มารู้จัก SIEM และ SOAR เครื่องมือรักษาความปลอดภัยในองค์กร (ตอนที่1)

จากหัวข้อที่นำเสนอนี้ไม่ใช่เป็นเทคโนโลยี หรือเป็นเครื่องมือใหม่ที่พึ่งเกิดขึ้นมาไม่นานบนโลกแห่งความปลอดภัย ที่เหล่าไอที ผู้ดูแลระบบ ที่ประจำอยู่ในศูนย์ปฏิบัติการความปลอดภัย

(Security Operations Center: SOC) ต้องมีไว้สำหรับช่วยเหลือด้านการจัดการเหตุการณ์ต่างๆ ที่อาจเกิดขึ้นโดยไม่คาดฝัน อีกทั้งยังต้องสามารถวิเคราะห์และขจัดปัญหาที่เกี่ยวกับความมั่นคงปลอดภัยนั้นๆ

ได้ด้วย ดังนั้นมาดูข้อมูลของเจ้า SIEM และเจ้า SOAR กัน

SIEM (Security Information and Event Management) เป็นเทคโนโลยี ที่มีความสามารถในการจัดเก็บรวบรวมข้อมูลจากแหล่งข้อมูลทั้งภายในและภายนอก ของ IT Infrastructure

ที่มีความสามารถในการวิเคราะห์ข้อมูลด้านความปลอดภัยของระบบเครือข่ายองค์กร โดย SIEM นี้จะนำข้อมูลเหล่านั้นไปใช้ในการป้องกันตอบโต้กับการโจมตีที่เกิดขึ้น โดยลักษณะของการเก็บรวบรวมข้อมูลที่กล่าวมานั้นจะเป็นการนำข้อมูล Log จากอุปกรณ์ที่ทำหน้าที่รักษาความปลอดภัยด้านเครือข่ายต่างๆ รวมไปถึง application ที่ทำงานอยู่ภายในเครือข่าย

ที่มีลักษณะการทำงานที่แตกต่างกัน เพื่อนำข้อมูลเหล่านั้นมาจัดเก็บไว้สำหรับระบุพฤติกรรม หรือกระบวนการทำงานของระบบที่ผิดปกติ และมีแนวโน้มถึงการบ่งชี้ว่าจะถูกโจมตีทางไซเบอร์

โดยเจ้า SIEM นี้จะนำข้อมูลที่รวบรวมมาแจ้งไปยังหน่วยงานที่รับผิดชอบด้านความมั่นคงปลอดภัยทราบทันทีเมื่อตรวจพบพฤติกรรมที่น่าสงสัย

ส่วน SOAR (Security Orchestration, Automation and Response) นั้นเป็นเทคโนโลยี และเป็นเครื่องมือที่จะมาช่วยให้องค์กรสามารถบริหารจัดการกระบวนการหรือกำหนดมาตรการในการรักษาความปลอดภัย ซึ่งจะมีองค์ประกอบอยู่ 3 อย่างคือ การจัดการภัยคุกคามต่างๆ การตรวจสอบและปิดช่องโหว่ หรือแนวโน้มที่จะเกิดจากภัยคุกคาม และการดำเนินการด้านความปลอดภัยอัตโนมัติ