EDR คืออะไร? ทำไม Antivirus เดิมไม่พอ
EDR (Endpoint Detection and Response) คือ ระบบรักษาความปลอดภัยที่ตรวจจับและตอบสนองต่อภัยคุกคามบน Endpoint (PC, Laptop, Server) แบบ Real-time ต่างจาก Antivirus แบบเดิมที่ตรวจจับเฉพาะ Malware ที่รู้จัก (Signature-based) EDR ใช้ Behavior Analysis และ AI ตรวจจับพฤติกรรมผิดปกติ แม้เป็น Malware ใหม่ที่ยังไม่เคยเจอ Ransomware, Fileless Malware และ Advanced Persistent Threat (APT) หลุดผ่าน Antivirus ได้ แต่ EDR จับได้
Antivirus vs EDR vs XDR
| คุณสมบัติ | Antivirus (AV) | EDR | XDR |
|---|---|---|---|
| การตรวจจับ | Signature-based | Behavior + AI + Signature | EDR + Network + Email + Cloud |
| ครอบคลุม | Endpoint เท่านั้น | Endpoint เท่านั้น | Endpoint + Network + Email + Cloud |
| ตอบสนอง | บล็อก/ลบไฟล์ | Isolate, Kill Process, Rollback | Correlate + Automate Response |
| Visibility | น้อย | เห็น Process, File, Registry, Network | เห็นทุกอย่างทั้งองค์กร |
| Forensics | ไม่มี | Timeline, Root Cause Analysis | Cross-platform Forensics |
| ราคา | ถูก | ปานกลาง-แพง | แพง |
EDR ทำอะไรได้
- Real-time Monitoring: เก็บข้อมูล Process, File, Registry, Network Connection ทุก Endpoint
- Threat Detection: ตรวจจับ Malware, Ransomware, Fileless Attack, Lateral Movement
- Automated Response: บล็อก Process, Isolate เครื่อง, Quarantine File อัตโนมัติ
- Threat Hunting: ค้นหาภัยคุกคามที่ซ่อนอยู่ ด้วย Query และ IOC
- Forensics: ย้อนดู Timeline เมื่อถูกโจมตี รู้ว่า Malware เข้ามาอย่างไร ทำอะไรบ้าง
- Rollback: Rollback การเปลี่ยนแปลงที่ Ransomware ทำ (บาง EDR)
เลือก EDR Solution
| Solution | ราคา | จุดเด่น | เหมาะกับ |
|---|---|---|---|
| CrowdStrike Falcon | $$$ | อันดับ 1 Cloud-native เร็ว AI ดี | Enterprise |
| SentinelOne | $$$ | Autonomous Response Rollback ดี | Enterprise |
| Microsoft Defender for Endpoint | รวมใน M365 E5 | เชื่อม M365 ดี ฟรีถ้ามี E5 | องค์กร Microsoft |
| Wazuh | ฟรี (Open Source) | EDR + SIEM ฟรี ดีมาก | SMB งบน้อย |
| Sophos Intercept X | $$ | ใช้ง่าย Anti-Ransomware ดี | SMB |
| ESET PROTECT | $$ | เบา ราคาดี SMB ดี | SMB 50-500 เครื่อง |
วิธี Deploy EDR
- เลือก Solution: เลือกตามงบ ขนาดองค์กร และ Ecosystem ที่ใช้
- ติดตั้ง Agent: ติดตั้ง EDR Agent บนทุก Endpoint (PC, Laptop, Server)
- ตั้ง Policy: กำหนด Policy ว่าตรวจจับอะไร ตอบสนองอย่างไร
- Tune Alert: ปรับ Alert ลด False Positive
- Monitor: ดู Dashboard Alert ทุกวัน ตรวจสอบเหตุการณ์ผิดปกติ
- Incident Response: มี Playbook ว่าเมื่อ EDR แจ้งเตือน ต้องทำอะไร
EDR Best Practices
- ครอบคลุม 100%: ติดตั้ง EDR บนทุก Endpoint ไม่มียกเว้น
- อย่าปิด: ไม่ปิด EDR เพราะ “ช้า” หรือ “รำคาญ” ปิด = ไม่มีการป้องกัน
- อัปเดต: อัปเดต EDR Agent และ Policy สม่ำเสมอ
- Monitor ทุกวัน: ดู Alert ทุกวัน ไม่ใช่ติดตั้งแล้วลืม
- Incident Response: มี Playbook และฝึกซ้อม Incident Response
- เชื่อม SIEM: ส่ง EDR Alert ไป SIEM เพื่อ Correlate กับ Log อื่น
- Isolation: เปิดฟังก์ชัน Auto-isolate เมื่อตรวจพบ Ransomware
สรุป EDR — ปกป้อง Endpoint จากภัยคุกคามยุคใหม่
EDR เป็นสิ่งจำเป็นแทน Antivirus แบบเดิม ตรวจจับภัยคุกคามยุคใหม่ ตอบสนองอัตโนมัติ และให้ Visibility ที่ดี เลือก Solution ที่เหมาะ Deploy ทุก Endpoint และ Monitor ทุกวัน หากต้องการข้อมูลเพิ่มเติม ติดตามได้ที่ SiamLanCard.com
