Augmented Network Detection and Response (NDR) คืออะไร

Augmented NDR ผสานรวมการเรียนรู้ของเครื่อง การวิเคราะห์พฤติกรรม และระบบอัตโนมัติที่ขับเคลื่อนด้วย AI เพื่อเปลี่ยนโฉมการตรวจจับภัยคุกคามจากการจับคู่ลายเซ็นเชิงรับ ไปสู่การป้องกันเชิงคาดการณ์และคำนึงถึงบริบท ทีมรักษาความปลอดภัยระดับกลางต้องเผชิญกับภัยคุกคามระดับองค์กรด้วยทรัพยากรที่จำกัด ความไม่ตรงกันนี้ก่อให้เกิดจุดบอดอันตรายที่ผู้โจมตีสามารถเติบโตได้ Augmented NDR ช่วยปรับระดับสนามแข่งขันด้วยการทำให้สิ่งที่เดิมจำเป็นต้องมีนักวิเคราะห์ผู้เชี่ยวชาญและโครงสร้างพื้นฐานขั้นสูงเป็นระบบอัตโนมัติ
#image_title

โซลูชัน NDR ของ Gartner® Magic Quadrant™

ดูว่าทำไมเราจึงเป็นผู้จำหน่ายรายเดียวที่อยู่ในกลุ่ม Challenger

เรียนรู้เพิ่มเติม
#image_title

สัมผัสประสบการณ์การรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI ในการดำเนินการ!

ค้นพบ AI ล้ำสมัยของ Stellar Cyber ​​เพื่อการตรวจจับภัยคุกคามทันที

กำหนดเวลาการสาธิต

ทำความเข้าใจ Augmented NDR และบทบาทสำคัญ

Augmented NDR แสดงให้เห็นถึงการเปลี่ยนแปลงครั้งสำคัญในวิธีที่องค์กรต่างๆ จัดการกับความปลอดภัยของเครือข่าย แทนที่จะรอให้ลายเซ็นการโจมตีที่ทราบตรงกัน ระบบเหล่านี้จะเรียนรู้รูปแบบพฤติกรรมของเครือข่ายและแจ้งเตือนความเบี่ยงเบนแบบเรียลไทม์ วิวัฒนาการนี้มีความสำคัญเนื่องจากเครื่องมือตรวจจับแบบดั้งเดิมสามารถตรวจจับการโจมตีขั้นสูงได้ 40-50% โซลูชันที่ขับเคลื่อนด้วย AI สามารถตรวจจับสิ่งที่มนุษย์มองข้ามได้

คำว่า "เสริม" หมายถึงการซ้อนทับของการเรียนรู้ของเครื่องและการวิเคราะห์พฤติกรรมบนฟังก์ชัน NDR หลัก ไม่ใช่แค่การรีแบรนด์เครื่องมือที่มีอยู่เดิม องค์กรที่ใช้ NDR เสริมรายงานว่าสามารถตรวจจับการเคลื่อนไหวด้านข้างได้เร็วกว่าองค์กรอื่นๆ ที่ใช้การตรวจจับเครือข่ายแบบเดิมถึง 73% สำหรับบริษัทขนาดกลางที่บริหารจัดการระบบหลายสิบระบบโดยมีเจ้าหน้าที่รักษาความปลอดภัยจำกัด การเร่งความเร็วนี้เปลี่ยนแปลงกรอบเวลาการตอบสนองต่อเหตุการณ์โดยพื้นฐาน

Augmented NDR แตกต่างจากการตรวจจับเครือข่ายแบบดั้งเดิมอย่างไร

ช่องว่างระหว่างการตรวจจับการบุกรุกแบบดั้งเดิมกับวิธีการ NDR แบบเสริม (augmented NDR) สมัยใหม่เผยให้เห็นถึงความสำคัญของเทคโนโลยีนี้ ระบบตรวจจับการบุกรุกเครือข่ายแบบดั้งเดิมอาศัยกฎที่กำหนดไว้ล่วงหน้า ผู้โจมตีที่ใช้เทคนิคที่ไม่รู้จักก็สามารถหลบเลี่ยงการป้องกันแบบคงที่เหล่านี้ได้ เครื่องมือแบบดั้งเดิมยังสร้างการแจ้งเตือนจำนวนมาก ซึ่งทำให้นักวิเคราะห์รู้สึกสับสนกับสัญญาณรบกวน

Augmented NDR ทำงานแตกต่างออกไป แทนที่จะจับคู่กับรายการลายเซ็นที่รู้จัก ระบบเหล่านี้จะกำหนดค่าพื้นฐานพฤติกรรมเสียก่อน ระบบจะเข้าใจว่าปกติของเครือข่ายของคุณเป็นอย่างไรในช่วงเวลา แผนก และแอปพลิเคชันที่แตกต่างกัน เมื่อเอนทิตีเบี่ยงเบนไปจากค่าพื้นฐานอย่างมีนัยสำคัญ ระบบจะเชื่อมโยงสัญญาณนั้นกับกิจกรรมที่น่าสงสัยอื่นๆ เพื่อประเมินความเสี่ยงที่แท้จริง

ลองพิจารณาตัวอย่างในโลกแห่งความเป็นจริงของแคมเปญ Salt Typhoon ปี 2024-2025 ที่มุ่งเป้าไปที่ผู้ให้บริการโทรคมนาคมของสหรัฐอเมริกา ผู้โจมตีสามารถเข้าถึงข้อมูลโดยไม่ถูกตรวจพบเป็นเวลาหนึ่งถึงสองปีโดยใช้เทคนิคแบบอาศัยนอกพื้นที่ พวกเขาไม่ได้ติดตั้งมัลแวร์ที่แปลกใหม่ พวกเขาใช้เครื่องมือการดูแลระบบที่ถูกต้องตามกฎหมาย การตรวจจับโดยใช้ลายเซ็นแบบดั้งเดิมจะพลาดสิ่งนี้ไปอย่างสิ้นเชิง การเพิ่ม NDR ซึ่งวิเคราะห์รูปแบบการเข้าถึงการดูแลระบบที่ผิดปกติในหลายระบบ จะสามารถแจ้งเตือนแคมเปญได้เร็วกว่ามาก โดยการตรวจจับความผิดปกติทางพฤติกรรมที่การแจ้งเตือนแต่ละรายการไม่สามารถกระตุ้นได้

สถาปัตยกรรมทางเทคนิคเบื้องหลัง Augmented NDR

Augmented NDR ทำงานผ่านเลเยอร์ที่ผสานรวมหลายชั้นที่ทำงานร่วมกัน ความเข้าใจในสถาปัตยกรรมนี้จะอธิบายว่าทำไมระบบเหล่านี้จึงสามารถตรวจจับภัยคุกคามที่เครื่องมือแบบดั้งเดิมมองข้ามได้

การรวบรวมข้อมูลถือเป็นรากฐาน โซลูชัน NDR แบบเสริม (Augmented NDR) ติดตั้งเซ็นเซอร์ครอบคลุมทุกเซกเมนต์ของเครือข่าย โดยบันทึกทั้งข้อมูลการรับส่งข้อมูลแบบเหนือ-ใต้ (ระหว่างเครือข่ายภายในและอินเทอร์เน็ต) และแบบตะวันออก-ตะวันตก (ระหว่างระบบภายใน) เซ็นเซอร์เหล่านี้จะดึงข้อมูลเมตาดาต้า ซึ่งรวมถึงที่อยู่ IP โปรโตคอล ข้อมูลเซสชัน และแอตทริบิวต์เชิงพฤติกรรม แทนที่จะเก็บข้อมูลการรับส่งข้อมูลแบบแพ็กเก็ตจำนวนมาก

ขั้นตอนต่อไปคือการสร้างพื้นฐานพฤติกรรม แบบจำลองการเรียนรู้ของเครื่องจะใช้ข้อมูลย้อนหลังสองสัปดาห์ เพื่อสร้างแบบจำลองทางสถิติของกิจกรรมปกติสำหรับประเภทเอนทิตีต่างๆ พฤติกรรมเครือข่ายทั่วไปของฝ่ายการเงินแตกต่างจากทีมพัฒนาโดยพื้นฐาน การสร้างพื้นฐานจะคำนึงถึงความแตกต่างตามบริบทเหล่านี้ ระบบจะเรียนรู้รูปแบบตามฤดูกาล โดยรับรู้ว่ากระบวนการปิดบัญชีสิ้นเดือนสร้างปริมาณการใช้งานที่แตกต่างจากการดำเนินงานปกติ

การตรวจจับความผิดปกติแบบเรียลไทม์ใช้อัลกอริทึมการเรียนรู้ของเครื่องหลายตัวพร้อมกัน การตรวจจับเหตุการณ์หายากจะระบุกิจกรรมที่ไม่ได้เกิดขึ้นเมื่อเร็วๆ นี้ การวิเคราะห์อนุกรมเวลาจะระบุกิจกรรมที่พุ่งสูงขึ้น การสร้างแบบจำลองตามประชากรจะเปรียบเทียบเอนทิตีกับกลุ่มเดียวกัน โดยจับเซิร์ฟเวอร์ฐานข้อมูลหนึ่งตัวที่แสดงรูปแบบการสืบค้นที่ผิดปกติ แบบจำลองตามกราฟจะตรวจจับการเปลี่ยนแปลงในรูปแบบความสัมพันธ์ระหว่างระบบ

ขั้นตอนการเชื่อมโยงการแจ้งเตือนจะเกิดขึ้นภายในไม่กี่วินาทีหลังจากตรวจพบ แทนที่จะส่งการแจ้งเตือนทีละรายการ Augmented NDR จะเชื่อมโยงกิจกรรมที่น่าสงสัยในหลายมิติ ความล้มเหลวในการเข้าสู่ระบบหลายครั้งตามด้วยการตรวจสอบสิทธิ์ที่ประสบความสำเร็จในระบบที่มีความละเอียดอ่อน ประกอบกับรูปแบบการเข้าถึงข้อมูลที่ผิดปกติ จะถูกรวมเข้าด้วยกันเป็นเหตุการณ์ที่สอดคล้องกัน ความสัมพันธ์นี้ช่วยลดผลบวกปลอมลง 60% เมื่อเทียบกับวิธีการแบบดั้งเดิม

ภาพ: วิวัฒนาการของการตรวจจับและการตอบสนองเครือข่าย

การเรียนรู้ของเครื่องจักรช่วยลดผลบวกปลอมและปรับปรุงความเที่ยงตรงได้อย่างไร

ทีมรักษาความปลอดภัยระดับกลางมักประสบปัญหาความเหนื่อยล้าจากการแจ้งเตือน ระบบดั้งเดิมสร้างการแจ้งเตือนหลายพันครั้งต่อวัน ซึ่งส่วนใหญ่แสดงถึงกิจกรรมที่ถูกต้องตามกฎหมายหรือสัญญาณรบกวนของระบบ นักวิเคราะห์ไม่สามารถตรวจสอบปริมาณนี้ได้อย่างมีประสิทธิภาพ ภัยคุกคามซ่อนตัวอยู่ในสัญญาณรบกวนเหล่านั้น

ระบบการเรียนรู้ของเครื่องแบบ Ensemble แก้ปัญหานี้ด้วยเทคนิคการตรวจจับที่หลากหลายซึ่งทำงานร่วมกัน งานวิจัยล่าสุดแสดงให้เห็นว่าวิธีการแบบ Ensemble มีความแม่นยำถึง 93.7% เมื่อเทียบกับอัลกอริทึมเดี่ยวๆ ที่มีความแม่นยำ 77.7-90% การผสมผสานวิธีการทางคณิตศาสตร์ที่แตกต่างกันจะสร้างความแข็งแกร่งให้กับเทคนิคเชิงโต้แย้ง

การเรียนรู้แบบไม่มีผู้ดูแลมีคุณค่าอย่างยิ่ง เพราะไม่จำเป็นต้องใช้ข้อมูลฝึกอบรมที่มีป้ายกำกับซึ่งแสดงให้เห็นว่าการโจมตีมีลักษณะอย่างไร อัลกอริทึมเหล่านี้จะระบุค่าผิดปกติในพฤติกรรมเครือข่ายแทน ปลายทางที่เริ่มต้นการเชื่อมต่อกับที่อยู่ภายนอก 500 แห่งภายในไม่กี่นาที ถือเป็นค่าผิดปกติทางสถิติ ค่าผิดปกตินี้อาจบ่งชี้ถึงมัลแวร์ขุดคริปโทเคอร์เรนซีหรือการติดไวรัสบอตเน็ต ระบบจะแจ้งเตือนโดยไม่คำนึงว่าจะตรงกับลายเซ็นมัลแวร์ที่รู้จักหรือไม่

การเรียนรู้แบบมีผู้สอนมีส่วนช่วยในการจดจำรูปแบบเฉพาะ เมื่อองค์กรมีข้อมูลการโจมตีในอดีต โมเดลแบบมีผู้สอนจะฝึกฝนจากตัวอย่างพฤติกรรมอันตรายที่มีป้ายกำกับ ตัวอย่างเช่น การทำอุโมงค์ DNS จะติดตามรูปแบบเฉพาะ โมเดลแบบมีผู้สอนที่ฝึกฝนจากรูปแบบเหล่านี้สามารถตรวจจับความพยายามในการทำอุโมงค์ DNS ได้อย่างแม่นยำสูง การผสมผสานวิธีการแบบมีผู้สอนและแบบไม่มีผู้สอนเข้าด้วยกันจะทำให้การตรวจจับครอบคลุมมากขึ้น

การปรับเกณฑ์แบบไดนามิกช่วยป้องกันการสะสมความเหนื่อยล้าจากการแจ้งเตือนเมื่อเวลาผ่านไป แทนที่จะใช้เกณฑ์คงที่ซึ่งมีความสำคัญน้อยลงเมื่อเครือข่ายพัฒนาขึ้น ระบบ NDR แบบเสริมจะปรับแต่งเกณฑ์การตรวจจับอย่างต่อเนื่องโดยพิจารณาจากความแม่นยำในการตรวจจับ อัตราผลบวกลวง และผลตอบรับจากนักวิเคราะห์ การปรับเกณฑ์แบบไดนามิกนี้ช่วยให้ระบบมีประสิทธิภาพแม้ในสภาวะที่มีการเปลี่ยนแปลงขององค์กรและวิวัฒนาการของภัยคุกคาม

ผลลัพธ์ในทางปฏิบัติ? องค์กรต่างๆ ที่ใช้ Augmented NDR รายงานว่าผลบวกลวงลดลง 60% เมื่อเทียบกับการวิเคราะห์พฤติกรรมแบบดั้งเดิม การปรับปรุงนี้ส่งผลโดยตรงต่อประสิทธิผลของนักวิเคราะห์ แทนที่จะคัดกรองสัญญาณรบกวน ทีมรักษาความปลอดภัยจะมุ่งเน้นไปที่ภัยคุกคามที่น่าเชื่อถือ

การวิเคราะห์ปริมาณการรับส่งข้อมูลเครือข่ายแบบเรียลไทม์ข้ามเลเยอร์

ความสามารถของ Augmented NDR ในการตรวจจับภัยคุกคามข้ามเลเยอร์เครือข่ายทำให้แตกต่างจากโซลูชันแบบเฉพาะจุด ไฟร์วอลล์จะตรวจจับทราฟฟิกแบบเหนือ-ใต้ เครื่องมือตรวจจับปลายทางจะตรวจจับการทำงานของกระบวนการบนอุปกรณ์หนึ่ง NDR จะตรวจจับการเคลื่อนไหวทั้งหมดของเครือข่าย โดยเชื่อมโยงมุมมองที่ครอบคลุมนี้กับช่วงเวลาต่างๆ

การตรวจสอบแพ็กเก็ตแบบลึก (Deep Packet Inspection) จะตรวจสอบเนื้อหาแพ็กเก็ตและดึงข้อมูลพฤติกรรมระดับแอปพลิเคชันออกมา วิธีนี้จะช่วยเปิดเผยมัลแวร์ที่ซ่อนอยู่ในสตรีมที่เข้ารหัส แม้ว่าการเข้ารหัสที่แข็งแกร่งจะป้องกันการตรวจสอบเนื้อหาทั้งหมดได้ แต่การวิเคราะห์ข้อมูลเมตาจะเผยให้เห็นรูปแบบที่น่าสงสัย อุปกรณ์ของผู้ใช้ที่เชื่อมต่อกับเซิร์ฟเวอร์ควบคุมและสั่งการที่รู้จักเป็นเวลาไม่กี่มิลลิวินาทีหลายครั้งต่อชั่วโมง บ่งชี้ถึงการสื่อสารของมัลแวร์ เนื้อหายังคงถูกเข้ารหัส แต่รูปแบบนี้บ่งบอกถึงเจตนาร้าย

การแบ่งส่วนเครือข่ายและการแบ่งส่วนเครือข่ายย่อย (Microsegmentation) เกิดขึ้นเป็นกลยุทธ์ที่เสริมซึ่งกันและกัน หลักการของสถาปัตยกรรม Zero Trust ที่ระบุไว้ใน NIST SP 800-207 เน้นย้ำถึงการตรวจสอบอย่างต่อเนื่องในทุกขอบเขตเครือข่าย Augmented NDR มอบชั้นการตรวจจับที่ทำให้ Zero Trust ใช้งานได้จริง โดยจะตรวจสอบอย่างต่อเนื่องเพื่อยืนยันว่าการเข้าถึงเครือข่ายตรงตามนโยบาย เมื่อเวิร์กสเตชันเข้าถึงเซิร์ฟเวอร์ฐานข้อมูลโดยตรงแม้จะมีนโยบายห้ามการเชื่อมต่อนั้น Augmented NDR จะตรวจพบความคลาดเคลื่อนนี้และสั่งการบังคับใช้นโยบาย

การวิเคราะห์พฤติกรรมครอบคลุมมากกว่าการเชื่อมต่อแบบรายบุคคลไปจนถึงรูปแบบต่างๆ ที่เกิดขึ้นในช่วงเวลาต่างๆ การรั่วไหลของข้อมูลของ Snowflake ในปี 2024 แสดงให้เห็นว่าผู้โจมตีใช้ข้อมูลประจำตัวที่ถูกต้องตามกฎหมายเพื่อเข้าถึงฐานข้อมูลบนคลาวด์อย่างไร การตรวจจับโดยอาศัยลายเซ็นจะไม่ส่งผลต่อการตรวจสอบสิทธิ์ตามปกติ อย่างไรก็ตาม การวิเคราะห์พฤติกรรมจะตรวจจับเมื่อรูปแบบการเข้าถึงของผู้ใช้เปลี่ยนแปลงไปอย่างมาก เช่น การเข้าสู่ระบบจากพื้นที่ทางภูมิศาสตร์ที่ผิดปกติ การสืบค้นข้อมูลในเวลาที่ผิดปกติ และการดึงข้อมูลปริมาณที่ไม่ปกติ ความเบี่ยงเบนจากพฤติกรรมพื้นฐานเหล่านี้ส่งสัญญาณถึงความเสี่ยง เมื่อนำมารวมกัน สิ่งเหล่านี้จะสร้างหลักฐานที่น่าเชื่อถือของการละเมิดก่อนที่จะเกิดการสูญเสียข้อมูลจำนวนมาก

การตรวจจับความผิดปกติด้วย AI และการรวมการเรียนรู้ของเครื่องจักร

ความสามารถของปัญญาประดิษฐ์เปลี่ยน NDR จากเครื่องมือตรวจจับให้กลายเป็นเครื่องมือเร่งกระบวนการสืบสวน โมเดลการเรียนรู้ของเครื่องใช้เหตุการณ์เครือข่ายหลายล้านรายการต่อวัน เพื่อทำการวิเคราะห์ ซึ่งการตรวจสอบด้วยตนเองต้องใช้เวลาวิเคราะห์นานหลายศตวรรษ

การวิเคราะห์เชิงเวลาช่วยเพิ่มบริบทที่สำคัญ โมเดลการเรียนรู้ของเครื่องเข้าใจว่าการถ่ายโอนไฟล์เวลา 2 น. จากระบบพัฒนาจะดูแตกต่างจากการถ่ายโอนไฟล์เดียวกันในช่วงเวลาทำการ การวิเคราะห์เหล่านี้คำนึงถึงวัฏจักรธุรกิจ ฤดูกาล และการเปลี่ยนแปลงการดำเนินงานที่ถูกต้อง การรับรู้เชิงเวลานี้ช่วยลดผลบวกลวงจากกิจกรรมที่ถูกต้องแต่ผิดปกติได้อย่างมาก

กรอบงาน MITRE ATT&CK จับคู่เทคนิคการโจมตีเข้ากับตัวบ่งชี้เครือข่ายที่สังเกตได้ โมเดลการเรียนรู้ของเครื่องที่ได้รับการฝึกฝนมาเป็นพิเศษเพื่อตรวจจับเทคนิคต่างๆ ที่ระบุไว้ใน MITRE ATT&CK ครอบคลุมการตรวจจับได้สูงกว่าระบบที่ใช้การตรวจจับความผิดปกติทั่วไปอย่างมีนัยสำคัญ ระบบ NDR ที่ได้รับการฝึกฝนให้ตรวจจับการเคลื่อนไหวด้านข้างผ่านบริการระยะไกล (T1021) จะคอยตรวจสอบรูปแบบตัวบ่งชี้เฉพาะ ซึ่งรวมถึงการรับส่งข้อมูล RDP ที่ผิดปกติ การเข้าถึงการแชร์ของผู้ดูแลระบบ และการละเมิดสิทธิ์ การตรวจจับเฉพาะเทคนิคนี้ให้ความแม่นยำสูงกว่าการทำเครื่องหมายความผิดปกติทั่วไปอย่างมาก

การตรวจหาภัยคุกคามอัตโนมัติเป็นความสามารถใหม่ที่กำลังเกิดขึ้นจากการเรียนรู้ของเครื่อง แทนที่จะรอการแจ้งเตือน นักวิเคราะห์ความปลอดภัยสามารถถามคำถามเช่น "แสดงการเข้าถึงฐานข้อมูลที่น่าสงสัยทั้งหมดในช่วงเจ็ดวันที่ผ่านมา" แบบจำลองการเรียนรู้ของเครื่องจะตอบคำถามเหล่านี้ด้วยการค้นหาชุดข้อมูลขนาดใหญ่ในอดีต นักวิเคราะห์จะค้นพบการโจมตีที่เคลื่อนไหวช้า ซึ่งจะไม่ทำให้เกิดการแจ้งเตือนแบบแยกส่วน แต่จะแสดงรูปแบบกิจกรรมที่น่าสงสัยอย่างชัดเจนเมื่อดูโดยรวม

ความสัมพันธ์กับสัญญาณการระบุตัวตนและจุดสิ้นสุด

Augmented NDR มีประสิทธิภาพสูงสุดเมื่อเชื่อมโยงสัญญาณเครือข่ายกับข้อมูลประจำตัวและข้อมูลปลายทาง พฤติกรรมเครือข่ายของผู้ใช้จะไม่มีความหมายมากนักเมื่อต้องแยกตัวออกมา เมื่อผสานรวมกับกิจกรรมบัญชีผู้ใช้และการดำเนินการตามกระบวนการปลายทาง จะทำให้มองเห็นการโจมตีได้อย่างครอบคลุม

ความสัมพันธ์ระหว่างอัตลักษณ์และรหัสผ่านมีความสำคัญอย่างยิ่งต่อการตรวจจับการละเมิดข้อมูลประจำตัวและการยกระดับสิทธิ์ เมื่อบัญชีมักเข้าสู่ระบบจากตำแหน่งที่ตั้งทางภูมิศาสตร์เฉพาะระหว่างเวลา 8 น. ถึง 5 น. ในวันทำการ ความผิดพลาดดังกล่าวควรได้รับการตรวจสอบ การเข้าสู่ระบบจากอีกทวีปหนึ่งในเวลาเที่ยงคืนถือเป็นความผิดปกติทางพฤติกรรม เมื่อบัญชีเดียวกันนั้นเข้าถึงไฟล์หรือระบบที่ไม่เคยเข้าถึงมาก่อนอย่างกะทันหัน ประกอบกับการถ่ายโอนข้อมูลเครือข่ายที่ผิดปกติ ความสัมพันธ์ดังกล่าวก่อให้เกิดหลักฐานที่ชัดเจนของการถูกบุกรุก

การโจมตีด้วยแรนซัมแวร์ ALPHV/BlackCat ต่อ Change Healthcare ในปี 2024 แสดงให้เห็นถึงหลักการนี้ ผู้โจมตีสามารถเข้าถึงข้อมูลเบื้องต้นได้โดยใช้ข้อมูลประจำตัวที่อ่อนแอบนเซิร์ฟเวอร์ที่ไม่มีการยืนยันตัวตนแบบหลายปัจจัย จากนั้นจึงใช้เครื่องมือการดูแลระบบที่ถูกต้องตามกฎหมายสำหรับการย้ายข้อมูลทางไกล มีเพียง NDR เท่านั้นที่อาจตรวจจับรูปแบบการรับส่งข้อมูลที่ผิดปกติได้ เมื่อรวมกับข้อมูลประจำตัวที่แสดงการยกระดับสิทธิ์ในหลายบัญชี และข้อมูลปลายทางที่แสดงกิจกรรมการเข้ารหัสแรนซัมแวร์ ความสัมพันธ์ดังกล่าวเผยให้เห็นภาพรวมของการโจมตีทั้งหมดภายในไม่กี่นาที แทนที่จะเป็นหลายวัน

เครื่องมือตรวจจับและตอบสนองปลายทาง (Endpoint Detection and Response: EDR) มอบการมองเห็นที่สำคัญเกี่ยวกับการดำเนินการของกระบวนการและการเข้าถึงไฟล์ Augmented NDR จะเชื่อมโยงสัญญาณเหล่านี้กับพฤติกรรมของเครือข่าย มัลแวร์ที่ทำงานบนปลายทางจะสร้างลายเซ็นเครือข่ายเฉพาะ ด้วยการเชื่อมโยงการดำเนินการของกระบวนการกับปริมาณการรับส่งข้อมูลเครือข่ายที่เกี่ยวข้อง Augmented NDR จึงสามารถแยกแยะระหว่างการอัปเดตระบบที่ถูกต้องและการดาวน์โหลดที่เป็นอันตราย ความสัมพันธ์แบบหลายชั้นนี้ทำให้การตรวจจับมีความเชื่อมั่นสูงขึ้นและพบผลบวกลวงน้อยลง

การสร้างกรณีและการตอบสนองอัตโนมัติผ่านการประสานงาน

การตรวจจับโดยไม่มีการตอบสนองยังคงไม่สมบูรณ์ Augmented NDR จะปิดช่องว่างนี้ด้วยการประสานการตอบสนองอัตโนมัติ การเรียนรู้ของเครื่องไม่เพียงแต่ระบุว่ามีภัยคุกคามอยู่ แต่ยังแนะนำการดำเนินการตอบสนองที่เหมาะสมโดยพิจารณาจากความรุนแรงของภัยคุกคาม ความสำคัญของสินทรัพย์ และนโยบายขององค์กร

ความสามารถในการตอบสนองอัตโนมัติมีตั้งแต่การให้ข้อมูลไปจนถึงการบังคับ การตรวจจับที่มีความเชื่อมั่นต่ำอาจช่วยเพิ่มการตรวจสอบและรวบรวมข้อมูลทางนิติวิทยาศาสตร์เพิ่มเติม ภัยคุกคามที่มีความเชื่อมั่นสูงซึ่งมุ่งเป้าไปที่สินทรัพย์สำคัญอาจกระตุ้นให้เกิดการดำเนินการควบคุมทันที ซึ่งรวมถึงการแยกโฮสต์ การปิดใช้งานบัญชี หรือการบล็อกการรับส่งข้อมูล วิธีการตอบสนองแบบค่อยเป็นค่อยไปนี้ช่วยสร้างสมดุลระหว่างความปลอดภัยและความต่อเนื่องในการปฏิบัติงาน

ดาวฤกษ์ไซเบอร์ Open XDR แพลตฟอร์มนี้แสดงให้เห็นถึงการบูรณาการนี้ผ่านการจัดการการตอบสนองแบบเนทีฟ เมื่อ NDR ที่ได้รับการปรับปรุงตรวจพบตัวบ่งชี้การเคลื่อนไหวในแนวนอน ระบบสามารถเรียกใช้เอเจนต์ EDR โดยอัตโนมัติเพื่อแยกปลายทางที่ติดไวรัสได้ ระบบสามารถปิดใช้งานบัญชีที่ถูกบุกรุกเพื่อบล็อกการเคลื่อนไหวของผู้โจมตีต่อไปได้ และสามารถบล็อกการรับส่งข้อมูลที่น่าสงสัยที่ไฟร์วอลล์ได้ การจัดการทั้งหมดนี้เกิดขึ้นภายในไม่กี่วินาทีหลังจากตรวจพบ ซึ่งช่วยจำกัดผลกระทบของผู้โจมตีได้อย่างมาก

การตอบสนองที่ขับเคลื่อนด้วยนโยบายช่วยให้มั่นใจว่าการดำเนินการต่างๆ สอดคล้องกับข้อกำหนดขององค์กรและภาระผูกพันในการปฏิบัติตามกฎระเบียบ องค์กรบริการทางการเงินอาจต้องได้รับการอนุมัติจากเจ้าหน้าที่ก่อนการปิดใช้งานบัญชี ในขณะที่บริษัทผู้ผลิตที่ดำเนินงานโครงสร้างพื้นฐานที่สำคัญอาจบังคับใช้การแยกระบบอัตโนมัติเพื่อลดระยะเวลาการหยุดทำงาน ระบบ NDR แบบเสริม (Augmented NDR) จะปรับการตอบสนองให้เหมาะสมกับบริบทขององค์กรเหล่านี้

เวลาตอบสนองเหตุการณ์ในโลกแห่งความเป็นจริงแสดงให้เห็นถึงผลกระทบ องค์กรที่ไม่มีระบบอัตโนมัติใช้เวลาเฉลี่ย 287 วันในการตรวจจับและควบคุมการโจมตีด้วยแรนซัมแวร์ องค์กรที่มี NDR เสริม (augmented NDR) และการตอบสนองอัตโนมัติจะรับมือกับการโจมตีที่คล้ายคลึงกันภายในไม่กี่วินาทีถึงไม่กี่นาที ผลกระทบทางธุรกิจจากการเร่งความเร็วนี้ ซึ่งวัดจากการป้องกันการสูญเสียข้อมูลและการหลีกเลี่ยงเวลาหยุดทำงาน คิดเป็นมูลค่าหลายล้านดอลลาร์

การให้คะแนนภัยคุกคามและการกำหนดลำดับความสำคัญของการแจ้งเตือน

ทีมรักษาความปลอดภัยต้องเผชิญกับการแจ้งเตือนที่อาจเกิดขึ้นจำนวนมากจนแทบเป็นไปไม่ได้ Augmented NDR ใช้การให้คะแนนภัยคุกคามเพื่อระบุภัยคุกคามที่ร้ายแรงที่สุด แทนที่จะประเมินการแจ้งเตือนทั้งหมดอย่างเท่าเทียมกัน โมเดลการเรียนรู้ของเครื่องจะประเมินปัจจัยหลายอย่างเพื่อจัดลำดับความสำคัญของการตอบสนอง

การให้คะแนนภัยคุกคามพิจารณาถึงความสำคัญของสินทรัพย์ การเชื่อมต่อที่น่าสงสัยกับเว็บเซิร์ฟเวอร์ที่เผยแพร่สู่สาธารณะจะได้รับการจัดอันดับที่แตกต่างจากการเชื่อมต่อแบบเดียวกันไปยังกล่องพัฒนาภายใน การเชื่อมต่อกับฐานข้อมูลกลางที่มีข้อมูลลูกค้าจะได้รับคะแนนสูงกว่าการเข้าถึงเครื่องพิมพ์สำนักงาน บริบทของสินทรัพย์มีอิทธิพลอย่างมากต่อลำดับความสำคัญของการตรวจสอบ

การให้คะแนนความเชื่อมั่นสะท้อนถึงความแน่นอนในการตรวจจับ การตรวจจับโดยใช้สัญญาณที่สัมพันธ์กันหลายสัญญาณจะมีคะแนนสูงกว่าสัญญาณเดี่ยว พฤติกรรมที่เบี่ยงเบนไปจากคะแนนพื้นฐานอย่างมีนัยสำคัญจะถือว่าสูงกว่าค่าเบี่ยงเบนเล็กน้อย ปัจจัยด้านเวลาก็มีความสำคัญเช่นกัน การเข้าถึงระบบที่ปกติจะเข้าถึงในวันธรรมดาในช่วงสุดสัปดาห์ทำให้เกิดความสงสัย แหล่งกำเนิดทางภูมิศาสตร์ที่ผิดปกติประกอบกับความผิดปกติทางพฤติกรรมก่อให้เกิดสัญญาณความเสี่ยงที่ทวีคูณ

บริบททางธุรกิจเป็นตัวกำหนดลำดับความสำคัญ ในช่วงเวลาปิดบัญชี อาจเกิดการเข้าถึงฐานข้อมูลที่ผิดปกติได้ แต่ในระหว่างการดำเนินงานปกติ รูปแบบการเข้าถึงแบบเดียวกันนี้จะถูกประเมินว่าน่าสงสัย Augmented NDR จะเรียนรู้บริบททางธุรกิจเหล่านี้และปรับคะแนนให้เหมาะสม

ผลลัพธ์ในทางปฏิบัติคืออะไร? ทีมรักษาความปลอดภัยที่ตรวจสอบกรณีที่มีลำดับความสำคัญ 50 กรณี มีประสิทธิภาพเหนือกว่าทีมที่ตรวจสอบการแจ้งเตือนที่ไม่ได้ลำดับความสำคัญ 5,000 กรณีอย่างมีนัยสำคัญ การให้คะแนนภัยคุกคามช่วยให้ทีมที่มุ่งเน้นประสิทธิภาพสามารถมุ่งเน้นไปที่ภัยคุกคามที่แท้จริง แทนที่จะเป็นภัยคุกคามที่ส่งผลกระทบโดยตรง

แนวทางของ Stellar Cyber ​​ในการ Open XDR และ NDR เสริม

แพลตฟอร์มของ Stellar Cyber ​​ผสานรวมความสามารถ NDR ที่ได้รับการปรับปรุงเข้ากับระบบที่ครอบคลุมยิ่งขึ้น Open XDR กรอบแนวคิดนี้ แนวทางการออกแบบสถาปัตยกรรมนี้ช่วยแก้ไขปัญหาในตลาดระดับกลางได้โดยตรง

ความสามารถ NDR แบบเนทีฟภายใน Stellar Cyber ​​ผสานรวมการตรวจสอบแพ็กเก็ตเชิงลึกเข้ากับการตรวจจับความผิดปกติของการเรียนรู้ของเครื่อง เอ็นจิ้น AI แบบหลายชั้นจะวิเคราะห์พฤติกรรมเครือข่ายข้ามโปรโตคอล แอปพลิเคชัน และการไหลของข้อมูล ซึ่งแตกต่างจากโซลูชันแบบจุดที่ต้องบูรณาการด้วยตนเอง NDR แบบเนทีฟทำงานเป็นระบบที่เชื่อมโยงกันซึ่งออกแบบมาเพื่อการตรวจจับภัยคุกคามขององค์กรตั้งแต่เริ่มต้น

การให้คะแนนภัยคุกคามและการเสริมบริบทจะเกิดขึ้นโดยอัตโนมัติ แทนที่จะกำหนดให้นักวิเคราะห์ต้องเข้าใจการแจ้งเตือนทางเทคนิคที่ซับซ้อน Stellar Cyber ​​จะแปลงการตรวจจับให้เป็นการประเมินความเสี่ยงที่เกี่ยวข้องกับธุรกิจ นักวิเคราะห์สามารถเข้าใจภัยคุกคามได้ทันทีในแง่ของผลกระทบทางธุรกิจ มากกว่ารายละเอียดทางเทคนิค

ระบบอัตโนมัติสำหรับการคัดกรองการแจ้งเตือนเป็นอีกหนึ่งความก้าวหน้าที่ได้รับการพัฒนาจาก NDR แทนที่นักวิเคราะห์ทุกคนจะคัดกรองการแจ้งเตือนทุกครั้ง แพลตฟอร์มนี้จะเชื่อมโยงการแจ้งเตือนที่เกี่ยวข้องเข้ากับเหตุการณ์ที่สอดคล้องกันโดยอัตโนมัติ นักวิเคราะห์จะตรวจสอบเหตุการณ์ ไม่ใช่การแจ้งเตือนทีละรายการ การรวมข้อมูลนี้ช่วยลดภาระงานที่ต้องดำเนินการด้วยตนเองลงอย่างมาก พร้อมกับเพิ่มประสิทธิภาพการสืบสวนสอบสวน

การประสานการตอบสนองเชื่อมต่อโดยตรงกับโครงสร้างพื้นฐานที่มีอยู่ Stellar Cyber ​​สามารถผสานรวมกับเครื่องมือมาตรฐานอุตสาหกรรม ซึ่งรวมถึงแพลตฟอร์ม EDR ชั้นนำ ไฟร์วอลล์ ระบบ SOAR และซอฟต์แวร์จัดการตั๋ว ความเปิดกว้างนี้หมายความว่าองค์กรต่างๆ สามารถรักษาการลงทุนด้านความปลอดภัยที่มีอยู่ไว้ได้ พร้อมกับเพิ่มความสามารถในการตรวจจับแบบเสริม ไม่จำเป็นต้องบังคับให้ย้ายข้อมูลหรือเปลี่ยนชุดความปลอดภัยทั้งหมด

ประโยชน์หลักของ Augmented NDR สำหรับองค์กรขนาดกลาง

บริษัทขนาดกลางต้องเผชิญกับภัยคุกคามระดับองค์กรโดยปราศจากงบประมาณหรือบุคลากรด้านความปลอดภัยระดับองค์กร Augmented NDR ช่วยแก้ปัญหาความไม่สมดุลนี้ได้โดยตรงด้วยระบบอัตโนมัติ ระบบอัจฉริยะ และประสิทธิภาพ

การค้นพบภัยคุกคามที่รวดเร็วยิ่งขึ้นช่วยลดค่าใช้จ่ายในการจ้างนักวิเคราะห์เพิ่มเติม การเรียนรู้ของเครื่องช่วยให้สามารถดำเนินการได้ภายในไม่กี่วินาที ซึ่งต้องใช้เวลาหลายวันในการตรวจสอบด้วยตนเอง องค์กรต่างๆ สามารถตรวจจับภัยคุกคามได้ก่อนที่ผู้โจมตีจะบรรลุวัตถุประสงค์ แทนที่จะใช้เวลาหลายสัปดาห์หลังจากการโจมตีเกิดขึ้น

การลดผลบวกลวงช่วยให้การดำเนินงานด้านความปลอดภัยมีความยั่งยืน ความเหนื่อยล้าจากการแจ้งเตือนจะทำลายประสิทธิภาพของนักวิเคราะห์และทำให้เกิดภาวะหมดไฟ การลดผลบวกลวงลง 60% ของ Augmented NDR ช่วยให้ทีมงานสามารถตรวจสอบภัยคุกคามที่น่าเชื่อถือได้จริง แทนที่จะจมอยู่กับสิ่งรบกวน การปรับปรุงนี้เพียงอย่างเดียวก็ทำให้ทีม Lean มีประสิทธิภาพมากขึ้น

ความสามารถในการตอบสนองเชิงรุก (Proactive Response Capability) จะช่วยเปลี่ยนระบบรักษาความปลอดภัยจากการดับเพลิงเชิงรับ (Reactive Firefighter) ไปสู่การป้องกันเชิงกลยุทธ์ การตอบสนองอัตโนมัติหมายถึงภัยคุกคามจะถูกควบคุมในขณะที่นักวิเคราะห์กำลังตรวจสอบ ภาวะชะงักงันในการตัดสินใจจะหายไปเมื่อคู่มือการตอบสนองทำงานโดยอัตโนมัติ องค์กรต่างๆ สามารถควบคุมสถานะความปลอดภัยของตนเองได้อีกครั้ง

การมองเห็นที่ครอบคลุม (Comprehensive Visibility) ขยายขอบเขตการป้องกันให้ครอบคลุมมากกว่าจุดปลายทาง (endpoint) หลายองค์กรปล่อยเครือข่ายไว้โดยไม่มีการตรวจสอบ แม้ว่าเครือข่ายจะเป็นสภาพแวดล้อมการเคลื่อนไหวทางอ้อมที่ผู้โจมตีต้องการ Augmented NDR มองเห็นอุปกรณ์ที่ไม่ได้รับการจัดการ จุดปลายทางเคลื่อนที่ และปริมาณงานบนคลาวด์ที่ EDR เพียงอย่างเดียวไม่สามารถครอบคลุมได้ การมองเห็นนี้เป็นรากฐานของการใช้งาน Zero Trust ที่สอดคล้องกับหลักการ NIST SP 800-207

การตรวจจับการเคลื่อนไหวด้านข้างและกลยุทธ์การใช้ชีวิตนอกพื้นที่

ภูมิทัศน์ภัยคุกคามในปี 2024-2025 มักมีผู้โจมตีที่มีความซับซ้อนมากขึ้นเรื่อยๆ ที่ใช้เครื่องมือที่ถูกต้องตามกฎหมายและความสามารถของระบบดั้งเดิม การโจมตีแบบ “อาศัยนอกพื้นที่” เหล่านี้จงใจหลบเลี่ยงการตรวจจับปลายทางแบบดั้งเดิมโดยใช้ Microsoft PowerShell ยูทิลิตี้สำหรับผู้ดูแลระบบที่ถูกต้องตามกฎหมาย และฟีเจอร์ต่างๆ ของระบบปฏิบัติการในตัว

การเคลื่อนไหวด้านข้างเป็นรูปแบบภัยคุกคามที่ต่อเนื่องที่สุด MITRE ATT&CK ได้บันทึกเทคนิคการเคลื่อนไหวด้านข้างหลัก 9 เทคนิค ครอบคลุมการโจมตีแบบ Pass-the-hash การใช้ประโยชน์จากบริการระยะไกล และการละเมิดบัญชีที่ถูกต้อง การตรวจจับโดยใช้ลายเซ็นแบบดั้งเดิมยังคงประสบปัญหา เนื่องจากเทคนิคเหล่านี้ใช้โปรโตคอลและกลไกการตรวจสอบสิทธิ์ที่ถูกต้อง

Augmented NDR ตรวจจับการเคลื่อนไหวด้านข้างผ่านการวิเคราะห์รูปแบบพฤติกรรม ผู้ใช้ทั่วไปมักไม่ยืนยันตัวตนกับหลายระบบติดต่อกันในระยะเวลาอันสั้น เวิร์กสเตชันทั่วไปมักไม่เริ่มต้นการเชื่อมต่อขาออกไปยังระบบอื่นๆ หลายร้อยระบบ บัญชีบริการทั่วไปมักไม่ดำเนินการคำสั่งแบบโต้ตอบ เมื่อพิจารณาโดยรวมแล้ว ความเบี่ยงเบนจากพฤติกรรมเหล่านี้บ่งชี้ถึงการเคลื่อนไหวด้านข้างโดยไม่คำนึงถึงเครื่องมือที่ใช้

การละเมิดข้อมูลของ Qantas ในปี 2025 แสดงให้เห็นว่าเหตุใดเรื่องนี้จึงสำคัญ ผู้โจมตีเข้าถึงระบบที่โฮสต์โดย Salesforce และดึงข้อมูลลูกค้า 5.7 ล้านรายการ การตรวจจับโดยใช้ลายเซ็นไม่สามารถระบุการเข้าถึงที่ผิดปกติของ Salesforce ว่าเป็นข้อมูลที่เป็นอันตรายได้ แต่เป็นแอปพลิเคชันที่ถูกต้องตามกฎหมาย อย่างไรก็ตาม การวิเคราะห์พฤติกรรมจะตรวจจับเมื่อรูปแบบการเข้าถึงเบี่ยงเบนไปจากบรรทัดฐาน การดึงข้อมูลฐานข้อมูลลูกค้าอย่างรวดเร็วจากระบบที่ปกติไม่ได้ใช้สำหรับการเข้าถึงข้อมูลจำนวนมากบ่งชี้ถึงพฤติกรรมที่น่าสงสัย

การเชื่อมโยงการแยกส่วนของสแต็กความปลอดภัย

โดยทั่วไป องค์กรขนาดกลางมักใช้ระบบรักษาความปลอดภัยที่กระจัดกระจายและผสมผสานกัน SIEMเครื่องมือ EDR, NDR และ SOAR แทบจะไม่มีการสื่อสารกันเลย ความกระจัดกระจายนี้สร้างจุดบอดอันตรายที่ภัยคุกคามซ่อนตัวอยู่ระหว่างเครื่องมือต่างๆ

NDR เสริมภายใน Open XDR แพลตฟอร์มนี้ช่วยเชื่อมช่องว่างระหว่างข้อมูลต่างๆ แทนที่จะรวบรวมข้อมูลไว้ในระบบแยกส่วน แพลตฟอร์มนี้จะรวมสัญญาณจากอุปกรณ์ปลายทาง เครือข่าย คลาวด์ และข้อมูลระบุตัวตนไว้ในแหล่งข้อมูลส่วนกลางขนาดใหญ่ โมเดลการเรียนรู้ของเครื่องจะวิเคราะห์ชุดข้อมูลรวมนี้ และสร้างความสัมพันธ์ที่โซลูชันเฉพาะจุดไม่สามารถตรวจจับได้

การเปลี่ยนแปลงทางสถาปัตยกรรมนี้ส่งผลให้การดำเนินงานดีขึ้นอย่างมาก นักวิเคราะห์ไม่จำเป็นต้องสลับไปมาระหว่างเครื่องมือต่างๆ ด้วยตนเองอีกต่อไป กรณีต่างๆ จะไหลผ่านเวิร์กโฟลว์อัตโนมัติ การดำเนินการตอบสนองจะประสานงานกันโดยอัตโนมัติในหลายแพลตฟอร์ม ผลลัพธ์ที่ได้คือประสิทธิภาพด้านความปลอดภัยที่ใกล้เคียงกับระดับองค์กรขนาดใหญ่ SOCในราคาตลาดกลาง

การวิเคราะห์การบูรณาการและครอบคลุมกรอบงาน MITRE ATT&CK

ระบบ NDR แบบเสริมกำลัง (Augmented NDR) ได้นำระบบ MITRE ATT&CK Mapping มาใช้มากขึ้นเป็นความสามารถหลัก แทนที่จะแสดงการแจ้งเตือนเป็นเหตุการณ์ทางเทคนิค ระบบจะแสดงการแจ้งเตือนเป็นเทคนิคการโจมตีเฉพาะที่เชื่อมโยงกับเฟรมเวิร์ก MITRE การแปลนี้ช่วยให้องค์กรต่างๆ สื่อสารสถานะความปลอดภัยได้ในลักษณะที่เป็นกลางต่อผู้จำหน่าย

การวิเคราะห์ความครอบคลุมโดยใช้ MITRE ATT&CK เผยให้เห็นช่องว่างในการตรวจจับ องค์กรอาจมีความครอบคลุมที่ดีเยี่ยมสำหรับเทคนิคการเข้าถึงเบื้องต้น แต่มองเห็นการเคลื่อนไหวด้านข้างได้ไม่ชัดเจน การทำแผนที่ MITRE ช่วยให้สามารถตัดสินใจลงทุนโดยอาศัยข้อมูล องค์กรสามารถระบุปริมาณเทคนิคการโจมตีที่ได้รับความครอบคลุมในการตรวจจับ และระบุช่องว่างที่ต้องลงทุนเพิ่มเติม

Stellar Cyber ​​Coverage Analyzer พัฒนาแนวคิดนี้ด้วยการสร้างแบบจำลองว่าการเปลี่ยนแปลงแหล่งข้อมูลส่งผลกระทบต่อความครอบคลุมของ MITRE ATT&CK อย่างไร ก่อนที่จะปรับใช้เซ็นเซอร์หรือเครื่องมือใหม่ องค์กรต่างๆ สามารถจำลองการปรับปรุงความครอบคลุมได้ ความสามารถนี้ช่วยให้สามารถอธิบายเหตุผลการลงทุนด้านความปลอดภัยได้อย่างแม่นยำต่อผู้บริหารระดับสูงและคณะกรรมการ

ตัวอย่างการละเมิดในโลกแห่งความเป็นจริงและบทเรียนที่ได้รับ

การเปิดเผยข้อมูลประจำตัวมูลค่า 16 พันล้านดอลลาร์ที่ค้นพบในเดือนมิถุนายน 2025 แสดงให้เห็นถึงภัยคุกคามที่ยังคงดำเนินอยู่จากแคมเปญมัลแวร์ขโมยข้อมูลประจำตัว การขโมยข้อมูลประจำตัวจากอุปกรณ์ที่ติดไวรัสทำให้เกิดการโจมตีแบบยึดบัญชีในบริการที่เชื่อมต่อ การตรวจจับแบบดั้งเดิมมุ่งเน้นไปที่การดำเนินการกับมัลแวร์ Augmented NDR ซึ่งวิเคราะห์รูปแบบการตรวจสอบสิทธิ์ที่ผิดปกติและความผิดปกติทางภูมิศาสตร์ จะตรวจพบการบุกรุกบัญชีได้ก่อนที่ผู้โจมตีจะใช้ข้อมูลประจำตัวที่ขโมยมา

การละเมิด TeleMessage เปิดเผยการสื่อสารของเจ้าหน้าที่รัฐบาลสหรัฐฯ ผ่านเซิร์ฟเวอร์ที่โฮสต์บน AWS ที่ถูกบุกรุก เหตุการณ์นี้แสดงให้เห็นว่าระบบรักษาความปลอดภัยบนคลาวด์จำเป็นต้องมีการตรวจสอบเครือข่ายอย่างต่อเนื่อง การตรวจสอบ NDR แบบเสริม (Augmented NDR) การเข้าถึงโครงสร้างพื้นฐานคลาวด์จะตรวจจับเมื่อมีการเปลี่ยนแปลงการกำหนดค่าหรือการเรียกใช้ API ที่ผิดปกติ การมองเห็นนี้มีความสำคัญอย่างยิ่งเมื่อองค์กรต่างๆ กระจายภาระงานไปยังผู้ให้บริการคลาวด์หลายราย

กรณีภัยคุกคามภายในของ Coinbase แสดงให้เห็นถึงการบุกรุกจากผู้รับเหมาฝ่ายบริการลูกค้าในต่างประเทศ การควบคุมแบบดั้งเดิมอาจจำกัดการเข้าถึงนี้ผ่านข้อจำกัดทางภูมิศาสตร์ ระบบ NDR เสริม (Augmented NDR) ซึ่งเชื่อมโยงการวิเคราะห์พฤติกรรมผู้ใช้กับรูปแบบการเข้าถึงเครือข่าย จะตรวจจับเมื่อบัญชีที่เชื่อถือได้แสดงพฤติกรรมที่ผิดปกติ การขโมยข้อมูลหลายครั้งรวมกับเวลาการเข้าถึงที่ผิดปกติก่อให้เกิดความผิดปกติทางพฤติกรรมที่นำไปสู่การตรวจสอบ

การนำ Augmented NDR มาใช้ในสภาพแวดล้อมไฮบริด

องค์กรสมัยใหม่ใช้โครงสร้างพื้นฐานแบบไฮบริดที่ครอบคลุมศูนย์ข้อมูลภายในองค์กร ผู้ให้บริการคลาวด์หลายราย และสภาพแวดล้อมแบบเอดจ์ สภาพแวดล้อมที่หลากหลายเช่นนี้ก่อให้เกิดความท้าทายในการตรวจจับที่วิธีการแบบดั้งเดิมไม่สามารถจัดการได้

Augmented NDR รองรับความหลากหลายนี้ผ่านการปรับใช้เซ็นเซอร์ที่ยืดหยุ่น แท็ปเครือข่ายทางกายภาพจะบันทึกปริมาณการรับส่งข้อมูลภายในองค์กร เซ็นเซอร์เสมือนจะตรวจสอบสภาพแวดล้อมคลาวด์ เซ็นเซอร์ที่รู้จักคอนเทนเนอร์จะวิเคราะห์ปริมาณการรับส่งข้อมูลภายในคลัสเตอร์ Kubernetes การผสานรวมบน API จะรวบรวมข้อมูลโทรมาตรจากบริการคลาวด์เนทีฟ สถาปัตยกรรมที่ยืดหยุ่นนี้ให้การตรวจจับที่สอดคล้องกันในสภาพแวดล้อมที่หลากหลาย

ความท้าทายที่องค์กรขนาดกลางหลายแห่งเผชิญคือการมองเห็นสภาพแวดล้อมคลาวด์ได้ทั่วทั้งองค์กร คุณรู้หรือไม่ว่าไฟร์วอลล์แบบดั้งเดิมให้การมองเห็นแบบตะวันออก-ตะวันตกที่จำกัดในสภาพแวดล้อมคลาวด์ Augmented NDR ช่วยแก้ปัญหานี้ด้วยการตรวจสอบแบบเอเจนต์ภายในโครงสร้างพื้นฐานคลาวด์ องค์กรต่างๆ จะได้รับการมองเห็นเครือข่ายที่สำคัญสำหรับการตรวจจับการเคลื่อนไหวด้านข้าง ไม่ว่าระบบจะทำงานแบบภายในองค์กรหรือบนคลาวด์สาธารณะก็ตาม

การจัดแนวกับสถาปัตยกรรม Zero Trust

NIST SP 800-207 กำหนดหลักการสถาปัตยกรรม Zero Trust ที่เน้นการตรวจสอบอย่างต่อเนื่องของทุกการเชื่อมต่อโดยไม่คำนึงถึงแหล่งที่มา Augmented NDR มอบความสามารถในการตรวจสอบที่จำเป็นซึ่งทำให้ Zero Trust ใช้งานได้จริง แทนที่จะเชื่อถือโดยอิงจากการตรวจสอบสิทธิ์เบื้องต้น Zero Trust จำเป็นต้องมีการประเมินสถานะความน่าเชื่อถือซ้ำอย่างต่อเนื่องโดยพิจารณาจากพฤติกรรมและบริบท

Augmented NDR ตรวจสอบว่าการเข้าถึงเครือข่ายสอดคล้องกับนโยบายสิทธิ์ขั้นต่ำหรือไม่ สมาชิกทีมพัฒนาที่พยายามเข้าถึงฐานข้อมูลทางการเงินที่ใช้งานจริงถือเป็นการละเมิดหลักการ Zero Trust Augmented NDR จะตรวจจับการละเมิดการเข้าถึงนี้แบบเรียลไทม์ ช่วยให้สามารถบังคับใช้นโยบายได้ก่อนที่จะเกิดช่องโหว่

ความสัมพันธ์ระหว่าง NIST SP 800-207 และขีดความสามารถของ NDR ที่เพิ่มขึ้น (augmented NDR) ก่อให้เกิดความสอดคล้องเชิงกลยุทธ์ องค์กรที่ใช้ NDR ที่เพิ่มขึ้นจะสร้างรากฐานการตรวจสอบที่จำเป็นสำหรับการบรรลุ Zero Trust อย่างสมบูรณ์ ทีมรักษาความปลอดภัยสามารถนำระบบไมโครเซกเมนต์เทชั่นมาใช้ได้อย่างมั่นใจ เนื่องจาก NDR ที่เพิ่มขึ้นจะตรวจจับเมื่อมีการละเมิดนโยบายการแบ่งเซกเมนต์

ภาพ: ความสามารถ NDR ที่เพิ่มขึ้นและผลกระทบทางธุรกิจ

ข้อได้เปรียบในการแข่งขันสำหรับทีมความปลอดภัยแบบ Lean

ผู้นำด้านความปลอดภัยที่บริหารจัดการทีมแบบลีนต้องเผชิญกับความคาดหวังที่เป็นไปไม่ได้ พวกเขาต้องปกป้องพื้นที่การโจมตีระดับองค์กรด้วยทรัพยากรที่มีจำกัด ระบบ NDR แบบเสริม (Augmented NDR) ช่วยปรับสมดุลสมการนี้ด้วยระบบอัตโนมัติอัจฉริยะ

การเร่งความเร็วในการตรวจจับภัยคุกคามหมายความว่าจำเป็นต้องใช้นักวิเคราะห์น้อยลง ในขณะที่วิธีการแบบเดิมจำเป็นต้องมีทีมเฉพาะกิจในการตรวจหาภัยคุกคาม เอ็นดีอาร์แบบเสริม (Augmented NDR) จะระบุภัยคุกคามโดยอัตโนมัติ ระบบอัตโนมัตินี้ช่วยเพิ่มประสิทธิภาพของนักวิเคราะห์ ช่วยให้ทีมงานขนาดเล็กสามารถให้การป้องกันระดับองค์กรได้

การรวมการแจ้งเตือนช่วยเพิ่มประสิทธิภาพการคัดกรองได้อย่างมาก เครื่องมือแบบเดิมจะสร้างการแจ้งเตือนรายวันหลายพันครั้ง ส่วน NDR เสริม (Augmented NDR) จะเชื่อมโยงข้อมูลเหล่านี้เข้าด้วยกันเป็นเหตุการณ์สำคัญหลายสิบเหตุการณ์ นักวิเคราะห์ที่ตรวจสอบเหตุการณ์คุณภาพสูง 30 ครั้ง มีประสิทธิภาพมากกว่านักวิเคราะห์ที่ตรวจสอบการแจ้งเตือนคุณภาพต่ำ 3,000 ครั้ง การปรับปรุงคุณภาพนี้ช่วยเปลี่ยนการดำเนินงานด้านความปลอดภัยจากการจัดการสัญญาณรบกวนไปสู่การตอบสนองต่อภัยคุกคามอย่างมีประสิทธิภาพ

การตอบสนองอัตโนมัติช่วยลดภาระงานของนักวิเคราะห์ลงอีก แทนที่นักวิเคราะห์จะต้องดำเนินการตอบสนองต่อภัยคุกคามทุกอย่างด้วยตนเอง กลยุทธ์อัตโนมัติจะจัดการการควบคุมตามปกติ นักวิเคราะห์มุ่งเน้นไปที่การสืบสวนที่ซับซ้อนและการปรับปรุงเชิงกลยุทธ์ มากกว่าการดับเพลิงเชิงยุทธวิธี

ประโยชน์ทางเศรษฐกิจปรากฏชัดโดยตรง ทีมนักวิเคราะห์สี่คนแบบลีนที่ขับเคลื่อนด้วย Augmented NDR มักจะมีประสิทธิภาพเหนือกว่าทีมนักวิเคราะห์สิบคนที่ใช้เครื่องมือแบบดั้งเดิม อัตราส่วนผลผลิตนี้จึงคุ้มค่าต่อการลงทุนในเทคโนโลยี Augmented NDR

NDR ที่เพิ่มขึ้นเป็นรากฐานความมั่นคงเชิงกลยุทธ์

Augmented Network Detection and Response ไม่ใช่แค่การปรับปรุงความปลอดภัยในระดับเล็กๆ น้อยๆ เท่านั้น แต่ยังช่วยเปลี่ยนแปลงวิธีที่องค์กรต่างๆ ปกป้องเครือข่ายจากผู้โจมตีที่ซับซ้อนได้อย่างมีประสิทธิภาพ การผสมผสานระหว่างการตรวจจับความผิดปกติด้วยการเรียนรู้ของเครื่อง การวิเคราะห์พฤติกรรม และการตอบสนองอัตโนมัติ ก่อให้เกิดความสามารถด้านความปลอดภัยที่ก่อนหน้านี้มีเพียงองค์กรที่มีงบประมาณด้านความปลอดภัยมหาศาลเท่านั้น

สำหรับบริษัทขนาดกลางที่เผชิญกับภัยคุกคามระดับองค์กรที่มีทีมรักษาความปลอดภัยแบบ Lean ระบบ NDR แบบเสริม (Augmented NDR) จะช่วยปิดช่องว่างด้านความสามารถที่สำคัญ ระบบจะตรวจจับภัยคุกคามที่เครื่องมือแบบดั้งเดิมมองข้าม ลดผลบวกลวง (False Positive) ที่ทำให้นักวิเคราะห์รับมือไม่ไหว ระบบจะตอบสนองโดยอัตโนมัติซึ่งกินเวลาของนักวิเคราะห์ ระบบจะเชื่อมโยงสัญญาณระหว่างเครื่องมือและแหล่งข้อมูลที่แตกต่างกัน เพื่อเปิดเผยข้อมูลการโจมตี

ภูมิทัศน์ภัยคุกคามปี 2024-2025 เรียกร้องให้มีวิวัฒนาการเช่นนี้ ผู้โจมตียังคงปฏิบัติการโดยไม่ถูกตรวจพบเป็นเวลาหลายเดือนหรือหลายปี โดยใช้เครื่องมือและข้อมูลประจำตัวที่ถูกต้องตามกฎหมาย การตรวจจับโดยใช้ลายเซ็นแบบดั้งเดิมล้มเหลวกับแคมเปญที่ซับซ้อนเหล่านี้ การเพิ่ม NDR ซึ่งวิเคราะห์รูปแบบพฤติกรรมและตรวจจับความผิดปกติโดยไม่คำนึงถึงเครื่องมือที่ใช้ ช่วยให้องค์กรมีวิสัยทัศน์ที่จำเป็นในการแข่งขันกับผู้โจมตีขั้นสูง

ผู้นำด้านความปลอดภัยควรประเมินความสามารถในการตรวจจับในปัจจุบันอย่างตรงไปตรงมา องค์กรของคุณสามารถตรวจจับการเคลื่อนไหวในแนวขวางได้อย่างน่าเชื่อถือหรือไม่? คุณสามารถระบุข้อมูลประจำตัวที่ถูกบุกรุกก่อนที่ผู้โจมตีจะนำไปใช้ได้หรือไม่? คุณสามารถเชื่อมโยงสัญญาณจากเครื่องมือที่แตกต่างกันเข้ากับเรื่องราวการโจมตีที่สอดคล้องกันได้หรือไม่? หากคำตอบของคำถามใดๆ คือ "ไม่น่าเชื่อถือ" การเพิ่ม NDR ควรได้รับการประเมินอย่างจริงจัง เทคโนโลยีนี้มีไว้เพื่อเปลี่ยนแปลงการดำเนินงานด้านความปลอดภัย คำถามคือองค์กรของคุณจะนำไปใช้ก่อนที่การโจมตีครั้งใหญ่ครั้งต่อไปจะแสดงให้เห็นถึงต้นทุนของความล่าช้าหรือไม่

ฟังดูดีเกินไปที่จะ
จริงมั้ย?
ดูด้วยตัวคุณเอง!

ขอการสาธิต
เลื่อนไปที่ด้านบน
ลงทะเบียนเพื่อรับจดหมายข่าว