Firewalls อย่างเดียวเพียงพอหรือไม่? 

การป้องกันโดยใช้ firewalls เพียงอย่างเดียวนั้นเพียงพอหรือไม่ สำหรับ Healthcare network? 

ในขณะที่ firewalls และ Intrusion Detection/Prevention Systems (IDP/IDPS) เป็นสิ่งที่สำคัญเป็นอย่างมากต่อการปิดกั้นเครือข่ายที่ไม่ได้รับการตรวจสอบสิทธิ์การเข้าถึง ซึ่งตัวโฟกัสหลักของระบบนี้คือการป้องกันที่ขอบเขตเป็นหลัก แต่จะไม่สามารถตรวจจับความผิดปกติในการรับส่งข้อมูลได้ หากผู้ใช้งานผ่านการตรวจสอบสิทธิ์แล้ว ซึ่งการมีช่องโหว่นี้เองที่ทำให้ Network Detection and Response (NDR) เข้ามามีบทบาทสำคัญ 

NDR ตรวจพบ และหยุดสิ่งที่ Firewalls and IDP ทำไม่ได้ 

➤ Insider Threats หรือภัยคุกคามจากภายใน ผู้ใช้งานที่ได้รับการยืนยันสิทธิ์การเข้าถึงแล้ว จะสามารถใช้ประโยชน์จากสิทธิ์นั้นได้ ซึ่งสามารถนำไปสู่การโจรกรรมข้อมูล และการละเมิดความเป็นส่วนตัวได้ 

ตัวอย่างเช่น ในเดือนกุมภาพันธ์ ศูนย์การแพทย์ Montefiore ต้องชดเชยกว่า 4.75 ล้านดอลลาร์ หลังจากพบว่าพนักงานได้ขโมยและขายเวชระเบียนของผู้ป่วยเป็นเวลานานกว่า 6 เดือนโดยไม่ถูกจับได้ นี่เป็นตัวอย่างที่ชัดเจนของความเสี่ยงจากภัยคุกคามภายในที่สามารถเกิดขึ้นได้ใน Healthcare Network ซึ่งทำให้การตรวจจับและป้องกันการเข้าถึงที่ไม่เหมาะสมเป็นสิ่งสำคัญมากขึ้น 

➤ Advanced Persistent Threats (APTs) หรือภัยคุกคามขั้นสูงที่ต่อเนื่อง Healthcare Network คือเป้าหมายหลักในการโจมตี สำหรับผู้โจมตีที่ได้รับการซัพพอร์ตเป็นอย่างดีทั้งในด้านเงินทุนและทักษะฝีมือ 

ตัวอย่างเช่น อุปกรณ์ VPN ที่ผลิตโดย Ivanti Connect ถูกใช้ประโยชน์อย่างจริงจังโดย CVE-2023-46805 (อนุญาตให้ข้าม MFA) และ CVE-2024-21887 (อนุญาตให้แทรกคำสั่ง)  และเมื่อช่องโหว่เปิดโอกาสให้ผู้โจมตีสามารถหลีกเลี่ยงการยืนยันสิทธิ์การเข้าถึงได้ ผู้โจมตีจะไม่สามารถมองเห็นเครื่องมือ firewalls และ IDP/IDPS แต่จะสามารถมองเห็นเครื่องมือ NDR ได้ 

ประโยชน์จากการใช้ NDR ที่ Firewalls/IDP ไม่สามารถทำได้  

เครื่องมือ NDR มีความแตกต่างจาก firewalls และ IDP/IDPS ตรงที่ NDR จะทำการวิเคราะห์การรับส่งข้อมูลภายในเครือข่าย ขณะที่ firewalls และ IDP/IDPS มุ่งเน้นการระบุความผิดปกติตามพื้นฐานที่กำหนดจากกิจกรรมทั่วไป และเมื่อใช้การสุ่มข้อมูลในระดับแพ็กเก็ต Cynerio’s NDR-H (Network Detection and Response for Healthcare) สามารถตรวจจับความผิดปกติที่ไม่เป็นไปตามรูปแบบปกติในสภาพแวดล้อมของ Healthcare ได้อย่างมีประสิทธิภาพมากขึ้น 

โดยสรุปแล้ว firewalls และ IDP/IDPS  มีความสําคัญต่อการป้องกันขอบเขต และเครื่องมือ NDR เป็นสิ่งจําเป็นสําหรับการป้องกันที่ครอบคลุม โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมด้าน Healthcare ที่ภัยคุกคามภายในและ APT มีความเสี่ยงเป็นอย่างมาก 

ที่มา: https://www.cynerio.com/blog/ndr-vs-idp-idps