SIEM & SOAR เครื่องมือรักษาความปลอดภัยในองค์กร (ตอนที่1)

SIEM & SOAR จากหัวข้อที่นำเสนอนี้ไม่ใช่เป็นเทคโนโลยี หรือเป็นเครื่องมือใหม่ที่พึ่งเกิดขึ้นมาไม่นาน

SIEM & SOAR บนโลกแห่งความปลอดภัย ที่เหล่าไอที ผู้ดูแลระบบ ที่ประจำอยู่ในศูนย์ปฏิบัติการความปลอดภัย (Security Operations Center: SOC) ต้องมีไว้สำหรับช่วยเหลือด้านการจัดการเหตุการณ์ต่างๆ ที่อาจเกิดขึ้นโดยไม่คาดฝัน อีกทั้งยังต้องสามารถวิเคราะห์และขจัดปัญหาที่เกี่ยวกับความมั่นคงปลอดภัยนั้นๆได้ด้วย ดังนั้นมาดูข้อมูลของเจ้าSIEM และเจ้า SOAR กัน
SIEM & SOAR

SIEM (Security Information and Event Management)

เป็นเทคโนโลยี ที่มีความสามารถในการจัดเก็บรวบรวมข้อมูลจากแหล่งข้อมูลทั้งภายในและภายนอก ของ IT Infrastructure ที่มีความสามารถในการวิเคราะห์ข้อมูลด้านความปลอดภัยของระบบเครือข่ายองค์กร โดย SIEM นี้จะนำข้อมูลเหล่านั้นไปใช้ในการป้องกันตอบโต้กับการโจมตีที่เกิดขึ้น โดยลักษณะของการเก็บรวบรวมข้อมูลที่กล่าวมานั้นจะเป็นการนำข้อมูล Log จากอุปกรณ์ที่ทำหน้าที่รักษาความปลอดภัยด้านเครือข่ายต่างๆ รวมไปถึง application ที่ทำงานอยู่ภายในเครือข่ายที่มีลักษณะการทำงานที่แตกต่างกัน เพื่อนำข้อมูลเหล่านั้นมาจัดเก็บไว้สำหรับระบุพฤติกรรม หรือกระบวนการทำงานของระบบที่ผิดปกติ และมีแนวโน้มถึงการบ่งชี้ว่าจะถูกโจมตีทางไซเบอร์โดยเจ้า SIEMนี้จะนำข้อมูลที่รวบรวมมาแจ้งไปยังหน่วยงานที่รับผิดชอบด้านความมั่นคงปลอดภัยทราบทันทีเมื่อตรวจพบพฤติกรรมที่น่าสงสัย

SIEM & SOAR

ส่วน SOAR (Security Orchestration, Automation and Response) นั้นเป็นเทคโนโลยี และเป็นเครื่องมือที่จะมาช่วยให้องค์กรสามารถบริหารจัดการกระบวนการหรือกำหนดมาตรการในการรักษาความปลอดภัย ซึ่งจะมีองค์ประกอบอยู่ 3 อย่างคือ การจัดการภัยคุกคามต่างๆ การตรวจสอบและปิดช่องโหว่Analysis เป็นอีกหนึ่งเครื่องมือทางกลยุทธ์ที่ถูกพัฒนามาเพื่อใช้ทดแทน SWOTAnalysis ด้วยการวิเคราะห์จาก Strength (จุดแข็ง) Opportunity (โอกาส) Aspiration (แรงบันดาลใจ) Analysis คือการจัดทำ Matrix ที่แบ่งการวิเคราะห์ออกเป็น 2 แกนร่วมกันได้แก่ ช่วงเวลาและปัจจัยที่มีผลต่อองค์กรต่อองค์กร ซึ่งมีองค์ประกอบดังนี้ และ Result (ผลลัพธ์) ซึ่งมีความแตกต่างจาก SWOTAnalysis ที่เป็นการวิเคราะห์สถานการณ์เบื้องต้นขององค์กรจากปัจจัยภายในและภายนอก

การวิเคราะห์หาจุดเด่นที่ทำได้ดีหรือปัจจัยต่างๆที่ส่งเสริมให้เกิดความแตกต่างและสร้างข้อได้เปรียบทางธุรกิจไม่ว่าจะเป็นระบบองค์กรสินค้าและบริการ หรือการทำงานของทีมงานเช่นส่วนแบ่งทางการตลาด (Market Share)ที่สูงกว่าคู่แข่งงินทุนจำนวนมากสำหรับการลงทุนและขยายกิจการ สถานที่ตั้งอยู่ใกล้มีผู้คนผ่านจำนวนมากเป็นต้นแต่ไม่อาจระบุเป้าหมายหรือแนวทางในการดำเนินงานได้ ในขณะที่Analysis ถูกออกแบบมาเพื่อสร้างให้ผู้วิเคราะห์หรือนักกลยุทธ์มองเห็นไปถึงภาพสุดท้ายหรือผลลัพธ์ของการดำเนินงานได้อย่างชัดเจนหรือแนวโน้มที่จะเกิดจากภัยคุกคาม และการดำเนินการด้านความปลอดภัยอัตโนมัติอ่านบทความเพิ่มเติมเรื่อง siem ต่อ ติดตาม Facebookpage ได้ที่ FB: A&A Neo Technology