หมายเหตุ: เนื้อหาบางส่วนในบทความนี้มีการสอดแทรกความคิดเห็นส่วนตัวลงไป

Managed Detection & Response

  • เมื่อพูดถึงการให้บริการ MDR ที่ดี เรากำลังพูดถึง MDR ที่จะไม่สร้างการแจ้งเตือนที่ไม่มีประโยชน์และไม่สามารถนำไปสู่การ action อย่างเหมาะสมได้เหมือนกับบริการที่เป็นญาติใกล้ชิดกันอย่าง MSS(P) นั้นเป็นอยู่
  • ผู้ให้บริการ MDR ถูกคาดหวังว่าควรจะสร้างศักยภาพในการระบุหาและตรวจจับภัยคุกคาม “ได้ดีกว่า” ศักยภาพที่ลูกค้าจะทำได้ด้วยตัวเอง สามารถใช้เทคโนโลยีเป็นเครื่องมือในการให้ข้อมูลซึ่งจะถูกใช้ในการตัดสินใจ และมีความเป็นมืออาชีพมากพอที่จะตัดสินใจอย่างมีประสิทธิภาพในการตอบสนองต่อสถานการณ์
  • ในหลากหลายวิธีในการบริหารและจัดการทีมหรือกลุ่มคน การแบ่งทีมออกเป็นกลุ่มย่อย (ถูกเรียกว่า squad) เป็นหนึ่งในแนวทางที่รายงานมีการรระบุว่าประสิทธิภาพที่สุด การแบ่งออกเป็นกลุ่มย่อยอาศัยมุมมองของการแบ่งในลักษณะของการเป็น expertise ใน sector เฉพาะ (vertical expertise) หรืออาจแบ่งตามลักษณะทางภูมิศาสตร์หากมีการให้บริการในหลายประเทศ การแบ่งกลุ่มย่อยให้โอกาสที่กลุ่มย่อยนั้นจะโฟกัสไปที่ผู้ให้บริการในกลุ่มเดียวซึ่งเราต่างรู้ว่ามี security requirement, risks และ threat ที่ใกล้เคียงกัน แทนที่จะรับผิดชอบในแนวกว้างซึ่งอาจส่งผลให้ปัจจัยเหล่านี้แตกต่างกันออกไปและทำให้การควบคุมคุณภาพนั้นทำได้ยาก
  • หนึ่งกลุ่มย่อยจะประกอบไปด้วยหลายหน้าที่ซึ่งสามารถจัดการผู้ใช้บริการใน sector นั้นได้อย่างมีประสิทธิภาพ ซึ่งรวมไปถึงตำแหน่งอย่าง analyst, responder และ customer support specialist กลุ่มย่อยยังมีลักษณะของความเป็นรัฐเอกราชซึ่งแยกออกมาจากส่วนกลาง กลุ่มย่อยสามารถที่จะเลือกสมาชิกในกลุ่มที่มีคุณลักษณะที่เหมาะสมและสอดคล้องกับวัฒนธรรมของกลุ่มได้เอง รวมไปถึงมีความยืดหยุ่นในการตอบสนองความต้องการได้มากกว่าด้วย
  • กลุ่มผู้ใช้บริการตามที่ระบุ Forrester นั้นนอกเหนือจากคาดว่าให้บริการ MDR สามารถใช้เทคโนโลยีได้ดีกว่าการที่ผู้ใช้บริการจะเป็นผู้ใช้เทคโนโลยีเองแล้ว กลุ่มผู้ใช้บริการยังคาดหวังความเป็น expertise ของผู้ให้บริการซึ่งอาจจะแสดงออกผ่านทาง hunting methodology แบบต่างๆ รวมไปถึงความสามารถในการประยุกต์ใช้ “ข่าวกรอง” จาก threat intelligence จากผู้ใช้บริการอื่นหรือผู้ใช้บริการใดๆ มาใช้ร่วมกันในวงกว้างเพื่อให้เกิดประสิทธิภาพสูงสุดในการระบุหาและตรวจจับภัยคุกคาม
  • คนของผู้ให้บริการ MDR จะต้องตอบโจทย์สิ่งที่ขาดหายไปในคนของผู้ใช้บริการและประสานกับสิ่งที่มีอยู่ของผู้ใช้บริการได้ ผู้ให้บริการ MDR จะต้องเข้าใจเทคโนโลยีของผู้ใช้บริการรวมไปถึงมีความเชี่ยวชาญที่เฉพาะตามความเสี่ยงและลักษณะของภัยคุกคามที่ผู้ใช้บริการเจอ พร้อมทั้งสามารถตอบสนองได้เสมือนกับเป็นทีมของผู้ใช้บริการเอง
  • Expel ซึ่งเป็น leader ในการประเมินในครั้งนี้นอกจากจะถูกพูดถึงในด้านความเป็นเลิศของเทคโนโลยี การทำ PR ของ Expel ก็เป็นคีย์หลักที่แสดงให้เห็นถึงการเป็น elite practitioner ตัวจริง (ประเด็นนี้สามารถพิสูจน์ได้จริงๆ จากการติดตามทวิตเตอร์หรือคนในทีมของ Expel) Forrester พูดถึงบล็อกของ Expel ซึ่งมีประเด็นครอบคลุมทั้งในเรื่อง Cloud detection technique, ปัจจัยการประเมินประสิทธิภาพ SOC หรือแม้กระทั่งประเด็นการ burnout ของบุคลากรซึ่งพิสูจน์ถึงความ dedication ต่อ community
  • ประเด็นซึ่งน่าสนใจอย่างหนึ่งของการเป็นผู้ให้บริการ MDR ที่ proactive ใน industry คือความสามารถในรองรับเทคโนโลยีที่หลากหลาย มันไม่ยากที่จะสังเกตเห็นแบบผมถึงกลุ่มของบริการ 2 ลักษณะซึ่งนำไปสู่การระบุถึงจุดแข็ง จุดอ่อนและแนวทางในการพัฒนาดังนี้
    • กลุ่มผู้ให้บริการ MDR ซึ่งเป็นเจ้าของเทคโนโลยี กลุ่มผู้ให้บริการกลุ่มนี้ไม่ลังเลที่จะใช้ข้อได้เปรียบในด้านความเร็วในการประยุกต์ใช้เทคโนโลยีเพื่อยืนในตลาด จุดแข็งของผู้ให้บริการในกลุ่มนี้แทบจะเป็นประเด็นเดียวกับจุดอ่อนคือเทคโนโลยีซึ่งผูกติดอยู่กับบริการ ตราบใดที่เทคโนโลยียังคงก้าวด้วยความเร็วที่เหมาะสม เร็วมากพอที่จะชดเชยหรือทดแทนข้อด้อยของเทคโนโลยีของคู่แข่ง บริการ MDR ในลักษณะนี้ก็ยังคงปกปิดจุดอ่อนด้วยจุดแข็งของตนเองได้อย่างมิดชิด
    • กลุ่มผู้ให้บริการ MDR ซึ่งไม่ได้เป็นเจ้าของเทคโนโลยีเอง ซึ่งอาจด้วยศักยภาพที่ไม่เพียงพอที่จะเป็นเจ้าของเทคโนโลยี แต่อาศัยการมีและใช้ “ห้องเครื่อง” ของผู้อื่นจากนั้นจึงนำมา top up ด้วยปัจจัยด้านอื่น เช่น threat intelligence หรือ expertise ของคน ผมมีความเชื่อส่วนตัวว่ากลุ่มผู้ให้บริการ MDR ในลักษณะนี้นั้นเสียเปรียบตั้งแต่ต้น และการจะพลิกขึ้นมาได้เปรียบหรือมีข้อดีขึ้นมาได้นั้นเป็นเรื่องที่ยาก ซึ่งผมจะขอพูดถึงประเด็นนี้ต่อในหัวข้อถัดไป
  • กลุ่มผู้ให้บริการ MDR ซึ่งไม่ได้เป็นเจ้าของเทคโนโลยีนั้นติดอยู่ในกับดักซึ่งทำให้ตนเองอยู่ในจุดที่เสียเปรียบตั้งแต่ต้นด้วยประเด็นดังต่อไปนี้
    • ด้วยมูลค่าต่อหน่วยของเทคโนโลยีซึ่งสูงกว่าหลายเท่าหากเทียบกับเทคโนโลยีการรักษาความปลอดภัย Endpoint ในยุคก่อนหน้า ประเด็นแรกที่กลุ่มผู้ให้บริการ MDR ซึ่งไม่ได้เป็นเจ้าของเทคโนโลยีเองนั้นจะถูกท้าทายไม่ได้มาจากคู่แข่ง แต่มาจากตลาดและผู้ใช้บริการ
    • และด้วยมูลค่าของเทคโนโลยี กลุ่มผู้ให้บริการ MDR ซึ่งไม่ได้เป็นเจ้าของเทคโนโลยีเองนั้นแทบจะถูกบังคับให้ถูกผูกติดกับเทคโนโลยีใดเทคโนโลยีหนึ่งในช่วงเริ่มต้นเช่นเดียวกับกลุ่มของผู้ให้บริการ MDR ซึ่งเป็นเจ้าของเทคโนโลยีเอง อย่างไรก็ตามแม้จะตกอยู่ในจุดเสี่ยงเดียวกัน การเป็นเจ้าของเทคโนโลยีก็ย่อมได้เปรียบมากกว่าผู้ที่ไม่ได้เป็นเจ้าของเทคโนโลยี ผ่านการแสดงความสามารถในการใช้เทคโนโลยีซึ่งผู้พัฒนารู้ดีกว่าผู้นำมาขายต่อ
    • ทางรอดที่เป็นไปได้อย่างหนึ่งนั้นมาในลักษณะของกลุ่มผู้ให้บริการอย่าง Expel, Red Canary, Secureworks, หรือ NCC Group คือการปิดจุดอ่อนของเทคโนโลยีที่ผูกติดอยู่ด้วยเทคโนโลยีตัวอื่น กลยุทธ์ในลักษณะนี้จำเป็นต้องใช้ต้นทุนเป็นอย่างมากในการขยายความสามารถของบริการให้รองรับเทคโนโลยี EDR มากกว่าหนึ่งรายการ และในขณะเดียวกันการเชื่อมเทคโนโลยีทั้งหมดเข้าด้วยก็จำเป็นต้องอาศัยความสามารถทางด้านวิศวกรรมเข้ามาประกอบด้วย
    • อีกหนึ่งทางรอดที่เป็นไปได้ในกรณีนี้นั้นคือการทำตัวเป็น MDR squad team ซึ่งมี vertical expertise ที่ชัดเจน การมีความโดดเด่นในด้าน methodolgy หรือการให้บริการได้อย่างมีประสิทธิภาพอาจด้วยข้อได้เปรียบทางด้านภาษาหรือเวลา อาจเป็นช่วยที่ชดเชยจุดอ่อนทางด้านเทคโนโลยีได้ แต่สุดท้ายนั่นก็ไม่ได้เป็นการแก้จุดอ่อนที่ตรงประเด็นอยู่ดี

External Threat Intelligence Services

  • คำว่า threat intelligence เป็นมากกว่าแค่ feed ของ indicator of comprose (IOC) มานานแล้ว และยังคงเป็นอยู่
  • ข้อได้เปรียบซึ่งเห็นได้อย่างชัดเจนอย่างหนึ่งในตลาดของบริการ threat intelligence นั้นคือความสามารถในการเข้าถึงแหล่งข่าวต้นตอได้ หรือในบางครั้งนั้นแหล่งข่าวก็ปรากฎในลักษณะของข้อมูลจากการทำ incident response การเข้าถึงแหล่งข่าวต้นตอได้นั้นการันตีได้ถึงความรวดเร็วในการที่จะรู้ข่าวก่อน รวมไปถึงความยืดหยุ่นที่จะมีต่อแนวทางในการตอบสนองข่าวนั้น
  • บริการ threat intelligence ซึ่งมักจะได้รับความสนใจนั้นจะต้องมีความสามารถในการจบสถานการณ์บางอย่างได้ด้วยตัวเอง เช่น การให้บริการในการ take down ซึ่งในบางครั้งมักถูกโฆษณาในลักษณะของบริการ brand reputation อย่างไรก็ตามข้อ concern ในประเด็นนี้อยู่ที่ความน่าเชื่อถือของบริการด้วย ในบางครั้งการหาหลักฐานยืนยันว่าการ take down ได้เกิดขึ้นจริงนั้นก็เป็นเรื่องที่ยาก จุดบอดในประเด็นของการพิสูจน์นี้อาจถูกมาใช้ในการเอาเปรียบผู้ใช้บริการโดยการนำเสนอผลลัพธ์ของบริการที่ไม่เป็นจริงได้
  • บริการ threat intelligence กำลังก้าวข้ามมาพบกับบริการด้าน vulnerability management ซึ่งไม่เพียงแค่เข้าถึงและส่งต่อข้อมูลจาก NVD ที่ทุกคนสามารถเข้าถึงได้อยู่แล้ว แต่เป็นการนำข้อมูลที่เกี่ยวข้องกับการเกิดขึ้นของช่องโหว่นั้นมาช่วยสนับสนุนและให้คำแนะนำในการตัดสินใจเพื่อลดความเป็นไปได้และความเสี่ยงที่ช่องโหว่เหล่านั้นจะถูกนำมาใช้เพื่อโจมตี

References