การตรวจหา Endpoint detection และ response คืออะไร? คำอธิบายเกี่ยวกับความปลอดภัย EDR การโจมตีปลายทางที่พัฒนาขึ้น
2021.01.22
CONTENTS
การตรวจหา Endpoint detection และ response คืออะไร? คำอธิบายเกี่ยวกับความปลอดภัย EDR การโจมตีปลายทางที่พัฒนาขึ้น
เมื่อเหตุการณ์ด้านสุขภาพทั่วโลกได้เปลี่ยนโลกไปแล้วภูมิทัศน์ด้านความปลอดภัยทางไซเบอร์ก็เปลี่ยนไปพร้อม ๆ กับมัน เกือบทุกองค์กรไม่ว่าจะเล็กหรือใหญ่ก็ได้เห็นการโจมตีพัฒนาขึ้น
สำหรับผู้ที่ไม่คุ้นเคยกับคำนี้พื้นหน้าการโจมตี (Attack Surface) หมายถึง ผลรวมของวิธีการทั้งหมดที่ไม่ดีสามารถใช้ประโยชน์จากปลายทางหรือเครือข่ายเพื่อดึงข้อมูล ทุกจุดสิ้นสุดที่เชื่อมต่อหรือสื่อสารกับเครือข่ายเป็นส่วนหนึ่งของพื้นหน้าการโจมตีเครือข่าย
สิ่งสำคัญคือต้องทราบว่าคนเป็นองค์ประกอบสำคัญของพื้นหน้าการโจมตี พนักงานของคุณเป็นตัวแทนของประตูสู่เครือข่ายและข้อมูลสำคัญ
พื้นหน้าการโจมตีไม่เพียงแต่เป็นมาตรการที่สำคัญสำหรับธุรกิจขนาดใหญ่ แต่องค์กรขนาดเล็กและขนาดกลางด้วย ในขณะที่ธุรกิจขนาดเล็กจำนวนมากอาจเชื่อว่าพวกเขาไม่ใหญ่พอที่จะถูกแฮ็กได้ แต่ขนาดของพื้นที่การโจมตีซึ่งอาจจะขยายออกไปนั้นอาจเพียงพอที่จะเสี่ยงต่อความเสี่ยงที่ร้ายแรงได้
พื้นหน้าการโจมตีปลายทางได้พัฒนาไปไกลกว่าที่ผู้เชี่ยวชาญคาดการณ์ไว้ พื้นหน้าการโจมตีสำหรับองค์กรส่วนใหญ่ในปัจจุบันกว้างและซับซ้อนมากขึ้นกว่าเดิมเนื่องจากปัจจัยหลายอย่างรวมถึงการเปลี่ยนไปใช้รูปแบบการทำงานจากที่บ้าน (WFH) และสมาร์ทโฟนและอุปกรณ์ IoT ที่เชื่อมต่อกับเครือข่ายมากขึ้นเป็นประวัติการณ์
การตรวจหาจุดสิ้นสุดและการตอบสนองคืออะไร?
Endpoint Detection and Response (EDR) เป็นกระบวนการตรวจสอบและตรวจจับกิจกรรมหรือเหตุการณ์ที่น่าสงสัยใด ๆ ที่เกิดขึ้นที่ปลายทางแบบเรียลไทม์ เป้าหมายของโซลูชัน EDR คือเพื่อให้บริษัทของคุณสามารถมองเห็นภัยคุกคามบนไทม์ไลน์โดยละเอียดและแจ้งเตือนแบบเรียลไทม์ในกรณีที่มีการโจมตี
EDR ซึ่งเป็นหัวใจหลักควรให้การมองเห็นซึ่งเป็นหนึ่งในความสามารถด้านความปลอดภัยที่สำคัญที่สุด
เมื่อพื้นหน้าการโจมตีกว้างขึ้นองค์กรต่าง ๆ ก็หันมาใช้โซลูชันการตรวจจับและตอบสนองปลายทาง (EDR) มากขึ้นเพื่อการมองเห็นในระดับถัดไปและเพื่อแจ้งเตือนการโจมตีใด ๆ ที่อาจไม่ได้ถูกเรียกโดยไฟร์วอลล์หรือกฎ IDS / IPS
การเปรียบเทียบที่ดีสำหรับ EDR คือการนึกถึง EDR เหมือนกล่องดำที่ใช้บนเครื่องบินเพื่อบันทึกข้อมูลการบิน ในการเปรียบเทียบนี้เครื่องบินแสดงถึงจุดสิ้นสุดของคุณและกล่องดำหมายถึงข้อมูลปลายทางเช่นกระบวนการทำงานโปรแกรมที่ติดตั้งและการเข้าสู่ระบบเครือข่ายของอุปกรณ์ของคุณ (หรือพื้นหน้าภัยคุกคาม) เช่นเดียวกับวิธีที่ข้อมูลกล่องดำสามารถป้องกันการล่มที่คล้ายกันในอนาคต EDR สามารถช่วยป้องกันการโจมตีทางไซเบอร์ในอนาคตที่คล้ายกันได้
ประโยชน์ของการรักษาความปลอดภัย EDR
ด้วยโซลูชัน EDR ที่เหมาะสมทีมไอทีและทีมรักษาความปลอดภัยจะได้รับการมองเห็นที่จำเป็นในการเปิดเผยประเภทของภัยคุกคามที่ไม่อาจมองเห็นได้
เมื่อ EDR ถูกปรับใช้อย่างเหมาะสมในองค์กรของคุณคุณสามารถรอรับประโยชน์ดังต่อไปนี้:
ประเภทของโซลูชันการรักษาความปลอดภัยปลายทาง: การเปรียบเทียบ EPP และ EDR
การอยู่เหนือภัยคุกคามด้านความปลอดภัยนั้นมีค่าใช้จ่ายสูงและใช้เวลานาน เมื่อจัดหาโซลูชันความปลอดภัย EDR การทำความเข้าใจเกี่ยวกับโซลูชันการรักษาความปลอดภัยปลายทางประเภทต่าง ๆ ถือเป็นขั้นตอนแรกที่สำคัญ เช่นเดียวกับตลาดสำหรับเครื่องมือรักษาความปลอดภัยอื่น ๆ โซลูชันปลายทางทั้งหมดไม่เหมือนกันและอีกหลายอย่างไม่มีคุณสมบัติในการตรวจจับและตอบสนองปลายทาง
ตัวอย่างเช่นการตรวจจับและตอบสนองปลายทาง (EDR) ไม่เหมือนกับแพลตฟอร์มการป้องกันปลายทาง (EPP) การป้องกันปลายทางตามชื่อที่แนะนำคือการป้องกันปลายทาง EPP สามารถตรวจจับและบล็อกภัยคุกคามบนอุปกรณ์ปลายทางและมักใช้แบบจำลองที่ใช้ลายเซ็น
EPP ยังสามารถรวมโซลูชันการรักษาความปลอดภัยต่าง ๆ เช่น AV / ป้องกันมัลแวร์ไฟร์วอลล์เครือข่ายและแอปพลิเคชันระบบป้องกันการบุกรุก (IPS) และโปรโตคอลการเข้ารหัส
ที่นี่ EPP และ EDR แตกต่างกัน: บทบาทของ EPP เป็นด่านแรกในการป้องกันภัยคุกคามมากกว่าในขณะที่ EDR เป็นมาตรการป้องกันเพิ่มเติมสำหรับการตรวจจับและตอบสนองต่อการโจมตีใด ๆ ที่พลาดไปที่ปลายทาง
โซลูชันความปลอดภัย EPP และ EDR สามารถใช้งานได้หลายวิธี สามารถใช้แยกกันเป็นโซลูชันแบบสแตนด์อโลนใช้ร่วมกันในกลุ่มหรือรวมกันเป็นโซลูชันเดียวที่ครอบคลุม ด้วยภูมิทัศน์ของภัยคุกคามที่พัฒนาขึ้นโซลูชันแบบออล – อิน – วันจึงเป็นแบบธรรมดาประหยัดต้นทุนและมีประสิทธิภาพ
แม้ว่าโซลูชัน EDR แบบสแตนด์อโลนจะให้การมองเห็นปลายทางที่คุณต้องการ แต่ก็ไม่ได้ให้การมองเห็นที่สมบูรณ์ของสภาพแวดล้อมทั้งหมดของคุณ (เครือข่ายในองค์กรบัญชีคลาวด์สาธารณะและแอประบบคลาวด์ที่สำคัญทางธุรกิจ)
เมื่อมองหาโซลูชันกระจกแบบ All-in-one แบบบานเดียวให้มองหาโซลูชันที่มีการผสมผสานระหว่างความสามารถด้านความปลอดภัยที่จำเป็นเพื่อตรวจจับและตอบสนองต่อภัยคุกคามอย่างมีประสิทธิภาพเช่น:
โซลูชันที่ดีที่สุดมอบการมองเห็นความปลอดภัยจากส่วนกลางของกิจกรรมบนอุปกรณ์ปลายทางแพลตฟอร์มคลาวด์แอประบบคลาวด์และเครือข่ายในองค์กร โซลูชันเช่น USM Anywhere จาก AT&T ช่วยให้คุณตรวจจับภัยคุกคามก่อนหน้านี้ตรวจสอบและตอบสนองได้เร็วขึ้นและเร่งการปฏิบัติตามข้อกำหนดของคุณ
Ref : cybersecurity
Translate : B.
บทความที่เกี่ยวข้อง
กฎหมาย
กรณีศึกษา
ข่าว
Google เตรียมลบบันทึกการท่องเว็บนับพันล้านรายการ ตามข้อตกลงยุติคดีความเป็นส่วนตัว ‘โหมดไม่ระบุตัวตน’
Google ได้ตกลงที่จะล้างบันทึกข้อมูลนับพันล้านรายการ ที่แสดงกิจกรรมการท่องเว็บไซต์ของผู้ใช้งาน เพื่อยุติคดีที่ถูกฟ้องร้องว่า Google ได้ทำการติดตามกิจกรรมของพวกเขา
2024.04.23
กรณีศึกษา
ข่าว
ความปลอดภัย
Top 10 Brands ที่ถูกแอบอ้างมากที่สุด เพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024
โดยรายชื่อแบรนด์ 10 อันดับแรก ที่ถูกแอบอ้างเพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024 ได้แก่
2024.04.18
ข่าว
ความปลอดภัย
ข้อควรพิจารณาสำหรับความปลอดภัยทางไซเบอร์ของปฏิบัติการเทคโนโลยี
เทคโนโลยีการดำเนินงาน (OT) หมายถึงฮาร์ดแวร์และซอฟต์แวร์ที่ใช้ในการเปลี่ยนแปลง ตรวจสอบ หรือควบคุมอุปกรณ์ กระบวนการ และเหตุการณ์ทางกายภาพขององค์กร ต่างจากระบบเทคโนโลยีสารสนเทศ (IT) แบบดั้งเดิม ระบบ OT ส่งผลโดยตรงต่อโลกทางกายภาพ คุณลักษณะเฉพาะของ OT นี้นำมาซึ่งข้อควรพิจารณาด้านความปลอดภัยทางไซเบอร์เพิ่มเติมซึ่งปกติแล้วจะไม่มีอยู่ในสถาปัตยกรรมความปลอดภัยด้านไอทีทั่วไป การบรรจบกันของ IT และ OT ในอดีต ไอทีและเทคโนโลยีการดำเนินงาน (OT) ดำเนินการแยกจากกัน โดยแต่ละแห่งมีชุดโปรโตคอล มาตรฐาน และมาตรการรักษาความปลอดภัยทางไซเบอร์ของตัวเอง อย่างไรก็ตาม โดเมนทั้งสองนี้มาบรรจบกันมากขึ้นกับการกำเนิดของ Industrial Internet of Things (IIoT) แม้ว่าประโยชน์ในแง่ของประสิทธิภาพที่เพิ่มขึ้นและการตัดสินใจที่ขับเคลื่อนด้วยข้อมูล การบรรจบกันนี้ยังทำให้ระบบ OT เผชิญกับภัยคุกคามทางไซเบอร์แบบเดียวกับที่ระบบไอทีเผชิญ
2024.04.05