บทนำ
ในระบบ Cybersecurity แบบดั้งเดิม อุปกรณ์รักษาความปลอดภัยแต่ละตัวทำงานแยกกันอย่างอิสระ (Security Silos) ส่งผลให้ Alert ถูกสร้างขึ้นจากแต่ละอุปกรณ์โดยไม่มีการเชื่อมโยงข้อมูลระหว่างกัน ทำให้การดูแลระบบมีความซับซ้อน เกิด Data Silos และไม่สามารถสร้าง Unified Security View ได้อย่างครบถ้วน
Sangfor Athena XDR (Extended Detection and Response) คือ Unified Security Operations Platform ที่ออกแบบมาเพื่อแก้ปัญหาความกระจัดกระจายของระบบรักษาความปลอดภัยแบบดั้งเดิม โดยรวบรวมข้อมูลสำคัญผ่าน Native Traffic Collection Tools และ Endpoint Data Collection Tools จากนั้นทำการ Contextual Correlation Analysis ผ่าน Network-Side Aggregation Engine เพื่อ Trace Attack Steps ได้อย่างเจาะลึก นอกจากนี้ยังสามารถเชื่อมต่อกับ Sangfor Cyber Guardian Platform เพื่อลดภาระงานด้าน Human Resources และมี Open API สำหรับเชื่อมต่อกับ SOAR (Security Orchestration, Automation and Response) ได้อีกด้วย
Sangfor XDR รองรับการ Deploy ได้ 2 รูปแบบ:
- SaaS Mode (SaaS XDR) - ใช้งานผ่าน Cloud
- On-Premises Mode (Omni-Command) - ติดตั้งภายในองค์กร
Design Concepts - แนวคิดการออกแบบ
Sangfor XDR ถูกออกแบบบนแนวคิดหลัก 3 ประการ:
1. Holistic Cybersecurity Protection (การป้องกันแบบองค์รวม)
Sangfor Endpoint Secure เก็บข้อมูลจาก Endpoint ต่าง ๆ ขณะที่ Network Secure, Stealth Threat Analytics (STA) และ Cyber Command เก็บข้อมูลจาก Network, SaaS Applications และ Cloud Infrastructure ผ่านการ Intelligently Collecting Telemetry Data จากทั้งฝั่ง Endpoint และ Network ทำให้เกิด Security Visualization ทั่วทั้ง Cyberspace สามารถระบุ Security Risks และ Attacks ที่ซ่อนอยู่ (Covert Risks) ได้ รวมถึง Trace Historical Security Incidents ย้อนหลังได้
2. Enhanced Security Analysis and Tracing Efficiency (การวิเคราะห์และติดตามภัยคุกคามที่มีประสิทธิภาพ)
XDR สามารถ Reconstruct Complete Attack Chain จากข้อมูล Telemetry ของ Endpoint, Network และ Cloud โดยผสานเทคโนโลยี Detection หลายแบบ ได้แก่ Indicator of Attack (IOA) และ Indicator of Compromise (IOC) เพื่อทำ Correlation Analysis บน Behavioral Traces ตลอด Attack Path ตั้งแต่ Network จนถึง Endpoint ช่วยให้ตรวจจับ Unknown Threats ได้ดีขึ้นและเพิ่มความแม่นยำในการ Detection
3. Incident-Focused Security Operations (การปฏิบัติการที่เน้น Incident)
ผ่าน Intelligent Aggregation and Correlation ระบบเปลี่ยนจุดเน้นของ Security Operations จาก Alert เป็น Incident ลด Alert Noise ได้อย่างมาก ประกอบกับความสามารถ SaaS และ Cloud Intelligence ทำให้อัปเดต Security Capabilities แบบ Real-Time และช่วยระบุ User Demands ได้อย่างรวดเร็ว
Product Characteristics - คุณลักษณะของผลิตภัณฑ์
- Flexible Deployment - รองรับทั้ง SaaS Mode และ On-Premises Mode (Omni-Command) สามารถ Integrate กับ Sangfor Solutions อื่น ๆ เช่น STA, Cyber Command, Endpoint Secure, Internet Access Gateway (IAG) และ Network Secure ได้ตามความต้องการ รวมถึงรองรับ Data Ingestion จาก Third-Party Devices
- Data Lake Technology - ใช้ Industry-Leading Data Lake Technology เป็น Unified Platform สำหรับ Security Data Analysis และ Queries
- Cross-Layer Collaboration - ทำงานร่วมกันระหว่าง Network Side, Endpoint Side และ Cloud Side เพื่อระบุ Advanced Threats ได้เร็วและแม่นยำยิ่งขึ้น ทำให้เห็น Comprehensive Visualization ตลอดทั้ง Attack Surface
- Advanced Threat Detection - ผ่าน IOA และ IOC Detection ร่วมกับ Network-Endpoint Correlation Analysis สามารถตรวจจับภัยคุกคามขั้นสูง เช่น Fileless Attacks, Whitelisted File Exploitation, Credential Theft, Encrypted Traffic, Zero-Day Vulnerabilities, Cryptomining, Tunneling Proxies, Spear Phishing, Process Injection และ Evasion Tools
- Smart Response - สามารถระบุและ Recommend Response Targets ใน Cross-Process Attack Scenarios ได้อย่างมีประสิทธิภาพ
Product Components - องค์ประกอบของระบบ
Sangfor XDR ใช้สถาปัตยกรรมแบบ "Platform + Components + Services" ประกอบด้วย:
Network Traffic Collection Tools:
| Component | รายละเอียด |
|---|---|
| Athena STA (Stealth Threat Analytics) | ใช้โครงสร้าง x86 Hardware ติดตั้งแบบ Bypass Mode บน Switch ในจุดสำคัญของ Public Network ทำหน้าที่เก็บและตรวจจับ Traffic ทั่วทั้ง Network มีความสามารถ IDS (Intrusion Detection System) สำหรับตรวจจับ Web Application Attacks และ Vulnerability Exploits พร้อม Anomaly Detection Engine ที่ทำงานแบบ Real-Time เมื่อตรวจพบ Anomaly จะ Label Traffic Segment แล้วส่งให้ XDR ทำ In-Depth Correlation Analysis |
| Athena NGFW (Network Secure) | ใช้โครงสร้าง x86 Hardware ติดตั้งที่ Egress Point ของ Internet หรือ Data Center ทำหน้าที่เก็บข้อมูลเกี่ยวกับ External Attacks และ Unauthorized Access สามารถ Integrate กับอุปกรณ์อื่นเพื่อ Block Attack Sources และ Abnormal Access Behaviors รวมถึง Block Unknown Threats ร่วมกับ XDR |
Endpoint Behavior Collection Tools:
| Component | รายละเอียด |
|---|---|
| Athena EPP (Endpoint Secure) | ปกป้อง Endpoint ได้อย่างมีประสิทธิภาพ เก็บ Endpoint Security Logs จาก Server และ PC ช่วยเพิ่มประสิทธิภาพ Endpoint Analysis และ Traceability ของ XDR มี Virus Scan Capabilities และรองรับ Closed-Loop Risk Handling |
Other Telemetry Data Collection Tools: Container Data Collection Tools, Email Data Collection Tools เป็นต้น
Optional Response Components: IAG, Network Secure เป็นต้น
Managed Services - บริการ Cyber Guardian
Sangfor XDR สามารถเชื่อมต่อกับ Sangfor Cyber Guardian Platform เพื่อรับบริการ Managed Detection and Response (MDR) ซึ่งประกอบด้วย:
- 24/7 Threat Identification and Notification - ตรวจจับและแจ้งเตือนภัยคุกคามตลอด 24 ชั่วโมง พร้อมสร้าง Service Ticket แจ้งผู้ใช้
- In-Depth Threat Hunting - กำหนด Detection Logic เฉพาะสำหรับระบบธุรกิจหรือ Vulnerability เพื่อค้นหา Compromised Hosts, Phished Victims และ Leaked Account Information
- Security Incident Investigation - วิเคราะห์เชิงลึกและสืบสวน Security Incidents พร้อม Trace Root Causes of Intrusions และสร้าง Investigation Reports
- Security Incident Response - ตอบสนองต่อ Incidents เช่น Trojans, Cryptomining Attacks, Malicious Attacks แบบ 24/7 พร้อมสร้าง Incident Response Reports
- Service Result Visualization - สรุป Security Postures รายเดือน ครึ่งปี หรือรายปี พร้อมสร้างรายงานส่งให้ผู้ใช้
Key Benefits - ประโยชน์หลัก
1. Collect Telemetry Data Intelligently and Comprehensively (เก็บข้อมูลอย่างชาญฉลาดและครอบคลุม)
เก็บ Telemetry Data จากทั้งฝั่ง Network และ Endpoint โดย Endpoint-Side Telemetry ครอบคลุม Behavior Data ของ Hosts, Users, Files, Processes มากกว่า 500 Data Categories and Attributes สามารถระบุ Adversarial Tactics, Techniques และ Common Knowledge (ATT&CK) ที่ผู้โจมตีใช้ได้ ส่วน Network-Side Telemetry ครอบคลุม Network Behavior Data, Traffic และ File Payloads พร้อม Machine Learning Analysis Engine และ Abnormal Behavior Analysis Modeling
2. Reduce 90% of Alerts Through In-Depth Aggregation Analysis (ลด Alert ได้ถึง 90%)
ทำ In-Depth Contextual Aggregation Analysis บน Multi-Source Data จากทั้ง Network และ Endpoint ลด Discrete Raw Alerts ได้อย่างมาก ทำให้ Security Incidents เข้าใจง่ายขึ้น พร้อมใช้ In-Depth Correlation Engine เพื่อ Reconstruct Full Attack Process ของ Security Incident
3. Identify Attack Entry Points Through Asset Weakness Detection (ระบุจุดเข้าโจมตีผ่านการตรวจสอบจุดอ่อน)
ระบุและจัดระเบียบ Entry Points ทั้งหมดที่อาจถูก Exploit จากมุมมองของผู้โจมตี (Attacker Perspective) ช่วยให้องค์กรสามารถ Identify Attack Surface เชิงลึกและจัดการ Vulnerabilities, Weak Passwords และ Risky Applications ได้อย่างครบถ้วน
4. Operational Efficiency Enhancement (เพิ่มประสิทธิภาพการปฏิบัติการ)
ผสาน 3 ระดับความสามารถ ได้แก่ Platform-Based Data Aggregation พร้อม Automated Response, SaaS-Based Cloud Intelligence ลดค่าใช้จ่ายด้าน Infrastructure และ Service-Based Expertise ช่วยแก้ปัญหาการขาดแคลน Security Talent
หมายเหตุ
- Sangfor XDR เหมาะสำหรับ Scenarios ที่เกี่ยวกับ Web Shells, Cryptomining, Targeted Vulnerability Exploitation, Data Breaches, Malware Tracing, Cross-Process Correlation และ Cross-Endpoint Security Incidents
- สามารถเลือกใช้ SaaS XDR หรือ Omni-Command ได้ตามความเหมาะสมขององค์กร
- การเชื่อมต่อกับ Cyber Guardian Platform ต้องมี License แยกต่างหาก
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น