สวัสดีครับทุกท่าน สำหรับบทความนี้จะเป็นบทความเกี่ยวกับ Product ใหม่ที่อยู่ภายใต้ Microsoft Defender Family ครับ โดย Product นี้มีชื่อว่า "Microsoft Defender EASM (External Attack Surface Management" ซึ่งขอเรียกสั้นๆ ว่า EASM นะครับ ผมเชื่อว่าท่านผู้อ่านหลายท่านน่าจะคุ้นเคยและรู้จักสมาชิกใน Microsoft Defender Family มาบ้าง เช่น Microsoft Defender for Cloud ซึ่งเป็น Product ที่ให้บริการเป็น Service หนึ่งใน Microsoft Azure โดย Microsoft Defender for Cloud จะทำหน้าที่หลักๆ คือ Cloud Security Posture Management (CSPM) และ Cloud Workload Protection Platform (CWPP) เพื่อช่วยป้องกัน IT Environment ขององค์กร โดยครอบคลุมทั้ง Hybrid และ Multi-Cloud สำหรับท่านผู้อ่านท่านใดยังไม่รู้จัก Microsoft Defender for Cloud ผมแนะนำให้ทุกท่านลองย้อนไปหาอ่านบทความก่อนหน้านี้ของผมครับ หรือจะไปที่ช่อง YouTube ของผมก็ได้ครับ, Wisit Thongphoo - YouTube
ก่อนที่จะพาทุกท่านไปทำความรู้จักกับ Microsoft Defender EASM กัน ผมอยากให้ทุกท่านลองนึกภาพตามผมดูนะครับว่า ในช่วงที่ผ่านมาหลายๆ องค์กรรวมถึงองค์กรที่ท่านผู้อ่านทำงานอยู่นั้น ได้มีการนำเอา Cloud Computing Technology เข้ามาประยุกต์ใช้งาน ส่งผลทำให้เกิดความเปลี่ยนแปลงเกิดขึ้นหลายอย่างในองค์กร ตั้งแต่ Infrastructure, Identity, Endpoint, และอื่นๆ การเปลี่ยนแปลงหนึ่งที่เห็นได้ชัดมากที่สุด คือ Resources หรือ Assets ต่างๆ ขององค์มีการกรกระจายอยู่ใน Hybrid หรือ Multi-Cloud Environment และสิ่งหนึ่งที่ทุกๆ องค์กรจะต้องวางแผนและดำเนินการ คือ เรื่องของความปลอดภัยหรือ Security ตลอดช่วงเวลาที่ผ่านมาหลายองค์กรทำการทุ่มเทและใช้เวลาในการวางแผนเพื่อดำเนินการเรื่องความปลอดภัยให้กับ Resources หรือ Assets ต่างๆ ที่อยู่ภายใน (On-Premise) และภายนอกองค์กร (On Cloud) ซะเป็นส่วนใหญ่ โดยมีวัตถุประสงค์คือ ลดความเสี่ยงที่จะถูกโจมตีจากภัยคุกคามต่างๆ และ Attackers
แต่การที่เราจะทำการวางแผนเพื่อดำเนินการป้องกัน Resources หรือ Assets ต่างๆ นั้น เราจำเป็นต้องทราบก่อนใช่มั๊ยครับ ว่าสิ่งที่เราหรือองค์กรจะทำการป้องกันคือ อะไรและอยู่ตรงไหนบ้าง เพื่อจะได้ทำการป้องกันได้อย่างถูกต้องและมีประสิทธิภาพ แต่ในความเป็นจริงแล้ว อาจจะยังมีบาง Resources หรือ Assets ที่องค์กรอาจจะยังไม่ทราบและไม่ได้ทำการป้องกัน ยกตัวอย่างเช่น พวก Resources หรือ Assets ที่เรียกว่า "Internet-Facing Assets" ครับ เพราะ Assets ดังกล่าวนี้อาจจะก่อให้เกิดช่องทางหรือช่องโหว่ที่ทำให้เกิดความสุ่มเสี่ยงต่อความไม่ปลอดภัยกับองค์กรครับ จากประเด็นดังกล่าวนี้ ผมอยากจะให้ท่านผู้อ่านทุกท่านเห็นว่า ในแต่ละองค์กรอาจจะมีจุดหรือ Assets ที่เรียกว่า Internet-Facing Assets อยู่ แต่องค์กรอาจจะไม่ทราบ, มองไม่เห็น, หรือทราบก็ได้ครับ แต่เข้าใจว่าไม่น่าจะเกิดความสุ่มเสี่ยงใดๆ แต่ในความเป็นจริงแล้วไม่ได้เป็นเช่นนั้นครับ
เนื่องจาก Internet-Facing Assets เหล่านี้ เช่น Domain Names, SSL Certificates, IP Addresses, Hostnames, และอื่นๆ ในช่วงที่ผ่านมาหลายองค์กรมีการใช้งานเพื่อเป็นช่องทางการติดต่อสื่อสารระหว่างภายในและภายนอกองค์กร แต่ช่องทางของ Internet-Facing Assets เหล่านี้อาจจะมาพร้อมกับช่องทางหรือช่องโหว่ที่ภัยคุกคามหรือ Attackers ใช้ในการ Access เข้ามา (Attack Vectors) ใน Environment ขององค์กรก็เป็นได้ครับ นอกจากนี้แล้วบาง Internet-Facing Assets ถูกบริหารจัดการจากภายนอก (3rd Party Vendors ที่องค์กรใช้บริการอยู่) เพราะฉะนั้นองค์กรจะดำเนินการอย่างไร ที่จะป้องกันและปิดช่องทางหรือช่องโหว่ที่มาจาก Internet-Facing Assets เหล่านี้ เพราะเป็นสิ่งที่อาจจะก่อให้เกิดความสุ่มเสี่ยงต่อความไม่ปลอดภัยกับองค์กร
EASM จึงเข้ามาช่วยองค์กรในการที่จะจัดการดูแล Internet-Facing Assets ที่อยู่ในองค์กร และช่วยองค์กรในการป้องกันช่องทางหรือช่องโหว่ที่อาจจะเกิดขึ้น ซึ่งจะทำให้เกิดความสุ่มเสี่ยงต่อความปลอดภัยขององค์กรครับ และจากประเด็นนี้เองจึงเป็นที่มาของบทความนี้ที่ผมอยากจะนำเสนอ Microsoft Defender EASM มาให้ทุกท่านรู้จักครับ
Microsoft Defender EASM คืออะไร?
เป็น Service ที่ทาง Microsoft Acquired มาจาก RiskIQ โดย Microsoft Defender EASM จะเข้ามาช่วยองค์กรค้นหา (Discover), จัดทำ Inventory, และป้องกัน Resources หรือ Assets (Internet-Facing) ที่ได้อธิบายไว้ก่อนหน้านี้ครับ โดยเริ่มจากการ Discover และจัดทำ Inventory ของ Internet-Facing Assets ต่างๆ ขององค์กร แล้วทำการตรวจสอบดูว่า Assets ใดที่อาจจะก่อให้เกิดช่องโหว่เพื่อเป็นช่องทางที่ Attackers อาจจะลอบเข้ามา เพื่อทำให้ Security หรือ SOC Teams ขององค์กรมองเห็นภาพรวมของ Resources หรือ Assets (Internet-Facing) และจะได้ดำเนินการป้องกันไม่ให้ภัยคุกคามตลอดจนความเสี่ยงต่างๆ เกิดขึ้นในองค์กร
โดย Microsoft Defender EASM จะดำเนินการกับ Internet-Facing Assets ดังนี้:
- Domains
- Hostnames
- Web Pages
- IP Addresses
- SSL Certificates
- อื่นๆ
ณ เวลาที่ผมเขียนบทความนี้ Microsoft Defender EASM ยังไม่เปิดให้บริการทุก Azure Regions นะครับ มี Azure Regions ดังต่อไปนี้เท่านั้นครับ
- southcentralus
- eastus
- australiaeast
- westus3
- swedencentral
- eastasia
- japaneast
รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Defender EASM สามารถไปที่ Link นี้ได้เลยครับ, Overview | Microsoft Learn
ดังนั้นถ้าองค์กรได้นำเอา Microsoft Defender EASM มาทำงานร่วมกับ Services อื่นๆ ใน Microsoft Defender Family เช่น Microsoft Defender for Cloud และอื่นๆ ส่งผลทำให้ภาพรวมเรื่องของการป้องกันมีประสิทธิภาพ, ครอบคลุมและปลอดภัยมากขึ้น อีกทั้งยังช่วยให้ Security หรือ SOC Teams มองเห็นและเข้าใจภาพรวมของ Resources หรือ Assets ต่างๆ ที่กระจายอยู่ในองค์กร (Hybrid และ Multi-Cloud Environment) มากขึ้นทำให้เกิดความยืดหยุ่นในการบริหารจัดการดูแลมากขึ้น และทั้งหมดนี้คือภาพรวมของ Microsoft Defender EASM ที่ผมนำมาให้ทุกท่านได้รู้จักครับผม....
ไม่มีความคิดเห็น:
แสดงความคิดเห็น