จากเหตุการณ์ที่คอมพิวเตอร์ในบริษัทและองค์กรต่าง ๆ ล่มทั่วโลก เมื่อวันที่ 19 กรกฎาคม 2024 โดยแสดงหน้าจอ Blue Screen of dead ทำให้หลายธุรกิจไม่สามารถให้บริการลูกค้าได้ เนื่องจากความผิดพลาดของโปรแกรมที่ชื่อว่า CrowdStrike ซึ่งเป็นโปรแกรมประเภท Endpoint Detection and Response หรือ EDR วันนี้ RIS จะพามารู้จักโปรแกรมประเภท EDR นี้ว่าเหตุใดองค์กรใหญ่ ๆ ถึงเลือกใช้โปรแกรมประเภท EDR มากกว่า Anti-Virus ทั่วไป

สำหรับโปรแกรมประเภท Anti-Virus ทั่วไป การทำงานจะไม่ซับซ้อนมาก นั่นก็คือตัวโปรแกรมจะอัปเดตฐานข้อมูลไวรัส เมื่อในเครื่องมีไฟล์ที่มีการทำงานหรือ source code ของโปรแกรมนั้นตรงกับในฐานข้อมูลตัวโปรแกรม Anti-Virus ก็จะแจ้งเตือนและทำการ Block, ย้ายไปยังระบบกักเก็บไฟล์ (Quarantine) หรือลบไฟล์นั้น ๆ ทิ้ง เพื่อป้องกันไม่ให้คอมพิวเตอร์ของเรารันไฟล์ไวรัสนั้น ๆ ซึ่งหากคนเขียนไวรัสหรือ malware เก่ง ๆ ที่สามารถสร้างไวรัสหรือ malware ที่มีการกระทำที่ฐานข้อมูล Anti-Virus ระบุไว้ ก็อาจจะหลบการตรวจจับจาก Anti-Virus ได้ ในจุดนี้โปรแกรมประเภท Endpoint Detection and Response หรือ EDR จึงถูกพัฒนาขึ้น โดยโปรแกรมประเภท Endpoint Detection and Response หรือ EDR นั้นจะทำงานโดยการวิเคราะห์พฤติกรรมเพื่อระบุภัยคุกคามที่ไม่รู้จักและซับซ้อน และสามารถหยุดยั้งการกระทำที่จะเป็นอันตรายได้ในระดับอุปกรณ์ นั่นคือสามารถควบคุมอุปกรณ์หรือระบบปฏิบัติการ (OS) เพื่อหยุดการกระทำที่จะสร้างความเสียหายได้ ซึ่งโปรแกรมประเภท Endpoint Detection and Response หรือ EDR นี่ไม่ได้แค่ตรวจจับตามฐานข้อมูลหรือ source code แต่สามารถวิเคราะห์พฤติกรรมต่าง ๆ ที่เกิดขึ้นบนอุปกรณ์ และตอบสนองแบบทันที (Real-Time) ทำให้อุปกรณ์มีความปลอดภัยมากขึ้น

สรุปก็คือ โปรแกรม Anti-Virus แบบดั้งเดิมนั้นป้องกันภัยคุกคามที่รู้จัก ซึ่งหากเราไม่ได้อัปเดตฐานข้อมูลของ Anti-Virus ก็สามารถที่จะถูกไวรัสหรือ malware โจมตีได้ ยังไม่รวมถึงการเจาะระบบที่อาจไม่ได้มีการใช้ไวรัสด้วย แต่โปรแกรมประเภท Endpoint Detection and Response หรือ EDR นั้นใช้วิธีการวิเคราะห์พฤติกรรมหรือการใช้งานที่เกิดขึ้นบนอุปกรณ์หากพบว่าเป็นการกระทำที่สร้างความเสียหายก็จะตอบสนองต่อภัยคุกคามนั้น ๆ ได้ทันที ซึ่งจุดเด่นนี้ทำให้โปรแกรมประเภท Endpoint Detection and Response หรือ EDR นี่ได้รับความนิยม บริษัทและองค์กรต่าง ๆ จึงเลือกซื้อกันไปใช้งานเป็นจำนวนมาก

แต่ถึงกระนั้นโปรแกรมประเภท Endpoint Detection and Response หรือ EDR ก็ยังต้องมีการอัปเดตฐานข้อมูลหรือความฉลาดของมันอย่างต่อเนื่องเช่นกัน ซึ่งจุดนี้เมื่อไฟล์อัปเดตนั้นไปรบกวนการทำงานของระบบปฏิบัติการ (OS) จึงทำให้ระบบปฏิบัติการที่ติดตั้งโปรแกรมประเภท Endpoint Detection and Response หรือ EDR อยู่ไม่สามารถใช้งานได้ดังเหตุการณ์ที่ผ่านมา (เพราะโปรแกรมประเภท Endpoint Detection and Response หรือ EDR นั้นมีสิทธิ์ในการควบคุมตัวระบบปฏิบัติการ (OS) ได้)

สุดท้ายนี้ถึงแม้จะมีโปรแกรมหรือระบบที่ป้องกันภัยคุกคามทางไซเบอร์ที่ก้าวหน้ามากมาย แต่มนุษย์หรือผู้ใช้เองนั้นถือเป็นปัจจัยสำคัญ เพราะหากมนุษย์ตั้งค่าผิดพลาดก็สามารถทำให้เกิดปัญหา หรือการใช้งานของผู้ใช้ที่ไม่ระมัดระวังเพียงพอ ก็สามารถถูกโจมตีทางไซเบอร์ได้อยู่ดี เราจึงไม่ควรคิดว่ามีโปรแกรมป้องกันแล้วจะปลอดภัย 100% เราในฐานะผู้ใช้งานระบบคอมพิวเตอร์หรือไอทีเอง ก็ต้องระมัดระวังด้วยเช่นกัน

หากเพื่อน ๆ หรือบริษัทกำลังมองหา solution ความปลอดภัยระดับองค์กร RIS เราเป็นผู้ให้บริการด้าน Cybersecurity ตั้งแต่จัดหา ติดตั้ง รวมไปถึงให้การสนับสนุนหลังบ้าน ให้กับองค์กรและแบรนด์ต่าง ๆ มากมาย สามารถติดต่อเพื่อรับคำแนะนำเบื้องต้นจากเราได้ฟรีได้ที่เบอร์โทรหรือ email ด้านล่างได้เลย