share

กฎใหม่ 80/20 สำหรับ SecOps (1)

Last updated: 8 Jan 2024
120 Views
กฎใหม่ 80/20 สำหรับ SecOps (1)
กฎใหม่ 80/20 สำหรับ SecOps (1)

ปัจจุบันต้องยอมรับอย่างหนึ่งว่า การค้นหาเครื่องมือรักษาความปลอดภัยที่มีประสิทธิภาพและเหมาะสมกับแต่ละองค์กรนั้นไม่ใช่เรื่องง่ายและใช้เวลาไม่น้อยเลยทีเดียว

ทีมศูนย์รักษาความปลอดภัยระบบเครือข่ายและระบบสารสนเทศ (Security Operations Center หรือ SOC) มักจะใช้เวลาเกือบ 1 ใน 3 ของวันกับการทำกิจกรรมที่ไม่ได้ก่อให้เกิดประโยชน์ในการต่อสู้กับภัยคุกคามที่มีต่อองค์กร ซึ่งสิ่งเหล่านี้เองที่เป็นตัวเร่งให้เกิดการนำโซลูชันอัตโนมัติมาใช้แทนที่เพื่อลดความไม่มีประสิทธิภาพและยุ่งยากต่างๆ

ถึงแม้ว่าจะเป็นเรื่องจริงที่ระบบอัตโนมัติสามารถปรับปรุงประสิทธิภาพและประสิทธิผลของทีมรักษาความปลอดภัยได้มาก แต่ก็ไม่สามารถครอบคลุมได้ทั้งหมด

โดยเฉพาะการตรวจจับและการตอบสนองได้อย่างไร้ข้อผิดพลาด นี่จึงเหตุผลที่ว่า ผู้เชี่ยวชาญต่างพากันลงความเห็นว่า SOC ไม่ควรเป็นแบบอัตโนมัติทั้งหมด

ขณะที่ผู้จำหน่ายจำนวนมากขึ้นพยายามที่จะท้าทายโดยจัดการกับระบบ Security Information and Event Management (SIEM) ให้มีโซลูชันแบบอัตโนมัติที่เพิ่มขึ้นถึง 80% และอีก 20% เสนอให้สามารถปรับเปลี่ยน (customize) เพื่อให้ครอบคลุมตามความต้องการ

80% ระบบอัตโนมัติ : เนื่องจากปริมาณข้อมูลทั่วโลกที่เพิ่มขึ้นอย่างต่อเนื่อง แน่นอนว่าจำนวนการแจ้งเตือนก็เพิ่มขึ้นตามทำให้ทีมรักษาความปลอดภัยต้องเข้ามาจัดการอย่างหลีกเลี่ยงไม่ได้ ซึ่งสิ่งนี้ดูน่ากังวลสำหรับทีมรักษาความปลอดภัยที่อาจต้องทำงานหนัก

แต่ด้วยการนำเสนอจากผู้จำหน่ายที่ได้นำระบบอัตโนมัติไปใช้ในขั้นตอนต่างๆ ของ SOC เวิร์กโฟลว์ ซึ่งช่วยให้ทีมเพิ่มความเร็วและประสิทธิภาพได้ โดยมี 4 ขั้นตอนสำคัญในระบบอัตโนมัติ:

การนำเข้าข้อมูลและการทำให้เป็นมาตรฐาน ในรูปแบบอัตโนมัติจะช่วยให้ทีมสามารถประมวลผลข้อมูลจำนวนมหาศาลจากแหล่งที่หลากหลายได้อย่างมีประสิทธิภาพและช่วยสร้างรากฐานที่แข็งแกร่งสำหรับกระบวนการอัตโนมัติที่จะตามมา

การตรวจจับ การถ่ายโอนความรับผิดชอบในการสร้างกฎสำหรับการตรวจจับเพื่อช่วยให้นักวิเคราะห์ด้านความปลอดภัยมุ่งความสนใจไปที่ภัยคุกคามขององค์กรโดยตรง

การตรวจสอบ ระบบอัตโนมัติช่วยแบ่งเบาภาระของงานที่ต้องทำด้วยตนเองและงานซ้ำๆ ได้ ช่วยเร่งกระบวนการตรวจสอบและคัดแยก

การตอบสนอง การตอบสนองและค้นพบภัยคุกคามแบบอัตโนมัติช่วยลดผลกระทบได้อย่างรวดเร็วและแม่นยำ ซึ่งอาจเอื้อต่อการเชื่อมต่อกับการจัดการเคส, โซลูชัน SOAR, ITSM เป็นต้น ได้อีกด้วย

ผู้จำหน่าย SIEM replacement แบบใหม่ มีการใช้ประโยชน์จากกฎการตรวจจับที่สร้างไว้ล่วงหน้ารวมกับฟีดข่าวกรองภัยคุกคามและเชื่อมโยงกับลูกค้ากลุ่มเป้าหมายอย่างอัตโนมัติ โดยกระบวนการอัตโนมัติเหล่านี้ช่วยลดภาระงานจำนวนมากและช่วยให้ทีมรักษาความปลอดภัยสามารถจัดการกับการแจ้งเตือนส่วนใหญ่ได้ง่ายขึ้น

20% การปรับเปลี่ยน (Customization) : แม้ว่าขั้นตอนข้างต้นของเวิร์กโฟลว์จะเป็นอัตโนมัติซึ่งมีประโยชน์ในการเพิ่มประสิทธิภาพให้กับ SOC จำนวนมาก แต่ก็ยังจำเป็นต้องมีการปรับเปลี่ยนอยู่เสมอ

โดยแต่ละองค์กรมีความต้องการและข้อกำหนดเฉพาะขึ้นอยู่กับการใช้งาน ซึ่งหมายความว่า แม้ว่าความสามารถแบบอัตโนมัติในการจัดการสำหรับการใช้งานทั่วไปได้ถึง 80% แต่ความสามารถเพิ่มเติมก็ยังจำเป็นต้องครอบคลุมส่วนที่เหลืออีก 20% ด้วย

สำหรับทีมรักษาความปลอดภัยนั้น การปรับเปลี่ยนจะช่วยทำให้ระบบมีความยืดหยุ่น ครอบคลุมการใช้งานเฉพาะด้านและขยายขีดความสามารถเพิ่มเติม

สัปดาห์หน้าเราจะมาตามกันต่อเรื่องกฎใหม่ 80/20 สำหรับ SecOps และบทสรุปกันในตอนที่ 2 นะครับ

สามารถติดตามบทความจาก CEO ผ่านทางบทความ Think Secure โดย คุณนักรบ เนียมนามธรรม (นักรบ มือปราบไวรัส) เป็นประจำทุกสัปดาห์ ได้ทางหนังสือพิมพ์กรุงเทพธุรกิจ หรือช่องทาง Online ที่ https://www.bangkokbiznews.com/category/tech/gadget

ที่มา: หนังสือพิมพ์กรุงเทพธุรกิจ (ฉบับวันที่ 20 พฤศจิกายน 2566)
https://www.bangkokbiznews.com/blogs/tech/gadget/1099791
Related Content
This website uses cookies to enhance your experience and providing the best service from us. Please confirm the acceptance. You can learn more about our use of cookies from our Policy. Privacy Policy and Cookies Policy
Compare product
0/4
Remove all
Compare