Digital Transform อย่างปลอดภัยด้วย SOC as a Service จาก ไอ-ซีเคียว

เนื่องจากภัยคุกคามทางด้านความมั่นคงปลอดภัยทางไซเบอร์ ที่เกิดขึ้นในปัจจุบันมีความหลากหลายและซับซ้อนในรูปแบบ วิธีการ อีกทั้งช่องทางของการโจมตีก็เพิ่มขึ้นในทุกๆ วัน

สิ่งเหล่านี้ทำให้หลายองค์กรต้องหาวิธีการป้องกันการโจมตีเหล่านั้น ซึ่งโดยทั่วไปแล้วจะประกอบไปด้วยเครื่องมือหลากหลายชนิด ที่ต้องเลือกใช้ให้เหมาะสมกับช่องทางของการโจมตี อาทิเช่น Next-Generation Firewall, Web Application Firewall, Database Firewall, Next-Generation Endpoint และเครื่องมืออื่นๆ อีกมากมาย

 

ด้วยปัจจัยทางด้านความหลากหลายของเครื่องมือ ส่งผลให้แต่ละองค์กรจำเป็นต้องมีผู้เชี่ยวชาญ (Expert Cyber Security Engineer) ที่มีทักษะและความชำนาญในเครื่องมือดังกล่าวเป็นจำนวนมาก เพื่อที่จะทำการดูแลรักษาและปรับแต่งค่าของระบบให้สามารถป้องกันภัยคุกคามใหม่ๆ ได้เสมอ

สิ่งสำคัญคือผู้เชี่ยวชาญเหล่านี้จะต้องทำการเฝ้าระวังฯ เหตุการณ์ภัยคุกคามฯ โดยความท้าทายของการเฝ้าระวังฯ นั่นก็คือปริมาณของการแจ้งเตือน (Alerts) ที่เกิดขึ้นจาก Logs การใช้งานของแต่ละเครื่องมือ ซึ่งอาจจะมีปริมาณการแจ้งเตือนที่จำนวนมาก เนื่องจากเครื่องมือที่ใช้งานไม่ได้ทำการปรับ policy ที่เหมาะสม  ทำให้เกิด false positive สูงตามมา อีกปัจจัยหนึ่งคือไม่ได้มีการจัดทำ Log Correlations รวมถึงไม่มี process ในการตอบสนอง และรับมือต่อภัยคุกคามฯ ที่เป็นมาตรฐานชัดเจน

 
องค์ประกอบหลักในการมองหาผู้ให้บริการที่มีความเชี่ยวชาญ
จากปัญหาดังกล่าว หลายๆ องค์กรจึงจำเป็นต้องมีหน่วยงานที่ดูแลรับผิดชอบทางด้าน Cyber Security หรือเริ่มมองหาผู้ให้บริการที่มีศูนย์เฝ้าระวังและปฏิบัติการด้านความปลอดภัยสารสนเทศ (Security Operation Center - SOC) เข้ามาทำหน้าเฝ้าระวังและตอบสนองต่อเหตุการณ์ภัยคุกคามที่เกิดขึ้นได้อย่างรวดเร็วและทันท่วงที

ทั้งนี้ปัจจัยหลัก ๆ ในการมองหาผู้ให้บริการที่มีความเชี่ยวชาญ จะต้องประกอบไปด้วยองค์ประกอบหลักๆ ดังต่อไปนี้

People: ทีมงาน, ผู้เชี่ยวชาญที่มีทักษะและความชำนาญเฉพาะทางด้าน Cyber Security และต้องสามารถบริหารจัดการ (Operate) แบบ 24x7 ได้ รวมไปถึงการพัฒนาทักษะ (Skills) ให้กับทีมงานให้มีความเชี่ยวชาญที่อยู่ในระดับใกล้เคียงกันเพื่อที่จะสามารถปฏิบัติงานทดแทนกันได้
Technology: การลงทุนระบบที่ออกแบบมาเพื่อตรวจจับภัยคุกคามโดยเฉพาะ (Technology) โดยองค์กรต้องจัดเตรียมอุปกรณ์ (Hardware และ/หรือ Software) ของ Security Information & Event Management (SIEM) รวมไปถึง ฐานข้อมูลแหล่งข่าวอัจฉริยะในการเฝ้าระวังภัยคุกคามฯ (Threat Intelligent) เพื่อใช้ในการรวบรวมข้อมูลภัยคุกคามฯ จากทั่วโลก
Process: กระบวนการบริหารจัดการที่มีมาตรฐานในการตอบสนองต่อเหตุการณ์กรณีที่มีภัยคุกคามเกิดขึ้น รวมถึงการปรับปรุงกระบวนการทำงานให้สอดคล้องกับรูปแบบของภัยคุกคามที่มีการเปลี่ยนแปลงรูปแบบอยู่เสมอ

 

ภาพแสดงส่วนประกอบหลักของการจัดทำศูนย์เฝ้าระวังและปฏิบัติการด้านความปลอดภัยสารสนเทศ (Security Operation Center - SOC)

 
7 คุณลักษณะที่บริการ SOCaaS จำเป็นต้องมี
การลงทุน ทั้ง 3 องค์ประกอบข้างต้น หลายๆองค์กรจึงเลือกใช้บริการแบบ SOCaaS (SOC as a Service) แทนการจัดตั้งศูนย์ SOC เป็นขององค์กรเอง โดยคุณลักษณะที่บริการ SOCaaS จำเป็นต้องมีดังต่อไปนี้

ระบบจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (Log) เพื่อให้เป็นไปตามข้อกำหนดในพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 และพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2560 พร้อมศูนย์สำรองข้อมูลของผู้ให้บริการ (DR Site) เพื่อสำรองข้อมูลอย่างน้อย 1 สำเนา
ระบบ Security Information & Event Management (SIEM) สำหรับให้บริการเชื่อมโยงความสัมพันธ์ของข้อมูลเพื่อเฝ้าระวังและแจ้งเตือนเหตุการณ์ที่เข้าข่ายเป็นภัยคุกคามฯ พร้อมทีมงานผู้เชี่ยวชาญในการปรับปรุงรูปแบบการตรวจสอบ (Use Case Development) ให้ทันต่อภัยคุกคามทางไซเบอร์ในปัจจุบัน โดยทำงานร่วมกับระบบฐานข้อมูลแหล่งข่าวอัจฉริยะในการเฝ้าระวังภัยคุกคามฯ (Threat Intelligent) ได้
มีทีมงานผู้เชี่ยวชาญในการบริหารจัดการข้อมูลจราจรทางคอมพิวเตอร์ (Data Collection and Data Processing), ทีมบริหารจัดการระบบเชื่อมโยงความสัมพันธ์ข้อมูลจราจรทางคอมพิวเตอร์ (SIEM Administrator & Architecture)
มีทีมผู้เชี่ยวชาญซี่งมีหน้าที่เฝ้าระวังและวิเคราะห์ภัยคุกคามทางไซเบอร์ตลอด 24 ชั่วโมง เพื่อเข้าทำการตอบสนองเบื้องต้นต่อเหตุการณ์เมื่อมีการแจ้งเตือนจากระบบ (Event Intake) ตอบสนองเหตุการณ์ที่อยู่ในข่ายเป็นภัยคุกคามทางไซเบอร์ (Incident Intake), ให้คำปรึกษาเกี่ยวกับเหตุการณ์ที่อยู่ในข่ายเป็นภัยคุกคามทางไซเบอร์ พร้อมคำแนะนำในการรับมือหรือป้องกันไม่ให้เกิดซ้ำในอนาคต รวมไปถึงให้คำปรึกษาในด้านอื่น ๆ ที่เกี่ยวกับความปลอดภัยทางไซเบอร์ด้วย (Incident/Cybersecurity Advisory)
มีทีมผู้เชี่ยวชาญซี่งมีหน้าที่ศึกษา ติดตาม และค้นคว้าเกี่ยวกับภัยคุกคามทางไซเบอร์ในรูปแบบต่างๆ เพื่อนำมาพัฒนารูปแบบและเทคนิคการตรวจจับภัยคุกคามทางไซเบอร์ของระบบเฝ้าระวังภัยคุกคามทางไซเบอร์ให้ทันสมัยและมีประสิทธิภาพอยู่ตลอดเวลา (Threat Hunting)
มีมาตราฐานการดำเนิน (Security Operation Procedure) เพื่อการดำเนินการตามมาตราฐานหากเจอภัยคุกคามฯ และมีการพัฒนาและปรับปรุงการทำงานอย่างสม่ำเสมอ
มีรายงานสรุปภัยคุกคามที่เกิดขึ้น พร้อมคำแนะนำ และ/หรือ วิธีการแก้ไข พร้อมผู้เชี่ยวชาญในการให้คำปรึกษา

ภาพแสดงส่วนประกอบหลักของการบริการแบบ SOCaaS (SOC as a Service)

 
สิ่งที่องค์กรจะได้รับจากการใช้บริการแบบ SOCaaS (SOC as a Service) 

ลดระยะเวลาการแก้ไขปัญหา และทราบถึงสาเหตุของภัยคุกคามที่เกิดขึ้นได้อย่างรวดเร็ว เพื่อลดผลกระทบทางธุรกิจหรือกิจการให้เหลือน้อยที่สุด
ลดความยุ่งยาก และค่าใช้จ่ายต่างๆ ที่เกี่ยวข้องกับการติดตั้ง (Implementation) และบริหารจัดการระบบ SIEM (Main tenant และ Support)
องค์กรสามารถโฟกัสทรัพยากรบุคคลและทรัพยากรทางด้านเวลาไปยังงานส่วนอื่นๆ ที่มีความสำคัญและส่งผลประโยชน์กับธุรกิจ เนื่องจากมีผู้เชี่ยวชาญที่ได้รับ Certified และประสบการณ์ต่างๆ ทางด้านระบบรักษาความปลอดภัยฯ คอยดูแลระบบให้อยู่เบื้องหลัง
ได้รับการเฝ้าระวัง, แจ้งเตือน และป้องกันตลอดระยะเวลา 24x7x365 หากมีภัยคุกคามเกิดขึ้นกับระบบที่มีความสำคัญในองค์กร
สามารถปรับลดเพิ่มได้ตามปริมาณการใช้งานระหว่างอายุสัญญา โดยไม่ต้องลงทุนอุปกรณ์ใด ๆ เพิ่มเติม (Scalable)

 

บริษัท ไอ-ซีเคียว จำกัด (i-secure Company Limited) ก่อตั้งขึ้นโดยทีมวิศวกรผู้เชี่ยวชาญด้านระบบเครือข่าย และการรักษาความปลอดภัยข้อมูลสารสนเทศซึ่งได้รับการรับรองตามมาตรฐานสากล โดยมีการดำเนินงานแบบมืออาชีพในการให้บริการแก่ลูกค้า โดยมีจุดเด่น ดังต่อไปนี้

มีประสบการณ์ตรงในการให้บริการทางด้าน SOCaaS (SOC as a Service) มากกว่า 16 ปี
มีลูกค้าในระดับองค์กรที่ไว้วางใจในการใช้บริการ SOCaaS มากกว่า 120 ราย
ศูนย์เฝ้าระวังฯ ที่ผ่านการรับรองมาตรฐานสากลด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC 27001:2013) และคุณภาพของบริการ (ISO/IEC 20000-1:2018)
มีผู้เชี่ยวชาญเฉพาะทางครอบคลุมการให้บริการหลักๆ ในแต่ละด้าน คอยเฝ้าระวัง และให้คำปรึกษาตลอด 24 ชั่วโมง

 

สำหรับองค์กรที่สนใจบริการ SOCaaS (SOC as a Service)

สามารถติดต่อสอบถามเพิ่มเติมได้ที่
โทร: (+66) 2-615-7005
อีเมล: marketing@i-secure.

พัฒนา Threat Hunting Use Case กับ CrowdStrike Events App

นอกเหนือจากความพร้อมของข้อมูลที่จะถูกใช้เพื่อระบุหาการมีอยู่ของภัยคุกคาม ปัจจัยที่มีความสำคัญอีกปัจจัยหนึ่งซึ่งจะการันตีความสำเร็จของการระบุหาภัยคุกคามในรูปแบบของ Threat hunting นั้น คือการคิดค้นและพัฒนาสมมติฐานหรือไอเดียที่จะใช้ในการระบุการมีอยู่ของภัยคุกคามดังกล่าวในเชิงรุก (proactive) รวมไปถึงการประเมินและปรับปรุงให้สมมติฐานหรือ Hunting use case นั้นสามารถใช้งานได้จริงและเกิดประสิทธิภาพ

ในบทความนี้ทีมตอบสนองภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาสาธิตการพัฒนา Hunting use case บนเทคโนโลยีซึ่งเรามีความถนัด 2 เทคโนโลยี ได้แก่ CrowdStrike Falcon ซึ่งจะทำหน้าที่เป็นส่วน Endpoint detection and response (EDR) ในการเก็บข้อมูลจากระบบต่างๆ มาระบุหาการมีอยู่ของภัยคุกคามโดยใช้ Splunk Search Processing Language (SPL) กับฟีเจอร์ CrowdStrike Events App ซึ่งใช้ Splunk เป็นเทคโนโลยีหลังบ้านหลักครับ

สำหรับสถานการณ์จำลองที่ทีมตอบสนองภัยคุกคามจะสาธิตการทำ Threat hunting นั้น เราจะทำการพัฒนา SPL โดยนำแนวคิดมาจาก Hunting use case ซึ่งถูกเผยแพร่โดย Red Canary ในงาน BlackHat USA 2019 ภายใต้หัวข้อ Fantastic Red Team Attacks and How to Find Them
Fantastic Red Team Attacks and How to Find Them - A Summary
ก่อนที่เราจะไปดูกันที่ใจความสำคัญของบล็อกนี้ เราจำเป็นที่จะต้องเข้าใจเนื้อหาและเป้าหมายของหัวข้อการบรรยายจากทาง Red Canary ก่อน สำหรับการบรรยายในหัวข้อ Fantastic Red Team Attacks and How to Find Them นั้น Casey Smith ซึ่งปัจจุบันดำรงตำแหน่ง Director of applied research ของ Red Canary ได้มีการเปิดเผยเทคนิคการโจมตีใหม่ซึ่งใช้ไบนารี dbgsrv.