คำสั่งผู้บริหารด้านไซเบอร์ในเดือนพฤษภาคม 2564 บอกกับหน่วยงานต่าง ๆ ว่าพวกเขา “จะใช้การริเริ่มการตรวจจับและตอบสนองปลายทาง (EDR) เพื่อสนับสนุนการตรวจจับเชิงรุกของเหตุการณ์ความปลอดภัยทางไซเบอร์ภายในโครงสร้างพื้นฐานของรัฐบาลกลาง การตามล่าทางไซเบอร์ที่ใช้งานอยู่ การกักกันและการแก้ไข และเหตุการณ์ที่เกิดขึ้น การตอบสนอง.”คำแนะนำจาก Office of Management and Budget ให้รายละเอียดเพิ่มเติมว่าข้อกำหนดในการบอกหน่วยงานต่างๆ
จะต้องตรวจสอบให้แน่ใจว่าเครื่องมือ EDR
ของตนเป็นไปตามข้อกำหนดด้านเทคนิคของ Cybersecurity and Infrastructure Security Agency (CISA) และนำไปใช้ทั่วทั้งองค์กร
OMB กล่าวว่าแนวทางนี้มีจุดมุ่งหมายเพื่อรักษาความหลากหลายของเครื่องมือ EDR ที่แตกต่างกันทั่วทั้งรัฐบาลที่สามารถสนับสนุนหน่วยงานในสภาพแวดล้อมทางเทคโนโลยีที่แตกต่างกัน ในขณะเดียวกันก็สร้างพื้นฐานข้อมูลเชิงลึกเกี่ยวกับกิจกรรมทั่วทั้งหน่วยงานพลเรือนของรัฐบาลกลาง
Ken Kartsen รองประธานอาวุโสฝ่ายภาครัฐของ Trellix กล่าวว่าหน่วยงานต่าง ๆ มีความต้องการและโอกาสที่จะใช้ความสามารถขั้นสูง เช่น การตรวจจับและตอบสนองปลายทาง (EDR) และการตรวจจับและการตอบสนองแบบขยาย (XDR) เพื่อปรับปรุงการป้องกันการโจมตีทางไซเบอร์จากประเทศ รัฐและศัตรูของต่างประเทศ
“พวกเขาสามารถใช้เทคโนโลยีที่ก้าวหน้ากว่าและสามารถช่วยให้เห็นตัวบ่งชี้ที่สำคัญและตอบสนองต่อการโจมตีได้อย่างแท้จริงในขณะ ที่พวกเขากำลังเคลื่อนไหว” Kartsen กล่าวในการอภิปรายเรื่อง Evolution of Detection and Response in the Public Sector “ในขณะที่ EDR อยู่ที่จุดสิ้นสุด มันคือการตรวจจับและมันคือการตอบสนอง ในขณะที่ XDR
อยู่ในเฟรมเวิร์กของศูนย์ปฏิบัติการด้านความปลอดภัย (SOC)
ที่ช่วยให้ตรวจจับได้ทั่วทั้งโครงสร้างพื้นฐานระบบคลาวด์ เครือข่ายและจุดสิ้นสุดของคุณเพื่อตอบสนองผ่านเครื่องมือใดๆ ที่คุณอาจลงทุนไปแล้ว และการมีระบบนิเวศที่ใช้ประโยชน์จากการลงทุนก่อนหน้านี้ สำคัญจริงๆ เพราะเท่าที่เราพูดถึงการรีเฟรชเทคโนโลยีและการทำให้ทันสมัย ความจริงก็คือ คุณจะมีโครงสร้างพื้นฐานแบบเดิมอยู่เสมอ”
กระจกบานเดียว
นี่คือเหตุผลที่เอเจนซีจำเป็นต้องตรวจสอบให้แน่ใจว่าความสามารถของ EDR และ XDR สามารถรวมเข้ากับเทคโนโลยีเดิมนั้นได้อย่างง่ายดาย และดึงข้อมูลเข้าสู่แดชบอร์ดทั่วไป
การรวมเครื่องมือและการมีกระจกบานเดียวสำหรับข้อมูลไซเบอร์เป็นส่วนหนึ่งของวิธีการที่เอเจนซีกำลังสร้างสถาปัตยกรรมแบบ Zero Trust
Kartsen กล่าวว่าหน่วยงานต่างๆ จำเป็นต้องให้ความสำคัญกับการปกป้องอุปกรณ์ปลายทาง เพราะนั่นคือที่ที่มีข้อมูลสำคัญอาศัยอยู่ และผู้โจมตีจะใช้ความพยายามอย่างเต็มที่ในการพยายามเจาะระบบ
Britt Norwood รองประธานอาวุโสฝ่ายช่องทางสากลของ Trellix กล่าวว่า เช่นเดียวกับภาคส่วนของรัฐบาลกลาง บริษัทเชิงพาณิชย์เริ่มดำเนินการเพื่อปกป้องอุปกรณ์ปลายทางและข้อมูลของตน
Norwood กล่าวว่าการพึ่งพาความสามารถเชิงพาณิชย์ขั้นสูงไม่ว่าจะในภาคเอกชนหรือภาครัฐ ส่วนหนึ่งเป็นผลมาจากตลาดที่ตึงตัวสำหรับพนักงานที่มีทักษะทางไซเบอร์
“มันเป็นการขาดแคลนความสามารถอย่างแท้จริง มีงานด้านความปลอดภัยในโลกไซเบอร์ที่ยังไม่ได้รับงาน 2.5 ล้านตำแหน่งในขณะนี้ และช่องว่างดังกล่าวนับวันจะยิ่งแย่ลงเรื่อยๆ” เขากล่าว “งานจำนวนมากที่คุณจะได้เห็นในช่วงหลายปีที่ผ่านมา โดยเฉพาะอย่างยิ่งในโลกข่าวกรองภัยคุกคาม คือสิ่งที่เราสามารถทำให้เป็นอัตโนมัติได้? การวิเคราะห์การบันทึกการค้นพบครั้งแรกจำนวนมากจะได้รับการทำงานโดยอัตโนมัติเมื่อเวลาผ่านไป ซึ่งจะช่วยในเรื่องช่องว่างของความสามารถนั้น แต่เบื้องหลังนั้น เมื่อมีการตามล่าภัยคุกคามและพยายามค้นหาว่าจริงๆ แล้วเกิดอะไรขึ้น ใครโจมตีคุณ และพวกเขามาจากไหน จะมีความจำเป็นในหลายๆ ด้านสำหรับการเสริมบริการดังกล่าว ”
credit: pescalluneslanparty.com sfery.org planesyplanetas.com vosoriginesyourroots.com citadelindustry.com tomklaasen.net tglsys.net nezavisniprostor.net greensys2013.org northpto.org
