MFEC เตรียมเดินหน้าสร้างศูนย์ CSOC ให้ลูกค้า ด้วยเครื่องมือที่พร้อมและครบครันจาก IBM

By sponsored on Tag: Computer Union, MFEC, CSOC, Advertorial
Computer Union

การป้องกันภัยคุกคามไม่ได้ถูกจำกัดเพียงแค่ตัวโซลูชันเพียงอย่างเดียว แต่การป้องกันที่ดียังต้องอาศัยผู้เชี่ยวชาญเข้ามาถ่ายทอดองค์ความรู้ให้กลายเป็น Rule หรือมาตรการบางอย่างเพื่อใช้ป้องกันเหตุการณ์ที่เกิดขึ้น ซึ่งในองค์กรขนาดใหญ่มักจะมีห้องรวมตัวสำหรับเหล่าผู้เชี่ยวชาญที่คอยติดตามภาวะภัยคุกคามที่รู้จักกันในชื่อ Cybersecurity Operation Center (CSOC) โดยมีหน้าที่หลายด้านที่ช่วยบริหารจัดการด้านความมั่นคงปลอดภัยเช่น มอนิเตอร์และตรวจสอบเหตุการณ์ด้านความมั่นคงปลอดภัย ตอบสนองเหตุภัยคุกคาม บริหารจัดการช่องโหว่และภัยคุกคาม แต่ทั้งหมดต้องอาศัยความเชี่ยวชาญและประสบการณ์จากบุคลากร

นอกจากประเด็นเรื่องของบุคลากรด้านความมั่นคงปลอดภัยแล้ว เครื่องมือหรือซอฟต์แวร์ที่เกี่ยวข้องกับ CSOC ก็เป็นอีกปัจจัยที่ต้องลงทุนสูง เช่น เครื่องมือ SIEM และ SOAR เป็นต้น อย่างไรก็ดีผู้ใช้งานก็ยังต้องสามารถปรับแต่งการใช้งานให้เข้ากับบริบทขององค์กรด้วย สุดท้ายแล้วยังคงต้องอาศัยผู้เชี่ยวชาญเช่นเคย ด้วยเหตุนี้เราถึงไม่ค่อยพบ CSOC ในองค์กรขนาดเล็ก เพราะหากลงทุนเองอาจไม่คุ้มค่ากับต้นทุนของธุรกิจ

แต่ภัยคุกคามกลับเป็นหัวข้อที่ละเลยไม่ได้เช่นกัน ด้วยเหตุนี้เอง MFEC จึงวางแผนในการนำเครื่องมือจาก IBM มาใช้ในศูนย์ CSOC ของลูกค้า เพื่อปิดช่องโหว่ และทำให้สามารถตอบสนองกับภัยคุกคามที่เกิดขึ้นได้ตลอดเวลา

###SIEM คืออะไร

SIEM (Security Information and Event Management) เกิดขึ้นมานานแล้วราวปี 2005 โดยเริ่มแรก SIEM พูดถึงเรื่องการรวบรวม Log จาก Application, Endpoint และ Network Device เข้าด้วยกัน แม้จะมีข้อมูลและอีเวนต์ด้าน Security ทั้งหมดแต่กลับขาดเรื่อง Incident Response และ Visualize พร้อมกับไม่สามารถตอบโจทย์การโจมตีที่ซับซ้อนได้เพราะยังขาดข้อมูลจาก Antivirus, IPS, Firewall และอื่นๆ ด้วยเหตุนี้เอง SIEM รุ่นใหม่ๆจึงเริ่มเพิ่มความสามารถของ Big Data, Real-time Analysis, Machine Learning และการวิเคราะห์เชิงพฤติกรรมเข้ามาด้วยการสร้าง Based-line อย่างไรก็ดีแม้จะดูเก่งขึ้นจนสามารถลดเวลาการตรวจพบพฤติกรรมผิดปกติ จึงลดระยะเวลาที่ระบบถูกแทรกแซง แต่ท้ายที่สุดแล้ว ทีม SOC ก็ยังคงถูกกระหน่ำด้วยการแจ้งเตือนที่ซ้ำซ้อนและไม่แม่นยำ รวมถึงยังขาดความสามารถในการตอบสนอง incident อัตโนมัติ

###IBM QRadar SIEM

จะเห็นได้ว่า SIEM คือโซลูชันที่เกิดขึ้นมาหลายปีแล้ว แต่ยังจำเป็นต่อองค์กรและยิ่งมาจาก Vendor ชั้นนำอย่าง IBM โดยที่ผ่านมา IBM QRadar SIEM ยังอยู่ในกลุ่ม Leader จากการจัดอันดับของ Gartner มามากกว่า 12 ปี นั่นแสดงให้เห็นว่า IBM ได้มีการพัฒนา และ develop solutions ให้ดียิ่งๆขึ้นอย่างต่อเนือง ซึ่ง IBM ได้มีการจัดการความท้าทายหลายด้านของ SIEM ดังนี้

  • หลายองค์กรที่ลงทุนกับ SIEM แม้มี Threat Intelligence ก็จริงแต่ฐานข้อมูลที่มีกลับไม่ตรงกับสถานการณ์ของธุรกิจ โดยอาจต้องแสวงหาแหล่งข้อมูล Threat Intelligence เพิ่มเติม ในขณะที่ IBM X-Force มีข้อมูลจากลูกค้าระดับโลกมากมายแทบทุกประเทศ จึงสามารถให้ข้อมูลที่สอดคล้องกับธุรกิจได้ แต่หากองค์กรต้องการรับแหล่งข้อมูลใหม่เพิ่มเติมก็สามารถทำได้เช่นกัน

  • การที่ SIEM เป็นศูนย์รวมข้อมูลเพื่อทำการวิเคราะห์ต่างๆนานา ดังนั้นการรู้จักกับสินทรัพย์ที่ใช้งานและแหล่งข้อมูลได้อย่างหลากหลายจึงเป็นเรื่องที่จำเป็น โดยโซลูชัน QRadar รู้จักกับอุปกรณ์กว่า 450 ชนิด อีกทั้งสามารถตรวจสอบแหล่งที่มาของ Log ได้อย่างอัตโนมัติหรือแม้กระทั่งการเชื่อมต่อกับแอปพลิเคชันขององค์กร

  • รองรับข้อมูลจากแหล่งที่มาได้อย่างครอบคลุมเช่น

    • Endpoint : Windows Event, EDR, Sysmon และอื่นๆ
    • Network : Firewall, Gateway, Router และอื่นๆ
    • Vulnerability : Antivirus, Vulnerability Scanner, IDS/IPS, DLP และอื่นๆ
    • Cloud : IaaS, SaaS เช่น O365, SalesForce, AWS, Azure, Google Cloud
    • User and Identity : AD, LDAP และอื่นๆ
    • Application : ERP, Database, SaaS
    • Container Activity : Kubernetes

  • False Positive ถือเป็นหัวข้อหลักเมื่อพูดถึง SIEM แต่ด้วยเทคโนโลยี AI อย่าง IBM Watson ทำให้ผู้ปฏิบัติงานกับ QRadar สามารถได้รับคำแนะนำที่เกี่ยวข้องกับเหตุการณ์อย่างแท้จริง และยังการช่วยจัดลำดับความสำคัญของการแจ้งเตือน ด้วยเหตุนี้จึงย่นระยะเวลาในการพุ่งเป้าสู่สาเหตุที่แท้จริงได้ เชื่อมโยงเหตุการณ์เข้ากับเทคนิคที่คนร้ายใช้ตามเครื่องมือ MITRE ATT&CK ได้

  • คำถามที่ตอบได้ยากขององค์กรคือจะรู้ได้อย่างไรว่าบัญชีผู้ใช้ที่เคยเป็นคนดีถูกแทรกแซงแล้ว ซึ่งคงเป็นไปไม่ได้เลยหากท่านไม่เคยพิจารณาโมเดลปกติของผู้ใช้มาก่อน ทั้งนี้ IBM QRadar มีสิ่งที่เรียกว่า User Behavior Analytics ที่ช่วยวิเคราะห์ได้ว่าพฤติกรรมที่เกิดขึ้นนั้นมีความเสี่ยงต่อองค์กรหรือไม่ จากเดิมเคยเป็นอย่างไรมาก่อน ทำให้รับรู้ถึงความผิดปกติที่เกิดขึ้นได้

  • การออกรายงานมักเป็นส่วนหนึ่งของงาน SIEM โดย IBM มีรูปแบบรายงานที่รองรับกับ Compliance ของอุตสาหกรรมหรือธุรกิจ เช่น HIPAA เป็นต้น

SIEM ไม่ได้เป็นเพียงเครื่องมือที่ช่วยเหลือในแง่ของการติดตามภัยคุกคามเท่านั้น (Monitoring) แต่ยังรวมไปถึงการสืบค้นหาภัยคุกคามเมื่อเกิดการโจมตี (Forensic) หรือการใช้เพื่อตอบสนองคุกคาม (Incident Response) โดย IBM ได้เตรียม Template ในแง่มุมต่างๆเอาไว้ให้ง่ายต่อการเริ่มต้นแล้ว อย่างไรก็ดี SIEM ยังเป็นเทคโนโลยีเก่าที่จำเป็น แต่เมื่อร่วมมือกับสิ่งที่เรียกว่า SOAR การปฏิบัติงานของ CSOC ก็จะเป็นไปได้อย่างมีประสิทธิภาพสูงขึ้น

###ความหมายของ SOAR และ IBM QRadar SOAR

ปี 2015 SOAR (Security Orchestration, Automate and Response) เริ่มถือกำเนิดขึ้นพร้อมความความหวังในการเพิ่มศักยภาพของ SIEM โดยแน่นอนว่าสามารถรับข้อมูลได้มากมายพร้อมตอบสนองอย่างอัตโนมัติต่อเหตุการณ์นั้นๆ แต่หัวใจสำคัญของเรื่องก็คือการผสมผสานความรู้จากคนเพื่อสร้างเป็น playbook ว่าจะปฏิบัติอย่างไรหากเกิดเหตุการณ์ต่างๆ มาถึงตรงนี้ความพยายามแย่งชิงพื้นที่ของตลาดโดยผู้ให้บริการ SIEM นั้นต่างแข่งกันเพิ่มความสามารถของ SOAR เพื่อให้กลายเป็นโซลูชัน Standalone ที่จบงานได้

ในประเด็นของ SOAR มีอีกหลายความหมายที่ซ่อนอยู่ เนื่องจาก SOAR อ้างอิงมาจากซอฟต์แวร์ที่ถูกใช้โดยทีมงานด้านความมั่นคงปลอดภัย ส่วนแรกคือประเด็นของ Case and Workflow Management ที่พูดถึงแนวทางของ Best Practice ในด้านการบริหารจัดการช่องโหว่ว่าทุก Incident ต้องถูกบันทึกเป็นเอกสารประกอบกับความรู้ที่เกี่ยวข้อง ด้วยเหตุนี้เองโซลูชันของ SOAR จึงมักมี Workflow ที่เกิดขึ้นได้บ่อยๆ หรือมีช่องทางให้องค์กรสามาถรถปรับแต่งได้เองตามความต้องการ

ส่วนที่สองเกี่ยวกับความหมายของ Security Orchestration ก็คือการเชื่อมโยงเครื่องมือด้านความมั่นคงปลอดภัย และระบบในมุมต่างๆ มาตอบสนองต่อ Workflow การทำงานขององค์กร ซึ่งไอทีเป็นคนกำหนดว่าโปรเซสใดควรมีระบบที่ทำงานได้อย่างอัตโนมัติ เมื่อใด อย่างไร และส่วนที่สามคือ Automation (Playbook) ที่ช่วยขจัดงานซ้ำเดิม มีรูปแบบ หรือที่กินเวลาของผู้ปฏิบัติงานด้าน CSOC

จะเห็นได้ว่า SOAR ไม่ใช่เพียงแค่เครื่องมือที่สร้างการตอบสนองอย่างอัตโนมัติ แต่เป็นหัวใจที่คอยประสานงานระบบต่างๆ ซึ่งพิสูจน์ได้ผ่านความสามารถของ IBM QRadar SOAR ที่สามารถใช้งานควบคู่กับ SIEM ได้หลากหลายโดยเฉพาะกับ QRadar SIEM หรือจะรับข้อมูล EDR และเชื่อมต่อกับเครื่องมือ ITSM เพื่อสร้าง Workflow การทำงานได้อย่างสมบูรณ์ นอกจากแค่ตอบสนองผ่าน Playbook แล้ว Ansible Platform ยังเป็นอีกช่องทางที่ช่วยให้วงจรการทำงานของ CSOC เป็นไปได้อย่างครอบคลุม

###Technology, Process และ People หัวใจสำคัญของ CSOC as a Service จาก MFEC

Cybersecurity Operation Center (CSOC) คือศูนย์รวมของการบริหารจัดการเคสด้านความมั่นคงปลอดภัย ซึ่งเต็มไปด้วยสถานการณ์ฉุกเฉินที่ควบคุมเหตุการณ์วิกฤตต่างๆทางไซเบอร์ โดยแน่นอนว่าการวางแผนลงทุนกับ เทคโนโลยีขั้นสูงอย่าง IBM QRadar ที่เพียบพร้อมไปด้วยความสามารถมากมายเป็นเสาหลักหนึ่งในการให้บริการ CSOC

Process คืออีกหนึ่งแกนหลักสำคัญเพราะการเป็น CSOC ต้องมีกระบวนการทำงานแบบ Real-Time และต้องปฏิบัติหน้าที่อย่างรัดกุมตามลำดับชั้นของอำนาจ อย่างเช่นมีการติดต่อบุคคลตามลำดับความฉุกเฉิน หรือมีโปสเซสในการแก้ปัญหาหรือส่งต่อปัญหาอย่างเหมาะสมตามที่เอกสารระบุไว้ ซึ่งการมีโปรเซสที่ดีและเตรียมพร้อมไว้ก่อนจะช่วยให้ CSOC สามารถควบคุมสถานการณ์ได้เมื่อต้องรับมือกับเหตุการณ์วิกฤตต่างๆที่อาจเกิดขึ้นได้ตลอดเวลา

People คือแกนหลักสำคัญที่สุดเพราะบุคลากรคือผู้กำหนดทุกสิ่ง ทั้งเรื่องการเฝ้าระวัง แจ้ง Security Concern กับลูกค้า และพัฒนาระบบ หากเรามองย้อนกลับไปที่ตัวโซลูชัน SIEM และ SOAR จะเห็นได้ชัดเจนว่าสุดท้ายแล้ว จุดชี้ขาดสำคัญคือต้องถูกใช้โดยบุคคลากรที่มีประสบการณ์สูงในด้านความมั่นคงปลอดภัยถึงจะปรับจูน วิเคราะห์และแก้ไขปัญหาเฉพาะหน้าได้

###MFEC วางแผนที่จะสร้างศูนย์ CSOC หรือให้กลุ่มลูกค้าที่ต้องการจะมีศูนย์ CSOC เป็นของตัวเอง ด้วยเครื่องมือจาก IBM SIEM & SOAR

นอกจากจุดแข็งสำคัญที่ทำให้ MFEC ยืนหนึ่งในผู้เล่นที่ให้บริการ CSOC as a Service แล้ว ในอนาคตทางบริษัทยังมีแผนที่จะต่อยอดสร้างศูนย์ CSOC ให้กับลูกค้าที่ต้องการลงทุนสร้างศูนย์ของตัวเองด้วยเครื่องมือชั้นนำอย่าง IBM SIEM & SOAR และพัฒนาให้สามารถรองรับ Workflow การทำงานในกลุ่มอุตสาหกรรมต่างๆ ยกระดับการรักษาความมั่นคงปลอดภัยด้าน IT ให้กับธุรกิจ ผู้สนใจสามารถติดต่อทีมงานของ MFEC ได้ที่ csoc@mfec.co.th

###สนใจโซลูชัน ติดต่อสอบถามข้อมูลได้ที่

บริษัท เอ็ม เอฟ อี ซี จำกัด (มหาชน) : email – csoc@mfec.co.th หรือ บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด email : cu_mkt@cu.co.th หรือ โทร 02-3116881 #7156,7158

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand