ศูนย์ CSOC คืออะไร มีความสำคัญอย่างไรในด้าน Cybersecurity

24 มีนาคม 2022

วารุณี เอื้อไตรรัตน์
วารุณี เอื้อไตรรัตน์ทีมงาน cyfence ผู้ดูแลด้านบริการด้าน Cyber Security พร้อมดูแลระบบให้มีความปลอดภัยห่างไกลภัยคุกคามไซเบอร์

ทุกวันนี้ภัยคุกคามทางไซเบอร์ ยังคงพบการโจมตีที่มีจำนวนมากขึ้น และสร้างความเสียหายรุนแรงขึ้นอย่างทวีคูณ ซึ่งในทางกลับทุกวันนี้ภัยคุกคามทางไซเบอร์ ยังคงพบการโจมตีที่มีจำนวนมากขึ้น และสร้างความเสียหายรุนแรงขึ้นอย่างทวีคูณ ซึ่งในทางกลับกันอาชีพด้านการรักษาความปลอดภัยทางไซเบอร์ยังเป็นที่ขาดแคลนมากในประเทศไทย ส่งผลให้หลาย ๆ องค์กร ไม่มีเจ้าหน้าที่ด้าน Cybersecurity มาดูแล และที่สำคัญแฮกเกอร์ก็มุ่งโจมตีโดยไม่เลือกเวลาอีกด้วย  ส่งผลให้เจ้าหน้าที่ที่ ดูแลระบบไอทีทั่วไป ที่ปฏิบัติงานตามเวลาทำงานของแต่ละหน่วยงานหรือองค์กร ไม่สามารถจัดการและแก้ไขปัญหาได้ทัน จึงอาจทำให้เกิดผลเสียต่อองค์กรได้ทั้งทางตรงและทางอ้อม 

ซึ่งจากปัญหาเหล่านี้เอง หลายองค์กรที่มีความกังวลด้านภัยไซเบอร์ก็พยายามที่จะจัดตั้งศูนย์ปฏิบัติการ Cyber Security Operations Center (CSOC) ขึ้นมา เพื่อนำมาใช้เฝ้าระวังภัยด้านไซเบอร์ด้วยตัวเอง แต่เนื่องจากอุปสรรค์ในหลาย ๆ ด้าน ทำให้ไม่สามารถจัดตั้งได้ ไม่ว่าจะเป็นประเด็นในเรื่องค่าใช้จ่ายที่สูง ทั้งด้าน ขั้นตอนและวิธีการปฏิบัติงาน เทคโนโลยี และ ที่สำคัญที่สุด บุคคลากร หรือจะเป็นประเด็นเรื่องประสบการณ์ในการจัดตั้งและดำเนินการศูนย์ CSOC นั้นเอง

ศูนย์ Cyber Security Operations Center คืออะไร มีหน้าที่อย่างไร

ศูนย์ปฏิบัติการ CSOC คือ ศูนย์เฝ้าระวังภัยคุกคามทางด้านไซเบอร์และความปลอดภัยของระบบเทคโนโลยีสารสนเทศ มีหน้าที่เฝ้าระวัง ตรวจสอบ วิเคราะห์ และให้คำแนะนำแก่ผู้ดูแลระบบในการรับมือ ป้องกัน การถูกบุกรุกทางไซเบอร์ หรือการเข้าถึงระบบโดยไม่ได้รับอนุญาต มายังระบบหรืออุปกรณ์สำคัญขององค์กร ตลอดจนโครงสร้างพื้นฐานด้านความปลอดภัย ซึ่งในศูนย์ CSOC จะต้องมีเจ้าหน้าที่ผู้เชี่ยวชาญในการเฝ้าระวังภัยคุกคามตลอด 24 ชั่วโมง เมื่อตรวจพบเหตุการณ์ต้องสงสัย เจ้าหน้าที่จะทำการวิเคราะห์ข้อมูลแวดล้อมของเหตุการณ์ ประเมินระดับความรุนแรงของเหตุกาณ์ พร้อมทั้งให้คำแนะนำเบื้องต้นในการรับมือ จัดการกับปัญหาที่เกิดขึ้น เพื่อลดผล กระทบ และลดความเสียหายที่อาจเกิดขึ้นกับระบบเทคโนโลยีสารสนเทศ รวมถึงการดำเนินธุรกิจ 

องค์ประกอบสำคัญของศูนย์ Cyber Security Operations Center คืออะไร

People Process Technology

ทีมงาน หรือ บุคลลากร (People)

การมีทีมงานที่มีความรู้ ความสามารถ ความเชี่ยวชาญ และประสบการณ์ รวมถึง ผ่านการอบรมทางด้าน Cybersecurity ที่มีการรับรอง Certification และความเชี่ยวชาญเฉพาะด้าน เกี่ยวกับการรักษาความปลอดภัยทางไซเบอร์ เป็นปัจจัยหลักหนึ่งปัจจัยในการสร้างศูนย์ CSOC โดย Blue team, Red team และผู้ดูแลระบบจะทำงานร่วมกันตาม Cyber Security Incident Response Cycle ได้แก่ 

Cybersecurity Incident Response Cycle

เพื่อให้การบริหารจัดการครอบคลุมตั้งแต่ การรับมือ จัดการกับปัญหา แก้ไขปัญหา รวมถึงป้องกันภัยคุกคามไซเบอร์ที่อาจเกิดขึ้นและส่งผลกระทบต่อระบบ

ขั้นตอนการปฏิบัติงาน (Process)

ขั้นตอนการปฏิบัติงานภายในศูนย์ CSOC เป็นสิ่งที่ขาดไม่ได้ และต้องดำเนินไปควบคู่กับบุลการที่มีความเชี่ยวชาญในการบริหารจัดการศูนย์ โดยกระบวนการ  (Process) และขั้นตอนการบริหารจัดการต่าง ๆ ต้องเป็นไปตามมาตรฐาน เพื่อเพิ่มประสิทธิภาพและควบคุมการทำงาน ให้ดำเนินงานไปในทิศทางเดียวกันอย่างถูกต้อง 

การนำ Process การทำงานต่าง ๆ เข้ามาใช้ สามารถทำให้ผู้เชี่ยวชาญที่ปฏิบัติงานในแต่ละกลุ่ม สามารถทำงานได้ในรูปแบบเดียวกันอย่างถูกต้องตามกระบวนการที่กำหนดไว้ทั้งระบบ เช่น Incident Management Procedure , Escalation Procedure , Knowledge Management , Threat Hunting Procedure , Incident Drill /Attack & War gaming , Reporting and Compliance , ISO 27001 : 2013 , BCM & BCP Management , NIST Cybersecurity Framework และ Awareness Training เป็นต้น

เทคโนโลยีที่มีประสิทธิภาพ (Technology)

การมีเทคโนโลยีที่มีประสิทธิภาพในการตรวจจับภัยคุมคามที่มีการพัฒนารูปแบบใหม่ ๆ และความซับซ้อนมากยิ่งขึ้นเป็นสิ่งจำเป็นมากในการจัดตั้งศูนย์ปฏิบัติการ CSOC ซึ่งจะต้องมีการเครื่องมือที่ใช้ในการตรวจจับภัยคุกคามไซเบอร์ที่ใช้เทคโยโลยีที่ทันสมัย ได้แก่ ระบบ Security Information Event Management หรือ SIEM ในการบริหารจัดการ เก็บรวบรวมข้อมูล และประมวลผลข้อมูล  วิเคราะห์เหตุกาณ์ (Correlate) ที่ผิดปกติ จากการสร้าง Use Case และ การใช้ Machine Learning Model ผนวกกับการนำเข้าข้อมูล Threat intelligence เพื่อเพิ่มความสามารถในการตรวจจับภัยคุกคามไซเบอร์ในรูปแบบใหม่ ๆ และการนำไปใช้ในการทำ Threat Hunting รวมถึงมีการทำ incident response แบบ automation โดยใช้ SOAR (Security Ochestrator and Automate Response)

จาก 3 องค์ประกอบหลักที่สำคัญของศูนย์ CSOC ที่กล่าวมาแล้วนั้น พบว่า ในการจัดตั้งศูนย์ฯ นั้น ต้องประกอบไปด้วยอะไรบ้าง สาเหตุที่บางองค์กรไม่มีศูนย์ CSOC เป็นของตัวเอง เนื่องจาก ขาดปัจจัยหลักปัจจัยหนึ่ง รวมถึงขาดความพร้อมในการสร้างเพื่อให้ครบทุกองค์ประกอบ ซึ่งทางเลือกอาจมีได้ 2 แบบ 1 ก็คือ จัดหางบประมาณ ในทุก ๆ ด้านที่กล่าวมา ไม่ว่าเป็นบุคลากร อุปกรณ์และเทคโนโลยี และ วิธีการขั้นตอนต่าง ๆ ที่สามารถนำจัดตั้งศุนย์ CSOC และ นำมาบริหารทีมได้ หรือ แบบที่ 2 เลือกใช้ผู้ให้บริการ MSSP ในรูปแบบ SOC as a Service โดยผู้ให้บริการจะบริหารจัดการองค์ประกอบสำคัญทั้งหมด ซึ่งเป็นอีกหนึ่งทางเลือกที่จะช่วยลดเวลา และ งบประมาณในการลงทุนทุกองค์ประกอบ ลงไปได้

ซึ่ง NT cyfence มีบริการ Cyber Security Monitoring ที่ปฏิบัติงานผ่าน ศูนย์ปฏิบัติการ Cyber Security Operations Center (CSOC) ที่พร้อมดูแลและให้คำปรึกษา โดยในขั้นต้น สามารถติดต่อให้เราเข้าไปนำเสนอบริการได้ที่ www.cyfence.com/contact-us หรือโทร NT contact center 1888 

ในบทความถัดไป จะขอลงลึกในรายละเอียดของแต่ละทีมที่สำคัญในการเฝ้าระวังภัยคุกคามทางด้านไซเบอร์ ว่าแต่ละทีมมีหน้าที่อย่างไร และมีความสำคัญอย่างไร

บทความที่เกี่ยวข้อง