www.cioworldmagazine.com

 Breaking News
  • AIS ได้รับใบอนุญาต 700 เมกะเฮิรตซ์ รองรับบริการ 5G AIS โดย แอดวานซ์ ไวร์เลส เน็ทเวอร์ค ได้สิทธิในการได้รับอนุญาต ให้ใช้คลื่นความถี่สำหรับกิจการโทรคมนาคมย่าน 700 เมกะเฮิรตซ์ สร้างความพร้อมสำหรับการให้บริการ 5G ที่จะเกิดขึ้นภายใน 2-3 ปีข้างหน้า...
  • คณะ ICT มหิดล ฯ เปิดอบรม เสริมแกร่งมืออาชีพด้านไอซีที “คณะ ICT ม.มหิดล เปิดโปรแกรมอบรม Retraining & Coaching ICT Professionals พัฒนาบุคลากรมืออาชีพด้าน ICT ให้แข็งแกร่งในยุค Thailand 4.0 โดยคณาจารย์ผู้สอนมากประสบการณ์บวกวิชาการ หลักสูตร ICT Project Management และ Data Science for Business เปิดคลาส กรกฎาคมนี้”...
  • Ricoh กับการแข่งขันในยุค Digital Workplace “บทสัมภาษณ์ พรชัย วรอังกูร ผู้บริหาร Ricoh ผู้เล่นหลักในอุตสาหกรรมอุปกรณ์สำนักงานและเทคโนโลยีไอที กับการแข่งขันที่บริบทเปลี่ยนไปสู่ดิจิทัลและการปฏิรูปธุรกิจ เพื่อก้าวไปสู่ความเป็น Dynamic Workplace Intelligence SI”...
  • KTC ปรับบริการสินเชื่อบุคคล เบิกเงินสดออนไลน์ โอนเข้าบัญชีเรียลไทม์ KTC เดินหน้าขับเคลื่อนสินเชื่อบุคคล เปิดตัวสินเชื่อมีวัตถุประสงค์ สร้างเครือข่ายพันธมิตร คัดกรองและรักษาพอร์ตคุณภาพลูกหนี้เติบโตยั่งยืน สรา้งบริการดิจิทัล เบิกถอนเงินสดออนไลน์ รับเงินโอนเข้าบัญชีแบบเรียลไทม์...
  • เอสซีจีโลจิสติกส์จับมือสตาร์ทอัพ MyCloud เสริมตลาด Fulfillment เอสซีจีโลจิสติกส์ ร่วมมือกับสตาร์ทอัพ MyCloud Fulfillment เดินหน้าใช้เทคโนโลยีดิจิทัลวิเคราะห์ข้อมูลเชิงลึก เสริมบริการ Fulfillment by SCG Logistics ช่วยพ่อค้าแม่ค้าออนไลน์พัฒนาธุรกิจให้ตอบโจทย์ลูกค้าให้ดียิ่งขึ้น รองรับ E-Commerce ที่เติบโตสูงขึ้นกว่าร้อยละ 12 จากปีที่แล้ว พร้อมขยายบริการสู่ตลาดอาเซียนและจีน...

ICT Trend Watch (ตอนที่24) ความสำคัญของศูนย์ SOCรับมือภัยไซเบอร์

ICT Trend Watch (ตอนที่24) ความสำคัญของศูนย์ SOCรับมือภัยไซเบอร์
October 30
14:14 2015

ดร.ไพโรจน์ ธรรมศีลสุวรร
ดร.ไพโรจน์ ธรรมศีลสุวรร

NEC Corporation (Thailand) &Technology Coordinator of TTC, JAPAN ผู้เชี่ยวชาญด้านไอทีและการสื่อสาร ผ่านประสบการณ์มากกว่า 10 ปี ดำรงตำแหน่งคณะอนุกรรมการวิจัยวิจัยโทรคมนาคม TRIDI และอาจารย์มหาวิทยาลัยชั้นนำของประเทศ


“ทางออกหนึ่งเพื่อการรับมือภัยคุกคามไซเบอร์ สำหรับภาคธุรกิจที่ต้องการการประมวลผลและมาตรการจัดการกับIncidentได้อย่างมีประสิทธิภาพ เป็นระบบคือการเลือกใช้บริการศูนย์ SOC เหมือนตัวอย่างบริษัทในญี่ปุ่น”

Banner_CIO_big one_version2

ในสังคมเศรษฐกิจดิจิทัลปัญหาหลักที่พบกันทั่วโลกซึ่งนับวันจะเพิ่มจำนวนและทวีความรุนแรงมากขึ้นๆ คือการถูกโจมตีทางไซเบอร์หรือการบุกรุกเข้าไปในระบบไอซีทีหรือโครงข่ายขององค์กรและก่อให้เกิดความเสียหายเช่น ทำให้ระบบล่มจนไม่สามารถให้บริการได้ ทำลายหรือแก้ไขปลอมแปลงข้อมูลลักลอบขโมยข้อมูลต่างๆ ซึ่งบางครั้งเป็นข้อมูลสำคัญทางธุรกิจเป็นต้น

ทางหนึ่งเพื่อจัดการกับปัญหาทางด้านความปลอดภัยไซเบอร์ คือการที่องค์กรมีหน่วยงานที่เรียกว่า Security Operation Centerหรือเรียกย่อๆ ว่า SOCเพื่อตรวจสอบความปลอดภัยไซเบอร์ขององค์กร โดยหน่วยงานนี้มีหน้าที่หลักในการค้นพบการเกิดเหตุการณ์ที่จะเป็นภัยคุกคามทางไซเบอร์ต่อองค์กรที่เรียกว่า Incident แต่เนิ่นๆ ซึ่งในหน่วยงานจะมีผู้เชี่ยวชาญมาตรวจสอบ Log ของอุปกรณ์ต่างๆ ในระบบ และมีการวิเคราะห์ทันทีถึงผลกระทบของเหตุการณ์ภัยคุกคามนั้นที่มีต่อธุรกิจหรือการปฏิบัติงานขององค์กร รวมถึงวิธีรับมือจัดการและลำดับความสำคัญต่างๆ เป็นต้น

อย่างไรก็ตามในความเป็นจริง เป็นการยากที่จะหวังให้ทุกองค์กรจะสามารถสร้างหน่วยงาน SOC ของตนเองได้ในทันที เนื่องจากบุคคลากรที่มีความชำนาญทางด้านความปลอดภัยไซเบอร์มีจำนวนไม่เพียงพอ และเป็นกระบวนการที่ใช้เวลาหลายปีในการพัฒนาผู้เชี่ยวชาญทางด้านนี้ อีกทั้งประเภทหรือวิธีที่ใช้ในการโจมตีทางไซเบอร์นั้น นับวันก็ยิ่งซับซ้อนและชาญฉลาดมากขึ้น

ด้วยเหตุนี้ทางเลือกสำหรับองค์กรที่ไม่สามารถมี SOC เป็นของตนเองก็สามารถที่จะเลือกใช้บริการจากผู้ให้บริการ SOC ได้ โดยขอยกตัวอย่างกรณีศึกษาหนึ่งในญี่ปุ่น (ดูชาร์ตประกอบ) โดยองค์กรที่ใช้บริการ SOC จะเชื่อมต่อระบบของตนเอง(ทางด้านซ้าย) เข้ากับศูนย์ของผู้ให้บริการ SOC (ทางด้านขวา) ผ่านวงจรเชื่อมต่ออย่างเช่น Internet VPN โดยในฝั่งจะมีอุปกรณ์ที่คอยรวบรวม Log หรือ Alert จากอุปกรณ์ต่างๆ ในระบบผู้ใช้เช่น อุปกรณ์จำพวก Firewall, IDS/IPS, Sandbox, Web Application Firewallเป็นต้น

2หลังจากนั้นจะส่งต่อข้อมูลไปยังศูนย์ SOC ซึ่งที่ศูนย์จะมีระบบในการตรวจสอบและวิเคราะห์ ข้อมูลต่างๆ ที่ได้มาจากระบบขององค์กรหรือบริษัทที่ใช้บริการแบบเรียลไทม์ โดยใช้ฐานข้อมูลที่เกี่ยวกับ Security Intelligence ล่าสุดเพื่อให้สามารถครอบคลุมการรับมือกับภัยคุกคามใหม่ๆ ที่เกิดขึ้นได้ โดยในการวิเคราะห์จะมีการวิเคราะห์ความเกี่ยวข้องกันของข้อมูลและเหตุการณ์ที่ตรวจจับได้เหล่านั้นที่เรียกว่าCorrelation ด้วย

ตัว Security Intelligence ดังกล่าวข้างต้น ถ้าพูดง่ายๆ คือข้อมูลต่างๆ ที่มีความสำคัญสำหรับคาดการณ์ล่วงหน้าเกี่ยวกับการโจมตีทางไซเบอร์ ซึ่งอาจจะเป็น ข้อมูลล่าสุดเกี่ยวกับช่องโหว่ทางไซเบอร์ (Vulnerability)เกี่ยวกับแนวโน้มการโจมตี ประเภทและวิธีการโจมตี ต่างๆ โดยจะเป็นการนำแบบแผนการโจมตีที่เกิดขึ้นทั่วโลกมาวิเคราะห์ในวงกว้าง เพื่อนำมาใช้เป็นฐานข้อมูลที่ป้อนให้กับอุปกรณ์ทางความปลอดภัยไซเบอร์เอง

เช่น เป็น custom signatures ให้กับอุปกรณ์ IDS/IPS หรือเพื่อประยุกต์ใช้เมื่อทำการวิเคราะห์ข้อมูลและ alert ต่างๆ ที่ถูกส่งมาที่ศูนย์ ตลอดจนหาความเกี่ยวข้องกันต่างๆ ในรูปแบบอย่างเช่น เป็น Rulesที่ใช้ในการวิเคราะห์ข้อมูล หรือเป็นแบล็คลิสต์ต่างๆ เป็นต้น ซึ่งจะนำไปสู่การที่เราสามารถค้นพบเค้าลางซึ่งบ่งบอกถึงการโจมตีทางไซเบอร์ได้อย่างทันท่วงที

มีข้อสังเกตว่า เพื่อเป็นการตรวจสอบ ค้นพบและรับมือกับการโจมตีทางไซเบอร์สำหรับองค์กรในประเทศหรือกลุ่มประเทศหนึ่งๆ นอกจาก Security Intelligence จากต่างประเทศแล้ว เราต้องคำนึงถึงการนำ Security Intelligence ล่าสุดที่ได้จากในประเทศนั้นมาประยุกต์ใช้ร่วมด้วย ยกตัวอย่างเช่น ในกรณีของญี่ปุ่นเอง ประมาณ80%ของการโจมตีที่ถูกค้นพบในญี่ปุ่นจะเป็นการโจมตีที่มุ่งเป้าไปที่ญี่ปุ่นเอง

หลังจากที่ทางศูนย์ได้ทำการวิเคราะห์ข้อมูลต่างๆ เช่น Log หรือ Alert ที่ถูกส่งมาจากองค์กรตลอดจนวิเคราะห์ถึงความเกี่ยวข้องกัน จะทำให้ทางศูนย์สามารถตรวจสอบการเกิดขึ้นหรือเค้าลางของ Incident โดยในรายละเอียดนั้น ทางผู้เชี่ยวชาญจะทำการวิเคราะห์ข้อมูลต่างๆ และตัดสินใจกำหนดระดับความอันตรายและระดับความฉุกเฉิน จากนั้นทางศูนย์จะเลือก Incidentซึ่งมีระดับความอันตรายและระดับความฉุกเฉินสูง เพื่อนำไปแจ้งให้กับทางผู้ที่เกี่ยวข้องของทางองค์กรหรือบริษัทต่อไป

โดยระดับภัยคุกคามของIncident อาจจะมีอยู่สี่ระดับ ไล่ตั้งแต่ ระดับฉุกเฉินซึ่งหมายถึงสถานการณ์ที่เราได้ตรวจพบและยืนยันการถูกบุกรุกโดยในกรณีนี้ต้องมีการรายงานผู้ที่เกี่ยวข้องขององค์กรหรือบริษัททันที ระดับอันตรายซึ่งหมายถึงสถานการณ์ที่เราพบว่ามีความเป็นไปได้ว่าจะถูกบุกรุกโจมตีแต่ยังไม่สามารถหลักฐานแน่ชัดได้ โดยในกรณีนี้จะมีการรายงานผู้เกี่ยวข้องเช่นกัน ส่วนขั้นที่เหลือจะเป็นเหตุการณ์ซึ่งถูกวิเคราะห์แล้วว่ามีระดับความอันตรายต่ำและระดับไม่พบว่ามีการถูกบุกรุกโจมตีเกิดขึ้น ซึ่งปกติจะไม่มีการรายงานไปยังผู้เกี่ยวข้องในทันทีเป็นต้น

เมื่อศูนย์ทำการแจ้งกลับแก่ผู้ที่เกี่ยวข้องขององค์กร โดยทั่วไป จะสามารถแยกได้เป็นสองขั้นจังหวะคือ ขั้นการรายงานครั้งแรก ซึ่งส่วนใหญ่ถ้าตรวจพบเหตุการณ์ที่เป็นภัยคุกคามระดับฉุกเฉิน ก็ต้องทำการแจ้งผู้เกี่ยวข้องขององค์กรนั้นทันที ซึ่งในขั้นแรกนี้ เพื่อเป็นการหยุดยั้งความเสียหาย จะมีการนำเสนอนโยบายหรือวิถีทางชั่วคราวในการจัดการเหตุการณ์ที่เป็นภัยคุกคามนั้น

รวมถึงการแยกส่วนของระบบที่เกิดเหตุการณ์เช่นเครื่องคอมพิวเตอร์หรือเซิร์ฟเวอร์ที่ถูกโจมตีออกจากเน็ตเวิร์คของระบบโดยทันที ทำการเปลี่ยนการตั้งค่าของProxy Serverเพื่อไม่ให้ไปติดต่อกับเว็บไซต์ที่น่าสงสัยหรือเป็นอันตรายกรณีที่ตรวจพบการติดต่อกับเว็บไซต์เหล่านั้น หรือทำ packet filtering ทำการเปลี่ยนแปลง policyของอุปกรณ์ Firewall ทำการupdate signaturesให้กับอุปกรณ์ IDS/IPS ทำการอัพเดท pattern file ของซอฟต์แวร์แอนตี้ไวรัสต่างๆ เป็นต้น

4F39FF60-E4BD-48D1-B96F-4EC67D202F1C

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

BannerWeb_CIOworld_3
300x250 (B2)
Banner (320x250 Pixel) EDIT
CEBIT_webbanner_320x250pxl_TH

Like Us On Facebook

Facebook Pagelike Widget
communication

Categories

Newsletters

ลงทะเบียนรับข่าวสารจาก CIOWorldMagazine.com