ในโลกยุคดิจิทัล นวัตกรรมด้าน IT อย่าง AI และ Automation ต่างถูกพัฒนาอย่างก้าวกระโดด การก้าวทันตามเทคโนโลยีและนำมาประยุกต์เพื่อสร้างความได้เปรียบในการแข่งขันเป็นเรื่องท้าทายสำหรับหลายๆ องค์กร ในขณะเดียวกัน ภัยคุกคามทางไซเบอร์ก็พัฒนาความซับซ้อนและแยบยลไม่แพ้กัน จะดีกว่าไหม ถ้าปล่อยการเฝ้าระวังและรับมือกับภัยคุกคามเหล่านั้นให้เป็นหน้าที่ของผู้เชี่ยวชาญที่มีความพร้อมทั้งทักษะและเครื่องมือ องค์กรจะได้ลดภาระของฝ่าย IT และสามารถโฟกัสกับการดำเนินธุรกิจได้อย่างเต็มที่

บทความนี้ Sophos ผู้ให้บริการ Cybersecurity as a Service ชื่อดังจากสหราชอาณาจักร จะมาแนะนำภาพรวมของบริการ Managed Detection and Response (MDR) พร้อมคำถาม 10 ข้อ ซึ่งจะช่วยให้องค์กรสามารถเลือกผู้ให้บริการ MDR ที่เหมาะกับสภาพแวดล้อมและแนวทางการรักษาความมั่นคงปลอดภัยขององค์กรมากที่สุด

ระบบมีความซับซ้อน ภัยคุกคามก็หนักหน่วง แต่บุคลากรกลับขาดแคลน

ปัจจุบัน พนักงานสามารถทำงานได้ทั้งในออฟฟิศหรือจากภายนอกสถานที่ เช่น บ้านหรือร้านกาแฟ ในขณะเดียวกัน ข้อมูลขององค์กรก็กระจัดกระจายออกจาก Data Center ไปสู่ Cloud และอุปกรณ์ของพนักงาน ก่อให้เกิดช่องทางการโจมตีที่เพิ่มมากขึ้น องค์กรจำเป็นต้องขยายขอบเขตการรักษาความมั่นคงปลอดภัยออกไปให้ครอบคลุมทุกพื้นที่ สร้างความซับซ้อน รวมถึงความยากลำบากในการรับมือกับภัยคุกคาม

แม้กระนั้น บุคลากรด้านความมั่นคงปลอดภัยกลับขาดแคลน การตรวจสอบ ตัดสินใจ และตอบโต้ใช้เวลานานมากขึ้น โดยเฉพาะอย่างยิ่งช่วงนอกเวลางาน เช่น กลางคืนหรือวันหยุด ที่แฮ็กเกอร์มักพุ่งเป้าเป็นพิเศษ เมื่อศักยภาพในการรับมือกับภัยคุกคามลดลง องค์กรก็ตกอยู่ในความเสี่ยงมากขึ้น ยิ่งไปกว่านั้น เมื่อระบบมีความซับซ้อน เครื่องมือที่ใช้มีจำนวนมาก แต่กลับไม่ผสานการทำงานและแชร์ข้อมูลร่วมกัน นอกจากจะทำให้เกิดปัญหา Alert Fatigue (การแจ้งเตือนล้นจนจัดลำดับความสำคัญและรับไม่ไหว) แล้ว ยังทำให้องค์กรมองไม่เห็นภาพรวมของภัยคุกคามอย่างชัดเจน ซึ่งอาจส่งผลให้ตัดสินใจผิดพลาดและสร้างความเสียหายร้ายแรงตามมาได้

ด้วยเหตุนี้ การเฝ้าระวังตรวจจับ และรับมือกับภัยคุกคามทางไซเบอร์โดยผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย พร้อมเครื่องมือที่ผสานการทำงานร่วมกันอย่างบูรณาการ ตลอด 24×7 ผ่านทางบริการ Managed Detection and Response (MDR) จึงเป็นทางเลือกใหม่ที่จะช่วยยกระดับศักยภาพด้านการรักษาความมั่นคงปลอดภัยขององค์กรไปอีกขั้น ซึ่ง Gartner คาดการณ์ว่า ภายในปี 2025 จะมีองค์กรมากกว่าครึ่งเลือกใช้บริการ MDR

Managed Detection and Response (MDR) คืออะไร มีประโยชน์อย่างไร

Managed Detection and Response (MDR) เป็นบริการการตรวจจับและตอบโต้การโจมตีทางไซเบอร์ที่เครื่องมือด้านความมั่นคงปลอดภัยเพียงอย่างเดียวไม่สามารถป้องกันได้ โดยอาศัยผู้เชี่ยวชาญคอยเฝ้าระวังตลอด 24×7 ซึ่งไม่ได้ทำเพียงแค่การแจ้งเตือนเท่านั้น แต่สามารถรวมไปถึงการเข้าไปรับมือกับการโจมตีเหล่านั้นแทนผู้ดูแลระบบขององค์กรด้วย

ผู้ให้บริการ MDR จะอาศัยความเชี่ยวชาญของตน ผสานกับการทำงานของเครื่องมือต่างๆ และเทคโนโลยี AI ในการค้นหา วิเคราะห์ ตรวจจับ และตอบโต้กับการภัยคุกคามประเภทต่างๆ แม้แต่การโจมตีขั้นสูงที่มีความแยบยล รวมถึงป้องกันไม่ให้เกิดเหตุ Data Breach และยับยั้งไม่ให้ระบบหยุดชะงัก

โดยทั่วไปแล้ว บริการ MDR จะประกอบด้วย

• การเฝ้าระวังและค้นหาพฤติกรรมต้องสงสัยที่อาจนำไปสู่การบุกรุกโจมตีหรือขโมยข้อมูลตลอด 24×7
• การเข้าช่วยเหลือ (แบบรีโมต) เพื่อรับมือ สืบหาสาเหตุ และกักกันเหตุไม่ให้ความเสียหายลุกลาม รวมถึงแจ้งเตือนผู้ที่เกี่ยวข้อง
• ชุดเครื่องมือที่ช่วยสร้าง Visibility ให้ครอบคลุมทั้ง Endpoint, Firewall, Identity, Email, Network, Cloud, Backup และแหล่งข้อมูลด้านความมั่นคงปลอดภัยอื่นๆ
• การวิเคราะห์ต้นตอของปัญหา เพื่อป้องกันไม่ให้เกิดเหตุซ้ำอีก
• การค้นหาภัยคุกคามที่ยังไม่สามารถตรวจจับได้ด้วยเครื่องมือการตรวจจับและป้องกันที่ใช้งานอยู่ (Unknown Unknowns) แบบเชิงรุก
• Threat Intelligence สำหรับตรวจจับภัยคุกคามที่เพิ่งเกิดขึ้นใหม่
• ศักยภาพการตรวจจับภัยคุกคามโดยผู้เชี่ยวชาญที่เหนือกว่าการใช้เพียงเครื่องมือตรวจจับเพียงอย่างเดียว

อีกหนึ่งจุดเด่นสำคัญของบริการ MDR คือ การนำประสบการณ์ที่ให้บริการลูกค้ากลุ่มเดียวกันมาประยุกต์ใช้ร่วมกัน เพื่อให้สามารถตรวจจับสัญญาณที่อาจนำไปสู่การเกิดเหตุไม่พึงประสงค์ได้อย่างรวดเร็วและแม่นยำ รวมถึงดำเนินการตอบโต้ได้อย่างมีประสิทธิภาพด้วย Playbook ที่เตรียมไว้ล่วงหน้า

ปัจจัยที่ควรพิจารณาและ 10 ข้อควรถามเพื่อให้ได้บริการ MDR ที่เหมาะกับองค์กรที่สุด

Sophos ได้ให้คำแนะนำเรื่องปัจจัยที่ควรพิจารณาก่อนเลือกใช้บริการ MDR 3 ประการ ได้แก่

1. สิ่งที่องค์กรต้องการทำให้สำเร็จคืออะไร

เข้าใจถึงความสำเร็จขององค์กรให้ชัดเจน ซึ่งความสำเร็จนี้จะมีอิทธิพลต่อความท้าทายและแรงจูงใจในการใช้บริการ MDR

2. ระบุแนวทางการทำงานร่วมกับบริการ MDR

กำหนดหน้าที่ของฝ่าย IT และทีมรักษาความมั่นคงปลอดภัยให้ชัดเจน รวมถึงสิ่งที่จะปล่อยให้บริการ MDR จัดการ เช่น ให้ MDR แจ้งเตือนเพียงอย่างเดียว แล้วทีมงานจัดการรับมือต่อ หรือให้ MDR จัดการรับมือแทนไปเลย เป็นต้น

3. ตรวจสอบระบบรักษาความมั่นคงปลอดภัยในปัจจุบัน

ทำความเข้าใจกับเทคโนโลยีด้าน IT และ Security ที่กำลังใช้งานอยู่ ไม่ว่าจะเป็น Endpoint Protection, Network Firewall, Email Gateway, Identity Management และอื่นๆ ยิ่งบริการ MDR สามารถใช้ประโยชน์จากข้อมูลจากเครื่องมือเเหล่านี้ได้มากเท่าไร ยิ่งทำให้สามาารถวิเคราะห์ ตรวจจับ และตอบโต้ภัยคุกคามได้รวดเร็วและแม่นยำเท่านั้น

เมื่อระบุปัจจัยทั้ง 3 ประการได้แล้ว แนะนำให้ถามคำถาม 10 ข้อนี้เพื่อประเมินและคัดเลือกบริการ MDR ที่คิดว่าเหมาะสมและตอบโจทย์ความต้องการขององค์กรมากที่สุด

1. โซลูชันด้านความมั่นคงปลอดภัยที่คุณให้บริการ มีอะไรที่ทีม MDR ของคุณสามารถนำไปใช้ประโยชน์ต่อได้บ้าง (เช่น Endpoint Protection, Network Firewall, Email Security)
2. บริการ MDR ของคุณสามารถทำงานร่วมกับโซลูชันด้านความมั่นคงปลอดภัยจากเจ้าของผลิตภัณฑ์รายอื่นได้หรือไม่
3. ถ้าทำงานร่วมกับโซลูชันจากเจ้าของผลิตภัณฑ์รายอื่นได้ จะช่วยเพิ่มประโยชน์อะไรให้ทีม MDR ของคุณบ้าง
4. โดยปกติแล้ว ทีม MDR ของคุณใช้เวลานานแค่ไหนในการตอบโต้ภัยคุกคาม
5. มีการตอบโต้อะไรบ้างที่ทีม MDR ของคุณสามารถทำแทนพวกเราได้เลย และมีอะไรบ้างที่พวกเราต้องทำเอง
6. ถ้าธุรกิจของเราเติบโตแบบก้าวกระโดด บริการ MDR ของคุณจะขยายการให้บริการตามได้หรือไม่
7. ระดับการซัพพอร์ตและประสานงานมีแบบใดให้เลือกบ้าง สามารถปรับแต่งบริการเหล่านั้นได้หรือไม่
8. Feedback จากลูกค้าที่ใช้บริการ MDR ของคุณเป็นอย่างไร
9. บริการ MDR ของคุณครอบคลุมการทำ Incident Response แบบครบวงจรหรือไม่ ไม่ว่าจะเป็นการยับยั้ง กักกัน และกำจัดภัยคุกคามจนหมดสิ้นไป เหล่านี้รวมอยู่ในบริการหลักแล้วหรือไม่ หรือมีค่าใช้จ่ายเพิ่มเติม
10. มีการรับประกัน Breach Protection หรือไม่

แนะนำบริการ MDR จาก Sophos พร้อมประกัน Breach Protection

Sophos MDR คือบริการการตรวจจับและรับมือกับภัยคุกคามทางไซเบอร์ที่พุ่งเป้าระบบคอมพิวเตอร์ เซิร์ฟเวอร์ คลาวด์ อีเมล และอื่นๆ ตลอด 24×7 โดยผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์มากกว่า 500 คนที่ถูกคัดสรรมาเป็นอย่างดี สนับสนุนโดยศูนย์ SOC ที่กระจายอยู่ 7 แห่งทั่วโลก ครอบคลุมทั้งภูมิภาคเอเชียแปซิฟิก ยุโรป และอเมริกา ช่วยให้มั่นใจว่าองค์กรสามารถยับยั้งการโจมตีและดำเนินการตอบโต้ได้อย่างทันท่วงที พร้อมแก้ปัญหาและกักกันความเสียสายไม่ให้ส่งผลกระทบต่อข้อมูลสำคัญและการดำเนินธุรกิจขององค์กร

Sophos MDR พร้อมให้บริการลูกค้าทั่วโลก ทุกอุตสาหกรรม ทุกระดับ ตั้งแต่บริษัทขนาดเล็กที่มีทรัพยากร IT จำกัด ไปจนถึงองค์กรขนาดใหญ๋ที่มีทีม Security Operations ของคนเอง โดยโมเดลที่ลูกค้าส่วนใหญ่นิยมใช้บริการ คือ

• ปล่อยให้ Sophos MDR ดูแลการรับมือกับภัยคุกคามแทนฝ่าย IT ขององค์กรไปเลย
• ประสานการทำงานร่วมกับฝ่าย IT เพื่อดูแลการตรวจจับและรับมือกับภัยคุกคามร่วมกัน
• สนับสนุนและเป็นกำลังเสริมให้แก่ฝ่าย IT ผ่านทางการแจ้งเตือนเหตุผิดปกติ ส่งต่อข้อมูลเชิงลึกที่เกี่ยวข้อง และแนะนำแนวทางในการรับมือ

นอกจากนี้ Sophos MDR ยังมีการรับประกัน Breach Protection สำหรับผู้ใช้บริการ Sophos MDR Complete โดยไม่มีค่าใช้จ่ายเพิ่มเติม โดยมอบวงเงินประกันสูงสุดถึง 1,000,000 เหรียญสหรัฐฯ สำหรับลูกค้ารายพิเศษ

รายละเอียดเพิ่มเติม: https://www.sophos.com/en-us/products/managed-detection-and-response

CR:https://www.techtalkthai.com/what-is-managed-detection-and-response-mdr-by-sophos/