SIEM  หัวใจของการตรวจจับภัยคุกคามไซเบอร์

ระบบ SIEM ตัวช่วยสำคัญในการเฝ้าระวังภัยคุกคามทางไซเบอร์ที่มีประสิทธิภาพ แจ้งเตือนภัยคุกคามได้ทันที ทำให้ผู้ดูแลระบบสามารถรับมือได้อย่างรวดเร็ว

โดยระบบ SIEM ถูกนำมาใช้เพื่อเพิ่มประสิทธิภาพในการเฝ้าระวังภัยคุกคามของระบบเครือข่ายและเป็นส่วนสำคัญที่ช่วยให้องค์กรปฏิบัติตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 มาตรา 56 ที่ระบุว่า “หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ต้องกำหนดให้มีกลไกหรือขั้นตอนเพื่อการเฝ้าระวังภัยคุกคามทางไซเบอร์หรือเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศของตน ตามมาตรฐานซึ่งกำหนดโดยหน่วยงานควบคุมหรือกำกับดูแล และตามประมวลแนวทางปฏิบัติฯ”  องค์กรขนาดใหญ่หรือ CII ที่มีการเก็บ Log จำนวนมากจากอุปกรณ์รักษาความปลอดภัยภายในเครือข่าย จึงเลือกจัดตั้ง ศูนย์ปฏิบัติการ CSOC (Cyber Security Operations Center) ที่มี SIEM บริหารจัดการหรือให้หน่วยงานภายนอกที่มีบริการศูนย์ CSOC รูปแบบเฝ้าระวังภัยคุกคามทางไซเบอร์และมีเจ้าหน้าที่ผู้เชี่ยวชาญ ด้าน Cybersecurity ตลอด 24×7 เพื่อให้สามารถปฏิบัติได้ตามที่กฎหมายกำหนด

แต่สำหรับหน่วยงานที่ไม่ถูกระบุเป็น Critical Information Infrastructure (CII)  ก็สามารถใช้ SIEM แบบ Open source บริหารจัดการเองได้เช่นกัน สำหรับในบทความนี้จะกล่าวถึง  SIEM  คืออะไร ทำอะไรได้บ้าง และทำไมถึงสำคัญ

SIEM คืออะไร

Security Information & Event Management (SIEM) คือ ระบบที่ใช้ในการจัดการกับ Log และ Event ต่าง ๆ  ด้านความปลอดภัยขององค์กร เป็นระบบ Automation ที่คอยทำหน้าที่วิเคราะห์หาความเชื่อมโยงของ Event ต่าง ๆ  ที่เกี่ยวข้องกับความปลอดภัยทั้งหมด ไปจนถึงทำการ Alert ระบุตำแหน่งของภัยคุกคามให้ทีม CSOC ทราบเมื่อมี Event ที่ผิดปกติ ทำให้องค์กรสามารถป้องกัน และตอบสนองภัยคุกคามได้อย่างรวดเร็ว

SIEM เปรียบเหมือนศูนย์กลางในการรวบรวมข้อมูลและเป็นตัวคัดกรอง Event ระหว่าง IT Framework และ Security Framework รวมทั้งยังรวบรวมข้อมูลจากระบบ Host, Network, Firewall, Antivirus และอุปกรณ์ Security ต่าง ๆ  SIEM สร้าง threat rules ทำให้ทราบถึง insight ของ attacker จนเข้าใจ tactics, techniques และ procedures ของ attacker (TTPs) รวมทั้งรู้ถึง indicators of compromise (IOC)s

องค์ประกอบของ threat detection สามารถช่วยให้ตรวจเจอภัยคุกคามใน emails, ทรัพยากร cloud, แอปพลิเคชัน, ทรัพยากร external threat intelligence และ endpoints
เมื่อเกิดเหตุหรือมีการระบุ event, analyzed และ categorized จากนั้น SIEM จะทำการจัดส่งรายงานและแจ้งเตือนไปยังทีมงานผู้เกี่ยวข้องในองค์กร ซึ่งในส่วนนี้อาจรวมถึง user และ entity behavior analytics (UEBA) ที่จะช่วยวิเคราะห์พฤติกรรม กิจกรรม เพื่อมอนิเตอร์ ติดตามพฤติกรรมที่ไม่ปกติ ซึ่งอาจบ่งชี้ถึงภัยคุกคามที่กำลังจะเกิดได้

ความเป็นมาของ SIEM

ในการเฝ้าระวัง ป้องกัน เก็บข้อมูล วิเคราะห์ และแก้ไขปัญหาที่เกี่ยวข้องกับภัยไซเบอร์มีความจำเป็นอย่างมากที่จะต้องเก็บรวบรวมข้อมูล Log ของกิจกรรมต่าง ๆ ที่เกิดขึ้น ไปจนถึงการวิเคราะห์หาพฤติกรรม หรือกิจกรรมที่น่าสงสัย และข้อมูลที่มากมายไม่ว่าจะจากทั้งภายในและภายนอกองค์กร

ระบบ SIEM จึงได้ถือกำเนิดขึ้นมา เพื่อเป็นเครื่องมือในการเก็บรวบรวมข้อมูล Log ที่เกิดขึ้น วิเคราะห์เปรียบเทียบ และช่วยแจ้งเตือนเหตุการณ์ที่เป็นความเสี่ยง ทำให้สามารถวิเคราะห์ข้อมูลจำนวนมาก ๆ ได้ ช่วยให้ทีม CSOC หรือ Admin ที่ดูแลระบบไอที สามารถตรวจสอบหากิจกรรมที่น่าสงสัยได้อย่างรวดเร็ว ตอบสนองได้ทันท่วงทีมากยิ่งขึ้น ทำให้การทำงานด้าน Cybersecurity มีประสิทธิภาพมากยิ่งขึ้น

SIEM ทำอะไรได้บ้าง

1.การจัดเก็บข้อมูล Log

SIEM มีความสามารถในการจัดเก็บรวบรวมข้อมูลต่าง ๆ ที่ใช้ในการตรวจสอบความปลอดภัย โดยสามารถเก็บรวบรวมข้อมูลได้จากหลากหลายแหล่งที่มา ไม่ว่าจะเป็น Firewalls, Server, EDR, XDR หรือแหล่งข้อมูลความปลอดภัยอื่น ๆ  ไปจนถึง Device หรือ Computer ที่มีการใช้งานในองค์กร

2.การวิเคราะห์ตรวจสอบภัยคุกคาม (Threat Hunting and Detection)

นอกจากการเก็บรวบรวมข้อมูล SIEM ยังสามารถวิเคราะห์หรือตรวจสอบช่องโหว่ของระบบต่าง ๆ ที่มีความซับซ้อนได้ ระบบอัตโนมัติสามารถเชื่อมโยงพฤติกรรม การกระทำ หรือกิจกรรมต่าง ๆ  ที่เป็นความเสี่ยงให้เกิดภัยคุกคามทางไซเบอร์ได้

SIEM เป็นหัวใจในการทำ threat hunting (การไล่ล่าภัยคุกคาม) โดยการ Integrate SIEM เข้าศูนย์กลางการทำงานของ threat investigation tools (เครื่องมือตรวจสอบภัยคุกคาม) ช่วยให้สามารถตรวจเจอภัยคุกคามที่อาจเกิดจะเกิดขึ้นได้

3.ติดตามภัยคุกคามได้แบบ Realtime

ระบบ SIEM ยังสามารถช่วยประหยัดเวลาในการค้นหาและระบุตำแหน่งของจุดอ่อนภายในระบบ ทำให้รู้ช่องโหว่ที่ต้องแก้ไขได้อย่างรวดเร็ว จากการวิเคราะห์และแจ้งเตือนให้แก่ทีม CSOC เพื่อให้สามารถตรวจสอบกิจกรรม หรือระบบที่เกิดขึ้นได้อย่างทันท่วงที

4.การจัดหมวดหมู่ Event ของภัยคุกคาม

SIEM สามารถจัดหมวดหมู่ของภัยคุกคาม ไม่ว่าจะเป็นภัยในอีเมลระบบคลาวด์ แอปพลิเคชัน แหล่งข้อมูลภายนอก พร้อมกับระบุตำแหน่งจุดเสี่ยงที่ต้องแก้ไขได้

5.ลดเวลา Response time

 โดยใช้ Enhance Situational Awareness ระบบของ SIEM สามารถใช้ประโยชน์จาก Threat Intelligence ทั่วโลก เพื่อสามารถค้นพบเหตุการณ์การสื่อสารที่น่าสงสัย หรือ Malicious IP ที่เป็นอันตราย พร้อมทั้งยังสามารถระบุตำแหน่งที่อาจถูกโจมตีได้ ลดเวลา Response time สามารถจัดการภัยคุกคามที่ผลต่อระบบของเราอย่างรวดเร็วเช่นกัน

6.การทำงานร่วมกับระบบด้านความปลอดภัยอื่น ๆ

โดยสามารถทำงานร่วมกับระบบด้านความปลอดภัยอื่น ๆ เช่น SOAR, EDR และ XDR เป็นต้น ทำให้การตรวจสอบเหตุการณ์ ช่องโหว่ ความเสี่ยง และค้นหาภัยคุกคาม มีประสิทธิภาพมากยิ่งขึ้น รวมไปถึงอาจใช้ระยะเวลาน้อยลงอีกด้วย

7.การแสดงผลข้อมูล Dashboard 

สามารถแสดงผลเป็น Dashboard ที่ง่ายสำหรับทีม CSOC หรือ Admin ในการเรียกดูข้อมูล Log, Alerts, ลำดับของเหตุการณ์ รวมไปถึงสามารถตรวจสอบในเชิงลึกได้ง่ายยิ่งขึ้น

กระบวนการทำงานของ SIEM มีอะไรบ้าง

• การรวบรวมข้อมูล (Data Collection)

เป็นการรวบรวมข้อมูลจากแหล่งข้อมูลความปลอดภัยในระบบหรือเครือข่ายทั้งหมด เช่น ข้อมูล Log ระบบปฏิบัติการ ซอฟต์แวร์ป้องกันไวรัส ระบบป้องกันการบุกรุก Server และ Firewall  เป็นต้นเพื่อทำการบันทึกข้อมูลเก็บไว้ก่อนนำไปวิเคราะห์หาจุดอ่อนภายในระบบในคราวเดียว ช่วยให้ประหยัดเวลาและพื้นที่ในการดำเนินงาน

• ข้อกำหนด (Policies)

คือสิ่งที่ถูกสร้างโดย SIEM administrator เพื่อกำหนดพฤติกรรมของ Enterprise system (ระบบศูนย์กลางของทั้งองค์กร)  ภายใต้สถานการณ์ปกติและระหว่างเหตุการณ์ด้านความปลอดภัยที่อาจเกิดขึ้น  SIEMs มีความสามารถสร้าง default rules, การแจ้งเตือน, รีพอร์ท และแดชบอร์ด ที่สามารถปรับแต่งให้สอดคล้องกับความจำเป็นด้านความปลอดภัยที่เราต้องการเฉพาะ

•  การจัดการความสัมพันธ์ (Data consolidation and correlation)

โดย SIEM จะจัดเรียงแปลงข้อมูล วิเคราะห์ และหาความสัมพันธ์ของ Log ต่าง ๆ ที่ทำการเก็บมา แล้วจัดประเภทข้อมูลและข้อกำหนด เพื่อให้ได้ตำแหน่งของจุดเสี่ยงที่อาจถูกภัยคุกคามทางไซเบอร์โจมตีได้

• การแจ้งเตือน (Alerts & Notifications)

ถ้ามี event หรือ set ของ event  trigger กับ SIEM rule ระบบจะแจ้งเตือนเจ้าหน้าที่ด้าน Security

สรุป

Security Information & Event Management หรือ SIEM เปรียบเสมือนหัวใจของระบบรักษาความปลอดภัยทางไซเบอร์ เป็นสิ่งที่ทีมดูแลระบบจำเป็นต้องมีเพื่อใช้ในการรวบรวมข้อมูลและเชื่อมต่อระบบความปลอดภัยต่าง ๆ ให้อยู่ในระบบเดียวกันเพื่อให้สะดวกต่อการเฝ้าระวัง ป้องกัน และตอบสนองต่อภัยคุกคามได้อย่างมีประสิทธิภาพ ไม่ว่าจะเป็นภัยคุกคามจากภายในหรือภายนอก

ที่มา: imperva , trellix , coresecurity