ระบบ Endpoint detection and response (EDR) เป็นโซลูชั่นความปลอดภัยรูปแบบหนึ่งที่ให้ความสามารถการมองเห็นแบบเรียลไทม์เกี่ยวกับพฤติกรรมเอนด์พอยต์ที่ผิดปกติ ทั้งบันทึก จัดเก็บ และคอยตรวจสอบข้อมูลจากเอนด์พอยต์
ซึ่งโซลูชั่นซอฟต์แวร์ EDR จะคอยแจ้งเตือนอัตโนมัติเพื่อให้สืบสวนเพิ่มเติมเมื่อเจอกับพฤติกรรมต้องสงสัย ข้อมูลที่ได้นี้ทำให้ทีมงานด้านความปลอดภัยสามารถเข้าจำกัดบริเวณ สืบสวน และจัดการแก้ปัญหาด้านความปลอดภัยที่ซับซ้อนได้
แต่จุดอ่อนของ EDR ก็คือ ถ้ามีซอฟต์แวร์อันตรายปรากฏอยู่บนเอนด์พอยต์อยู่แล้ว ก็อาจสร้างความเสียหายพร้อมทั้งแพร่เชื้อไปยังเอนด์พอยต์เครื่องอื่นได้ก่อนที่ทีมงานด้านความปลอดภัยจะเข้าจัดการได้ทันเวลา
นี่จึงเป็นเหตุผลที่ต้องมีฟีเจอร์ที่ชื่อ Sandboxing ซึ่งแซนด์บ็อกซ์ในที่นี้เป็นการสร้างสภาพแวดล้อมที่แยกออกมาอย่างปลอดภัยบนเครื่องเอนด์พอยต์ เพื่อกักบริเวณไฟล์ต้องสงสัยระหว่างการสืบสวน ผู้ใช้สามารถรันไฟล์ได้โดยไม่กระทบกับระบบอื่น
การตรวจหามัลแวร์ในแซนด์บ็อกซ์จึงช่วยสร้างแนวป้องกันขึ้นอีกชั้นนึง ป้องกันความเสี่ยงด้านความปลอดภัยอย่างการอาศัยช่องโหว่ต่างๆ ระบบ EDR ในปัจจุบันจึงนำฟีเจอร์แซนด์บ็อกซ์มาใช้ ซึ่งตัวที่น่าสนใจมีดังต่อไปนี้
Kaspersky Sandbox
เป็นส่วนหนึ่งของระบบ Kaspersky Optimum Security ที่พัฒนาขึ้นสำหรับต่อกรกับการโจมตีระดับ ATP และภัยคุกคามที่ซับซ้อนโดยเฉพาะ เป็นทั้งระบบ EDR และ EPP ที่คอยตรวจจับอัตโนมัติแบบขั้นสูงด้วยการตรวจสอบอันตรายในสภาพแวดล้อมที่แยกออกมาต่างหาก
ความสามารถที่น่าสนใจได้แก่ การตรวจจับองค์ประกอบต้องสงสัย การจัดการแซนด์บ็อกซ์ได้ง่ายโดยไม่ต้องพึ่งผู้เชี่ยวชาญ การรองรับขนาดระบบได้มากถึงเอนด์พอยต์หลายพันเครื่อง ไปจนถึงการทำงานร่วมกับโซลูชั่นอื่นของ Kaspersky ด้วยกัน
Cynet 360
เป็นแพลตฟอร์มค้นหาและตอบสนองอันตรายที่ทำงานร่วมกับระบบความปลอดภัยขององค์กรได้ โดยให้แนวทางที่ตอบโจทย์ทั้งด้านการป้องกันและรักษาความปลอดภัยองค์กรแบบครบวงจร ช่วยประหยัดด้วยการรวมหลายความสามารถมาอยู่ในโซลูชั่นเดียว
ถือเป็นโซลูชั่นสำเร็จรูปที่ช่วยเซฟทั้งงบประมาณ แรงงาน และทรัพยากรที่ใช้จัดการ ใช้กลไกการทำงานผ่านการประสานตัวชี้วัดที่อยู่บนระบบต่างๆ เพื่อให้ได้ทั้งความแม่นยำและความสามารถในการมองเห็นการตรวจจับ โดยไม่ต้องพึ่งระบบอื่นเพิ่มเติม
Symantec Endpoint Detection and Response
Symantec EDR ใช้ทั้งการวิเคราะห์พฤติกรรม และแมชชีนเลิร์นนิ่งในการเปิดเผยและตรวจจับพฤติกรรมน่าสงสัยบนเครือขาย ไม่ว่าจะเป็นกิจกรรมที่เป็นอันตราย การจัดลำดับความสำคัญของเหตุการณ์ให้เพื่อเข้าจัดการได้ทันเวลา
รวมถึงเปิดให้คุณเสิร์ชหาประวัติความเคลื่อนไหวของแต่ละเอนด์พอยต์เพื่อวิเคราะห์ความเป็นไปได้ในการโดนโจมตีได้อย่างทั่วถึง หรือแม้แต่การจำกัดบริเวณเอนด์พอยต์ที่อาจโดนแฮ็คหรือมีเหตุการณ์ต้องสงสัย เพื่อลบไฟล์อันตรายและองค์ประกอบอื่นที่เกี่ยวข้อง
Trend Micro Apex One
เป็นระบบตอบสนองและตรวจจับอันตรายแบบอัตโนมัติที่รองรับภัยคุกคามที่เพิ่มขึ้นมากมายในตอนนี้ ไม่ว่าจะเป็นแรนซั่มแวร์หรือแบบไฟล์เลส ด้วยเทคนิคที่ผสานทั้งโลกเก่าและเทคโนโลยีใหม่ที่ทันสมัยทำให้ได้การปกป้องเอนด์พอยต์ที่ครอบคลุม
ให้มุมมองข้อมูลที่นำไปใช้ประโยชน์ได้ สามารถสืบสวนได้อย่างมีประสิทธิภาพ รวมศูนย์การมองเห็นได้ผ่านชุดเครื่องมือ EDR, ชุด API แบบเปิด, และการผสานร่วมกับระบบ SIEM ที่มีประสิทธิภาพ รวมทั้งสืบสวนเพิ่มเติมจากเดิมด้วยการใช้บริการของ Trend Micro เพิ่มได้ด้วย
CrowdStrike Falcon Insight
ส่วนหนึ่งของโมเดล Falcon Endpoint Protection Enterprise ที่เป็นทั้งระบบข้อมูลภัยคุกคามอัจฉริยะ, NGAV, ค้นหาอันตรายเชิงรุก, และระบบปกป้องอุปกรณ์ยูเอสบี มาพร้อมแซนด์บ็อกซ์สำหรับวิเคราะห์อันตรายเชิงลึก
FireEye Endpoint Security
มีทั้ง NGAV, ตัวเอเจนต์ที่ใช้เอนจิ้นตรวจจับถึง 4 ตัว, และเป็นระบบ EDR พร้อมทั้งสภาพแวดล้อมที่ปลอดภัยสำหรับคัดแยก ทดสอบ และทำรายงานเกี่ยวกับไฟล์อันตรายที่ซับซ้อน มีฟีเจอร์วิเคราะห์มัลแวร์ที่เผยให้เห็นรายละเอียดวงจรชีวิตของการโจมตีด้วย
Cisco Secure Endpoint
ใช้การผสานความสามารถในการตรวจจับ ป้องกัน และค้นหาภัยคุกคามเชิงรุก การตอบสนองต่ออันตราย ทั้งหมดนี้รวมอยู่ในโซลูชั่นเดียว ใช้กลไกระบบวิเคราะห์ผ่านคลาวด์ ตัว Secure Endpoint นี้มีฟีเจอร์แซนด์บ็อกซ์มาด้วย
แซนด์บ็อกซ์นี้รันด้วย Cisco Threat Grid สำหรับศึกษากิจกรรมของไฟล์ต้องสงสัยโดยเฉพาะ ตัววิเคราะห์ไฟล์แบบไดนามิกก็ช่วยในการแสดงรายละเอียดเชิงลึกของไฟล์ต่างๆ ให้ ไม่ว่าจะเป็นชื่อเต็ม ความร้ายแรงของพฤติกรรม ตัวอย่างแพ๊กเก็ตข้อมูลที่จับมาได้ และภาพตัวอย่างการรันของมัลแวร์
ที่มา : GBHackers
