หากองค์กรต้องการจัดตั้งศูนย์ฯ CSOC จะเริ่มต้นอย่างไร

Cyber Security Operations Center (CSOC) คือ ศูนย์ปฏิบัติการที่มีทีมทำหน้าที่เฝ้าระวังภัยคุกคามขององค์กร ทำหน้าที่ตรวจสอบการเข้าถึงเครือข่ายและระบบสารสนเทศต่าง ๆ ขององค์กรตลอดเวลาแบบ 24/7 หากพบพฤติกรรมที่ผิดปกติ เช่น พบการละเมิดข้อมูลสำคัญ ๆ ขององค์กร ก็พร้อมตอบสนองต่อเหตุการณ์อย่างรวดเร็วและสามารถหยุดการโจมตีรวมทั้งเก็บข้อมูลเพื่อตรวจหาช่องทางที่อาชญากรบุกรุกเข้ามาได้อย่างแม่นยำ

อย่างไรก็ตาม องค์กรส่วนใหญ่ไม่สามารถมีศูนย์ CSOC แบบ 24/7 ได้ เพราะต้นทุนในการดำเนินงานนั้นสูง หลายองค์กรมองว่าไม่คุ้มค่ากับผลประโยชน์ที่ได้รับ จึงใช้วิธี “ยืม” พนักงานจากตำแหน่งอื่นเพื่อทำหน้าที่เฝ้าระวังภัยคุกคามแทนการสร้างทีม CSOC ขึ้นมาเอง ผลคือการตรวจจับภัยและการตอบสนองจึงล่าช้ากว่าที่ควรเป็น โดยพนักงานที่ปฏิบัติงานทีม SOC นั้นจะต้องมีความรู้ความสามารถเฉพาะทาง สามารถ automate งานภายในศูนย์ของ CSOC ให้มากที่สุด ซึ่งการ automation จะทำให้สามารถ monitoring และตอบสนองต่อ incident ได้ทันการ เพราะในการสร้างระบบ automation จำเป็นจะต้องเรียนรู้พื้นฐาน Threat Lifecycle Management Platform ด้วย

ในบทความนี้จะบอกถึงวิธีการสร้างศูนย์ CSOC ภายใต้ทรัพยากรที่มีจำกัด โดยเริ่มจากอธิบาย Cyber Attack Lifecycle และการนำไปใช้งานใน Threat Lifecycle Management framework ถัดจากนั้นจะอธิบายโครงสร้างศูนย์ CSOC ทั้งในส่วนของทรัพยากรมนุษย์ แผนงาน และเทคโนโลยีที่ใช้ ในส่วนสุดท้ายจะสรุปวิธีการสร้าง CSOC อย่างไรให้มีประสิทธิภาพภายใต้ทรัพยากรที่มีจำกัด

The Cyber Attack Life Cycle

การเข้าใจ Cyber Attack Life Cycle เป็นพื้นฐานที่สำคัญที่จะทำให้เข้าใจ Threat Lifecycle Management (TLM) เพราะเป็นพื้นฐานของการบริหารศูนย์ CSOC โดย Cyber Attack Life Cycle ประกอบด้วย 6 phase ดังนี้

รูปที่ 1: Cyber Attack Life Cycle

• Phase 1 Reconnaissance: คือระยะที่ Attacker ระบุเป้าหมายและวิธีการโจมตี
• Phase 2 Initial Compromise: คือระยะที่ Attacker เริ่มโจมตี system ที่นำไปสู่การเข้าถึง Internal Network ของเป้าหมายได้
• Phase 3 Command and Control: คือระยะที่ Attacker ติดตั้งเครื่องมือและเข้าครอบครองหรือเข้ารหัส system เพื่อให้สามารถเข้าถึง system นั้นได้แม้ถูกตรวจจับ
• Phase 4 Lateral Movement: คือระยะที่ Attacker ใช้ประโยชน์จาก system และบัญชีผู้ใช้ในการเข้ายึดครองทรัพยากรหรือ system อื่น ๆ บน Network ในระยะนี้ Attacker จะทำกระบวนการนี้ซ้ำไปเรื่อย ๆ จนกว่าจะสามารถเข้าถึง target system ที่เป็นเป้าหมาย
• Phase 5 Target Attainment: คือระยะที่ Attacker สามารถเข้าถึง target system ที่เป็นเป้าหมายสำเร็จ
• Phase 6 Exfiltration, Corruption, and Disruption: ระยะสุดท้ายนี้คือระยะที่ Attacker เข้าถึง target system และกระทำในสิ่งที่ต้องการ เช่น การขโมยข้อมูล การรบกวน Database การรบกวน Operation ต่าง ๆ

จาก Cyber Attack Life Cycle ทำให้เห็นว่า ทุกองค์กรล้วนมีโอกาสถูกโจมตีจาก Attacker เพราะในแต่ละการโจมตีนั้น Attacker ต้องทำงานหลายขั้นตอน ทำให้สามารถตรวจพบและแก้ปัญหาได้ตั้งแต่ระยะแรก ๆ หากสามารถจัดการได้รวดเร็วก็จะช่วยประหยัดทรัพยากร ลดความเสียหายหรือผลกระทบที่อาจจะเกิดขึ้นได้มากกว่าการจัดการในระยะหลัง ๆ

Threat Lifecycle Management Basics

Threat Lifecycle Management Basics (TLM) คือเครื่องมือสำคัญที่จะทำให้สามารถตรวจจับและหยุดการโจมตีได้ภายในช่วงแรกๆ ของ Cyber Attack Lifecycle เพราะช่วยให้สามารถระบุระดับความรุนแรงของ Threat ได้ ช่วยให้ทราบวิธีการลดความเสี่ยง รวมไปถึงการ Recovery เพื่อให้องค์กรกลับมาดำเนินงานตามปกติให้ได้เร็วที่สุด เป้าหมายหลักของ TLM คือการป้องกัน Cyber Incident และลดผลกระทบจาก Incident ให้น้อยที่สุด

สำหรับศูนย์ CSOC นั้น สามารถใช้ TLM เพื่อวัดประสิทธิภาพการทำงานได้ โดยวัด mean time to detect (MTTD) และ mean time to response (MTTR) ตาม Framework ที่แสดงในรูปที่ 2 ซึ่งอธิบาย 6 phase ของ Framework ดังนี้

รูปที่ 2 : Threat Lifecycle Management Basics (TLM) Framework

Phase 1 Forensic Data Collection คือ การเก็บข้อมูลจากแหล่งต่าง ๆ ที่อาจบันทึกร่องรอยของ Incident ไว้ โดยแหล่งข้อมูลที่สำคัญที่สุดมี 3 แหล่ง ดังนี้

• Security Event Data เป็นข้อมูลจาก Security Product ต่าง ๆ ซึ่งความท้าทายของการเก็บข้อมูลชนิดนี้ก็คือการแยกแยะว่าข้อมูลใดสำคัญ จากจำนวนข้อมูลมหาศาล
• Log Machine and Data เราสามารถใช้ Log Data มาคำนวณหา IT environment เพื่อสร้างมาตรฐานว่า ในสถานการณ์ปกติ Dataset เป็นอย่างไร เพื่อนำค่ามาตรฐานหรือสร้าง baseline ขึ้นมาตรวจจับพฤติกรรมผิดปกติ
• Forensic Sensor Data เป็นข้อมูลที่ลึกกว่า Security Event และ Log โดย Forensic Sensor Data แบ่งเป็น 2 ประเภท คือ
  1. Network Forensic Sensor ที่ตรวจวัด Packets และ Flows ต่างๆ
  2. Endpoint Forensic Sensors (เรียกอีกอย่างว่า EDR Agent) ที่บันทึกกิจกรรมต่าง ๆ ที่เกิดขึ้นใน system อย่างละเอียด

Phase 2 Discover คือ การนำข้อมูลที่เก็บจาก Phase 1 มาวิเคราะห์หา Potential Threat ซึ่งการวิเคราะห์แยกเป็น 2 ประเภทคือ Search Analytics และ Machine Analytics โดย Search Analytics นั้น วิเคราะห์จากมนุษย์ ส่วน Machine Analytics วิเคราะห์โดย Software ที่ทำงานอัตโนมัติโดยใช้เทคโนโลยีขั้นสูง เช่น Machine Learning
Phase 3 Qualify คือ การนำ Potential threat มาวิเคราะห์ว่าเป็นภัยร้ายแรงที่ต้องกังวลหรือไม่ ควรต้องสืบหาต้นเหตุ หรือลงทุนอะไรอื่นต่อหรือไม่
Phase 4 Investigate ถ้า Threat ผ่านขั้นตอน Qualify แล้วจะต้องถูก Investigate เพื่อระบุว่าเกิด Security Incident ขึ้นหรือยัง หรือกำลังจะเกิด ในขั้นตอนนี้สามารถใช้ Automation มาช่วยในการรวบรวมข้อมูลและจัดหมวดหมู่ข้อมูลให้เป็นระบบเพื่อลด MTTR
Phase 5 Neutralize คือ การ Action ต่าง ๆ เพื่อลดผลกระทบที่เกิดจาก Threat ตัวอย่าง เช่น การ isolate ระบบที่เป็นเป้าหมาย หรือการ deactivate บัญชีผู้ใช้ที่ข้อมูลถูกขโมย
Phase 6 Recover คือ ทำให้การทำงานกลับมาเป็นปกติและป้องกันไม่ให้ Threat นั้นกลับมาเกิดซ้ำอีก เช่น การตรวจสอบ Vulnerability ต่าง ๆ การ Rebuilt ระบบ การ reset Credential ของผู้ใช้ การ Restore Data ที่ Backup ไว้ การทำรายงาน การ Review ว่าองค์กรรับมือกับ Incident ได้ดีแค่ไหน รวมทั้งการจัดทำ Practice เพื่อเป็นฐานข้อมูล

TLM ทั้ง 6 phase นั้นถูกแบ่งออกเป็น 2 กลุ่ม คือ Detection Phase และ Respond Phase ตามที่แสดงในรูปที่ 2 โดย Detection Phase นั้นจะต้องทำอยู่ตลอดเวลา ส่วน Response Phase นั้นต้องพร้อมทำงานอยู่เสมอ ผลลัพธ์ที่ต้องการคือ การ Detect ทันที และการ Response อย่างรวดเร็ว เพื่อป้องกันไม่ให้ Attacker เข้าถึงระบบเป้าหมายและทำงานสำเร็จ ยิ่ง MTTD และ MTTR สั้น ความเสียหายก็จะยิ่งต่ำ ดังที่แสดงใน Figure ที่ 3

รูปที่ 3 ความสัมพันธ์ระหว่าง MTTD MTTR และ ความเสียหาย

เนื่องจากงานบางส่วนใน TLM จะต้องทำ 24 ชั่วโมง วิธีที่ดีที่สุดคือการใช้ Automation ให้มากที่สุด และใช้ทรัพยากรมนุษย์เท่าที่จำเป็น

การสร้างศูนย์ CSOC อย่างมีประสิทธิภาพต้องผสมผสานระหว่างคน แผนงาน และเทคโนโลยี จริงหรือ?

ศูนย์ Cyber Security Operation Center จะมีประสิทธิภาพสูงสุดเมื่อใช้ TLM Platform มาเป็นพื้นฐานในการทำงานร่วมกันระหว่างคน แผนงาน และเทคโนโลยี โดยใช้ Automation ทั้ง 6 phase ให้มากที่สุด ใช้มนุษย์เท่าที่จำเป็น

การ Automation ใน CSOC นั้นจำเป็นอย่างยิ่ง เพราะ incident เกิดขึ้นได้ตลอดเวลา เช่น การมี automatic TLM จะทำให้สามารถ Detect Response และ Recovery ได้อย่างอัตโนมัติ ตัวอย่างงานที่สามารถ automate ได้คือ

• ตรวจจับ หาจุดประสงค์ และระบุขอบเขตการโจมตี
• ศึกษาลักษณะและพฤติกรรมของ Threat เพื่อให้เข้าใจ Threat ได้ดีขึ้น
• ทำ Action ต่าง ๆ เพื่อลดผลกระทบอัตโนมัติ ไม่ว่าจะเป็น block threats, delete phishing emails, ระบุ email ที่พยายามดาวน์โหลด malicious payload, quarantine ระบบที่ถูก infect, กวาดล้าง malicious code ออกจากระบบ
• ทำ Incident Report และรายงานต่อผู้รับผิดชอบ

ถ้ามีการ Automation มากก็ไม่มีความจำเป็นที่จะต้องมี Analyst จำนวนเยอะ ๆ นอกจากนี้การ automation ยังช่วยลด MTTD และ MTTR ซึ่งส่งผลให้ความเสียหายและค่าใช้จ่ายลดลงด้วย

ในส่วนถัดไปจะเป็นการอธิบายบทบาทของคน แผนงาน และเทคโนโลยี ในการสร้างศูนย์ SOC อย่างมีประสิทธิภาพ

People

ถึงแม้ว่าการ Automation จะใช้เทคโนโลยที่ดีขนาดไหน มนุษย์ก็เป็นปัจจัยที่จำเป็นใน CSOC โดยบทบาทที่สำคัญของคนใน CSOC คือ Security Analyst และ Incident Responder โดย Security Analyst ทำงานในด้าน Detection Phase และแจ้งเตือนเมื่อเกิดภัยคุกคามไปยัง Incident Responder สำหรับงานของ Incident Responder ประกอบด้วย

• วิเคราะห์โดยใช้เครื่องมือต่างๆ ดังนี้
  1. Search analytics capabilities
  2. Threat intelligence sources
  3. Basic forensics techniques
  4. Malware analysis tools
• บรรเทาความเสียหายจาก Incident
• ทำการแก้ไขความเสียหาย ซึ่ง SOC สำหรับบางองค์กรอาจต้องมี Forensic Analyst และ Malware Reverse Engineer เพื่อทำงานในส่วนนี้

อีกบทบาทหนึ่งที่สำคัญมากภายในศูนย์ CSOC คือ Security Architect คือผู้ที่เข้าใจในโครงสร้างของ Security Program และ Infrastructure ขององค์กร ซึ่งอาชีพนี้ไม่ต้องทำงานประจำ แต่หน้าที่คือให้คำปรึกษาเมื่อต้องจัดการ incident หรือ implement ระบบต่าง ๆ ในการบริหารทรัพยากรมนุษย์ใน CSOC องค์กรมีทางเลือกในการจัดการ 3 ทาง ได้แก่

1. Fully Outsource คือ การใช้บริการ managed security service provider (MSSP) และองค์กรนั้นทำแค่รับ Incident Report
2. Hybrid คือ การให้พนักงานทำงานในเวลา Business Hour และให้ Outsource ทำงานนอกเวลา เพื่อให้มี Security Analyst และ Incident Responder ทำงาน 24 ชั่วโมง
3. Fully In-House การสร้าง SOC แบบ In-House มี 2 แบบ คือ
   1.) 24×7 SOC คือการมีพนักงานใน SOC ตลอด 24 ชั่วโมง เพื่อทำหน้าที่ Security Analyst และ Incident Responder
   2.) 8×5 SOC คือการให้พนักงานทำงานใน Business Hour แต่มี Automated TLM แบบ 24 ชั่วโมง และเมื่อเกิด incident ที่สำคัญนอกเวลางาน ระบบจะ Alarm ไปยังพนักงานเพื่อให้เข้ามาทำงาน

Process

แผนงานจะเป็นตัวเชื่อมระหว่างคนและเทคโนโลยี เช่น การแบ่งงานของ incident responder ให้ไปอยู่ระบบ automation ทำให้คนทำงานร่วมกันได้ง่ายขึ้น เช่น การส่งต่องานระหว่าง Security Analyst ไปยัง Incident Responder ซึ่งแผนงานในที่นี้ก็คือ TLM นั่นเอง

การใช้ TLM Workflow ทำเป็นแผนงานนั้น จะทำให้ทุกคนทราบหน้าที่ของตัวเอง ทราบว่าข้อมูลที่ตัวเองต้องรู้คืออะไรบ้าง และรู้ว่าต้องทำงานร่วมกับใคร ส่งต่อและรับงานจากใคร ซึ่งการทำงานร่วมกันบน TLM Workflow อาจจะเป็นการทำงานร่วมกันระหว่างคนกับคน หรือคนและเทคโนโลยีก็ได้

Technology

เทคโนโลยีทำให้ศูนย์ CSOC ทำงานได้อย่างมีประสิทธิภาพ เช่น

• รวบรวม Forensic Data เพื่อ investigate โดย Machine Learning แบบ 24 ชั่วโมง และสามารถแจ้งเตือนหากมีเหตุการณ์น่าสงสัย
• วิเคราะห์ event และ incident จากฐานข้อมูล Threat Intelligence และ Vulnerabilities จำนวนมหาสารจากทุกแหล่ง ไม่ว่าจะเป็นข้อมูลในเชิง Human Resource, Finance, Customer Database, และอื่นๆ เพื่อสามารถระบุจุดประสงค์และวิธีการโจมตีจาก Attacker
• จัดลำดับความสำคัญของ event เพื่อให้พนักงานใน SOC โฟกัสในสิ่งที่สำคัญก่อน
• รวบรวมหลักฐานของมาอยู่ในที่ ๆ ปลอดภัย และแชร์ข้อมูลเฉพาะผู้ที่ได้รับการ authenticate แล้วเท่านั้น
• ใช้ workflow การทำงานเพื่อแจ้งเหตุกับบุคคลที่รับผิดชอบโดยตรง
• ประยุกต์ใช้กับระบบที่บริษัทมีอยู่เดิม เช่น asset management, vulnerability management, trouble ticketing, intrusion prevention และอื่น ๆ เพื่อลดการทำงานซ้ำซ้อน และความผิดพลาดจาก Human error
• ทำการ Response ต่อ Incident หรือ Event แบบ Automatic โดยไม่ต้องอาศัยคน หรือแค่ one-click approval เพื่อลดการทำงานของคน

A TLM Platform ทำให้คนและเทคโนโลยีทำให้ร่วมกันอย่างลื่นไหล ไม่ว่าจะเป็นการทำงานแบบ Outsource Hybridge หรือ in-house ก็สามารถทำงานบน TLM Platform ได้

การประเมินค่าใช้จ่าย และประโยชน์ที่ได้รับจาก SOC

ค่าใช้จ่ายของแต่ละ CSOC นั้นต่างกันตามขนาดและรูปแบบในการดำเนินงาน ตารางที่ 1 แสดงการเปรียบเทียบค่าใช้จ่ายของ CSOC ในรูปแบบต่าง ๆ
ค่าใช้จ่ายที่สำคัญอย่างแรกในการดำเนินงาน CSOC คือ ค่าใช้จ่ายในทรัพยากรบุคคล ซึ่งหากไม่ใช่เทคโนโลยี TLM Platform ในการดำเนินงาน ค่าใช้จ่ายส่วนนี้จะสูงมาก เนื่องจากต้องใช้คนตลอด 24 ชั่วโมง

ค่าใช้จ่ายอย่างที่สองคือ Infrastructure เช่น อาคาร อุปกรณ์ Network system software และค่า license ต่าง ๆ ซึ่งค่าใช้จ่ายส่วนนี้จะต่างกันไปตามแต่ละประเภทของธุรกิจ บางธุรกิจอาจจะต้องออกแบบศูนย์ CSOC ใหม่เพื่อให้สอดคล้องกับ Business Model ของตัวเอง ในขณะที่บางธุรกิจสามารถสร้าง CSOC ตามแบบมาตรฐานได้เลย ค่าใช้จ่ายในส่วนของ Infrastructure คือค่าใช้จ่าย Fix Cost เนื่องจากจะต้องลงทุน Infrastructure เท่าเดิมไม่ว่าจะเป็น CSOC แบบ 8×5 หรือ 24×7 ยกเว้นในกรณี Fully Outsource TLM ที่ไม่ต้องลงทุนด้าน Infrastructure

ค่าใช้จ่ายที่สำคัญอย่างสุดท้ายคือ ค่าเสียโอกาสและค่าเสียหายที่เกิดจากการดำเนินงาน CSOC อย่างไม่มีประสิทธิภาพ โดยวัดจากประสิทธิภาพในการป้องกันและตรวจจับ Security Incident รวมถึงความเร็วในการกู้คืนระบบให้กลับมาดำเนินงานได้เร็วที่สุด ยกตัวอย่าง เช่น หาก ศูนย์ CSOC นั้นทำงานไม่มีประสิทธิภาพและปล่อยให้ Malware ทำลาย 100 ระบบ ผลคือระบบล่มอยู่ 1 วัน คิดเป็นจำนวนชั่วโมงที่พนักงานไม่สามารถทำงานได้ 800 ชั่วโมง หาก 1 ชั่วโมงนั้นพนักงานสามารถสร้างรายได้ให้บริษัท 1,000 บาท เท่ากับความเสียหายที่เกิดขึ้นคือ 800,000 บาท ภายใน 1 วัน ซึ่งความเสียหายนี้สามารถนำไปจ้าง managed security service provider (MSSP) ได้ถึง 3 เดือน

ตารางเปรียบเทียบค่าใช้จ่ายของ SOC ในรูปแบบต่างๆ (ต่อปี หน่วย:US ดอลล่าร์)

ขั้นตอนการสร้าง CSOC ภายใต้ทรัพยากรที่มีจำกัด

STEP 1 วางกลยุทธ์

การวางกลยุทธ์นั้น มี 2 ขั้นตอนที่สำคัญคือ
ประเมินความสามารถและศักยภาพขององค์กรในการสร้าง CSOC โดยประเมินจากแรงงาน กระบวนการ และเทคโนโลยีที่มีอยู่ องค์กรต้องประเมินว่า ต้องใช้ทรัพยากรเท่าไหร่ในการดำเนินงาน Core Function ของ CSOC ซึ่งประกอบด้วย Monitor, Detection, Response และ Recovery สำหรับ Function ส่วนเสริม เช่น Vulnerability Management นั้นไม่ควรนำมาประเมินด้วย เพราะสามารถเพิ่มหลังจากที่ดำเนินการ CSOC ไปแล้ว
ระบุเป้าหมายทางธุรกิจของ CSOC เพราะหน้าที่หลักของ CSOC คือการช่วยให้องค์กรบรรลุเป้าหมายทางธุรกิจ เช่น ระบุว่า system ใดสำคัญมากที่สุด Data ใดสำคัญที่สุด เป็นต้น

STEP 2 ออกแบบ Solution

การออกแบบ Solution นั้นควรคำนึงถึงการใช้งานได้จริงมากกว่าการสร้างศูนย์ CSOC อย่างเต็มรูปแบบ เช่น การลองสร้าง Use case เมื่อถูกโจมตี และลองกำหนด Solution ว่าควรเป็นแบบใด ซึ่งขั้นตอนในการออกแบบ Solution สำหรับ CSOC นั้น จะต้องผ่าน 3 กระบวนการ ได้แก่

1. กำหนด Function ที่ต้องใช้ในการช่วยให้องค์กรบรรลุเป้าหมายทางธุรกิจ ซึ่งก่อนการระบุ Function นั้น จะต้องระบุงานที่จะนำ Function นั้นไปใช้ ดังนี้
   1.1 ระบุแหล่งข้อมูล และ log ที่จะต้องถูก monitor
   1.2 ระบุระบบ/ ฐานข้อมูล ที่จะต้องใช้ Threat Intelligence
   1.3 กำหนดมาตรฐานและตัวชี้วัด เช่น Response Time
2. เลือก CSOC Model ซึ่งหลังจากที่พิจารณา Function ที่ต้องใช้แล้ว นำมาเทียบกับทรัพยากรที่มี และเทียบกับเป้าหมายทางธุรกิจ จึงได้คำตอบว่า CSOC ควรดำเนินการกี่ชั่วโมง เป็น In house และ Outsource กี่ชั่วโมง
3. ออกแบบ Technical Architecture ซึ่งประกอบด้วย
   3.1 วางแผนองค์ประกอบของ Solution โดยใช้ TLM Platform เป็นโครงในการดำเนินงาน
   3.2 ระบุ Business system ต่าง ๆ เช่น Information system และต้องทำการ integrate ให้เข้ากับ TLM Platform ได้ เพื่อให้สามารถดึงข้อมูลเมื่อต้องวิเคราะห์
   3.3 กำหนด Workflow เมื่อเกิด events หรือ incidents
   3.4 วางแผนการ automation ให้มากที่สุด โดยใช้เทคโนโลยีที่มีคุณภาพ
   3.5 เรียกประชุมผู้ที่อยู่ใน workflow และ TLM Platform เพื่อระดมความคิดว่าแผนงานสมบูรณ์หรือยัง

STEP 3 สร้าง Process Procedure และ Training

คือการนำส่วนที่วางแผนไว้ใน Step 1 และ 2 มาประกอบกัน และเริ่ม Train พนักงาน ที่สำคัญคือหากเป็น SOC แบบ Hybridge หรือ Outsource จะต้อง train พนักงานร่วมกันทั้งภายในและนอกองค์กร เพื่อให้การทำงานราบรื่น

STEP 4 เตรียม Environment

ก่อนที่จะเริ่มดำเนินการ CSOC จริงนั้น ต้องตรวจสอบ environment ของศูนย์ CSOC ว่าเหมาะสมและปลอดภัยหรือไม่ เช่น Spec ของคอมพิวเตอร์ มือถือของพนักงาน software และ network ที่ใช้ในการ remote access นั้นปลอดภัยหรือไม่

STEP 5 Implement Solution

หัวใจของการ implement CSOC ที่มีประสิทธิภาพคือการใช้เทคโนโลยีเพื่อลดปริมาณงานของคนและทำงานอย่างมีประสิทธิภาพมากขึ้น ซึ่งขั้นตอนในการ Implement CSOC นั้น เรียงตามลำดับดังนี้

• เริ่มใช้ระบบ log management infrastructure
• เริ่มเก็บข้อมูลจาก Critical data source
• เริ่มใช้ระบบ Security Analytic
• เริ่มใช้ระบบ Security automation และการประสานงานแบบอัตโนมัติ
• ลอง deploy ตัวอย่างการโจมตี เพื่อทดสอบ threat detection และ response

นอกจากขั้นตอนที่กล่าวมาแล้ว อีกหนึ่งปัจจัยที่จะทำให้ CSOC ทำงานอย่างลื่นไหลคือการทดสอบการ Integration กับ system อื่น ๆ เพื่อตรวจสอบว่าสามารถทำงานร่วมกันได้หรือไม่ เพราะรอยต่อระหว่าง system คือปัจจัยสำคัญที่จะช่วยลด MTTD และ MTTR

STEP 6 Deploy ตัวอย่างการใช้งาน

การทดลองว่า CSOC สามารถ detect และ response ต่อการโจมตีได้ตามมาตรฐานที่กำหนดไว้หรือไม่ ตัวอย่างเช่น การทดลองปล่อย Phishing Campaign โดยการทดลองนี้ควรทดลองในหลายๆ ช่วงเวลา ทั้งในเวลางาน นอกเวลางาน รวมถึงระหว่างการเปลี่ยนกะของพนักงาน เพื่อหาจุดอ่อน

STEP 7 บำรุงรักษาและพัฒนา

การบำรุงรักษานั้นมี 2 ประเภท คือ การบำรุงรักษาตลอดการใช้งาน เช่น Update Configuration Setting และการ Tuning เพื่อเพิ่มความแม่นยำในการ detect รวมถึงการเพิ่ม systems และ input output ต่างๆ ใน solution ส่วนการบำรุงรักษาอีกประเภทหนึ่งคือประเภทที่ต้องทำเป็นเพื่อพัฒนาและปรับปรุง CSOC โดยทำเป็นระยะ เช่น การรีวิว CSOC Model การรีวิวจำนวนพนักงาน เป็นต้น

บทสรุป

การใช้งาน CSOC นั้นสำคัญและจำเป็นในการลดความเสียหายที่เกิดจากการโจมตีทาง cybersecurity หากองค์กรใดที่ไม่สามารถรับมือกับความเสียหายและค่าใช้จ่ายในการสร้าง CSOC เองได้ การใช้งานจากหน่วยงานที่เชี่ยวชาญโดยตรงจะเป็นทางเลือกที่ประหยัดและมีประสิทธิภาพมากกว่า ซึ่งข้อดีที่องค์กรจะได้รับจากการใช้บริการ CSOC มืออาชีพได้แก่

• ได้ใช้ Technology ขั้นสูงในการตรวจจับและวิเคราะห์ เช่น behavior analysis ทำให้สามารถเข้าใจ threat ที่ซับซ้อนกว่าปกติ อย่างเช่น insider threat ที่พยายามขโมยข้อมูล
• มี Workflow ที่ครอบคลุมและซับซ้อน ทำให้สามารถประสานงานกันระหว่างหน่วยงานได้อย่างราบรื่น แลกเปลี่ยนข้อมูลได้เร็ว ลดงานซ้ำซ้อน ซึ่งระบบ Automation เป็นระบบขั้นสูง ที่ไม่ใช่ทำแค่ alert แต่ส่งข้อมูลที่จำเป็นในการวิเคราะห์ให้ Incident Responder ด้วย

นอกจากนั้น NT cyfence มีศูนย์ปฏิบัติการ Cyber Security Operations Center (CSOC) ที่ได้รับการรับรองมาตรฐาน ISO 27001 แห่งแรกในประเทศไทย และมีผู้เชี่ยวชาญ นักวิเคราะห์ระบบที่มีประสบการณ์มากว่า 13 ปี ที่พร้อมให้คำปรึกษา สามารถอ่านรายละเอียดได้ที่บริการ Cyber Security Monitoring หากต้องการติดต่อทีมงาน NT cyfence ติดต่อได้ที่นี่ หรือโทร 1888

ที่มา: https://logrhythm.com/how-to-build-a-soc-with-limited-resources-wp/