ความเชี่ยวชาญด้าน Cloud Security, PowerShell กำลังจะกลายเป็นทักษะสำคัญของนักวิเคราะห์ความปลอดภัยทางไซเบอร์
นักวิเคราะห์ความปลอดภัยทางไซเบอร์ควรจะมีทักษะในหลาย ๆ ด้าน เช่น ทักษะการรับมือ และตอบสนองต่อภัยคุกคามทางไซเบอร์ (Incident handling and response), ทักษะการตรวจจับภัยคุกคามเชิงรุก (Threat hunting), ทักษะการจัดเก็บรวบรวม และวิเคราะห์หลักฐานทางดิจิตอล (Digital forensics), ทักษะการใช้งานภาษาคอมพิวเตอร์ทั้ง Python และ Bash scripting
ถึงแม้ว่า AI จะเข้ามามีบทบาทจนอาจทำให้ศูนย์ปฏิบัติการเฝ้าระวังความปลอดภัยทางไซเบอร์ (SOCs) ต้องปรับตัวโดยทันที แต่ในปัจจุบันเทคโนโลยีสามอันดับแรกที่พนักงานใหม่ถูกคาดหวังให้มีพื้นฐานมาก่อนยังคงเป็น SIEM (Security information and event management), เทคโนโลยีการตรวจจับ และตอบสนองบนเครื่องโฮสต์ (host-based extended detection and reponse) และการแก้ไข หรือลดผลกระทบจากช่องโหว่ (Vulnerability remediation)
แต่ทักษะข้างต้นยังได้รับคะแนนน้อยกว่าสามทักษะดังต่อไปนี้อยู่ดี อ้างอิงจากการจัดอันดับของแบบสำรวจผู้ปฏิบัติงานในด้านความปลอดภัยทางไซเบอร์กว่า 400 รายที่สถาบัน SANS ดำเนินการในนามของ Torq ซึ่งสามทักษะนั้นครอบคลุมในส่วนของความรู้ด้านปัญหาของความปลอดภัยบนคลาวด์ (Cloud Security), ความเชี่ยวชาญด้าน PowerShell และความสามารถในการทำสร้างระบบอัตโนมัติสำหรับงานต่าง ๆ ที่ซ้ำซ้อน และสำหรับการจัดการระบบต่าง ๆ
Hard skills ที่สำคัญ
Dallas Young - Senior technical product manager จาก Torq ระบุเพิ่มเติมว่านอกเหนือจากสามทักษะที่ระบุไปนั้น “ในปัจจุบัน Hard skills ที่สำคัญสำหรับนักวิเคราะห์ความปลอดภัยทางไซเบอร์ (SOC Analysts) ประกอบไปด้วย ทักษะการรับมือ และตอบสนองต่อภัยคุกคามทางไซเบอร์ (Incident handling and response), ทักษะการตรวจจับภัยคุกคามเชิงรุก (Threat hunting), ความรู้ด้านปัญหาของความปลอดภัยบนคลาวด์ (Cloud Security), การวิเคราะห์หลักฐานทางดิจิตอล (Digital forensics), ทักษะการใช้งานภาษาคอมพิวเตอร์ทั้ง Python และ Bash scripting และ ความเชี่ยวชาญด้าน PowerShell”
และยังระบุว่า “ในส่วนของ Soft skills ที่สำคัญประกอบไปด้วย การคิดเชิงวิพากษ์ (Critical thinking), ความคิดสร้างสรรค์ (Creative Thinking), การแก้ปัญหาโดยใช้ข้อมูล, การใส่ใจในรายละเอียดของบริบทที่เปลี่ยนแปลงไปอย่างรวดเร็ว และทักษะการสื่อสารทั้งในระดับเทคนิค และการสื่อสารทั่วไประหว่างบุคคล”
แบบสำรวจจาก SANS ที่มีการตอบกลับโดยบริษัททั้งขนาดเล็ก กลาง ใหญ่ ในอเมริกา และประเทศอื่น ๆ เกี่ยวกับอุปสรรคที่ SOC อันดับต้น ๆ ในแต่ละที่ต้องพบเจอ แล้วพบว่าคำตอบส่วนใหญ่ที่ทำให้หลายบริษัทหยุดชะงัก หรือเติบโตได้อย่างยากลำบากไปหลายปี ประกอบไปด้วยการที่มีระบบอัตโนมัติ (automation and orchestration) ให้กับงานสำคัญใน SOC ไม่เพียงพอ, มาตรฐานที่สูงของข้อกำหนดด้านพนักงาน (High-staffing requirements), การขาดแคลนพนักงานที่มีความสามารถ และวิสัยทัศน์ที่เพียงพอ และการแพร่หลายของวัฒนธรรมการทำงานแบบ Silo mentality (การทำงานของทีมตัวเองเพียงเท่านั้น โดยไม่แบ่งปันข้อมูลให้กับทีมอื่น ๆ) ระหว่างทีมรักษาความปลอดภัย, ทีมรับมือ และตอบสนองต่อภัยคุกคาม และทีมที่ดำเนินการต่าง ๆ
ตัวเลขอัตราการลาออกของพนักงานของ SOC ที่ดีขึ้น
ผลการสำรวจยังมีข้อมูลในด้านบวกที่น่าแปลกใจพบว่า อัตราการสามารถเก็บรักษาพนักงานใน SOC หลายแห่งเพิ่มขึ้น จากผู้ตอบแบบสอบถามกว่า 30% โดยส่วนใหญ่ระบุว่า อายุงานโดยเฉลี่ยขององค์กรอยู่ที่ 3 ถึง 5 ปี ซึ่งแตกต่างจากแบบสำรวจก่อนหน้าของ SANS ที่ระบุเพียง 1 ถึง 3 ปีเท่านั้น
Young ยังระบุถึงแนวโน้มที่เพิ่มขึ้นของการใช้งานระบบอัตโนมัติในการคัดแยก และวิเคราะห์แทนนักวิเคราะห์ฯ ระดับ 1 (Tier 1) ในหลาย ๆ องค์กรแล้ว ทำให้ SOC analysts ต้องเน้นไปทำงานที่ต้องใช้การวางแผน ใช้ความรู้ความสามารถมากขึ้น เช่น การตรวจจับภัยคุกคามเชิงรุก และการรับมือ และตอบสนองต่อภัยคุกคามขั้นสูง ซึ่งถือเป็นการช่วยบรรเทาปัญหาการเบิร์นเอาท์ (Burnout) ได้อีกด้วย
และปัจจัยอื่น ๆ ที่ช่วยทำให้ตัวเลขอัตราการเก็บรักษาพนักงานเพิ่มขึ้น คือสภาพแวดล้อมของการทำงานที่เอื้ออำนวย เช่น การทำงานจากภายนอกบริษัท (remote work) และเวลาทำงานที่ยืดหยุ่น รวมถึงการวางแผนอบรมเส้นทางอาชีพในอนาคตสำหรับผู้ที่มีความสามารถสูง โดยทาง Young ระบุเพิ่มเติมว่า “นักวิเคราะห์ฯ ที่ต้องการทำงานโดยเน้นในด้านเทคนิค ทางบริษัทต้องพร้อมสนับสนุนค่าใช้จ่ายสำหรับการอบรม และสอบใบประกาศณียบัตรในด้านที่สนใจต่าง ๆ ด้วย เช่น นักทดสอบเจาะระบบ(Penetration testing), วิศวกรรมมัลแวร์แบบย้อนกลับ (Reverse malware engineering), และความปลอดภัยของระบบคลาวด์ (Cloud Security)”
Jake Williams จากคณะทำงานที่สถาบันวิจัย IANS และรองประธานฝ่ายวิจัย และพัฒนาของ Hunter Strategy ระบุว่า เงื่อนไขของตลาดแรงงานอนุญาตให้หลายองค์กรสามารถหานักวิเคราะห์ฯ ที่มีความสามารถสูงด้วยงบประมาณเดียวกันเมื่อเทียบกับหลายปีที่แล้ว “ซึ่งถือเป็นเรื่องดีสำหรับองค์กรในระยะสั้น แต่องค์กรจำเป็นต้องเตรียมแผนการโดยทันทีเมื่อตลาดแรงงานกลับมาเป็นเหมือนเดิมอีกครั้ง” อีกทั้งยังกล่าวเพิ่มเติมว่า “หลายองค์กรกำลังปิดบังในส่วนของขั้นตอนการพิจารณาทักษะที่ควรมีของนักวิเคราะห์ฯ”
ความรู้ด้านคลาวด์, ระบบการจัดการด้านเอกลักษณ์ (ID management), PowerShell คือทักษะที่มาแรงในช่วงนี้
เช่นเดียวกับ Young ทาง Williams ระบุถึงทักษะของนักวิเคราะห์ที่ตลาดแรงงานต้องการมากที่สุด ซึ่งอยู่นอกเหนือจากทักษะหลัก เช่น SIEM และ XDR แต่เป็นเรื่องของ Cloud platforms เช่น AWS และ Azure รวมถึงความเข้าใจใน Active Directory และ Entra ID โดยที่ยังระบุว่า “มีความคาดหวังถึงความรู้ด้าน Cloud โดยเฉพาะกับนักวิเคราะห์ฯ อาวุโสมากขึ้น” และเนื่องจากมีการใช้งาน M365 อย่างแพร่หลายในหลายองค์กร ดังนั้นจึงเป็นที่มาของความคาดหวังว่านักวิเคราะห์จะมีความรู้ในเรื่องของ PowerShell ไปจนถึงการ query GraphAPI อีกทั้งยังระบุว่า “ประสบการณ์ด้าน PowerShell และความรู้ด้าน Cloud platform เคยเป็นทักษะที่ยังไม่แพร่หลายเท่าปัจจุบัน แต่สำหรับนักวิเคราะห์ฯ อาวุโสในปัจจุบัน ดูเหมือนจะเป็นสิ่งที่จำเป็นต้องมีแล้ว ”
แบบสำรวจของ SANS เผยว่า ผู้ปฏิบัติงานตำแหน่ง SOC หลายคนไม่ได้ตื่นเต้นกับการใช้งานเครื่องมือปัญญาประดิษฐ์ (AI) และ Machine Learning สำหรับงานวิเคราะห์ความปลอดภัยทางไซเบอร์ แต่ในทางกลับกันนั้น ดันให้คะแนนเครื่องมือ AI และ ML ต่ำที่สุดเมื่อถูกถามถึงเครื่องมือในการวิเคราะห์ แต่อย่างไรก็ตามยังมีข้อกังขาในส่วนของการที่เทคโนโลยี AI และ GenAI ว่าจะเข้ามาวางมาตรฐานสร้างการเปลี่ยนแปลงให้กับงาน SOC ในส่วนของขั้นตอน และทักษะที่ต้องใช้ในการทำงานอย่างไร
Young ระบุเพิ่มเติมอีกว่า AI จะเข้ามาเป็นส่วนพื้นฐานสำคัญในการยกระดับการตรวจสอบ ติดตามภัยคุกคามเชิงรุกแบบอัตโนมัติ และสำหรับงานที่ใช้เวลานาน งานที่ทำเหมือนเดิมซ้ำ ๆ ซึ่งจะช่วยลดความเหนื่อยล้าที่ได้รับจากการแจ้งเตือน รวมถึงการวิเคราะห์ข้อมูลเพื่อทำนายแนวโน้มสิ่งที่จะเกิดขึ้นในอนาคตได้ และนักวิเคราะห์ฯ SOC จำเป็นจะต้องคุ้นเคยกับอัลกอริธึมของ ML และเทคนิคการวิเคราะห์ข้อมูลต่าง ๆ ในการแปลผลของมูลเชิงลึกที่สร้างขึ้นจาก AI อีกทั้งนักวิเคราะห์ฯ SOC จำเป็นต้องมีทักษะในการรับมือเหตุการณ์ภัยคุกคามที่มีความซับซ้อนมากยิ่งขึ้นที่ถูกตรวจจับโดยระบบ AI อีกทั้งยังต้องพร้อมที่จะเรียนรู้อย่างต่อเนื่อง และพร้อมที่จะปรับตัวให้ทันต่อการเปลี่ยนแปลงของเทคโนโลยี และวิธีการใหม่ ๆ ของ AI ที่พัฒนามาอยู่ตลอด
ทำไมสิ่งนี้ถึงจำเป็น?
Williams คาดหวังให้เครื่องมือ AI ลดความจำเป็นขององค์กรที่มีต่อนักวิเคราะห์ฯ ระดับต้น ซึ่งบทบาทมีเพียงแค่การตอบสนองต่อการแจ้งเตือนพื้นฐานเท่านั้น “นักวิเคราะห์ฯ ระดับต้นควรพิจารณาได้ว่าสิ่งไหนที่ AI ทำได้ และไม่ได้ แล้วควรจะหาความรู้ในส่วนที่ AI จะไม่สามารถมาแทนที่ได้ เช่น การคิดเชิงวิพากษ์” อีกทั้งยังระบุว่า “SOC ในอนาคตควรจะเน้นน้อยลงในส่วนของความรู้ที่ว่า Port 3389 คือ RDP เนื่องจาก AI สามารถให้ข้อมูลเหล่านั้นได้ตามต้องการ และควรเน้นไปที่คำถามว่าทำไมสิ่งนี้ถึงจำเป็นในเรื่องนี้มากกว่า”
Sajeeb Lohani ผู้จัดการอาวุโสด้านความปลอดภัยทางไซเบอร์ที่ Bugcrowd ระบุว่า "เมื่อกล่าวถึงปัญหาที่น่าสนใจต่าง ๆ และเรื่องของการมองถึงความสัมพันธ์ของแต่ละเหตุการณ์ ความคิดสร้างสรรค์ยังคงเป็นสิ่งจำเป็นที่นักวิเคราะห์ฯ SOC ที่เชี่ยวชาญควรมี และในปัจจุบัน SIEM สามารถที่จะยกระดับการแจ้งเตือนได้แล้ว ดังนั้นจึงเป็นเรื่องง่ายที่จะเกิดการเปิด และปิด Ticket ได้อย่างรวดเร็ว” อีกทั้งนักวิเคราะห์ฯ ที่จะประสบความสำเร็จได้นั้น จำเป็นจะต้องสามารถเชื่อมโยงเหตุการณ์ต่าง ๆ และเข้าใจถึงภาพรวมของธุรกิจได้ เมื่อจำเป็นต้องประเมินสถานการณ์ และตอบสนองต่อเหตุการณ์ภัยคุกคามได้ซึ่งคือสิ่งสำคัญ"
Lohani ยังคาดการณ์ว่าภัยคุกคามบางส่วนที่ SOC ยังไม่ค่อยพบเจอ จะเป็นสิ่งที่สำคัญมากยิ่งขึ้นในอีกไม่กี่ปีข้างหน้า “เนื่องจากปัจจุบัน นักวิเคราะห์ฯ SOC จำนวนมากยังไม่เคยรับมือต่อเหตุการณ์ภัยคุกคามด้านความปลอดภัยที่พบเจอได้ยาก เช่น Supply chain attack มากนัก” อีกทั้งเมื่อเวลาผ่านไปแนวทางการปฏิบัติที่ได้มาตรฐาน (mature practices) จะเป็นสิ่งจำเป็นอย่างยิ่งในการเตรียมพร้อม และรับมือต่อการเปลี่ยนแปลง ”
ที่มา : DARKREADING
You must be logged in to post a comment.