EP.2 ไขความเข้าใจผิดเกี่ยวกับพื้นฐานของ EDR
5 สิ่งเกี่ยวกับ Endpoint Detection and Response (EDR) ที่คุณอาจเข้าใจผิดตลอดมา
Endpoint Detection and Response (EDR) เป็นหนึ่งในโซลูชันที่ถูกออกแบบมาเพื่อตรวจจับและตอบสนองต่อการโจมตีอย่างมีประสิทธิภาพในยุคดิจิทัลที่ธุรกิจทุกขนาดเผชิญกับภัยคุกคามทางไซเบอร์ที่มีการพัฒนาอย่างต่อเนื่อง ทำให้การรักษาความปลอดภัยทางไซเบอร์ของธุรกิจจึงเป็นเรื่องสำคัญที่องค์กรทุกขนาดไม่ควรมองข้าม อย่างไรก็ตาม หลายคนยังมีความเข้าใจผิดเกี่ยวกับ EDR ซึ่งอาจทำให้ไม่ได้รับประโยชน์สูงสุดจากโซลูชันนี้ วันนี้ BMSP ได้รวบรวม 5 ความเข้าใจผิดเกี่ยวกับ EDR เพื่อช่วยให้คุณเข้าใจและใช้งานระบบรักษาความปลอดภัยได้อย่างมีประสิทธิภาพยิ่งขึ้น
1. Endpoint Protection ที่มีนั้นดีอยู่แล้ว เราไม่จำเป็นต้องมี EDR
สิ่งที่มักเข้าใจผิด: อาชญากรไซเบอร์ไม่ได้สนใจธุรกิจอย่างเราเท่าไรนัก เพราะเรายังไม่ใช่เป้าหมายหลักของการโจมตีในรูปแบบที่ EDR สามารถป้องกันได้
ความเป็นจริง: หลายคนอาจคิดว่าธุรกิจขนาดเล็กไม่ใช่เป้าหมายหลักของอาชญากรไซเบอร์ แต่ในความเป็นจริงแล้ว ธุรกิจ SMB ก็เผชิญกับภัยคุกคามเช่นเดียวกับธุรกิจขนาดกลางและขนาดใหญ่ แม้ว่าการโจมตีทางไซเบอร์ส่วนมากจะเป็นภัยคุกคามทั่วไป แต่การโจมตีอีกส่วนที่เหลือกลับเป็นรูปแบบใหม่ ไม่ทราบที่มา และมีความซับซ้อน ซึ่งสามารถหลบหลีกการป้องกันแบบ EPP ได้ ภัยคุกคามเหล่านี้ยากต่อการป้องกันเนื่องจากมีการใช้เทคนิคในการหลบเลี่ยง โดยเฉพาะการใช้เครื่องมือที่ถูกต้องตามกฎหมายและเครื่องมือภายในระบบ การที่ผู้โจมตีสามารถเล็ดลอดและอยู่ในระบบโดยไม่ถูกตรวจพบเป็นเวลานาน ทำให้มีเวลาสำรวจและฝังตัวในโครงสร้างพื้นฐานของธุรกิจ ซึ่งส่งผลให้สร้างความเสียหายได้มากขึ้น ไม่ว่าจะเป็นการละเมิดข้อมูล การโจมตีด้วยแรนซัมแวร์หรือสปายแวร์ หรือแม้กระทั่งการแทรกแซงการดำเนินงานโดยตรง
2. เราต้องการ EDR เข้ามาช่วยแก้ไขข้อจำกัดของ EPP ที่มีอยู่
สิ่งที่มักเข้าใจผิด: EPP ที่เรามีอยู่นั้นแข็งแกร่งไม่พอ เพราะฉะนั้นเราต้องการ EDR มาเพื่อเสริมความปลอดภัย
ความเป็นจริง: การพยายามเสริมสร้างการรักษาความปลอดภัยปลายทางหรือ Endpoint Security โดยการลงทุนในการใช้ EDR โดยไม่มีการทราบถึงปัญหาของ EPP ที่ใช้อยู่เปรียบเสมือนการสร้างตึกสูงบนทรายดูด ก็คือการใช้ EDR โดยที่ไม่ทราบถึงปัญหาและสาเหตุที่แท้จริง ซึ่งการใช้ EPP ที่อ่อนแอสามารถบ่อนทำลาย EDR ได้ ส่งผลให้ EDR ไม่สามารถมอบผลรับตามที่ต้องการได้ นอกจากนี้ หากโซลูชัน EDR มีคุณสมบัติมากเกินความต้องการที่แท้จริงของคุณ อาจทำให้เกิดความซับซ้อนที่ไม่จำเป็นและต้นทุนที่สูงขึ้น โดยไม่ได้ให้ประโยชน์ที่คุ้มค่าต่อการใช้งาน
3. การใช้งาน EDR จะต้องใช้ทีม IT ที่มีความเชี่ยวชาญ
สิ่งที่มักเข้าใจผิด: ธุรกิจ SMB และธุรกิจขนาดเล็กหรือธุรกิจที่มีทรัพยากรจำกัด (Low-End Enterprises) ไม่มีผู้เชี่ยวชาญด้านความปลอดภัยที่มีทักษะมากพอที่จะเข้าใจและใช้งานเครื่องมือที่จำเป็นต่อการตรวจจับ ตรวจสอบ และตอบโต้ภัยคุกคามที่มีการหลบเลี่ยง
ความเป็นจริง: ในครั้งเมื่อ EDR ถูกวางจำหน่าย ระบบต่าง ๆ นั้นมีความซับซ้อนและยากต่อการใช้งานเป็นอย่างมาก แต่ด้วยโซลูชันสมัยใหม่ ในแต่ละครั้งที่คุณได้รับการแจ้งเตือน ระบบ EDR จะช่วยคุณในการทำความเข้าใจที่มาของภัยคุกคามมากขึ้น เช่น ภัยคุกคามนั้้นพัฒนาได้อย่างไร อะไรคือสาเหตุหลักของภัยคุกคามนั้น หรือแม้แต่มันได้แพร่กระจายไปยังโฮสต์อื่น ๆ หรือไม่ และถ้าแพร่กระจายไปมากน้อยแค่ไหน นอกจากนี้ EDR ยังช่วยให้คุณจัดการเหตุการณ์ต่าง ๆ ได้อย่างมีประสิทธิภาพ ตั้งแต่การระบุปัญหา การควบคุม การกำจัด การกู้คืน ไปจนถึงการวิเคราะห์บทเรียนที่ได้รับ เพื่อเตรียมความพร้อมสำหรับการโจมตีในอนาคต
4. คุณไม่สามารถใช้ EDR ร่วมกับ MDR ได้
สิ่งที่มักเข้าใจผิด: หากต้องการระบบความปลอดภัยแบบ EDR (Endpoint Detection and Response) หลายคนคิดว่าคุณต้องลงทุนใน EDR ให้ทีมภายในของคุณใช้งานเอง หรือเลือกใช้บริการ MDR (Managed Detection and Response) ให้กับผู้เชี่ยวชาญแทน
ความเป็นจริง: ความปลอดภัยแบบ EDR (Endpoint Detection and Response) ไม่ใช่การตัดสินใจแบบเลือกทางใดทางหนึ่ง ทั้ง EDR และ MDR ทั้งคู่ต่างมีประโยชน์ของมัน และทางเลือกที่ดีที่สุดในการใช้งานคือการรวมระบบทั้งสองมาใช้ด้วยกัน เช่น ธุรกิจ SME หรือธุรกิจขนาดเล็กสามารถใช้ MDR ในการเพิ่มขีดความสามารถด้านความปลอดภัยไอทีและป้องกันกับภัยคุกคามที่มีการหลีกเลี่ยง โดยไม่จำเป็นที่จะต้องลงทุนเพิ่มในการเพิ่มพนักงานหรือทรัพยากร ในขณะที่องค์กรขนาดใหญ่สามารถใช้ EDR เพื่อแบ่งเบาภาระของกระบวนการคัดกรองและตรวจสอบเหตุการณ์ได้ตลอด 24/7 และยังช่วยให้องค์กรสามารถใช้ทรัพยากรด้าน IT security ภายในได้อย่างมีประสิทธิภาพมากขึ้น โดยใช้ EDR ในการสืบสวนและตอบสนองภัยคุกคามอย่างละเอียด
5. EDR อาจเพิ่มภาระให้กับทีมรักษาความปลอดภัยด้วยการแจ้งเตือนที่มากเกินไป และในบางครั้งอาจไม่คุ้มค่ากับความยุ่งยากที่ต้องจัดการ
สิ่งที่มักเข้าใจผิด: EDR มักถูกมองว่าก่อให้เกิดการแจ้งเตือนจำนวนมาก รวมถึงการแจ้งเตือนที่ผิดพลาด ซึ่งทีม IT อาจไม่มีเวลาหรือทรัพยากรเพียงพอในการจัดการหรือแก้ไขได้ทัน
ความเป็นจริง: โซลูชัน EDR ยุคใหม่ไม่เพียงแต่ช่วยให้กระบวนการต่าง ๆ ให้เป็นอัตโนมัติเท่านั้น แต่ EDR และ/หรือ MDR ยังสามารถเปลี่ยนสถานการณ์ที่เสี่ยงต่อการถูกโจมตีแบบหลบเลี่ยง ให้กลายเป็นความมั่นใจในความปลอดภัยของอุปกรณ์ปลายทาง แทนที่จะไม่แน่ใจว่าเกิดอะไรขึ้นในระบบ แต่คุณจะสามารถมองเห็นและควบคุมอุปกรณ์ปลายทางทั้งหมดได้ อีกทั้งยังช่วยลดความซับซ้อนในการอัปเกรดระบบรักษาความปลอดภัย ให้กลายเป็นโซลูชันที่เรียบง่ายและครบวงจร ทำให้ใช้ทรัพยากรได้อย่างคุ้มค่ามากยิ่งขึ้น
เมื่อความเข้าใจผิดเกี่ยวกับ EDR ถูกไขข้อสงสัยและความสามารถของมันถูกใช้อย่างเต็มประสิทธิภาพ องค์กรจะได้รับการปกป้องจากภัยคุกคามที่ซับซ้อนและมีความสามารถในการป้องกันการโจมตีได้ดียิ่งขึ้น ไม่ว่าธุรกิจของคุณจะเล็กหรือใหญ่ การมี EDR ที่ทำงานสอดคล้องกับระบบความปลอดภัยอื่น ๆ จะช่วยให้คุณเตรียมพร้อมรับมือกับความท้าทายด้านไซเบอร์ในปัจจุบันและอนาคตได้อย่างมั่นใจ
ที่มา: https://www.kaspersky.co.th
Comments