MDR ย่อมาจาก Managed Detection and Response คือ การบริการตรวจจับ ป้องกัน และรับมือภัยคุกคามระบบสารสนเทศ หรือการบริการด้านความปลอดภัยไซเบอร์ที่ผสมผสานเทคโนโลยีและความเชี่ยวชาญของผู้เชี่ยวชาญเพื่อปกป้ององค์กรของคุณ จากภัยคุกคามทางไซเบอร์ ซึ่ง MDR แบ่งการทำงานออกเป็น 3 ขั้นตอนหลักๆ ดังนี้
- การตรวจจับและการติดตาม Detection & Monitoring: MDR เป็นการผสมผาสการใช้เครื่องมือและผู้เชี่ยวชาญร่วมกันเพื่อตรวจสอบระบบเครือข่าย เครื่องลูกข่าย เครื่องแม่ข่ายและระบบคลาวด์ของคุณอย่างต่อเนื่อง เพื่อหาสัญญาณกิจกรรมที่น่าสงสัย ซึ่งอาจเกี่ยวข้องกับเครื่องมือ Endpoint Detection and Response (EDR) ที่ติดตามการทำงานของอุปกรณ์ หรือโซลูชัน Extended Detection and Response (XDR) ที่รวบรวมข้อมูลจากแหล่งต่างๆ
- การวิเคราะห์และการรับมือ Analysis & Response: เมื่อพบภัยคุกคามที่อาจเกิดขึ้น ผู้เชี่ยวชาญจะวิเคราะห์สถานการณ์เพื่อพิจารณาความรุนแรงและความเร่งด่วน พวกเขาใช้ประโยชน์จาก Threat Intelligence และความเชี่ยวชาญเฉพาะตัวเพื่อแยกแยะภัยคุกคามที่แท้จริงออกจาก False Positive
- การเยียวยาและการปรับปรุง Remediation and Improvement: กรณียืนยันภัยคุกคามที่เกิดขึ้นจริง ทีมผู้เชี่ยวชาญจะดำเนินการเพื่อหยุดยั้งและลดความเสียหายให้น้อยที่สุด ซึ่งอาจรวมถึงการแยกเครื่องที่ถูกโจมตีออกจากระบบ หรือแม้กระทั่งการนำการตอบสนองต่อเหตุการณ์ (Incident Response) รวมถึงมีการตอบสนองแบบอัตโนมัติด้วย API Playbook Automation ทั้งนี้ MDR ยังช่วยปรับปรุงท่าทีด้านความปลอดภัยโดยรวมของคุณด้วยการให้คำแนะนำ จากกรณีศึกษาที่ได้จากเหตุการณ์แต่ละครั้ง
ประโยชน์ที่ได้จาก Manage Detection and Response
- ความเชี่ยวชาญด้านความปลอดภัย Security Expert: MDR จะช่วยให้เข้าถึงทีมผู้เชี่ยวชาญด้านความปลอดภัยที่สามารถติดตามระบบของคุณตลอด 24/7 ซึ่งเป็นสิ่งที่องค์กรหลายแห่งไม่มีบุคลากรเพียงพอที่จะดูแลระบบทั้งหมดที่เกิดขึ้น
- ภูมิทัศน์ของภัยคุกคาม Threat Landscape: ภัยคุกคามไซเบอร์มีการพัฒนาอย่างต่อเนื่อง และผู้ให้บริการ MDR ติดตามเทคนิคและกลยุทธ์ล่าสุดอย่างสม่ำเสมอ ทำให้พวกเขาสามารถระบุและรับมือกับภัยคุกคามใหม่ๆ ได้อย่างมีประสิทธิภาพ
- ขีดจำกัดด้านทรัพยากรสูง Resource Constraints: การสร้างและดูแลทีมรักษาความปลอดภัยภายในองค์กรที่แข็งแกร่งอาจมีค่าใช้จ่ายสูงและใช้เวลานาน แต่ MDR เป็นวิธีที่คุ้มค่าในการรับความสามารถด้านความปลอดภัยขั้นสูง
- การรักษาความปลอดภัยที่ดีขึ้น Security Improvement: MDR ช่วยให้องค์กรปรับปรุงท่าทีด้านความปลอดภัยโดยรวมด้วยติดตามอย่างต่อเนื่อง มีการล่าภัยคุกคาม และมีความเชี่ยวชาญในการตอบสนองต่อเหตุการณ์ต่างๆ
ผู้ให้บริการ MDR มีใครบ้าง
ในบทความนี้ทางทีมผู้เขียนได้อ้างอิงข้อมูลจาก The Forrester Wave Manage Detection and Response Q4 2023 ซึ่งมีทั้งหมด 8 ผู้ให้บริการ แบ่งเป็น 4 Tier และมีการแบ่งเกณฑ์ออกเป็น 3 ด้านคือ Current Offer, Strategy และ Market presence
- Leader: Crowdstrike และ Secureworks
- Strong Performers: eSentire, Sophos, Accenture
- Contenders: NCC Group, Kudelski Security
- WithSecure
The Forrest Wave ได้กล่าวว่า Secureworks ไม่ใช่บริษัทใหม่ในวงการธุรกิจรักษาความปลอดภัย ซึ่งเห็นได้จากความเข้าใจในความต้องการเฉพาะของ MDR และการก้าวขึ้นมาเป็นผู้ให้บริการ MDR ที่มีประสิทธิภาพอย่างรวดเร็ว โดยบริษัทมีจุดเด่นที่ความรวดเร็วในการตอบสนอง สามารถครอบคลุมการตอบสนองการโจมตีได้ทั้งระบบภายใน ระบบคลาวด์และระบบ OT นอกจากนี้ Secureworks ยังรองรับข้อกำหนดการคุ้มครองข้อมูลของสหภาพยุโรป (EU) ด้วยการจัดเก็บข้อมูลภายในภูมิภาค และอนุญาตให้ลูกค้าเก็บข้อมูลที่ส่งออกไปยังที่เก็บข้อมูลของตนเอง
อีกทั้งฝ่ายธุรกิจยุโรปของ Secureworks ยังได้นำโมเดลที่เน้นความสำคัญของพันธมิตรเป็นอันดับแรก และมุ่งมั่นที่จะขยายช่องทางการขาย อย่างไรก็ตาม บริษัทเพิ่งนำโมเดลนี้มาใช้ในภายหลัง เมื่อเทียบกับคู่แข่งที่อยู่ในตลาดกับโมเดลนี้มานานกว่า จุดเด่นอีกอย่างของ Secureworks คือ โครงสร้างราคาที่เรียบง่ายและกระบวนการเริ่มต้นใช้งานที่รวดเร็ว ช่วยให้ลูกค้าสามารถใช้งานระบบได้อย่างรวดเร็ว
Secureworks ชูจุดเด่นเรื่องความสามารถในการล่าภัยคุกคามอันล้ำสมัยและการมุ่งเน้นพัฒนาบุคลากร แต่สิ่งเหล่านี้กลับไม่ได้สร้างความแตกต่างในตลาด MDR ที่มีการแข่งขันสูงแม้แต่น้อย ถึงแม้จะมี Threat Intelligence และ Telemetry ที่แข็งแกร่ง พร้อมด้วยความสามารถด้าน Analytics ในการวิเคราะห์ข้อมูล แต่ก็เป็นคุณสมบัติที่พบได้ทั่วไปในตลาด
สิ่งที่โดดเด่นคือ การทำงานร่วมมือกันซึ่งเป็นหัวใจสำคัญของกระบวนการรับมือภัยคุกคาม โดยสะท้อนผ่านการเพิ่มจำนวนการผสานการทำงานกับเครื่องมืออย่าง Teams และ Slack แดชบอร์ดสำหรับนักวิเคราะห์ใช้งานง่ายและแสดงข้อมูลบริบทที่เป็นประโยชนิ เพื่อช่วยจำแนกประเภทของเหตุการณ์ และกล่าวทิ้งท้ายไว้ว่าองค์กรที่มองหาการบริการที่มีราคาโปร่งใสและกระบวนการเริ่มต้นใช้งานที่มีประสิทธิภาพ Secureworks สามารถตอบโจทย์นั้นได้
Secureworks Architecture
หลักการเฝ้าระวังและตอบสนองภัยไซเบอร์ประกอบไปด้วยสองส่วนหลักคือ ส่วนของข้อมูล และเซนเซอร์ที่สามารถตรวจจับภัยคุกคามได้ในระดับไหน โดยทั้งหมดจะถูกส่งข้อมูลจาก EDR, Cloud Data Source และ Syslog Data Source ส่งมายัง Secureworks XDR Cloud รวมถึงรองรับ Automation Playbook ที่สามารถเชื่อมต่อกับ Ticketing System, Messaging & Email, Data Enrichment, Response Action อาทิ เช่น Microsoft AD, Azure AD, Office 365, Palo Alto Networks, AWS, Google Cloud และ VMware เพื่อให้ตอบสนองต่อภัยคุกคามอย่างทันท่วงที
PROEN ร่วมมือกับ Secureworks และ CrowdStrike ให้บริการ Manage Detection and Response มาพร้อมกับทีม Security Operation Center ที่ตอบสนองต่อภัยคุกคามตลอด 24×7 สามารถติดต่อได้ที่ Tel. 02-690-3888 หรือ Email: [email protected]
สอบถามข้อมูลเพิ่มเติม
Tel: 02-690-3888
Email: [email protected]
Line@: https://lin.ee/UuDe5UF
Facebook: https://shorturl.at/hiqvZ
Linked in: https://lnkd.in/gWswKzzh
Website: https://www.proen.co.th/th/
Instagram: https://shorturl.at/nvEMZ
TikTok: https://shorturl.at/ayMW0
YouTube: https://shorturl.at/noAT0
