สวัสดีครับทุกท่าน สำหรับบทความนี้มีที่มาจากการที่ผมได้มีโอกาสสอนและบรรยายเรื่องของการวางแผนออกแบบ Cybersecurity Architecture โดยใช้ Security Solutions ต่างๆ ของทาง Microsoft ครับ โดยเรื่องดังกล่าวจะเกี่ยวข้องกับหลายปัจจัยที่จะต้องนำเอามาใช้ในการวางแผนออกแบบตลอดจนผู้ที่ออกแบบหรือที่เราเรียกว่า "Cybersecurity Architect" จะต้องมีความรู้ความเข้าใจคอนเซปตลอดจนรายละเอียดต่างๆ ที่เกี่ยวข้องกับเรื่องดังกล่าวนี้ทั้งหมด ยกตัวอย่างเช่น เรื่องของ Security Models (Shared Responsibilities, Zero Trust Model, MCRA, และอื่นๆ)
ถัดมาคือ เรื่องของ Cyber Kill Chain กับ Standard Security Models เช่น NIST, MITRE ATT&CK, เป็นต้น,
และตามด้วยเรื่องของ Microsoft Security Ecosystem (เช่น Microsoft Entra Family, Microsoft Defender Family, และอื่นๆ) ครับ
ซึ่งจะมาพร้อมกับเทคโนโลยีต่างๆ ที่จะมาช่วยในเรื่องของการสร้างความปลอดภัยให้กับ IT Environments ขององค์กร ไม่ว่าจะอยู่ในรูปแบบที่เป็น Hybrid หรือ Multi-Cloud Environments ก็ตาม
ก่อนที่จะพาทุกท่านเข้าสู่เรื่องราวของ XDR ผมอยากจะขอเกริ่นหรือท้าวความก่อนว่า XDR จะเป็นเทคโนโลยีหนึ่งที่จะเข้ามาเกี่ยวข้องกับกระบวนการที่เรียกว่า "Security Operations" ตามชื่อของบทความนี้เลยครับ โดยกระบวนการดังกล่าวนี้จะเป็นกระบวนที่สำคัญในการที่จะช่วย Secure & Protect IT Environments (ครอบคลุม Hybrid และ Multi-Cloud) ขององค์กร โดยจุดเริ่มต้นจะมาจากการที่องค์กรมีความต้องการที่จะทำการวางแผนตลอดจนเตรียมความพร้อมในการที่จะดำเนินการในเรื่องของความปลอดภัยให้กับองค์กร แต่องค์กรนั้นๆ ไม่ทราบว่าจะต้องเริ่มต้นอย่างไร?, ต้องทำอย่างไร? และอื่นๆ
และจากจุดนี้เองครับท่านที่ทำหน้าที่หรือมีบทบาทเป็น Cybersecurity Architect จะเข้ามาช่วยองค์กร โดยเริ่มจากเก็บรวบรวมความต้องการ, ศึกษาเรื่องราวตลอดจนข้อมูลต่างๆ ของ Existing Environments ขององค์กร, ตามด้วยการนำเอา Frameworks, Best Practices, Models, และอื่นๆ มาประยุกต์ใช้ในการวางแผนและออกแบบ, จากนั้น Cybersecurity Architect ก็จะทำการออกแบบซึ่งการออกแบบดังกล่าวนี้จะเกี่ยวข้องกับ Security Operations ด้วยครับ เพราะฉะนั้นท่านใดที่ยังไม่รู้จักหรือยังไม่ทราบว่า Security Operations คืออะไร? ลองย้อนกลับไปอ่านบทความของผมก่อนหน้านี้ได้ครับ สำหรับ Security Operations จะประกอบไปด้วย Processes ย่อยๆ และมี Cycle ดังรูปด้านล่างครับ
และอย่างที่ผมได้เกริ่นไว้ก่อนหน้านี้ว่า XDR เทคโนโลยี ก็จะเป็นส่วนหนึ่งที่อยู่ในกระบวนการ Security Operations ครับ โดย XDR จะมาพร้อมกับ Security Solutions ซึ่งว่ากันตามหลักการทำงานจริงๆ ก็จะเป็นสิ่งที่ Cybersecurity Architect เป็นผู้ทำการพิจารณาเลือก Security Solutions ตลอดจนเทคโนโลยีต่างๆ ที่มาพร้อมกับ Security Solutions เหล่านั้นครับ เอาคร่าวๆ ประมาณนี้นะครับสำหรับเรื่องของที่มาที่ไปหรือจุดเริ่มต้นของการที่เราจะเข้ามาเกี่ยวข้องกับ XDR ตลอดจนเทคโนโลยีอื่นๆ ครับ
ผมจะเริ่มเข้าสู่เรื่องของ XDR โดยผมจะพาท่านไปทำความรู้จักกับเทคโนโลยีนึงก่อน ซึ่งเทคโนโลยีดังกล่าวนี้คือ เทคโนโลยีที่เป็นต้นทางก่อนที่มาถึง XDR ครับ เทคโนโลยีที่ว่านี้ คือ "Endpoint Detection and Response" หรือ "EDR" ครับ
Endpoint Detection and Response (EDR) คืออะไร?
คือ Security โซลูชั่นที่ทำการตรวจสอบ (Monitor) Endpoints (ครอบคลุมถึง Servers และ Devices) อย่างต่อเนื่องเพื่อทำการค้นหา (Detect), ป้องกัน (Prevent), และแก้ไข (Remediate) ภัยคุกคามหรือ Threats ที่โจมตี Endpoints ณ ปัจจุบัน Endpoint Security โซลูชั่นมักจะมาพร้อมกับ Agent เพื่อทำการติดตั้ง Agent ดังกล่าวนี้ไปยัง Endpoints ที่องค์กรต้องการป้องกัน โดยเมื่อทำการติดตั้ง Agent ไปยัง Endpoints เรียบร้อยแล้วตัว Agent จะทำการรวบรวม, วิเคราะห์, ตรวจสอบ, และส่งรายงานไปยัง Endpoint Security โซลูชั่นที่อยู่บน Cloud เพื่อดำเนินการต่อไป เช่น Triage, Investigation, เป็นต้น นอกจากนี้แล้วตัวของ EDR ยังสามารถทำงานร่วมกัน Security โซลูชั่นอื่นๆ ได้อีก เช่น SIEM เป็นต้นครับ
สำหรับ EDR เทคโนโลยีนี้ทาง Microsoft ได้นำเอามาใช้ใน Endpoint Security โซลูชั่นที่ชื่อว่า "Microsoft Defender for Endpoint" หรือเรียกสั้นๆ ว่า "MDE" ครับ
Extended Detection and Response (XDR) คืออะไร?
คือ Security โซลูชั่น ที่พัฒนาต่อยอดมาจาก EDR ครับ โดย XDR จะทำการรวบรวมข้อมูลจากหลายๆ ส่วนใน IT Environments นอกเหนือจาก Endpoints เช่น Email, Apps, Network, เป็นต้น เพื่อทำการค้นหา, ตรวจสอบ, และทำการป้องกัน นั่นหมายความว่า XDR ไม่ได้ทำการตรวจสอบค้นหาโดยดูจาก Endpoints อย่างเดียวเหมือนกับ EDR แต่ยังทำการค้นหาส่วนอื่นๆ ที่เกี่ยวข้องเพื่อจะทำให้การค้นหา, ตรวจสอบ, และป้องกันภัยคุกคามมีประสิทธิภาพมากยิ่งขึ้น สำหรับ XDR เทคโนโลยีดังกล่าวนี้ทาง Microsoft ได้นำเอามาใช้ใน Security โซลูชั่นที่ชื่อว่า "Microsoft Defender XDR" หรือชื่อเดิมคือ Microsoft 365 Defender ครับ โดย Microsoft Defender XDR จะอยู่ใน Microsoft Defender Family ครับ
และ MDE หรือ Microsoft Defender for Endpoint จะเป็น Product/Service นึงที่อยู่ใน Microsoft Defender XDR ครับ นั่นหมายความว่าเราสามารถพิจารณานำเอา Microsoft Defender XDR มาใช้ในการป้องกัน Endpoints, Microsoft 365 (Exchange Online และอื่นๆ), Identity, และอื่นๆ ครับ รายละเอียดเพิ่มเติมสามารถไปย้อนอ่านบทความของผมก่อนหน้านี้ได้ครับ รวมถึงไปที่ Link นี้ครับ, Microsoft Defender XDR | Microsoft Security
สำหรับเรื่องราวของ Security เทคโนโลยียังมีอีกเยอะมากครับ สำหรับบทความนี้ผมนำเสนอแค่ 2 Security โซลูชั่น คือ EDR และ XDR ครับ ถ้าโฟกัสเฉพาะ Security โซลูชั่นที่ลงท้าย xxxDR ยังมีอีกเยอะนะครับนอกเหนือจาก EDR และ XDR ครับ ตัวอย่างเช่น
1. Network Detection and Response (NDR), Security โซลูชั่นนี้จะทำการรวบรวมข้อมูลที่เกี่ยวข้องกับ Network ไปทำการตรวจสอบและวิเคราะห์เพื่อค้นหาภัยคุกคามครับ และจะทำงานร่วมกับ Security โซลูชั่นอื่นๆ เช่น UEBA, SIEM เป็นต้น
2. Identity Detection and Response (ITDR), Security โซลูชั่นนี้จะทำการค้นหาแ่ละจัดการกับภัยคุกคามที่โจมตีระบบ Identity-Based System
3. Managed Detection and Response (MDR), เป็นการบริการเกี่ยวกับ EDR ให้กับองค์กรที่ไม่มีทีมงานทางด้านความปลอดภัยครับ โดยรายละเอียดและขอบเขตงานของการให้บริการดังกล่าวนี้ขึ้นอยู่กับการตกลงกันระหว่างผู้ให้บริการ MDR กับผู้ใช้บริการครับ
และทั้งหมดนี้คือเรื่องราวของเทคโนโลยี EDR และ XDR ที่ถูกนำมาใช้ใน Security โซลูชั่นต่างๆ โดย Cybersecurity Architect สามารถนำเอามาพิจารณาร่วมกับ Cybersecurity Architecture รวมถึง Security Operations ที่ออกแบบไว้ได้ครับผม.....