กฎใหม่ 80/20 สำหรับ SecOps (1)
ปัจจุบันต้องยอมรับอย่างหนึ่งว่า การค้นหาเครื่องมือรักษาความปลอดภัยที่มีประสิทธิภาพและเหมาะสมกับแต่ละองค์กรนั้นไม่ใช่เรื่องง่ายและใช้เวลาไม่น้อยเลยทีเดียว
ทีมศูนย์รักษาความปลอดภัยระบบเครือข่ายและระบบสารสนเทศ (Security Operations Center หรือ SOC) มักจะใช้เวลาเกือบ 1 ใน 3 ของวันกับการทำกิจกรรมที่ไม่ได้ก่อให้เกิดประโยชน์ในการต่อสู้กับภัยคุกคามที่มีต่อองค์กร ซึ่งสิ่งเหล่านี้เองที่เป็นตัวเร่งให้เกิดการนำโซลูชันอัตโนมัติมาใช้แทนที่เพื่อลดความไม่มีประสิทธิภาพและยุ่งยากต่างๆ
ถึงแม้ว่าจะเป็นเรื่องจริงที่ระบบอัตโนมัติสามารถปรับปรุงประสิทธิภาพและประสิทธิผลของทีมรักษาความปลอดภัยได้มาก แต่ก็ไม่สามารถครอบคลุมได้ทั้งหมด
โดยเฉพาะการตรวจจับและการตอบสนองได้อย่างไร้ข้อผิดพลาด นี่จึงเหตุผลที่ว่า ผู้เชี่ยวชาญต่างพากันลงความเห็นว่า SOC ไม่ควรเป็นแบบอัตโนมัติทั้งหมด
ขณะที่ผู้จำหน่ายจำนวนมากขึ้นพยายามที่จะท้าทายโดยจัดการกับระบบ Security Information and Event Management (SIEM) ให้มีโซลูชันแบบอัตโนมัติที่เพิ่มขึ้นถึง 80% และอีก 20% เสนอให้สามารถปรับเปลี่ยน (customize) เพื่อให้ครอบคลุมตามความต้องการ
80% ระบบอัตโนมัติ : เนื่องจากปริมาณข้อมูลทั่วโลกที่เพิ่มขึ้นอย่างต่อเนื่อง แน่นอนว่าจำนวนการแจ้งเตือนก็เพิ่มขึ้นตามทำให้ทีมรักษาความปลอดภัยต้องเข้ามาจัดการอย่างหลีกเลี่ยงไม่ได้ ซึ่งสิ่งนี้ดูน่ากังวลสำหรับทีมรักษาความปลอดภัยที่อาจต้องทำงานหนัก
แต่ด้วยการนำเสนอจากผู้จำหน่ายที่ได้นำระบบอัตโนมัติไปใช้ในขั้นตอนต่างๆ ของ SOC เวิร์กโฟลว์ ซึ่งช่วยให้ทีมเพิ่มความเร็วและประสิทธิภาพได้ โดยมี 4 ขั้นตอนสำคัญในระบบอัตโนมัติ:
การนำเข้าข้อมูลและการทำให้เป็นมาตรฐาน ในรูปแบบอัตโนมัติจะช่วยให้ทีมสามารถประมวลผลข้อมูลจำนวนมหาศาลจากแหล่งที่หลากหลายได้อย่างมีประสิทธิภาพและช่วยสร้างรากฐานที่แข็งแกร่งสำหรับกระบวนการอัตโนมัติที่จะตามมา
การตรวจจับ การถ่ายโอนความรับผิดชอบในการสร้างกฎสำหรับการตรวจจับเพื่อช่วยให้นักวิเคราะห์ด้านความปลอดภัยมุ่งความสนใจไปที่ภัยคุกคามขององค์กรโดยตรง
การตรวจสอบ ระบบอัตโนมัติช่วยแบ่งเบาภาระของงานที่ต้องทำด้วยตนเองและงานซ้ำๆ ได้ ช่วยเร่งกระบวนการตรวจสอบและคัดแยก
การตอบสนอง การตอบสนองและค้นพบภัยคุกคามแบบอัตโนมัติช่วยลดผลกระทบได้อย่างรวดเร็วและแม่นยำ ซึ่งอาจเอื้อต่อการเชื่อมต่อกับการจัดการเคส, โซลูชัน SOAR, ITSM เป็นต้น ได้อีกด้วย
ผู้จำหน่าย SIEM replacement แบบใหม่ มีการใช้ประโยชน์จากกฎการตรวจจับที่สร้างไว้ล่วงหน้ารวมกับฟีดข่าวกรองภัยคุกคามและเชื่อมโยงกับลูกค้ากลุ่มเป้าหมายอย่างอัตโนมัติ โดยกระบวนการอัตโนมัติเหล่านี้ช่วยลดภาระงานจำนวนมากและช่วยให้ทีมรักษาความปลอดภัยสามารถจัดการกับการแจ้งเตือนส่วนใหญ่ได้ง่ายขึ้น
20% การปรับเปลี่ยน (Customization) : แม้ว่าขั้นตอนข้างต้นของเวิร์กโฟลว์จะเป็นอัตโนมัติซึ่งมีประโยชน์ในการเพิ่มประสิทธิภาพให้กับ SOC จำนวนมาก แต่ก็ยังจำเป็นต้องมีการปรับเปลี่ยนอยู่เสมอ
โดยแต่ละองค์กรมีความต้องการและข้อกำหนดเฉพาะขึ้นอยู่กับการใช้งาน ซึ่งหมายความว่า แม้ว่าความสามารถแบบอัตโนมัติในการจัดการสำหรับการใช้งานทั่วไปได้ถึง 80% แต่ความสามารถเพิ่มเติมก็ยังจำเป็นต้องครอบคลุมส่วนที่เหลืออีก 20% ด้วย
สำหรับทีมรักษาความปลอดภัยนั้น การปรับเปลี่ยนจะช่วยทำให้ระบบมีความยืดหยุ่น ครอบคลุมการใช้งานเฉพาะด้านและขยายขีดความสามารถเพิ่มเติม
สัปดาห์หน้าเราจะมาตามกันต่อเรื่องกฎใหม่ 80/20 สำหรับ SecOps และบทสรุปกันในตอนที่ 2 นะครับ
ที่มา: หนังสือพิมพ์กรุงเทพธุรกิจ (ฉบับวันที่ 20 พฤศจิกายน 2566)
https://www.bangkokbiznews.com/blogs/tech/gadget/1099791