EDR ย่อมาจาก Endpoint Detection and Response (การตรวจจับและการตอบสนองปลายทาง) เป็นเทคโนโลยีความปลอดภัยไซเบอร์ที่สำคัญมากในปัจจุบันครับ
EDR เป็นโซลูชันที่ถูกออกแบบมาเพื่อ ยกระดับการป้องกันภัยคุกคาม บนอุปกรณ์ปลายทาง (Endpoint) ภายในองค์กรให้เหนือกว่าโปรแกรม Antivirus ทั่วไป
🎯 EDR คืออะไร?
EDR คือระบบที่ทำงานโดยการติดตั้งซอฟต์แวร์ขนาดเล็ก (Agent) บนอุปกรณ์ปลายทางทุกเครื่องที่เชื่อมต่อกับเครือข่ายขององค์กร เช่น คอมพิวเตอร์ตั้งโต๊ะ โน้ตบุ๊ก เซิร์ฟเวอร์ และอุปกรณ์มือถือ
หน้าที่หลักของ EDR คือการ เฝ้าระวัง บันทึกกิจกรรม และ วิเคราะห์พฤติกรรม ที่เกิดขึ้นบนอุปกรณ์เหล่านั้นอย่างต่อเนื่อง เพื่อตรวจจับภัยคุกคามที่ไม่รู้จักหรือไม่เคยพบมาก่อน (Zero-day attacks) ที่หลุดรอดจากแนวป้องกันชั้นแรกๆ เข้ามา
📝 หน้าที่หลัก 4 ประการของ EDR
| หน้าที่ | คำอธิบาย |
| 1. Detection (การตรวจจับ) | ตรวจจับกิจกรรมที่น่าสงสัยและพฤติกรรมที่ผิดปกติแบบเรียลไทม์ เช่น การเปลี่ยนแปลง Registry ที่ไม่ได้รับอนุญาต, การเรียกใช้ Process ที่ซ่อนตัว, หรือการโจมตีแบบไร้ไฟล์ (Fileless Attacks) โดยใช้ Machine Learning และ Behavioral Analytics |
| 2. Investigation (การตรวจสอบ) | เก็บรวบรวมและบันทึกข้อมูลกิจกรรมทั้งหมดบน Endpoint ไว้ในฐานข้อมูลกลาง เพื่อให้นักวิเคราะห์ความปลอดภัยสามารถสืบสวนหาสาเหตุของการโจมตี (Root Cause Analysis) ได้อย่างละเอียด |
| 3. Response (การตอบสนอง) | เมื่อตรวจพบภัยคุกคาม EDR สามารถดำเนินการตอบสนองได้ทันที เช่น การกักกัน (Quarantine) ไฟล์ที่ติดเชื้อ, การหยุด (Terminate) Process ที่เป็นอันตราย, หรือ การตัดขาด (Isolate) อุปกรณ์ที่ถูกโจมตีออกจากเครือข่าย เพื่อป้องกันการแพร่กระจายของมัลแวร์ |
| 4. Hunting (การล่าภัยคุกคาม) | ช่วยให้นักวิเคราะห์ความปลอดภัยสามารถค้นหาและตรวจสอบภัยคุกคามที่อาจจะซ่อนตัวอยู่ในเครือข่ายแล้วแต่ยังไม่ถูกตรวจจับ (Proactive Threat Hunting) โดยการตั้งสมมติฐานและสืบค้นข้อมูลกิจกรรมย้อนหลัง |
🆚 EDR ต่างจาก Antivirus (AV) อย่างไร?
| คุณสมบัติ | Antivirus (AV) แบบดั้งเดิม | Endpoint Detection and Response (EDR) |
| จุดเน้นหลัก | การป้องกันมัลแวร์ที่รู้จัก (Signature-based) | การตรวจจับและตอบสนองต่อภัยคุกคาม ที่ไม่รู้จัก และการโจมตีขั้นสูง |
| การทำงาน | สแกนไฟล์ และบล็อกภัยคุกคามตามฐานข้อมูล (Signatures) | เฝ้าระวังและบันทึกกิจกรรม ตลอดเวลาเพื่อวิเคราะห์พฤติกรรม |
| การตอบสนอง | ลบหรือกักกันไฟล์ที่ตรวจพบ | กักกันอุปกรณ์, หยุด Process อันตราย, ให้เครื่องมือสืบสวน (Forensics) |
ไม่มีความคิดเห็น:
แสดงความคิดเห็น