MSSP ทางเลือกใหม่แห่งความสำเร็จในการบริหารจัดการศูนย์ SOC อย่างมืออาชีพ
19 มิถุนายน 2017
1. เทคโนโลยี
การจัดตั้งศูนย์ Security Operation Center (SOC) เป็นการนำระบบปฏิบัติการที่หลากหลายและซับซ้อนมาประกอบกันจนทำให้เกิดประสิทธิภาพในการทำงานสูงสุด และการนำอุปกรณ์ Security Information Event Management (SIEM) มาใช้บริหารจัดการภายในศูนย์ SOC ก็เป็นส่วนสำคัญส่วนหนึ่งที่จะช่วยในการหาความสัมพันธ์ (Correlate) ของเหตุการณ์ภัยคุกคามต่างๆ ที่เกิดขึ้น โดยการใช้งาน SIEM นั้น จำเป็นต้องมีผู้เชี่ยวชาญใช้ความรู้ความสามารถในการทำ Threat Hunting คือการที่รับข้อมูลจาก Threat Intelligent ต่างๆ มาเรียนรู้เพื่อสร้าง Use Case หลังจากนั้นจึงนำ Use Case เหล่านั้นทำการ Customize Rule เพื่อให้ SIEM สามารถทำงานในรูปแบบ Protection ได้มากยิ่งขึ้นไม่ใช่เพียงแค่การ Detection เท่านั้น
2. Process
Process หรือขั้นตอนการปฏิบัติงานภายในศูนย์ SOC นั้น เป็นเรื่องที่หลายๆ องค์กรอาจมองข้ามไป แต่นั่นคือสิ่งที่สำคัญที่สุดในการบริหารจัดการศูนย์ SOC โดยการนำ Process และขั้นตอนการบริหารจัดการต่างๆ มาใช้ก็เพื่อเพิ่มประสิทธิภาพและควบคุมการทำงาน ให้ดำเนินงานไปในทิศทางเดียวกันอย่างถูกต้อง ตัวอย่างเช่น ศูนย์ SOC ของ NT cyfence พร้อมตอบสนองต่อภัยคุกคามต่างๆ ที่เกิดขึ้นอย่าง Real Time และพร้อมแก้ไขปัญหาอย่างทันท่วงที จึงจำเป็นต้องมีผู้เชี่ยวชาญเฉพาะด้านปฏิบัติงานตลอด 24 ชั่วโมง โดยแบ่งหน้าที่ปฏิบัติงานออกเป็นหลายกลุ่ม เช่น Analysis Level 1 และ Analysis Level 2 เป็นต้น การนำ Process การทำงานต่างๆ เข้ามาใช้ สามารถทำให้ผู้เชี่ยวชาญที่ปฏิบัติงานในแต่ละกลุ่ม แต่ละช่วงเวลา สามารถทำงานได้ในรูปแบบเดียวกันอย่างถูกต้องตามกระบวนการที่กำหนดไว้ จึงอาจกล่าวได้ว่า Process ต่างๆ เช่น Incident Management Procedure, Fault Process, BCM & BCP Management มีความสำคัญอย่างมากในการบริหารจัดการภายในศูนย์ Security Operation Center ให้ดำเนินไปอย่างมีประสิทธิผล อย่างไรก็ดีNT cyfence ได้นำ Process และขั้นตอนต่างๆที่ผู้เชี่ยวชาญจะต้องปฏิบัติทั้งสิ้น 39 Process เพื่อให้เป็นไปตามมาตรฐานเดียวกันทั้งระบบ
3. ทรัพยากรบุคคล
การหาบุคลากรที่สนใจด้าน IT Security นั้น เป็นสิ่งที่ยาก แต่สิ่งที่ยากยิ่งกว่าคือการรักษาบุคลากรเหล่านั้นในองค์กร ในหลายๆองค์กรจะพบว่าอัตราการลาออกของบุคลากรเหล่านี้มากกว่า 30% โดยเฉพาะ Analysis Level 1 การดูแลและให้ความสำคัญกับบุคลากรจึงเป็นสิ่งสำคัญ เพราะ People คือคนที่ขับเคลื่อนทั้ง Process และ Technology ให้กับทางศูนย์ SOC การมีนโยบายด้านบุคลากรที่ชัดเจน จะช่วยสร้างแรงดึงดูดใจ และรักษากลุ่มคนเหล่านี้ไว้ได้ เช่น การมี Career Path ที่ชัดเจนและมีผลตอบแทนที่เหมาะสม, การมี Training Roadmap ในแต่ละ Role ที่ชัดเจน เป็นต้น
4. การบริหารจัดการศูนย์ SOC
การบริหารจัดการ ศูนย์ SOC เป็นเรื่องที่ยากมีความละเอียดและซับซ้อน รวมไปถึงแรงกดดันต่างๆ สูงมาก ต้องใช้ทั้งความรู้ และความรอบรู้ในการติดตามสถานการณ์Threat และ Trend ที่เกี่ยวกับ IT Security อย่างสม่ำเสมอ ยิ่งไปกว่านั้นต้องบริหารจัดการและพัฒนากำลังคน กระบวนการปฏิบัติงานภายในศูนย์ SOC ทั้งหมดเพื่อให้พร้อมกับทุกสถานการณ์ที่อาจจะเกิดขึ้น
5. งบประมาณในการลงทุน
การลงทุนจัดตั้ง ศูนย์ SOC นั้น จำเป็นต้องใช้เงินลงทุนสูงมากในช่วงเริ่มต้น และยังคงต้องลงทุนอย่างต่อเนื่องในแต่ละปี ทั้งในเรื่องของการลงทุนในการติดตั้งระบบต่างๆ เช่น SIEM, อุปกรณ์ Security อื่นๆ, ระบบ Storage, ระบบ Ticketing, การปรับปรุงศูนย์ SOC ให้ทันสมัยพร้อมใช้งานอย่างสม่ำเสมอ, ค่าใช้จ่ายเกี่ยวกับคน เช่นค่าอบรมพัฒนาบุคลากร เป็นต้น
ปัจจัยความสำเร็จ 5 ประการ ที่กล่าวมาข้างต้นเป็นสิ่งสำคัญสำหรับองค์กรที่ต้องการจัดตั้งศูนย์ Security Operation Center ด้วยตนเอง ต้องมั่นใจว่าจะสามารถบริหารจัดการทั้ง 5 ประการเหล่านี้ได้สำเร็จ เพื่อให้ได้มาซึ่งศูนย์ SOC ที่ปฏิบัติงานได้เต็มประสิทธิภาพ แต่หากองค์ใดมองหาทางเลือกในการจัดตั้งศูนย์ SOC การให้ Managed Security Service Provider (MSSP) ที่น่าเชื่อถือดำเนินการในลักษณะ Outsource นับว่าเป็นทางเลือกที่ดีและน่าสนใจ ทั้งในเรื่องการลดค่าใช้จ่ายการลงทุนต่างๆที่กล่าวมา และเรื่องของประสบการณ์จากที่ MSSP พบในลูกค้าแต่ละราย การตอบสนองและแก้ไขต่อปัญหาที่เกิดขึ้นจะถูกต้อง รวดเร็ว ลดความเสียหายที่อาจจะเกิดขึ้นต่อองค์กร อย่างไรก็ดี NT cyfence ในฐานะที่เป็น MSSP รายใหญ่ในประเทศ เราเป็นพันธมิตรกับ Telecom Operator ต่างๆมากมายหรือแม้แต่ DSI, กระทรวง Digital Economy, ETDA และ ThaiCERT โดย NT cyfence จะประสานงานกับหน่วยงานต่างๆ เมื่อต้องการขอความร่วมมือหรือแจ้งข่าวสารเวลามีเหตุการณ์ที่ผิดปกติเกิดขึ้น แม้ในเวลาที่มีเหตุการณ์ผิดปกติรูปแบบใหม่ๆ เกิดขึ้นในประเทศไทย NT cyfence ก็จะแชร์เหตุการณ์ผิดปกติที่พบให้กับ ThaiCERT ทราบเพื่อเป็นข้อมูล หรือ การประสานงานกรณีเกิดเหตุ Phishing ขึ้น NT cyfence จะช่วยประสานงานในการปิดกั้นการเข้าถึง Phishing Web นั้นๆ กับ Telecom Operator อื่นๆ สำหรับเรื่องของค่าใช้จ่ายในการให้ MSSP ดำเนินการนั้น มีการประเมินแล้วว่าการ Outsource ให้กับ MSSP นั้นราคาจะต่ำกว่าถึง 20 -30 % เมื่อเทียบกับการตั้งศูนย์ SOC เอง (ประเมินค่าใช้จ่ายรวม 3 ปี)
ดังนั้น หากมีคำถามว่าองค์กรไหนควรจัดตั้งศูนย์ SOC ด้วยตนเองหรือองค์กรไหนควรให้ MSSP ดูแล บริหารจัดการ…??
NT cyfence แนะนำคือหากองค์กรของท่านเป็นขนาดกลาง การ Outsourceใช้ MSSP บริหารจัดการนับเป็นทางเลือกที่ดี เพื่อลดการลงทุนที่สูงระบบปฏิบัติการและบุคลากร แต่หากองค์กรของท่านเป็นขนาดใหญ่ การจัดตั้งศูนย์ SOC ด้วยตนเองทั้งระบบ หรือทำในลักษณะ Hybrid Model คือการ Outsource งานบางส่วนให้ MSSP เช่น การ Monitoring และ Threat Hunting นับเป็นตัวเลือกที่น่าสนใจ
ซึ่งการจัดทำศูนย์ SOC ในลักษณะ Hybrid Model นั้น เป็นการแบ่งเบาความเสี่ยงที่อาจจะเกิดขึ้นและบางประเภทที่บุคลากรภายในยังไม่เชี่ยวชาญให้ MSSP บริหารจัดการและองค์กรเป็นผู้กำกับดูแล และดำเนินการศูนย์ SOC ที่จัดตั้งอยู่ในเรื่อง Capacity Planning, Security Roadmap, Security Admin นับได้ว่าเป็นทางเลือกที่ดีและน่าสนใจ หากท่านกำลังมองหา MSSP ที่น่าเชื่อถือสำหรับจัดตั้งศูนย์ SOC ภายในองค์กร NT cyfence มีความพร้อมสูงสุดในการให้บริการ Managed Security Service (MSS) ด้วยรางวัล Managed Security Service Provider of the Year อย่างต่อเนื่อง 2 ปี (2016-2017)
บทความที่เกี่ยวข้อง