โจมตีด้วยแรนซัมแวร์ต่างมุ่งเป้าโจมตีไปยังแอสเซทที่มีค่าที่สุดของคุณ ซึ่งพวกเขารู้สึกว่าจะสามารถดึงเงินจากคุณได้มากที่สุด ไม่ว่าจะเป็นการหยุดชะงักที่อาจเกิดขึ้นหรือเป็นแอสเซทที่มีค่าที่สุดหากถูกยึดไว้เป็นตัวประกัน หรือเป็นข้อมูลที่ละเอียดอ่อนที่สุดหากมีการเผยแพร่

อุตสาหกรรมจะเป็นตัวกำหนดโปรไฟล์ความเสี่ยงที่สำคัญขององค์กร ในขณะที่ผู้นำด้านการผลิตระบุว่าการหยุดชะงักทางธุรกิจเป็นข้อกังวลอันดับต้นๆ แต่ CISO ด้านบริการค้าปลีกและการเงินจะให้ความสำคัญกับการปกป้องข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่สามารถระบุถึงตัวบุคคลได้ ในขณะที่องค์กรด้านการดูแลสุขภาพเผชิญความเสี่ยงอย่างเท่าเทียมกันในทั้งสองด้าน เพื่อเป็นการตอบสนองในเรื่องดังกล่าว ผู้นำด้านการรักษาความปลอดภัยจึงพยายามเปลี่ยนแปลงโปรไฟล์ความเสี่ยงของตนอย่างต่อเนื่องเพื่อหลีกเลี่ยงการสูญหายและรั่วไหลของข้อมูล ด้วยการเพิ่มความรัดกุมของพารามิเตอร์ การสำรองข้อมูลที่สำคัญ ระบบสำรอง และการเข้ารหัสที่ดีขึ้น

การหยุดชะงักทางธุรกิจกลายเป็นจุดที่ผู้นำหลายคนให้ความสำคัญไปแล้ว เพราะธุรกิจต้องเสียค่าใช้จ่ายแม้ว่าการหยุดชะงักจะเกิดขึ้นเพียงช่วงสั้นๆ ก็ตาม CISO ด้านการดูแลสุขภาพรายหนึ่งบอกผมเมื่อไม่นานนี้ว่าในแง่การปฏิบัติงานแล้ว แรนซัมแวร์แทบไม่แตกต่างจากเหตุการณ์ไฟฟ้าดับครั้งใหญ่เลย แม้ว่าระบบสำรองไฟฟ้าที่เพียงพอจะสามารถช่วยให้กลับมาใช้ไฟฟ้าได้อย่างรวดเร็ว แต่คุณยังคงต้องเผชิญกับเวลาหยุดทำงานที่ขัดขวางการดำเนินธุรกิจ CISO อีกรายกล่าวว่าพวกเขาคำนึงถึงวิธีการที่การหยุดชะงักสามารถส่งผลกระทบในวงกว้างนอกเหนือจากเครือข่ายหลักขององค์กรไปสู่ข้อกังวลด้านการดำเนินงาน เช่น ปัญหาด้านไปป์ไลน์หรือผลกระทบในลำดับรองลงมาจากการที่ซัพพลายเออร์หลักต้องหยุดการให้บริการจากแรนซัมแวร์

กลยุทธ์ในการจัดการการหยุดชะงักมีทั้งระบบสำรองและการแบ่งส่วนระบบเพื่อช่วยลดเวลาหยุดทำงาน ทำให้องค์กรสามารถเปลี่ยนการรับส่งข้อมูลไปยังส่วนอื่นของเครือข่ายได้ในขณะที่ยับยั้งและกู้คืนระบบในส่วนอื่นที่ได้รับผลกระทบ อย่างไรก็ตาม แม้แต่กระบวนการสำรองข้อมูลหรือการกู้คืนระบบจากความเสียหายที่มีประสิทธิภาพที่สุดก็ไม่สามารถแก้ปัญหาภัยคุกคามจากการหยุดชะงักทางธุรกิจหรือการรั่วไหลของข้อมูลได้อย่างสมบูรณ์ อีกด้านหนึ่งของการบรรเทาผลกระทบคือการป้องกัน

เพื่อช่วยปกป้ององค์กรของคุณจากแรนซัมแวร์ เราขอแนะนำให้คุณ:

  • เตรียมพร้อมป้องกันและฟื้นฟู นำวัฒนธรรมภายในตามหลักการ  Zero Trust  มาใช้โดยถือว่ามีการละเมิดเกิดขึ้นแล้ว พร้อมทั้งปรับใช้ระบบการกู้คืนข้อมูล การสำรองข้อมูล และการเข้าถึงที่ปลอดภัย ผู้นำด้านการรักษาความปลอดภัยหลายรายได้ดำเนินการตามขั้นตอนที่สำคัญในการบรรเทาผลกระทบจากการโจมตีผ่านการสำรองข้อมูลและการเข้ารหัส ซึ่งสามารถช่วยป้องกันการสูญหายและรั่วไหลของข้อมูลได้ สิ่งสำคัญคือการปกป้องการสำรองข้อมูลเหล่านี้จากการลบข้อมูลโดยเจตนาหรือการเข้ารหัสโดยผู้โจมตีโดยการกำหนดโฟลเดอร์ที่ได้รับการปกป้อง เมื่อมีการซักซ้อมแผนความต่อเนื่องทางธุรกิจ/การกู้คืนระบบจากความเสียหาย (BC/DR) แล้ว ทีมงานจะสามารถทำให้ระบบที่ได้รับผลกระทบออฟไลน์ได้อย่างรวดเร็ว และขัดขวางความคืบหน้าของการโจมตี โดยกลับมาดำเนินการได้อีกครั้งโดยมีเวลาหยุดทำงานน้อยที่สุด หลักการ Zero Trust  และการเข้าถึงที่ปลอดภัยช่วยให้องค์กรปกป้องและกู้คืนระบบได้โดยการแยกระบบที่ถูกโจมตีและทำให้ผู้โจมตีเคลื่อนย้ายไปยังเครือข่ายอื่นได้ยากยิ่งขึ้น
  •  ปกป้องข้อมูลประจำตัวจากการโจมตี ลดโอกาสในการโจรกรรมข้อมูลประจำตัวและการเคลื่อนย้ายการโจมตีไปยังอุปกรณ์เครื่องอื่นให้เหลือน้อยที่สุดด้วยการใช้ กลยุทธ์สิทธิ์การเข้าถึงระดับสูง ขั้นตอนสำคัญในการป้องกันแรนซัมแวร์คือการตรวจสอบข้อมูลประจำตัวในเครือข่ายขององค์กรอย่างครอบคลุม ข้อมูลประจำตัวที่มีสิทธิ์การใช้งานถือเป็นพื้นฐานสำคัญของการรับประกันด้านความปลอดภัยอื่นๆ ทั้งหมด โดยผู้โจมตีที่ควบคุมบัญชีที่มีสิทธิ์การใช้งานของคุณสามารถบ่อนทำลายการรับประกันด้านความปลอดภัยอื่นๆ ทั้งหมดได้ กลยุทธ์ที่แนะนำของ Microsoft คือการสร้างระบบ “การทำงานแบบปิด” แบบส่วนเพิ่มสำหรับสิทธิ์การเข้าถึงระดับสูง เพื่อรับรองว่าสามารถใช้ได้เพียงอุปกรณ์ บัญชี และระบบตัวกลางที่ “ปลอดภัย” และน่าเชื่อถือเท่านั้นสำหรับสิทธิ์การเข้าถึงระดับสูงไปยังระบบที่มีความละเอียดอ่อนทางธุรกิจ กลยุทธ์ที่แนะนำของ Microsoft คือการสร้างระบบ “การทำงานแบบปิด” แบบส่วนเพิ่มสำหรับสิทธิ์การเข้าถึงระดับสูง เพื่อรับรองว่าสามารถใช้ได้เพียงอุปกรณ์ บัญชี และระบบตัวกลางที่ “ปลอดภัย” และน่าเชื่อถือเท่านั้นสำหรับสิทธิ์การเข้าถึงระดับสูงไปยังระบบที่มีความละเอียดอ่อนทางธุรกิจ
  •  ป้องกัน ตรวจหา และตอบสนองต่อภัยคุกคาม ช่วยป้องกันภัยคุกคามในปริมาณงานทั้งหมดโดยใช้ประโยชน์จากความสามารถในการตรวจหาและตอบสนองต่อภัยคุกคามที่ครอบคลุมและครบวงจร โซลูชันเฉพาะจุดแบบไซโลมักส่งผลให้เกิดช่องว่างในการป้องกัน และทำให้การตรวจหาและตอบสนองต่อกิจกรรมก่อนเกิดการเรียกค่าไถ่ช้าลง Microsoft นำเสนอ  SIEM และ XDR  แบบครบวงจรเพื่อนำเสนอโซลูชันการป้องกันภัยคุกคามที่ครอบคลุมซึ่งมอบการป้องกัน การตรวจหา และการตอบสนองที่ดีที่สุดในบริการระดับเดียวกันทั่วทั้งทรัพย์สินทางดิจิทัลแบบหลายแพลตฟอร์มบนมัลติคลาวด์ทั้งหมดของคุณ
แนวทางปฏิบัติทั้งสามประการนี้ประสานกันเพื่อสร้างกลยุทธ์ด้านการรักษาความปลอดภัยที่ครอบคลุม โดยมีการจัดการข้อมูล ข้อมูลประจำตัว และเครือข่ายแบบครบวงจรที่จัดตั้งขึ้นตามแนวทาง Zero Trust สำหรับองค์กรหลายแห่ง การนำหลักการ Zero Trust ไปใช้ต้องมีการเปลี่ยนแปลงด้านการรักษาความปลอดภัยในวงกว้างมากขึ้น ในขณะที่ผู้นำด้านการรักษาความปลอดภัยส่วนใหญ่มุ่งหมายที่จะดำเนินการตามหลักการ Zero Trust แต่ผู้นำบางรายได้แสดงความกังวลว่าสภาพแวดล้อมแบบแบ่งส่วนระบบอาจขัดขวางประสิทธิภาพการทำงานของพนักงานหรือทีมรักษาความปลอดภัยมากเกินไป จนอาจไม่คุ้มค่าที่จะเปลี่ยนไปใช้การแบ่งส่วนระบบจำนวนมากเร็วเกินไป

แม้ว่าทุกองค์กรจะมีข้อกำหนดของตนเองที่ต้องปฏิบัติตาม แต่ผมขอระบุสักนิดว่าการได้รับประโยชน์ด้านการเข้าถึงและการรักษาความปลอดภัยจากทั้งสองวิธีการนั้นเป็นไปได้ การแบ่งส่วนระบบไม่จำเป็นต้องขัดขวางการทำงานเสมอไป เราพบเห็นประโยชน์ข้อนี้โดยเฉพาะอย่างยิ่งเมื่อองค์กรรวมการจัดการข้อมูลประจำตัวเข้ากับความพยายามในการเปลี่ยนแปลงด้านการรักษาความปลอดภัย เช่น การนำการรับรองความถูกต้องแบบไร้รหัสผ่านมาใช้ ผู้ใช้จึงไม่ต้องจัดการข้อมูลการเข้าสู่ระบบจำนวนมากที่อาจขัดขวางการทำงาน Bret Arsenault ที่ดำรงตำแหน่งเป็น CISO ของ Microsoft อธิบายวิธีการที่การดำเนินการแบบไร้รหัสผ่านช่วยรักษาความปลอดภัย: “การรักษาความปลอดภัยของอุปกรณ์ถือเป็นสิ่งสำคัญ แต่ก็ยังไม่เพียงพอ เราควรให้ความสำคัญกับการรักษาความปลอดภัยของบุคคลด้วย เราสามารถยกระดับประสบการณ์และความปลอดภัยของคุณได้โดยการเปลี่ยนคุณให้เป็นรหัสผ่านแทน” เนื่องจากข้อมูลประจำตัวที่ถูกขโมยเปรียบเสมือนจุดเริ่มต้นของการโจมตีส่วนใหญ่ ตัวอย่างเช่น การละเมิดเว็บแอปพลิเคชันมากกว่า 80 เปอร์เซ็นต์เกิดขึ้นจากข้อมูลประจำตัวที่ถูกขโมยตามรายงานการสืบสวนการรั่วไหลของข้อมูล (DBIR) ของ Verizon ปี 2022 การดำเนินการแบบไร้รหัสผ่านจึงช่วยปิดช่องว่างด้านความปลอดภัยที่สำคัญนี้อีกด้วย

“การรักษาความปลอดภัยของอุปกรณ์ถือเป็นสิ่งสำคัญ แต่ก็ยังไม่เพียงพอ เราควรให้ความสำคัญกับการรักษาความปลอดภัยของบุคคลด้วย เราสามารถยกระดับประสบการณ์และความปลอดภัยของคุณได้โดยการเปลี่ยนคุณให้เป็นรหัสผ่านแทน”
– Bret Arsenault, CISO ของ Microsoft

แนวทางที่ครอบคลุมในการกำจัดแรนซัมแวร์ต้องใช้เครื่องมือที่ยอดเยี่ยม

CISO หลายรายที่ผมมีโอกาสได้พูดคุยด้วยกำลังใช้แนวทางชุดแบบสีในการป้องกันและตรวจหาการโจมตี โดยใช้โซลูชันหลายชั้นของผู้ขายที่ครอบคลุมการทดสอบช่องโหว่ การทดสอบพารามิเตอร์ การตรวจสอบอัตโนมัติ การรักษาความปลอดภัยอุปกรณ์ปลายทาง การปกป้องข้อมูลประจำตัว ฯลฯ สำหรับบางคนแล้ว นี่คือการดำเนินการซ้ำซ้อนแบบจงใจ โดยหวังว่าวิธีการที่มีหลายชั้นจะครอบคลุมช่องว่างทั้งหมดเสมือนแผ่นชีสสวิสที่วางซ้อนกันและหวังว่ารูในแต่ละแผ่นจะไม่เรียงตรงกัน

ประสบการณ์ของเราแสดงให้เห็นว่าความหลากหลายนี้อาจทำให้ความพยายามในการแก้ไขยุ่งยากขึ้น และอาจสร้างโอกาสเผชิญความเสี่ยงได้มากขึ้น ตามที่ CISO รายหนึ่งได้ตั้งข้อสังเกตไว้ว่า ข้อเสียของการใช้โซลูชันหลายตัวร่วมกันคือการขาดความสามารถในการมองเห็นข้อมูลเนื่องจากการแยกส่วน: “เรามีแนวทางที่ดีที่สุด ซึ่งแนวทางดังกล่าวเองก็ก่อให้เกิดความท้าทายบางประการเนื่องจากขาดข้อมูลเชิงลึกเกี่ยวกับความเสี่ยงโดยรวม เนื่องจากคุณมีคอนโซลที่เป็นอิสระจากกันที่คุณกำลังจัดการภัยคุกคามต่างๆ และไม่ทราบภาพรวมของสิ่งที่เกิดขึ้นในสถานที่ปฏิบัติงานของคุณ” (การดูแลสุขภาพ, จำนวนพนักงาน 1,100 คน) เนื่องจากผู้โจมตีสร้างเครือข่ายการโจมตีที่ซับซ้อนซึ่งสามารถส่งผลกระทบในโซลูชันที่แตกต่างกันหลายตัว จึงเป็นเรื่องยากที่จะรับทราบภาพรวมที่สมบูรณ์ของการเจาะระบบเพื่อโจมตีทางไซเบอร์ ระบุขอบเขตของการโจมตี และกำจัดส่วนข้อมูลที่มีมัลแวร์ทั้งหมด การหยุดการโจมตีที่กำลังดำเนินอยู่ต้องใช้ความสามารถในการตรวจสอบเวกเตอร์หลายตัวเพื่อตรวจจับ ยับยั้ง และควบคุม/แก้ไขการโจมตีแบบเรียลไทม์

ประเด็นสำคัญที่ได้เรียนรู้

โซลูชันครบวงจรที่ครอบคลุมช่วยให้คุณจัดการช่องโหว่ต่างๆ เพื่อให้คุณสามารถลดพื้นหน้าของการโจมตีและแยกสัญญาณอันตรายที่สำคัญออกจากข้อมูลที่ไม่เกี่ยวข้องได้ ความเรียบง่ายนี้ถือเป็นสิ่งสำคัญสำหรับองค์กรที่ประสบปัญหาในการแยกแยะภัยคุกคามที่แท้จริงจากการแจ้งเตือนและผลบวกปลอมที่เกิดขึ้นอย่างต่อเนื่อง

ช่วยป้องกันแรนซัมแวร์และการโจมตีที่ซับซ้อนอื่นๆ ด้วย XDR

ผู้นำด้านการรักษาความปลอดภัยหลายรายหันมาใช้การตรวจหาและการตอบสนองแบบขยาย (XDR) สำหรับจุดตรวจสอบข้อมูลข้ามแพลตฟอร์มนี้ XDR ช่วยระบุพิกัดของสัญญาณอันตรายทั่วทั้งระบบนิเวศ ไม่ใช่เพียงแค่อุปกรณ์ปลายทาง เพื่ออำนวยความสะดวกในการตรวจหาและตอบสนองต่อภัยคุกคามที่ซับซ้อนได้เร็วขึ้น

XDR ทำงานเหมือนกับการตรวจหาและการตอบสนองอุปกรณ์ปลายทาง (EDR) แต่ครอบคลุมการทำงานมากขึ้น โดยขยายบริการต่อไปยังการตรวจหาภัยคุกคามและการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยทั่วทั้งสภาพแวดล้อมดิจิทัลทั้งหมด รวมถึงข้อมูลประจำตัว โครงสร้างพื้นฐาน แอป ข้อมูล เครือข่าย ระบบคลาวด์ ฯลฯ ขอบเขตที่กว้างขวางนี้มีความสำคัญอย่างยิ่งเนื่องจากความซับซ้อนของการโจมตีสมัยใหม่ ซึ่งใช้ประโยชน์จากสภาพแวดล้อมที่ซับซ้อนและแบบกระจายในปัจจุบันเพื่อเคลื่อนย้ายการโจมตีไปยังโดเมนอื่น มีการโจมตีที่ดำเนินการในรูปแบบที่ไม่ใช่เส้นตรงมากขึ้น โดยมีการเคลื่อนย้ายการโจมตีไปยังระบบคลาวด์, อีเมล, SaaS, แอปพลิเคชัน ฯลฯ อื่นๆ

XDR สามารถช่วยคุณรวมข้อมูลจากระบบที่แตกต่างกันทั้งหมดเข้าด้วยกัน เพื่อให้คุณสามารถดูเหตุการณ์ทั้งหมดได้ตลอดกระบวนการ โซลูชันเฉพาะจุดอาจทำให้การมองเห็นข้อมูลที่ครอบคลุมนี้เกิดขึ้นได้ยาก เนื่องจากจะแสดงการโจมตีเพียงบางส่วนเท่านั้น และต้องพึ่งพาทีมรักษาความปลอดภัยที่มักจะมีงานล้นมือเพื่อเชื่อมโยงข้อมูลสัญญาณด้านภัยคุกคามหลายรายการจากพอร์ทัลต่างๆ ด้วยตนเอง ท้ายที่สุดแล้ว การดำเนินการนี้อาจทำให้ต้องใช้เวลานานในการแก้ไขภัยคุกคามได้อย่างสมบูรณ์ และในบางกรณีก็อาจเป็นไปไม่ได้ด้วยซ้ำ

การก้าวกระโดดจาก EDR สู่ XDR

หลายคนยังคงไม่ได้ใช้ XDR ให้เกิดประโยชน์สูงสุด CISO หลายรายที่เรามีโอกาสพูดคุยด้วยได้นำจุดเริ่มต้นที่มีประสิทธิภาพไปใช้ใน EDR EDR เป็นแอสเซทที่ได้รับการพิสูจน์แล้ว โดยเราพบว่าผู้ใช้การตรวจหาและการตอบสนองอุปกรณ์ปลายทางในปัจจุบันมีประวัติในการตรวจหาและหยุดยั้งแรนซัมแวร์ได้เร็วขึ้น

อย่างไรก็ตาม เนื่องจาก XDR เป็นการต่อยอดจาก EDR ทางด้านของ CISO บางรายจึงยังคงไม่มั่นใจถึงประโยชน์ของ XDR XDR เป็นแค่ EDR ที่มีการแก้ไขปัญหาเพียงบางจุดหรือไม่ ฉันต้องใช้โซลูชันที่แยกจากกันโดยสิ้นเชิงหรือไม่ หรือ EDR ของฉันจะนำเสนอความสามารถแบบเดียวกันในท้ายที่สุดหรือไม่ ตลาดปัจจุบันสำหรับโซลูชัน XDR ก่อให้เกิดความสับสนมากขึ้น เนื่องจากผู้ขายต่างแข่งขันกันเพื่อเพิ่มข้อเสนอ XDR ลงในกลุ่มผลิตภัณฑ์ ผู้ขายบางรายกำลังเพิ่มเครื่องมือ EDR เพื่อรวมข้อมูลภัยคุกคามเพิ่มเติม ในขณะที่บางรายมุ่งเน้นไปที่การสร้างแพลตฟอร์ม XDR เฉพาะเป็นหลัก วิธีการหลังได้รับการสร้างขึ้นใหม่ทั้งหมดเพื่อมอบการทำงานร่วมกันที่พร้อมใช้งานทันทีและความสามารถที่มุ่งเน้นไปที่ความต้องการของนักวิเคราะห์ความปลอดภัยเป็นหลัก โดยเปิดโอกาสให้ทีมของคุณต้องดำเนินการบางอย่างด้วยตนเองน้อยที่สุด

ประเด็นสำคัญที่ได้เรียนรู้

XDR เป็นตัวเลือกที่น่าสนใจในสภาพแวดล้อมการรักษาความปลอดภัยในปัจจุบัน เนื่องจากมีความครอบคลุมและความเร็วในการตรวจจับและยับยั้งภัยคุกคาม เนื่องจากแรนซัมแวร์และการโจมตีที่เป็นอันตรายอื่นๆ กลายเป็นเรื่องที่พบเห็นได้ทั่วไปมากขึ้นเรื่อยๆ (ผู้ให้สัมภาษณ์รายหนึ่งระบุว่าองค์กรของเขาถูกโจมตีโดยเฉลี่ย *ทุกวัน*) ผู้นำด้านการรักษาความปลอดภัยจึงมองว่าระบบอัตโนมัติเป็นเครื่องมือที่สำคัญ โดยนำเสนอบริการตรวจสอบตลอด 24 ชั่วโมงทุกวันและการตอบสนองในระดับใกล้เคียงเรียลไทม์

ใช้ระบบอัตโนมัติเพื่อยกระดับผลกระทบจากทีมของคุณ

เมื่อเผชิญกับปัญหาการขาดแคลนบุคลากรที่มีความสามารถด้านการรักษาความปลอดภัยและความจำเป็นในการตอบสนองอย่างรวดเร็วเพื่อยับยั้งภัยคุกคาม เราได้สนับสนุนให้ผู้นำใช้ระบบอัตโนมัติเพื่อช่วยให้บุคลากรของตนมีอิสระในการให้ความสำคัญกับการป้องกันภัยคุกคามที่เลวร้ายที่สุด แทนที่จะต้องจัดการกับงานทั่วไป เช่น การรีเซ็ตรหัสผ่าน ที่น่าสนใจก็คือผู้นำด้านการรักษาความปลอดภัยหลายรายที่ผมมีโอกาสพูดคุยต่างกล่าวว่าตนเองยังไม่ได้ใช้ประโยชน์จากความสามารถของระบบอัตโนมัติอย่างเต็มที่ ในบางกรณี ผู้นำด้านการรักษาความปลอดภัยไม่ได้ตระหนักถึงโอกาสนี้อย่างเต็มที่ ในขณะที่คนอื่นๆ ลังเลที่จะนำระบบอัตโนมัติมาใช้เนื่องจากกังวลว่าจะไม่สามารถควบคุมระบบได้ อาจก่อให้เกิดความไม่ถูกต้อง หรือสูญเสียความสามารถในการมองเห็นภัยคุกคาม ซึ่งข้อหลังนี้เองที่เป็นข้อกังวลที่ถูกต้องตามเหตุผลอย่างยิ่ง อย่างไรก็ตาม เราพบเห็นผู้นำระบบอัตโนมัติที่มีประสิทธิภาพมาใช้บรรลุผลในทางตรงกันข้าม โดยสามารถควบคุมระบบได้มากขึ้น ได้รับผลบวกปลอมน้อยลง มีข้อมูลที่ไม่เกี่ยวข้องน้อยลง และได้รับข้อมูลเชิงลึกที่สามารถดำเนินการได้มากขึ้น จากการปรับใช้ระบบอัตโนมัติร่วมกับทีมรักษาความปลอดภัยเพื่อใช้เป็นแนวทางและกำหนดความพยายามของทีม

ระบบอัตโนมัติครอบคลุมความสามารถที่หลากหลาย ตั้งแต่งานดูแลระบบอัตโนมัติขั้นพื้นฐานไปจนถึงการประเมินความเสี่ยงที่อาศัยการเรียนรู้ของเครื่องแบบอัจฉริยะ CISO ส่วนใหญ่รายงานว่ามีการนำระบบอัตโนมัติแบบแรกที่ทริกเกอร์ตามเหตุการณ์หรือตามกฎมาใช้ แต่มีเพียงไม่กี่รายเท่านั้นที่ใช้ประโยชน์จากความสามารถด้านปัญญาประดิษฐ์และการเรียนรู้ของเครื่องที่มีอยู่แล้วภายใน ซึ่งช่วยให้สามารถตัดสินใจเกี่ยวกับการเข้าถึงตามความเสี่ยงได้แบบเรียลไทม์ แน่นอนว่าการปรับงานประจำให้เป็นระบบอัตโนมัติช่วยให้ทีมรักษาความปลอดภัยมีอิสระในการให้ความสำคัญมากขึ้นกับการคิดเชิงกลยุทธ์ที่มนุษย์ทำได้ดีที่สุด แต่ในขอบเขตเชิงกลยุทธ์นี้ เช่น ในการคัดแยกการตอบสนองต่อเหตุการณ์ ระบบอัตโนมัติมีศักยภาพมากที่สุดในการเพิ่มศักยภาพให้กับทีมรักษาความปลอดภัยในฐานะเพื่อนร่วมงานที่ชาญฉลาดในการประมวลผลข้อมูลและการจับคู่รูปแบบ ตัวอย่างเช่น AI และระบบอัตโนมัติเชี่ยวชาญในการเชื่อมโยงความสัมพันธ์ของสัญญาณอันตรายด้านความปลอดภัยเพื่อสนับสนุนการตรวจจับและการตอบสนองต่อการละเมิดที่ครอบคลุม ผู้ปฏิบัติงานด้านการรักษาความปลอดภัยประมาณครึ่งหนึ่งที่เราสำรวจความคิดเห็นเมื่อไม่นานนี้กล่าวว่าพวกเขาต้องเชื่อมโยงความสัมพันธ์ของสัญญาณอันตรายด้วยตนเอง1   ซึ่งใช้เวลานานอย่างไม่น่าเชื่อและแทบเป็นไปไม่ได้เลยที่จะตอบสนองได้อย่างรวดเร็วเพื่อยับยั้งการโจมตี ด้วยการประยุกต์ใช้ระบบอัตโนมัติที่เหมาะสม เช่น การเชื่อมโยงความสัมพันธ์ของสัญญาณอันตรายด้านความปลอดภัย จึงมักจะตรวจพบการโจมตีได้ในระดับใกล้เคียงเรียลไทม์

“เราต้องการ AI เพราะเรามีอัตรากำไรเพียงเล็กน้อย และไม่สามารถจ้างบุคลากรจำนวนมากเกินไปได้” 
– ร้านอาหาร/การบริการต้อนรับ, จำนวนพนักงาน 6,000 คน

เราพบว่าทีมรักษาความปลอดภัยจำนวนมากใช้งานระบบอัตโนมัติที่มีอยู่ภายในโซลูชันที่ใช้งานอยู่แล้วน้อยเกินไป ในหลายกรณี การใช้ระบบอัตโนมัติเป็นเรื่องง่าย (และมีผลกระทบอย่างสูง!) เช่นเดียวกับการกำหนดค่าฟีเจอร์ที่มีอยู่ เช่น การแทนที่นโยบายการเข้าถึงแบบกฎตายตัวด้วยนโยบายการเข้าถึงแบบมีเงื่อนไขตามความเสี่ยง การสร้างคู่มือการวางแผนกลยุทธ์ในการตอบสนอง ฯลฯ

CISO ที่เลือกปฏิเสธโอกาสในการใช้งานระบบอัตโนมัติมักจะทำเช่นนั้นเนื่องจากความไม่ไว้วางใจ โดยอ้างถึงความกังวลเกี่ยวกับระบบที่อาจก่อให้เกิดข้อผิดพลาดที่ไม่สามารถแก้ไขได้ในขณะที่ทำงานโดยปราศจากการควบคุมดูแลของมนุษย์ สถานการณ์ที่เป็นไปได้บางส่วน ได้แก่ การที่ระบบลบข้อมูลผู้ใช้อย่างไม่เหมาะสม ทำให้ผู้บริหารที่ต้องการเข้าถึงระบบประสบความไม่สะดวก หรือนำไปสู่การไม่สามารถควบคุมหรือมองเห็นข้อมูลเกี่ยวกับช่องโหว่ที่ถูกโจมตีในกรณีที่เลวร้ายที่สุด

“เมื่อใดก็ตามที่เราพยายามปรับใช้สิ่งต่างๆ กับระบบอัตโนมัติ บางครั้งเราก็กลัวว่าอาจเขียนทับอะไรสักอย่าง เรากำลังกู้คืนข้อมูลใดบ้าง หรือสิ่งใดกันแน่ที่เริ่มการดำเนินการนี้ 
– บริการทางการเงิน, จำนวนพนักงาน 1,125 คน

แต่การรักษาความปลอดภัยมีแนวโน้มที่จะสร้างสมดุลระหว่างความไม่สะดวกเล็กๆ น้อยๆ ที่ได้รับในแต่ละวัน เทียบกับภัยคุกคามจากการโจมตีที่รุนแรงอย่างต่อเนื่อง ระบบอัตโนมัติมีศักยภาพที่จะทำหน้าที่เป็นระบบเตือนภัยล่วงหน้าสำหรับการโจมตีดังกล่าว และสามารถบรรเทาผลกระทบหรือขจัดความไม่สะดวกดังกล่าวได้ นอกจากนี้ ระบบอัตโนมัติที่ดีที่สุดไม่ได้ทำงานด้วยตัวเอง แต่ทำงานร่วมกับผู้ปฏิบัติงานที่เป็นมนุษย์ ซึ่งปัญญาประดิษฐ์สามารถแจ้งข้อมูลและได้รับการตรวจสอบด้วยสติปัญญาของมนุษย์

เพื่อช่วยรับรองว่าการปรับใช้งานจะเป็นไปอย่างราบรื่น เราได้เพิ่มโหมดรายงานเท่านั้นให้กับโซลูชันของเราเพื่อเสนอการทดลองใช้ก่อนการเปิดตัว ซึ่งช่วยให้ทีมรักษาความปลอดภัยสามารถนำระบบอัตโนมัติไปใช้ได้ตามต้องการ โดยปรับแต่งกฎของระบบอัตโนมัติอย่างละเอียดและติดตามประสิทธิภาพของเครื่องมืออัตโนมัติ

ผู้นำด้านการรักษาความปลอดภัยที่ใช้ระบบอัตโนมัติอย่างมีประสิทธิผลสูงสุดจะปรับใช้ระบบนี้ร่วมกับทีมของตนเพื่อเติมเต็มช่องว่างและทำหน้าที่เป็นแนวป้องกันด่านแรก ดังที่ CISO รายหนึ่งได้บอกกับผมไว้เมื่อไม่นานนี้ว่าการมีทีมรักษาความปลอดภัยที่ดูแลทุกจุดอยู่ตลอดเวลาแทบจะเป็นไปไม่ได้เลยและมีค่าใช้จ่ายสูงมาก และถึงแม้จะเกิดขึ้นครั้ง ทีมรักษาความปลอดภัยดังกล่าวก็มีแนวโน้มที่จะลาออกเป็นประจำ ระบบอัตโนมัติมอบความต่อเนื่องและความสม่ำเสมอที่ทำงานตลอดเวลาอีกหนึ่งชั้นเพื่อสนับสนุนทีมรักษาความปลอดภัยในจุดที่ต้องการความสม่ำเสมอนี้ เช่น การตรวจสอบการรับส่งข้อมูลและระบบเตือนภัยล่วงหน้า ระบบอัตโนมัติที่ปรับใช้ในความสามารถเชิงสนับสนุนนี้ช่วยให้ทีมเป็นอิสระจากการตรวจสอบบันทึกและระบบด้วยตนเอง และช่วยให้พวกเขาสามารถดำเนินการเชิงรุกได้มากขึ้น ระบบอัตโนมัติไม่ได้แทนที่มนุษย์ โดยเครื่องมือเหล่านี้ช่วยเพิ่มศักยภาพให้กับบุคลากรของคุณในการจัดลำดับความสำคัญของการแจ้งเตือนและทุ่มเทความพยายามของตนในส่วนที่สำคัญที่สุด

ประเด็นสำคัญที่ได้เรียนรู้
กลยุทธ์การป้องกันที่มีประสิทธิภาพที่สุดผสมผสานการใช้งาน AI และเครื่องมืออัตโนมัติเข้ากับการเฝ้าระวังและการตอบสนองเชิงกลยุทธ์ที่มีความสม่ำเสมอกันยิ่งขึ้นของทีมรักษาความปลอดภัย นอกเหนือจากประโยชน์ที่ได้รับในทันทีจากการทำงานให้เสร็จสิ้นและดำเนินการทันทีเพื่อยับยั้งการโจมตีแล้ว ระบบอัตโนมัติยังช่วยให้ทีมสามารถจัดการเวลาและประสานงานการใช้ทรัพยากรต่างๆ ได้อย่างมีประสิทธิภาพมากขึ้น เพื่อให้พวกเขาสามารถให้ความสำคัญกับกิจกรรมด้านการสืบสวนและการแก้ไขในลำดับที่สูงขึ้นได้

การศึกษาวิจัยของ Microsoft ที่อ้างถึงทั้งหมดใช้บริษัทวิจัยอิสระในการติดต่อผู้เชี่ยวชาญด้านการรักษาความปลอดภัยสำหรับการศึกษาทั้งเชิงปริมาณและเชิงคุณภาพ เพื่อรับรองว่ามีการปกป้องความเป็นส่วนตัวและความเข้มงวดในการวิเคราะห์ คำพูดและการค้นพบที่มีอยู่ในเอกสารนี้เป็นผลลัพธ์จากการศึกษาวิจัยของ Microsoft เว้นแต่จะระบุไว้เป็นอย่างอื่น

  1. [1]

    การศึกษาวิจัยของ Microsoft ในปี 2021 เกี่ยวกับ CISO และผู้ปฏิบัติงานด้านการรักษาความปลอดภัย

CISO Insider ความสามารถในการตอบสนองต่อภัยคุกคามทางไซเบอร์ อุปกรณ์และโครงสร้างพื้นฐาน แรนซัมแวร์

บทความที่เกี่ยวข้อง

CISO Insider ฉบับที่ 1

เอาตัวรอดในภูมิทัศน์ภัยคุกคามปัจจุบันด้วยการวิเคราะห์และคำแนะนำสุดพิเศษจากผู้นำด้านการรักษาความปลอดภัย
เรียนรู้เพิ่มเติม

สัญญาณไซเบอร์: ฉบับที่ 1

ข้อมูลประจำตัวคือสมรภูมิแห่งใหม่ รับข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามทางไซเบอร์ที่กำลังพัฒนา และขั้นตอนที่ต้องใช้เพื่อปกป้ององค์กรของคุณให้ดียิ่งขึ้น
เรียนรู้เพิ่มเติม

สัญญาณไซเบอร์ฉบับที่ 2: เศรษฐศาสตร์การขู่กรรโชก

รับฟังความเห็นจากผู้เชี่ยวชาญแนวหน้าเกี่ยวกับการพัฒนาแรนซัมแวร์ในรูปการบริการ เรียนรู้เกี่ยวกับเครื่องมือ กลยุทธ์ และเป้าหมายที่อาชญากรไซเบอร์ชื่นชอบ ตั้งแต่โปรแกรมและส่วนข้อมูลไปจนถึงการเข้าถึงนายหน้าและบริษัทในเครือ และรับคำแนะนำเพื่อช่วยปกป้ององค์กรของคุณ
เรียนรู้เพิ่มเติม