Endpoint Detection and Response (EDR) พัฒนาเพื่อเสริมความสามารถด้านการตรวจจับ การเก็บหลักฐาน และการตอบสนองต่อภัยคุกคามไซเบอร์ให้แก่ระบบ Endpoint Security
Sophos ให้บริการ EDR โดยการผสานรวมกับ Intercept X ซึ่งเป็นโซลูชัน Endpoint and Server Protection ชั้นนำระดับโลกเข้าด้วยกันเป็นโซลูชันเดียว เรียกว่า
Intercept X with EDR ช่วยให้องค์กรสามารถตรวจจับและตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยที่เกิดขึ้นบนอุปกรณ์ปลายทางได้อย่างรวดเร็ว แม่นยำและ ใช้ให้เกิดประสิทธิภาพสูงสุดอีกด้วย
5 เหตุผล ทำไม Sophos EDR จึงเป็นโซลูชันที่จำเป็นต่อการรักษาความมั่นคงปลอดภัยของอุปกรณ์ปลายทางในยุคดิจิทัล ดังนี้
1. รักษา IT Security Operations ให้มีประสิทธิภาพที่ดีตลอดเวลา และตามล่าภัยคุกคามที่แอบซ่อนอยู่ในองค์กร
EDR ช่วยสนับสนุนการดำเนินงานทั้งด้าน IT Operations และ IT Security ดังนี้
- IT Operations: Sophos EDR ช่วยรักษาอุปกรณ์คอมพิวเตอร์ให้อยู่ในสถานะพร้อมใช้งานและมั่นคงปลอดภัยตลอดเวลา ไม่ว่าจะเป็นการค้นหาอุปกรณ์ที่มีปัญหาเรื่องประสิทธิภาพ การระบุอุปกรณ์ที่มีช่องโหว่ที่ต้องทำการแพตช์ หรือการตรวจสอบเซิร์ฟเวอร์ที่เปิด RDP ทิ้งไว้โดยไม่จำเป็น ทั้งยังช่วยให้ผู้ดูแลระบบสามารถรีโมตเข้าไปแก้ไขปัญหาเหล่านั้นได้สะดวกรวดเร็วอีกด้วย
- IT Security: EDR สามารถตามล่าภัยคุกคามที่หลุดรอดระบบ Endpoint Protection เข้ามาผ่านทางการติดตาม Indicator of Compromise (IoC) เช่น การตรวจจับความพยายามเชื่อมต่อเข้ายังมาพอร์ตอื่นๆ , โปรเซสที่ทำการแก้ไขไฟล์หรือ Registry Keys, โปรเซสที่ปลอมแปลงตัวเองเป็นอย่างอื่น หรือผู้ใช้ที่คลิกลิงก์บนอีเมล Phishing จากนั้นรีโมตเข้าไปยังอุปกรณ์ที่เกี่ยวข้องเพื่อเก็บข้อมูลเพิ่มเติม จัดทำ Forensics และจัดการกับโปรเซสที่ต้องสงสัยได้ทันที
2. ตรวจจับการโจมตีที่หลุดลอดเข้ามาโดยไม่รู้ตัว
ไม่มีโซลูชันด้านความมั่นคงปลอดภัยใดที่สามารถป้องกันภัยคุกคามได้ 100% EDR จึงเป็นแนวป้องกันอีกชั้นที่ทำหน้าที่ค้นหา ตรวจจับ และตอบสนองต่อภัยคุกคามที่หลุดรอดผ่านแนวป้องกันแรก
Sophos EDR รวบรวม IoC ของภัยคุกคามล่าสุดที่ค้นพบจากทั่วทุกมุมโลก แล้วนำไปวิเคราะห์ด้วยเทคโนโลยี Machine Learning ของ SophosLabs เพื่อจัดอันดับความสำคัญ สามารถรู้ได้ทันทีว่าพวกเขาต้องเริ่มตรวจสอบและโฟกัสกับเรื่องใดก่อน เร่งกระบวนการตอบสนองและจัดการกับภัยคุกคามให้เร็วยิ่งขึ้น
3. ตอบสนองต่อเหตุผิดปกติที่อาจเกิดขึ้นได้อย่างรวดเร็ว
หลังตรวจพบเหตุผิดปกติ การจัดการกับเหตุเหล่านั้นให้เร็วที่สุดเพื่อกักกันความเสียหายรักษาความมั่นคงปลอดภัยขององค์กร ซึ่งSophos EDR สามารถร่นเวลาด้วยการช่วยผู้ดูแลระบบแยกคอมพิวเตอร์หรือเซิร์ฟเวอร์ที่มีปัญหาออกจากเครือข่ายได้ทันที ควบคุมความเสียหาย และเป็นการซื้อเวลาขณะเริ่มทำการตรวจสอบ
นอกจากนี้ยังนำเสนอแนวทางการแก้ไขปัญหาและสิ่งที่ควรทำทีละขั้นๆ พร้อมข้อมูลประกอบที่เข้าใจง่าย ช่วยให้แม้แต่ผู้ดูแลระบบที่ไม่มีทักษะสูงนักก็สามารถจัดการกับเหตุการณ์ที่เกิดขึ้นได้อย่างรวดเร็ว
จุดเด่น ของ Sophos EDR
1. ความสามารถในการเข้าถึงอุปกรณ์ปลายทางแบบรีโมตผ่านทาง Command Line
2. ช่วยให้ผู้ดูแลระบบสามารถตอบสนองต่อเหตุผิดปกติได้อย่างรวดเร็วแม้ผู้ใช้จะไม่ได้อยู่ในออฟฟิศ
3. สามารถติดตั้งเครื่องมือ Forensics เพื่อตรวจสอบปัญหาที่เกิดขึ้น
4. ถอนการติดตั้งซอฟต์แวร์ สั่งจัดการโปรเซสหรือรีบูตอุปกรณ์ได้
4. เพิ่มศักยภาพให้แก่การรักษาความมั่นคงปลอดภัยโดยไม่ต้องเพิ่มคนหรือเรียนรู้ทักษะใหม่
Sophos ออกแบบโซลูชัน EDR โดยผสานเทคโนโลยี Machine Learning เข้าด้วยกันกับ Threat Intelligence ของ SophosLabs เพื่อทดแทนความเชี่ยวชาญที่ได้จากบุคลากรที่มีทักษะ ช่วยให้องค์กรสามารถเริ่มใช้งาน EDR ได้โดยไม่ต้องเพิ่มคนหรือเรียนรู้ทักษะใหม่
สำหรับองค์กรที่ต้องการผู้ช่วยบริหารจัดการ EDR ทาง Sophos มีบริการ Managed Threat Response (MTR) สำหรับเพิ่มประสิทธิภาพในการทำ Threat Hunting & Detection, การตรวจสอบเหตุผิดปกติเชิงลึก และการตอบสนองต่อภัยคุกคามที่เกิดขึ้นกับองค์กร
5. เข้าใจการโจมตีที่เกิดขึ้นและยับยั้งไม่ให้เกิดเหตุซ้ำอีก
Sophos EDR มีฟีเจอร์ที่เรียกว่า Threat Cases ซึ่งสามารถแสดงเหตุการณ์ทั้งหมดที่เกี่ยวข้องกับการโจมตีที่ตรวจพบ ช่วยให้ผู้ดูแลระบบเข้าใจได้ง่ายว่า ไฟล์ โปรเซส และ Registry Key ไหนที่ได้รับผลกระทบจากมัลแวร์บ้าง ทั้งยังสามารถแสดงผลเป็นแผนภาพการโจมตี ตั้งแต่จุดเริ่มต้น ไปจนถึงจุดที่การโจมตีจบ (หรือถูกหยุด) เหล่านี้ ทำให้ผู้ดูแลระบบสามารถค้นหาต้นตอของปัญหาได้อย่างรวดเร็วและแม่นยำ พร้อมหาวิธีการปิดช่องโหว่ไม่ให้ถูกโจมตีซ้ำได้อีก