NT cyfence CSOC แตกต่างจาก CSOC ทั่วไปอย่างไร

17 พฤษภาคม 2022

วารุณี เอื้อไตรรัตน์
วารุณี เอื้อไตรรัตน์ทีมงาน cyfence ผู้ดูแลด้านบริการด้าน Cyber Security พร้อมดูแลระบบให้มีความปลอดภัยห่างไกลภัยคุกคามไซเบอร์

จากบทความที่แล้ว ในเรื่อง ศูนย์ CSOC คืออะไร มีความสำคัญอย่างไรในด้าน Cybersecurity ได้พูดถึงภาพรวมการทำงานของ ศูนย์ Cyber Security Operations Center ว่ามีหน้าที่อย่างไร ประกอบไปด้วยองค์ประกอบอะไรบ้าง และมีการทำงานอย่างไร 

ซึ่งทำให้เห็นถึงองค์ประกอบที่สำคัญในการจัดตั้งศูนย์ รวมถึง ข้อจำกัดในการดำเนินงานในองค์กรเอง ซึ่งทางแก้ไขปัญหาดังกล่าว การเลือกใช้วิธี Outsource การทำงานทั้งหมดให้ทีมงานภายนอกดูแลจึงเป็นทางเลือกที่องค์กร หรือ หน่วยงานต่าง ๆ นิยมทำกัน ซึ่งในแต่ละผู้ให้บริการ ก็จะมีความแตกต่างกันออกไปตามความเชี่ยวชาญแต่ละด้าน ในบทความนี้ NT cyfence ขอแนะนำข้อแตกต่าง ของศูนย์ Cyber Security Operations Center ว่ามีความแตกต่าง จากผู้ให้บริการรายอื่น ๆ อย่างไร

ศูนย์ CSOC ของ NT cyfence เป็นศูนย์ปฏิบัติการเฝ้าระวังภัยคุกคามทางด้านไซเบอร์ Cyber Security Operation Center แห่งแรกในประเทศไทยที่ได้รับการรองมาตรฐาน ISO 27001 และยังได้รับรางวัล “2016-2017 Thailand Managed Security Service Provider of the Year” ไม่เพียงแต่การเฝ้าระวังภัยคุกคามทางด้านไซเบอร์ตลอด 24 ชั่วโมงเท่านั้น ผู้เชี่ยวชาญในการเฝ้าระวังภัยคุกคามยังคอยให้คำปรึกษา แนะนำวิธีการรับมือ และวิธีการแก้ไขปัญหาต่าง ๆ ที่เกี่ยวกับภัยคุกคามแบบตรงจุด เพื่อแก้ไขปัญหาได้อย่างรวดเร็ว ลดระดับความรุนแรงของผลกระทบที่อาจะสร้างความเสียหายทางธุรกิจเป็นวงกว้าง ทั้งนี้ การดำเนินงานภายในศูนย์ปฏิบัติการ มีองค์ประกอบที่สำคัญ 3 ส่วนตามที่เคยได้กล่าวมา แต่ในบทความนี้จะขอลงรายละเอียดลึกลงไป เพื่อให้เห็นการทำงานได้ชัดเจนขึ้น โดยมีรายละเอียดในแต่ละองค์ประกอบดังต่อไปนี้

People

เจ้าหน้าที่วิเคราะห์ระบบ (Security analysis) ทุกคนในศูนย์ CSOC ของ NT cyfence มีประสบการณ์การทำงานมากกว่า 14 ปี โดยเจ้าหน้าที่ได้ผ่านการฝึกอบรมเกี่ยวกับความปลอดภัยทางด้านเทคโนโลยีสารสนเทศ รวมถึงได้รับการรองรับ Certificate ทางด้าน IT security ได้แก่ Security +, CCNA, CCNP, CEH, CHFI, OSSA, OPST, CISSP เป็นต้น ทั้งนี้ ยังมีแผนการส่งเจ้าหน้าที่เข้าร่วมฝึกอบรมเพื่อพัฒนาความรู้ ความสามารถทางด้าน Cybersecurity อย่างสม่ำเสมอ แม้ว่าแนวโน้มของภัยคุกคามในโลกยุคปัจจุบันจะมีการเปลี่ยนแปลงไปอย่างรวดเร็ว ทางเจ้าหน้าที่ก็สามารถให้คำแนะนำแก่ลูกค้าในการรับมือ และแก้ไขปัญหาได้อย่างรวดเร็ว และลดระดับความรุนแรงของผลกระทบที่อาจสร้างความเสียหายต่อธุรกิจเป็นวงกว้างได้

ทีมเฝ้าระวังและตอบสนองต่อภัยคุกคาทางด้านไซเบอร์ของศูนย์ปฏิบัติการ CSOC ของ NT cyfence แบ่งออกเป็น 2 ทีมหลัก ดังนี้ 

1. Blue Team (Detect)

  • ในระดับเจ้าหน้าที่วิเคราะห์ระบบ (Security analysis) จะแบ่งเป็น 3 ระดับ  ได้แก่ Tier 1 (Junior Analysis) , Tier 2 (Senior Analysis)  และ Tier 3 (Threat Hunting Malware Analysis)
  • เจ้าหน้าที่ระดับ Tier 1 (Junior Analysis) และ Tier 2 (Senior Analysis) จะทำหน้าที่เฝ้าระวังและวิเคราะห์ภัยคุกคามทางไซเบอร์ รวมถึงให้คำแนะนำสำหรับลูกค้าตลอด 24 ชั่วโมง หากเกิดการบุกรุกเครือข่าย ทีม Security analysis จะทำการวิเคราะห์และแจ้งเตือนไปยังลูกค้าก่อนทันที
  • ในกรณีที่เจอปัญหาหรือเหตุการณ์ผิดปกติที่ซับซ้อน เจ้าหน้าที่ระดับ Tier 3 (Threat Hunting Malware Analysis) จะเข้ามา Support ทันที เพื่อการแก้ไขปัญหาได้ตรงจุดและทำการแจ้งเตือนถึงลูกค้าต่อไป

ยกตัวอย่างเช่น  เกิดเหตุการณ์โดน Ransomware โจมตี ทางศูนย์ จะใช้เครื่องมือในการ Detect และตรวจสอบว่าเหตุการณ์ที่เกิดขึ้นเกิดจากจุดใด จากนั้นทีม Security analysis จะทำการวิเคราะห์และแจ้งเตือนไปยังลูกค้าก่อนทันที  ซึ่งในระหว่างนั้นทางทีมก็จะทำการวิเคราะห์และแก้ไขปัญหาไปด้วย เป็นต้น

2. Red Team (Response)

  • ทีมงาน NT cyfence แบ่งการทำงานออกเป็น 2 ทีมย่อย ได้แก่ 1. Incident response and Forensic Team (CSIRT) และ 2.  VA and Penetration Tester ยกตัวอย่างเช่น หากเกิดเหตุการณ์ Security incident ที่ส่งผลกระทบ (Impact) ต่อระบบและธุรกิจเป็นวงกว้าง โดยปัญหาดังกล่าวได้สร้างความเสียหายในระดับสูงมาก ซึ่งผู้ใช้บริการไม่สามารถรับมือ หรือไม่สามารถแก้ไขปัญหาได้ เจ้าหน้าที่ผู้เชี่ยวชาญจะทำการประสานงานไปยังลูกค้า เพื่อให้ความช่วยเหลือในการรับมือ สืบค้น เก็บหลักฐานทางด้านดิจิตอล รวมถึงให้คำแนะนำให้การแก้ไขปัญหาที่ต้นเหตุ ทั้งในรูปแบบ on-line และ on-site

ขั้นตอนการปฏิบัติงานของ NT cyfence (Process) ภายในศูนย์ CSOC

ขั้นตอนการปฏิบัติงานภายในศูนย์ CSOC เป็นสิ่งที่สำคัญอย่างยิ่งในการบริหารจัดการศูนย์ปฏิบัติการเฝ้าระวังภัยคุกคามทางด้านไซเบอร์ นอกจากการที่การปฏิบัติงานภายในศูนย์ทำตามมาตรฐาน ISO 27001:2013 แล้ว กระบวนการที่สำคัญที่ขาดไม่ได้เลยคือ Incident Management Procedure และ Incident reponse plan โดยเมื่อเกิดเหตุการณ์ภัยคุกคามทางด้านไซเบอร์แล้ว ต้องมีกระบวนการในการพิจารณาระดับความรุนแรงของเหตุการณ์ตามบริบทขององค์กร มีการระบุถึงทีมที่เกี่ยวข้องในการรับมือ จัดการกับปัญหาและแก้ไขปัญหา รวมถึงในแต่ละทีมต้องทราบถึงบทบาทหน้าที่ของตัวเอง เพื่อให้สามารถจัดการกับเหตุการณ์ได้อย่างรวดเร็วและถูกต้อง

Technology

ศูนย์ปฏิบัติการ Cyber Security Operation Center ของ NT cyfence ใช้ระบบที่ทันสมัยในการวิเคราะห์ภัยคุกคามทางด้านไซเบอร์ได้อย่างรวดเร็ว และแม่นยำ โดยเครื่องมือหลักที่ใช้ในการเก็บรวบรวม และประมวลผลข้อมูล even log ได้แก่ McAfee SIEM และ IBM Qradar ซึ่งถือว่าเป็นผู้นำทางด้าน Security Information and Event Management (อ้างอิงจาก Gartner ปี 2020) ผนวกกับ Threat intelligence ที่ช่วยเพิ่มความสามารถในการตรวจจับภัยคุกคามทางด้านไซเบอร์ รู้เท่าทันแนวโน้มภัยคุกคามทางด้านไซเบอร์ที่อาจส่งผลกระทบตามบริบทของผู้ใช้บริการ ทั้งยังมีระบบ Incident Ticket ที่เข้ามาช่วยติดตามสถานะการแก้ไขปัญหาที่เกิดขึ้น มีการ escalation ตามระดับเมื่อไม่สามารถแก้ไขปัญหาได้ตามเวลาที่ระบุไว้ รวมถึงยังมีการบันทึกข้อมูล resolution ในการแก้ไขปัญหากับภัยคุกคามทางด้านไซเบอร์ที่เกิดขึ้น และบันทึกข้อมูลดังกล่าวจัดทำเป็น knowledge-base นอกจากนี้ยังมีเครื่องมือในการจัดเก็บหลักฐานทางด้านดิจิตอลที่ถูกต้องตามกฎหมาย เพื่อนำข้อมูลหลักฐานเหล่านั้นไปดำเนินการสืบค้น วิเคราะห์ หาต้นตอของปัญหา รวมถึงนำข้อมูลหลักฐานทางด้านดิจิตอลไปใช้เป็นส่วนหนึ่งประกอบการดำเนินการคดี ทั้งนี้ศูนย์ปฏิบัติการ CSOC ของ NT cyfence ยังมีแผนในการพัฒนาเครื่องมืออื่นๆ ที่เข้ามาช่วยในการจัดการกับภัยคุกคามทางด้านไซเบอร์แบบ automation มากขึ้นด้วย

นอกจากองค์ประกอบหลักที่กล่าวมาข้างต้นแล้ว ประสบการณ์และความเชี่ยวชาญในการเผชิญเหตุการณ์ภัยคุกคามทางด้านไซเบอร์ของทีมงานก็เป็นสิ่งที่ต้องคำนึงถึงเช่นกัน ซึ่งทีมงานของ NT cyfence มีประสบการณ์ตั้งแต่การติดตั้งระบบ นำเข้าข้อมูล data source พัฒนา parser และ use case ที่ใช้ในการตรวจจับ รวมถึงการเฝ้าระวังและจัดการกับปัญหาภัยคุกคามทางด้านไซเบอร์ผ่านศูนย์ปฏิบัติการ CSOC ให้กับผู้ใช้บริการเริ่มตั้งแต่หน่วยงานภาครัฐ ธุรกิจธนาคาร ธุรกิจประกันภัย โรงพยาบาล รวมถึงบริษัทขนาดกลาง มามากกว่า 15 ปี  

ธุรกิจใดบ้างที่ควรใช้ศูนย์ CSOC

ในทุกธุรกิจล้วนมีการดำเนินกิจกรรมทางเทคโนโลยรสารสนเทศทั้งสิ้นและในทุกกิจกรรมล้วนมีการการเก็บข้อมูลเป็นจำนวนมากมายมหาศาล นอกจากการรับมือกับภัยคุกคามทางไซเบอร์และความยุ่งยากในการบริหารจัดการ Device ต่างๆ แล้ว ต้องมีการปรับตัวเพื่อรับมือกับกฎหมายดิจิทัลทั้ง 3 ฉบับ คือ  พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ , พ.ร.บ. การรักษาความปลอดภัยมั่นคงไซเบอร์ และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เราเรียกว่า PDPA  ซึ่งต่างก็มีบทลงโทษทั้งทางแพ่ง ทางอาญา และโทษทางปกครอง ยิ่งทำให้องค์กรต้องมีการวางระบบรักษาความปลอดภัยที่รัดกุมและเป็นไปตามมาตราฐาน ยกตัวอย่างธุรกิจที่อยู่ภายใต้โครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure) หรือ CII ได้แก่ 

  • ความมั่นคงของรัฐ
  • บริการภาครัฐที่สำคัญ
  • การเงินการธนาคาร
  • เทคโนโลยีสารสนเทศและโทรคมนาคม
  • การขนส่งและโลจิสติกส์
  • พลังงานและสาธารณูปโภค
  • สาธารณสุข

    จะสังเกตุได้ว่าการทำศูนย์ปฏิบัติการไซเบอร์ Cyber Security Operation Center (CSOC)  ให้มีประสิทธิภาพและความปลอดภัย จำเป็นต้องอาศัยการทำงานทั้ง People/Process/Technology ที่มีความสอดคล้องกัน รวมถึงต้องมี งบประมาณ ทรัพยากรบุคคลที่มีความรู้ความสามารถเฉพาะด้าน Cybersecurity และเทคโนโลยี อุปกรณ์ที่สำคัญ อีกด้วย แต่หากไม่สามารถที่จะจัดตั้งศูนย์ CSOC เป็นของตัวเองได้ การใช้บริการของหน่วยงานภายนอกเป็นอีกหนึ่งตัวเลือกที่น่าสนใจ ซึ่ง NT cyfence มีศูนย์ปฏิบัติการ Cyber Security Operations Center (CSOC) ที่พร้อมให้คำปรึกษา สามารถอ่านรายละเอียดได้ที่บริการ Cyber Security Monitoring หากต้องการติดต่อสอบถามเพิ่มเติม  โทร NT contact center 1888 และติดต่อเราผ่านทาง www.cyfence.com/contact-us

บทความที่เกี่ยวข้อง