IBM cloud: Business Case Modernizing The Security Operations Center (SOC)

IBM cloud ได้จัดสัมมนาออนไลน์ Digital Masterclass เพื่อการบริหารจัดการภายในองค์กรด้าน Digital ให้มีประโยชน์สูงสุดในหัวข้อ A framework for Automating Data Privacy and Protection โดยมี คุณกัณณิกา วรคามิน ผู้จัดการฝ่ายธุรกิจความปลอดภัยเทคโนโลยีสารสนเทศ บริษัท โทรคมนาคมแห่งชาติ จำกัด (มหาชน) หรือ cyfence ร่วมเสวนา Business Case Modernizing The Security Operations Center (SOC) ซึ่งได้อธิบาย Business Case ต่าง ๆ ที่เกิดจากพฤติกรรมผู้บริโภคทั่วโลกมีการเปลี่ยนแปลงไป โดยเฉพาะปี 2020 ที่มีการ Work from home ทำให้เห็นว่าหลาย ๆ องค์กรมีการนำอุปกรณ์ใหม่ เทคโนโลยีใหม่ ๆ เข้ามารองรับวิธีการทำงานที่เปลี่ยนแปลงไปจนทำให้ระบบเดิมอาจไม่สามารถรองรับการใช้งานได้ จึงอาจจะทำให้เกิดข้อผิดพลาด เช่น ระบบยืนยันตัวตนล้มเหลว เกิดช่องโหว่จนทำให้ภัยคุกคามรูปแบบต่าง ๆ เข้ามาในระบบองค์กร

สถานการณ์ภัยคุกคามทางไซเบอร์ทั่วโลกและภายในประเทศ เป็นอย่างไรบ้าง

“จากสถานการณ์ภัยคุกคามทางไซเบอร์ในปี 2020 ที่ผ่านมา ทั้งระดับโลก (Global) และภายในประเทศไทย (Local) มีข่าวการหลอกลวงเพิ่มมากขึ้น โดยที่ผ่านมามักจะอ้างอิง COVID-19 เพื่อให้คนหลงเชื่อและตกเป็นเหยื่อภัยคุกคามต่าง ๆ โดยสถิติภัยคุกคามทั่วโลกพบว่า Phishing เพิ่มสูงกว่าปีที่แล้วถึง 600% ขึ้นเป็นอับดับ 1 ของโลก ส่วนใหญ่จะเป็น Phishing email เพื่อต้องการหลอกขอข้อมูลส่วนบุคคล ต่อมาอันดับ 2 การโจมตีระบบ Cloud เพราะปัจจุบันหลายองค์กรนำข้อมูลมาไว้ในระบบ Cloud เพิ่มมากขึ้น ซึ่งสาเหตุสำคัญที่ทำให้เกิดการโจมตีได้คือ ระบบยืนยันตัวตนล้มเหลวจนทำให้บุคคลภายนอก หรือ แฮกเกอร์ สามารถเข้าถึงข้อมูลสำคัญภายใน โดยพบว่ามีอัตราการโจมตีอยู่ที่ 600 – 1,000 % อันดับ 3  Ransomware ที่ได้รับผลกระทบทั่วโลก เช่น บริษัท Garmin ไม่เว้นแม้แต่องค์กรในประเทศไทย ดังเช่น การไฟฟ้าส่วนภูมิภาค ที่ถูก Ransomware โจมตีจนทำให้ต้องปิดระบบการจ่ายค่าไฟฟ้าออนไลน์ ( E-billing ) หรือ โรงพยาบาลที่ถูกโจมตีจนทำให้ไม่สามารถใช้งานระบบ IT ได้

cyfence รวบรวมสถิติภัยคุกคามทางไซเบอร์ในประเทศไทยจากศูนย์ปฏิบัติการ Security Operation Center (SOC) ประจำปี 2020 โดยทีม Security Analyst โดยพบว่า อันดับ 1 คือ Authentication Fail หรือ การยืนยันตัวตนล้มเหลวซึ่งส่วนใหญ่เกิดจากพนักงานในองค์กรลืมรหัสผ่าน อันดับ 2 พฤติกรรมในการพยายามเจาะเข้ามาในระบบ IT  โดยผ่านช่องโหว่โปรแกรม อันดับ 3 Malware อย่างที่ทราบกันดี Ransomware ก็เป็น Malware ชนิดหนึ่ง ฉะนั้นการลง Antivirus ก็เป็นสิ่งสำคัญ เนื่องจากเมื่อเกิดการโจมตีก็อาจทำให้เกิดผลความเสียหายที่ร้ายแรงได้ ”

ศูนย์ปฏิบัติการ Security Operation Center (SOC) ของ cyfence เป็นแห่งแรกในประเทศไทย ที่ได้ ISO 27001 มีการช่วยเหลือลูกค้าอย่างไรบ้าง

“ศูนย์ปฏิบัติการ Security Operation Center (SOC) ของ cyfence เปิดมานานกว่า 12 ปี โดยมีทีมผู้เชี่ยวชาญเฝ้าระวังภัยคุกคามตลอด 24 ชั่วโมง (ทีม Security Analyst) อีกทั้งยังได้รับรางวัล Thailand Managed Security Service Provider of the Year ในฐานะผู้ให้บริการด้าน IT security ยอดเยี่ยมแห่งปี

จาก Frost & Sullivan ปี 2016-2017 โดยทีม Security Analyst จะทำการเฝ้าระวังเมื่อมีเหตุการณ์ผิดปกติเกิดขึ้นจะประสานงานและแจ้งเตือนลูกค้าเพื่อหา Solution ในการแก้ไขปัญหาจนกว่าแก้ไขได้เสร็จสิ้น นอกจากนั้นยังมีทีม CSIRT สำหรับเข้าไปแก้ไขปัญหาที่องค์กรของลูกค้าแบบ On-site ในกรณีที่ลูกค้าไม่สามารถแก้ไขเองได้ โดยเราจะเข้าไปค้นหาต้นตอของปัญหาหรือแม้กระทั่งการทำ Forensics เพื่อรวบรวมหลักฐานในกรณีที่จะนำไปฟ้องศาล

อีกทั้ง cyfence มีเคสจริงที่ได้ทำการ Search เพื่อหาข่าวสารด้าน Security ที่มาจาก Threat intelligence โดยพบว่า Attacker มีแคมเปญที่ต้องการเจาะระบบกลุ่มสถาบันการเงินดังทั่วโลก โดยเราได้นำข่าวสารแจ้งให้ลูกค้าทราบ รีบปิดระบบและอัปเดตแพทซ์เวอร์ชันใหม่ รวมถึงแจ้งเทคนิคการป้องกันภัยคุกคามต่าง ๆ ด้วย”

IBM QRadar หนึ่งใน Solution จาก IBM Partner ได้เพิ่มประสิทธิภาพกับ cyfence อย่างไรบ้าง

“แต่เดิมศูนย์ปฏิบัติการ Security Operation Center (SOC)  มี Platfrom อยู่แล้วแต่ในปีนี้ (2021) เราได้มองหาเครื่องมือใหม่ ๆ ที่มีความฉลาดด้าน AI เข้ามาช่วยเพื่อการให้บริการลูกค้าอย่างมีประสิทธิภาพยิ่งขึ้น โดยระบบ IBM QRadar มี AI  Machine Learning เข้ามาเพื่อช่วยวิเคราะห์พฤติกรรมการใช้งานที่ผิดปกติ UBA (User Behavior Analytic) เพราะภัยคุกคามไม่ได้มีแค่การโจมตีจาก Attacker ภายนอกเท่านั้นแต่ภายในองค์กรก็มี Attacker เช่นกัน ซึ่งระบบจะเข้ามาช่วยทีม Security Analyst ในการตรวจหาพฤติกรรมของผู้ใช้งานที่ผิดปกติ อีกทั้ง IBM ยังมี AI Watson ซึ่งเป็นคลังข้อมูลที่เกี่ยวกับ Security ฉะนั้นเมื่อเกิดภัยคุกคาม AI Watson จะรวบรวมข่าวสารมาให้ทีม Security Analyst ทันทีถือว่าเป็นช่วยเพิ่มความสะดวกและรวดเร็วในระยะเวลาการหาข้อมูลเพื่อช่วยเหลือลูกค้ายิ่งขึ้น”

ในระยะเวลา 3-5 ปีข้างหน้า แผนการทำ Digital Transformation ของ NT ให้การบริการลูกค้าอย่างไร โดยเฉพาะด้าน Security

“หลังจากควบรวมระหว่าง CAT และ TOT ทำให้เรากลายเป็นองค์กรด้านโทรคมนาคมที่ใหญ่ที่สุดในประเทศ ซึ่งต่อไปทิศทางด้าน Digital Transformation จะเน้นไปในทาง Smart ในทุกด้านไม่ว่าจะเป็น Infrastructure หรือ Integration system ให้เป็นระบบเดียวกันและมีประสิทธิภาพมากขึ้นรวมถึงพัฒนาทักษะบุคลากรให้มีความสามารถในการให้บริการลูกค้ายิ่งขึ้น ด้วยทั้ง 2 องค์กรแต่เดิมเป็นหน่วยงานด้านโทรคมนาคม ดังนั้นจะมีการเพิ่มทักษะด้าน Digital ไม่ว่าจะเป็นเรื่องด้าน Could ด้าน Security หรือ Platfrom อื่น ๆ เพื่อให้มีประสิทธิภาพในการให้บริการตามหลักสากล เช่น  ISO 27001 ISO 20000 ซึ่งเรามองว่าการมีมาตรฐานสากล จะช่วยส่งมอบสิ่งดีๆ ให้แก่ลูกค้าและลูกค้าจะมีความมั่นใจในการใช้บริการของ NT รวมถึงเรื่องระบบ Data ต่าง ๆ จะมีการเพิ่มระบบวิเคราะห์เข้ามาช่วยพนักงานในการให้บริการลูกค้า

ด้าน Security Solution หลังจากนี้เรามุ่งเน้นในภาคอุตสาหกรรมมากขึ้นด้วยกลุ่มนี้เริ่มจะเป็นเป้าหมายหลักในการโจมตีทั่วโลก นอกเหนือจากนั้น NT ก็จะให้ความสำคัญกลุ่มธุรกิจที่เป็นโครงสร้างพื้นฐานของประเทศ ( Critical Information Infrastructure : CII ) ตาม พรบ.ความมั่นคงปลอดภัยทางไซเบอร์ด้วย หากกลุ่มธุรกิจเหล่านี้ถูกโจมตีจนระบบล่ม หรือ เกิดเหตุการณ์ต่าง ๆ ด้านภัยคุกคาม จะกระทบต่อการให้บริการประชาชนได้ ดังนั้นจะมีการให้ธุรกิจที่เป็นโครงสร้างพื้นฐานของประเทศทำแผนเฝ้าระวังภัยคุกคาม ประเมินความเสี่ยง ซักซ้อมการรับมือเมื่อเหตุการณ์การถูกโจมตีซึ่งคาดว่าภายในหนึ่งเดือนข้างหน้าจะเริ่มบังคับและให้ปฏิบัติตามกฏหมายอย่างจริงจังค่ะ”