• wongtisak k.

XDR คืออะไร แล้วทำงานอย่างไร?

Updated: Apr 18, 2021

XDR คือ ??



XDR ย่อมาจาก Cross-layered detection and response XDR จะเก็บรวบรวมข้อมูลและหาความสัมพันธ์ของข้อมูลด้าน ความปลอดภัยจากส่วนต่างๆใน ระบบเน็ตเวิร์ค เช่น เครื่องพีซี, อุปกรณ์โมบาย, อีเมล์, เครื่อง Server, Cloud, หรือ อุปกรณ์เน็ตเวิร์ค. XDR เป็นเทคโนโลยี่ใหม่ ที่เข้ามาเพิ่มเติมการตรวจสอบความปลอดภัยทางด้าน Cyber แบบเดิม ซึ่ง XDR จะผสมผสาน การตรวจจับ และวิธีการตอบรับ( Response) ครอบคลุมระบบทั้งหมดได้ (Across Multiple environment)


การทำงานของ XDR

ปัจจุบัน ภัยคุมคามทาง Cyber ตรวจจับได้ยากขึ้นเพราะมักจากซ่อนตัวอยู่ระหว่างโซนความปลอดภัย ซึ่งในแต่ละโซนอาจมีอุปกรณ์หรือซอฟท์แวร์ที่คอยตรวจจับอยู่แล้วแต่ไม่ได้ทำงานสอดประสานกัน ดังนั้น ภัยคุมคามก็จะซ่อนตัวอยู่ตรงช่องว่างระหว่างโซน และสร้างความเสียหายให้กับข้อมูล หรือระบบการทำงานได้

XDR สามารถจะทำการตรวจจับแบ่งแยกภัยคุมคามออกมา เก็บรวบรวมข้อมูลและวิเคราะห์หาความสัมพันธ์ของภัยคุมคามในแต่ละโซน เช่น จากโซนเครื่องคอมพิวเตอร์, โซนเครื่อง Server, โซนเน็ตเวิร์ค, โซนของ Cloud สำหรับการตรวจจับภัยคุกคามของ XDR ตาม โซนต่างๆ มีดังนี้


เครื่องคอมพิวเตอร์(Endpoint)

การตรวจสอบเหตุการณ์ที่เกิดขึ้นในเครื่องคอมพิวเตอร์เป็นตัวที่จะบอกว่า ภัยคุมคามเริ่มต้นจากเครื่องใดและกระจายหรือแพร่ไปยังเครื่องใดบ้าง XDR จะค้นหาเหตุการณ์ที่ไม่ปกติในเครื่องคอมพิวเตอร์ โดยเทียบกับ ตัวบ่งชี้ของการโจมตี (Indicator of Attack)

XDR สามารถบอกเราได้ว่ามีเหตุการณ์ที่ไม่ชอบมาพากลเกิดขึ้นที่ไหน และต้นทางของภัยร้ายมาจากที่ใดและขยายหรือแพร่ไปยังที่ใด พร้อมทั้งสามารถหยุดภัยคุกคามที่เจอได้


อีเมล์ (Email)

อีเมล์เป็นส่วนที่มักโดนโจมตีมากที่สุด XDR จะตรวจจับ อีเมล์ และ อีเมล์แอดเดรสที่ผิดปกติ ทั้งยังเก็บประวัติของอีเมล์แอดเดรส ที่ถูกโจมตีบ่อยๆ หรือ รูปแบบของเนื้อหาในอีเมล์ เพื่อค้นหาต้นตอของการโจมตีและใครบ้างที่จะโดนโจมตี และ XDR จะทำการกักอีเมล์เพื่อไม่ให้ส่งไปโจมตี และอาจบล็อกไม่ให้ส่งเข้าเขาได้


เน็ตเวิร์ค (Network)

การวิเคราะห์ระบบเน็ตเวิร์ค เพื่อดูการโจมตีหรือโอกาสที่จะเกิดการโจมตี เป็นสิ่งสำคัญ เพื่อจะได้ทราบว่ามีช่องโหว่ หรือ มีจุดใดที่อาจทำให้เกิดการโจมตีได้เช่น อุปกรณ์ IoT ในระบบเน็ตเวิร์ค, ช่องโหว่ใน Firmware ของอุปกรณ์, การฝังตัวของภัยคุมคามในระบบเน็ตเวิร์ค XDR สามารถที่จะวิเคราะห์และค้นหาภัยคุกคามโดยสามารถหา เส้นทางที่ภัยคุมคามเข้ามาอาจจะตั้งแต่ Gateway จนถึง Server ได้ พร้อมทั้งรายงานไปยังผู้ดูแลระบบถึงภัยที่เจอและขอบเขตของการโจมตีได้


Server และ Cloud

การป้องกันภัยคุมคามที่จะเกิดกับ Server หรือ Cloud นั้น คล้ายกับ การป้องกันให้กับเครื่องคอมพิวเตอร์ ซึ่งจะมีการวิเคราะห์เหตุการณ์ที่เกิดขึ้นใน Server หรือ Clound แล้วเปรียบเทียบกับ ตัวบ่งชี้การโจมตี(IOA) เพื่อระบุว่าเห็นภัยคุกคามหรือไม่

เช่น ถ้าภัยคุกคามเข้าโจมตี ระบบ Cloud โดยผ่านทาง อุปกรณ์ IoT XDR จะสืบหาและวิเคราะห์ว่ามาจากอุปกรณ์ตัวไหน หรือ หาก Server มีการทำงานที่ช้าลง XDR สามารถวิเคราะห์ได้ว่า สาเหตุมาจาก Processบางอย่างที่ผิดปกติของ Server หรือ ข้อมูลเกิดความเสียหาย (Data Corrupted)

ซึ่ง XDR สามารถที่จะหยุด Process ที่ผิดปกติได้ เพื่อไม่ให้การโจมตี ขยายไปยังส่วนอื่นๆ พร้อมทั้งสามารถ ส่งรายงานการเกิดการโจมตี สาเหตุต้นตอ และ ขอบเขตของการถูกโจมตีให้กับเราเพื่อเป็นข้อมูลการการจัดการป้องกันด้วย



XDR กับ การป้องกันแบบเดิม

เทคโนโลยี่ XDR ต่างจาก เทคโนโลยี่การป้องกันแบบเดิมคือ XDR จะไม่ตรวจสอบเป็นส่วนๆ ตามโซนต่างๆ แต่จะตรวจสอบและป้องกัน ทุกๆโซน โดยการเก็บข้อมูลหรือเหตุการณ์ต่างๆในแต่ละโซนนำมาวิเคราะห์หาความสัมพันธ์ เพื่อหา Root cause ของการโจมตีได้ และยังสามารถหยุดการโจมตี โดยอาจเป็นการบล๊อก ไม่ให้ภัยคุมคามเข้ามา พร้อมทั้ง Report ไปยัง Administrator ได้


XDR กับ Endpoint Detection and Response(EDR)

XDR ต่างจาก EDR ตรงตัวอักษร E นี่แหล่ะเพราะ XDR ไม่เพียงป้องกัน Endpoint เท่านั้นแต่สามารถป้องกันได้ทั้งระบบ ทุกโซน จึงใช้ X แทน E


XDR กับ Network Traffic Analysis (NTA)

ทั้ง XDRและ NTA ต่างตรวจจับภัยคุกคาม แต่ NTA โฟกัสในส่วนของรูปแบบ (Pattern) ว่ามีอะไรที่ต่างจาก รูปแบบเดิมที่เคยเป็นหรือไม่ เช่น หากเรามีการใช้ Traffic จาก อเมริกา,แคนนาดา,บราซิล แต่อยู่ๆมี Traffic จากรัสเซีย NTA จะมองว่านี่เป็นรูแปบบการใช้งานที่ผิดปกติก็จะ Alert


XDR กับ Security information and Event Management(SIEM)

XDR ต่างจาก SIEM คือ XDR มีการ Response ต่อเหตุการณ์ที่เกิดขึ้นโดยจะมีการ Response แบบ อัตโนมัติ ขณะที่ SIEM สามารถที่จะ Custom ว่าจะให้ Responseอย่างไรได้


XDR กับ Security Orchestration, Automation, and Response (SOAR)

XDR สามารถตรวจจับ และ Response ต่อเหตุการณ์ได้โดยอัตโนมัติ แต่ SOAR นอกจากจะทำงานเหมือน XDR แล้ว ยังสามารถมารถช่วยออกแบบจัดการ Security Policy ด้วย


Ref. What Is XDR? Extended Detection and Response | Fortinet



บริการรับออกแบบและวางระบบเครือข่าย

สำหรับองค์กร สำนักงาน บริษัท

และการบริการหลังการขาย

โดยทีมผู้เชี่ยวชาญจาก Techknowledge Consulting ที่มีประสบการณ์การทำงานมากกว่า 15 ปี

โทร 02-513-9415-6

อีเมล contact@techknowledge-th.com

735 views