จะสมามารถ หยุดแฮกเกอร์ได้อย่างไร โปรแกรมป้องกันไวรัสตัวไหนดี

หยุดแฮกเกอร์ได้อย่างไร นิยาม EDR การตรวจจับและตอบสนองปลายทาง (EDR) เป็นหมวดหมู่ของเครื่องมือรักษาความปลอดภัยที่ตรวจสอบอุปกรณ์ฮาร์ดแวร์ของผู้ใช้ปลายทางผ่านเครือข่ายสำหรับกิจกรรมและพฤติกรรมที่น่าสงสัยต่างๆโดยจะตอบสนองโดยอัตโนมัติเพื่อป้องกันภัยคุกคามที่รับรู้และบันทึกข้อมูลทางนิติเวชเพื่อการตรวจสอบเพิ่มเติม

แพลตฟอร์ม EDR รวมการมองเห็นที่ชัดเจนในทุกสิ่งที่เกิดขึ้นบนอุปกรณ์ปลายทาง – กระบวนการการเปลี่ยนแปลง DLL และการตั้งค่ารีจิสทรีกิจกรรมไฟล์และเครือข่ายพร้อมความสามารถในการรวบรวมและวิเคราะห์ข้อมูลที่ช่วยให้สามารถรับรู้และตอบโต้ภัยคุกคามโดยกระบวนการอัตโนมัติหรือการแทรกแซงของมนุษย์ . โดยทั่วไปปลายทางในที่นี้หมายถึงอุปกรณ์สำหรับผู้ใช้ปลายทางตั้งแต่แล็ปท็อปไปจนถึงสมาร์ทโฟนและสามารถครอบคลุมอุปกรณ์ IoT ได้เช่นกัน

การรับรู้ประเภทของการตรวจหาจุดสิ้นสุดและการตอบสนองครั้งแรกได้รับการยอมรับอย่างกว้างขวางว่าอยู่ในบล็อกโพสต์ในปี 2013 โดย Anton Chuvakin นักวิเคราะห์ของ Gartner ซึ่งพยายามสร้าง “ชื่อทั่วไปสำหรับเครื่องมือที่เน้นการตรวจจับและสืบสวนกิจกรรมที่น่าสงสัยเป็นหลัก (และ ร่องรอยของสิ่งนั้น) ปัญหาอื่น ๆ บนโฮสต์ / ปลายทาง ” เขาใช้วลีการตรวจจับภัยคุกคามปลายทางและการตอบสนองแต่การตรวจจับและการตอบสนองปลายทางที่รวบรัดมากขึ้นคือสิ่งที่เกิดขึ้น

EDR เทียบกับโปรแกรมป้องกันไวรัส / EDR เทียบกับ EP P
วิธีที่ดีในการทำความเข้าใจหมวดหมู่เช่น EDR คือการสำรวจความแตกต่างจากข้อเสนอที่คล้ายคลึงกัน EDR มักจะถูกเปรียบเทียบกับโปรแกรมป้องกันไวรัสหรือกับแพลตฟอร์มการป้องกันปลายทาง (EPPs) ,ซึ่งเป็นข้อเสนอของร่มที่บูรณาการป้องกันไวรัส / ความสามารถในการป้องกันมัลแวกับเครื่องมืออื่น ๆ ที่คุ้นเคยรักษาความปลอดภัย – การเข้ารหัสข้อมูล, ไฟร์วอลล์, ระบบป้องกันการบุกรุกและอื่น ๆ เครื่องมือที่ประกอบขึ้นเป็น EPP มีแนวโน้มที่จะป้องกันได้ตามธรรมชาติและตามลายเซ็นซึ่งหมายความว่าเครื่องมือเหล่านี้จะจับคู่ภัยคุกคามที่อาจเกิดขึ้นกับฐานข้อมูลของรหัสที่เป็นอันตรายที่ทราบเพื่อหยุดการโจมตีก่อนที่จะเริ่มดำเนินการ

แต่เมื่อภัยคุกคามมีความว่องไวมากขึ้นการป้องกันประเภทนี้ซึ่งขึ้นอยู่กับไลบรารีแบบคงที่ของภัยคุกคามที่รู้จักและการป้องกันในขอบเขตของ บริษัท จะมีประสิทธิภาพน้อยลงและนั่นคือจุดที่ EDR เข้ามาการกระทำทั้งหมดที่เกิดขึ้นบนปลายทาง – ตั้งแต่การเปลี่ยนแปลงการกำหนดค่าไปจนถึงกระบวนการที่เปิดใช้งาน หรือถูกฆ่าไปยังไฟล์ที่ถูกเข้าถึงคัดลอกหรือ exfiltrated – เป็นส่วนสำคัญของการแฮ็กและแพลตฟอร์ม EDR มีเป้าหมายที่จะให้ที่นั่งแถวหน้าสำหรับเจ้าหน้าที่รักษาความปลอดภัยพร้อมกับการตอบสนองอัตโนมัติในระดับหนึ่ง

วิธีนี้มีผลในทางปฏิบัติอย่างไร? โดยทั่วไปแพลตฟอร์ม EDR ประกอบด้วยตัวแทนที่ติดตั้งบนอุปกรณ์ของผู้ใช้ปลายทาง ตัวแทนเหล่านี้ตรวจสอบกิจกรรมและส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ส่วนกลางซึ่งอาจอยู่ในองค์กรหรือในระบบคลาวด์ เซิร์ฟเวอร์สามารถตรวจพบปัญหาโดยอัตโนมัติและพยายามแก้ไขหรือแจ้งเตือนเจ้าหน้าที่รักษาความปลอดภัย นอกจากนี้ยังแสดงข้อมูลผ่านแดชบอร์ดที่ตรวจสอบโดยทีม infosec

กรณีการใช้การตรวจจับและการตอบกลับปลายทาง หยุดแฮกเกอร์ได้อย่างไร
EDR จะส่องแสงในสถานการณ์แบบใด? กรณีการใช้งาน EDR ตามแบบฉบับจะเป็นสถานการณ์เมื่อภัยคุกคามที่ใช้งานอยู่เกิดขึ้นในหลายรูปแบบในจุดสิ้นสุดโดยดูที่รูปแบบการดำเนินการมากกว่าสัญญาณที่ง่ายกว่าเช่นไวรัสเฉพาะหรือการละเมิดไฟร์วอลล์ ตัวอย่างเช่นผู้โจมตีที่ขโมยข้อมูลประจำตัวที่ถูกต้องผ่านฟิชชิ่งโจมตีสามารถเข้าสู่ระบบได้ตามปกติโดยไม่ต้องเรียกเตือนภัยใด ๆ หรือการใช้ใด ๆมัลแวร์ ในตอนแรกพวกเขาจะมีจุดสิ้นสุดที่เป็นอิสระ แต่กิจกรรมของพวกเขาหลังจากนั้นเช่นการพยายามยกระดับสิทธิพิเศษหรือย้ายไปยังระบบอื่นในแนวนอนอาจถูกตั้งค่าสถานะโดยระบบ EDR ที่ดีหรืออย่างน้อยก็จะทิ้งร่องรอยไว้ในข้อมูลที่มนุษย์ infosec pro สามารถตรวจจับได้

การตรวจจับกิจกรรมที่น่าสงสัยเป็นหัวใจสำคัญของสิ่งที่ EDR ทำ: คุณต้องการทราบเมื่อมีสิ่งผิดปกติเกิดขึ้น
การบล็อกภัยคุกคามขั้นสูงทำงานเพื่อต่อสู้กับภัยคุกคามทันทีที่ตรวจพบ
การตรวจสอบและกรองการแจ้งเตือนเป็นสิ่งสำคัญในการต่อสู้กับ “แจ้งเตือนความเหนื่อยล้า” ในหมู่พนักงานของอินโฟเซ โซลูชัน EDR ควรสามารถจัดเรียงสัญญาณเตือนที่อาจเกิดขึ้นได้และจะเพิ่มขึ้นเมื่อมีบางสิ่งที่ต้องการความเอาใจใส่จากมนุษย์อย่างแท้จริง
การป้องกันภัยคุกคามหลายรูปแบบเช่นความสามารถในการป้องกันแรนซัมแวร์และมัลแวร์พร้อมกันเพื่อป้องกันการโจมตีขั้นสูงซึ่งอาจเกิดขึ้นเป็นระลอก
ความสามารถในการล่าสัตว์คุกคามและการตอบสนองต่อเหตุการณ์จะช่วยเจ้าหน้าที่รักษาความปลอดภัยขณะที่พวกเขาสำรวจข้อมูลทางนิติวิทยาศาสตร์เพื่อค้นหาการโจมตีที่อาจเกิดขึ้น
การมองเห็นเป็นกุญแจสำคัญในความสามารถทั้งหมดข้างต้น แพลตฟอร์ม EDR ต้องสามารถมองเห็นจุดสิ้นสุดทั้งหมดและการเชื่อมต่อระหว่างกันเพื่อติดตามกิจกรรมที่น่าสงสัย
ข้อมูลที่รวมเป็นหนึ่งจะช่วยให้แพลตฟอร์ม EDR เข้าใจทุกสิ่งที่เห็นโดยนำข้อมูลจากแหล่งข้อมูลที่แตกต่างกันมารวมกันเป็นภาพที่สอดคล้องกัน
การผสานรวมกับเครื่องมืออื่น ๆจะช่วยขยายพลังของ EDR และตรวจสอบให้แน่ใจว่ามันช่วยให้คุณได้รับประโยชน์สูงสุดจากเงินที่คุณได้รับ: การมองเห็นและการเข้าถึงข้อมูลที่แพลตฟอร์ม EDR มีให้ควรทำให้เครื่องมือรักษาความปลอดภัยที่มีอยู่ของคุณทำงานได้อย่างมีประสิทธิภาพ แพลตฟอร์ม EDR ควรเป็นตัวคูณแรงและผู้ขายต่างกระตือรือร้นที่จะปลูกฝังระบบนิเวศทั้งหมดที่สามารถทำงานร่วมกับข้อเสนอ EDR ของตนได้
ซอฟต์แวร์ EDR และโซลูชั่น
มีการตรวจหาปลายทางและผู้ให้บริการตอบกลับจำนวนมากที่เสนอแพลตฟอร์มในตลาด หากต้องการข้อมูลเชิงลึกเกี่ยวกับผลิตภัณฑ์ทั้ง 3 ประเภทซึ่งจะช่วยให้คุณเข้าใจถึงรูปแบบต่างๆในการนำเสนอผลิตภัณฑ์โปรดดูบทวิจารณ์เหล่านี้จากCSOและ IDG:

” CrowdStrike Falcon ทำลายรูปแบบ EDR “: สิ่งที่แตกต่างที่ใหญ่ที่สุดกับ Falcon คือสมองของแพลตฟอร์มมีอยู่อย่างสมบูรณ์ในระบบคลาวด์ซึ่งทำให้สามารถปรับขนาดได้ไม่ จำกัด รวมถึงผู้ใช้และองค์กรจำนวนมาก การโจมตีจุดสิ้นสุดที่ได้รับการป้องกันที่ใดก็ได้ภายในองค์กรที่ Falcon ปกป้องอยู่จะเป็นประโยชน์ต่อจุดสิ้นสุดอื่น ๆ แม้แต่ผู้ที่ทำงานในองค์กรก็ยังใช้ Falcon
” การปกป้องปลายทางด้วยตัวแทนที่ทรงพลังทั้งหมดของ SentinelOne “: SentinelOne สามารถปรับใช้เอเจนต์ที่มีประสิทธิภาพพร้อมความสามารถในการตรวจจับและการตอบสนองขั้นสูงไปยังปลายทางซึ่งสามารถสกัดกั้นภัยคุกคามในแนวหน้าได้ ตัวแทนทุกคนมีความเป็นอิสระอย่างเต็มที่สามารถดำเนินการได้แม้ในขณะที่ปลายทางที่ปกป้องนั้นถูกตัดการเชื่อมต่อจากเครือข่ายหลักหรือไม่มีการเชื่อมต่อเลย นอกเหนือจากการทำหน้าที่อย่างอิสระแล้วตัวแทนแต่ละรายจะรวบรวมข้อมูลทางนิติวิทยาศาสตร์โดยละเอียดเกี่ยวกับการโจมตีหรือการพยายามโจมตีใด ๆ
” แพลตฟอร์มการรักษาความปลอดภัยในโลกไซเบอร์ที่เป็นอิสระอย่างสมบูรณ์ Cynet 360 ใกล้เข้ามาแล้ว “: ตัวแทน Cynet 360 แต่ละรายเป็นอิสระอย่างเต็มที่และสามารถดำเนินการได้ด้วยตัวเอง เจ้าหน้าที่ไม่ได้อยู่บนเกาะเพียงแค่คอยดูแลทรัพย์สินที่ติดตั้งอยู่ภายใน แต่พวกเขาจะพูดคุยกับตัวแทนคนอื่น ๆ ในเครือข่ายตลอดเวลาโดยแบ่งปันข่าวกรองเกี่ยวกับสิ่งที่พวกเขาพบในโฮสต์ของพวกเขา สิ่งนี้สามารถช่วยให้พวกเขาตัดสินใจได้อย่างรวดเร็วว่าการโจมตีเป็นเหตุการณ์ที่เกิดขึ้นแยกกันหรือเป็นส่วนหนึ่งของแคมเปญที่โจมตีหลายโหนดในเวลาเดียวกัน จากนั้นสามารถดำเนินการที่เหมาะสมทั่วทั้งเครือข่ายได้หากจำเป็น
ข้อเสนอที่โดดเด่นอื่น ๆ ได้แก่ :

Symantec Endpoint Protectionซึ่งรวมถึงโปรแกรมป้องกันไวรัสการป้องกันการใช้หน่วยความจำเทคโนโลยีการหลอกลวงไฟร์วอลล์เครือข่ายอุปกรณ์และการป้องกันการบุกรุกตลอดจน EDR
RSA NetWitness Endpointพร้อมใช้งานเป็นอุปกรณ์จริงหรือเสมือน
Cybereason Endpoint Detection and Responseซึ่งสามารถรวมข้อมูล EDR เข้ากับการแจ้งเตือนจากเครื่องมือ SEIM และไฟร์วอลล์
FireEye Endpoint Securityซึ่งรวมถึงตัวแทนที่มีเครื่องมือตรวจจับสี่ตัว
Carbon Black ซึ่งเป็นของ VMware และให้การรักษาความปลอดภัยสำหรับศูนย์ข้อมูลเสมือน
ตลาด EDR
ตลาด EDR มีขนาดใหญ่อยู่แล้วและกำลังเติบโต Statista ประเมินว่าตลาดสำหรับเครื่องมือ EDR จะมีมูลค่า 1.5 พันล้านเหรียญสหรัฐภายในปี 2020 Gartner คิดว่าแพลตฟอร์ม EDR จะกลายเป็นสิ่งที่ต้องมีสำหรับ บริษัท ใหญ่ ๆพวกเขาคาดการณ์ว่าภายในปี 2568 70% ขององค์กรที่มีอุปกรณ์ปลายทางมากกว่า 5,000 เครื่องจะมีซอฟต์แวร์ EDR ปรับใช้

แต่สิ่งหนึ่งที่ควรทราบก็คือตลาด EDR ทั้งหมดมีความพยายามที่จะติดฉลากร่มในหมวดหมู่ที่ค่อนข้างแตกต่างกันและมีการพัฒนาอยู่เสมอ ด้วยผู้ขายจำนวนมากที่นำเสนอทั้งแพลตฟอร์ม EDR และ EPP และอนุญาตให้เครื่องมือต่างๆในแต่ละแพลตฟอร์มทำงานร่วมกันได้ช่วยผลักดันการเพิ่มขึ้นของตลาดการป้องกันปลายทางแบบครบวงจรโดยทั่วไปซึ่งอาจมียอดขายมากกว่า 7 พันล้านดอลลาร์

THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร

ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in