วันพฤหัสบดีที่ 26 มีนาคม พ.ศ. 2569

สร้าง Modern Blue Team ด้วย Microsoft Security Solutions ตอนที่ 1

      สวัสดีครับทุกท่าน สำหรับบทความนี้จะนำเสนอเรื่องราวของการสร้าง Modern Blue Team ด้วย Microsoft Security Solutions ครับ แต่ก่อนจะไปถึงเรื่องราวด้งกล่าว ก็ต้องขออนุญาตเกริ่นหรือท้าวความถึงที่มาที่ไปของ Teams ต่างๆ ที่เกี่ยวข้องกับ Security Operations ใน Cybersecurity ครับ โดยมีรายละเอียดคร่าวๆ ดังนี้:

- Red Team, เป็น Team ที่อยู่ภายใน Security หรือ Cybersecurity Operations โดยหน้าที่คือ ดำเนินการในเรื่องของ Simulated Attacks และ Penetration Testing หรือการเจาะระบบภายใน Infrastructure ขององค์กร

- Blue Team, เป็น Team ที่อยู่ภายใน Security หรือ Cybersecurity Operations เช่นกัน โดยหน้าที่คือ การ Defense และ Response กับภัยคุกคามหรือ Attacks ต่างๆ 

- Yellow Team, เป็น Team ของ Developers หรือเรียก Team นี้ว่า "Builder" โดย Team ดังกล่าวนี้จะรับผิดชอบการ Developing, Coding, รวมถึงการ Implement Secure Applications และ Infrastructures ตั้งแต่เริ่มต้น

- Purple Team, เป็น Team ที่โฟกัสเรื่องของแนวคิดและ Methodology กับ Cybersecurity Architecture รวมถึงการป้องกัน โดย Purple Team จะทำงานร่วมกับทั้ง Red และ Blue Teams เพื่อทำให้ความสามารถต่างๆ ที่เกี่ยวข้องกับ Cybersecurity ถูกนำมาใช้ได้อย่างเต็มประสิทธิภาพ นอกจากนั้นแล้ว Purple Team ยังนำเอาข้อมูลต่างๆ เช่น Feedback, Lessons Learned และอื่นๆ จากทั้ง 2 Teams (Red และ Blue Teams) มาทำการวิเคราะห์เพื่อทำการปรับปรุงกระบวนการต่างๆ ของ Security Operations ให้มีประสิทธิภาพมากขึ้น

สำหรับบทความนี้ผมจะโฟกัสที่ Blue Team ซึ่งท่านผู้อ่านจะเห็นแล้วว่า Team ดังกล่าวนี้มีหน้าที่หลักๆ คือการป้องกัน IT Assets ต่างๆ ที่อยู่ใน IT Environments (Hybrid และ Multi-Cloud) ขององค์กรให้มีความปลอดภัย โดยแต่เดิมนั้นสิ่งที่ Blue Team จะต้องดำเนินการ เช่น การใช้ Firewall ในการป้องกันโดยการควบคุม Traffics ต่างๆ ที่เข้าและออกขององค์กร, การติดตั้งและใช้งาน Antivirus, Intrusion Detection System, และอื่นๆ โดยภาพรวมที่ดำเนินการคือ การป้องกันหรือ Protection/Prevention อย่างเดียว แต่อาจจะไม่ได้เข้าใจคอนเซปและการทำงานของภัยคุกคามหรือ Threats ที่จะ Attack เข้ามา 












ตลอดจนช่วงที่ผ่านมาการ Attacks มีการพัฒนาและปรับเปลี่ยนรูปแบบต่างๆ มากขึ้นกว่าแต่ก่อน เพราะฉะนั้นการที่ Blue Team จะดำเนินการเพียงแค่การป้องกันอย่างเดียวไม่พอ จะต้องเพิ่มและพัฒนาปรับปรุงในเรื่องของการค้นหาหรือ Detection แต่เดิมที่เคยค้นหาโดยอาศัยรูปแบบหรือ Signatures เป็นหลัก จะต้องมีการสังเกตหรือ Observe IT Assets ต่างๆ ด้วย เช่น Identities, Devices, Applications, และอื่นๆ เพื่อมองหาสิ่งผิดปรกติหรือสิ่งที่น่าสงสัย เพราะฉะนั้นจากประเด็นดังกล่าวนี้สิ่งที่จะต้องนำเอาเข้ามาเพื่อทำการสร้าง Modern Blue Team ประกอบไปด้วย:

1. Behavioral Analytic/Detection คือ การค้นหาหรือตรวจสอบดูว่ามีสิ่งผิดปรกติ, พฤติกรรมที่น่าสงสัย, และอื่นๆ ที่สุ่มเสี่ยงที่จะก่อให้เกิดความไม่ปลอดภัยกับ IT Assets ต่างๆ ขององค์กร เช่น Identities, Devices, และอื่นๆ ตามที่เกริ่นไว้ก่อนหน้านี้ครับ

2. Identity Management คือ การบริหารจัดการรวมถึงการสร้างความปลอดภัยให้กับ Identities ต่างๆ ไม่ว่าจะเป็น Users, Groups, Apps, รวมถึง Services ที่ต้องการเข้าถึง Resources หรือ Data ขององค์กร นอกจากเรื่องของการบริหารจัดการแล้ว ยังต้องพิจารณถึงเรื่องของการป้องกัน Identities เหล่านี้ด้วย รวมถึงการที่ Blue Team จะต้องเข้าไปทำการตรวจสอบ Logs, เหตุการณ์ต่างๆ, และอื่นๆ ที่เกี่ยวข้องกับ Identity ด้วย เพราะ ณ วันนี้ Identity ถือว่าเป็น New Security Perimeter ที่องค์กรจะต้องพิจารณาในการจัดการและป้องกันเป็นอันดับแรก เพราะ Identity คือ เป้าหมายแรกของ Attackers ครับ

3. Integration และ Correlation คือ การรวบรวมนำเอา Signals ตลอดจนข้อมูลต่างๆ จาก IT Assets เช่น Identities, Endpoints (Devices), Applications, และอื่นๆ ที่เกี่ยวข้องและสัมพันธฺ์กันเพื่อทำให้ Blue Team เข้าใจและเห็นภาพทั้งหมดว่าเป็นอย่างไร มีอะไรที่เกี่ยวข้องบ้าง ตลอดจนรายละเอียดต่างๆ หากมีเหตุการณ์หรือ Incident เกิดขึ้น ส่งผลทำให้การ Investigate และ Response ได้รวดเร็วและมีประสิทธิภาพ

จากทั้ง 3 สิ่งที่ผมได้ไป เราจะต้องนำมาพิจารณาวางแผนในการสร้าง Modern Blue Team โดยหา Security Solutions ที่มีความสามารถครอบคลุมกับทั้ง 3 สิ่งบวกกับความสามารถอื่นๆ เข้ามาเป็นเครื่องมือให้กับ Blue Team ใช้ในการดำเนินการ Security Operations ให้มีประสิทธิภาพมากขึ้น โดยถ้า Map Microsoft Security Solutions เข้ากับสิ่งๆ ต่างๆ ที่ผมได้อธิบายไว้ข้างต้น คือ











1. Microsoft Defender Product Family, Services ที่เกี่ยวข้อง คือ Microsoft Defender XDR (ประกอบไปด้วย Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Endpoint, และ Microsoft Defender for Cloud Apps) ที่จะเข้ามา Protect และ Detect สิ่งผิดปรกติ, พฤติกรรมที่น่าสงสัย, และอื่นๆ ที่อาจจะเป็นการ Attack 

2.  Microsoft Entra Product Family, Service หลักที่เกี่ยวข้อง คือ Microsoft Entra ID กับ Features ต่างๆ ที่จะเข้าบริหารจัดการและสร้างความปลอดภัยให้กับ Identities ขององค์กร

3. Microsoft Sentinel, Service ตัวนี้จะให้บริการ SIEM และ SOAR โดยสามารถที่จะทำงานร่วมกับ Security Solutions ต่างๆ ของทั้ง Microsoft และ 3rd Party ในการ Correlate Signals และอื่นๆ ที่เกี่ยวข้องหรือสัมพันธ์กันรวบรวมมาเป็นไว้จุดเดียวหรือเป็น Incident เพื่อให้ Blue Team สามารถดูและทำความเข้าใจกับ Incident และรายละเอียดต่างๆ ในการทำ Investigation และส่งผลทำให้การ Response ได้อย่างรวดเร็วและมีประสิทธิภาพ *ณ ปัจจุบันทาง Microsoft ได้มีการปรับปรุงเปลี่ยนแปลง Microsoft Sentinel ภายใต้คอนเซปที่เรียกว่า "Unified Security Operations Platform" คือ การนำเอา Microsoft Sentinel ใส่เข้าไปใน Portal ของ Microsoft Defender เพื่อทำให้การจัดการรวมถึงการทำ Security Operations มีความสะดวกและยืดหยุ่นมากขึ้นครับ












และทั้งหมดนี้คือภาพรวมของการสร้าง Modern Blue Team ด้วย Microsoft Security Solutions/Ecosystem ครับผม.....

เขียนโดย ที่ ไม่มีความคิดเห็น:

วันเสาร์ที่ 21 มีนาคม พ.ศ. 2569

Agentless Machine Scanning ใน Microsoft Defender for Cloud (MDC)

      สวัสดีครับทุกท่านสำหรับบทความนี้ผมจะพาทุกท่านไปทำความรู้จักกับ Agentless Machine Scanning ใน Microsoft Defender for Cloud กันครับ ซึ่งถือเป็นความสามารถหรือฟีเจอร์ที่สำคัญในการ Secure และ Protect Workloads (Servers หรือ VMs) ในองค์กรครับ ก่อนที่จะเข้าสู่เรื่องราวของ Agentless Machine Scanning ขออนุญาตอธิบายคร่าวๆ เกี่ยวกับ Microsoft Defender for Cloud (MDC) ซักหน่อยครับ เผื่อว่าผู้อ่านท่านใดอาจจะยังไม่คุ้นเคยกับ Microsoft Defender for Cloud หรือ MDC ครับ


เริ่มจาก Microsoft Defender for Cloud ถือว่าเป็นเซอร์วิสหนึ่งใน Microsoft Azure ครับ และอีกมุมหนึ่งถือว่า Microsoft Defender for Cloud เป็นสมาชิกอยู่ใน Microsoft Defender Family ครับ ซึ่งเป็น Family ที่ถูกออกแบบมาเพื่อทำ Threat Detection และ Protection ให้กับ IT Environments ขององค์กร โดยครอบคลุมท้้ง Hybrid และ Multi-Cloud ครับ โดย Microsoft Defender Family เป็นเพียงแค่ส่วนหนึ่งของ Microsoft Security Ecosystem ครับ เพราะทาง Microsoft ยังมี Security Solutions ต่างๆ อีกเยอะครับ รวมถึงยังมีการนำเอา AI เทคโนโลยีเข้ามาช่วยในเรื่องของ Cybersecurity อีกด้วยครับ รูปด้านล่างเป็น ภาพรวมที่แสดงถึง Microsoft Security Solutions ที่มี ณ ตอนนี้ครับ












สำหรับ Microsoft Defender for Cloud จะให้บริการ Security Services/Solutions หลักๆ ดังนี้:

- Cloud Security Posture Management (CSPM)

- Cloud Workload Protection Platform (CWPP)

- Cloud-Native Application Protection Platform (CNAPP)


และสำหรับบทความนี้เรื่องของ Agentless Machine Scanning ซึ่งเป็นความสามารถหนึ่งของ Microsoft Defender for Cloud จะอยู่ภายใน Security Services/Solutions ที่ชื่อว่า Cloud Workload Protection Platform หรือ CWPP ครับ โดย Agentless Machine Scanning จะเข้ามาช่วยในการ Secure และ Protect Workloads นั่นก็คือ Servers หรือ VMs นั่นเองครับ นั่นหมายความถ้าท่านผู้อ่านต้องการที่จะป้องกัน Servers หรือ VMs ที่อยู่ใน IT Environments ของท่าน สามารถพิจารณนำเอา Microsoft Defender for Cloud ไปประยุกต์ใช้งานได้ครับ


กลับมาที่เรื่องของการ Secure และ Protect Servers หรือ VMs ใน Microsoft Defender for Cloud นั้นจะเกี่ยวข้องกับ CWPP ดังนั้นจะต้องมีการวางแผน, ออกแบบ, เพื่อเตรียมความพร้อมในการ Secure และ Protect Servers หรือ VMs เหล่านั้น โดยการติดตั้ง Agents ไปยัง Servers หรือ VMs ที่ต้องการครับ ในยุคแรกๆ ของ Microsoft Defender for Cloud, ตัวของ Agent ที่ใช้คือ Azure Log Analytics Agent ซึ่งปัจจุบันไม่มีให้ใช้งานแล้วครับ โดยถูกแทนด้วย Agent ตัวต่อมา คือ Azure Monitor Agent หรือเรียกสั้้นๆ ว่า AMA ครับ จากนั้นก็มาถึง Agentless (นั่นก็คือ Agentless Machine Scanning ครับ) ครับ โดยการที่ Microsoft ทำการปรับปรุงและเปลี่ยนแปลงจาก Agent-Based มาเป็น Agentless (Agentless Machine Scanning) นั้นถือว่าเป็นการเปลี่ยนแปลงที่สำคัญในการ Secure และ Protect Workloads ในองค์กรเลยทีเดียวครับ เพราะอย่างที่เราทราบกันโดยปรกติ คือ หากองค์กรมีการนำเอา Security Solutions ใดๆ ก็ตามมาใช้งานในองค์กร ก็จะต้องมีการติดตั้งส่วนประกอบต่างๆ ของ Security Solutions ดังกล่าวรวมถึง Agent ด้วยครับ แต่สำหรับ Microsoft Defender for Cloud ตัวของมันเองไม่มีการติดตั้งใดๆ ที่ IT Environments ของลูกค้า หมายความว่า Microsoft Defender for Cloud ไม่ต้องการ Servers หรือ VMs ใดๆ เพื่อติดตั้งตัวมันเพื่อทำงานครับ เพราะ Microsoft Defender for Cloud รันอยู่ใน Data Centers ของ Microsoft หรือพูดง่ายๆ คือ รันและทำงานอยู่บน Cloud นั่นเองครับ


และในการที่เราต้องการ Secure และ Protect (Servers หรือ VMs) ที่ผมได้อธิบายไปก่อนหน้านี้ก็เช่นกันครับ ณ ตอนนี้เราไม่ต้องติดตั้ง Agent ใดๆ ของ Microsoft Defender for Cloud เหมือนกับแต่ก่อนครับ แต่ต้องบอกทุกท่านไว้ก่อนว่า Agentless เป็นเพียง Option หนึ่งที่เราสามารถนำไปพิจารณาครับ นอกเหนือจาก Agent-Based แบบก่อนหน้านี้ครับ ข้อดีของ Agentless คือ ไม่มีการติดตั้งสิ่งใดๆ ไปยัง Servers หรือ VMs ที่จะให้ Microsoft Defender for Cloud ไปทำการ Secure และ Protect ครับ ดังนั้นจะไม่มีการไปกระทบกับการทำงานของ Servers หรือ VMs นั้น ไม่ว่าจะเป็นเรื่องของ Performance และอื่นๆ ครับ เพราะเป็นสิ่งที่องค์กรกังวลครับ


หลังจากทำการเปิดใช้งานหรือ Activate ตัว Agentless Machine Scanning แล้ว มันจะเริ่มทำงานโดยทำการเก็บรวบรวมข้อมูลจาก Servers หรือ VMs มาทำการตรวจสอบและค้นหาเป็นระยะๆ ไม่ใช้แบบ Real-Time ครับ โดยการทำ Read-Only Snapshots ของ Servers หรือ VMs แล้วมาทำรวบรวมข้อมูลต่างๆ เช่น Installed Apps, Configurations, OS Versions, และอื่นๆ  ดังนี้:


- ทำการ Scans Endpoint Detection and Response (EDR) Settings เพื่อทำการประเมินค่า Settings ของ EDR ที่รันอยู่ใน Servers หรือ VMs ว่าถูกต้องหรือไม่ ถ้า Servers หรือ VMs ดังกล่าวทำงานร่วมกับหรือ Integrate กับ Microsoft Defender for Endpoint หรือ MDE

- ทำการ Scans Software Inventory และทำงานหรือ Integrate กับ Microsoft Defender Vulnerability Management หรือ MDVM

- ทำการ Scans Vulnerabilities เพื่อประเมินช่องโหว่ ด้วย Microsoft Defender Vulnerability Management หรือ MDVM

- ทำการ Scans Malware โดยทำงานร่วมกับ Microsoft Defender Antivirus

- อื่นๆ 


ข้อดีของ Agentless Machine Scanning 


- Zero Performance Impact เพราะไม่มีการติดต้ั้งใดๆ ไปยัง Servers หรือ VMs

- Simplified Deployment เพราะไม่มีการดาวน์โหลดและติดต้้งส่วนประกอบหรือสิ่งใดๆ ที่ Servers หรือ VMs ที่ต้องการ Secure และ Protect

- อื่นๆ


สำหรับการเรียกใช้งาน Agentless Machine Scanning นั้นจะขึ้นอยู่กับ Defender Plan ในส่วนของ Cloud Workload Protection Platform (CWPP) ในส่วนของ Workloads ที่เป็น Servers โดยจะมี 2 Plans ให้เลือกพิจารณา คือ Plan 1 และ Plan 2 ครับ ความแตกต่างของแต่ละ Plan ในการ Secure และ Protect Servers หรือ VMs คือ ฟีเจอร์และราคาครับ สำหรับ Agentless Machine Scanning เป็นฟีเอจร์หรือความสามารถที่อยู่ใน Plan 2 ครับ ดังรูปด้านล่างครับ












สำหรับการ Secure และ Protect Servers หรือ VMs ในองค์กรด้วย Microsoft Defender for Cloud นั้นในความเป็นจริงแล้วยังมีอีกหลายสิ่งที่จะต้องพิจารณาครับ นอกเหนือจาก Agentless Machine Scanning แล้ว ยังมี Microsoft Defender for Endpoint หรือ MDE ด้วยครับ เพราะ ณ ตอนนี้ Microsoft Defender for Cloud และ Microsoft Defender for Endpoint ทั้ง 2 Services นี้ Integrate ทำงานร่วมกันในการ Secure และ Protect Servers หรือ VMs ครับ และ Best Practices ในการดำเนินการ Secure และ Protect Servers หรือ VMs ควรพิจารณานำเอา Agentless Machine Scanning และ MDE Agent (MDE Sensor) ตลอดจน Services หรือส่วนประกอบอื่นๆ มาใช้งานร่วมกันครับ


รายละเอียเพิ่มเติมเกี่ยวกับ Agentless Machine Scanning สามารถไปที่ Link นี้ได้เลยครับ, Agentless machine scanning in Microsoft Defender for Cloud - Microsoft Defender for Cloud | Microsoft Learn

รายละเอียดเกี่ยวกับ Microsoft Defender for Cloud สามารถไปที่ Link นี้ได้เลยครับ, Microsoft Defender for Cloud Overview - Microsoft Defender for Cloud | Microsoft Learn


และทั้งหมดนี้คือเรื่องราวของ Agentless Machine Scanning ใน Microsoft Defender for Cloud ครับผม.....


เขียนโดย ที่ ไม่มีความคิดเห็น:

วันจันทร์ที่ 23 กุมภาพันธ์ พ.ศ. 2569

Microsoft Cybersecurity ตอนที่ 6 (Security Adoption Framework)

      สวัสดีครับทุกท่าน กลับมาพบกันเช่นเคยครับ สำหรับบทความตอนนี้มีที่มาจากช่วงที่ผ่านมานั้น ผมมีโอกาสไปสอนและบรรยายเกี่ยวกับ Microsoft Cybersecurity Architect ให้กับลูกค้า ประกอบก่อนหน้านี้ผมเคยเขียนบทความเกี่ยวกับ Microsoft Cybersecurity ไปหลายตอน เพื่อแนะนำให้ทุกท่านได้รู้จักและทำความเข้าใจกับ Frameworks และ Models ต่างๆ ที่เกี่ยวข้องกับเรื่องของ Security เพื่อสามารถนำไปประยุกต์ใช้งานในการวางแผนออกแบบ Cybersecurity Architecture เพื่อทำการป้องกัน IT Environments (ครอบคลุมทั้ง Hybrid และ Multi-Cloud) ขององค์กร ไม่ว่าจะเป็น Cyber Kill Chain, Zero Trust, Defense In-Depth, และอื่นๆ ท่านใดที่ยังไม่รู้จักสามารถย้อนไปอ่านบทความของผมได้เลยครับ


สำหรับบทความนี้ผมจะพาทุกท่านไปทำความรู้จักกับ Framework หนึ่ง ซึ่งถูกออกแบบมาให้ใช้งานร่วมกับ Microsoft Zero Trust Model, Cloud Adoption Framework (CAF) ใน Secure Phase, Microsoft Cybersecurity Reference Architectures (MCRA) รวมถึง CIA Triad ครับ โดย Framework นี้มีชื่อว่า "Security Adoption Framework" หรือเรียกย่อๆ ว่า "SAF" ครับ

*Microsoft Zero Trust Model ถือว่าเป็นหัวใจและเป็นสิ่งสำคัญสำหรับการวางแผนและออกแบบ Cybersecurity Architecture และยังถือว่าเป็นหัวใจของ MCRA อีกด้วยครับ รายละเอียดเพิ่มเติมสามารถย้อนไปอ่านบทความของผมก่อนหน้านี้ได้ครับ

*CIA Triad คือ สิ่งสำคัญหรือเป็นพื้นฐานสำคัญสำหรับ Cybersecurity เมื่อ Security Architect จะทำการวางแผน, ออกแบบ, และทำการ Implement Security Solutions ต่างๆ เพื่อทำการ Secure & Protect IT Environments ขององค์กร โดย CIA Triad มีกฎหลัก 3 ข้อ คือ Confidentiality, Integrity, และ Availability ครับ


Security Adoption Framework (SAF) คืออะไร?











เป็น Framework ที่ถูกออกแบบมาเพื่อช่วยองค์กรในการนำเอา Security Best Practices ต่างๆ มาประยุกต์ใช้งานในองค์กรตามที่องค์กรต้องการ โดย SAF เตรียมแนวทางในการนำเอา Security Best Practices ดังกล่าวเข้ามาประยุกต์ใช้งานในองค์กร โดยมี Stages ดังนี้:

Stage 1: Assess คือ Stage ที่เริ่มด้วยการทำการประเมิน Security Posture ณ ปัจจุบันขององค์กรว่าเป็นอย่างไร เพื่อ Identify หรือกำหนด Gaps หรือ Risks ที่เกี่ยวข้องและทำการจัดลำดับ (Prioritize) ที่จำเป็นต่อการปรับปรุงเพื่อทำให้ Security Posture ขององค์กรมีความแข็งแรงและปลอดภัยมากขึ้น

*Security Posture คือ ภาพรวมของ Security Status ของ IT Assets/Services ที่อยู่ใน IT Environments ขององค์กร

Stage 2: Plan: คือ Stage ที่นำเอาผลลัพธ์ที่ได้จากวิเคราะห์และประเมิน Security Posture ณ ปัจจุบันขององค์กรจาก Stage 1 มาทำการพัฒนาหรือ Develop แผน (Plan) ในการปรับปรุง Security Posture ขององค์กร โดยแนวทางดังกล่าวจะประกอบไปด้วย Outline และ Actions ตามการจัดลำดับความสำคัญและมีการนำเอา Best Practices ต่างๆ มาช่วยในการพิจารณา

Stage 3: Implement คือ Stage ที่นำเอา Plan ใน Stage ก่อนหน้านี้มาทำการปรับปรุงเรื่องความปลอดภัยตามที่วางแผนและกำหนดไว้ โดยใน Stage นี้ คือ การนำเอา Microsoft Security Solutions ต่างๆ เข้าช่วยในการป้องกัน












Stage 4: Manage คือ Stage ที่จะต้องวางแผนเพื่อดำเนินการตรวจสอบค้นหาและจัดการ Security ใน IT Environments ขององค์กรอย่างต่อเนื่อง อีกทั้งยังสามารถปรับหรือเพิ่มเติมการค้นหาและป้องกันเมื่อมีภัยคุกคามใหม่เกิดขึ้น เพื่อช่วยลดความเสี่ยงที่องค์กรจะถูกโจมตีจากภัยคุกคาม (Threats) 


และทั้งหมดนี้คือเรื่องราวของ SAF คร่าวๆ ที่อยากให้ทุกท่านได้รู้จักครับผม.....




เขียนโดย ที่ ไม่มีความคิดเห็น:

วันพุธที่ 21 มกราคม พ.ศ. 2569

Protect AI Applications ด้วย Microsoft Defender for Cloud (MDC)

      สวัสดีครับทุกท่า่น กลับมาพบกันอีกเช่นเคยครับ และสำหรับบทความนี้ผมจะอัพเดทความสามารถใหม่ๆ ที่ถูกเพิ่มเติมเข้ามาใน Microsoft Defender for Cloud (MDC) ครับ โดยความสามารถดังกล่าวนี้จะเป็นการขยายการป้องกันครอบคลุมไปที่ AI Applications ครับ ที่มาที่ไปมาจากในช่วงที่ผ่านมาอย่างที่ทุกท่านทราบกันดีครับว่า AI และ ML เทคโนโลยีถูกนำเข้ามาประยุกตใช้งานในองค์กร โดยการนำเอาเทคโนโลยีดังกล่าวนี้มาประยุกต์ใช้งานก็มีหลากหลายมุมหรือหลาย Scenarios ครับ ทั้งนี้ขึ้นอยู่กับความต้องการของแต่ละองค์กรครับ และในบทความนี้ก็เป็น Scenario หนึ่งที่มีการนำเอา AI และ ML เทคโนโลยีเข้ามาทำงานร่วมกับ Applications ต่างๆ ที่องค์กรได้พัฒนาขึ้นมาใช้งาน เพื่อเพิ่มขีดความสามารถการทำงานของ Applications เหล่านั้นและแน่นอนว่าเพื่อรองรับกับความต้องการของธุรกิจครับ


สิ่งที่เกิดขึ้นตามมาในแง่ของความปลอดภัยที่องค์กรจะต้องหันมาวางแผนเพื่อเตรียมความพร้อมเพื่อรับมือกับความเสี่ยงตลอดจนภัยคุกคามที่แฝงมากับการที่องค์กรมีการนำเอา AI เข้ามาทำงานร่วมหรือ Integrate กับ Applications ครับ เพราะ Applications เหล่านี้สามารถเข้าถึงข้อมูลต่างๆ ขององค์กรได้ 









ดังนั้นการที่องค์กรนำเอา AI เข้ามาทำงานร่วมกับ Applications ก็อาจจจะก่อให้เกิดความเสี่ยง เนื่องจาก Attackers จะอาศัยช่องโหว่และเทคนิคต่างๆ จากการที่องค์กรนำเอา AI เทคโนโลยีเข้ามาทำงานร่วมกับ Applications ครับ รูปด้านล่าง คือ Attack Surfaces หรือช่องทางใหม่ๆ ที่ก่อให้เกิดความเสี่ยงสำหรับการนำเอา AI เทคโนโลยีเข้ามาประยุกต์ใช้งานในองค์กร












ดังนั้นองค์กรจะต้องทำการวางแผนและเตรียมความพร้อมในการป้องกันภัยคุกคามตลอดจนความเสี่ยงต่างๆ ที่อาจจะเกิดขึ้นจากการที่องค์กรมีการนำเอา AI เทคโนโลยีเข้ามาประยุกต์ใช้งาน และจากประเด็นดังกล่าวนี้เอง ทำให้ Microsoft ได้เพิ่มหรือขยายความสามารถในการทำ Threat Detection และ Protection ของ Microsoft Defender for Cloud (MDC) ให้ครอบคลุมถึง AI Applications ครับ


สำหรับท่านที่ยังไม่รู้จัก Microsoft Defender for Cloud (MDC) ผมขออธิบายคร่าวๆ นะครับ ถ้าท่านใดสนใจและอยากรู้จัก MDC สามารถย้อนกลับไปอ่านบทความของผมได้ครับ สำหรับ Microsoft Defender for Cloud หรือ MDC นั้น เป็น Service นึงใน Microsoft Azure ครับ นอกจากนี้แล้ว MDC ยังเป็นสมาชิกของ Microsoft Defender Family (เป็น Family ที่ Microsoft เตรียมไว้สำหรับองค์กรที่ต้องการ Security Solutions เพื่อทำการ Secure และ Protect IT Environment ขององค์กร โดยครอบคลุมทั้ง Hybrid และ Multi-Cloud Environments) 


ในความเป็นจริงแล้วทาง Microsoft ยังมี Security Solutions ต่างๆ เตรียมไว้สำหรับองค์กรที่ต้องการจะวางแผน, ออกแบบ, และดำเนินการในการ Secure และ Protect IT Environments (ครอบคลุมทั้ง Hybrid และ Multi-Cloud Environments) รูปด้านล่างจะเป็น Microsoft Security Solutions ในการ Secure และ Protect AI Workloads ในองค์กรครับ











สำหรับ Microsoft Defender for Cloud ให้บริการ Security Solutions หลักๆ อยู่ 3 Solutions  คือ


1. Cloud Security Posture Management (CSPM)

2. Cloud Workload Protection Platform (CWPP)

3. Cloud-Native Application Protection Platform (CNAPP)










สำหรับความสามารถที่ถูกเพิ่มเติมตามที่เกริ่นไว้ข้างต้น คือ ในส่วนของ CSPM (Cloud Security Posture Management) จะเพิ่มการทำ Security Posture Management ที่เกี่ยวกับ AI  ซึ่งจะทำให้ SOC/Security Teams สามารถเห็นและจัดการ AI Infrastructure (SDKs, Plugins, ตลอดจน AI Services ที่เกี่ยวข้อง เช่น Azure OpenAI Service, Azure Machine Learning, Amazon Bedrock, เป็นต้น) ในการ Identify ความเสี่ยง, Potential Attack Vectors, รวมถึง Best Practices ที่เกี่ยวข้องกับ AI Infrastructure เพื่อช่วยในองค์กรในการค้นหาและป้องกัน


ต่อมาคือในส่วนของ CWPP (Cloud Workload Protection Platform), Microsoft Defender for Cloud จะทำหน้าที่เป็น "Prompt Guard" ระหว่าง Prompts ของผู้ใช้งาน กับ AI ในกรณีที่ผู้ใช้งานมีการส่ง Prompt ไปที่ AI Services (Azure OpenAI, Azure Foundry, และอื่นๆ) Microsoft Defender for Cloud จะทำการตรวจเช็ค Prompt ดังกล่าวนี้ว่ามีความเสี่ยงที่จะเป็น Attacks หรือไม่ ตัวอย่างของ Attacks ที่จะทำถูกตรวจเช็ค เช่น Jailbreak (Prompt Injection), Data Poisoning, Data Leakage, Credential Theft, เป็นต้น

















รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Defender for Cloud (MDC) ในการ Protect AI Workloads สามารถไปที่ Link นี้ได้เลยครับ, Enable threat protection for AI services - Microsoft Defender for Cloud | Microsoft Learn


และทั้งหมดนี้คือเรื่องราวของความสามารถใหม่ใน Microsoft Defender for Cloud ที่จะเข้ามาช่วยปัองกัน AI Workloads หรือ Applications ครับผม.....







เขียนโดย ที่ ไม่มีความคิดเห็น:
สมัครสมาชิก: ความคิดเห็น (Atom)