ทุกวันนี้ภัยไซเบอร์กลายเป็นสิ่งที่หลายคนและหลายองค์กรคุ้นเคยมากขึ้น เพราะมีจำนวนการโจมตีเกิดขึ้นให้เห็นอย่างต่อเนื่อง และสร้างความเสียหายรุนแรงขึ้นอย่างทวีคูณ แต่อาชีพด้านการรักษาความปลอดภัยทางไซเบอร์กลับยังขาดแคลนมากในประเทศไทย หลายองค์กรไม่มีเจ้าหน้าที่ดูแลด้าน Cybersecurity ทั้งเพราะเห็นว่ายังไม่จำเป็น หรืออาจจะคิดว่าองค์กรตัวเองไม่อยู่ในข่ายที่จะโดนโจมตี
แต่หารู้ไม่ว่าภัยไซเบอร์ไม่เลือกเวลา มีโอกาสเกิดการโจมตีได้ตลอด และทำให้เจ้าหน้าที่ระบบไอทีที่วไป ไม่สามารถจัดการหรือแก้ปัญหาได้ทันท่วงที และส่งผลเสียต่อองค์กรได้
ทางออกของปัญหานี้คือการตั้งศูนย์ปฏิบัติการ Cyber Security Operations Center (CSOC) เพื่อนำมาใช้เฝ้าระวังภัยด้านไซเบอร์ด้วยตัวเอง แต่อุปสรรคสำคัญทั้งเรื่องเทคโนโลยี ขั้นตอนการปฏิบัติ และบุคลากร ทำให้เป็นเรื่องยากที่แต่ละองค์กรจะมี CSOC ที่มีประสิทธิภาพ
ศูนย์ Cyber Security Operations Center คืออะไร มีหน้าที่อย่างไร
ศูนย์ปฏิบัติการ CSOC คือ ศูนย์เฝ้าระวังภัยคุกคามทางด้านไซเบอร์และความปลอดภัยของระบบเทคโนโลยีสารสนเทศ มีหน้าที่เฝ้าระวัง ตรวจสอบ วิเคราะห์ และให้คำแนะนำแก่ผู้ดูแลระบบในการรับมือ ป้องกัน การถูกบุกรุกทางไซเบอร์ หรือการเข้าถึงระบบโดยไม่ได้รับอนุญาต มายังระบบหรืออุปกรณ์สำคัญขององค์กร ตลอดจนโครงสร้างพื้นฐานด้านความปลอดภัย
CSOC จะต้องมีเจ้าหน้าที่ผู้เชี่ยวชาญในการเฝ้าระวังภัยคุกคามตลอด 24 ชั่วโมง เมื่อตรวจพบเหตุการณ์ต้องสงสัย เจ้าหน้าที่จะทำการวิเคราะห์ข้อมูลแวดล้อมของเหตุการณ์ ประเมินระดับความรุนแรงของเหตุกาณ์ พร้อมทั้งให้คำแนะนำเบื้องต้นในการรับมือ จัดการกับปัญหาที่เกิดขึ้น เพื่อลดผลกระทบ และลดความเสียหายที่อาจเกิดขึ้นกับระบบเทคโนโลยีสารสนเทศ รวมถึงการดำเนินธุรกิจ
องค์ประกอบสำคัญของ CSOC
ทีมงาน หรือ บุคลลากร (People) - บุคลากรต้องมีความรู้ ความสามารถ มีประสบการณ์ ผ่านการอบรมด้าน Cybersecurity ที่มีการรับรอง Certification และความเชี่ยวชาญเฉพาะด้าน เกี่ยวกับการรักษาความปลอดภัยทางไซเบอร์ เป็นปัจจัยหลักหนึ่งปัจจัยในการสร้างศูนย์ CSOC โดย Blue team, Red team และผู้ดูแลระบบจะทำงานร่วมกันตาม Cyber Security Incident Response Cycle ได้แก่
- Preparation - เตรียมความพร้อม รับมือเหตุการณ์
- Detection & Analysis - ตรวจสอบและวิเคราะห์
- Containment Eradication - จำกัดและกักกันความเสียหายที่อาจเกิดขึ้น
- Recovery - การกู้คืน
- Post Incident - ประเมินหลังเกิดเหตุ
เพื่อให้การบริหารจัดการครอบคลุมตั้งแต่ การรับมือ จัดการกับปัญหา แก้ไขปัญหา รวมถึงป้องกันภัยคุกคามไซเบอร์ที่อาจเกิดขึ้นและส่งผลกระทบต่อระบบ
ขั้นตอนการปฏิบัติงาน (Process) - ขั้นตอนการปฏิบัติภายในศูนย์ CSOC ต้องเป็นไปอย่างเป็นระบบ ได้มาตรฐาน ควบคู่กับบุคลากรที่มีความเชี่ยวชาญเพื่อเพิ่มประสิทธิภาพและควบคุมการทำงานให้ดำเนินงานไปในทิศทางเดียวกันอย่างถูกต้อง เช่น Incident Management Procedure, Escalation Procedure, Knowledge Management, Threat Hunting Procedure, Incident Drill /Attack & War gaming, Reporting and Compliance, ISO 27001 : 2013, BCM & BCP Management, NIST Cybersecurity Framework และ Awareness Training เป็นต้น
เทคโนโลยีที่มีประสิทธิภาพ (Technology) - การมีเทคโนโลยีที่มีประสิทธิภาพในการตรวจจับภัยคุมคามที่มีการพัฒนารูปแบบใหม่ ๆ และความซับซ้อนมากยิ่งขึ้นเป็นสิ่งจำเป็นมากในการจัดตั้งศูนย์ปฏิบัติการ CSOC ซึ่งจะต้องมีการเครื่องมือที่ใช้ในการตรวจจับภัยคุกคามไซเบอร์ที่ใช้เทคโยโลยีที่ทันสมัย ได้แก่ ระบบ Security Information Event Management หรือ SIEM ในการบริหารจัดการ เก็บรวบรวมข้อมูล และประมวลผลข้อมูล วิเคราะห์เหตุกาณ์ (Correlate) ที่ผิดปกติ จากการสร้าง Use Case และ การใช้ Machine Learning Model ผนวกกับการนำเข้าข้อมูล Threat Intelligence เพื่อเพิ่มความสามารถในการตรวจจับภัยคุกคามไซเบอร์ในรูปแบบใหม่ ๆ และการนำไปใช้ในการทำ Threat Hunting รวมถึงมีการทำ Incident Response แบบ Automation โดยใช้ SOAR (Security Ochestrator and Automate Response)
SIEM หัวใจสำคัญการตรวจจับภัยไซเบอร์
ระบบ SIEM มีส่วนสำคัญในการเฝ้าระวัง ตรวจจับและแจ้งเตือนภัยคุกคาม ทำให้ผู้ดูแลระบบสามารถรับมือได้อย่างรวดเร็ว ช่วยให้องค์กรปฏิบัติตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 มาตรา 56 ที่ระบุว่า “หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ต้องกำหนดให้มีกลไกหรือขั้นตอนเพื่อการเฝ้าระวังภัยคุกคามทางไซเบอร์หรือเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศของตน ตามมาตรฐานซึ่งกำหนดโดยหน่วยงานควบคุมหรือกำกับดูแล และตามประมวลแนวทางปฏิบัติฯ”
สำหรับองค์กรขนาดใหญ่ที่เป็น Critical Information Infrastructure หรือ CII ที่มีการเก็บ Log จำนวนมากจากอุปกรณ์รักษาความปลอดภัยภายในเครือข่าย จึงเลือกจัดตั้ง ศูนย์ปฏิบัติการ CSOC ที่มี SIEM บริหารจัดการหรือให้หน่วยงานภายนอกที่มีบริการศูนย์ CSOC รูปแบบเฝ้าระวังภัยคุกคามทางไซเบอร์และมีเจ้าหน้าที่ผู้เชี่ยวชาญ ด้าน Cybersecurity ตลอด 24×7 เพื่อให้สามารถปฏิบัติได้ตามที่กฎหมายกำหนด
แต่สำหรับหน่วยงานที่ไม่ถูกระบุเป็น CII ก็สามารถใช้ SIEM แบบ Open source บริหารจัดการเองได้เช่นกัน สำหรับในบทความนี้จะกล่าวถึง SIEM คืออะไร ทำอะไรได้บ้าง และทำไมถึงสำคัญ
SIEM คืออะไร
Security Information & Event Management (SIEM) คือ ระบบ Automation ที่ใช้ในการจัดการและวิเคราะห์กับ Log และ Event ต่าง ๆ ด้านความปลอดภัยขององค์กร ไปจนถึงทำการ Alert ระบุตำแหน่งของภัยคุกคามให้ทีม CSOC ทราบเมื่อมี Event ที่ผิดปกติ ทำให้องค์กรสามารถป้องกัน และตอบสนองภัยคุกคามได้อย่างรวดเร็ว
SIEM เปรียบเหมือนศูนย์กลางในการรวบรวมข้อมูลและเป็นตัวคัดกรอง Event ระหว่าง IT Framework และ Security Framework รวมทั้งยังรวบรวมข้อมูลจากระบบ Host, Network, Firewall, Antivirus และอุปกรณ์ Security ต่าง ๆ SIEM สร้าง Threat Rules ทำให้ทราบถึง Insight ของ Attacker จนเข้าใจ Tactics, Techniques และ Procedures ของ Attacker (TTPs) รวมทั้งรู้ถึง Indicators of Compromise (IOCs) องค์ประกอบของ Threat Detection สามารถช่วยให้ตรวจเจอภัยคุกคามใน Emails, ทรัพยากร Cloud, แอปพลิเคชัน, ทรัพยากร External Threat Intelligence และ Endpoints
เมื่อเกิดเหตุหรือมีการระบุ Event, Analyzed และ Categorized จากนั้น SIEM จะทำการจัดส่งรายงานและแจ้งเตือนไปยังทีมงานผู้เกี่ยวข้องในองค์กร ซึ่งในส่วนนี้อาจรวมถึง User และ Entity Behavior Analytics (UEBA) ที่จะช่วยวิเคราะห์พฤติกรรม กิจกรรม เพื่อมอนิเตอร์ ติดตามพฤติกรรมที่ไม่ปกติ ซึ่งอาจบ่งชี้ถึงภัยคุกคามที่กำลังจะเกิดได้
SIEM ทำอะไรได้บ้าง
1. การจัดเก็บข้อมูล Log - SIEM จัดเก็บรวบรวมข้อมูลต่าง ๆ ที่ใช้ในการตรวจสอบความปลอดภัย โดยสามารถเก็บรวบรวมข้อมูลได้จากหลากหลายแหล่งที่มา ไม่ว่าจะเป็น Firewalls, Server, EDR, XDR หรือแหล่งข้อมูลความปลอดภัยอื่น ๆ ไปจนถึง Device หรือ Computer ที่มีการใช้งานในองค์กร
2. การวิเคราะห์ตรวจสอบภัยคุกคาม (Threat Hunting and Detection) - วิเคราะห์หรือตรวจสอบช่องโหว่ของระบบต่าง ๆ ที่มีความซับซ้อนได้ ระบบอัตโนมัติสามารถเชื่อมโยงพฤติกรรม การกระทำ หรือกิจกรรมต่าง ๆ ที่เป็นความเสี่ยงให้เกิดภัยคุกคามทางไซเบอร์ได้
SIEM เป็นหัวใจในการทำ Threat Hunting (การไล่ล่าภัยคุกคาม) โดยการ Integrate SIEM เข้าศูนย์กลางการทำงานของ Threat Investigation Tools (เครื่องมือตรวจสอบภัยคุกคาม) ช่วยให้สามารถตรวจเจอภัยคุกคามที่อาจเกิดจะเกิดขึ้นได้
3. ติดตามภัยคุกคามได้แบบ Realtime - ช่วยประหยัดเวลาในการค้นหาและระบุตำแหน่งของจุดอ่อนภายในระบบ ทำให้รู้ช่องโหว่ที่ต้องแก้ไขได้อย่างรวดเร็ว จากการวิเคราะห์และแจ้งเตือนให้แก่ทีม CSOC เพื่อให้สามารถตรวจสอบกิจกรรม หรือระบบที่เกิดขึ้นได้อย่างทันท่วงที
4. การจัดหมวดหมู่ Event ของภัยคุกคาม - จัดหมวดหมู่ของภัยคุกคาม ไม่ว่าจะเป็นภัยในอีเมลระบบคลาวด์ แอปพลิเคชัน แหล่งข้อมูลภายนอก พร้อมกับระบุตำแหน่งจุดเสี่ยงที่ต้องแก้ไขได้
5. ลดเวลา Response time - โดยใช้ Enhance Situational Awareness ระบบของ SIEM สามารถใช้ประโยชน์จาก Threat Intelligence ทั่วโลก เพื่อสามารถค้นพบเหตุการณ์การสื่อสารที่น่าสงสัย หรือ Malicious IP ที่เป็นอันตราย พร้อมทั้งยังสามารถระบุตำแหน่งที่อาจถูกโจมตีได้ ลดเวลา Response time สามารถจัดการภัยคุกคามที่ผลต่อระบบของเราอย่างรวดเร็วเช่นกัน
6. การทำงานร่วมกับระบบด้านความปลอดภัยอื่น ๆ - ทำงานร่วมกับระบบด้านความปลอดภัยอื่น ๆ เช่น SOAR, EDR และ XDR เป็นต้น ทำให้การตรวจสอบเหตุการณ์ ช่องโหว่ ความเสี่ยง และค้นหาภัยคุกคาม มีประสิทธิภาพมากยิ่งขึ้น รวมไปถึงอาจใช้ระยะเวลาน้อยลงอีกด้วย
7. การแสดงผลข้อมูล Dashboard - สามารถแสดงผลเป็น Dashboard ที่ง่ายสำหรับทีม CSOC หรือ Admin ในการเรียกดูข้อมูล Log, Alerts, ลำดับของเหตุการณ์ รวมไปถึงสามารถตรวจสอบในเชิงลึกได้ง่ายยิ่งขึ้น
กระบวนการทำงานของ SIEM มีอะไรบ้าง
- การรวบรวมข้อมูล (Data Collection) เป็นการรวบรวมข้อมูลจากแหล่งข้อมูลความปลอดภัยในระบบหรือเครือข่ายทั้งหมด เช่น ข้อมูล Log ระบบปฏิบัติการ ซอฟต์แวร์ป้องกันไวรัส ระบบป้องกันการบุกรุก Server และ Firewall เป็นต้นเพื่อทำการบันทึกข้อมูลเก็บไว้ก่อนนำไปวิเคราะห์หาจุดอ่อนภายในระบบในคราวเดียว ช่วยให้ประหยัดเวลาและพื้นที่ในการดำเนินงาน
- ข้อกำหนด (Policies) คือสิ่งที่ถูกสร้างโดย SIEM administrator เพื่อกำหนดพฤติกรรมของ Enterprise system (ระบบศูนย์กลางของทั้งองค์กร) ภายใต้สถานการณ์ปกติและระหว่างเหตุการณ์ด้านความปลอดภัยที่อาจเกิดขึ้น SIEMs มีความสามารถสร้าง default rules, การแจ้งเตือน, รีพอร์ท และแดชบอร์ด ที่สามารถปรับแต่งให้สอดคล้องกับความจำเป็นด้านความปลอดภัยที่เราต้องการเฉพาะ
- การจัดการความสัมพันธ์ (Data consolidation and correlation) โดย SIEM จะจัดเรียงแปลงข้อมูล วิเคราะห์ และหาความสัมพันธ์ของ Log ต่าง ๆ ที่ทำการเก็บมา แล้วจัดประเภทข้อมูลและข้อกำหนด เพื่อให้ได้ตำแหน่งของจุดเสี่ยงที่อาจถูกภัยคุกคามทางไซเบอร์โจมตีได้
- การแจ้งเตือน (Alerts & Notifications) ถ้ามี event หรือ set ของ event trigger กับ SIEM rule ระบบจะแจ้งเตือนเจ้าหน้าที่ด้าน Security
สรุป CSOC ทางออกสำหรับองค์กรในการป้องกันภัยไซเบอร์
การจัดตั้งศูนย์ CSOC ต้องมีองค์ประกอบสำคัญ 3 ส่วน คือ บุคลากร, เทคโนโลยี และขั้นตอนการปฏิบัติงาน ซึ่งทางออกสำหรับองค์กรอาจเลือกจัดหางบประมาณ เตรียมบุคลากร เทคโนโลยี และวางขึ้นตอนปฏิบัติที่ได้มาตรฐาน หรือสามารถเลือกใช้ผู้ให้บริการ MSSP ในรูปแบบ SOC as a Service โดยผู้ให้บริการจะบริหารจัดการองค์ประกอบสำคัญทั้งหมด ซึ่งเป็นอีกหนึ่งทางเลือกที่จะช่วยลดเวลา และ งบประมาณในการลงทุนทุกองค์ประกอบ
NT cyfence มีบริการ Cyber Security Monitoring ที่ปฏิบัติงานผ่าน ศูนย์ปฏิบัติการ Cyber Security Operations Center (CSOC) ที่พร้อมดูแลและให้คำปรึกษา โดยในขั้นต้น สามารถติดต่อให้เราเข้าไปนำเสนอบริการได้ที่ www.cyfence.com/contact-us หรือโทร NT contact center 1888
