Crowdstrike Falcon and MSSP

Crowdstrike Falcon versions

Crowdstrike เชื่ออยู่เสมอว่า ระดับของการโจมตีทางไซเบอร์ ไม่ได้มีแค่การใช้ผ่านมัลแวร์เท่านั้น แต่ยังรวมถึงการโจมตี ที่ไม่ใช่มัลแวร์อีกมากมายหลายวิธี แตกต่างกันไป มีหลายระดับ ในการแทรกแซง แทรกซึมเข้าไปในระบบขององค์กร โดยแทบจะไม่รู้ตัว การแทรกซึมเข้าไปแบบนี้ เป็นการทำตัวให้แตกต่างจากไวรัสทั่วไป ทำให้ระบบป้องกันทั่วไป ไม่สามารถตรวจจับได้ หากเปรียบเทียบกับร่างกายคน ก็เปรียบเสมือน การหลอกภูมิคุ้มกันว่า ไม่ได้เป็นอันตรายกับร่างกาย แต่ความจริง มันเข้าไปสะสม และเติบโตขึ้นเรื่อยๆ รอจนเมื่อถึงเวลา ก็สายเกินไปที่จะหยุดยั้งมันได้

การโจมตีระดับต่างๆ ที่ไม่ใช่มัลแวร์ (non-malware attacks) มีตั้งแต่

การโจมตีระดับผู้ก่อการร้าย (terrorists attack)
การโจมตีในลักษณะนี้ จะทำความเสียหายให้กับเหยื่อ ที่เป็นองค์กรฝ่านตรงข้าม หรือคนละประเทศ เป็นความเสียหายในระดับประเทศ โดยไม่ได้มุ่งหวังผลประโยชน์ด้านการเงิน เป็นการตอบแทน แต่ต้องการสร้างความเสียหายอย่างเดียวเท่านั้น ซึ่งความเสียหายแต่ละอย่าง ที่โดนโจมตีในแบบนี้ จะไม่สามารถกู้คืนได้ ในระยะเวลาอันใกล้ และมักทำให้เกิดความเสียหายด้านอื่นๆ ตามมา หรือแม้แต่ชีวิตของพลเมืองประเทศนั้นๆ เป็นอันตรายมาก ทำเพื่อสนองอุดมการณ์อย่างเดียวเท่านั้น ไม่สนเลยว่า อาจทำให้คนเสียชีวิตต่อเนื่องได้ เป็นต้น
การโจมตีแบบมือสมัครเล่น (hacktivists, vigilantes attack)
กลุ่มนี้ มักจะเริ่มหัดเขียนโปรแกรม ชอบลองวิชาต่างๆ เป็นต้น สิ่งที่พวกนี้ทำคือ การไปเอาช่องโหว่ในโปรแกรมสำเร็จรูป หรือระบบปฏิบัติการ ที่มีการโพสต์ บนเว็บมืดต่างๆ ทั้งแบบมีให้โหลดฟรี และแบบเสียเงิน ส่วนใหญ่การโจมตีในระดับนี้ แค่ต้องการประกาศว่า แฮ็กได้แล้ว ทำการเปลี่ยนหน้าเว็บ เพื่อประกาศความสามารถเท่านั้น จึงไม่ได้ทำให้เกิดความเสียหายมากเท่าไหร่ แต่ที่จะเกิดความเสียหายมากคือ พวกที่ไปซื้อโปรแกรมราคาสูงๆ ที่เป็นช่องโหว่ใหม่ๆ ที่ยังไม่เคยค้นพบมาก่อน (zero-day) ซึ่งพวกนี้ หากองค์กรที่ใช้โปรแกรมป้องกันไวรัส รุ่นเริ่มต้นทั่วไป มักจะสแกนไม่พบ จากแค่มือสมัครเล่น ก็ก้าวขึ้นเป็นระดับมืออาชีพได้เลย สามารถเรียกค่าไถ่ได้เป็นหลายสิบล้าน หรือร้อยล้าน กับองค์กรที่ไม่เห็นความสำคัญ หรือลงทุนป้องกันทางไซเบอร์
การโจมตีแบบ (cyber criminals attack)
ต่อเนื่องมาจากมือสมัครเล่น พวกนี้ พอเริ่มแฮ๊กได้บ่อยๆ ก็เริ่มเกิดความโลภ ต้องการหาเงิน บนความทุกข์ของผู้อื่น ซื้อโปรแกรมในเว็บมืด ที่ใช้สำหรับแฮ็กระบบ หรือแม้แต่จ้างเขียนขึ้นมาใหม่ และส่วนน้อยคือ โปรแกรมเมอร์ที่อยากรวยทางลัด เขียนโปรแกรมมัลแวร์ ที่พัฒนาต่อยอดจากของเดิม หรือทำขึ้นมาใหม่หมด ซึ่งประเภทนี้ จะมีความร้ายแรง ทำความเสียหายตั้งแต่ ระดับเริ่มต้น ถึงระดับสูง อาทิเช่น ทำการดูดข้อมูลออกมาเผยแพร่ให้องค์กรนั้นอับอาย หรือ สั่งลบข้อมูลลูกค้าในระบบฐานข้อมูลทั้งหมด เป็นต้น
การโจมตีแบบเฉพาะเจาะจง (orginized criminal gangs attack)
แบบนี้ จะทำเป็นขบวนการที่วางแผน และเลือกเป้าหมายล่วงหน้า เช่น องค์กรต่างๆ ที่มีความหละหลวมในการสั่งการ การโอนเงิน สายการอนุมัติต่างๆ ที่ไม่รัดกุม เช่นที่เคยเกิดขึ้นกับหลายองค์กรในประเทศไทย ถูกอีเมลปลอมเป็นคู่ค้า แจ้งให้โอนเงิน ไปยังแก๊งค์ สร้างความเสียหาย ให้กับองค์กรตั้งแต่หลักแสน ถึงหลักหลายล้านบาท เพราะมันทำให้เหยื่อเชื่อว่า เป็นข้อความจากคู่ค้าจริง เพราะข้อมูลการติดต่อทุกอย่างถูกต้อง ยกเว้นโดเมน และอีเมลที่ส่งมา ไม่ใช่ของคู่ค้า เหตุที่แก๊งค์เหล่านี้ มันรู้รายละเอียด การติดต่อ ก็เพราะมันส่งมัลแวร์มาเจาะระบบในองค์กร ก่อนหน้านี้เรียบร้อยแล้ว ทำให้รู้ข้อมูลทุกอย่างที่ติดต่อทั้งหมด องค์กรที่ขาดระบบป้องกันที่ดี ก็จะโดนแบบนี้
การโจมตีที่เป็นอันตรายระดับสูงสุด คือ ระดับชาติ (nation-states attack)
ระดับนี้ น่ากลัวที่สุด เพราะว่ามีการสนับสนุนด้านการเงิน และอำนาจรัฐอยู่เบื้องหลัง ทำให้สามารถสรรหาคนเก่งๆ มาเจาะระบบ กับชาติที่เป็นปฏิปักษ์ เพื่อล้วงข้อมูลความลับบางอย่าง ที่เป็นที่ต้องการสำหรับชาตินั้นๆ หรือแม้แต่ทำลายระบบป้องกันทางทหาร ซึ่งการโจมตีระดับนี้ หากทำสำเร็จ จะทำให้เกิดความเสียหายในวงกว้าง ในระดับชาติ ประเมินมูลค่าไม่ได้เพราะมันมหาศาลจริงๆ เช่น เหตุการณ์การโจมตีโรงไฟฟ้านิวเคลียร์ของประเทศหนึ่ง ทำให้ระบบจ่ายไฟต้องดับเกือบครึ่งประเทศ เป็นเวลานาน จนทำให้ระบบต่างๆ ใช้งานไม่ได้ระยะเวลาหนึ่งเป็นต้น

การป้องกันแบบนอกระบบ (Outmoded Defenses)

เป็นคำนิยามของ Crowdstrike ที่เชื่อว่า ในปัจจุบันนี้ นอกจากการปกป้องจากมัลแวร์ที่มีอยู่ทั่วไปแล้ว ยังต้องป้องกันจากภัยที่ไม่ใช่มัลแวร์อีกเป็นจำนวนมาก จากการโจมตีทางไซเบอร์ หลายระดับ ดังที่กล่าวมาก่อนหน้านี้แล้ว โดยสัดส่วนของภัยทางไซเบอร์ ที่ทาง Crowdstrike คาดการณ์ไว้คือ มาจากมัลแวร์ (malware) ประมาณ 38% แล้วอีกที่เหลืออีก 62% คือ ไม่ได้เป็นมัลแวร์ล้วนๆ แต่เป็นการผสมผลาน การโจมตีอย่างเป็นรูปแบบ มีการจัดตั้งอย่างเป็นระบบ ในหลายระดับชั้น อย่างที่กล่าวแล้วเป็นต้น

Crowdstrike Falcon

ติดตั้งง่าย สามารถติดตั้งกับเครือข่ายขนาดใหญ่ให้เสร็จพร้อมใช้งานได้ภายในคลิกเดียว

ระบบการทำงานของ Crowdstrike เป็นคลาวด์ 100% ติดตั้งง่ายด้วยการคลิกไฟล์ติดตั้งเพียงไฟล์เดียวเท่านั้น โปรแกรมจะทำการตรวจสอบระบบโดยอัตโนมัติ หลังจากนั้น จะเริ่มทำงานได้เอง โดยไม่ต้องใช้เจ้าหน้าที่ไอที ที่เชื่ยวชาญด้านงานระบบมาคอยดูแล หรือเซ็ทระบบให้ยุ่งยาก ก็เริ่มใช้่งาน Crowdstrike ได้แล้ว การติดตั้งง่ายเหมือนกับนับ 1-2-3

Crowdstrike Falcon Platform ทำอะไรได้บ้าง

ด้วยความสามารถที่รอบด้าน ครบครันของ Crowdstrike คุณจึงไม่ต้องถูกจำกัดด้วยงบประมาณ และทำให้ขาดคุณสมบัติในการป้องกันระดับสูงๆ ที่ยี่ห้ออื่นๆ ได้แบ่งเส้นเอาไว้ Crowdstrike ให้คุณหมดทุกอย่างที่เทคโนโลยีการป้องกันในทุกวันนี้มีให้ กล่าวคือ ฟังชั่นการทำงานในระดับสูงในยี่ห้ออื่นๆ อาทิเช่น XDR , Sandbox, Device Control, Machine Learning เรามีให้หมด

ท่านสามารถนำไปลงใช้งานได้ในอุปกรณ์หลากหลาย ตั้งแต่ เครื่องเซอร์ฟเวอร์ พีซี เครื่องเสมือน (VM) อุปกรณ์มือถือ อุปกรณ์ไอโอที หรือ แม้แต่บนบัญชีคลาวด์ของลูกค้า ที่สมัครไว้กับผู้ให้บริการคลาวด์ต่างๆ ที่นี่ Crowdstrike ให้ครบ จบในที่เดียว ใช้เพียงไฟล์เดียวก็ติดตั้งใช้งานได้ทันที

เวอร์ชั่นต่างๆ และการทำงานของ Crowdstrike (Crowdstrike Falcon Endpoint Protection Solutions)

Falcon Pro

เหมาะสำหรับการเริ่มต้นที่ดีเยี่ยม สำหรับองค์กรขนาดเล็ก ที่มีเครื่องจำนวนไม่มาก ก็เริ่มต้นป้องกันการโจมตีทางไซเบอร์อย่างได้ผลแล้ว ด้วยเวอร์ชั่นโปรนี้

Falcon Enterprise

เพิ่มเติมขึ้นมาอีกระดับของเวอร์ชั่นโปรด้วยฟังชั่น EDR และความสามารถในการบริหารจัดการค้นหาการโจมตีได้ เพื่อช่วยให้เจ้าหน้าที่ดูแลระบบ สามารถค้นพบต้นตอที่มาของมัลแวร์ หรือไวรัสได้ง่ายดาย

Falcon Elite

เพิ่มเติมความสามารถจากเวอร์ชั่น Pro และ Enterprise ด้วยการป้องกันด้านการระบุตัวตน (Identity Protection) ในระบบเครือข่าย ทำให้การขโมยไอดี และข้อมูลต่างๆ ของผู้ใช้งาน แทบจะเป็นไปไม่ได้เลย

Falcon Complete

เวอร์ชั่น ที่สูงสุดของ Crowdstrike นี้ ให้การรับประกันกับลูกค้าผู้ใช้งานว่าจะไม่ถูกโจมตีแน่นอน เป็นบริการแบบเต็มรูปแบบจากทีมงาน Crowdstrike โดยมีการแก้ไขจากระยะไกลให้กรณีเกิดความผิดพลาดจากการถูกบุกรุก

CrowdStrike MSSP versions

เวอร์ชั่นนี้ เป็นเวอร์ชั่น ที่ทาง CrowdStrike ทำการปรับแต่งมาเพื่อขายผ่านผู้ให้บริการด้านไอที ที่สามารถซื้อบริการนี้ไปให้บริการกับลูกค้าของท่านทั้งรายย่อย และรายใหญ่ โดยเฉพาะ ท่านสามารถมองเห็นและควบคุมการใช้งาน ปรับแต่ง ผ่านคอนโซลที่ออกแบบมาให้กับผู้ให้บริการไอทีโดยเฉพาะ โดยนำเอาข้อดี และคุณสมบัติของ Falcon แต่ละโมดูล มาใส่แยกกัน และสามารถเลือกได้สองเวอร์ชั่นดังนี้ ข้อดีคือ ทั้งสองเวอร์ชั่น ให้ความสามารถระดับ EDR มาให้เลย ตัดกังวลเรื่อง zero-day ได้เลย

CrowdStrike MSSP Defend

ประกอบด้วย Falcon Prevent, Falcon Insight & Threat Graph, Falcon Device Control และ Falcon Firewall Management

แอนตี้ไวรัสรุ่นใหม่ที่ช่วยป้องกันไวรัสและมัลแวร์ (NGAV/NextGen Anti-Virus)
Falcon Prevent (NGAV/ NextGen Anti-virus)

ช่วยตรวจจับและตอบสนองต่อภัยคุกคามที่เกิดขึ้นกับระบบคอมพิวเตอร์ (EDR)
Falcon Insight (EDR)

เก็บข้อมูลเหตุการณ์ต่างๆ เพื่อใช้ในการวิเคราะห์
Falcon Threat Graph (data retention of metadata in our cloud platform)

ควบคุมการใช้งานอุปกรณ์ USB เพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
Falcon USB Device Control (ensures the safe utilization of USB devices across an organization)

ช่วยจัดการและควบคุมการใช้งานไฟร์วอลล์
Falcon Firewall Management

CrowdStrike MSSP Advanced Defend

ประกอบด้วยทุกอย่างใน MSSP Defend และเพิ่ม Falcon Data Replicator และ Falcon Overwatch

ช่วยจัดการและควบคุมการใช้งานไฟร์วอลล์
Falcon Firewall Management

รวบรวมข้อมูลเหตุการณ์แบบเรียลไทม์จาก CrowdStrike Falcon Platform และส่งต่อไปยังระบบจัดการบันทึกหรือ SIEM
Falcon Data Replicator (FDR provides ability to import / export data collected by the Falcon platform from all the sensors installed across all the managed endpoints in near real-time)

มีทีมผู้เชี่ยวชาญคอยตรวจสอบและแจ้งเตือนภัยคุกคามที่ซับซ้อน
Falcon Overwatch