“ศูนย์ปฏิบัติการ SOC เฝ้าระวังภัยคุกคามแบบบูรณาการคือหัวใจรับมือภัยไซเบอร์ยุคใหม่”
ฟอร์ติการ์ดแล็บส์รายงานภัยคุกคามครึ่งแรกของปี 2021พบแรนซัมแวร์เพิ่มขึ้น 10เท่า เป็นการคุกคามที่เพิ่มขึ้นอย่างต่อเนื่องและสม่ำเสมอโดยรวมในช่วง 1ปีที่ผ่านมา
ทั้งนี้ องค์กรในภาคโทรคมนาคมตกเป็นเป้าหมายสูงสุด รองลงมาคือภาครัฐ ผู้ให้บริการด้านความปลอดภัยที่มีการจัดการ ยานยนต์ และภาคการผลิต จากข่าวภัยคุกคามทางไซเบอร์ขั้นสูงหลายประเภทส่งผลให้องค์กรต่างๆ ทุกขนาดในทุกอุตสาหกรรม ให้ความสำคัญในด้านความมั่นคงปลอดภัยไซเบอร์มากขึ้น รวมถึงการจัดตั้งศูนย์ปฏิบัติการไซเบอร์ (Security Operations Center – SOC) เพื่อเป็นศูนย์กลางในการเฝ้าระวังและรับมือภัยคุกคามทางไซเบอร์ขององค์กร และหากองค์กรสามารถนำคุณสมบัติของศูนย์ SOC มาใช้อย่างเต็มศักยภาพ จะช่วยให้องค์กรรู้ได้ทันต่อภัยคุกคามและสามารถลงมือจัดการตอบโต้ภัยคุกคามได้อย่างทันท่วงที
สถานการณ์ที่ภัยการโจมตีมีวิวัฒนาการและเพิ่มจำนวนมากขึ้นเรื่อย ๆ องค์กรส่วนใหญ่ได้เร่งป้องกันภัยคุกคาม แต่กลับเป็นการแก้ไขปัญหาแบบเฉพาะจุด ก่อให้เกิดความซับซ้อน ทำให้การควบคุมและรักษาความปลอดภัยไซเบอร์ทำได้ยากมากยิ่งขึ้น นอกจากนั้นยังมีขั้นตอนการปฏิบัติการด้วยบุคลากรในศูนย์ SOC แบบแมนนวล ทำให้การประสานงานกับหน่วยงานอื่นๆ ใช้เวลานานทำให้ตอบโต้กับภัยคุกคามได้ไม่ทันการ นอกจากนี้ยังมีปริมาณจำนวนอุปกรณ์ที่หลากหลายของผู้ให้บริการมากขึ้น และมีการแจ้งเตือนที่เกิดขึ้น จนเกินกว่าทีมปฏิบัติการด้านความปลอดภัยในองค์กร จะสามารถตรวจสอบเหตุการณ์ทั้งหมดได้ด้วยตนเอง ทำให้องค์กรที่ขาดแคลนบุคลากรหรือมีการฝึกอบรมพนักงานให้จัดการกับปริมาณงานที่เพิ่มขึ้นในแต่ละวัน ไม่สามารถรับมือต่อสิ่งที่ผิดปกติได้ดีเพียงพอ
แต่หากองค์กรมีกลยุทธ์ใช้ศูนย์ SOC ของตนเองให้เต็มประสิทธิภาพ จะกลับช่วยให้องค์กรสามารถรับรู้ถึงสถานการณ์ภัยคุกคามต่างๆ ในเครือข่ายของตนได้อย่างครอบคลุม และสามารถระบุถึงเหตุการณ์ผิดปกติได้อย่างรวดเร็วและแม่นยำ รวมถึงการตอบสนองต่อเหตุการณ์ผิดปกตินั้นได้อย่างทันท่วงที
ในการบริหารศูนย์ SOC ในปัจจุบัน องค์กรส่วนใหญ่เลือกใช้ระบบ SIEM (Security Incident Event Management) เป็นระบบหลักซึ่งเป็นที่รู้จักกันมานาน ในการรับมือกับเหตุการณ์และหาความเกี่ยวข้องกับเหตุการณ์ที่ผิดปกติ แต่ระบบ SIEM นั้นยังมีคุณสมบัติไม่ครบถ้วน ซึ่งยังต้องพึ่งพาความสามารถของผู้ดูแลระบบ และต้องการการทำงานร่วมกับอุปกรณ์ด้านความปลอดภัยอื่นๆ เพิ่มเติม เช่น อุปกรณ์ที่ทำหน้าที่บล็อกไอพีอันตรายจากระบบ การลบไฟล์อันตรายจากเครื่องเหล่านั้น องค์กรจึงต้องการระบบที่เรียกว่า SOAR ย่อมาจาก Security Orchestration, Automation, and Response เข้ามาช่วยบริหารจัดการ จัดลำดับขั้นตอนของอุปกรณ์ความปลอดภัยในองค์กร และประสานงานเข้ากับบุคคลในการตอบโต้ภัยคุกคามได้อย่างอัตโนมัติ
และเมื่อใช้ระบบ SIEM ร่วมกับระบบ SOAR แล้ว ระบบ SIEM จะส่งข้อมูลเหตุการณ์ผิดปกติที่เกิดขึ้นให้กับระบบ SOAR เพื่อให้ลงมือตรวจสอบดูอีกครั้ง หากพบว่าเป็นภัยคุกคามจริง จะดำเนินการจัดการโดยผ่านเพลย์บุ๊ก (Playbook) ซึ่งเพลย์บุ๊กคือเวิร์คโฟล์คที่กำหนดถึงขั้นตอนในการจัดการกับปัญหานั้นได้อย่างอัตโนมัติ เช่น การให้ตรวจไอพีแอดเดรสอีกครั้งว่าเป็นไอพีที่ดีหรือไม่ ถ้าพบว่าเป็นไอพีอันตราย องค์กรสามารถวางแผนให้มีขึ้นตอนเพิ่มเติมได้ เช่น ให้แจ้งไฟร์วอลล์ฟอร์ติเกต (FortiGate) ให้บล็อกไอพีนั้นหรือค้นหาไฟล์จากอีเมลของตนเอง เป็นต้น
ทั้งนี้ การพัฒนาเพลย์บุ๊กที่ฉลาด จำเป็นต้องอาศัยผู้เชี่ยวชาญในการเข้าบริหารจัดการนโยบาย ซึ่งฟอร์ติเน็ตเป็นผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์และได้ออกแบบเทมเพลทสำหรับเพลย์บุ๊กสำหรับผลิตภัณฑ์ FortiSOAR ของตนเองได้มากกว่า 3,000รูปแบบ จัดแยกตามกลุ่ม Scenario ได้ 20กลุ่ม เช่น ในขั้นตอนการทำ Data enrichment เพลย์บุ๊กจะสั่งการสื่อสารเชื่อมโยงกับผู้ให้บริการข่าวกรอง (Threat Intelligent) ที่เป็นบุคคลที่สาม เช่น Virus Total ให้ทำการตรวจสอบไวรัสให้อีกครั้ง ซึ่งทางองค์กรอาจจะนำเพลย์บุ๊กมาปรับแต่งหรือเพิ่มเติม ช่วยให้จัดการตามขั้นตอนที่ได้กำหนดไว้แล้ว ตามที่องค์กรต้องการทันที
จะเห็นได้ว่า FortiSOAR จำเป็นต้องทำงานร่วมกับอุปกรณ์อื่นๆในระบบ ให้กว้างขวางครอบคลุมมากที่สุด อันรวมถึงอุปกรณ์จากบุคคลที่สามเพื่อประประสิทธิภาพในการประสานการทำงานทั้งหมด ซึ่งทางฟอร์ติเน็ตได้พัฒนาสคริปต์ซอฟต์แวร์สั้นๆ ที่เรียกว่า Connector มากกว่า 330สคริปต์ สามารถสั่งให้ลงมือปฏิบัติงานได้มากถึง 3,000แอคชั่น เช่น ให้ค้นหาไฟล์จากอีเมลของตนเอง ทั้งนี้ หากองค์กรมีอุปกรณ์ด้านความปลอดภัยที่ฟอร์ติเน็ตไม่มี Connector แล้ว ทางฟอร์ติเน็ตมีศักยภาพในการพัฒนาสร้าง Connector ขึ้นมาได้เองและปรับแต่งตามตัวอย่างใน Connector list ได้ องค์กรจึงสามารถมั่นใจได้ว่า ฟอร์ติเน็ตจะสามารถสื่อสารกับอุปกรณ์จากบุคคลที่สามได้อย่างราบรื่นระบบ SOAR ในศูนย์ SOC เน้นประโยชน์ ในการยกระดับการทำงานให้เป็นแบบบูรณาการและรวดเร็วมากขึ้น
ผลิตภัณฑ์ FortiSOAR ของฟอร์ติเน็ตจะเข้ามาช่วยประสานให้ทีมวิเคราะห์ภัยในองค์กรสื่อสารกัน และสามารถขอความช่วยเหลือจากทีมอื่นได้อย่างมีประสิทธิภาพ เช่น เจ้าหน้าที่วิเคราะห์การแจ้งเตือนภัยคุกคามระดับ 1 (Tier 1 – Security Analyst) จะขอความช่วยเหลือจากเจ้าหน้าที่ในระดับเดียวกันหรือไปยังเจ้าหน้าที่รับมือภัยคุกคามระดับ 2 (Tier 2 - Incident Responder) หรือผู้เชี่ยวชาญเฉพาะทางระดับ 3 (Subject Matter Expert) หรือแจ้งไปที่ห้องควบคุมวอร์รูมได้รวดเร็ว และส่งข้อความเตือนให้ทีมที่มีความเชี่ยวชาญในด้านต่างๆ อาทิ ฝ่ายกฎหมายหรือฝ่ายอื่นๆเข้ามาร่วมปฏิบัติการเชิงรุกกับเหตุการณ์ผิดปกติได้ทันที
ทั้งนี้ ในสถานการณ์โควิด ที่เจ้าหน้าที่ในศูนย์ SOC อาจจำเป็นต้องทำงานที่บ้าน (Work From Home) เจ้าหน้าที่สามารถใช้โซลูชันของฟอร์ติเน็ตผ่านมือถือได้ อาทิ การติดตามดูเหตุการณ์ผิดปกติผ่านมือถือ และสั่งรันเพลย์บุ๊กผ่านมือถือได้ทันที
FortiSOAR สามารถแบ่งบทบาทของทีมไว้ในแดชบอร์ดตามลักษณะการทำงาน (Role-based) จึงทำให้ผู้ที่เกี่ยวข้อง ทราบถึงความรับผิดชอบของตนเองในสถานการณ์นั้นๆ อย่างชัดเจน อาทิ การจัดงาน (Task) ให้เจ้าหน้าที่ระดับ 2ที่ต้องจัดการ ซึ่งกลุ่มเจ้าหน้าที่ระดับ 2ด้วยกันจะสามารถเห็นงาน (Task) ของกลุ่มตนเองได้
นอกจากจะประสานงานให้ราบรื่นแล้ว FortiSOAR จะช่วยลดงานของบุคลากรของศูนย์ SOC ให้น้อยลง เช่น เมื่อได้รับการแจ้งเตือนถึงเหตุผิดปกติจาก FortiSOAR ทีมไอทีจะดึงข้อมูลมาพิจารณาก่อนในขั้นตอนที่เรียกว่า Alert enrichment เพื่อค้นหาว่าภัยเกิดขึ้นที่ใด และสื่อสารตรวจสอบกับเครื่องมืออื่นได้ทั้งอุปกรณ์ภายในและนอกองค์กร เช่น ในการหารุ่นของระบบปฏิบัติการ หรือสื่อสารกับอุปกรณ์ Endpoint security จึงช่วยลดงานของบุคลากรให้น้อยลง
ดร.รัฐิติ์พงษ์ พุทธเจริญ ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ แห่งฟอร์ติเน็ตได้อธิบายเพิ่มเติมว่า “ในกรณีที่ศูนย์ SOC ขององค์กรในภาคอุตสาหกรรม ที่ยังต้องการความรอบคอบมากเป็นพิเศษและอาศัยบุคลากรปฏิบัติงานในบางขั้นตอน โดยเฉพาะอย่างยิ่งในอุตสาหกรรมการให้บริการทางด้านการเงินและธนาคารที่ส่วนใหญ่มักมีระบบของผู้ให้บริการหลายค่าย เมื่อเกิดเหตุการณ์ผิดปกติ ศูนย์ SOC จะไม่ควรลงมือขัดขวาง (Block) หรือหยุดกิจกรรมใดๆ โดยทันที FortiSOAR มีความยืดหยุ่นสามารถปรับให้ทีมงานติดต่อหรือส่งอีเมลไปให้ผู้บริการระบบรายนั้นๆ อนุมัติก่อน และเมื่อได้รับการอนุมัติแล้ว เพลย์บุ๊กบนระบบ FortiSOAR จะรันโปรแกรมต่อไป องค์กรจึงจะสามารถปฏิบัติการได้อย่างราบรื่นและเหมาะสม”
ฟอร์ติเน็ตมีเครื่องมือในการโต้ตอบภัยคุกคามที่ทำงานอัตโนมัติ ได้ตั้งแต่ระดับ เริ่มต้นง่ายๆ เช่น
• อุปกรณ์ FortiAnalyzer ที่รวบรวมข้อมูลบันทึกการจราจรทั่วเครือข่าย (Traffic Log) ใช้ประโยชน์จากข้อมูลภัยคุกคามอัจฉริยะในการวิเคราะห์ และรันโปรแกรมเพลย์บุ๊กได้
• FortiXDR ที่ทำหน้าที่ในการตรวจหาและป้องกันภัยคุกคามชั้นสูง เช่น Fileless malware รวมถึงแรนซัมแวร์ (Ransomware) ได้ และสามารถตอบสนองภัยคุกคามได้อย่างทันที
หากเป็นระบบศูนย์ SOC ในองค์กรและผู้ให้บริการขนาดใหญ่ขึ้น ฟอร์ติเน็ตสามารถจัดหาโซลูชันการป้องกันภัยคุกคามอื่นๆ เสริมการโต้ตอบภัยให้เป็นระดับสูงมากยิ่งขึ้นได้ อันรวมถึง
• FortiSIEM เพื่อช่วยวิเคราะห์เหตุการณ์ที่ผิดปกติ ก่อนส่งข้อมูลต่อให้ FortiSOAR เริ่มรันโปรแกรมเพลย์บุ๊กเพื่อแก้ไขปัญหานั้น
• FortiSandbox เทคนิคแซนบ็อกซ์ ที่เน้นการตรวจสอบค้นหาภัยคุกคามแบบใหม่ที่ไม่เคยเกิดขึ้นมาก่อน (Zero-day)
• FortiAI เพื่อตรวจดูว่าเป็นภัยคุกคามที่จริงหรือไม่แบบทันที (Realtime) โดยอาศัย AI/ML เข้ามาช่วยวิเคราะห์ เช่น ภัยไวรัส เป็นต้น
• FortiDeceptor เป็นเทคนิคการหลอกลวงภัยเพื่อให้ภัยหรือมัลแวร์เข้ามาโจมตีเหยื่อล่อก่อน เป็นต้น
FortiSOAR มีจุดเด่นที่มีคุณสมบัติครบถ้วน สามารถเข้ามาช่วยให้เจ้าหน้าที่สามารถบริหารจัดการศูนย์ SOC ได้อย่างบูรณาการเป็นระดับ Enterprise สามารถรองรับการทำ Multi-tenant รองรับองค์กรขนาดใหญ่และองค์กรผู้ให้บริการได้เป็นอย่างดี ใช้เพลย์บุ๊กปรับกระบวนการรักษาความมั่นคงปลอดภัยไซเบอร์ให้รัดกุม การสร้างความตระหนักรู้ให้กับเจ้าหน้าที่ในองค์กร การวิเคราะห์ข้อมูลเชิงลึก การตรวจสอบหาช่องโหว่ในระบบ และหาความสัมพันธ์ของข้อมูลที่เกี่ยวข้องกับการโจมตีที่ได้รับจากแหล่งต่างๆ องค์กรจึงสามารถมั่นใจได้ว่าจะสามารถตอบสนองต่อเหตุที่ผิดปกติได้อย่างรวดเร็วและอัตโนมัติมากยิ่งขึ้น ถึงแม้ว่ามีบุคลากรด้านความปลอดภัยไซเบอร์ที่จำกัด
โดย : ดร. รัฐิติ์พงษ์ พุทธเจริญ Com. Eng. ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบฟอร์ติเน็ต