BLOGS

ความปลอดภัยทาง Cyber ที่ดีกว่าด้วย Trellix XDR & Gen AI

Tangerine • 09/04/2024
Tangerine Co., Ltd.

ในยุคปัจจุบันภัยคุกคามทาง Cyber ยังคงเป็นภัยคุกคามที่ไม่เคยหยุดยั้งและมีมากขึ้นเรื่อย ๆ เป็นเหตุให้ความต้องการโซลูชันเพื่อรักษาความปลอดภัยทาง Cyber ที่มีความทันสมัยเป็นที่ต้องการมากขึ้น และมีความสำคัญอย่างไม่เคยเป็นมาก่อน ซึ่งองค์กรต่าง ๆ พบว่า การแยก Signal ที่ดีออกจาก Signal ที่เป็นสิ่งรบกวนล้วนต้องเผชิญกับสภาพแวดล้อมที่มีความซับซ้อนมากยิ่งขึ้น ความเสี่ยงที่เพิ่มขึ้นของเหล่า Third-party ปริมาณของข้อมูลและเหตุการณ์ต่าง ๆ ที่เพิ่มมากขึ้น และรวมไปถึงค่าใช้จ่ายที่เพิ่มขึ้น พร้อมกันนี้ยังต้องเผชิญกับความขาดแคลนของทรัพยากร และความสามารถในการทำความเข้าใจอย่างถูกต้องเหมาะสม เกี่ยวกับสิ่งที่เกิดขึ้นในสภาพแวดล้อมต่าง ๆ แม้แต่ผู้ให้บริการด้านความปลอดภัยที่มีทรัพยากรมากที่สุดยังสามารถตรวจสอบการแจ้งเตือนได้ไม่ถึง 10% ของทั้งหมดที่เกิดขึ้น ดังนั้นจึงจำเป็นต้องมีแนวทางที่ดีกว่าสำหรับองค์กร

Gen AI กลายมาเป็นเครื่องมือสำคัญในการประยุกต์ใช้ Machine Learning การวิเคราะห์พฤติกรรม Natural Language Processing (NLP) และการทำนายเพื่อปฏิบัติการตรวจจับ การตอบสนองและการแก้ไขปัญหา ด้วยเทคโนโลยี Gen AI จะทำให้องค์กรสามารถเพิ่มพลังในการต่อสู้กับภัยคุกคามได้อย่างมีประสิทธิภาพ สามารถเข้าใจความเสี่ยงที่เกิดขึ้นด้วยความรวดเร็วและมีความแม่นยำมากขึ้นกว่าเดิม อีกทั้งยังเสริมแนวป้องกันต่อ Cyberattacks ได้อย่างมั่นคง 

อย่างไรก็ตาม ด้วย Trellix XDR ที่ใช้เทคโนโลยี Gen AI จะทำให้องค์กรของคุณสามารถวิเคราะห์การแจ้งเตือนที่เกิดขึ้นได้ 100% และเพิ่ม Visibility ให้กับองค์กรได้มากขึ้นอีกสิบเท่า ซึ่งความสามารถของเทคโนโลยี Gen AI เป็นสิ่งจำเป็นในการเพิ่มความยืดหยุ่นด้านความปลอดภัย และให้การป้องกันในเชิงรุกจากภัยคุกคามที่มีการเปลี่ยนแปลงอยู่ตลอดเวลาในปัจจุบัน และ Trellix จะช่วยให้มันเป็นเรื่องง่าย

สถิติการโจมตีทาง Cyber

รูปที่1 สถิติที่แสดงให้เห็นว่า SOC ตกอยู่ในสถานการณ์ที่ยากลำบากมาโดยตลอด

ยกตัวอย่างเช่น ในศูนย์ SOC ขององค์กรขนาดกลางถึงใหญ่ ที่มีสาขากว่า 100 แห่งทั่วโลก ซึ่งศูนย์ SOC นี้เก็บรวบรวม Event จำนวน 30,000-40,000 Event ต่อวินาที หรือมากกว่า 2.6 พันล้าน Event ต่อวัน ศูนย์ SOC ได้รับ Alert มากกว่า 150,000 รายการต่อวัน หรือเพียง 0.00006% ของ Event ที่เกิดขึ้น โดยศูนย์ SOC แห่งนี้มีนักวิเคราะห์ Tier1 จำนวน 5 คน ทำงาน 24/7 และมีนักวิเคราะห์ Tier2 จำนวน 2 คน ทำงาน 24/7 ในการรับเคสจาก Tier1 และยังมีนักวิเคราะห์ Tier3 จำนวน 1-2 คน ทำงาน 24/7 ทำการ Investigate และ Hunting สุดท้ายมี SOC Manager ทำงาน 24/7 ซึ่งถือว่าเป็นศูนย์ SOC ที่มีทรัพยากรที่มากเพียงพอ

จากที่กล่าวไว้ข้างต้น นักวิเคราะห์ Tier1 เป็นแนวหน้าที่ทำหน้าที่ทบทวนการแจ้งเตือนมากกว่า 1,400 Alert ต่อวัน เมื่อคิดจากสถานการณ์ในอุดมคติ (5 นักวิเคราะห์ ทำงาน 24 ชั่วโมงต่อวัน และใช้ 30 วินาที ในการทบทวนแต่ละการแจ้งเตือน) แต่ความเป็นจริงมักจะต่างจากอุดมคติ มีการแจ้งเตือนบางรายการที่ไม่ต้องใช้เวลาวิเคราะห์นานนัก และมีการแจ้งเตือนบางรายการที่ต้องการเวลาในการวิเคราะห์ที่มากขึ้น และนอกจากนี้นักวิเคราะห์ยังต้องรับงานเพิ่มเติม ต้องได้รับการฝึกฝน ต้องการการพักผ่อน และอื่น ๆ อีกมากมายที่จะลดจำนวนการแจ้งเตือนที่สามารถวิเคราะห์ได้ ดังนั้นจำนวนการแจ้งเตือนที่มากที่สุดที่นักวิเคราะห์ Tier1 สามารถทบทวนได้จะอยู่ที่ 1,000 Alert ต่อวัน แล้วการแจ้งเตือนอีก 149,000 Alert ที่เหลือเป็นเหมือนภูเขาน้ำแข็งที่ซ่อนอยู่ในมหาสมุทร มันอาจซ่อนความอันตรายและอาจทำให้เราไม่ได้เตรียมรับมือกับมัน บ่อยครั้งที่ศูนย์ SOC ต้องต่อสู้กับปริมาณภัยคุกคามทางด้าน Cybersecurity ที่มากมายและซ่อนอยู่ใต้พื้นผิวเหล่านั้น ต้องพยายามดิ้นรนเพื่อนำทางและตอบสนองอย่างมีประสิทธิภาพท่ามกลางอันตรายอันกว้างใหญ่ไพศาลที่มองไม่เห็นของทะเลดิจิทัล

ดังนั้นหากต้องการทบทวนการแจ้งเตือนทั้งหมด 150,000 Alert เราจำเป็นต้องมีนักวิเคราะห์ Tier1 ประมาณ 52 คน พร้อมด้วยนักวิเคราะห์ Tier2 และ Tier3 ทำงาน 24/7 ซึ่งเป็นเรื่องยากที่จะมีนักวิเคราะห์จำนวนนี้ ในขณะที่มีองค์กรเพียงน้อยนิดที่สามารถสร้างศูนย์ SOC ขนาดใหญ่นี้ได้ แต่ในความเป็นจริงบางองค์กรอาจได้รับการแจ้งเตือนมากกว่าตัวอย่างที่ได้กล่าวไป แล้วเราจะทำอย่างไร กับการแจ้งเตือนที่ไม่ได้รับการทบทวนซึ่งอาจเป็นสิ่งที่กำลังเคลื่อนไหวอยู่ใต้ผิวน้ำและสามารถสร้างความเสียหายให้แก่องค์กรได้

จากอดีตที่มีเทคโนโลยี SOAR เพิ่มกิจกรรมแบบอัตโนมัติตามที่กำหนดไว้ใน SIEM ช่วยให้ขยายทรัพยากรบางส่วน และทำให้สามารถจัดการกับปริมาณงานที่เพิ่มมากขึ้นได้ แต่แม้จะมีการทำ Pre-built Automation แล้ว ก็ยังต้องพึ่งพานักวิเคราะห์เพื่อช่วยในการสร้าง Rules ใน SIEM เพื่อแจ้งเตือนทีม SOC และสร้าง Playbook สำหรับ SOAR เพื่อดำเนินกิจกรรมแบบอัตโนมัติที่เหมาะสมซึ่งมักจะมีค่าใช้จ่ายที่สูง และในท้ายที่สุดแล้วก็ยังมีจำนวนการแจ้งเตือนส่วนใหญ่ที่ซ่อนอยู่ใต้ผิวน้ำอยู่ดี

ด้วยการเกิดขึ้นของ Gen AI และ Large Language Models (LLMs) เช่น ChatGPT หรือ Bard โลกของ Cybersecurity ก็กำลังพัฒนาไปอย่างรวดเร็ว เทคโนโลยีเหล่านี้ช่วยเปิดโอกาสใหม่ที่น่าตื่นเต้นให้กับเหล่าผู้ปกป้องโลก Cyber โดยเทคโนโลยีเหล่านี้สามารถช่วยโซลูชันใหม่ ๆ ได้ แต่ในขณะเดียวกันโซลูชันเหล่านี้ก็สามารถสร้างโอกาสใหม่ให้กับเหล่าผู้คุกคามได้เช่นกัน ความสามารถการขอความช่วยเหลือเกี่ยวกับข้อผิดพลาดในโค้ด Python ความสามารถสร้าง Email ในภาษาที่ไม่เคยพูด หรือขอความช่วยเหลือเกี่ยวกับข้อผิดพลาดใน Function Callback ใน JavaScript การนำ Gen AI ไปใช้งานอย่างถูกต้อง มันจะเป็นปัจจัยสำคัญที่จะสร้างความแตกต่างให้กับอุตสาหกรรม ช่วยนำพาคุณและทีมไปสู่การเป็นผู้นำอย่างก้าวกระโดดด้วย AI สามารถช่วยเหลือและแก้ไขปัญหาได้หลายประการ เช่น การตรวจสอบการเข้าถึงและการตรวจสอบสิทธิ์ การสร้างและปรับใช้ Data Protection Rules โดยเชื่อมโยงกับเหตุการณ์และตอบสนองกับการแจ้งเตือนที่ได้รับจากทีม SOC ในท้ายที่สุดจะทำให้องค์กรมีความเสี่ยงลดลงและสร้างคุณค่าให้กับองค์กร

แล้วเราจะทำอย่างไรให้เราได้เปรียบจากการใช้งาน Gen AI โดยไม่มีการแทรกแซงเกิดขึ้น การสร้างคุณค่าให้กับองค์กรของคุณไม่จำเป็นต้องถอดและแทนที่การลงทุนในเทคโนโลยีต่าง ๆ ที่มีอยู่แล้วในองค์กร แต่เพียงแค่คุณจัดส่ง Event เข้าไปใน Trellix XDR ซึ่งจะนำไปเปรียบเทียบกับฐานข้อมูล Intelligence อันกว้างใหญ่ของเราโดยทันที จากนั้น Gen AI และ Machine Learning ใน Trellix XDR จะเริ่มทำการวิเคราะห์ข้อมูล ตั้งคำถาม และรวบรวมข้อมูลที่เกี่ยวข้อง เพื่อช่วยในการตัดสินใจในเหตุการณ์ที่เกี่ยวข้อง ลำดับความสำคัญ และความสัมพันธ์ต่าง ๆ เพื่อทำการสืบสวนด้วยคำแนะนำของ AI ที่จะรวบรวมเหตุการณ์ที่เกี่ยวข้อง หลักฐาน และคำแนะนำไปสู่ขั้นตอนถัดไปที่นักวิเคราะห์ควรจะดำเนินการ รวมถึงเริ่มต้นดำเนินการ หรือตอบสนองแบบอัตโนมัติตามที่คุณอนุญาตให้สามารถทำได้

ด้วย Trellix XDR การแจ้งเตือนที่ก่อนหน้านี้ถูกซ่อนอยู่ใต้ผิวน้ำและถูกจัดความสำคัญไว้เป็น Low Priority จะถูกวิเคราะห์และตรวจสอบอย่างพิถีพิถัน เมื่อ XDR ระบุถึงเหตุการณ์ที่ต้องได้รับการตรวจสอบจากนักวิเคราะห์ Priority ของเหตุการณ์เหล่านั้นจะถูกปรับเพิ่มขึ้นเพื่อให้แน่ใจว่านักวิเคราะห์จะสามารถมองเห็นและยังสามารถทำกิจกรรมอัตโนมัติที่จำเป็นในการตอบสนอง สิ่งเหล่านี้ จะช่วยลดโอกาสที่ผู้ไม่ประสงค์ดีจะไม่ถูกตรวจพบ และด้วยการสืบสวนด้วยคำแนะนำของ AI จะเร่งอัตราการตอบสนองของคุณได้มหาศาล และยังสามารถช่วยประหยัดเวลาของทีมงานซึ่งเกิดจากการ Integrated กับ AI ของ Trellix XDR

ผลลัพธ์ทางธุรกิจและตัวชี้วัดจาก Trellix XDR พร้อมด้วย Gen AI จะช่วยเสริมสร้างความปลอดภัยทาง Cybersecurity ขององค์กรอย่างมีประสิทธิภาพ เพื่อบรรลุกลยุทธ์ด้านความปลอดภัยและมีกลไกการป้องกันที่แข็งแกร่งต่อการเติบโตของภัยคุกคามทาง Cyber ผู้นำด้านความปลอดภัยสามารถมองหาผลลัพธ์ที่สำคัญได้มากมาย ดังรูป

กลยุทธ์ด้านความปลอดภัยทางไซเบอร์

รูปที่2 ผลลัพธ์สำคัญจาก Trellix XDR

Ref : better-security-with-trellix-xdr-gen-ai

สอบถามข้อมูลเพิ่มเติม
Contact Form_TH Sources