Header Ads

Header ADS

แคสเปอร์สกี้แนะเกร็ดการเลือกโซลูชั่น EDR สำหรับ SME ให้เหมาะตามความจำเป็นและพร้อมใช้งาน

 การคุกคามทางไซเบอร์ต่อธุรกิจ SME ทวีความซับซ้อน ป้องกันยากขึ้น กลไกการป้องกันเอ็นด์พอยต์ที่เคยใช้ได้ผลชักไม่ค่อยได้ผลแล้ว ดังนั้น การตรวจจับได้แต่เนิ่นๆ ด้วยความแม่นยำจึงทวีความสำคัญต่อการบรรเทาผลเสียหายที่อาจเกิดขึ้นต่อธุรกิจได้มากกว่า ทว่า ภารกิจที่ท้าทายเช่นนี้ต้องอาศัยการมองเห็นภาพรวมของเอ็นด์พอยต์ได้อย่างชัดเจนปรุโปร่งเป็นตัวช่วยสำคัญ เพื่อสอดส่องความเคลื่อนไหว /พฤติกรรมที่น่าสงสัย และมีความสามารถที่จะเข้าใจขั้นตอนการทำงานของสิ่งที่เข้ามาโจมตี

จากประสบการณ์ของแคสเปอร์สกี้พบว่าธุรกิจ SMEs รู้ว่าตนมีความจำเป็นต้องปรับปรุงด้านระบบความปลอดภัยไซเบอร์ เพราะเรามักได้รับการติดต่อสอบถามข้อมูลโปรดักส์อยู่เนืองๆ อย่างไรก็ตาม สำหรับองค์กรที่แผนกไอทีต้องรับผิดชอบด้านไซเบอร์ซีเคียวริตี้พ่วงไปด้วยอีกหนึ่งงานนั้น — ซึ่งธุรกิจ SMEs ส่วนมากจะเป็นอย่างนี้ — อาจจะยากไม่น้อยเลยทีเดียว เพราะไม่รู้ว่าจะเริ่มต้นตรงไหนอย่างไร ดังนั้น การซื้อหาโซลูชั่นที่อัดแน่นด้วยฟีเจอร์เด็ดไว้เยอะๆ มาติดตั้งเอาไว้ก็ดูน่าจะเป็นทางออกที่ดี 

แต่คิดอย่างนี้ก็ไม่ใช่ว่าจะถูกต้องเสมอไป ขึ้นอยู่กับความสามารถขององค์กรธุรกิจในการจัดการข้อมูลจากโซลูชั่น Endpoint Detection and Response (EDR) ว่าทำได้หรือไม่ สามารถแยกแยะสัญญานเตือนหลอก (false alerts) จากเตือนภัยจริงได้หรือไม่

ฟังก์ชั่นเด็ด การลงทุนต้องใหญ่ – โยงใยมากว่าเรื่องเงินลงทุน

ประการแรก คือ ราคา รายงานของแคสเปอร์สกี้ ‘IT security economics in 2019: How businesses are losing money and saving costs amid cyberattacks’ ชี้ว่า โดยเฉลี่ยแล้วองค์กรไม่ว่าขนาดเล็กหรือใหญ่ งบสำหรับความปลอดภัยนั้นอยู่ประมาณหนึ่งในสี่ของงบประมาณไอทีทั้งหมด มีความแตกต่างสำคัญในตัวเลขที่แน่ชัดสำหรับองค์กรที่มีพนักงาน 50-999 คนจะมียอดใช้จ่ายอยู่ที่ $267,000 ขณะที่พนักงาน 1,000 คน อยู่ที่ $18.9 ล้านเหรียญโดยเฉลี่ย ดังนั้น โซลูชั่นสำหรับลูกค้าเอ็นเตอร์ไพร้ซ์ก็ไม่น่าจะลงตัวกับงบประมาณของธุรกิจที่มีขนาดย่อมลงมา

ยิ่งไปกว่านั้น การลงทุนไม่ใช่เพียงแค่ตัวเงินเท่านั้น โปรดักส์สำหรับธุรกิจระดับเอ็นเตอร์ไพร้ซ์อาจจะมีความซับซ้อนในการติดตั้งและในการใช้งานกับโซลูชั่นเดิม บางองค์กรถึงกับต้องมีพนักงานจากแผนกไอทีให้ดูแลเฉพาะงานไปเลย ซึ่งเป็นไปได้ยากสำหรับองค์กรขนาดเล็ก ที่คงไม่มีด้านกำลังคนพอที่จะรับผิดชอบได้แบบนั้น 

อย่าเอาฆ้อนมาทุบถั่ว

แน่นอนว่า ถ้าหากซีเคียวริตี้โซลูชั่นที่ติดตั้งนี้รองรับงานด้านความปลอดภัยทุกระดับชั้นได้ทั้งองค์กรก็ย่อมคุ้มค่าความเหน็ดเหนื่อย แต่ในทางปฏิบัติแม้ว่า SME จะจัดหางบประมาณสำหรับติดตั้งโซลูชั่นคุณภาพระดับเอ็นเตอร์ไพร้ซ์ได้ แต่ก็ยังขาดความเชี่ยวชาญด้านความปลอดภัยเฉพาะทาง จึงมักไม่ได้รับประโยชน์หรือบังเกิดผลคุ้มค่ากับฟังก์ชั่นต่างๆ ที่อัดแน่นมากับโซลูชั่น 

ประการแรก ฟังก์ชั่นใช้งานที่แม้จะแอดว้านซ์ก็อาจจะไม่ตอบโจทย์ก็เป็นได้ ตัวอย่างเช่น องค์กรที่ยังมือใหม่อยู่มากเรื่องไซเบอร์ซีเคียวริตี้ เมื่อต้องเผชิญกับออปเจ็กท์ต้องสงสัย ก็อาจจะกังวลเพียง นี่เป็นออปเจ็กท์ประสงค์ร้ายจริงๆ หรือไม่ จำเป็นต้องบล็อกหรือไม่ ขณะที่ องค์กรที่ผ่านร้อนผ่านหนาวมามากอาจต้องการภาพรวมของกิจกรรมและรายละเอียดเบื้องหลังออปเจ็กท์นั้น เพื่อไปดำเนินการสืบสวนลงลึกต่อไป ดังนั้น จะเห็นได้ว่า การที่เรามีความเข้าใจความต้องการความจำเป็นขององค์กรของเรา และชัดเจนในศักยภาพของทีมงาน จึงมีความสำคัญอย่างยิ่งต่อการตัดสินใจเลือกจัดสรรสิ่งที่เหมาะสมตอบโจทย์ อาทิ sandbox ที่ออกแบบสำหรับนักวิจัยด้านซีเคียวริตี้ เป็นต้น 

ประการต่อมา โปรดักส์ที่สร้างขึ้นสำหรับนักวิเคราะห์ซีเคียวริตี้นั้นก็ไม่ได้จะเหมาะสำหรับการใช้งานแบบตั้งค่าทิ้งเอาไว้ “set-and-forget” เสมอไป ตัวอย่างเช่น ฟีเจอร์ของ EDR solution จะต้องใช้ทีมนักวิเคราะห์ที่เชี่ยวชาญสามารถปรับหาลอจิกการตรวจจับ ที่เหมาะสม จากนั้นสร้างกฎขึ้นใหม่เพื่อยกระดับขีดความสามารถในการตรวจจับขึ้นไปอีกเรื่อยๆ เป็นต้น ซึ่งถ้าไม่มีทีมผู้เชี่ยวชาญตรงนี้ โซลูชั่นที่มีอยู่ ต่อให้แอดว้านซ์เพียงใด ก็ไม่สามารถแสดงพลังในการสืบหาสัญญานบ่งชี้เหตุให้คุณได้เลย

เป็นเรื่องธรรมดาในธุรกิจ SMEs ที่แอดมินจะต้องบริหารโซลูชั่นป้องกันเอ็นด์พอยต์ด้วย แม้แต่ EDR ซึ่งมีคุณสมบัติพิเศษสำคัญๆ ก็ยังต้องมีพนักงานที่มีความรู้พื้นฐานด้านไซเบอร์ซีเคียวริตี้อยู่บ้างมาดูแล การว่าจ้างผู้เชียวชาญมือโปรเข้ามาดูแลก็ดีแน่นอน แต่มาพร้อมกับค่าใช้จ่าย ค่าตัวที่สูงลิ่วและยังหายากอีกด้วย ดังนั้น ก็น่าคิดที่จะเริ่มจากภายในองค์กร สร้างพนักงานที่มีความรู้ด้านความปลอดภัยไซเบอร์ ผนวกกับงานระบบสารสนเทศ ก็จะสามารถตรวจสอบการแจ้งเตือน (alerts) สะกัดกั้นสิ่งแปลกปลอมต้องสงสัย และประเมินความเสี่ยงจากการดำเนินการ เช่น แยกเดี่ยวเวิร์กสเตชั่น หรือ เซิร์ฟเวอร์ หรือ ยกเลิกขั้นตอนการทำงานบางอย่าง เป็นต้น 

และเมื่อวันใดที่ EDR สิ้นสุดสภาพโซลูชั่นเฉพาะทางที่เคยลงทุนไปและกลายมาเป็นโปรดักส์แบบ shelfware ก็จะทำให้ใจเสียได้เหมือนกันว่าตัดสินใจผิดตั้งแต่ก้าวแรกที่จะมาสายไซเบอร์ซีเคียวริตี้กันแล้ว โดยปกติแล้ว ถ้าไม่เห็นประโยชน์อะไร จะลงทุนไปกับโปรดักส์สายซีเคียวริตี้อื่นๆ ไปอีกทำไม จริงหรือไม่



สเตฟาน นิวไมเออร์ กรรมการผู้จัดการ แคสเปอร์สกี้ ภูมิภาคเอเชียแปซิฟิกกล่าวว่า “ดังนั้น องค์กรควรที่จะตัดสินใจว่าพร้อมที่จะว่าจ้างพนักงานในตำแหน่งซีเคียวริตี้สำหรับข้อมูลและระบบไซเบอร์ต่างๆ หรือไม่ ถ้าไม่เช่นนั้น เรามีตัวเลือกอื่นใดที่ดีพอในการดึงความช่วยเหลือกรณีเกิดเหตุการณ์ขึ้นมา และต้องเป็นความช่วยเหลือจากมืออาชีพที่สามารถตรวจจับและรับมือแก้ปัญหาให้แก่องค์กรได้”

สำหรับธุรกิจที่คิดสร้างพลังจากทีมงานภายในองค์กรขึ้นเอง ต้องเริ่มก้าวแรกที่การหาโซลูชั่นที่เหมาะสม ได้ประโยชน์เต็มที่ทุกฟีเจอร์ โดยไม่ต้องลงทุนมหาศาล ไปกับสิ่งอื่นใดนอกเหนือไปจากที่มีอยู่เดิม ทั้งในแง่ของเงินและทีมงาน และเพื่อหลีกเลี่ยงข้อผิดพลาดดังที่กล่าวมาข้างต้น มีข้อแนะนำบางประการดังต่อไปนี้:

– เพื่อให้เห็นภาพรวมชัดเจนแต่ไม่มี ‘จุดบอด’และฟีเจอร์การแก้ไขสถานการณ์จากศูนย์กลาง ต้องผนวก EDR เข้ากับแพลตฟอร์ม Endpoint Protection Platform (EPPการเพิ่มศักยภาพไซเบอร์ซีเคียวริตี้ควรไปทีละขั้น เมื่อใดที่องค์กรสามารถที่จะตรวจจับออปเจ็กท์ไม่พึงประสงค์ได้ด้วยโซลูชั่นป้องกันเอ็นด์พอยต์ จากนั้นก็ค่อยขยายต่อยอดเทคโนโลยีที่มีไปสู่ความเข้าใจเกี่ยวกับออปเจ็กท์นั้นๆ เช่น ที่มา และสืบหาภัยชนิดนี้ที่อาจแฝงตัวอยู่ที่ใดที่หนึ่งในระบบ 

– ถ้าโซลูชั่น EDR ทำงานสอดประสานกับเอ็นด์พอยต์ซีเคียวริตี้โซลูชั่นที่ใช้อยู่ได้อย่างลงตัวในรูปแบบรวมสู่ศูนย์กลางแล้ว ก็จะลดการเสียเวลาในการใช้งานได้ ดังนั้น ก่อนการจัดซื้อโปรดักส์ ต้องรู้ว่ารองรับการทำงานร่วมกับแพลตฟอร์ม EPPs ของคุณหรือไม่

– ถ้าคุณมีพนักงานจำนวนจำกัดที่ดูแลเรื่องซีเคียวริตี้ ก็ให้แน่ใจว่าโซลูชั่น EDR ที่คุณเลือกมานั้นมีศักยภาพสูงในการให้ภาพรวมที่ชัดเจนและสะดวกในการทำออโตเมชั่น และไม่ยัดเยียดข้อมูลที่ไม่เกี่ยวข้องให้ผู้เชี่ยวชาญจนท่วมล้น ข้อมูลที่จำเป็นควรมีพร้อมเรียกใช้ได้จากหนึ่งคอนโซล และควรมีการแสดงเส้นทางการเข้าโจมตี/กระจายตัวในระบบให้เข้าใจได้โดยง่ายเพื่อประโยชน์ในการนำมาวิเคราะห์ การสืบค้นอัตโนมัติเพื่อหาตัวบ่งชี้จุดอ่อน Indicators of Compromise และฟีเจอร์รับมือกับเหตุการณ์ที่จะลดการเสียเวลาและเพิ่มประสิทธิภาพในการดำเนินการ


ไม่มีความคิดเห็น

รูปภาพธีมโดย Michael Elkan. ขับเคลื่อนโดย Blogger.