02-107-8406
GIST Store
คำศัพท์ ITsecurity

EDR (Endpoint Detection and Response)

EDR

EDR คือโซลูชันด้านความปลอดภัยที่ตรวจจับ วิเคราะห์ และตอบสนองต่อภัยคุกคามในอุปกรณ์ปลายทาง เช่น คอมพิวเตอร์หรือมือถือ

ความหมาย

EDR (Endpoint Detection and Response) คือเทคโนโลยีด้านความปลอดภัยไซเบอร์ที่ออกแบบมาเพื่อตรวจจับ วิเคราะห์ และตอบสนองต่อภัยคุกคามที่เข้ามาในอุปกรณ์ปลายทาง เช่น คอมพิวเตอร์ แล็ปท็อป มือถือ หรือเซิร์ฟเวอร์ โดยทำงานอย่างต่อเนื่อง 24/7 เพื่อเฝ้าระวังพฤติกรรมที่ผิดปกติหรือสัญญาณของมัลแวร์ การโจมตีแบบransomware หรือการเข้าถึงโดยไม่ได้รับอนุญาต

EDR แตกต่างจากซอฟต์แวร์แอนตี้ไวรัสทั่วไปที่ใช้ฐานข้อมูลลายเซ็น (signature-based) เพียงอย่างเดียว โดย EDR ใช้การวิเคราะห์พฤติกรรม (behavioral analysis) และการเรียนรู้ของเครื่อง (machine learning) เพื่อระบุภัยคุกคามที่ยังไม่เคยเห็นมาก่อน

หลักการทำงาน

EDR ทำงานโดยการติดตั้งเอเจนต์ (agent) บนอุปกรณ์ปลายทาง ซึ่งจะเก็บข้อมูลพฤติกรรม เช่น การเรียกใช้กระบวนการ การเข้าถึงไฟล์ การเชื่อมต่อเครือข่าย และการเปลี่ยนแปลงในรีจิสทรี โดยข้อมูลเหล่านี้จะถูกส่งไปยังศูนย์ควบคุมกลาง (centralized console) เพื่อวิเคราะห์

ระบบจะใช้กฎและแบบจำลองความปลอดภัยเพื่อเปรียบเทียบพฤติกรรมที่เกิดขึ้นกับพฤติกรรมปกติ หากพบสิ่งผิดปกติ เช่น การเข้ารหัสไฟล์จำนวนมากในเวลาสั้น ๆ หรือการเชื่อมต่อไปยังเซิร์ฟเวอร์ที่ไม่รู้จัก จะแจ้งเตือนทันที และอาจตอบสนองอัตโนมัติ เช่น ปิดกระบวนการ หรือแยกอุปกรณ์ออกจากเครือข่าย

ตัวอย่างการใช้งานจริง

  • ตรวจจับ ransomware: เมื่อพบพฤติกรรมการเข้ารหัสไฟล์จำนวนมากในเวลาสั้น ๆ EDR จะแจ้งเตือนและหยุดกระบวนการทันที เพื่อป้องกันความเสียหาย
  • ตอบสนองต่อการโจมตีแบบ APT: สำหรับภัยคุกคามที่ซ่อนตัวในเครือข่ายเป็นเวลานาน EDR ช่วยติดตามการเคลื่อนไหวภายในระบบ (lateral movement) และแจ้งเตือนเมื่อพบการเข้าถึงข้อมูลสำคัญ
  • สอบสวนเหตุการณ์ความปลอดภัย: เมื่อเกิดเหตุการณ์รั่วไหลของข้อมูล EDR ช่วยให้ทีมความปลอดภัยย้อนรอยเหตุการณ์ได้ด้วยบันทึกพฤติกรรมย้อนหลังหลายวันหรือหลายสัปดาห์

ความสับสนที่พบบ่อย

  • EDR กับ Antivirus: หลายคนเข้าใจว่า EDR คือแอนตี้ไวรัสใหม่ แต่จริง ๆ แล้ว EDR มีความสามารถกว้างขวางกว่า เช่น การวิเคราะห์พฤติกรรม การตอบสนองอัตโนมัติ และการสอบสวนเหตุการณ์
  • EDR กับ SIEM: SIEM (Security Information and Event Management) รวบรวมข้อมูลจากหลายแหล่ง แต่ไม่ได้โฟกัสที่อุปกรณ์ปลายทางโดยตรง EDR มีความลึกในระดับ endpoint มากกว่า
  • EDR ต้องใช้ทรัพยากรสูง: แม้ EDR จะใช้ทรัพยากรมากกว่าซอฟต์แวร์ทั่วไปเล็กน้อย แต่ระบบปัจจุบันสามารถปรับขนาดได้ตามความต้องการ และไม่ทำให้ประสิทธิภาพของอุปกรณ์ลดลงอย่างมีนัยสำคัญ

ผลกระทบต่อการเลือกซื้อ

เมื่อพิจารณาซื้อโซลูชัน EDR ควรพิจารณา:

  • ความสามารถในการตอบสนองอัตโนมัติ (automated response)
  • ความแม่นยำของระบบแจ้งเตือน (low false positive rate)
  • ความสามารถในการเก็บข้อมูลย้อนหลัง (long-term data retention)
  • การรวมกับระบบที่มีอยู่ เช่น SOAR หรือ SIEM
  • ความสามารถในการปรับขนาดตามจำนวนอุปกรณ์ปลายทาง

องค์กรควรเลือก EDR ที่รองรับการใช้งานในสภาพแวดล้อมคลาวด์และอุปกรณ์หลากหลายประเภท เช่น Windows, macOS, Linux และมือถือ

คำที่เกี่ยวข้อง

  • endpoint security
  • threat intelligence
  • SOAR
  • zero trust
  • sandboxing
← ดูคำศัพท์ทั้งหมด