จุดบอดของ MDR: ทำไมการแจ้งเตือนที่สำคัญยังคงเล็ดลอดไปได้ และราคาที่ CISO ต้องจ่าย

คำมั่นสัญญาของ Managed Detection and Response (MDR) นั้นชัดเจน: การเฝ้าระวังความปลอดภัยขององค์กรตลอด 24 ชั่วโมงทุกวันโดยผู้เชี่ยวชาญ ช่วยลดภาระอันมหาศาลในการสร้างและจัดหาบุคลากรสำหรับศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) ภายในองค์กร อย่างไรก็ตาม รูปแบบเหตุการณ์ที่น่ากังวลได้เกิดขึ้น เผยให้เห็นว่าแม้จะมีการลงทุนจำนวนมากใน MDR การแจ้งเตือนที่สำคัญก็ยังคงถูกมองข้าม นำไปสู่การละเมิดข้อมูลเป็นเวลาหลายวันพร้อมผลกระทบที่สำคัญ นี่ไม่ใช่ข้อบกพร่องที่แยกจากกัน แต่เป็นความท้าทายเชิงระบบที่มีรากฐานมาจากปริมาณและความซับซ้อนของภูมิทัศน์ภัยคุกคามสมัยใหม่

เกิดอะไรขึ้น

สถานการณ์ที่เกิดขึ้นซ้ำๆ นั้นสอดคล้องกันอย่างน่าตกใจ: องค์กรทำสัญญากับผู้ให้บริการ MDR เพื่อการตรวจจับและตอบสนองต่อภัยคุกคามอย่างครอบคลุม การโจมตีเริ่มต้นขึ้น สร้างการแจ้งเตือนภายในโครงสร้างพื้นฐานด้านความปลอดภัย อย่างไรก็ตาม การแจ้งเตือนที่สำคัญเหล่านี้ ซึ่งบ่งชี้ถึงระยะเริ่มต้นของการบุกรุกหรือกิจกรรมที่คงอยู่ ไม่ได้รับการยกระดับ ไม่ได้รับการจัดลำดับความสำคัญ หรือเพียงแค่ไม่ได้รับการตรวจสอบ ผู้โจมตีที่ไร้สิ่งกีดขวางยังคงดำเนินการต่อไปเป็นเวลาหลายวัน บางครั้งเป็นสัปดาห์ ก่อนที่การละเมิดจะถูกตรวจพบในที่สุด บ่อยครั้งโดยบุคคลภายนอก หรือผ่านผลกระทบที่ร้ายแรง รูปแบบนี้ตอกย้ำช่องว่างที่สำคัญในการเฝ้าระวังตลอด 24 ชั่วโมงทุกวันที่คาดหวังจากบริการ MDR

การวิเคราะห์บางส่วนชี้ให้เห็นว่าการแจ้งเตือนจำนวนมากอาจไม่ได้รับการตรวจสอบในองค์กรขนาดใหญ่ นี่บ่งชี้ถึงปัญหาพื้นฐานที่สำคัญ – ข้อมูล telemetry ด้านความปลอดภัยจำนวนมากที่สามารถครอบงำแม้แต่การปฏิบัติงานที่ซับซ้อนซึ่งนำโดยมนุษย์ เมื่อการแจ้งเตือนที่ออกแบบมาเพื่อส่งสัญญาณการบุกรุกถูกมองข้ามอย่างต่อเนื่อง ประสิทธิภาพของกรอบการตรวจจับและตอบสนองทั้งหมดก็จะถูกบั่นทอนอย่างรุนแรง

ทำไมรูปแบบนี้จึงเกิดขึ้นซ้ำๆ

ปรากฏการณ์การแจ้งเตือนที่พลาดไป โดยเฉพาะอย่างยิ่งการแจ้งเตือนที่อนุญาตให้มีการละเมิดข้อมูลเป็นเวลาหลายวัน ส่วนใหญ่เกิดจากความเหนื่อยล้าจากการแจ้งเตือน (alert fatigue) นี่ไม่ใช่แค่ปัญหามนุษย์เท่านั้น แต่เป็นปัญหาทางสถาปัตยกรรม ความเหนื่อยล้าจากการแจ้งเตือนเกิดขึ้นจากปัจจัยที่เชื่อมโยงกันหลายประการ ประการแรก การกระจายตัวของเครื่องมือ: องค์กรมักจะปรับใช้เครื่องมือรักษาความปลอดภัยจำนวนมาก ซึ่งแต่ละเครื่องมือจะสร้างกระแสการแจ้งเตือนของตัวเอง บ่อยครั้งที่มีข้อมูลที่ทับซ้อนกันหรือขัดแย้งกัน สิ่งนี้สร้างเสียงรบกวนจากการแจ้งเตือนที่นักวิเคราะห์ความปลอดภัยต้องคัดกรอง

ประการที่สอง ข้อมูล telemetry และการแจ้งเตือนที่ไม่ผ่านการกรอง: ระบบจำนวนมากได้รับการกำหนดค่าให้จับภาพข้อมูลจำนวนมหาศาลโดยไม่มีการประมวลผลล่วงหน้าหรือการจัดลำดับความสำคัญที่เพียงพอ สิ่งนี้นำไปสู่การแจ้งเตือนที่มีความแม่นยำต่ำจำนวนมากที่กลบสัญญาณที่สำคัญอย่างแท้จริง สิ่งที่ซับซ้อนยิ่งกว่านั้นคืออัตราการแจ้งเตือนที่ผิดพลาดสูง ซึ่งพฤติกรรมของระบบที่ถูกต้องตามกฎหมายถูกตั้งค่าสถานะว่าน่าสงสัย ทำให้ความรู้สึกของนักวิเคราะห์ต่อภัยคุกคามที่แท้จริงลดลง องค์ประกอบของมนุษย์มีความสำคัญ แต่ก็สามารถกลายเป็นคอขวดได้เมื่อเผชิญกับคิวการแจ้งเตือนที่ไม่สามารถจัดการได้ ซึ่งนำไปสู่การแจ้งเตือนที่สำคัญที่พลาดไปและการตอบสนองต่อเหตุการณ์ที่ล่าช้า การหมดไฟที่เพิ่มขึ้นและการลาออกในหมู่นักวิเคราะห์ความปลอดภัยเนื่องจากแรงกดดันที่ไม่หยุดยั้งนี้ยิ่งทำให้ปัญหาแย่ลงไปอีก

กลยุทธ์ของผู้โจมตีทีละขั้นตอน

ผู้โจมตีตระหนักถึงช่องโหว่เหล่านี้อย่างเฉียบขาดและใช้ประโยชน์จากมันอย่างเป็นระบบ กลยุทธ์ของพวกเขามักจะเริ่มต้นด้วยการเข้าถึงเบื้องต้น โดยใช้ฟิชชิ่ง ช่องโหว่ที่ยังไม่ได้รับการแก้ไข หรือข้อมูลประจำตัวที่ถูกบุกรุก เมื่อเข้ามาได้แล้ว พวกเขาจะเคลื่อนไหวอย่างช้าๆ และเจตนา การกระทำเริ่มต้นของพวกเขา – การสอดแนม การยกระดับสิทธิ์ หรือการสร้างความคงอยู่ – อาจสร้างการแจ้งเตือนที่มีปริมาณน้อยหรือไม่ชัดเจน ซึ่งแต่ละรายการไม่ได้บ่งบอกถึง “การละเมิด” อย่างชัดเจน อย่างไรก็ตาม การแจ้งเตือนที่ดูเหมือนไม่มีอันตรายเหล่านี้ เมื่อเชื่อมโยงกันแล้ว จะแสดงภาพความตั้งใจที่เป็นอันตรายที่ชัดเจนยิ่งขึ้น

เมื่อรู้ว่าการแจ้งเตือนจำนวนมากอาจไม่ได้รับการตรวจสอบ ผู้โจมตีสามารถดำเนินการได้อย่างมั่นใจในระดับหนึ่งว่าการตรวจสอบเบื้องต้นและการเคลื่อนไหวภายในเครือข่ายของพวกเขาอาจไม่กระตุ้นการตอบสนองของมนุษย์ที่มีความสำคัญสูงในทันที พวกเขาใช้ประโยชน์จากความล่าช้าระหว่างการสร้างการแจ้งเตือนและการตรวจสอบ โดยใช้ช่องว่างนี้เพื่อเสริมความแข็งแกร่งในการเข้าถึง ขโมยข้อมูลทีละน้อย หรือเตรียมการสำหรับขั้นตอนที่มีผลกระทบมากขึ้น เช่น การปรับใช้ ransomware การละเมิดข้อมูลเป็นเวลาหลายวันไม่ใช่เรื่องบังเอิญ แต่มักเป็นผลจากการที่ผู้โจมตีอดทนฝ่าฟันเสียงรบกวนและการแจ้งเตือนที่มากเกินไปซึ่งเป็นลักษณะเฉพาะของสภาพแวดล้อมความปลอดภัยขององค์กรจำนวนมาก

สิ่งที่ผู้ป้องกันพลาดไป

ผู้ป้องกัน หรือที่แม่นยำกว่านั้นคือบริการ MDR ที่พวกเขาพึ่งพา มักจะมองไม่เห็นภาพรวมทั้งหมด ความล้มเหลวหลักไม่จำเป็นต้องเป็นการขาดเทคโนโลยีการตรวจจับ แต่เป็นการขาดการจัดลำดับความสำคัญและการเชื่อมโยงที่มีประสิทธิภาพ การแจ้งเตือนแต่ละรายการอาจมีอยู่ในระบบ แต่นักวิเคราะห์ที่เป็นมนุษย์ซึ่งมีภาระจากความเหนื่อยล้าจากการแจ้งเตือน อาจมองข้ามหรือตีความความสำคัญที่รวมกันอย่างผิดพลาด สิ่งนี้นำไปสู่การแจ้งเตือนที่สำคัญที่พลาดไป และส่งผลให้การตอบสนองต่อเหตุการณ์ล่าช้า อันตรายในที่นี้มีมากมาย: การตอบสนองที่ล่าช้าสามารถเพิ่มความเสียหายและค่าใช้จ่ายของการละเมิดข้อมูลได้อย่างทวีคูณ เปลี่ยนเหตุการณ์ที่ถูกควบคุมให้กลายเป็นวิกฤตการณ์เต็มรูปแบบ

ปัญหาหลักอยู่ที่ความไม่สามารถแยกแยะระหว่างเสียงรบกวนที่ไม่เป็นอันตรายและตัวบ่งชี้ภัยคุกคามที่แท้จริงได้อย่างสม่ำเสมอในขนาดและความเร็วที่เหมาะสม แม้ว่า MDR จะรวมเทคโนโลยีการตรวจจับ ข้อมูลภัยคุกคาม และนักวิเคราะห์ที่เป็นมนุษย์เข้าด้วยกัน แต่องค์ประกอบของมนุษย์ก็สามารถถูกครอบงำด้วยปริมาณมหาศาลได้ การมุ่งเน้นมักจะอยู่ที่การวิเคราะห์เชิงรับของการแจ้งเตือนแต่ละรายการมากกว่าการล่าหาอย่างแข็งขันสำหรับรูปแบบที่ละเอียดอ่อนและเชื่อมโยงกันของกิจกรรมที่เป็นอันตรายที่อาจกินเวลาหลายวันหรือหลายสัปดาห์ สิ่งนี้ทำให้ผู้โจมตีสามารถรักษาสภาพแวดล้อมที่ซ่อนเร้นและบรรลุวัตถุประสงค์ของพวกเขาได้เป็นเวลานาน

ปริมาณการแจ้งเตือนด้านความปลอดภัยที่มหาศาล ซึ่งมักจะไม่มีการจัดลำดับความสำคัญและมีอัตราการแจ้งเตือนที่ผิดพลาดสูง ได้สร้างความได้เปรียบเชิงกลยุทธ์ให้กับผู้โจมตีที่อดทนโดยไม่ตั้งใจ เปลี่ยนคำมั่นสัญญา 24/7 ของ MDR ให้กลายเป็นการตอบสนองที่ล่าช้าในการปฏิบัติจริง

รายการตรวจสอบการป้องกันเชิงปฏิบัติ

เพื่อลดความเสี่ยงของการแจ้งเตือนที่พลาดไปและการละเมิดข้อมูลเป็นเวลาหลายวัน CISO และวิศวกรความปลอดภัยควรใช้กลยุทธ์ที่หลากหลาย:

• ปรับเกณฑ์และกฎการแจ้งเตือนให้เหมาะสม: ตรวจสอบและปรับแต่งการกำหนดค่าเครื่องมือรักษาความปลอดภัยอย่างต่อเนื่องเพื่อลดการแจ้งเตือนที่ผิดพลาดและเพิ่มอัตราส่วนสัญญาณต่อเสียงรบกวนของการแจ้งเตือน มุ่งเน้นไปที่ตัวบ่งชี้การบุกรุกที่มีความแม่นยำสูง
• ใช้กรอบการจัดลำดับความสำคัญของการแจ้งเตือนที่แข็งแกร่ง: พัฒนาและบังคับใช้แผนการจัดลำดับความสำคัญที่ชัดเจนและเป็นอัตโนมัติ ซึ่งจะยกระดับการแจ้งเตือนที่สำคัญอย่างแท้จริงตามบริบท ความสำคัญของสินทรัพย์ และข้อมูลภัยคุกคาม
• รวมและผสานรวมข้อมูล telemetry ด้านความปลอดภัย: มุ่งสู่มุมมองที่เป็นหนึ่งเดียวของข้อมูลความปลอดภัย โดยรวมการแจ้งเตือนจากเครื่องมือต่างๆ เข้ากับ SIEM หรือ data lake ส่วนกลางเพื่อเปิดใช้งานการเชื่อมโยงข้ามแพลตฟอร์ม
• ทดสอบประสิทธิภาพของ MDR อย่างสม่ำเสมอ: ดำเนินการทดสอบการเจาะระบบและการฝึกซ้อม red team ที่สมจริงเป็นระยะๆ ซึ่งออกแบบมาโดยเฉพาะเพื่อกระตุ้นการแจ้งเตือนและประเมินความสามารถในการตรวจจับและตอบสนองของผู้ให้บริการ MDR
• มุ่งเน้นที่การวิเคราะห์พฤติกรรม: ก้าวข้ามการตรวจจับตามลายเซ็นเพื่อใช้ประโยชน์จากการวิเคราะห์พฤติกรรมที่สามารถระบุกิจกรรมของผู้ใช้หรือระบบที่ผิดปกติซึ่งบ่งบอกถึงภัยคุกคามขั้นสูง แม้จะมีการแจ้งเตือนที่มีปริมาณน้อย
• เพิ่มขีดความสามารถในการล่าภัยคุกคาม: เสริมการตรวจจับอัตโนมัติด้วยการล่าภัยคุกคามเชิงรุกที่นำโดยมนุษย์เพื่อค้นหาตัวบ่งชี้การบุกรุกที่ละเอียดอ่อนที่อาจเล็ดลอดระบบอัตโนมัติไปได้
• สร้างโปรโตคอลการสื่อสารที่ชัดเจนกับ MDR: กำหนด SLA ที่เข้มงวดสำหรับการตรวจสอบและการตอบสนองต่อการแจ้งเตือน เพื่อให้มั่นใจถึงเส้นทางการยกระดับที่รวดเร็วสำหรับเหตุการณ์สำคัญและวงจรข้อเสนอแนะที่ชัดเจนสำหรับการปรับปรุงอย่างต่อเนื่อง

การทดสอบเชิงรุกสมัยใหม่จะตรวจจับสิ่งนี้ได้อย่างไร

ปัญหาการแจ้งเตือนที่พลาดไปอย่างต่อเนื่องเน้นย้ำถึงความจำเป็นที่สำคัญสำหรับการตรวจสอบการควบคุมความปลอดภัยเชิงรุก นี่คือจุดที่การทดสอบเชิงรุกสมัยใหม่ โดยเฉพาะอย่างยิ่งการทดสอบเชิงรุกอัตโนมัติด้วย Proof-of-Concepts (PoCs) ที่สามารถดำเนินการได้ กลายเป็นสิ่งจำเป็น การทดสอบการเจาะระบบแบบดั้งเดิมแม้จะมีคุณค่า แต่ก็ให้ภาพรวมในช่วงเวลาหนึ่ง สิ่งที่จำเป็นคือการทดสอบอย่างต่อเนื่องและปรับตัวได้ซึ่งสะท้อนวิธีการของผู้โจมตีในโลกแห่งความเป็นจริง

แพลตฟอร์มที่ดำเนินการทดสอบเชิงรุกอัตโนมัติด้วย PoCs ที่สามารถดำเนินการได้สามารถแก้ไขปัญหานี้ได้โดยตรง แทนที่จะเพียงแค่จำลองการโจมตี แพลตฟอร์มเหล่านี้จะดำเนินการเทคนิคการโจมตีในโลกแห่งความเป็นจริงกับระบบป้องกันขององค์กร รวมถึงบริการ MDR ขององค์กร กระบวนการตรวจสอบอย่างต่อเนื่องนี้จะสร้างการแจ้งเตือนที่ผู้โจมตีมักจะกระตุ้น โดยการสังเกตว่าการแจ้งเตือนที่สร้างโดย PoC ที่สามารถดำเนินการได้เหล่านี้ถูกตรวจพบ จัดลำดับความสำคัญ และดำเนินการโดยผู้ให้บริการ MDR ภายในกรอบเวลาที่ยอมรับได้หรือไม่ องค์กรจะได้รับข้อมูลเชิงลึกแบบเรียลไทม์เกี่ยวกับจุดบอดที่อาจเกิดขึ้น แนวทางนี้จะทดสอบห่วงโซ่การตรวจจับและการตอบสนองทั้งหมดได้อย่างมีประสิทธิภาพ โดยระบุว่าการแจ้งเตือนถูกพลาดไปหรือจัดการผิดพลาดที่ใด ก่อนที่ผู้ไม่หวังดีตัวจริงจะใช้ประโยชน์จากจุดอ่อนเหล่านั้น

สิ่งที่ต้องจับตาดูต่อไป

ภูมิทัศน์ความปลอดภัยทางไซเบอร์กำลังพัฒนาอย่างรวดเร็ว โดยทั้งผู้โจมตีและผู้ป้องกันต่างก็ใช้ AI การแข่งขันด้านอาวุธนี้จะส่งผลกระทบต่อบริการ MDR อย่างไม่ต้องสงสัย การอภิปรายล่าสุดในอุตสาหกรรมได้เน้นย้ำถึงความจำเป็นในการ 'ทบทวน MDR เนื่องจากผู้โจมตีและผู้ป้องกันใช้ AI' เนื่องจากเครื่องมือที่ขับเคลื่อนด้วย AI มีบทบาทมากขึ้นสำหรับการโจมตีและการป้องกัน ปริมาณและความซับซ้อนของการแจ้งเตือนก็จะเพิ่มขึ้นเท่านั้น ผู้ให้บริการ MDR กำลังนำการสนับสนุนที่ขับเคลื่อนด้วย AI มาใช้เพื่อเพิ่มขีดความสามารถของตน แต่ความท้าทายพื้นฐานในการคัดกรองข้อมูลจำนวนมหาศาลและระบุภัยคุกคามที่แท้จริงจะยังคงอยู่

CISO ควรติดตามอย่างใกล้ชิดว่าผู้ให้บริการ MDR ผนวกรวม AI ไม่เพียงแต่สำหรับการสร้างการแจ้งเตือนเท่านั้น แต่ยังรวมถึงการเชื่อมโยงการแจ้งเตือนอย่างชาญฉลาด การจัดลำดับความสำคัญ และการตอบสนองเริ่มต้นอัตโนมัติ อนาคตของ MDR ที่มีประสิทธิภาพน่าจะขึ้นอยู่กับความสามารถในการใช้ประโยชน์จาก AI เพื่อลดเสียงรบกวน ทำให้ผู้เชี่ยวชาญที่เป็นมนุษย์สามารถมุ่งเน้นไปที่ภัยคุกคามที่มีความสำคัญสูงสุดและมีความแม่นยำสูง การตรวจสอบอย่างต่อเนื่องผ่านการทดสอบเชิงรุกอัตโนมัติจะมีความสำคัญมากยิ่งขึ้นเพื่อให้แน่ใจว่าระบบป้องกันที่ขับเคลื่อนด้วย AI ที่กำลังพัฒนาเหล่านี้มีประสิทธิภาพอย่างแท้จริงต่อภูมิทัศน์ภัยคุกคามที่กำลังพัฒนาเช่นกัน