องค์กรขนาดใหญ่ที่คำนึงถึงความมั่นคงปลอดภัย นอกจากการวางมาตรการต่างๆ ให้รัดกุมแล้ว ยังจำเป็นที่จะต้องมีการตรวจสอบการเข้าถึงระบบต่างๆ ตลอดเวลา จึงจำเป็นต้องมีศูนย์ปฎิบัติการความมั่นคงปลอดภัย (Security Operation Center - SOC) เพื่อดูแลและตรวจสอบการเข้าถึงระบบต่างๆ ขององค์กรว่ามีการเข้าถึงที่ผิดปกติ หรือมีการบุกรุกจากภายนอกหรือไม่ และมีกระบวนการตอบสนองต่อการบุกรุกได้อย่างรวดเร็ว

หน้าที่หลักของศูนย์ SOC คือการตรวจสอบการเข้าถึงเครือข่ายและระบบสารสนเทศต่างๆ ขององค์กรตลอดเวลา และตรวจสอบเมื่อมีการเข้าถึงที่ผิดปกติ พร้อมกับตอบสนองต่อการโจมตีอย่างรวดเร็ว สามารถหยุดการโจมตีและเก็บข้อมูลเพื่อตรวจหาช่องทางที่อาชญากรบุกรุกเข้ามาได้อย่างแม่นยำ

สิ่งที่สำคัญที่สุดในศูนย์ SOC คือ เจ้าหน้าที่ที่ปฏิบัติการอยู่ในศูนย์นั่นเอง สถาบัน SANS ระบุแนวทางการสร้างศูนย์ SOC เอาไว้ว่าบุคลากรมีหน้าที่รับผิดชอบ 4 ระดับด้วยกัน ได้แก่

• นักวิเคราะห์การแจ้งเตือน (Alert Analyst): ทำหน้าที่ดูแลระบบอย่างต่อเนื่อง เฝ้าระวังการแจ้งเตือนจากระบบต่างๆ ว่ายังอยู่ในภาวะปกติ

• ผู้ดูแลเหตุการณ์ (Incident Responder): ทำหน้าที่ตรวจสอบเหตุการณ์ที่ผิดปกติในระดับลึกลงไป เชื่อมโยงข้อมูลจากหลายแหล่งเข้าด้วยกัน และคอยให้คำแนะนำในการแก้ไขปัญหา

• ผู้เชี่ยวชาญ (Subject Matter Expert): ผู้เชี่ยวชาญระดับลึกที่สามารถตรวจสอบเหตุการณ์ความผิดปกติที่เกิดขึ้นได้ และตรวจสอบการทำงานของมัลแวร์หรือแอปพลิเคชั่นเพื่อ หาทางปิดช่องโหว่

• ผู้จัดการ (SOC Manager): บริหารจัดการบุคคลากรในศูนย์ SOC, จัดการงบประมาณ, ตารางการทำงาน และสนับสนุนงานด้านต่างๆ เพื่อให้ศูนย์ SOC ได้มาตรฐาน

นอกจากกำลังคนศูนย์ SOC จำเป็นต้องมีอุปกรณ์หรือซอฟต์แวร์วิเคราะห์ข้อมูลเหตุการณ์บุกรุก (SIEM) ที่สามารถเชื่อมความสัมพันธ์กับเหตุการณ์บุกรุกจากอุปกรณ์ต่างๆ ได้ เช่น Server, อุปกรณ์ Security และอุปกรณ์ Network ต่างๆ ขององค์กร พร้อมกับพื้นที่จัดเก็บข้อมูลที่เพียงพอสำหรับการตรวจสอบย้อนกลับ

ทรัพยากรบุคคลและอุปกรณ์วิเคราะห์ข้อมูลเหตุการณ์บุกรุก (SIEM) ต่างๆ เป็นต้นทุนสำคัญที่ทำให้องค์กรจำนวนมากไม่มีศูนย์ SOC เป็นของตัวเอง เพราะนอกจากมีอุปกรณ์ SIEM ที่ดีแล้วบุคลากรต้องมีความเชี่ยวชาญในการวิเคราะห์ข้อมูลร่วมกันอีกด้วย

บริการ Managed Security Service จาก CAT cyfence สามารถช่วยแบ่งเบาภาระแทนการจัดตั้งศูนย์ SOC ในองค์กรได้ บริการนี้จะช่วยเฝ้าระวังความผิดปกติของระบบสารสนเทศในองค์กรตลอด 24x7 ชั่วโมง ภายใต้มาตรฐาน ISO27001 พร้อมกับเฝ้าระวังภัยใหม่ๆ และคอยแจ้งเตือนพร้อมให้คำแนะนำ เพื่อเตรียมรับมือล่วงหน้าก่อนการเกิดเหตุการณ์บุกรุก และหากมีการบุกรุกเกิดขึ้น ทาง CAT cyfence ยังมีทีมงาน CSIRT เข้าช่วยเหลือ ตรวจสอบ และให้คำแนะนำเพื่อไม่ให้เกิดเหตุการณ์ซ้ำอีก

สนใจดูข้อมูลเพิ่มเติมได้ที่ hhttps://www.catcyfence.com/it-security/it-360/better-it-security-with-soc/