สวัสดีครับคุณผู้อ่านทุกท่าน วันนี้ผมจะมาพูดถึงพัฒนาการและความสามารถของ Antimalware กันครับ ซึ่งในช่วงที่ผ่านมาหลาย ๆ คนคงได้เห็นข่าวเกี่ยวกับบริษัท Cybersecurity ที่ทำให้ระบบคอมพิวเตอร์ของบริษัทยักษ์ใหญ่หลายบริษัทล่ม แน่นอนว่าเราก็จะได้เห็นว่ามีผู้ที่ออกมาแสดงความคิดเห็นเกี่ยวกับบริษัท Cybersecurity ที่เป็นข่าวอยู่กันมากมาย แต่เพื่อน ๆ เคยสงสัยไหมว่าทำไมบริษัทใหญ่ ๆ หลายเจ้าถึงได้ใช้งาน Antimalware กันเยอะขนาดนี้ ดังนั้น ผมจะมาเล่าความสำคัญของตัว Antimalware ว่าเพราะอะไรที่ทำให้เป็นที่นิยมใช้กันอย่างแพร่หลาย
สำหรับ Antimalware นั้นจะมีอยู่หลายประเภทด้วยกัน เช่น Antivirus, EDR และ XDR แล้วทั้ง 3 อย่างนี้แตกต่างกันอย่างไร เหมาะกับการใช้งานประเภทใด เดี๋ยวผมจะมาเล่าให้ฟังกันครับ
Antivirus
เรามาเริ่มกันที่ของเก่าแก่อย่าง Antivirus กันครับ Antivirus เป็นสิ่งที่มีมาตั้งเนิ่นนาน ใช้กันมาตั้งแต่ตอนแรก ๆ โดยจะมีหลักการทำงานเป็นแบบ Signature-based โดย Signature-based ก็คือการที่ตัว Antivirus จะมีการเก็บรวบรวมข้อมูล Malware ต่าง ๆ ในรูปแบบฐานข้อมูลที่เป็น Signature โดย Virus signature จะได้มาจากการวิเคราะห์ Malicious code เพื่อค้นหาพฤติกรรม และรูปแบบการทำงานเฉพาะตัวของ Malicious code นั้น ๆ จากนั้นก็จะนำมาเก็บลงในฐานข้อมูล
ต่อมาเราจะมาพูดถึงการทำงานของตัว Antivirus กันครับ เมื่อใดก็ตามที่เราทำการดาวน์โหลดไฟล์ หรือกดสแกนไฟล์ที่มีอยู่ในอุปกรณ์ ตัว Antivirus จะทำการเปรียบเทียบไฟล์กับฐานข้อมูล หากพบข้อมูลที่มี Virus signature ตรงกับในฐานข้อมูล Antivirus จะหยุดการดาวน์โหลดหรือบล็อกการเชื่อมต่อที่เป็นอันตราย และยังสามารถดำเนินการต่อเพื่อลบไฟล์เหล่านั้นได้
ด้วยคุณสมบัติเหล่านี้ก็ทำให้ Antivirus เป็นโซลูชันที่เหมาะกับการใช้งานในครัวเรือน หรือบุคคลคนทั่วไปที่ใช้งานคอมพิวเตอร์
EDR (Endpoint Detection and Response)
EDR (Endpoint Detection and Response) ถ้าพูดให้เข้าใจง่าย ๆ ก็คือรุ่นพัฒนาของ Antivirus นั่นเอง โดยจะมีความสามารถที่เพิ่มขึ้นจากเดิมที่ Antivirus จะใช้เทคนิคการตรวจจับ Malware แบบ Signature-based EDR ได้เพิ่มการตรวจจับแบบ Behavior-based เข้ามาด้วย โดย Behavior-based ก็คือการตรวจหาพฤติกรรมที่ผิดปกติบนอุปกรณ์ เมื่อพบพฤติกรรมดังกล่าว EDR สามารถแยกอุปกรณ์ที่ได้รับผลกระทบออกจากระบบและแจ้งเตือนให้ทีมที่รับผิดชอบ เพื่อทำการตรวจสอบต่อไป
ประโยชน์ของ Behavior-based ก็คือ ถ้า Malware ตัวนั้นเป็น Malware ตัวใหม่ ไม่มีอยู่ในฐานข้อมูล การตรวจจับแบบเก่าอย่าง Signature-based ก็จะไม่สามารถตรวจสอบได้ แต่เมื่อ Malware ทำงานก็จะมีการแสดงพฤติกรรมที่ผิดปกติเพื่อทำการฝั่งตัว หรือยึดครองระบบต่อไป ในส่วนนี้การตรวจจับแบบ Behavior-based ก็จะเข้ามาทำหน้าที่แทน ตัวอย่างพฤติกรรมที่ผิดปกติ ที่จะตรวจสอบพบก็อย่างเช่น มีการไปแก้ไข System file มีการสร้าง Processes ใหม่ หรือมีการ Injecting code เข้ามา
จากประสบการณ์ของผมเอง ก็มีบ้างที่ถูกเจ้า EDR ตรวจพบเมื่อได้ทำการทดสอบเจาะระบบ เช่น เมื่อได้เข้าไปในระบบแล้วมีการใช้คำสั่ง whoami เพื่อตรวจสอบว่าเข้ามาด้วย User อะไร พฤติกรรมแบบนี้คนทั่วไปที่เข้าไปใช้งานในระบบมักจะไม่ทำกัน เมื่อ EDR ตรวจสอบพบว่ามีใครก็ไม่รู้เข้ามาใช้คำสั่ง whoami ก็จะทำการ Block IP ที่เชื่อมต่อเข้าไปเลย
นอกจากนี้ EDR ยังสามารถใช้ได้กับ PC, Laptop, โทรศัพท์มือถือ และอุปกรณ์ IoT อีกด้วย ด้วยคุณสมบัติด้านความปลอดภัยและการจัดการของ EDR ทำให้มันเป็นโซลูชันที่เหมาะสำหรับการใช้งานในระดับธุรกิจ
XDR (Extended Detection and Response)
XDR (Extended Detection and Response) ก็คือรุ่นพัฒนาของ EDR โดยที่นอกจากการป้องกัน Endpoints แล้ว XDR ยังสามารถป้องกันใน Layer อื่น ๆ อีกด้วย เช่น Email, Server, Cloud workloads และอื่น ๆ ได้อีกด้วย
XDR จะเชื่อมต่อข้อมูลจากโซลูชันความปลอดภัยที่ปกติทำงานแยกกัน ให้สามารถทำงานร่วมกัน และสามารถดูข้อมูลต่าง ๆ ได้ในคอนโซลเดียว ทำให้สามารถเพิ่มการมองเห็นภัยคุกคามและลดระยะเวลาที่ใช้ในการตรวจสอบและตอบสนองต่อการโจมตีได้ดียิ่งขึ้น
โดยผมขอสรุปลำดับขั้นตอนการทำงานของ XDR แบบย่อ ๆ ดังนี้ครับ
- ขั้นตอนที่ 1 การรับข้อมูล: XDR จะทำการรับข้อมูลจาก Endpoints, Cloud workloads, Email, Network traffic, Server และอื่น ๆ เข้ามา จากนั้นจะมีการปรับรูปแบบข้อมูลเพื่อให้สามารถนำมาใช้งานได้ง่ายในขั้นตอนถัด ๆ ไป
- ขั้นตอนที่ 2 การตรวจจับ: XDR จะทำการวิเคราะห์และเชื่อมโยงข้อมูล เพื่อให้สามารถตรวจจับภัยคุกคามที่เกิดขึ้นอยู่โดยอัตโนมัติด้วยเทคโนโลยีอย่าง Artificial Intelligence (AI) และ Machine Learning (ML)
- ขั้นตอนที่ 3 การตอบสนอง: XDR จะทำการจัดลำดับความสำคัญของข้อมูลภัยคุกคามตามความรุนแรง เพื่อให้ผู้ที่รับผิดชอบในด้านความปลอดภัยของระบบสามารถวิเคราะห์และจัดการเหตุการณ์ที่เกิดขึ้นได้อย่างรวดเร็ว พร้อมทั้ง XDR ยังสามารถทำการสืบสวนและการตอบสนองโดยอัตโนมัติได้อีกด้วย
ด้วยคุณสมบัติเหล่านี้ก็ทำให้ XDR เป็นโซลูชันที่เหมาะกับการใช้งานในระดับธุรกิจ หรือองค์กรขนาดใหญ่ ที่มีการใช้งาน Endpoints, Cloud workloads, Email, Server และอื่น ๆ ร่วมกัน XDR ก็จะตอบโจทย์การใช้งานและให้ความปลอดภัยได้ครอบคลุมในทุก ๆ ระบบงาน
สรุปก่อนจากกันนะครับ
วันนี้เราก็ได้ความรู้เกี่ยวกับ Antivirus, EDR และ XDR กันไปมากมาย ไม่ว่าจะเป็นหลักการทำงาน วิธีการตรวจจับ Malware ของแต่ละตัว ซึ่งสรุปได้ว่าว่า Antivirus ได้มีการพัฒนาเป็น EDR และก็มีการพัฒนาอีกเป็น XDR ซึ่งก็จะมีความสามารถด้านความปลอดภัยเพิ่มขึ้นในทุก ๆ ครั้งที่มีการพัฒนา และด้วยคุณสมบัติเหล่านั้นก็จะทำให้เหมาะกับการใช้งานในรูปแบบต่างที่ต่างกัน
ทั้งนี้ถ้าเราเป็นผู้ใช้งานทั่วไป Antivirus ก็เพียงพอสำหรับเราแล้ว ไม่ว่าจะเป็นในด้านความสามารถ หรือราคาก็ตาม แต่ถ้าเราขยับขึ้นมาหน่อยเป็นองค์กรที่มีการใช้งานระบบคอมพิวเตอร์ที่อาจจะไม่ได้ใหญ่หรือหลากหลายนัก ตัว EDR ก็เป็นสิ่งที่เหมาะสำหรับการใช้งาน แต่หากเราเป็นองค์กรขนาดใหญ่ที่มีการใช้งานระบบคอมพิวเตอร์อย่างหลากหลาย เช่น มีทั้งการใช้งานทั้ง On premise, On cloud มีการ Remote ใช้งาน ตัว XDR ก็จะเหมาะสมกว่า และสุดท้ายนี้ก็ขอขอบคุณท่านผู้เจริญทุกท่านที่เข้ามาอ่านบทความนี้ด้วยครับ ขอบคุณครับ
Reference
เอกสารอ้างอิง
- https://www.leeshanok.com/antivirus-vs-edr-vs-xdr/
- https://www.lenovo.com/us/en/glossary/what-is-virus-signature/#:~:text=They%20then%20analyze%20the%20virus's,to%20the%20antivirus%20software's%20database.
- https://www.linkedin.com/advice/3/how-can-behavior-based-detection-identify#:~:text=Behavior%2Dbased%20detection%20can%20identify,new%20processes%2C%20or%20injecting%20code.
- https://en.wikipedia.org/wiki/Endpoint_detection_and_response
- https://www.trellix.com/security-awareness/endpoint/what-is-endpoint-detection-and-response/
- https://www.trellix.com/security-awareness/endpoint/what-is-xdr/
- https://www.trendmicro.com/en_th/what-is/xdr.html
- https://www.crowdstrike.com/cybersecurity-101/what-is-xdr/
- https://securityintelligence.com/posts/antivirus-evolution-to-face-modern-threats/
