ในปัจจุบัน การป้องกัน Ransomware ด้วยการเสริมการใช้งานของ EDR นั้น เป็นการทำงานในรูปแบบ Detection and Response ซึ่งจำเป็นต้องให้มัลแวร์ที่เข้ามาโจมตี ได้เริ่มออกคำสั่งไปก่อน แล้วค่อยตามไปดูความผิดปกติ หรือพฤติกรรมที่ไม่เป็นที่ประสงค์ การทำงานแบบนี้ เรียกว่า Post-Execution Prevention และสร้างความเสี่ยงให้กับระบบได้ จากที่เห็นมาใน Ransomware campaign หลาย ๆ ครั้ง
User จะต้องทำการคลิก หรือรอให้มัลแวร์ execution (วางชุดคำสั่ง) มัลแวร์ สามารถสร้างความเสียหายได้ ภายในเวลาเพีบง 0.016 วินาที ซึ่งความสามารถของ EDR ในการจัดการกับ Ransomware ส่วนใหญ่จะมีขั้นตอนดังนี้
• แยกแยะเหตุการณ์ภัยคุกคาม (identify the threats)
• ติดตาม และบันทึกข้อมูลจากภัยคุกคาม (Track and record the threats)
• กักกันชุดคำสั่งการทำงาน หรือไฟล์ที่เป็นภัยคุกคามได้บางส่วน (quarantine and contain some threats)
• กำจัดภัยคุกคามบางส่วน (remove some of the identified threats)
• Isolate เครื่องที่มีปัญหาออกจาก network
• ติดตาม และบันทึกข้อมูลของเครื่องที่มีปัญหา
• ตรวจสอบ และทบทวนเหตุการณ์ timeline ช่วงที่เกิดเหตุการณ์
• รวบรวมข้อมูลที่เกี่ยวกับภัยคุกคาม
การทำงานในขั้นตอนเหล่านี้ มีตัวแปรที่สำคัญมาก นั้นคือ Dwell Time ในขณะที่การทำงานแต่ละขั้นตอนของ EDR นั้น เป็นประโยชน์สูง แต่การใช้เวลา หรือการมี Dwell Time สูง ย่อมทำให้มีความเสี่ยงสูงที่จะถูกคุกคามได้โดยมัลแวร์ หรือ Ransomware เหล่านี้ การทำงานของระบบ Deep Instinct จะเน้นไปที่การใช้งานระบบที่สามารถแยกแยะภัยคุกคามได้อย่างรวดเร็ว และไม่จำเป็นต้องให้ภัยคุกคามถูก Execute ได้สำเร็จ สามารถหยุดได้แบบ Pre-Execution Prevention ได้ โดยอาศัยเทคโนโลยีใหม่ล่าสุดที่ชื่อว่า Deep Learning
โดยเทคโนโลยี Deep Learning ของ Deep Instinct ใช้อัลกอรึทึมในการเรียนรู้ข้อมูลจากประเภทของมัลแวร์ที่มีอยู่ทั่วโลก โดยใช้ Raw Data 100% ไม่ต้องทำ feature extraction และเทคโนโลยีนี้สามารถต่อจัดการกับ Unknow Malware ได้แม่นยำถึง 99% และมีอัตราการเกิด False Positive ที่ต่ำมาก ๆ
หากเทียบในมุม Offline Security ในกรณีที่มีขโมยขึ้นบ้าน การป้องกันทรัพย์สินภายในบ้านเป็นเรื่องสำคัญ การป้องกันแบบ Pre-Execution Prevention คือการที่เราป้องกันได้ตั้งแต่ขั้นตอนที่ขโมยเริ่มจะปีนบ้าน เขาไม่สามารถเห็น หรือก่อความเสียหายได้
การป้องกันแบบ Post-Execution Prevention คือการป้องกันหลังจากที่ขโมยได้ปีนกำแพงบ้านเราแล้ว เขาได้เห็นทรัพย์สินในบ้าน เดินไปมา สร้างความเสียหายบางส่วนแล้ว และระหว่างที่ได้ทำความเสียหาย บังเอิญไป trigger sensor บางอย่างทำให้เราสามารถจับเขาได้ ในทั้ง 2 กรณี เราจับได้ในที่สุด แต่แบบ Pre-Execution Prevention ปลอดภัย และป้องกันความเสียหายได้ตั้งแต่ต้นเหตุ
นอกจากความสามารถในการป้องกันมัลแวร์ที่เป็น Unknown ที่มาจากภัยที่ฝังมากับ file หรือเป็นในรูปแบบ file-less attack หลากรูปแบบเช่น
• Memory based attacks
• PowerShell Scripting language Remote logins
• Macro-based Attacks และ ฯลฯ
Deep Instinct ยังสามารถแสดงให้เห็นถึงความสามารถที่เหนือกว่า ด้วยมาตรการป้องกันที่ไว้ใจได้ ไม่ว่า ransomware campaign จะมีความแยบยลและซับซ้อนมาก Deep Instinct ก็ยังสามารถตรวจจับ ป้องกัน และตอบสนองกับทุกขั้นตอนได้
Deep Instinct ถูกออกแบบมาให้สามารถใช้งานร่วมกับระบบอื่น ๆ ได้เป็นอย่างดี และไม่สร้างอุปสรรคการทำงานให้กับระบบ หรือผู้ใช้งาน
การใช้งานร่วม ขึ้นอยู่กับความต้องการขององค์กรที่ใช้งาน องค์กรที่เน้นในเรื่องของความเสถียรภาพ และต้องการลดทรัพยากรในการบริหารจัดการเครื่อง endpoint (Laptop, PC, Servers) ต่าง ๆ สามารถใช้งาน Deep Instinct ตอบโจทย์ได้ในทันที สำหรับบางองค์กรที่ต้องการใช้ทำ investigation เชิงลึก และมีความเชี่ยวชาญ และ resource เพียงพอ ก็สามารถเสริมความปลอดภัยด้วย Deep Instinct ที่เน้นป้องกัน และใช้ EDR หรือ Forensics Tool อื่น ๆ ไปด้วยกันได้และ Deep Instinct ก็ยังสามารถทำงานร่วมกับระบบ Endpoint ที่ท่านใช้งานอยู่ได้ Deep Instinct มีการใช้งานที่ใช้ resource น้อยเป็นอันดับต้น ๆ ของอุตสาหกรรม Endpoint กับ Agent ที่ Footprint เล็กมาก ๆ ด้วยการใช้งานน้อยกว่า 2% CPU โดยเฉลี่ย
สอบถามข้อมูลเพิ่มเติม : บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด
โทร : 02-311-6881 #7156, 7158
Email : cu_mkt@cu.co.th
Website : www.cu.co.th/distributor
Youtube : Computer Union CU
