Clear
Lead Graphic Papers

แนวทางการจัดตั้งศูนย์ปฏิบัติการไซเบอร์เพื่อเฝ้าระวังภัยคุกคาม

ผู้เขียน: Martijn vander Heide และ ณัฐโชติ ดุสิตานนท์
วันที่เผยแพร่: 3 ตุลาคม 2561
ปรับปรุงล่าสุด: 3 ตุลาคม 2561

Share on Facebook Share on Twitter Share on Google+

จากแนวโน้มภัยคุกคามไซเบอร์ที่สูงขึ้นอย่างต่อเนื่อง ในปัจจุบันองค์กรต่าง ๆ จึงให้ความสำคัญในด้านความมั่นคงปลอดภัยไซเบอร์มากขึ้น โดยหนึ่งในการดำเนินการหลักที่องค์กรควรพิจารณา คือ การจัดตั้งศูนย์ปฏิบัติการไซเบอร์ (Security Operations Center – SOC หรือ Cyber Security Operations Center – CSOC ) เพื่อเป็นศูนย์กลางในการเฝ้าระวังและรับมือภัยคุกคามทางไซเบอร์ขององค์กร ซี่งเป็นส่วนหนึ่งในหน้าที่ของทีม CSIRT (Computer Security Incident Response Team)โดย SOC ที่มีประสิทธิภาพ จะช่วยให้องค์กรสามารถรับรู้ถึงสถานการณ์ภัยคุกคามต่าง ๆ ในเครือข่ายของตนได้อย่างครอบคลุม และสามารถระบุถึงเหตุการณ์ผิดปกติได้อย่างรวดเร็วและแม่นยำ รวมถึงตอบสนองต่อเหตุการณ์นั้นได้ทันท่วงที นอกจากนี้ SOC ยังสามารถทำหน้าที่อื่น เช่น การวิเคราะห์ข้อมูลเชิงลึก การตรวจสอบหาช่องโหว่ในระบบ และการสร้างความตระหนักรู้ให้กับเจ้าหน้าที่ในองค์กร เป็นต้น เนื้อหาในบทความนี้เป็นการแนะนำองค์ประกอบที่สำคัญในการจัดตั้ง SOC อ้างอิงจากเอกสาร [1] [2] [3] โดยมีรายละเอียดดังนี้

1. กำหนดขอบเขตหน้าที่ของ SOC

การกำหนดขอบเขตหน้าที่ของ SOC เป็นองค์ประกอบที่มีความสำคัญที่สุด เพื่อให้ทุกฝ่ายในองค์กรมีความเข้าใจอย่างชัดเจนว่า SOC คืออะไรและทำหน้าที่อะไร และสามารถวัดความก้าวหน้าและประสิทธิภาพการดำเนินงานของ SOC ได้ โดยเอกสารกำหนดขอบเขตหน้าที่ของ SOC ควรประกอบด้วย

  • พันธกิจ
  • บริการ
  • เป้าหมาย
  • หน้าที่ความรับผิดชอบ
  • วัน-เวลาทำการ
  • ข้อมูลสำหรับติดต่อ
  • โครงสร้างตำแหน่งบุคลากรของ SOC

2. เข้าใจสภาพแวดล้อมของระบบสารสนเทศ

เจ้าหน้าที่ SOC ต้องมีความเข้าใจอย่างถ่องแท้ในโครงสร้างและสถาปัตยกรรมระบบ แผนผังโครงสร้างเครือข่าย (network diagram) และมาตรการด้านความมั่นคงปลอดภัย รวมถึงมีการจัดทำบัญชีทรัพย์สินสารสนเทศที่ต้องเฝ้าระวังทั้งหมด เพื่อให้สามารถวิเคราะห์และหาความสัมพันธ์ของเหตุการณ์โจมตีที่เกิดขึ้น รวมถึงตรวจสอบช่องโหว่ในระบบได้อย่างถูกต้อง นอกจากนี้ เจ้าหน้าที่ SOC ควรหมั่นตรวจสอบความถูกต้องของระบบ SIEM หรือระบบจัดเก็บและวิเคราะห์ข้อมูลความปลอดภัยของระบบเครือข่าย เพื่อให้มั่นใจได้ว่าล็อค (log) จากอุปกรณ์เครือข่ายต่าง ๆ ได้รับการบันทึกอย่างครบถ้วน

3. จัดเตรียมบุคลากร

ตำแหน่งและหน้าที่ของเจ้าหน้าที่ SOC โดยทั่วไปเป็นดังที่แสดงในตารางที่ 1 องค์กรสามารถเลือกที่จะปฏิบัติหน้าที่เหล่านี้โดยเจ้าหน้าที่ในองค์กร หรือว่าจ้างบริษัทที่มีความเชี่ยวชาญ (Outsourced) ในขั้นต้น องค์กรควรมีเจ้าหน้าที่ประจำอย่างน้อยหนึ่งคนในแต่ละระดับ อย่างไรก็ตาม ควรมีการเตรียมทีมเจ้าหน้าที่สำรอง เพื่อให้สามารถรับมือภัยคุกคามขนาดใหญ่ ซึ่งจำเป็นต้องใช้เจ้าหน้าที่จำนวนมากเพียงชั่วคราว

ตำแหน่ง

หน้าที่

ระดับ 1: เจ้าหน้าที่วิเคราะห์การแจ้งเตือนภัยคุกคาม (Alert Analyst)

เฝ้าระวังและแจ้งเตือนภัยคุกคามอย่างต่อเนื่อง ตรวจสอบความพร้อมของอุปกรณ์รักษาความมั่นคงปลอดภัยไซเบอร์ ได้แก่ sensors และ endpointsตรวจสอบและรวบรวมข้อมูลภัยคุกคามในเบื้องต้นและประสานไปยังเจ้าหน้าที่ในระดับ 2 (เจ้าหน้าที่รับมือภัยคุกคาม)

ระดับ 2: เจ้าหน้าที่รับมือภัยคุกคาม (Incident Responder)

วิเคราะห์ภัยคุกคามเชิงลึก หาความสัมพันธ์ของข้อมูลที่เกี่ยวกับการโจมตีที่ได้รับจากแหล่งต่าง ๆ ประเมินผลกระทบของระบบและข้อมูลสำคัญ รวมถึงอัปเดตระบบอย่างต่อเนื่องเพื่อให้สามารถตรวจจับภัยคุกคามใหม่ได้อย่างมีประสิทธิภาพ

ระดับ 3: ผู้เชี่ยวชาญเฉพาะทาง (Subject Matter Expert)

มีความเชี่ยวชาญในด้านต่าง ๆ เช่น เครือข่าย การตรวจพิสูจน์พยานหลักฐานดิจิทัล การวิเคราะห์มัลแวร์ หรือเชี่ยวชาญเกี่ยวกับซอฟต์แวร์หรือระบบเฉพาะที่ใช้ในหน่วยงาน

ผู้เชี่ยวชาญเฉพาะทางมีหน้าที่ปฏิบัติการเชิงรุก ค้นหาภัยคุกคามที่แอบแฝงในระบบ พัฒนา ปรับปรุงรูปแบบตรวจจับและวิเคราะห์ภัยคุกคาม

ตารางที่ 1 ประเภทเจ้าหน้าที่ SOC

องค์กรจำเป็นต้องเลือกตัวชี้วัดที่เหมาะสมซึ่งสามารถวัดประสิทธิภาพการปฏิบัติงานของเจ้าหน้าที่ เช่น ควรใช้ “ระยะเวลาที่ใช้ในการตอบสนองต่อภัยคุกคาม (time to first response)” แทนที่จะใช้ “จำนวนการแจ้งเตือนภัยคุกคามที่ได้รับการจัดการ (number of alerts handled)”

4. กระบวนการ

กระบวนการสำหรับ SOC มีหลากหลายขึ้นกับขอบเขตและบริการของ SOC ในแต่ละองค์กร ในเบื้องต้น SOC ควรมีกระบวนการหลักดังนี้ [3]

  • กระบวนการตรวจจับภัยคุกคาม
  • กระบวนการแจ้งเตือนภัยคุกคาม (ผ่านเว็บไซต์ โทรศัพท์ อีเมล)
  • กระบวนการรายงานไปยังเจ้าหน้าที่ระดับสูง และยกระดับการดำเนินการ
  • กระบวนการแจ้งข้อมูลที่จำเป็นให้ทีมที่เข้ากะใหม่รับทราบเมื่อเปลี่ยนกะ
  • กระบวนการบันทึกงานที่เจ้าหน้าที่ได้ทำ
  • กระบวนการบันทึกภัยคุกคามที่พบ
  • กระบวนการตรวจสอบเพื่อให้มั่นใจว่าการดำเนินการได้มาตรฐาน
  • กระบวนการสร้าง Dashboard เพื่อเฝ้าระวังและรายงานภัยคุกคาม
  • กระบวนการวิเคราะห์ภัยคุกคามที่พบ

กระบวนการที่พูดถึงข้างต้นเป็นกระบวนการในการจัดการภัยคุกคาม ซึ่งหลายหน่วยงานได้สร้างมาตรฐานหรือแนวทางไว้ ตัวอย่าง เช่น NIST SP 800-61 ซึ่งเป็นมาตรฐานจัดการภัยคุกคามโดยหน่วยงาน NIST (National Institute of Standards and Technology) ประเทศสหรัฐฯ ได้ระบุ 4 ขั้นตอนหลักคือ

1. การเตรียมตัวเพื่อรับมือภัยคุกคาม (Preparation) เช่น มีการร่างขอบเขตการทำงานของศูนย์ฯ กระบวนการรับมือ กำหนดหน้าที่และบทบาทของเจ้าหน้าที่ ตามที่ได้กล่าวข้างต้น

2. การตรวจจับและวิเคราะห์ (Detection & Analysis)

  • ระบุปัญหา การเปลี่ยนแปลงแนวโน้มภัยคุกคาม และช่องว่างของนโยบายด้านความมั่นคงปลอดภัย
  • ค้นหาภัยคุกคามแฝง และประเมินผลกระทบ
  • เก็บข้อมูลเหตุการณ์และเวลาเกิดเหตุ เพื่อให้การวิเคราะห์ทำได้ง่ายขึ้น
  • ระบุลักษณะรูปแบบของภัยคุกคามที่พบ
  • ประเมินจุดเริ่มต้นของการโจมตี
  • ประเมินเป้าหมายของการโจมตี
  • หลีกเลี่ยงการดำเนินการที่ทำให้ผู้โจมตีรู้ตัวว่าองค์กรตรวจจับการโจมตีได้แล้ว
  • วิเคราะห์ ทำความเข้าใจการโจมตี

3. การจำกัดความเสียหาย (Containment) กำจัดภัยคุกคามรวมถึงต้นตอปัญหาเพื่อไม่ให้เกิดซ้ำ และฟื้นฟูระบบให้สามารถใช้งานโดยเร็วที่สุด

4. การดำเนินการหลังการแก้ไขปัญหา (Post-incident Activity) ศึกษาบทเรียนจากเหตุการณ์ที่เกิด วิเคราะห์จุดที่ยังต้องปรับปรุงเพื่อเพิ่มประสิทธิภาพในการรับมือภัยคุกคามและลดความเสียหายที่อาจเกิดขึ้น รวมถึง
นำข้อเสนอแนะจากผู้บริหาร มาปรับปรุงนโยบาย กระบวนการรับมือภัยคุกคาม และติดตั้งปรับปรุงระบบด้านความมั่นคงปลอดภัยเพิ่มเติม
กระบวนการทั้งหมดนี้จะใช้งานได้ดี ควรมีการบันทึกและปรับปรุงอย่างต่อเนื่อง องค์กรอาจจัดเตรียมเท็มเพลตหรือฟอร์ม สำหรับใช้สื่อสารเมื่อเกิดภัยคุกคาม ซึ่งช่วยให้รับมือภัยคุกคามได้เร็วขึ้น

5. การเลือก ติดตั้ง และใช้งานเครื่องมือ

เครื่องมือที่สนับสนุนการปฏิบัติการของ SOC ได้แก่ เครื่องมือค้นหาทรัพย์สินสารสนเทศ (asset discovery) เครื่องมือบริหารจัดการช่องโหว่ (vulnerability management) เครื่องมือตรวจจับภัยคุกคาม (intrusion detection) และเครื่องมือการรวบรวมและวิเคราะห์ข้อมูลที่เกี่ยวกับภัยคุกคาม (threat Intelligence) เป็นต้น ในการเลือกเครื่องมือและแนวทางการติดตั้งที่เหมาะสม ให้พิจารณาจากสถานการณ์ที่องค์กรต้องการให้ SOC สามารถรับมือได้ และก่อนการปรับแต่งเครื่องมือในตรวจจับภัยคุกคามซึ่งเป็นส่วนที่ยากสุด ควรทดลองใช้งานเครื่องมือไปก่อน เพื่อศึกษาและสร้างข้อมูลบรรทัดฐาน (baseline) ให้สามารถแยกแยะรูปแบบข้อมูลที่รับส่งในเครือข่ายแบบปกติและแบบผิดปกติได้

นอกจากนี้ SOC ควรมีระบบ ticket ที่ใช้บันทึกการจัดการเหตุการณ์ภัยคุกคาม ซึ่งควรเป็นระบบที่แยกออกมาต่างหากจากระบบ ticket อื่น ๆ เนื่องจากอาจมีข้อมูลที่เป็นความลับ และเพื่อป้องกันไม่ให้มัลแวร์แพร่กระจายไปยังระบบอื่น และควรใช้ระบบอัตโนมัติ (automation) ในส่วนที่ต้องทำซ้ำให้มากที่สุด โดยพยายามสร้างระบบให้อยู่บนแพลตฟอร์มเดียวกันเพื่อให้บริหารจัดการได้ง่าย

6. ปฏิบัติการของ SOC

ในระยะแรกที่ระบบต่าง ๆ ยังไม่ได้รับการปรับแต่งนัก อาจส่งผลให้มีการแจ้งเตือนผิดพลาด (false positive) จำนวนมาก จึงจำเป็นต้องใช้เวลาในการปรับแต่ง ซึ่งถือเป็นการดำเนินการที่สำคัญของ SOC

ในบางกรณี SOC อาจต้องอาศัยบริการสนับสนุนอื่นเพิ่มเติม เช่น การพิสูจน์พยานหลักฐานดิจิทัลเพื่อรายงานผลในชั้นศาล การประสานกับฝ่ายกฎหมาย หรืองานที่ต้องใช้ความเชี่ยวชาญเฉพาะด้านซึ่งอยู่นอกเหนือขอบเขตของ SOC ในกรณีเช่นนี้ หากมีการจัดทำข้อตกลงความร่วมมือไว้ล่วงหน้าก็จะช่วยได้มากเมื่อเกิดภัยคุกคาม

7. ข้อมูลอื่น ๆ เพื่อศึกษาเพิ่มเติม

เนื้อหาในบทความนี้เป็นการแนะนำข้อมูลเบื้องต้นในการจัดตั้ง SOC โดยผู้ที่สนใจสามารถศึกข้อมูลเพิ่มเติมได้จากเอกสารดังนี้

  • ThaiCERT Handbook: “Establishing a CSIRT” [1]
  • NIST SP 800-61 rev 2 [2]
  • McAfee (Intel Security) White Paper: "Creating and Maintaining a SOC" [3]

อ้างอิง

  1. https://www.thaicert.or.th/downloads/files/Establishing_a_CSIRT_th.pdf
  2. https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf
  3. https://community.mcafee.com/nysyc36988/attachments/nysyc36988/siem/7399/1/wp-creating-maintaining-soc.pdf
Clear