การป้องกันภัยคุกคามไม่ได้ถูกจำกัดเพียงแค่ตัวโซลูชันเพียงอย่างเดียว แต่การป้องกันที่ดียังต้องอาศัยผู้เชี่ยวชาญเข้ามาถ่ายทอดองค์ความรู้ให้กลายเป็น Rule หรือมาตรการบางอย่างเพื่อใช้ป้องกันเหตุการณ์ที่เกิดขึ้น ซึ่งในองค์กรขนาดใหญ่มักจะมีห้องรวมตัวสำหรับเหล่าผู้เชี่ยวชาญที่คอยติดตามภาวะภัยคุกคามที่รู้จักกันในชื่อ Cybersecurity Operation Center (CSOC) โดยมีหน้าที่หลายด้านที่ช่วยบริหารจัดการด้านความมั่นคงปลอดภัยเช่น มอนิเตอร์และตรวจสอบเหตุการณ์ด้านความมั่นคงปลอดภัย ตอบสนองเหตุภัยคุกคาม บริหารจัดการช่องโหว่และภัยคุกคาม แต่ทั้งหมดต้องอาศัยความเชี่ยวชาญและประสบการณ์จากบุคลากร
นอกจากประเด็นเรื่องของบุคลากรด้านความมั่นคงปลอดภัยแล้ว เครื่องมือหรือซอฟต์แวร์ที่เกี่ยวข้องกับ CSOC ก็เป็นอีกปัจจัยที่ต้องลงทุนสูง เช่น เครื่องมือ SIEM และ SOAR เป็นต้น อย่างไรก็ดีผู้ใช้งานก็ยังต้องสามารถปรับแต่งการใช้งานให้เข้ากับบริบทขององค์กรด้วย สุดท้ายแล้วยังคงต้องอาศัยผู้เชี่ยวชาญเช่นเคย ด้วยเหตุนี้เราถึงไม่ค่อยพบ CSOC ในองค์กรขนาดเล็ก เพราะหากลงทุนเองอาจไม่คุ้มค่ากับต้นทุนของธุรกิจ
แต่ภัยคุกคามกลับเป็นหัวข้อที่ละเลยไม่ได้เช่นกัน ด้วยเหตุนี้เอง MFEC จึงวางแผนในการนำเครื่องมือจาก IBM มาใช้ในศูนย์ CSOC ของลูกค้า เพื่อปิดช่องโหว่ และทำให้สามารถตอบสนองกับภัยคุกคามที่เกิดขึ้นได้ตลอดเวลา
SIEM คืออะไร
SIEM (Security Information and Event Management) เกิดขึ้นมานานแล้วราวปี 2005 โดยเริ่มแรก SIEM พูดถึงเรื่องการรวบรวม Log จาก Application, Endpoint และ Network Device เข้าด้วยกัน แม้จะมีข้อมูลและอีเวนต์ด้าน Security ทั้งหมดแต่กลับขาดเรื่อง Incident Response และ Visualize พร้อมกับไม่สามารถตอบโจทย์การโจมตีที่ซับซ้อนได้เพราะยังขาดข้อมูลจาก Antivirus, IPS, Firewall และอื่นๆ ด้วยเหตุนี้เอง SIEM รุ่นใหม่ๆจึงเริ่มเพิ่มความสามารถของ Big Data, Real-time Analysis, Machine Learning และการวิเคราะห์เชิงพฤติกรรมเข้ามาด้วยการสร้าง Based-line อย่างไรก็ดีแม้จะดูเก่งขึ้นจนสามารถลดเวลาการตรวจพบพฤติกรรมผิดปกติ จึงลดระยะเวลาที่ระบบถูกแทรกแซง แต่ท้ายที่สุดแล้ว ทีม SOC ก็ยังคงถูกกระหน่ำด้วยการแจ้งเตือนที่ซ้ำซ้อนและไม่แม่นยำ รวมถึงยังขาดความสามารถในการตอบสนอง incident อัตโนมัติ
IBM QRadar SIEM
จะเห็นได้ว่า SIEM คือโซลูชันที่เกิดขึ้นมาหลายปีแล้ว แต่ยังจำเป็นต่อองค์กรและยิ่งมาจาก Vendor ชั้นนำอย่าง IBM โดยที่ผ่านมา IBM QRadar SIEM ยังอยู่ในกลุ่ม Leader จากการจัดอันดับของ Gartner มามากกว่า 12 ปี นั่นแสดงให้เห็นว่า IBM ได้มีการพัฒนา และ develop solutions ให้ดียิ่งๆขึ้นอย่างต่อเนือง ซึ่ง IBM ได้มีการจัดการความท้าทายหลายด้านของ SIEM ดังนี้
- หลายองค์กรที่ลงทุนกับ SIEM แม้มี Threat Intelligence ก็จริงแต่ฐานข้อมูลที่มีกลับไม่ตรงกับสถานการณ์ของธุรกิจ โดยอาจต้องแสวงหาแหล่งข้อมูล Threat Intelligence เพิ่มเติม ในขณะที่ IBM X-Force มีข้อมูลจากลูกค้าระดับโลกมากมายแทบทุกประเทศ จึงสามารถให้ข้อมูลที่สอดคล้องกับธุรกิจได้ แต่หากองค์กรต้องการรับแหล่งข้อมูลใหม่เพิ่มเติมก็สามารถทำได้เช่นกัน
- การที่ SIEM เป็นศูนย์รวมข้อมูลเพื่อทำการวิเคราะห์ต่างๆนานา ดังนั้นการรู้จักกับสินทรัพย์ที่ใช้งานและแหล่งข้อมูลได้อย่างหลากหลายจึงเป็นเรื่องที่จำเป็น โดยโซลูชัน QRadar รู้จักกับอุปกรณ์กว่า 450 ชนิด อีกทั้งสามารถตรวจสอบแหล่งที่มาของ Log ได้อย่างอัตโนมัติหรือแม้กระทั่งการเชื่อมต่อกับแอปพลิเคชันขององค์กร
-
รองรับข้อมูลจากแหล่งที่มาได้อย่างครอบคลุมเช่น
- Endpoint: Windows Event, EDR, Sysmon และอื่นๆ
- Network: Firewall, Gateway, Router และอื่นๆ
- Vulnerability: Antivirus, Vulnerability Scanner, IDS/IPS, DLP และอื่นๆ
- Cloud: IaaS, SaaS เช่น O365, SalesForce, AWS, Azure, Google Cloud
- User and Identity: AD, LDAP และอื่นๆ
- Application: ERP, Database, SaaS
- Container Activity: Kubernetes
- False Positive ถือเป็นหัวข้อหลักเมื่อพูดถึง SIEM แต่ด้วยเทคโนโลยี AI อย่าง IBM Watson ทำให้ผู้ปฏิบัติงานกับ QRadar สามารถได้รับคำแนะนำที่เกี่ยวข้องกับเหตุการณ์อย่างแท้จริง และยังการช่วยจัดลำดับความสำคัญของการแจ้งเตือน ด้วยเหตุนี้จึงย่นระยะเวลาในการพุ่งเป้าสู่สาเหตุที่แท้จริงได้ เชื่อมโยงเหตุการณ์เข้ากับเทคนิคที่คนร้ายใช้ตามเครื่องมือ MITRE ATT&CK ได้
- คำถามที่ตอบได้ยากขององค์กรคือจะรู้ได้อย่างไรว่าบัญชีผู้ใช้ที่เคยเป็นคนดีถูกแทรกแซงแล้ว ซึ่งคงเป็นไปไม่ได้เลยหากท่านไม่เคยพิจารณาโมเดลปกติของผู้ใช้มาก่อน ทั้งนี้ IBM QRadar มีสิ่งที่เรียกว่า User Behavior Analytics ที่ช่วยวิเคราะห์ได้ว่าพฤติกรรมที่เกิดขึ้นนั้นมีความเสี่ยงต่อองค์กรหรือไม่ จากเดิมเคยเป็นอย่างไรมาก่อน ทำให้รับรู้ถึงความผิดปกติที่เกิดขึ้นได้
- การออกรายงานมักเป็นส่วนหนึ่งของงาน SIEM โดย IBM มีรูปแบบรายงานที่รองรับกับ Compliance ของอุตสาหกรรมหรือธุรกิจ เช่น HIPAA เป็นต้น
SIEM ไม่ได้เป็นเพียงเครื่องมือที่ช่วยเหลือในแง่ของการติดตามภัยคุกคามเท่านั้น (Monitoring) แต่ยังรวมไปถึงการสืบค้นหาภัยคุกคามเมื่อเกิดการโจมตี (Forensic) หรือการใช้เพื่อตอบสนองคุกคาม (Incident Response) โดย IBM ได้เตรียม Template ในแง่มุมต่างๆเอาไว้ให้ง่ายต่อการเริ่มต้นแล้ว อย่างไรก็ดี SIEM ยังเป็นเทคโนโลยีเก่าที่จำเป็น แต่เมื่อร่วมมือกับสิ่งที่เรียกว่า SOAR การปฏิบัติงานของ CSOC ก็จะเป็นไปได้อย่างมีประสิทธิภาพสูงขึ้น
ความหมายของ SOAR และ IBM QRadar SOAR
ปี 2015 SOAR (Security Orchestration, Automate and Response) เริ่มถือกำเนิดขึ้นพร้อมความความหวังในการเพิ่มศักยภาพของ SIEM โดยแน่นอนว่าสามารถรับข้อมูลได้มากมายพร้อมตอบสนองอย่างอัตโนมัติต่อเหตุการณ์นั้นๆ แต่หัวใจสำคัญของเรื่องก็คือการผสมผสานความรู้จากคนเพื่อสร้างเป็น playbook ว่าจะปฏิบัติอย่างไรหากเกิดเหตุการณ์ต่างๆ มาถึงตรงนี้ความพยายามแย่งชิงพื้นที่ของตลาดโดยผู้ให้บริการ SIEM นั้นต่างแข่งกันเพิ่มความสามารถของ SOAR เพื่อให้กลายเป็นโซลูชัน Standalone ที่จบงานได้
ในประเด็นของ SOAR มีอีกหลายความหมายที่ซ่อนอยู่ เนื่องจาก SOAR อ้างอิงมาจากซอฟต์แวร์ที่ถูกใช้โดยทีมงานด้านความมั่นคงปลอดภัย ส่วนแรกคือประเด็นของ Case and Workflow Management ที่พูดถึงแนวทางของ Best Practice ในด้านการบริหารจัดการช่องโหว่ว่าทุก Incident ต้องถูกบันทึกเป็นเอกสารประกอบกับความรู้ที่เกี่ยวข้อง ด้วยเหตุนี้เองโซลูชันของ SOAR จึงมักมี Workflow ที่เกิดขึ้นได้บ่อยๆ หรือมีช่องทางให้องค์กรสามาถรถปรับแต่งได้เองตามความต้องการ
ส่วนที่สองเกี่ยวกับความหมายของ Security Orchestration ก็คือการเชื่อมโยงเครื่องมือด้านความมั่นคงปลอดภัย และระบบในมุมต่างๆ มาตอบสนองต่อ Workflow การทำงานขององค์กร ซึ่งไอทีเป็นคนกำหนดว่าโปรเซสใดควรมีระบบที่ทำงานได้อย่างอัตโนมัติ เมื่อใด อย่างไร และส่วนที่สามคือ Automation (Playbook) ที่ช่วยขจัดงานซ้ำเดิม มีรูปแบบ หรือที่กินเวลาของผู้ปฏิบัติงานด้าน CSOC
จะเห็นได้ว่า SOAR ไม่ใช่เพียงแค่เครื่องมือที่สร้างการตอบสนองอย่างอัตโนมัติ แต่เป็นหัวใจที่คอยประสานงานระบบต่างๆ ซึ่งพิสูจน์ได้ผ่านความสามารถของ IBM QRadar SOAR ที่สามารถใช้งานควบคู่กับ SIEM ได้หลากหลายโดยเฉพาะกับ QRadar SIEM หรือจะรับข้อมูล EDR และเชื่อมต่อกับเครื่องมือ ITSM เพื่อสร้าง Workflow การทำงานได้อย่างสมบูรณ์ นอกจากแค่ตอบสนองผ่าน Playbook แล้ว Ansible Platform ยังเป็นอีกช่องทางที่ช่วยให้วงจรการทำงานของ CSOC เป็นไปได้อย่างครอบคลุม
Technology, Process และ People หัวใจสำคัญของ CSOC as a Service จาก MFEC
Cybersecurity Operation Center (CSOC) คือศูนย์รวมของการบริหารจัดการเคสด้านความมั่นคงปลอดภัย ซึ่งเต็มไปด้วยสถานการณ์ฉุกเฉินที่ควบคุมเหตุการณ์วิกฤตต่างๆทางไซเบอร์ โดยแน่นอนว่าการวางแผนลงทุนกับ เทคโนโลยีขั้นสูงอย่าง IBM QRadar ที่เพียบพร้อมไปด้วยความสามารถมากมายเป็นเสาหลักหนึ่งในการให้บริการ CSOC
Process คืออีกหนึ่งแกนหลักสำคัญเพราะการเป็น CSOC ต้องมีกระบวนการทำงานแบบ Real-Time และต้องปฏิบัติหน้าที่อย่างรัดกุมตามลำดับชั้นของอำนาจ อย่างเช่นมีการติดต่อบุคคลตามลำดับความฉุกเฉิน หรือมีโปสเซสในการแก้ปัญหาหรือส่งต่อปัญหาอย่างเหมาะสมตามที่เอกสารระบุไว้ ซึ่งการมีโปรเซสที่ดีและเตรียมพร้อมไว้ก่อนจะช่วยให้ CSOC สามารถควบคุมสถานการณ์ได้เมื่อต้องรับมือกับเหตุการณ์วิกฤตต่างๆที่อาจเกิดขึ้นได้ตลอดเวลา
People คือแกนหลักสำคัญที่สุดเพราะบุคลากรคือผู้กำหนดทุกสิ่ง ทั้งเรื่องการเฝ้าระวัง แจ้ง Security Concern กับลูกค้า และพัฒนาระบบ หากเรามองย้อนกลับไปที่ตัวโซลูชัน SIEM และ SOAR จะเห็นได้ชัดเจนว่าสุดท้ายแล้ว จุดชี้ขาดสำคัญคือต้องถูกใช้โดยบุคคลากรที่มีประสบการณ์สูงในด้านความมั่นคงปลอดภัยถึงจะปรับจูน วิเคราะห์และแก้ไขปัญหาเฉพาะหน้าได้
MFEC วางแผนที่จะสร้างศูนย์ CSOC หรือให้กลุ่มลูกค้าที่ต้องการจะมีศูนย์ CSOC เป็นของตัวเอง ด้วยเครื่องมือจาก IBM SIEM & SOAR
นอกจากจุดแข็งสำคัญที่ทำให้ MFEC ยืนหนึ่งในผู้เล่นที่ให้บริการ CSOC as a Service แล้ว ในอนาคตทางบริษัทยังมีแผนที่จะต่อยอดสร้างศูนย์ CSOC ให้กับลูกค้าที่ต้องการลงทุนสร้างศูนย์ของตัวเองด้วยเครื่องมือชั้นนำอย่าง IBM SIEM & SOAR และพัฒนาให้สามารถรองรับ Workflow การทำงานในกลุ่มอุตสาหกรรมต่างๆ ยกระดับการรักษาความมั่นคงปลอดภัยด้าน IT ให้กับธุรกิจ ผู้สนใจสามารถติดต่อทีมงานของ MFEC ได้ที่ csoc@mfec.co.th
สนใจโซลูชัน ติดต่อสอบถามข้อมูลได้ที่
บริษัท เอ็ม เอฟ อี ซี จำกัด (มหาชน) : email – csoc@mfec.co.thหรือ บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด email : cu_mkt@cu.co.thหรือ โทร 02-3116881 #7156,7158
Hiring! บริษัทที่น่าสนใจ