November 24, 2024

ความท้าทายของการบริหารจัดการศูนย์ SOC อย่างมืออาชีพ

การรักษาความปลอดภัยระบบไอที ถือเป็นหนึ่งในยุทธศาสตร์ที่สำคัญขององค์กร เพราะภัยคุกคามทางไซเบอร์ ไม่เพียงสร้างความเสียหายแก่ข้อมูลเท่านั้น แต่ยังส่งผลถึงความน่าเชื่อถือและความไว้วางใจของลูกค้า รวมถึงอนาคตของธุรกิจอีกด้วย ด้วยเหตุนี้หลายองค์กรจึงมีการจัดตั้งศูนย์ Security Operation Center (SOC) เพื่อทำหน้าที่ติดตาม เฝ้าดูและจัดการกับปัญหาภัยคุกคามทางไซเบอร์โดยตรง

อย่างไรก็ดีการจัดตั้งและบริหารจัดการศูนย์ SOC ด้วยตัวเอง ถือเป็นความท้าทายขององค์กรเป็นอย่างยิ่ง เพราะต้องคำนึงถึงปัจจัยเกี่ยวข้องต่างๆ ได้แก่

shutterstock_669170671-2

เทคโนโลยี

การจัดตั้งศูนย์ SOC เป็นการนำระบบปฏิบัติการที่หลากหลายและซับซ้อนมาประกอบกันจนทำให้เกิดประสิทธิภาพในการทำงานสูงสุด และการนำอุปกรณ์ Security Information Event Management (SIEM) มาใช้บริหารจัดการภายในศูนย์ SOC เป็นปัจจัยสำคัญที่จะช่วยหาความสัมพันธ์ (Correlate) ของเหตุการณ์ภัยคุกคามต่างๆ ที่เกิดขึ้น โดยการใช้งาน SIEM นั้น จำเป็นต้องมีผู้เชี่ยวชาญใช้ความรู้ความสามารถในการทำ Threat Hunting คือการที่รับข้อมูลจาก Threat Intelligent ต่างๆ มาเรียนรู้เพื่อสร้าง Use Case หลังจากนั้นจึงนำ Use Case เหล่านั้นทำการ Customize Rule เพื่อให้ SIEM สามารถทำงานในรูปแบบ Protection ได้มากยิ่งขึ้น ไม่ใช่เพียงแค่การ Detection เท่านั้น

ขั้นตอนการปฏิบัติงาน (Process)

ขั้นตอนการปฏิบัติงานภายในศูนย์ SOC เป็นเรื่องที่หลายๆ องค์กรอาจมองข้ามไป แต่นั่นคือสิ่งที่สำคัญที่สุดในการบริหารจัดการศูนย์ SOC โดยการนำ Process และขั้นตอนการบริหารจัดการต่างๆ มาใช้ก็เพื่อเพิ่มประสิทธิภาพและควบคุมการทำงาน ให้ดำเนินงานไปในทิศทางเดียวกันอย่างถูกต้อง

ตัวอย่างเช่น ศูนย์ SOC ของ CAT cyfence พร้อมตอบสนองต่อภัยคุกคามต่างๆ ที่เกิดขึ้นแบบ Real Time และพร้อมแก้ไขปัญหาอย่างทันท่วงที จึงจำเป็นต้องมีผู้เชี่ยวชาญเฉพาะด้านปฏิบัติงานตลอด 24 ชั่วโมง โดยแบ่งหน้าที่ปฏิบัติงานออกเป็นหลายกลุ่ม เช่น Analysis Level 1 และ Analysis Level 2 เป็นต้น การนำ Process การทำงานต่างๆ เข้ามาใช้ สามารถทำให้ผู้เชี่ยวชาญที่ปฏิบัติงานในแต่ละกลุ่ม แต่ละช่วงเวลา สามารถทำงานได้ในรูปแบบเดียวกันอย่างถูกต้องตามกระบวนการที่กำหนดไว้ จึงอาจกล่าวได้ว่า Process ต่างๆ เช่น Incident Management Procedure, Fault Process, BCM & BCP Management มีความสำคัญอย่างมากในการบริหารจัดการภายในศูนย์ Security Operation Center ให้ดำเนินไปอย่างมีประสิทธิผล อย่างไรก็ดี CAT cyfence กำหนด Process และขั้นตอนต่างๆ ที่ผู้เชี่ยวชาญจะต้องปฏิบัติทั้งสิ้น 39 Process เพื่อให้เป็นไปตามมาตรฐานเดียวกันทั้งระบบ

ทรัพยากรบุคคล

บุคลากรที่สนใจด้านการรักษาความปลอดภัยระบบไอทีถือเป็นอีกหนึ่งหัวใจสำคัญของศูนย์ SOC แต่หลายองค์กรต้องเผชิญกับปัญหาการลาออกของบุคลากรเหล่านี้มากกว่า 30% โดยเฉพาะ Analysis Level 1 การดูแลและให้ความสำคัญกับบุคลากรจึงเป็นสิ่งสำคัญ เพราะทรัพยากรบุคคลคือผู้ที่ขับเคลื่อนทั้งกระบวนการและเทคโนโลยีของศูนย์ SOC การมีนโยบายด้านบุคลากรที่ชัดเจน จะช่วยสร้างแรงดึงดูดใจ และรักษากลุ่มคนเหล่านี้ไว้ได้ เช่น การมี Career Path ที่ชัดเจนและมีผลตอบแทนที่เหมาะสม การมีแนวทางการฝึกอบรมในแต่ละ Role ที่ชัดเจน เป็นต้น

การบริหารจัดการศูนย์ SOC

การบริหารจัดการศูนย์ SOC เป็นเรื่องที่ยากมีความละเอียดและซับซ้อน รวมไปถึงแรงกดดันต่างๆ สูงมาก ต้องใช้ทั้งความรู้และความรอบรู้ในการติดตามสถานการณ์ของภัยคุกคาม (Threat) และแนวโน้มการรักษาความปลอดภัยระบบไอทีอย่างสม่ำเสมอ ยิ่งไปกว่านั้นต้องบริหารจัดการและพัฒนากำลังคน กระบวนการปฏิบัติงานภายในศูนย์ SOC ทั้งหมดเพื่อให้พร้อมกับทุกสถานการณ์ที่อาจจะเกิดขึ้น

งบประมาณในการลงทุน

การลงทุนจัดตั้งศูนย์ SOC นั้น จำเป็นต้องใช้เงินลงทุนสูงมากในช่วงเริ่มต้น และยังคงต้องลงทุนอย่างต่อเนื่องในแต่ละปี ทั้งในเรื่องของการติดตั้งระบบต่างๆ เช่น SIEM อุปกรณ์รักษาความปลอดภัยอื่นๆ ระบบเก็บข้อมูล ระบบ Ticketing การปรับปรุงศูนย์ SOC ให้ทันสมัยพร้อมใช้งานอย่างสม่ำเสมอ รวมถึงยังมีค่าใช้จ่ายเกี่ยวกับคน เช่น ค่าอบรมพัฒนาบุคลากร เป็นต้น

การให้มืออาชีพมาช่วยดูแล

ปัจจัยความสำเร็จ 5 ประการ ที่กล่าวมาข้างต้นเป็นสิ่งสำคัญสำหรับองค์กรที่ต้องการจัดตั้งศูนย์ Security Operation Center ด้วยตนเอง ต้องมั่นใจว่าจะสามารถบริหารจัดการทั้ง 5 ประการเหล่านี้ได้สำเร็จ เพื่อให้ได้มาซึ่งศูนย์ SOC ที่ปฏิบัติงานได้เต็มประสิทธิภาพ แต่หากองค์ใดมองหาทางเลือกในการจัดตั้งศูนย์ SOC การเลือกเอาต์ซอร์สการบริหารจัดการให้กับมืออาชีพ ผ่านบริการ Managed Security Service Provider (MSSP) นับว่าเป็นหนึ่งในทางเลือกที่น่าสนใจ ทั้งในเรื่องการลดค่าใช้จ่ายการลงทุน และความเชี่ยวชาญของบุคลากร

CAT cyfence ในฐานะที่เป็น MSSP รายใหญ่ในประเทศ เราเป็นพันธมิตรกับผู้ให้บริการสื่อสารต่างๆ มากมายหรือแม้แต่ภาครัฐอย่างกรมสอบสวนคดีพิเศษ (DSI) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) และ ThaiCERT โดย CAT cyfence จะประสานงานกับหน่วยงานต่างๆ เมื่อต้องการขอความร่วมมือหรือแจ้งข่าวสารเมื่อเกิดเหตุการณ์ที่ผิดปกติ หรือหากเกิดเหตุ Phishing CAT cyfence จะประสานงานผู้ให้บริการสื่อสารอื่นๆ ในการปิดกั้นการเข้าถึงเว็บ Phishing นั้นๆ ซึ่งการเลือกใช้บริการ MSSP จะมีค่าใช้จ่ายต่ำกว่าการตั้งศูนย์ SOC เองถึง 20 – 30% (ประเมินค่าใช้จ่ายรวม 3 ปี)

ตั้งศูนย์ SOC เองหรือเลือกใช้บริการ MSSP ดี??

สำหรับองค์กรขนาดกลางการเลือกใช้บริการ MSSP เป็นทางเลือกที่ดี เพื่อลดการลงทุนที่สูงในการติดตั้งระบบปฏิบัติการและบุคลากร แต่สำหรับองค์กรขนาดใหญ่ การจัดตั้งศูนย์ SOC ด้วยตนเองทั้งระบบ หรือทำในลักษณะ Hybrid Model คือการเอาต์ซอร์สงานบางส่วนให้ MSSP เช่น การ Monitoring และ Threat Hunting นับเป็นตัวเลือกที่น่าสนใจ

การจัดทำศูนย์ SOC ในลักษณะ Hybrid Model ถือเป็นการแบ่งเบาความเสี่ยงที่อาจจะเกิดขึ้น โดยนำงานบางอย่างที่บุคลากรภายในยังไม่เชี่ยวชาญ ให้ MSSP บริหารจัดการ ส่วนองค์กรเป็นผู้กำกับดูแลและดำเนินการศูนย์ SOC ที่จัดตั้งในเรื่อง Capacity Planning, Security Roadmap, Security Admin นับได้ว่าเป็นทางเลือกที่ดี น่าสนใจและวางใจได้

หากท่านกำลังมองหา MSSP ที่น่าเชื่อถือสำหรับจัดตั้งศูนย์ SOC ภายในองค์กร CAT cyfence มีความพร้อมสูงสุดในการให้บริการ Managed Security Service (MSS) ด้วยรางวัล “ผู้ให้บริการรักษาความปลอดภัยเทคโนโลยีสารสนเทศยอดเยี่ยมแห่งปี 2017 Frost & Sullivan Managed Security Service Provider of the Year” 2 ปี ติดต่อกัน

บทความโดย : คุณกัณณิกา วรคามิน ผู้จัดการฝ่ายพัฒนาผลิตภัณฑ์ความปลอดภัยเทคโนโลยี

Banner CAT MAG 300x300 Pixels