Next Gen SIEM ยุคใหม่ของทางเลือกในการป้องกันภัยคุกคาม

27 มิถุนายน 2018

จารุณี กัมพลาวลี
จารุณี กัมพลาวลีทำงานด้าน IT security ชอบติดตามข่าวสารด้านความปลอดภัย และ พร้อมดูแลความปลอดภัยให้หัวใจของทุกคน การันตีด้วย certificate ด้านความใส่ใจ

ถ้าคุณอ่านนิตยสารหรือเว็บบลอกทางด้าน Cyber Security คงเคยผ่านตากับคำว่า Next Generation Security Information and Event Management หรือ Next Gen SIEM มาบ้าง และคงเข้าใจว่าทำไมผู้ขาย SIEM แบบเดิมนั้นถึงผลักดันแนวคิดนี้ อย่างที่รู้ๆ กันว่า การทำงานของ SIEM ในปัจจุบันนั้นคือการเก็บและรวบรวม Log จากหลายๆแหล่งข้อมูล และทำการแจ้งเตือนทีม security ด้วยการเขียนกฎความสัมพันธ์ขึ้นมา (correlation rules) ปัญหาก็คือ ข้อมูล Log นั้นนำไปใช้ประโยชน์ได้อย่างจำกัด ยกตัวอย่างเช่น ในใบแจ้งหนี้โทรศัพท์จะบอกคุณว่าเวลาไหนที่มีการโทรเกิดขึ้น และโทรหาเบอร์อะไร ใช้เวลาไปแค่ไหนในแต่ละรายการ แต่ไม่ได้บอกว่าถึงเนื้อความที่คุณคุยกัน คล้ายกับ Log ของ Proxy Server หรือ Firewall ที่บอกเพียงว่าเครื่องคอมพิวเตอร์นั้นเข้าใช้งานเว็บไซต์อะไร แต่ไม่ได้บอกว่าใครเป็นตัวตนจริงๆ ของผู้ใช้งานในขณะนั้นและใช้แอพพลิเคชั่นอะไรอยู่ นั่นทำให้ทีม Security ต้องมองหา Log ที่เกี่ยวโยงแล้วนำมารวบรวมเอง

เปรียบเทียบได้กับการจราจรทางเครือข่าย ที่มีข้อมูลคับคั่งนั้นเคยสร้างความมั่นใจกับทีม security จะมุ่งความสนใจไปได้ตรงจุด ในขณะที่ Log ให้เนื้อหาที่เป็นประโยชน์ แต่จะมั่นใจได้อย่างไรว่ามันถูกต้องและสมบูรณ์ และจะต้องใช้ข้อมูลมากแค่ไหนถึงจะคาดเดาได้ แม้ว่ามันไม่มีเบาะแสใน Log ไม่ได้หมายความว่าไม่มีการโจมตีเกิดขึ้น ตัวอย่างเช่น มัลแวร์ Destover ที่โด่งดังจากกรณีการลบข้อมูลของ Sony ที่สามารถที่จะแก้ไขเวลาและลบ Log ทิ้งได้ มีเพียงการสืบค้นอย่างเต็มรูปแบบเท่านั้นที่จะบอกได้ว่า Log ถูกลบไปแล้วและนั่น ทำไม่ได้ใน SIEM แบบเดิมๆ

องค์กรแบบเก่านั้นมีความท้าทายในการจัดการกับ network traffic ภายในองค์กร ที่มีข้อจำกัดอยู่แค่ในบาง segment ไม่ใช่เครือข่ายทั้งหมด และค่าใช้จ่ายในการจัดเก็บ PCAP (capture packet) นั้นมีจำกัด ซึ่ง Log ถือเป็นจุดเริ่มต้นที่ง่ายที่สุดในการตรวจสอบการเข้าถึงด้าน security เพราะอุปกรณ์ทุกชิ้นล้วนมี Log ที่ง่ายต่อการจัดเก็บและกินพื้นที่ไม่มากนัก

เทคนิคการตรวจจับการโจมตีนั้น สามารถใช้ทั้งเทคนิค รู้อยู่แล้ว (known) ที่บอกได้ด้วยการใช้ rule กับ signature และส่วนที่ไม่รู้ (unknown) นั้นนอกจาก Rule และ signature แล้ว ต้องใช้พฤติกรรมเข้ามาร่วมในการนำมาวิเคราะห์ด้วย

SIEM นั้นต้องใช้ Rule ในการเขียนกฎความเชื่อมโยงขึ้นมา นั่นหมายความว่ามันสามารถตรวจจับได้แค่การโจมตีที่รู้อยู่แล้ว มีเพียงไม่กี่บริษัทที่มีการใช้ Log วิเคราะห์พฤติกรรมการโจมตีที่ไม่เคยมีมาก่อน แต่ความแม่นยำของการตรวจจับนั้นกลับถูกจำกัดเพราะแหล่งข้อมูล Log เอง ตัวแอปพลิเคชันนั้นเขียน Log ที่ให้ข้อมูลที่เพียงพอในการวิเคราะห์ แม้ว่าจะดูว่าจัดเก็บเยอะเกินไป แต่หากข้อมูลสำคัญที่อยู่ภายในขาดหายไป ความจริงก็ไม่สมบูรณ์เช่นกัน

ผู้ให้บริการ SIEM นั้นตอบโจทย์เหล่านี้ด้วยการเพิ่มส่วนขยายเข้ามา อาทิเช่น โมดูลสำหรับการคำนวณ network traffic โมดูลสำหรับ deep packet inspection (DPI) เป็นต้น ซึ่งจะเรียกการเพิ่มแพตช์ต่าง ๆ เหล่านี้เข้ามาว่าเป็น Next Gen SIEM หรือ Modern SIEM เหมือนเป็นงานวิจัยที่บอกว่ามันยืดหยุ่นมากกว่า และปรับขยายได้ดีในราคาที่ยอมรับได้ แต่ในความจริงแล้วมันไม่ได้เป็นเช่นนั้น เพราะยังมีข้อบกพร่องอยู่ มันไม่ได้ช่วยแก้ไขปัญหาที่ต้นเหตุ เพราะว่า SIEM ไม่ได้ถูกออกแบบมาให้รับข้อมูลที่มีขนาดใหญ่และเข้ามาอย่างรวดเร็ว มันยังคงพึ่งการใช้ Rule เพื่อแจ้งเตือน และยังคงใช้การทำงานแบบเก่าๆ อยู่ซึ่งไม่ยืดหยุ่นและไม่รองรับกับเทคโนโลยีใหม่ๆ เช่น cloud เป็นต้น ยิ่งไปกว่านั้นในขณะที่คุณกำลังติดตั้งโมดูลเพื่อให้เป็น Next Gen SIEM นั้น กลับยิ่งเพิ่มความซับซ้อนในการติดตั้ง จัดการ ใช้งาน ด้วยการลงทุนอย่างมหาศาลแต่ไม่ได้ใช้งานในหลายๆ องค์กร

Next Gen SIEM นั้นมีหลายโปรดักส์ได้พัฒนาขึ้นมาแล้วในท้องตลาด ในหลากหลายชื่อเรียก ตามแต่ผู้พัฒนา ยกตัวอย่างเช่น aiSIEM หรือ SIEM 2.0

SIEM 2.0 นั้นสนับสนุนการมอนิเตอร์ระบบเน็ตเวิร์ค และ cloud แอปพลิเคชัน แบบ top-down หรือจากบนลงล่าง ทำให้มองเห็นภาพรวมที่ชัดเจนจึงสามารถแก้ไขปัญหาได้อย่างทันท่วงที เทคนิคใหม่นี้ได้เปิดตัวเป็นเหมือนการพัฒนาเทคนิคในด้านการวิเคราะห์ทางด้านความปลอดภัย โดยนำข้อมูลจากหลากหลายแหล่งมาใช้ร่วมกัน

วิวัฒนาการของ SIEM 2.0 มุ่งไปที่การทำให้แน่ใจว่ามันสามารถที่จะรวมเอาข้อมูลที่ได้มาจำนวนมหาศาลนั้น มาคัดแยกและชี้ชัดลงไปถึงพฤติกรรมที่ผิดปกติที่อาจจะเกิดจากตัวมัลแวร์ ไม่ว่าจะเป็นการใช้ AI (artificial intelligence) ใช้การจดจำรูปแบบ เป็นต้น ส่วนที่สำคัญที่สุดคือการวิเคราะห์พฤกติกรรมผู้ใช้ (User Behavior Analytics หรือ UBA) เป็นส่วนที่จำเป็นมากในการที่จะแยกแยะพฤติกรรมที่มุ่งร้ายได้ก่อนที่มันจะนำไปสู่การขโมยข้อมูลสำคัญจากระบบหรือเซิฟเวอร์ การวิเคราะห์พฤติกรรมผู้ใช้นี้กลายมาเป็นกุญแจในการตรวจจับช่องโหว่ตัวล่าสุดที่ถูกใส่เข้ามาใน SIEM โดยเปรียบเทียบจากการกระทำที่เกิดขึ้นปกติและสิ่งที่ผิดปกติจากเดิม และ ด้วยการใช้ APTs เข้ามาช่วย รวมถึงการวิเคราะห์จากรูปแบบของมัลแวร์ทำให้สามารถตรวจจับและหยุดพฤกติกรรมเหล่านั้นได้อย่างรวดเร็ว

การวิเคราะห์พฤติกรรมผู้ใช้นั้นอาศัยเทคนิค machine-learning เพื่อเรียนรู้รูปแบบการใช้งานต่าง ๆ ว่าอะไรคือการใช้งานอย่างปกติและเป็นพฤติกรรมทั่วไปของผู้ใช้ และด้วยการ ใช้ API มาช่วยทำให้สามารถแยกมัลแวร์ออกไปและย้อนกลับไปดูต้นตอได้ก่อนจะที่จะเกิดความเสียหายขึ้น

หากองค์กรของคุณมีความพร้อมทางด้านการลงทุนแต่บุคลากรอาจมีไม่เพียงพอ หรือต้องการยกระดับการป้องกันภัยคุกคามให้มีความแม่นยำทันสมัยมากขึ้น เพื่อให้องค์กรสามารถใช้งานข้อมูลและแก้ไขปัญหาต่าง ๆ ได้รอบด้านยิ่งขึ้น อาจลองติดต่อขอทำ POC หรือทดลองใช้งานจากผู้ขาย Next Gen SIEM ซึ่งในท้องตลาดนั้นมีหลากหลายราย แต่ด้วยราคาที่ค่อนข้างสูงจึงแนะนำให้ติดต่อขอใช้บริการจาก vendor ผู้เชี่ยวชาญน่าจะเป็นทางเลือกที่ดีกว่า

ข้อมูลจาก
https://www.csoonline.com/article/3176048/security/next-gen-siem-is-that-a-thing.html
https://www.cso.com.au/article/601891/next-generation-siem-turns-low-level-security-monitoring-high-level-business-goals
http://www.seceon.com/2018/04/16/aisiem-a-next-gen-siem-modern-siem-what-is-it/

บทความที่เกี่ยวข้อง