เรียนรู้เทคโนโลยีความปลอดภัยที่เหนือชั้น  "Connected Threat Defense" (CTD)

"ภัยคุกคามแห่งโลกไซเบอร์ไม่มีวันหยุดราชการ!" นี่คงเป็นวลีที่ไม่เกินจริงไปนัก นอกจากมันจะไม่หยุดทำงานแล้ว ภัยที่เกิดขึ้นยังรุนแรงมากขึ้นกว่าเดิมอีก ซึ่งโซลูชั่นในการป้องกันภัยคุกคามแบบเดิมๆ (ที่ติดตั้งแล้วรออัพเดต) ไม่เพียงพอต่อการป้องกันภัยในยุคสมัยนี้แล้ว  อีกทั้งบริษัทวิจัยชั้นนำระดับโลกหลายๆ แห่ง (อย่างเช่น การ์ทเนอร์) ยังออกมาพูดเป็นเสียงเดียวกันว่า ถ้าองค์กรใดที่ต้องการทีจะสร้างระบบการรักษาความปลอดภัยแบบยั่งยืนแล้วละก็ ควรจะต้องพัฒนาระบบทำงานเป็นแบบเชิงรุก ไม่ใช่วนเวียนซ้ำๆ เดิมๆ อีกต่อไป ควรจะต้องมีระบบที่สามารถตรวจสอบ, จัดการ และป้องกันได้อย่างมีประสิทธิภาพ

 

 

แนวคิดการป้องกันภัยแบบ Connected Threat Defense (CTD)
เทรนด์ ไมโคร ซึ่งเป็นผู้นำด้านความปลอดภัยอัจฉริยะ ได้ตระหนักถึงปัญหาภัยคุกคามที่รุนแรงที่เกิดขึ้นดังกล่าว จึงพัฒนาเทคโนโลยีด้านการป้องกันภัยแบบใหม่ที่มีความเหนือชั้น ที่ชื่อว่า  Connected Threat Defense (CTD) ซึ่งมีความสามารถที่ยอดเยี่ยมและจัดการภัยคุกคามได้แบบครบวงจร  โดยทำงานในลักษณะแบบครบเครื่อง ไม่ว่าจะเป็นการตรวจจับ, วิเคราะห์, ยับยั้ง พร้อมป้องกันที่รวดเร็วที่สุดกว่าที่เคยมีมา 

หลักการทำงานของ CTD นั้น จะเริ่มจากอุปกรณ์ที่ทำหน้าที่ในการวิเคราะห์ไฟล์ต่างๆ ทีเกิดขึ้นในเครือข่าย (Sandbox Analysis) หากพบว่าเป็นไฟล์ที่มีพวกมัลแวร์หรือพวก Zero-Day Attack เข้ามา มันจะทำการสร้าง ซิกเนเจอร์สำหรับมัลแวร์ตัวนั้นโดยเฉพาะ และส่งไปยังเครื่องเอ็นด์พอยท์ และทำการแก้ไข ซึ่งใช้เวลาทำงานเพียงแค่ 1 ชั่วโมงเท่านั้น ! (ระบบเดิมใช้เวลานานถึง 3 วันกว่าจะตรวจจับและแก้ไขได้)

เทรนด์ ไมโคร คือผู้นำ CTD อย่างแท้จริง
เทคโนโลยี Connected Threat Defense จะประกอบด้วย โซลูชั่น Sandbox Analysis สำหรับผลิตภัณฑ์ของเทรนด์ ไมโคร ก็คือ Deep Discovery Inspector v3.7 ซึ่งเป็นโซลูชั่นที่มีประสิทธิภาพสูง  และยังได้รับการจัดอันดับ เป็นโซลูชั่นที่ถูก "แนะนำ" (Recommended) จากการทดสอบ NSS Labs Breach Detection Systems (BDS) และยังได้รับรางวัลเกี่ยวกับความคุ้มค่าในการลงทุน หรือ Lower TCO 2014 และ 2015 ด้วย  ต่อมาจะต้องมีโซลูชั่นในการป้องกันเครื่องเอ็นด์พอยท์ที่มีความสามารถสูงและทำงานได้อย่างมีประสิทธิภาพ ซึ่งเทรนด์ ไมโครมีตัว OfficeScan (ปัจจุบัน เทรนด์ ไมโคร เป็นผู้นำอันดับหนึ่งตามรายงานของ Gartner Magic Quadrant for Endpoint Protection ในปี 2016)  และสุดท้ายโซลูชั่นทั้งสองแบบจะต้องทำงานด้วยกันในลักษณะแบบ "อัตโนมัติ"

ฟังก์ชันการทำงานที่เหนือชั้น
ฟังก์ชันจากเทรนด์ ไมโคร อย่างหนึ่งที่น่าสนใจที่เพิ่มขึ้นมาคือ Suspicious Objects ซึ่งเมนูนี้จะเกิดขึ้นได้ก็ต่อเมื่อมีโซลูชั่นทั้งสอง (ทั้ง Sandbox และ Endpoint Solution) ทำงานอยู่ในระบบเดียวกัน  โดยตัว Deep Discovery  สามารถที่จะวิเคราะห์ไฟล์ที่มีพฤติกรรมน่าสงสัยได้ในหลายรูปแบบ เช่น ในกรณีที่มันวิเคราะห์ว่าเป็น "รูปแบบไฟล์" มันก็จะทำการคำนวณหาค่าของไฟล์และส่งเป็นค่า SHA-1 ออกมาให้ โดยพร้อมรายละเอียดต่างๆ หรือบางกรณีถ้าวิเคราะห์เป็น "รูปแบบเว็บ" มันก็จะส่งเป็นค่าไอพีแอดเดรส หรือ URL ของมัลแวร์มาให้ เป็นต้น

ซึ่งเมื่อได้ข้อมูลรายละเอียดของมัลแวร์หรือซิกเนเจอร์ของไฟล์ที่น่าสงสัยนั้นมาแล้ว เราก็จะสามารถควบคุมไฟล์ร้ายนั้นได้ โดยเลือกวิธีจัดการกับพวกมัน และกำหนดเป็นโพลิซี ให้กับเครื่องเอ็นด์พอยท์ในระบบ ซึ่งคุณสามารถเลือกจัดการได้ถึง 3 วิธี อาทิเช่น การทำ Log, การ Block และ การ Quarantine  โดยระบบจะส่งข้อมูลของตัวไฟล์ที่น่าสงสัยไปยังเครื่องเอ็นด์พอยท์ที่อยู่ในระบบทั้งหมด (ซึ่งติดตั้งโซลูชั่น OfficeScan) จะเก็บข้อมูลดังกล่าวไว้ และหากพบว่ามีไฟล์ที่น่าสงสัย และตรงกับข้อมูลที่ได้รับมาล่วงหน้า มันก็จะจัดการกับมัลแวร์นั้นทันที

จัดการ Ransomware และ Zero Day Attack ได้อย่างมีประสิทธิภาพ
วิธีการข้างต้นจะช่วยให้คุณสามารถที่จะควบคุมและจัดการไฟล์ที่น่าสงสัย เป็นวิธีการที่หยุดยั้งไฟล์ที่เป็นอันตรายต่อระบบได้ ตัวอย่างเช่นในกรณีของภัย Ransomware ซึ่งตัวภัยประเภทนี้มันจะมีการเปลี่ยนคีย์ไปเรื่อยๆ ทำให้ซอฟต์แวร์แอนตี้-ไวรัสทั้งหลาย ไม่สามารถที่จะจับการทำงานของมันได้ แต่ด้วยความสามารถของเทคนิค CTD แม้ไฟล์ที่น่าสงสัยนั้นจะเข้ามาในเครื่องของยูสเซอร์ มันก็จะไม่สามารถทำอะไรเครื่องยูสเซอร์ได้ นี่จึงเป็นเหตุผลว่าทำไมเทคโนโลยีการป้องกันความปลอดภัยแบบ Connected Threat Defense หรือ CTD มีความอัจฉริยะในการป้องกันภัยมากกว่า

และเพื่อความปลอดภัยสูงสุด เทคโนโลยี CTD สามารถที่จะช่วยป้องกันที่ต้นเหตุของการเกิดปัญหาภัยคุกคามได้ โดยวิเคราะห์ที่เครื่องเอ็นด์พอยท์แต่ละเครื่อง หากเครื่องใดเครื่องหนึ่งในระบบมีพฤติกรรมที่น่าสงสัย (เช่น มีการติดไวรัสบ่อย, มี Incident เป็นจำนวนมาก, หรือมีความเสี่ยงในการถูกโจมตี) ระบบก็สามารถที่จะทำการ Isolate หรือการกักกันเครื่องนั้นได้ด้วย จนกว่าจะเครื่องเอ็นด์พอยท์ดังกล่าวนั้นจะจัดการตัวเองให้มีความปลอดภัยมากขึ้น (อาจจะล้างระบบ, ติดตั้งซอฟต์แวร์, อัพเดตแพทช์ ฯลฯ) ระบบศูนย์กลางก็จะปล่อยให้เข้าใช้งานได้ตามปกติ 

เสียงตอบรับจากผู้ใช้งาน
ด้านคุณ Shuichi Yamagishi ซึ่งเป็นผู้จัดการทั่วไปแผนก Global IT Group ของทาง Mikuni Corporation ซึ่งเป็นกลุ่มโรงงานอุตสาหกรรมขนาดใหญ่ กล่าวว่า "การวางระบบซีเคียวริตี้ที่ดีนั้นไม่ใช่ว่าคุณจะแค่ติดตั้งและก็ปล่อยลืมมันไป แต่เราจะต้องเตรียมระบบที่ครอบคลุมวงจรการทำงานของภัยคุกคามตั้งแต่เริ่มต้น โดยจะต้องทำความเข้าใจ, วิเคราะห์, และวางแผนพร้อมทั้งป้องกัน ซึ่งการทำงานเป็นวงจรเช่นนี้ ก็เพื่อให้ระบบมีประสิทธิภาพมากที่สุด" 

ต้องบอกว่าข้อมูลของทาง Mikuni เป็นข้อมูลที่มีความพิเศษเฉพาะด้าน ซึ่งรวมถึงเอกสารและข้อมูลเทคโนโลยีเกี่ยวกับการผลิตอุตสาหกรรมที่มีความสำคัญ และเป็นสิ่งที่ทำให้พวกเขายืนอยู่บนอันดับหนึ่งเหนือคู่แข่งมาโดยตลอด ข้อมูลเหล่านี้จำเป็นจะต้องได้รับการปกป้องอย่างดีที่สุด และไม่ให้ตกอยู่ภายใต้ความเสี่ยง หรือมีการรั่วไหลของข้อมูลออกไป นั่นจึงทำให้พวกเขาตัดสินใจเลือกใช้เทคโนโลยีของเทรนด์ ไมโคร ทั้ง Deep Discovery Inspector และ Trend Micro OfficeScan ช่วยให้พวกเขามีระบบการป้องกันทั้งในระดับเครือข่ายและบนเครื่องเอ็นด์พอยท์ที่มีประสิทธิภาพ สามารถป้องกันภัยร้ายๆ ไม่ว่าจะเป็น Zero-Day Attack, APTs และมัลแวร์ต่างๆ ได้อย่างยอดเยี่ยม 

บทสรุป
Connected Threat Defense คือเทคโนโลยีการป้องกันภัยแนวใหม่ที่มีความสามารถสูง เป็นการผสานการทำงานระบบ Trend Micro Deep Discovery และ Trend Micro OfficeScan เข้าด้วยกัน ทำงานในลักษณะแบบเชิงรุก ที่สามารถมองเห็นภัยร้ายได้ก่อนใคร ทั้งนี้เพื่อช่วยสร้างเกราะคุ้มกันองค์กรที่แข็งแกร่งมากกว่าที่เคยมีมา

 

 

 

Share this Article: