การ์ทเนอร์เพิ่งเปิดตัว พบ โดยเฉลี่ยแล้วองค์กรต่างๆ ใช้ผลิตภัณฑ์รักษาความปลอดภัยที่แตกต่างกันถึง 45 รายการ ครอบคลุมทั้งระบบปลายทาง เครือข่าย คลาวด์ ข้อมูลประจำตัว อีเมล และโครงสร้างพื้นฐาน
เครื่องมือแต่ละอย่างต่างก็ให้คำมั่นสัญญาว่าจะให้การครอบคลุมที่ดีกว่า ตรวจจับได้เร็วขึ้น หรือลดความเสี่ยงลง และหลายๆ อย่างก็ทำได้ตามที่สัญญาไว้จริงๆ เมื่อพิจารณาแยกกัน แต่เมื่อนำเครื่องมือเหล่านั้นมาใช้ร่วมกัน ผลลัพธ์ที่ได้คือระบบที่ใช้งานยากขึ้น ตอบสนองช้าลง และเปราะบางกว่าภัยคุกคามที่มันควรจะหยุดยั้งเสียอีก
ตามทฤษฎีแล้ว เครื่องมือที่มากขึ้นควรจะนำไปสู่ความปลอดภัยที่แข็งแกร่งขึ้น แต่ในทางปฏิบัติ แพลตฟอร์มแต่ละแพลตฟอร์มจะเพิ่มโมเดลข้อมูล แดชบอร์ด ระบบแจ้งเตือน และขั้นตอนการทำงานใหม่ๆ ที่นักวิเคราะห์ต้องจัดการให้ลงตัวภายใต้ความกดดัน
เครื่องมือเหล่านี้มักไม่สามารถทำงานร่วมกันได้อย่างราบรื่น ข้อมูลไม่ไหลเวียนอย่างคล่องตัว และการแจ้งเตือนไม่จัดลำดับความสำคัญโดยอัตโนมัติ เมื่อเวลาผ่านไป ความซับซ้อนจะไม่ใช่แค่ผลข้างเคียงอีกต่อไป แต่กลายเป็นความเสี่ยงหลัก
ที่มาของปัญหาการใช้เครื่องมืออย่างไม่เป็นระเบียบ
โดยทั่วไปแล้ว การเพิ่มจำนวนเครื่องมืออย่างไม่เป็นระเบียบมักเกิดจากการตัดสินใจที่เกิดขึ้นในช่วงระยะเวลานาน:
เมื่อภัยคุกคามประเภทใหม่เกิดขึ้น ก็มีการเพิ่มโซลูชันเฉพาะด้านเข้ามา ข้อกำหนดด้านการปฏิบัติตามกฎระเบียบเปลี่ยนแปลงไป จึงมีการนำแพลตฟอร์มอื่นมาใช้ ทีมงานได้รับเครื่องมือผ่านการควบรวมกิจการ และอื่นๆ ฝ่ายรักษาความปลอดภัยต่างๆ เลือกผลิตภัณฑ์ที่ดีที่สุดที่เหมาะสมกับโดเมนของตนเอง แต่ละการตัดสินใจนั้นสมเหตุสมผลในตัวเอง แต่ปัญหาคือเครื่องมือเหล่านี้ไม่ได้ออกแบบมาให้ทำงานเป็นระบบเดียว
แพลตฟอร์มรักษาความปลอดภัยส่วนใหญ่เก็บรวบรวมข้อมูลการวัดระยะทางในรูปแบบต่างๆ ใช้โครงสร้างข้อมูลของตนเอง และแสดงการแจ้งเตือนผ่านคอนโซลแยกต่างหาก แม้ว่าจะมีระบบการเชื่อมต่ออยู่แล้ว แต่ก็มักจะไม่สมบูรณ์ เปราะบาง หรือเป็นแบบทิศทางเดียว ผลลัพธ์ที่ได้คือสัญญาณที่กระจัดกระจายซึ่งนักวิเคราะห์ต้องนำมาเชื่อมต่อกันด้วยตนเอง
เมื่อเครื่องมือทุกชิ้นใช้ภาษาที่แตกต่างกัน ทีมรักษาความปลอดภัยจะสูญเสียความสามารถในการมองเห็นการโจมตีในฐานะลำดับเหตุการณ์ที่เชื่อมโยงกัน การแตกแยกนี้ส่งผลให้เกิดความล้มเหลวสามประการที่บั่นทอนการตรวจจับและการตอบสนอง:
- ข้อมูลที่จัดเก็บแยกส่วน: สัญญาณต่างๆ ยังคงถูกกักเก็บไว้ในระบบที่แยกจากกัน ทำให้ยากที่จะเชื่อมโยงข้อมูลระหว่างการเข้าสู่ระบบด้วยตัวตนที่น่าสงสัย การรับส่งข้อมูลเครือข่ายที่ผิดปกติ และกระบวนการปลายทางที่ถูกตั้งข้อสงสัย แม้ว่าสิ่งเหล่านี้จะเป็นส่วนหนึ่งของห่วงโซ่การโจมตีเดียวกันก็ตาม
- การแจ้งเตือนมากเกินไป: นักวิเคราะห์ต้องสลับไปมาระหว่างหน้าจอควบคุมและคิวงาน จมอยู่กับการแจ้งเตือนที่วุ่นวายซึ่งไม่มีบริบทหรือใช้ภาษาเดียวกัน
- การลากปฏิบัติการ: เครื่องมือแต่ละอย่างล้วนมีขั้นตอนการฝึกอบรม การปรับแต่ง การบำรุงรักษา การขอใบอนุญาต และการจัดการผู้จำหน่ายที่แตกต่างกันออกไป ด้วยเหตุนี้ ความซับซ้อนจึงไม่ได้เพิ่มขึ้นแบบเชิงเส้น แต่กลับทวีคูณขึ้น
ต้นทุนแฝงที่คุณกำลังจ่ายอยู่แล้ว
ปัญหาเชิงโครงสร้างเหล่านี้ส่งผลกระทบทั้งด้านการเงินและการดำเนินงาน และใบแจ้งหนี้จากผู้ให้บริการด้านความปลอดภัยของคุณบอกเล่าเรื่องราวเพียงบางส่วนเท่านั้น ต้นทุนที่แท้จริงของการใช้เครื่องมืออย่างไม่เป็นระเบียบซ่อนอยู่ในส่วนที่งบประมาณของคุณไม่ได้ระบุไว้ เช่น:
นักวิเคราะห์กำลังหมดไฟเพราะงานที่ซ้ำซากจำเจ
งานเชิงยุทธวิธี เช่น การคัดกรองการแจ้งเตือนและการเชื่อมโยงข้อมูลด้วยตนเอง ใช้เวลาส่วนใหญ่ของพวกเขา ทำให้ไม่มีเวลาเหลือสำหรับงานเชิงกลยุทธ์ เช่น การค้นหาภัยคุกคามหรือการเพิ่มประสิทธิภาพการป้องกัน เครื่องมือเพิ่มเติมทุกชิ้นทำให้เสียสมาธิ แดชบอร์ดเพิ่มเติมทุกชิ้นทำให้เกิดความเหนื่อยล้า จึงไม่น่าแปลกใจเลยที่... เกือบครึ่ง ผู้เชี่ยวชาญด้านความปลอดภัยจำนวนมากรายงานว่ารู้สึกรับมือไม่ไหว
เวลาตอบสนองช้าลงเนื่องจากการแบ่งส่วน
การใช้งานเครื่องมือที่หลากหลายทำให้ผู้เชี่ยวชาญด้านการวิเคราะห์ต้องเชื่อมโยงข้อมูลข้ามแพลตฟอร์ม สลับไปมาระหว่างอินเทอร์เฟซ และรวบรวมลำดับเหตุการณ์ด้วยตนเอง เมื่อเกิดการละเมิดข้อมูล เวลาจะถูกวัดเป็นนาที ไม่ใช่ชั่วโมง แต่โดยเฉลี่ยแล้วองค์กรต่างๆ วัดเวลาที่ใช้ในการตรวจจับได้เป็นวันหรือสัปดาห์ ไม่ใช่เพราะไม่มีข้อมูล แต่เพราะข้อมูลกระจัดกระจายอยู่หลายที่เกินกว่าจะค้นหาได้ทันเวลา
ช่องโหว่ด้านความปลอดภัยที่เกิดขึ้นเนื่องจากความซับซ้อน
ยิ่งคุณจัดการผลิตภัณฑ์มากเท่าไหร่ การกำหนดค่าก็จะยิ่งคลาดเคลื่อนมากขึ้นเท่านั้น ไม่มีทีมใดสามารถรักษาความสะอาดสมบูรณ์แบบได้ในเครื่องมือรักษาความปลอดภัยมากกว่า 45 รายการ กฎไฟร์วอลล์ได้รับการอัปเดตในคอนโซลหนึ่ง แต่ไม่ได้รับการอัปเดตในอีกคอนโซลหนึ่ง และทันใดนั้นก็เกิดช่องโหว่ที่ไม่มีใครรู้ ผู้จำหน่ายแต่ละรายที่คุณเพิ่มเข้ามายังขยายพื้นที่การโจมตีของคุณด้วย เพราะผลิตภัณฑ์รักษาความปลอดภัยส่วนใหญ่มีสิทธิ์การเข้าถึงสูงและเกี่ยวข้องกับข้อมูลที่ละเอียดอ่อน
งบประมาณถูกใช้ไปอย่างสิ้นเปลืองเนื่องจากการใช้งานเครื่องมือซ้ำซ้อนกัน
เมื่อคุณเพิ่มโซลูชันหลายชั้นโดยไม่ได้ตรวจสอบสิ่งที่มีอยู่แล้ว คุณจะลงเอยด้วยการจ่ายเงินให้กับผู้ขายหลายรายสำหรับตรรกะการตรวจจับแบบเดียวกัน SIEM, EDR และ XDR ถึงแม้ระบบทั้งหมดจะแจ้งเตือนกระบวนการที่น่าสงสัยเดียวกัน แต่คุณต้องจ่ายเงินถึงสามเท่าสำหรับการตรวจจับนั้น
Stellar Cyber แก้ปัญหาการใช้งานเครื่องมือที่กระจัดกระจายได้อย่างไร
ข่าวดีก็คือ มีหนทางที่ดีกว่านั้น นั่นคือการรวมประเทศโดยไม่ก่อให้เกิดความแตกแยก
Stellar Cyber's Open XDR เวที ใช้วิธีการที่แตกต่างออกไป แบบดั้งเดิม XDR สร้างขึ้นโดยใช้ EDR ของผู้ให้บริการรายเดียว ซึ่งทำให้คุณถูกจำกัดอยู่เฉพาะในระบบนิเวศของพวกเขา Open XDR ทำงานกับอะไรก็ได้ EDRดังนั้นคุณจึงสามารถใช้เครื่องมือปลายทางที่คุณเลือกไว้แล้วต่อไปได้ แทนที่จะบังคับให้คุณละทิ้งการลงทุนที่มีอยู่ มันกลับเป็นการรวมเครื่องมือเหล่านั้นเข้าด้วยกัน เอ็นจี-SIEM, NDR, UEBA, ITDR, CDR, TIPและ ความสามารถของ SOAR ทุกอย่างถูกรวมเข้าไว้ในคอนโซลเดียว ด้วยโมเดลข้อมูลเดียว และหน้าจอเดียวสำหรับควบคุมการดำเนินงานด้านความปลอดภัยทั้งหมดของคุณ
คุณสามารถนำเข้าข้อมูลจากที่ใดก็ได้
สถาปัตยกรรมแบบเปิดของ Stellar Cyber เชื่อมต่อกับระบบรักษาความปลอดภัยที่มีอยู่ของคุณผ่านการผสานรวมแบบสำเร็จรูปหลายร้อยรายการ รักษาความปลอดภัยของคุณไว้ CrowdStrikeของคุณ เซนติเนลวันด้วย Microsoft Defender ของคุณ คงไว้ซึ่งเครื่องมือรักษาความปลอดภัยบนคลาวด์และโครงสร้างพื้นฐานภายในองค์กรของคุณ แพลตฟอร์มจะปรับมาตรฐานและเพิ่มคุณค่าให้กับข้อมูลจากทุกแหล่งโดยอัตโนมัติ โดยสามารถเพิ่มแหล่งข้อมูลได้ภายในไม่กี่ชั่วโมง แทนที่จะเป็นหลายสัปดาห์ ในที่สุดคุณก็จะทำงานกับชุดข้อมูลที่เป็นหนึ่งเดียว แทนที่จะเป็นแหล่งข้อมูลที่กระจัดกระจาย
AI สามารถเชื่อมโยงการแจ้งเตือนโดยอัตโนมัติได้
เมื่อข้อมูลของคุณได้รับการรวมเป็นหนึ่งเดียวแล้ว AI ขั้นสูงจะเริ่มเข้ามาช่วย การแจ้งเตือนแต่ละรายการจะกลายเป็นเหตุการณ์ที่เชื่อมโยงกันโดยอัตโนมัติ ทำให้ผู้วิเคราะห์เห็นภาพรวมทั้งหมดของสิ่งที่เกิดขึ้น การเข้าสู่ระบบที่น่าสงสัย การรับส่งข้อมูลเครือข่ายที่ผิดปกติ และกระบวนการปลายทางที่ถูกตั้งค่าสถานะ จะปรากฏเป็นกรณีเดียวที่มีลำดับความสำคัญ พร้อมด้วยบริบท แผนผังห่วงโซ่การโจมตี และการดำเนินการตอบสนองที่แนะนำ ผู้วิเคราะห์ของคุณจะตรวจสอบเหตุการณ์ ไม่ใช่คิวการแจ้งเตือนที่ไม่มีที่สิ้นสุด และเมื่อพวกเขายืนยันสิ่งที่ค้นพบและให้ข้อเสนอแนะแล้ว... AI เรียนรู้และพัฒนาตนเองฉลาดขึ้นเรื่อย ๆ เมื่อเวลาผ่านไป
การตรวจจับและการตอบสนองรวดเร็วยิ่งขึ้น
แนวทางแบบบูรณาการนี้ส่งผลให้ความเร็วเพิ่มขึ้นอย่างเห็นได้ชัด ลูกค้ารายงานว่าเวลาเฉลี่ยในการตรวจจับดีขึ้นถึง 8 เท่า และเวลาเฉลี่ยในการตอบสนองดีขึ้นถึง 20 เท่า ไม่ใช่เพราะพวกเขามีข้อมูลมากขึ้น แต่เป็นเพราะในที่สุดพวกเขาก็สามารถเห็นข้อมูลทั้งหมดได้ในที่เดียวและดำเนินการได้ทันที ทีมงานรายงานว่าใช้เวลาน้อยลงในการคัดกรองซ้ำซาก ทำให้ผู้1วิเคราะห์มีเวลามากขึ้นในการมุ่งเน้นไปที่งานอื่น การล่าภัยคุกคามเชิงรุก และการเพิ่มประสิทธิภาพด้านการป้องกัน
นักวิเคราะห์มีเวลามากขึ้นสำหรับงานเชิงกลยุทธ์
สิ่งที่อาจมีประโยชน์ที่สุดคือ การรวมระบบจะเปลี่ยนวิธีการใช้เวลาของทีม การมีเครื่องมือมากมายทำให้ผู้1วิเคราะห์ติดอยู่ในโหมดตอบสนอง คอยแก้ไขปัญหาเฉพาะหน้าแทนที่จะเสริมสร้างการป้องกัน Stellar Cyber เปลี่ยนแปลงพลวัตนั้น แทนที่จะเหนื่อยล้าจากการแจ้งเตือนจากคอนโซลหลายสิบเครื่อง ผู้1วิเคราะห์จะทำงานจากคิวที่มีลำดับความสำคัญเพียงคิวเดียว พวกเขาตรวจสอบความถูกต้องของสิ่งที่ค้นพบ สอนระบบ และค้นหาภัยคุกคามเชิงรุก งานที่ยุ่งยากซึ่งทำให้เกิดความเหนื่อยล้าจะกลายเป็นงานเชิงกลยุทธ์ที่ช่วยรักษาพนักงานไว้ได้
สรุปและขั้นตอนต่อไป
เมื่อมองภาพรวมแล้ว ทางเลือกก็จะชัดเจนขึ้น การใช้งานเครื่องมือที่กระจัดกระจายนั้นเป็นปัญหาด้านการมองเห็นที่แฝงตัวมาในรูปของปัญหาทางเทคโนโลยี เครื่องมือใหม่ทุกชิ้นที่คุณเพิ่มเข้ามานั้นสัญญาว่าจะให้ความปลอดภัยที่ดีกว่า แต่หากปราศจากการรวมระบบ คุณก็แค่เพิ่มเสียงรบกวนเข้าไปในสัญญาณที่ดังอยู่แล้วเท่านั้น
เป้าหมายควรเป็นการปลดปล่อยนักวิเคราะห์ของคุณจากงานที่ซ้ำซากจำเจ เพื่อให้พวกเขาสามารถมุ่งเน้นไปที่สิ่งที่มนุษย์ทำได้ดีที่สุด นั่นคือ การคิดเชิงกลยุทธ์ การค้นหาภัยคุกคาม และการทำให้องค์กรของคุณยากต่อการโจมตี AI จะจัดการการคัดกรองเบื้องต้นด้วยความเร็วของเครื่องจักร ส่วนผู้เชี่ยวชาญของคุณจะตรวจสอบความถูกต้อง สอนงาน และปรับปรุงระบบ
ปัจจุบันองค์กรเกือบ 75% ระบุว่าต้องการรวมผู้ให้บริการด้านความปลอดภัยเข้าด้วยกัน องค์กรที่รวมระบบอย่างมีกลยุทธ์ โดยเลือกแพลตฟอร์มที่ทำงานร่วมกับการลงทุนที่มีอยู่แล้ว จะหยุดการจ่ายต้นทุนแฝงที่เกิดจากการกระจายตัวของระบบได้
การใช้เครื่องมือที่หลากหลายไม่ได้ทำให้คุณปลอดภัยมากขึ้น การมองเห็นภาพรวมทั้งหมดต่างหากที่จะทำให้ปลอดภัยยิ่งขึ้น และนั่นเริ่มต้นจากการรวบรวมทุกอย่างไว้ในที่เดียว
อยากเห็นระบบรักษาความปลอดภัยแบบครบวงจรทำงานจริงไหม?
หากคุณเข้าร่วมงาน RSAC 2026 อย่าลืมแวะมาที่บูธหมายเลข 327 ลงทะเบียนเพื่อทดลองใช้งาน หรือคว้า บัตรเข้าชมงานเอ็กซ์โปฟรี ด้วยรหัส 52E1069XP.
