mobile-logo

ปิดช่องว่างที่มองไม่เห็นในเครือข่าย ด้วย Kaspersky NDR

28 Nov

ปิดช่องว่างที่มองไม่เห็นในเครือข่าย ด้วย Kaspersky NDR

by Monster Online
in Blog
Comments

ในยุคที่ภัยคุกคามไซเบอร์ซับซ้อนขึ้นทุกวัน เครื่องมือรักษาความปลอดภัยแบบเดิม เช่น Firewall หรือ EDR อาจไม่เพียงพออีกต่อไป เพราะแฮกเกอร์ไม่ได้โจมตีเพียง “ปลายทาง” แต่ใช้วิธีแทรกซึมและเคลื่อนย้ายภายในเครือข่ายอย่างแนบเนียน จนองค์กรจำนวนมากเริ่มพบ Blind Spot ที่ทำให้ตรวจจับการโจมตีได้ช้ากว่าที่ควรจะเป็น Kaspersky NDR (Network Detection and Response) จึงถูกพัฒนาขึ้นเพื่อเติมเต็มช่องว่างสำคัญนี้ ช่วยให้องค์กรมองเห็นทุกกิจกรรมในระดับทราฟฟิก และเชื่อมโยงเหตุการณ์เพื่อหยุดการโจมตีก่อนเกิดความเสียหาย

 
 

ทำไม EDR หรือ SIEM อย่างเดียวถึงไม่พออีกต่อไป

หลายองค์กรยังเชื่อว่าการมี Firewall ชั้นดี หรือระบบ EDR ที่ตรวจจับพฤติกรรมปลายทางได้ถือว่าเพียงพอ แต่ในความเป็นจริง ความสามารถของเครื่องมือเหล่านี้ยังมีขอบเขตจำกัด เพราะไม่สามารถเห็นภาพรวมของการสื่อสารในเครือข่ายทั้งหมด เมื่อผู้โจมตีแอบเข้ามาได้แล้ว พวกเขามักใช้การเคลื่อนย้ายภายใน (Lateral Movement) ใช้ข้อมูลที่ขโมยได้เพื่อยกระดับสิทธิ์ หรือส่งคำสั่งระหว่างเครื่องในเครือข่าย ซึ่งเหตุการณ์ลักษณะนี้มักไม่ปรากฏให้เห็นใน EDR หรือ SIEM แบบทั่วไป Kaspersky NDR จึงเข้ามาช่วยวิเคราะห์ทราฟฟิกแบบลึก (Deep Network Analysis) ตรวจจับสิ่งผิดปกติที่ไม่สามารถเห็นได้จากปลายทางเพียงอย่างเดียว ทำให้องค์กรมีการมองเห็นครบทั้งปลายทางและภายในเครือข่ายอย่างแท้จริง

 
 

Kaspersky NDR วิเคราะห์ภัยคุกคามเชิงพฤติกรรมแบบเรียลไทม์

หัวใจสำคัญของ NDR คือการตรวจจับจากพฤติกรรมของทราฟฟิก ไม่ใช่เพียงการอ้างอิง Signature หรือ Threat Database แบบเดิม Kaspersky NDR ใช้ Machine Learning วิเคราะห์ข้อมูลจำนวนมากในเครือข่าย เพื่อแยกแยะกิจกรรมที่ผิดปกติ เช่น

  • การสแกนพอร์ตแฝงในเครือข่าย
  • การใช้ Credential ซ้ำผิดปกติ
  • การเชื่อมต่อไปยังเซิร์ฟเวอร์ต้องสงสัย
  • พฤติกรรมที่คล้ายมัลแวร์ หรือ Lateral Movement ของผู้โจมตี

แม้จะเป็นภัยใหม่ที่ไม่เคยพบมาก่อน NDR ก็ยังสามารถตรวจจับได้จากรูปแบบที่ผิดปกติ ทำให้มีโอกาสหยุดผู้โจมตีก่อนที่ระบบจะถูกเข้าควบคุมทั้งหมด

 
 

ผสานข้อมูลร่วมกับระบบป้องกันเดิมได้อย่างลงตัว

อีกหนึ่งจุดแข็งของ Kaspersky NDR คือการทำงานร่วมกับระบบความปลอดภัยเดิมในองค์กร ไม่ว่าจะเป็น Kaspersky Endpoint Security, SIEM หรือระบบวิเคราะห์เหตุการณ์อื่น ๆ โดยจะรวบรวมข้อมูลเครือข่ายมาประกอบกับข้อมูลปลายทางเพื่อสร้างมุมมองภัยคุกคามแบบองค์รวม ผลลัพธ์คือทีม SOC มองเห็นเส้นทางการโจมตีได้ตั้งแต่จุดเริ่มต้น ระหว่างทาง จนถึงผลลัพธ์สุดท้าย ทำให้การตอบสนองเร็วขึ้น ลดเวลา MTTR และช่วยให้ทีมสามารถวิเคราะห์เหตุการณ์สำคัญได้อย่างแม่นยำขึ้น

 
 

เหตุผลที่ CIO/CISO ทั่วโลกเลือกใช้ NDR เป็นเกราะป้องกันเสริม

องค์กรในยุคปัจจุบันต้องการการมองเห็นในระดับที่ลึกขึ้นกว่าการตรวจจับปลายทางเพียงอย่างเดียว เพราะรูปแบบการโจมตีใหม่ ๆ เช่น Zero-Day, Living-Off-The-Land และการโจมตีผ่านช่องทางเข้ารหัส ทำให้หลายองค์กรถูกโจมตีโดยที่ไม่รู้ตัว NDR คือเสาหลักที่ช่วยปิด Blind Spot สำคัญ ซึ่งทำให้องค์กรสามารถตรวจจับและตอบสนองได้ทันท่วงที ไม่ว่าจะเป็นการป้องกัน APT, การหลุดรอดจาก Firewall หรือพฤติกรรมที่ไม่ควรเกิดขึ้นในระบบ การมี NDR จึงกลายเป็นมาตรฐานใหม่ขององค์กรที่ต้องการความมั่นคงปลอดภัยระดับสูง

  ใช้ Kasperky NDR ตอนนี้ ที่ Monster Online ได้เลย! Line OA : @monsteronline

 

 
 

Reference

Kaspersky. (2024). NDR: Key Facts for CIOs and CISOs. Retrieved from https://www.kaspersky.com/blog/ndr-key-facts-for-cio-ciso/52758/

Kaspersky. (2024). About Network Detection and Response. Retrieved from https://support.kaspersky.com/keswin/12.7/en-US/274389.htm

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม 💬 Line: @monsteronline ☎️ Tel: 02-026-6664 📩 Email: [email protected] 🌐 ดูสินค้าเพิ่มเติม: mon.co.th
Tags:
,,,,,,,,
Monster Online
Monster Online