การป้องกันภัยคุกคามไม่ได้ถูกจำกัดเพียงแค่ตัวโซลูชันเพียงอย่างเดียว แต่การป้องกันที่ดียังต้องอาศัยผู้เชี่ยวชาญเข้ามาถ่ายทอดองค์ความรู้ให้กลายเป็น Rule หรือมาตรการบางอย่างเพื่อใช้ป้องกันเหตุการณ์ที่เกิดขึ้น ซึ่งในองค์กรขนาดใหญ่มักจะมีห้องรวมตัวสำหรับเหล่าผู้เชี่ยวชาญที่คอยติดตามภาวะภัยคุกคามที่รู้จักกันในชื่อ Cybersecurity Operation Center (CSOC) โดยมีหน้าที่หลายด้านที่ช่วยบริหารจัดการด้านความมั่นคงปลอดภัยเช่น มอนิเตอร์และตรวจสอบเหตุการณ์ด้านความมั่นคงปลอดภัย ตอบสนองเหตุภัยคุกคาม บริหารจัดการช่องโหว่และภัยคุกคาม แต่ทั้งหมดต้องอาศัยความเชี่ยวชาญและประสบการณ์จากบุคลากร
นอกจากประเด็นเรื่องของบุคลากรด้านความมั่นคงปลอดภัยแล้ว เครื่องมือหรือซอฟต์แวร์ที่เกี่ยวข้องกับ CSOC ก็เป็นอีกปัจจัยที่ต้องลงทุนสูง เช่น เครื่องมือ SIEM และ SOAR เป็นต้น อย่างไรก็ดีผู้ใช้งานก็ยังต้องสามารถปรับแต่งการใช้งานให้เข้ากับบริบทขององค์กรด้วย สุดท้ายแล้วยังคงต้องอาศัยผู้เชี่ยวชาญเช่นเคย ด้วยเหตุนี้เราถึงไม่ค่อยพบ CSOC ในองค์กรขนาดเล็ก เพราะหากลงทุนเองอาจไม่คุ้มค่ากับต้นทุนของธุรกิจ
แต่ภัยคุกคามกลับเป็นหัวข้อที่ละเลยไม่ได้เช่นกัน ด้วยเหตุนี้เอง MFEC จึงวางแผนในการนำเครื่องมือจาก IBM มาใช้ในศูนย์ CSOC ของลูกค้า เพื่อปิดช่องโหว่ และทำให้สามารถตอบสนองกับภัยคุกคามที่เกิดขึ้นได้ตลอดเวลา
SIEM (Security Information and Event Management) เกิดขึ้นมานานแล้วราวปี 2005 โดยเริ่มแรก SIEM พูดถึงเรื่องการรวบรวม Log จาก Application, Endpoint และ Network Device เข้าด้วยกัน แม้จะมีข้อมูลและอีเวนต์ด้าน Security ทั้งหมดแต่กลับขาดเรื่อง Incident Response และ Visualize พร้อมกับไม่สามารถตอบโจทย์การโจมตีที่ซับซ้อนได้เพราะยังขาดข้อมูลจาก Antivirus, IPS, Firewall และอื่นๆ ด้วยเหตุนี้เอง SIEM รุ่นใหม่ๆจึงเริ่มเพิ่มความสามารถของ Big Data, Real-time Analysis, Machine Learning และการวิเคราะห์เชิงพฤติกรรมเข้ามาด้วยการสร้าง Based-line อย่างไรก็ดีแม้จะดูเก่งขึ้นจนสามารถลดเวลาการตรวจพบพฤติกรรมผิดปกติ จึงลดระยะเวลาที่ระบบถูกแทรกแซง แต่ท้ายที่สุดแล้ว ทีม SOC ก็ยังคงถูกกระหน่ำด้วยการแจ้งเตือนที่ซ้ำซ้อนและไม่แม่นยำ รวมถึงยังขาดความสามารถในการตอบสนอง incident อัตโนมัติ
จะเห็นได้ว่า SIEM คือโซลูชันที่เกิดขึ้นมาหลายปีแล้ว แต่ยังจำเป็นต่อองค์กรและยิ่งมาจาก Vendor ชั้นนำอย่าง IBM โดยที่ผ่านมา IBM QRadar SIEM ยังอยู่ในกลุ่ม Leader จากการจัดอันดับของ Gartner มามากกว่า 12 ปี นั่นแสดงให้เห็นว่า IBM ได้มีการพัฒนา และ develop solutions ให้ดียิ่งๆขึ้นอย่างต่อเนือง ซึ่ง IBM ได้มีการจัดการความท้าทายหลายด้านของ SIEM ดังนี้
รองรับข้อมูลจากแหล่งที่มาได้อย่างครอบคลุมเช่น
SIEM ไม่ได้เป็นเพียงเครื่องมือที่ช่วยเหลือในแง่ของการติดตามภัยคุกคามเท่านั้น (Monitoring) แต่ยังรวมไปถึงการสืบค้นหาภัยคุกคามเมื่อเกิดการโจมตี (Forensic) หรือการใช้เพื่อตอบสนองคุกคาม (Incident Response) โดย IBM ได้เตรียม Template ในแง่มุมต่างๆเอาไว้ให้ง่ายต่อการเริ่มต้นแล้ว อย่างไรก็ดี SIEM ยังเป็นเทคโนโลยีเก่าที่จำเป็น แต่เมื่อร่วมมือกับสิ่งที่เรียกว่า SOAR การปฏิบัติงานของ CSOC ก็จะเป็นไปได้อย่างมีประสิทธิภาพสูงขึ้น
ปี 2015 SOAR (Security Orchestration, Automate and Response) เริ่มถือกำเนิดขึ้นพร้อมความความหวังในการเพิ่มศักยภาพของ SIEM โดยแน่นอนว่าสามารถรับข้อมูลได้มากมายพร้อมตอบสนองอย่างอัตโนมัติต่อเหตุการณ์นั้นๆ แต่หัวใจสำคัญของเรื่องก็คือการผสมผสานความรู้จากคนเพื่อสร้างเป็น playbook ว่าจะปฏิบัติอย่างไรหากเกิดเหตุการณ์ต่างๆ มาถึงตรงนี้ความพยายามแย่งชิงพื้นที่ของตลาดโดยผู้ให้บริการ SIEM นั้นต่างแข่งกันเพิ่มความสามารถของ SOAR เพื่อให้กลายเป็นโซลูชัน Standalone ที่จบงานได้
ในประเด็นของ SOAR มีอีกหลายความหมายที่ซ่อนอยู่ เนื่องจาก SOAR อ้างอิงมาจากซอฟต์แวร์ที่ถูกใช้โดยทีมงานด้านความมั่นคงปลอดภัย ส่วนแรกคือประเด็นของ Case and Workflow Management ที่พูดถึงแนวทางของ Best Practice ในด้านการบริหารจัดการช่องโหว่ว่าทุก Incident ต้องถูกบันทึกเป็นเอกสารประกอบกับความรู้ที่เกี่ยวข้อง ด้วยเหตุนี้เองโซลูชันของ SOAR จึงมักมี Workflow ที่เกิดขึ้นได้บ่อยๆ หรือมีช่องทางให้องค์กรสามาถรถปรับแต่งได้เองตามความต้องการ
ส่วนที่สองเกี่ยวกับความหมายของ Security Orchestration ก็คือการเชื่อมโยงเครื่องมือด้านความมั่นคงปลอดภัย และระบบในมุมต่างๆ มาตอบสนองต่อ Workflow การทำงานขององค์กร ซึ่งไอทีเป็นคนกำหนดว่าโปรเซสใดควรมีระบบที่ทำงานได้อย่างอัตโนมัติ เมื่อใด อย่างไร และส่วนที่สามคือ Automation (Playbook) ที่ช่วยขจัดงานซ้ำเดิม มีรูปแบบ หรือที่กินเวลาของผู้ปฏิบัติงานด้าน CSOC
จะเห็นได้ว่า SOAR ไม่ใช่เพียงแค่เครื่องมือที่สร้างการตอบสนองอย่างอัตโนมัติ แต่เป็นหัวใจที่คอยประสานงานระบบต่างๆ ซึ่งพิสูจน์ได้ผ่านความสามารถของ IBM QRadar SOAR ที่สามารถใช้งานควบคู่กับ SIEM ได้หลากหลายโดยเฉพาะกับ QRadar SIEM หรือจะรับข้อมูล EDR และเชื่อมต่อกับเครื่องมือ ITSM เพื่อสร้าง Workflow การทำงานได้อย่างสมบูรณ์ นอกจากแค่ตอบสนองผ่าน Playbook แล้ว Ansible Platform ยังเป็นอีกช่องทางที่ช่วยให้วงจรการทำงานของ CSOC เป็นไปได้อย่างครอบคลุม
Cybersecurity Operation Center (CSOC) คือศูนย์รวมของการบริหารจัดการเคสด้านความมั่นคงปลอดภัย ซึ่งเต็มไปด้วยสถานการณ์ฉุกเฉินที่ควบคุมเหตุการณ์วิกฤตต่างๆทางไซเบอร์ โดยแน่นอนว่าการวางแผนลงทุนกับ เทคโนโลยีขั้นสูงอย่าง IBM QRadar ที่เพียบพร้อมไปด้วยความสามารถมากมายเป็นเสาหลักหนึ่งในการให้บริการ CSOC
Process คืออีกหนึ่งแกนหลักสำคัญเพราะการเป็น CSOC ต้องมีกระบวนการทำงานแบบ Real-Time และต้องปฏิบัติหน้าที่อย่างรัดกุมตามลำดับชั้นของอำนาจ อย่างเช่นมีการติดต่อบุคคลตามลำดับความฉุกเฉิน หรือมีโปสเซสในการแก้ปัญหาหรือส่งต่อปัญหาอย่างเหมาะสมตามที่เอกสารระบุไว้ ซึ่งการมีโปรเซสที่ดีและเตรียมพร้อมไว้ก่อนจะช่วยให้ CSOC สามารถควบคุมสถานการณ์ได้เมื่อต้องรับมือกับเหตุการณ์วิกฤตต่างๆที่อาจเกิดขึ้นได้ตลอดเวลา
People คือแกนหลักสำคัญที่สุดเพราะบุคลากรคือผู้กำหนดทุกสิ่ง ทั้งเรื่องการเฝ้าระวัง แจ้ง Security Concern กับลูกค้า และพัฒนาระบบ หากเรามองย้อนกลับไปที่ตัวโซลูชัน SIEM และ SOAR จะเห็นได้ชัดเจนว่าสุดท้ายแล้ว จุดชี้ขาดสำคัญคือต้องถูกใช้โดยบุคคลากรที่มีประสบการณ์สูงในด้านความมั่นคงปลอดภัยถึงจะปรับจูน วิเคราะห์และแก้ไขปัญหาเฉพาะหน้าได้
นอกจากจุดแข็งสำคัญที่ทำให้ MFEC ยืนหนึ่งในผู้เล่นที่ให้บริการ CSOC as a Service แล้ว ในอนาคตทางบริษัทยังมีแผนที่จะต่อยอดสร้างศูนย์ CSOC ให้กับลูกค้าที่ต้องการลงทุนสร้างศูนย์ของตัวเองด้วยเครื่องมือชั้นนำอย่าง IBM SIEM & SOAR และพัฒนาให้สามารถรองรับ Workflow การทำงานในกลุ่มอุตสาหกรรมต่างๆ ยกระดับการรักษาความมั่นคงปลอดภัยด้าน IT ให้กับธุรกิจ ผู้สนใจสามารถติดต่อทีมงานของ MFEC ได้ที่ csoc@mfec.co.th
บริษัท เอ็ม เอฟ อี ซี จำกัด (มหาชน) : email – csoc@mfec.co.th หรือ บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด email : cu_mkt@cu.co.th หรือ โทร 02-3116881 #7156,7158