Original Title: Endpoint Security in the Modern Threat Landscape: A Comparative Analysis of CrowdStrike Falcon and Microsoft Defender Endpoint
Source: www.tijer.org
Disclaimer: Summary generated by AI based on the provided document. Please refer to the original paper for full scientific accuracy.

សន្តិសុខចំណុចចុងក្រោយនៅក្នុងទិដ្ឋភាពនៃការគំរាមកំហែងទំនើប៖ ការវិភាគប្រៀបធៀបរវាង CrowdStrike Falcon និង Microsoft Defender Endpoint

ចំណងជើងដើម៖ Endpoint Security in the Modern Threat Landscape: A Comparative Analysis of CrowdStrike Falcon and Microsoft Defender Endpoint

អ្នកនិពន្ធ៖ Adeel Agha, Ittefaq Steel Production Company

ឆ្នាំបោះពុម្ព៖ 2024 TIJER

វិស័យសិក្សា៖ Cybersecurity

១. សេចក្តីសង្ខេបប្រតិបត្តិ (Executive Summary)

បញ្ហា (The Problem)៖ ឯកសារនេះដោះស្រាយបញ្ហានៃការគំរាមកំហែងតាមអ៊ីនធឺណិតដែលកាន់តែមានភាពស្មុគស្មាញ ដោយធ្វើការប្រៀបធៀបសមត្ថភាពនៃដំណោះស្រាយសន្តិសុខចំណុចចុងក្រោយ (Endpoint Security) ឈានមុខគេចំនួនពីរគឺ CrowdStrike Falcon និង Microsoft Defender។

វិធីសាស្ត្រ (The Methodology)៖ ការស្រាវជ្រាវនេះប្រើប្រាស់វិធីសាស្ត្រវិភាគប្រៀបធៀបយ៉ាងល្អិតល្អន់ទៅលើមុខងារស្នូល ភាពខ្លាំង ភាពខ្សោយ និងករណីសិក្សាជាក់ស្តែងនៃការវាយប្រហារតាមអ៊ីនធឺណិត។

ការវាយតម្លៃលើមុខងារប្រឆាំងមេរោគជំនាន់ថ្មី (Next-Generation Antivirus - NGAV) និងការរកឃើញនិងឆ្លើយតបនៅចំណុចចុងក្រោយ (EDR)
ការវិភាគលើស្ថាបត្យកម្មប្រព័ន្ធ (Cloud-Native Architecture) និងការប្រើប្រាស់ធនធានម៉ាស៊ីន (Lightweight Agent)
ការពិនិត្យលើករណីសិក្សាជាក់ស្តែងនៃការវាយប្រហារដូចជា SolarWinds ការវាយប្រហារចាប់ជម្រិតទិន្នន័យ (Ransomware) និងការគំរាមកំហែងកម្រិតខ្ពស់ (APTs)

លទ្ធផលសំខាន់ៗ (The Verdict)៖

CrowdStrike Falcon ផ្តល់នូវការការពារដ៏ប្រសើរជាងមុន តាមរយៈការរកឃើញអាកប្បកិរិយាដោយប្រើប្រាស់ AI និងការតាមប្រមាញ់ការគំរាមកំហែង (Expert Threat Hunting) បើទោះបីជាវាមានតម្លៃថ្លៃជាងសម្រាប់ស្ថាប័នតូចៗក៏ដោយ។
Microsoft Defender មានអត្ថប្រយោជន៍ផ្នែកចំណាយ (Cost-Effectiveness) និងរួមបញ្ចូលយ៉ាងល្អជាមួយប្រព័ន្ធប្រតិបត្តិការ Windows តែវាមានកម្រិតក្នុងការការពារប្រព័ន្ធប្រតិបត្តិការផ្សេងទៀត និងពឹងផ្អែកខ្លាំងលើការស្កេនដោយប្រើ Signature-based។
ស្ថាបត្យកម្ម Cloud-Native របស់ Falcon កាត់បន្ថយការប្រើប្រាស់ធនធានម៉ាស៊ីន (Performance Impact) បានយ៉ាងមានប្រសិទ្ធភាព និងអាចឆ្លើយតបបានយ៉ាងរហ័សចំពោះការវាយប្រហារប្រភេទ Zero-day បើប្រៀបធៀបទៅនឹង Defender។

២. ការវិភាគលើប្រសិទ្ធភាព និងដែនកំណត់ (Performance & Constraints)

វិធីសាស្ត្រ (Method)	គុណសម្បត្តិ (Pros)	គុណវិបត្តិ (Cons)	លទ្ធផលគន្លឹះ (Key Result)
CrowdStrike Falcon ប្រព័ន្ធសុវត្ថិភាពចំណុចចុងក្រោយ CrowdStrike Falcon	ប្រើប្រាស់បច្ចេកវិទ្យា AI សម្រាប់ការវិភាគអាកប្បកិរិយា (Behavioral-based) និងមានសេវាកម្មតាមប្រមាញ់ការគំរាមកំហែងដោយអ្នកជំនាញ។ ដំណើរការបានយ៉ាងល្អលើប្រព័ន្ធប្រតិបត្តិការចម្រុះ (Windows, macOS, Linux) និងមិនស៊ីធនធានម៉ាស៊ីនច្រើន ដោយសារវាជា Cloud-Native។	មានតម្លៃថ្លៃ ជាពិសេសសម្រាប់ស្ថាប័នតូចៗដែលមានថវិកាមានកម្រិត។ ការធ្វើសមាហរណកម្មជាមួយឧបករណ៍សុវត្ថិភាពដែលមិនមែនជារបស់ Microsoft អាចទាមទារការកំណត់រចនាសម្ព័ន្ធ និងអ្នកជំនាញបន្ថែម។	ការពារបានយ៉ាងជោគជ័យនូវការវាយប្រហារដ៏ស្មុគស្មាញដូចជា SolarWinds, Ransomware និង APTs មុនពេលវាអាចបង្កការខូចខាតដល់ប្រព័ន្ធ។
Microsoft Defender Endpoint ប្រព័ន្ធសុវត្ថិភាពចំណុចចុងក្រោយ Microsoft Defender Endpoint	មានតម្លៃសមរម្យដោយសារវាត្រូវបានខ្ចប់បញ្ចូលគ្នាជាមួយអាជ្ញាប័ណ្ណ Microsoft 365។ មានការរួមបញ្ចូលយ៉ាងស៊ីជម្រៅជាមួយប្រព័ន្ធប្រតិបត្តិការ Windows ដែលធ្វើឱ្យងាយស្រួលក្នុងការគ្រប់គ្រង។	ពឹងផ្អែកខ្លាំងលើការស្កេនតាមរយៈ Signature-based ដែលធ្វើឱ្យវាពិបាកទប់ទល់នឹងមេរោគថ្មីៗ។ ស៊ីធនធានម៉ាស៊ីនច្រើនកំឡុងពេលស្កេន និងមានដែនកំណត់ក្នុងការការពារប្រព័ន្ធប្រតិបត្តិការក្រៅពី Windows។	ជាញឹកញាប់ជួបការលំបាក និងបរាជ័យក្នុងការទប់ស្កាត់ការវាយប្រហារកម្រិតខ្ពស់ និងការគំរាមកំហែងប្រភេទមិនធ្លាប់ស្គាល់ (Zero-day) នៅដំណាក់កាលដំបូង។

ការចំណាយលើធនធាន (Resource Cost)៖ ឯកសារនេះបានរំលេចយ៉ាងច្បាស់អំពីភាពខុសគ្នានៃការចំណាយ និងតម្រូវការធនធានរវាងដំណោះស្រាយទាំងពីរ ដែលទាមទារឱ្យស្ថាប័នធ្វើការថ្លឹងថ្លែងឱ្យបានម៉ត់ចត់។

Budget: CrowdStrike ត្រូវការថវិកាវិនិយោគខ្ពស់ ខណៈដែល Defender គឺជាជម្រើសដ៏សន្សំសំចៃសម្រាប់ស្ថាប័នដែលកំពុងបង់ប្រាក់ប្រើប្រាស់ Microsoft 365 រួចជាស្រេច។
Hardware/System Resources: Defender ត្រូវការធនធានម៉ាស៊ីន (CPU/RAM) ច្រើនជាងកំឡុងពេលប្រតិបត្តិការស្កេន ចំណែកឯ Falcon ប្រើប្រាស់ Lightweight Agent ដែលមានផលប៉ះពាល់តិចតួចបំផុតដល់ដំណើរការម៉ាស៊ីន។
Expertise: ការប្រើប្រាស់ Falcon អាចតម្រូវឱ្យមានបុគ្គលិកផ្នែកព័ត៌មានវិទ្យាដែលមានជំនាញក្នុងការភ្ជាប់ API ជាមួយនឹងប្រព័ន្ធសុវត្ថិភាពផ្សេងទៀត (Third-party integration)។

៣. ការពិនិត្យសម្រាប់បរិបទកម្ពុជា/អាស៊ីអាគ្នេយ៍

ភាពលំអៀងនៃទិន្នន័យ (Data Bias)៖

ការសិក្សានេះផ្អែកលើករណីសិក្សាជាក់ស្តែងជាសកល (ដូចជាការវាយប្រហារ SolarWinds និងស្ថាប័ន Fortune 500)។ វាមិនបានផ្តោតជាពិសេសលើតំបន់ ឬស្ទង់មតិលើស្ថាប័ននៅក្នុងប្រទេសកម្ពុជានោះទេ ប៉ុន្តែការគំរាមកំហែងតាមអ៊ីនធឺណិតមានលក្ខណៈសកលដែលកម្ពុជាក៏កំពុងប្រឈមមុខដូចគ្នា។ សម្រាប់កម្ពុជា ស្ថាប័នដែលមានថវិកាមានកម្រិតអាចនឹងជួបការលំបាកក្នុងការជ្រើសរើស CrowdStrike ទោះបីវាមានប្រសិទ្ធភាពខ្ពស់ក៏ដោយ។

លទ្ធភាពនៃការអនុវត្ត (Applicability)៖

ដំណោះស្រាយសន្តិសុខចំណុចចុងក្រោយ (EDR) ទាំងពីរនេះមានសារៈសំខាន់ និងអាចអនុវត្តបានយ៉ាងមានប្រសិទ្ធភាពសម្រាប់ស្ថាប័នរដ្ឋ និងឯកជននៅកម្ពុជា ក្នុងការការពារទិន្នន័យ។

វិស័យធនាគារ និងហិរញ្ញវត្ថុនៅកម្ពុជា (Banking and Finance Sector): ធនាគារនៅកម្ពុជាគួរពិចារណាប្រើប្រាស់ CrowdStrike Falcon ព្រោះវិស័យនេះជាគោលដៅចម្បងនៃការវាយប្រហារលួចទិន្នន័យនិងលុយ ដែលទាមទារការការពារកម្រិតខ្ពស់បំផុត ការប្រើប្រាស់ AI ដើម្បីវិភាគ និងការតាមប្រមាញ់សកម្ម។
ក្រសួងស្ថាប័នរដ្ឋ និងសហគ្រាសធុនតូចនិងមធ្យម (Government & SMEs): ស្ថាប័នទាំងនេះអាចទាញយកអត្ថប្រយោជន៍ពី Microsoft Defender Endpoint ដោយសារជាទូទៅពួកគេប្រើប្រាស់ Windows រួចជាស្រេច ដែលជួយសន្សំសំចៃថវិកាបានច្រើន និងមានភាពងាយស្រួលក្នុងការគ្រប់គ្រងតាមរយៈប្រព័ន្ធ Microsoft តែមួយ។

ការសម្រេចចិត្តជ្រើសរើសរវាងប្រព័ន្ធទាំងពីរ គឺអាស្រ័យលើកម្រិតហានិភ័យនៃទិន្នន័យ ហេដ្ឋារចនាសម្ព័ន្ធបច្ចេកវិទ្យា (Windows សុទ្ធ ឬ ចម្រុះ) និងទំហំថវិការបស់ស្ថាប័ននីមួយៗនៅកម្ពុជា។

៤. ផែនការសកម្មភាពសម្រាប់និស្សិត (Actionable Roadmap)

ដើម្បីអនុវត្តតាមការសិក្សានេះ និស្សិតគួរអនុវត្តតាមជំហានខាងក្រោម៖

វាយតម្លៃហេដ្ឋារចនាសម្ព័ន្ធ និងប្រព័ន្ធប្រតិបត្តិការបច្ចុប្បន្ន: ចាប់ផ្តើមដោយការធ្វើសវនកម្មលើកុំព្យូទ័រ និងម៉ាស៊ីនមេទាំងអស់នៅក្នុងស្ថាប័ន ដើម្បីដឹងថាតើស្ថាប័នកំពុងប្រើប្រាស់បរិស្ថាន Windows-centric សុទ្ធ ឬមានការប្រើប្រាស់ប្រព័ន្ធចម្រុះដូចជា macOS និង Linux។
វិភាគលើការបែងចែកថវិកា និងអាជ្ញាប័ណ្ណ (Licenses): ត្រួតពិនិត្យមើលថាតើស្ថាប័នមានអាជ្ញាប័ណ្ណ Microsoft 365 រួចរាល់ហើយឬនៅ។ ប្រសិនបើមាន ការជ្រើសរើស Microsoft Defender ជាជំហានដំបូងអាចជួយសន្សំចំណាយបានយ៉ាងច្រើន មុននឹងសម្រេចចិត្តវិនិយោគបន្ថែមលើ CrowdStrike ប្រសិនបើការគំរាមកំហែងមានកម្រិតខ្ពស់។
ស្នើសុំការសាកល្បងជាក់ស្តែង (Proof of Concept - PoC): ទាក់ទងក្រុមហ៊ុនផ្តល់សេវាដើម្បីធ្វើការសាកល្បង PoC រវាង CrowdStrike Falcon និង Defender Endpoint នៅលើម៉ាស៊ីនជាក់ស្តែង ដើម្បីវាយតម្លៃពីផលប៉ះពាល់ទៅលើល្បឿនម៉ាស៊ីន (Performance Impact) និងសមត្ថភាពចាប់មេរោគដោយផ្ទាល់។
រៀបចំការធ្វើសមាហរណកម្មប្រព័ន្ធ (System Integration): ប្រសិនបើជ្រើសរើស CrowdStrike Falcon ត្រូវចាត់តាំងក្រុមការងារបច្ចេកទេសឱ្យសិក្សាពីការប្រើប្រាស់ Open APIs ដើម្បីភ្ជាប់វាជាមួយប្រព័ន្ធគ្រប់គ្រងបណ្តាញសុវត្ថិភាពផ្សេងៗ (ឧទាហរណ៍៖ SIEM/SOAR) ដែលស្ថាប័នកំពុងមានស្រាប់។
ពង្រឹងសមត្ថភាពឆ្លើយតបបន្ទាន់ (Incident Response): បង្កើតនីតិវិធីប្រតិបត្តិការស្តង់ដារ (SOP) សម្រាប់ក្រុមការងារ IT Security ក្នុងការតាមដាន រកមើល និងឆ្លើយតបភ្លាមៗនៅពេលដែលប្រព័ន្ធ EDR លោតសារព្រមាន (Alerts) អំពីសកម្មភាពគួរឱ្យសង្ស័យ។

៥. វាក្យសព្ទបច្ចេកទេស (Technical Glossary)

ពាក្យបច្ចេកទេស	ការពន្យល់ជាខេមរភាសា (Khmer Explanation)	និយមន័យសាមញ្ញ (Simple Definition)
Endpoint Detection and Response (EDR)	ជាប្រព័ន្ធសុវត្ថិភាពដែលតាមដាននិងប្រមូលទិន្នន័យពីឧបករណ៍ចុងក្រោយ (កុំព្យូទ័រ ទូរស័ព្ទ) ជាបន្តបន្ទាប់ ដើម្បីវិភាគ រកមើល និងឆ្លើយតបទៅនឹងការគំរាមកំហែងតាមអ៊ីនធឺណិតកម្រិតខ្ពស់ដោយស្វ័យប្រវត្តិ។	ដូចជាកាមេរ៉ាសុវត្ថិភាពនិងឆ្មាំយាមដែលតាមដានគ្រប់សកម្មភាពក្នុងផ្ទះរបស់អ្នក ២៤ម៉ោង ហើយចាត់វិធានការភ្លាមៗបើមានចោរលួចចូល។
Advance Persistent Threats (APTs)	ជាការវាយប្រហារតាមអ៊ីនធឺណិតដ៏ស្មុគស្មាញ និងមានរយៈពេលយូរ ដែលឧក្រិដ្ឋជនលួចចូលក្នុងបណ្តាញកុំព្យូទ័រដោយសម្ងាត់ ដើម្បីលួចទិន្នន័យដោយមិនឱ្យគេដឹងខ្លួនអស់រយៈពេលជាច្រើនខែ ឬឆ្នាំ។	ដូចជាចារកម្មដែលក្លែងបន្លំខ្លួនចូលរស់នៅក្នុងផ្ទះរបស់អ្នកយ៉ាងស្ងៀមស្ងាត់ ដើម្បីលួចស្តាប់និងថតចម្លងឯកសារសម្ងាត់របស់អ្នកជារៀងរាល់ថ្ងៃដោយអ្នកមិនដឹងខ្លួន។
Zero-day exploits	ជាការវាយប្រហារដោយប្រើប្រាស់ចំណុចខ្សោយនៃប្រព័ន្ធកុំព្យូទ័រ ឬកម្មវិធីដែលទើបតែត្រូវបានរកឃើញថ្មីៗបំផុត ដែលសូម្បីតែអ្នកបង្កើតកម្មវិធីនោះក៏មិនទាន់ដឹង ឬមិនទាន់មានកម្មវិធីជួសជុល (Patch) នៅឡើយ។	ដូចជាចោរដែលរកឃើញគន្លឹះសម្ងាត់ដើម្បីបើកទ្វារផ្ទះរបស់អ្នកដែលទើបនឹងសាងសង់ថ្មី ខណៈដែលជាងធ្វើទ្វារក៏មិនទាន់ដឹងថាមានចន្លោះប្រហោងនេះដែរ។
Cloud-Native Architecture	ជាការរចនាប្រព័ន្ធ ឬកម្មវិធីដោយប្រើប្រាស់បច្ចេកវិទ្យា Cloud ទាំងស្រុងតាំងពីដើមរៀងមក ដែលអនុញ្ញាតឱ្យប្រព័ន្ធដំណើរការបានលឿន ងាយស្រួលពង្រីកទំហំ និងមិនស៊ីធនធានម៉ាស៊ីនកុំព្យូទ័រផ្ទាល់។	ដូចជាការជួលចុងភៅឱ្យធ្វើម្ហូបនៅភោជនីយដ្ឋានរបស់គេហើយដឹកមកឱ្យអ្នកញ៉ាំផ្ទាល់ ដោយអ្នកមិនបាច់ចំណាយកន្លែង និងឧបករណ៍ធ្វើម្ហូបនៅក្នុងផ្ទះបាយរបស់អ្នកឡើយ។
Behavioural-Based Detection	ជាបច្ចេកទេសរកមើលមេរោគដោយផ្អែកលើការសង្កេតមើលសកម្មភាព ឬអាកប្បកិរិយារបស់កម្មវិធី ជាជាងការមើលលើរូបរាង ឬកូដ (Signature) របស់វា ដើម្បីចាប់មេរោគប្រភេទថ្មីៗដែលមិនធ្លាប់ស្គាល់ពីមុន។	ដូចជាប៉ូលីសដែលចាប់ជនសង្ស័យដោយមើលលើសកម្មភាពលួចគាស់ទ្វារ ជាជាងការដើររកចាប់តែមនុស្សដែលមានមុខមាត់ដូចក្នុងរូបថតប្រកាសចាប់ខ្លួន។
Fileless malware	ជាប្រភេទមេរោគកុំព្យូទ័រដែលមិនតម្រូវឱ្យមានការទាញយកឯកសារ (File) ចូលក្នុងម៉ាស៊ីននោះទេ ប៉ុន្តែវាដំណើរការដោយលួចប្រើប្រាស់កម្មវិធីស្របច្បាប់ដែលមានស្រាប់នៅក្នុងអង្គចងចាំ (RAM) របស់ប្រព័ន្ធតែម្តង ដែលធ្វើឱ្យប្រព័ន្ធកម្ចាត់មេរោគធម្មតាពិបាករកឃើញ។	ដូចជាចោរដែលមិនបានយកអាវុធពីក្រៅមកទេ តែបានលួចប្រើកាំបិតនៅក្នុងផ្ទះបាយរបស់អ្នកផ្ទាល់ដើម្បីគំរាមអ្នក ដែលធ្វើឱ្យអ្នកយាមច្រកទ្វារមិនមានការសង្ស័យ។
Attack Surface Reduction (ASR)	ជាយុទ្ធសាស្ត្រក្នុងការកាត់បន្ថយចំណុចខ្សោយ ឬច្រកចូលផ្សេងៗដែលពួក Hacker អាចប្រើប្រាស់ដើម្បីវាយប្រហារចូលក្នុងប្រព័ន្ធ ដោយការបិទកម្មវិធី ឬមុខងារដែលមិនចាំបាច់។	ដូចជាការចាក់សោរបិទបង្អួច និងទ្វារក្រោយដែលមិនសូវប្រើប្រាស់ ដើម្បីកាត់បន្ថយជម្រើសដែលចោរអាចលួចចូលក្នុងផ្ទះបាន។
Threat Hunting	ជាដំណើរការសកម្មដែលអ្នកជំនាញផ្នែកសន្តិសុខបច្ចេកវិទ្យាចេញស្វែងរកការគំរាមកំហែង មេរោគ ឬការវាយប្រហារដែលកំពុងលាក់ខ្លួននៅក្នុងបណ្តាញប្រព័ន្ធកុំព្យូទ័រ ដោយមិនចាំទាល់តែប្រព័ន្ធផ្តល់សញ្ញាអាសន្ន (Alert) នោះទេ។	ដូចជាការជួលឆ្មាំសន្តិសុខឱ្យដើរល្បាតរុករកគ្រប់ជ្រុងក្នុងអគារ ដើម្បីរកមើលអ្នកលួចលាក់ខ្លួន ជាជាងការអង្គុយរង់ចាំមើលតែកាមេរ៉ាសុវត្ថិភាពនៅការិយាល័យ។

៦. ប្រធានបទពាក់ព័ន្ធ (Further Reading)

អត្ថបទដែលបានបោះពុម្ពនៅលើ KhmerResearch ដែលទាក់ទងនឹងប្រធានបទនេះ៖

ប្រធានបទ និងសំណួរស្រាវជ្រាវដែលទាក់ទងនឹងឯកសារនេះ ដែលអ្នកអាចស្វែងរកបន្ថែម៖