หนึ่งในกลไกที่สำคัญที่สุดในการขับเคลื่อน Security Operation Center (SOC) นั้นนอกเหนือจากการมีเทคโนโลยีที่เหมาะสม มีกระบวนการทำงานที่ชัดเจน คือกำลังของเหล่า Security Analyst ซึ่งเป็นด่านแรกในการรับมือกับการเกิดขึ้นของการโจมตีทางไซเบอร์และภัยคุกคาม ประสิทธิภาพและผลิตภาพจากกำลังหลักนี้เป็นปัจจัยสำคัญที่สะท้อนประสิทธิภาพของ SOC และในขณะเดียวกันการขาดซึ่งประสิทธิภาพและผลิตภาพก็ส่งผลด้านลบอย่างรุนแรงต่อ SOC ด้วยเช่นเดียวกัน
ในบทความนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัดจะขอพักการใช้ทักษะทางด้านเทคนิคของเรามาโฟกัสที่คำถามที่สำคัญสำหรับเหล่า Security Analyst, SOC Operator และ SOC Manager นั่นคือคำถามว่าปัจจัยใดที่มีผลต่อประสิทธิภาพในการทำงานของเรา และในขณะเดียวกันอะไรที่ทำให้เราไม่มีประสิทธิภาพ แล้วเราสามารถทำอะไรกับมันได้สำหรับปัญหาเหล่านี้
บทความนี้อ้างอิงเนื้อหาโดยส่วนใหญ่มาจากงานวิจัยชื่อ A Human Capital Model for Mitigating Security Analyst Burnout โดย Sathya Chandran และคณะ ซึ่งสามารถดาวโหลดงานวิจัยฉบับเต็มได้ตามลิงค์ที่แนบมาครับ
รายละเอียดการทำวิจัย
ในส่วนแรกของบทความนี้ เราขออธิบายรายละเอียดและที่มาของประเด็นและข้อเสนอที่จะถูกนำเสนอในหัวข้อต่างๆ โดยการพูดถึงกระบวนการทำวิจัย ตัวแปรและทฤษฎีที่สำคัญและข้อจำกัดของงานวิจัยนี้ครับ
เป้าหมายหลักสำคัญของงานวิจัยนี้คือการพุ่งเป้าเพื่อหาคำตอบและวิธีการในการรักษาศักยภาพในการทำงานของกลุ่มอาชีพ Security analyst ซึ่งนำไปสู่การค้นหาว่าปัจจัยใดที่ลดประสิทธิภาพในการทำงานและประเด็นว่าด้วยเรื่องของการ Burnout
งานวิจัยนี้ใช้วิธีการศึกษาโดยให้นักวิจัยมาเข้าร่วมกับสังคมที่จะทำการศึกษา ร่วมปฏิบัติงานด้วยกันและพยายามปฏิบัติเพื่อให้ได้มาซึ่งความเชื่อใจและการยอมรับ โดยในระหว่างนี้นักวิจัยจะทำการบันทึกเหตุการณ์ที่เกิดขึ้นในแต่ละวันภายใน SOC เพื่อนำมาประเมินผล รวมเวลาเก็บข้อมูลทั้งสิ้นทั้งหมด 6 เดือน
ข้อมูลประจำวันที่ได้จากการบันทึกจะถูกนำมาประเมินผลด้วยทฤษฎี Grounded theory ซึ่งเป็นหลักทฤษฎีของการศึกษาปรากฎการณ์ทางสังคมเพื่อสร้างทฤษฎีหรือโมเดลมาอธิบายปัจจัยที่เกี่ยวข้องผ่านทางการให้เหตุผลแบบอุปนัย (Inductive reasoning) จากข้อมูลที่ทำการรวบรวมมา นิยามและคุณลักษณะจะถูกกำหนดให้กับข้อมูลก่อนจะถูกนำมาจับกลุ่มตามความสัมพันธ์ที่มีต่อกันระหว่างนิยาม
ตัวอย่างของข้อมูลที่ถูกเก็บรวบรวมมาจากนักวิจัยซึ่งทำงานกับร่วมกับทีม SOC เช่น
ในระหว่างที่ทำการวิเคราะห์เหตุการณ์ภัยคุกคาม ฉันได้ให้คำแนะนำแก่ Security analyst คนอื่นว่าเราควรลองเข้าถึงระบบ Domain controller เพื่อหาและเก็บข้อมูลที่สำคัญเพิ่มเติม อย่างไรก็ตาม Security analyst อีกคนหนึ่งกล่าวว่าการเข้าถึง Domain controller เป็นการกระทำที่มีความเสี่ยงเกินไปสำหรับ Security analyst
ตัวอย่างข้อมูลนี้จะถูกนิยามและให้คุณลักษณะไว้ว่าเป็นประเด็นที่เกี่ยวข้องกับความรับผิดชอบ (liability) และการถูกไม่ได้รับหรือถูกจำกัดสิทธิ์ที่ควรได้รับเพื่อดำเนินการอย่างใดอย่างหนึ่ง (restricted of empowerment) หลังจากนั้นด้วยข้อมูลและการให้นิยามอื่นๆ ที่แตกต่างกัน นิยามและคุณลักษณะจะถูกจับกลุ่มและรวบรวมให้กลายเป็นประเด็นใหญ่สุดท้ายเพื่อสร้างเป็นโมเดลในการอธิบายพฤติกรรมที่เกี่ยวข้องกัน
ส่วนของการเก็บข้อมูล ศึกษาข้อมูลและพัฒนาโมเดลเพื่ออธิบายพฤติกรรมของ Security analyst ถูกดำเนินการใน SOC ของบริษัททางด้านไอทีที่มีลักษณะของผู้ให้บริการในสหรัฐอเมริกา โดยผลลัพธ์โมเดลที่ได้จากการทำวิจัยนั้นถูกนำมาตรวจสอบกับ SOC ของมหาวิทยาลัยแห่งหนึ่งในสหรัฐฯ ซึ่งได้ผลลัพธ์ที่สอดคล้องกัน ทังนี้รายละเอียดของบุคลากร SOC รวมไปถึงการแบ่งหน้าที่ เพศ และประสบการณ์ในการทำงานสามารถอ่านได้เพิ่มเติมจากในหัวข้อที่ 4 Fieldwork Setup และหัวข้อที่ 5 SOC Demography
ปัจจัยที่เกี่ยวข้องกับประสิทธิภาพการทำงานของ Security Analyst
ภายใต้งานวิจัยนี้นิยามปัจจัยที่เกี่ยวข้องกับประสิทธิภาพการทำงานของ Security analyst ตามแนวคิดเรื่องทุนมนุษย์ (Human capital) ซึ่งหมายถึงทรัพยากรที่คนหรือกลุ่มคนมี เช่น ความรู้และความเชี่ยวชาญ, ทักษะและประสบการณ์, ความคิดสร้างสรรค์และคุณสมบัติอื่นๆ ที่คนหรือกลุ่มคนพึงมี การที่ Security analyst สามารถสร้างและพัฒนาทุนมนุษย์ได้อย่างเหมาะสมสามารถการันตีความมีประสิทธิภาพของ SOC ในด้านกำลังคนได้
ทุนมนุษย์ของ Security analyst ถูกสร้าง รักษาและพัฒนาจาก 4 ปัจจัยหลัก โดยแต่ละปัจจัยจะมีความเกี่ยวข้องซึ่งกันและกันในมุมที่ว่าปัจจัยก่อนหน้ามีความจำเป็นต่อการมีอยู่และคุณภาพของปัจจัยต่อไป
ความสามารถ (Skills)
อำนาจและสิทธิ์ในการดำเนินการ (Empowerment)
ความสร้างสรรค์ (Creativity)
การพัฒนาและเติบโตของศักยภาพ (Growth)
เราสามารถใช้ 4 ปัจจัยนี้ในการอธิบายทุนมนุษย์ของ Security analyst ได้ดังนี้
Security analyst จะต้องมีความสามารถ (Skills) ที่ตรงกับสิ่งที่ทำรวมไปถึงมีศักยภาพที่เหมาะสม เนื่องจากงานของ SOC นั้นเกี่ยวข้องกับระบบของผู้อื่นรวมไปถึงการตัดสินใจ หากปราศจากซึ่งความสามารถที่เหมาะสมก็ย่อมแยกที่ Security analyst จะสามารถมีคุณลักษณะในขั้นต่อไปได้
เมื่อมีความสามารถที่เหมาะสมแล้ว Security analyst ควรจะได้รับอำนาจและสิทธิ์ในการดำเนินการ (Empowerment) ซึ่งรวมไปถึงการรับผิดชอบในหน้าที่ การมีอำนาจและสิทธิ์นี้สร้างช่องทางให้ Security analyst สามารถทำสิ่งใหม่หรือเสนอวิธีการใหม่ในการทำงานที่จะสร้างผลลัพธ์และเป็นโมเมนตัมในการทำงานและพัฒนาตนเองต่อไปได้ และยังนำไปสู่ประเด็นในเรื่องของความไว้เนื้อเชื่อใจด้วย
ด้วยการมีอำนาจและสิทธิ์ในการดำเนินงานตามความเหมาะสมเป็นใบเบิกทาง Security analyst จะได้รับสิทธิ์ในการที่จะสามารถรับมือและมีส่วนร่วมกับการแก้ปัญหากับสถานการณ์ใหม่ที่อยู่นอกเหนือจาก Procedure ที่ SOC มี การขาดซึ่งความสร้างสรรค์ (Creativity) ในการทำงานจะส่งผลให้เกิดความเบื่อหน่ายเมื่อต้องทำงานเดิมซ้ำๆ และทำให้โอกาสเกิดข้อผิดพลาดมีมากขึ้นด้วย
การได้รับโอกาสเพื่อทำสิ่งใหม่จะส่งผลให้เกิดการพัฒนาและเติบโตของศักยภาพ (Growth) และส่งผลให้ Security analyst รู้สึกประสบความสำเร็จและมีจุดมุ่งหมาย การพัฒนาและเติบโตของศักยภาพสามารถเกิดขึ้นได้จากการเรียนรู้จากผู้ที่มีประสบการณ์มากกว่าหรือผ่านทางการโยกย้ายหน้าที่ไปยังหน้าที่ที่เหมาะสมตามความสามารถ
อ้างอิงจากงานวิจัย โมเดลซึ่งเป็นผลลัพธ์จากการวิจัยได้อธิบายว่าความรู้สึก Burnout ของ Security analyst จะเกิดขึ้นเมื่อพวกเขาติดอยู่ ณ จุดใดจุดหนึ่งของปัจจัยเหล่านี้ไปเรื่อยๆ และไม่สามารถพัฒนาขึ้นไปได้
นอกเหนือจากปัจจัยเฉพาะบุคคลในเรื่องของทุนมนุษย์ งานวิจัยยังเสนอปัจจัยภายนอกอีก 3 ปัจจัยที่สามารถกระทบต่อปัจจัยในเรื่องของทุนมนุษย์ได้ ได้แก่
การทำงานแบบอัตโนมัติ (Automation) หากเกิดขึ้นก็สามารถช่วยงานซ้ำซ้อนใน SOC ได้และทำให้เกิดการทำงานร่วมกันระหว่างหลายฝ่ายซึ่งทำให้เกิดลักษณะงานที่ท้าทายและแปลกใหม่ ทั้งนี้มันจะเกิดขึ้นได้ก็ต่อเมื่อเกิดการตรวจสอบกระบวนการทำงานอย่างจริงจังว่าเกิดข้อจำกัดขึ้นในส่วนใด การขาดซึ่งการทำงานแบบอัตโนมัติส่งผลให้ Security analyst ถูกบังคับให้ทำงานซ้ำซ้อนซึ่งทำให้สูญเสียโอกาสในการพัฒนา Skills และ Creativity ไป
ประสิทธิภาพในเชิงปฏิบัติการ (Operational Efficiency) ปัจจัยนี้ถูกอธิบายในมุมของหาก SOC สามารถปฏิบัติการได้อย่างมีประสิทธิภาพ Security analyst จะได้รับอิทธิพลจากสิ่งนี้และส่งผลกระทบต่อทุนมนุษย์ภายในตัวของเขาเอง ความมีประสิทธิภาพในเชิงปฏิบัติการนั้นร่วมไปถึงการทำงานแบบอัตโนมัติที่ช่วยลดงานซ้ำหรือการเกิดขึ้นของเทคโนโลยีใหม่ที่ช่วยให้การทำงานนั้นเป็นไปได้ง่ายขึ้น
ตัวชี้วัด (Metrics) เนื่องจาก SOC เป็นกระบวนการที่มีการลงทุนสูง การเกิดขึ้นของตัวชี้วัดในงานวิจัยนี้จึงเป็นถูกนำมาเป็นปัจจัยหนึ่งที่กลุ่มของผู้บริหารกำหนดและประเมินรวมไปถึงความคาดหวังต่อกิจกรรมและผลลัพธ์ที่ได้ของ SOC หากตัวชี้วัดถูกกำหนดขึ้นอย่างไม่เหมาะสม นั่นหมายถึงการประเมินที่ผิดพลาดในประสิทธิภาพในเชิงปฏิบัติการและอาจหมายถึงการสูญเสียโอกาสในการพัฒนาทุนมนุษย์และปัจจัยอื่นๆ ไป งานวิจัยนี้ยังคงไม่อาจสรุปได้ถึงตัวชี้วัดที่เหมาะสมในการประเมินประสิทธิภาพในเชิงปฏิบัติการ โดยเสนอเพียงแค่ผลกระทบที่มีเท่านั้น
งานวิจัยนี้ยังคงมีข้อจำกัดในหลายประเด็น อาทิ กระบวนการพัฒนาโมเดลเพื่ออธิบายปรากฎการณ์ทางสังคมรวมไปถึงกระบวนการทดสอบเกิดขึ้นกับ SOC เพียงไม่กี่ราย ซึ่งอาจทำให้โมเดลไม่ได้สะท้อนถึงความจริงได้อย่างแม่นจำ และด้วยข้อจำกัดที่ผู้ทำวิจัยจะต้องเข้าร่วมในกระบวนการทำงานของ SOC เป็นระยะเวลาที่นานซึ่งทำให้ความหลากหลายของสภาพแวดล้อมในการทำวิจัยเกิดขึ้นได้ยาก รวมไปถึงข้อผิดพลาดที่อาจเกิดขึ้นในการเก็บข้อมูล ผลลัพธ์จากงานวิจัยนี้จึงสมควรที่จะถูกตั้งคำถามและพิสูจน์เพื่อการพัฒนาต่อไป
สรุป
งานวิจัย A Human Capital Model for Mitigating Security Analyst Burnout นี้ผูกประเด็นปัญหาของการ Burnout ใน Security analyst ไว้กับประเด็นเรื่องของทุนมนุษย์อันได้แก่ ความสามารถ, สิทธิ์และอำนาจนการดำเนินการ, ความสร้างสรรค์และการพัฒนาและเติบโตของศักยภาพ พร้อมกับปัจจัยภายนอกอื่นๆ เป็นหลัก โดยได้เสนอในมุมว่าประสิทธิภาพและความพึงพอใจในการทำงานขึ้นอยู่กับการสร้าง พัฒนาและรักษาตัวแปรเหล่านี้เอาไว้ ในขณะเดียวกันปัญหาของการ Burnout เกิดจากการไม่สามารถสร้าง พัฒนาและรักษาตัวแปรเหล่านี้เอาไว้ได้
แม้ว่างานวิจัยจะสามารถนำเสนอโมเดลเพื่อให้เราได้นำมาทดสอบและพิสูจน์ถึงความแม่นยำกันต่อไป โมเดลและทฤษฎีซึ่งนำเสนอตัวแปรของพฤติกรรมในสังคมก็ยังคงทำหน้าที่ได้เพียงชี้ให้เห็นถึงความเป็นไปได้ของกลุ่มปัจจัยหนึ่งจากปัจจัยมากมายที่จะส่งผลกระทบต่อการทำงานของ Security analyst การควบคุมปัจจัยที่เกี่ยวข้องกับประสิทธิภาพก็ยังคงไม่ชัดเจนและเหลือทิ้งไว้เป็นคำถามต่อไปว่า Manager และ Executive ควรจะบริหารและจัดการ รวมไปถึงบาลานซ์ปัจจัยต่างๆ ให้เหมาะสมได้อย่างไรเพื่อให้ทุนมนุษย์และปัจจัยที่เกี่ยวข้องสามารถเกิดขึ้นได้อย่างมีประสิทธิภาพและปราศจากผลกระทบที่ไม่พึงประสงค์ได้มากที่สุด