กัณณิกา วรคามิน
          28 / CAT SCOOP            ผู้จัดการฝ่ายพัฒนาผลิตภัณฑ์ความปลอดภัยเทคโนโลยี




       ความท้าทาย



       ของการบริหารจัดการ


       ศูนย์ SOC



       อย่างมืออาชีพ






















               การรักษาความปลอดภัยระบบไอที
               ถือเป็นหนึ่งในยุทธศาสตร์ที่ส�าคัญของ
               องค์กร เพราะภัยคุกคามทางไซเบอร์ ไม่เพียงสร้าง
        ความเสียหายแก่ข้อมูลเท่านั้น แต่ยังส่งผลถึงความน่าเชื่อถือและ
        ความไว้วางใจของลูกค้า รวมถึงอนาคตของธุรกิจอีกด้วย ด้วยเหตุนี้
        หลายองค์กรจึงมีการจัดตั้งศูนย์ Security Operation Center (SOC) เพื่อท�าหน้าที่
        ติดตาม เฝ้าดูและจัดการกับปัญหาภัยคุกคามทางไซเบอร์โดยตรง


                                                                 2   ขั้นตอนการปฏิบัติงาน (Process)
        อย่างไรก็ดีการจัดตั้งและบริหารจัดการศูนย์ SOC ด้วยตัวเอง ถือเป็นความ  ขั้นตอนการปฏิบัติงานภายในศูนย์ SOC เป็นเรื่องที่หลายๆ องค์กร
        ท้าทายขององค์กรเป็นอย่างยิ่ง เพราะต้องค�านึงถึงปัจจัยเกี่ยวข้องต่างๆ ได้แก่  อาจมองข้ามไป แต่นั่นคือสิ่งที่ส�าคัญที่สุดในการบริหารจัดการศูนย์ SOC
                                                               โดยการน�า Process และขั้นตอนการบริหารจัดการต่างๆ มาใช้ก็เพื่อเพิ่ม
         1    เทคโนโลยี                                        ประสิทธิภาพและควบคุมการท�างาน ให้ด�าเนินงานไปในทิศทางเดียวกัน
              การจัดตั้งศูนย์ SOC เป็นการน�าระบบปฏิบัติการที่หลากหลายและ  อย่างถูกต้อง
        ซับซ้อนมาประกอบกันจนท�าให้เกิดประสิทธิภาพในการท�างานสูงสุด และ
        การน�าอุปกรณ์ Security Information Event Management (SIEM) มาใช้   ตัวอย่างเช่น ศูนย์ SOC ของ CAT cyfence พร้อมตอบสนองต่อภัยคุกคาม
        บริหารจัดการภายในศูนย์ SOC เป็นปัจจัยส�าคัญที่จะช่วยหาความสัมพันธ์   ต่างๆ ที่เกิดขึ้นแบบ Real Time และพร้อมแก้ไขปัญหาอย่างทันท่วงที
        (Correlate) ของเหตุการณ์ภัยคุกคามต่างๆ ที่เกิดขึ้น โดยการใช้งาน SIEM   จึงจ�าเป็นต้องมีผู้เชี่ยวชาญเฉพาะด้านปฏิบัติงานตลอด 24 ชั่วโมง โดยแบ่ง
        นั้น จ�าเป็นต้องมีผู้เชี่ยวชาญใช้ความรู้ความสามารถในการท�า Threat Hunting    หน้าที่ปฏิบัติงานออกเป็นหลายกลุ่ม เช่น Analysis Level 1 และ Analysis
        คือการที่รับข้อมูลจาก Threat Intelligent ต่างๆ มาเรียนรู้เพื่อสร้าง Use Case    Level 2 เป็นต้น การน�า Process การท�างานต่างๆ เข้ามาใช้ สามารถท�าให้
        หลังจากนั้นจึงน�า Use Case เหล่านั้นท�าการ Customize Rule เพื่อให้   ผู้เชี่ยวชาญที่ปฏิบัติงานในแต่ละกลุ่ม แต่ละช่วงเวลา สามารถท�างานได้ใน
        SIEM สามารถท�างานในรูปแบบ Protection ได้มากยิ่งขึ้น ไม่ใช่เพียงแค่การ   รูปแบบเดียวกันอย่างถูกต้องตามกระบวนการที่ก�าหนดไว้ จึงอาจกล่าวได้ว่า
        Detection เท่านั้น                                     Process ต่างๆ เช่น Incident Management Procedure, Fault Process,
                                                               BCM & BCP Management มีความส�าคัญอย่างมากในการบริหารจัดการ


        CAT MAGAZINE