ทำความเข้าใจ Security Operations Center (SOC) Rapid7

ทำความเข้าใจ Security Operations Center (SOC) Rapid7

 

At a Glance:

ศูนย์การรักษาความปลอดภัย หรือ SOC ทำหน้าที่คล้ายสำนักงานใหญ่ด้านความปลอดภัยในเครือข่าย ที่ซึ่งเป็นศูนย์รวมของทั้งหน่วยงานจริงและในรูปแบบเสมือนที่ใช้ในการทดสอบระบบ เพื่อเอื้อในการตอบสนองปัญหาด้านความปลอดภัยและเหตุการณ์ฉุกเฉินที่อาจจะเจอได้อย่างไม่คาดคิด  ซึ่งโมเดลในลักษณะนี้จะถูกใช้กันโดยกว้างขวางในชื่อ IDR ที่จะสามารถจำลอง และมีการจัดการความปลอดภัยได้ในขั้นสูงเลยทีเดียว

โดยศูนย์รักษาความปลอดภัยในรูปแบบนี้อาจจะแตกต่างจากที่คุณคิด จินตนาการเหมือนในภาพยนตร์แบบสงครามโลกที่จะต้องนั่งประชุมกันในห้องมืด และมีการวางแผนอย่างซับซ้อน แต่ถึงจะแตกต่างกันเพียงไร เป้าหมายก็ยังคงเหมือนกันก็คือ “การป้องกันภัยคุกคามและบริหารความเสี่ยงที่จะเข้ามา”

 

ใครคือคนที่ต้องการ “Security Operations Center (SOC)

ไม่ว่าองค์กรจะมีขนาดเล็กหรือขนาดใหญ่ก็ล้วนที่จะต้องการความปลอดภัยกันทั้งนั้น ซึ่งในบางองค์กรก็อาจจะมีทีมเฉพาะด้านในตรวจสอบและดูแลความปลอดภัยกันอยู่แล้ว แต่อย่างไรก็ตามเหตุการณ์ด้านความปลอดภัยนี้อาจจะเกิดขึ้นได้ตลอดเวลา ซึ่งในบางครั้งทีมงานความปลอดภัยขององค์กรอาจจะไม่สามารถดูแลได้ตลอดเวลา อีกทั้งยังมีความซับซ้อนในระดับสูงอีกด้วย

แต่ไม่ว่าปัญหาที่เกิดขึ้นจะมีความซับซ้อนเพียงใด SOC จะสามารถช่วยทีมงานความปลอดภัยขององค์กรดูแล และบริหารจัดการข้อมูลและสร้างความปลอดภัยขององค์กรได้ดียิ่งขึ้น นอกจากนั้น SOC ยังเป็นศูนย์กลางเชิงยุทธศาสตร์เพื่อให้ทีมงานทราบถึงสิ่งที่ใหญ่กว่า แนวโน้มด้านความปลอดภัยในระยะยาวอีกด้วย

สำหรับศูนย์ความปลอดภัยทั่วไปจะทำหน้าที่ “แจ้งเตือนข่าวสารด้านความปลอดภัย” “ตรวจสอบภัยคุกคามที่จะเข้ามา” ซึ่งก็จะสามารถสร้างความปลอดภัยได้ในระดับหนึ่ง “แต่ส่วนนี้ SOC จะสามารถทำงานได้เหนือกว่าไปอีกขั้นในการตรวจสอบรายงานเหล่านั้นว่าผิดพลาดหรือไม่ เพราะบางครั้งสิ่งเหล่านั้นก็อาจจะไม่ใช่ภัยคุกคามก็ได้” และหากการทำงานของ SOC มีประสิทธิภาพสูงก็จะสามารถตอบสนองและเหมาสมเป็นอย่างมากในการกู้คืน และดูแลข้อมูลของเจ้าหน้าที่ในองค์กร

SOC ถือเป็นการรวมตัวของระบบที่มีประสิทธิภาพสูงในการรักษาความปลอดภัยด้านเครือข่ายขององค์กร มีการทำงานที่ซับซ้อน เหมาะกับการทำงานที่มีเครือข่ายที่จะต้องใช้งาน ซึ่งด้วยเหตุผลนี้เองทำให้ SOC เหมาะกับงานใช้งานในเครือข่ายขององค์กรมากกว่าการใช้ภายในบ้าน

 

Laying the Groundwork (การวางรากฐาน)

ระบบความปลอดภัยที่ดีจะต้องมาจากรากฐานที่มั่นคงด้วยเช่นเดียวกัน ซึ่งองค์กรเองจะต้องวางรากฐานไว้ให้มั่นคงก่อนที่จะใช้ SOC อย่างมีประสิทธิภาพ

ประการแรกคือ “การมีโปรแกรมจัดการเบื้องต้นที่ดี” ซึ่งในส่วนนี้รวมถึงเทคโนโลยีในการป้องกันภัยคุกคามต่างๆ รวมถึงระบบการแสกนหาช่องโหว่อย่างสม่ำเสมอและสามารถเชื่อมโยงกับส่วนอื่นๆได้อีกด้วย

ประการที่สองคือ “แผนตอบสนองต่อเหตุการณ์ที่เกิดขึ้น” การวางแผนการรับมือที่มีประสิทธิภาพ โดยมีเป้าหมายที่ชัดเจนจะใช้ให้ SOC ในโปรแกรม IDR เพิ่มประสิทธิภาพในการตรวจจับภัยคุกคาม และตอบสนองปัญหาที่จะเข้ามาทำลายระบบเครือข่ายได้เป็นอย่างดี

ประการที่สามคือ “ขั้นตอนการกู้คืนอย่างเป็นระบบ” ซึ่งเมื่อการภัยคุกคามจนสร้างความเสียหายให้กับข้อมูลแล้ว จะสามารถมีแผนรับมือที่ดี ซึ่งแผนที่ดีจะทำให้องค์กรคุณสามารถกู้ข้อมูลและดำเนินงานได้ตามปกติ ไม่ส่งผลกระทบต่องานและองค์กร

 

Getting Started (เริ่มสร้าง SOC ที่มีประสิทธิภาพสูง)

ก่อนที่จะเริ่มมี SOC ที่มีประสิทธิภาพสูงนั้น องค์กรควรจะพิจารณาถึงความซับซ้อนของระบบความปลอดภัย ซึ่งอาจจะจ้างหน่วยงานภายนอก หรือดำเนินการด้วยตัวเองนั้นก็จะต้องมีองค์ประกอบ 3 อย่างดังนี้

 

“People” : หัวใจสำคัญหลักในการสร้าง SOC ที่ดี ซึ่งความเข้าใจในระบบของผู้ใช้งานไม่ว่าจะเป็นการตรวจสอบและการวิเคราะห์ SOC จะต้องมีพื้นฐานด้านความปลอดภัยในเทคโนโลยีเครือข่ายเสียก่อน โดยหากมีผู้ชำนาญการในองค์กรอยู่แล้วก็ไม่ใช่ปัญหา

แต่ประสิทธิภาพจะเกิดขึ้นได้ก็ต่อเมื่อในแต่ละระบบจะต้องมีการแบ่งหน้าที่การดูแลได้อย่างลงตัว รู้หน้าที่ของตัวเองว่าใครรับผิดชอบระบบไหน ส่วนไหน ทีมวิเคราะห์เมื่อพบข้อผิดพลาดก็จะต้องแจ้งเตือนให้ทีมแก้ไขได้อย่างรวดเร็ว ในทางเดียวกันทีมแก้ไขก็จะต้องอุดช่องโหว่ให้ได้อย่างรวดเร็วด้วยเช่นเดียวกันเมื่อได้รับแจ้ง

ซึ่งปัญหาที่พบได้มากที่สุดในองค์กรก็คือ “ความชัดเจนและลำดับในการทำงาน” จึงทำให้เกิดช่องโหว่ขึ้นกับระบบความปลอดภัย ง่ายต่อการเข้าถึงได้ของ “ภัยคุกคาม”

“Technology” : SOC คือส่วนหนึ่งของความปลอดภัยทางเทคโนโลยี ซึ่งการตัดสินใจว่าอะไรที่เหมาะกับ SOC การประสานงานระหว่าง บุคลากรและเทคโนโลยีคือส่วนสำคัญการวิเคราะห์พฤติกรรมของผู้ใช้ การตรวจสอบการทำงานอย่างเป็น Real Time และการคอยอัปเดตเทคโนโลยีใหม่อยู่เสมอ และว่าจะมีตัวไหนที่สามารถแทนที่เทคโนโลยีแบบเก่าได้

“Processes” : ในส่วนของกระบวนการ คือการสร้างขั้นตอนระหว่างบุคคลและเทคโนโลยีที่เคยได้กล่าวกันไปแล้ว ซึ่งเมื่อหากเริ่มใช้ SOC คือการเริ่มต้นทำความเข้าใจรายงานความปลอดภัย การอ่านค่าต่างๆ เพื่อให้มีความเข้าใจในการรวบรวมและวิเคราะห์เมตริกได้ กระบวนการเหล่านี้จะต้องมีความแม่นยำเพียงพอที่จะทำให้แน่ใจได้ว่ามีการจัดการนำไปสู่การหาต้นตอและแก้ปัญหาได้อย่างตรงจุด ซึ่งหากทำงานโดยไร้ขั้นตอน ก็จะยิ่งทำลายประสิทธิภาพของ SOC ลงไปได้

 

โดยประเด็นทั้งหมดคือ “การทำความเข้าใจเกี่ยวกับหัวใจของการรักษาความปลอดภัยในเครือข่าย” ซึ่งการประสานงานของทั้ง 3 ปัจจัยจะเป็นการสร้างประสิทธิภาพสูงสุดของ SOC ตั้งแต่การเริ่มใช้เลยทีเดียว