การโจมตีทางไซเบอร์อย่างต่อเนื่องและมีเป้าหมายสูงต่อรัฐบาลสหรัฐฯ ทำให้หน่วยงานต่าง ๆ ต้องตรวจจับและตอบสนองต่อภัยคุกคามอย่างรวดเร็วทุกที่ในสภาพแวดล้อมของตน เรากำลังอยู่ในช่วงเวลาที่ท้าทายอย่างยิ่งสำหรับการทำงานจากระยะไกล ซึ่งทำให้ผู้ใช้ต้องพึ่งพาอุปกรณ์ปลายทางจำนวนมาก (บางครั้งเป็นอุปกรณ์ส่วนตัว) มากขึ้นในการทำงานให้เสร็จ อุปกรณ์เหล่านั้นสร้างความเสี่ยงมากขึ้นต่อภัยคุกคามต่างๆ เช่น แรนซัมแวร์ การโจมตีในหน่วยความจำ และการแสวงประโยชน์ ด้วยทรัพย์สินจำนวนมากที่เล่นอยู่ ทีมศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) มักจะถูกปล่อยให้มีการแจ้งเตือนมากเกินไปให้ตรวจสอบ
โซลูชันใดๆ ที่สามารถจัดการกับความท้าทายนี้ได้สำเร็จ
จะต้องให้ข้อมูลเชิงลึกและความเข้มงวดที่ภารกิจของรัฐบาลสมควรได้รับ ด้วยเหตุนี้ Palo Alto Networks จึงประกาศเมื่อเร็วๆ นี้ว่า Palo Alto Networks Government Cloud Services ซึ่งรวมถึง การตรวจจับและการตอบสนองแบบขยายที่ใช้ Cortex XDR SaaS บรรลุผลสำเร็จลุล่วง Federal Risk and Authorization Management Program (FedRAMP) Moderate Authorization
การดำเนินการด้านความปลอดภัยที่ครอบคลุมในคลาวด์หน่วยงานต่างๆ มักจะใช้เครื่องมือรักษาความปลอดภัยทางไซเบอร์มากมายเป็นส่วนหนึ่งของแนวทางการป้องกันเชิงลึก น่าเสียดายที่การมองเห็นภัยคุกคามทางไซเบอร์จากเซ็นเซอร์หลายตัวรวมถึงจุดสิ้นสุดประเภทต่างๆ เป็นเรื่องยากและใช้ทรัพยากรมาก ส่งผลให้การวิเคราะห์ภัยคุกคามใช้เวลานานหลายชั่วโมงหรือหลายวัน
การรวบรวมข้อมูลที่เกี่ยวข้องกับภัยคุกคามจากหลายแหล่งมาไว้ในแพลตฟอร์มบนคลาวด์เดียวช่วยให้ชุดข้อมูลองค์กรมีความเป็นองค์รวมมากขึ้นและมองเห็นเหตุการณ์ได้ดีขึ้น ซึ่งรวมถึงข้อมูลจากจุดสิ้นสุด แพลตฟอร์มการจัดการเหตุการณ์และเหตุการณ์ด้านความปลอดภัย (SIEM) อุปกรณ์เครือข่าย และอื่นๆ
เมื่อใช้ระบบอัตโนมัติขั้นสูง ข้อมูลรวมจะถูกวิเคราะห์อย่างรวดเร็วเพื่อประเมินภัยคุกคามที่ซ่อนเร้น เช่น จากตัวแสดงของรัฐชาติ เพื่อให้มีระดับความแน่นอนสูง และทำให้ทีม SOC มองเห็นขอบเขตทั้งหมดของการโจมตีที่ซับซ้อน จากนั้นจึงแนะนำการแก้ไขที่เหมาะสม
สามารถใช้เทคนิคพฤติกรรมและฮิวริสติกที่ขับเคลื่อนโดยปัญญาประดิษฐ์
เพื่อเรียนรู้ว่าสิ่งผิดปกติประเภทใดที่อาจเข้ามาสู่สิ่งแวดล้อม และระบุสิ่งที่อาจมองข้าม ตัวอย่างเช่น หากตรวจพบกระบวนการใหม่ที่ไม่ได้ดำเนินการตามปกติ การวิเคราะห์พฤติกรรมอัตโนมัติสามารถตั้งค่าสถานะกระบวนการนั้นได้อย่างรวดเร็วเพื่อให้สามารถดำเนินการสำรวจได้ เมื่อปล่อยให้มีการยืนยันด้วยตนเอง กระบวนการใหม่อาจได้รับการสแกนแบบคร่าว ๆ แต่จะได้รับอนุญาตหากไม่แสดงพฤติกรรมที่น่าสงสัย เนื่องจากมีภัยคุกคามจำนวนมากแฝงตัวอยู่เป็นเวลาหลายเดือนก่อนที่จะดำเนินการเพย์โหลด กระบวนการแบบแมนนวลจึงอาจไม่สามารถตรวจจับสิ่งที่เป็นอันตรายได้
โซลูชันที่ใช้ AI จะเรียนรู้ลายเซ็นของภัยคุกคามมากขึ้นเมื่อเวลาผ่านไป ไม่เพียงแต่จดจำพวกเขาเท่านั้น แต่ยังจัดลำดับความสำคัญให้กับทีม SOC เพื่อเร่งการสืบสวนและการตอบสนอง ทั้งก่อนหรือหลังการดำเนินการ สิ่งนี้มีประโยชน์อย่างยิ่งสำหรับการป้องกันการหาประโยชน์แบบ Zero-day ซึ่งอาจจะยังไม่ทราบจนกว่าจะสายเกินไป นอกจากนี้ยังเป็นประโยชน์อย่างมากในการตรวจจับแรนซัมแวร์ ซึ่งยังคงเป็นส่วนใหญ่ของเหตุการณ์มัลแวร์ในการบริหารราชการ เนื่องจากการโจมตีด้วยแรนซัมแวร์ส่วนใหญ่ทำให้ปลายทางเสียหายได้ในไม่กี่วินาที การตอบสนองอัตโนมัติจึงมีความสำคัญต่อการจับคู่ความเร็วของภัยคุกคาม
การประสานการตอบสนองต่อเหตุการณ์และการลดผลบวกปลอมเนื่องจากข่าวกรองภัยคุกคามที่มีคุณสมบัติเหมาะสมจะช่วยเน้นไปที่ความพยายามในการแก้ไขที่ใช้เวลานานอย่างมีนัยสำคัญเมื่อเกิดการละเมิดขึ้น การจัดลำดับความสำคัญด้วยวิธีนี้มีความสำคัญต่อการจัดการความล้าของการแจ้งเตือนที่นักวิเคราะห์ด้านความปลอดภัยหลายคนประสบ
Palo Alto Networks แก้ปัญหานี้ได้อย่างไร
Palo Alto Networks นำเสนอแพลตฟอร์มแบบครบวงจรที่ครอบคลุมเพียงหนึ่งเดียวสำหรับจัดการกับความท้าทายในการดำเนินงานด้านความปลอดภัยเหล่านี้ภายในสภาพแวดล้อมที่ได้รับอนุญาตจาก FedRAMP Cortex XDR ครอบคลุมแหล่งข้อมูลความปลอดภัยที่สำคัญเพื่อหยุดการโจมตีสมัยใหม่ Cortex XDR มอบการปกป้องอุปกรณ์ปลายทาง การตรวจจับภัยคุกคามที่ขับเคลื่อนด้วย AI และคอนโซลที่พร้อมสำหรับองค์กรสำหรับการสืบสวน Cortex XDR ช่วยให้หน่วยงานต่าง ๆ ลดเวลาในการสืบสวนและลดเวลาเฉลี่ยในการตอบสนอง
