กฎใหม่ 80/20 สำหรับ SecOps (1)

กฎใหม่ 80/20 สำหรับ SecOps (1)

ปัจจุบันต้องยอมรับอย่างหนึ่งว่า การค้นหาเครื่องมือรักษาความปลอดภัยที่มีประสิทธิภาพและเหมาะสมกับแต่ละองค์กรนั้นไม่ใช่เรื่องง่ายและใช้เวลาไม่น้อยเลยทีเดียว

ทีมศูนย์รักษาความปลอดภัยระบบเครือข่ายและระบบสารสนเทศ (Security Operations Center หรือ SOC) มักจะใช้เวลาเกือบ 1 ใน 3 ของวันกับการทำกิจกรรมที่ไม่ได้ก่อให้เกิดประโยชน์ในการต่อสู้กับภัยคุกคามที่มีต่อองค์กร ซึ่งสิ่งเหล่านี้เองที่เป็นตัวเร่งให้เกิดการนำโซลูชันอัตโนมัติมาใช้แทนที่เพื่อลดความไม่มีประสิทธิภาพและยุ่งยากต่างๆ 

ถึงแม้ว่าจะเป็นเรื่องจริงที่ระบบอัตโนมัติสามารถปรับปรุงประสิทธิภาพและประสิทธิผลของทีมรักษาความปลอดภัยได้มาก แต่ก็ไม่สามารถครอบคลุมได้ทั้งหมด

โดยเฉพาะการตรวจจับและการตอบสนองได้อย่างไร้ข้อผิดพลาด นี่จึงเหตุผลที่ว่า ผู้เชี่ยวชาญต่างพากันลงความเห็นว่า SOC ไม่ควรเป็นแบบอัตโนมัติทั้งหมด

ขณะที่ผู้จำหน่ายจำนวนมากขึ้นพยายามที่จะท้าทายโดยจัดการกับระบบ Security Information and Event Management (SIEM) ให้มีโซลูชันแบบอัตโนมัติที่เพิ่มขึ้นถึง 80% และอีก 20% เสนอให้สามารถปรับเปลี่ยน (customize) เพื่อให้ครอบคลุมตามความต้องการ

80% ระบบอัตโนมัติ :  เนื่องจากปริมาณข้อมูลทั่วโลกที่เพิ่มขึ้นอย่างต่อเนื่อง แน่นอนว่าจำนวนการแจ้งเตือนก็เพิ่มขึ้นตามทำให้ทีมรักษาความปลอดภัยต้องเข้ามาจัดการอย่างหลีกเลี่ยงไม่ได้ ซึ่งสิ่งนี้ดูน่ากังวลสำหรับทีมรักษาความปลอดภัยที่อาจต้องทำงานหนัก

แต่ด้วยการนำเสนอจากผู้จำหน่ายที่ได้นำระบบอัตโนมัติไปใช้ในขั้นตอนต่างๆ ของ SOC เวิร์กโฟลว์ ซึ่งช่วยให้ทีมเพิ่มความเร็วและประสิทธิภาพได้ โดยมี 4 ขั้นตอนสำคัญในระบบอัตโนมัติ:

การนำเข้าข้อมูลและการทำให้เป็นมาตรฐาน ในรูปแบบอัตโนมัติจะช่วยให้ทีมสามารถประมวลผลข้อมูลจำนวนมหาศาลจากแหล่งที่หลากหลายได้อย่างมีประสิทธิภาพและช่วยสร้างรากฐานที่แข็งแกร่งสำหรับกระบวนการอัตโนมัติที่จะตามมา

การตรวจจับ การถ่ายโอนความรับผิดชอบในการสร้างกฎสำหรับการตรวจจับเพื่อช่วยให้นักวิเคราะห์ด้านความปลอดภัยมุ่งความสนใจไปที่ภัยคุกคามขององค์กรโดยตรง

การตรวจสอบ ระบบอัตโนมัติช่วยแบ่งเบาภาระของงานที่ต้องทำด้วยตนเองและงานซ้ำๆ ได้ ช่วยเร่งกระบวนการตรวจสอบและคัดแยก

การตอบสนอง การตอบสนองและค้นพบภัยคุกคามแบบอัตโนมัติช่วยลดผลกระทบได้อย่างรวดเร็วและแม่นยำ ซึ่งอาจเอื้อต่อการเชื่อมต่อกับการจัดการเคส, โซลูชัน SOAR, ITSM เป็นต้น ได้อีกด้วย

ผู้จำหน่าย SIEM replacement แบบใหม่ มีการใช้ประโยชน์จากกฎการตรวจจับที่สร้างไว้ล่วงหน้ารวมกับฟีดข่าวกรองภัยคุกคามและเชื่อมโยงกับลูกค้ากลุ่มเป้าหมายอย่างอัตโนมัติ โดยกระบวนการอัตโนมัติเหล่านี้ช่วยลดภาระงานจำนวนมากและช่วยให้ทีมรักษาความปลอดภัยสามารถจัดการกับการแจ้งเตือนส่วนใหญ่ได้ง่ายขึ้น

20% การปรับเปลี่ยน (Customization) : แม้ว่าขั้นตอนข้างต้นของเวิร์กโฟลว์จะเป็นอัตโนมัติซึ่งมีประโยชน์ในการเพิ่มประสิทธิภาพให้กับ SOC จำนวนมาก แต่ก็ยังจำเป็นต้องมีการปรับเปลี่ยนอยู่เสมอ

โดยแต่ละองค์กรมีความต้องการและข้อกำหนดเฉพาะขึ้นอยู่กับการใช้งาน ซึ่งหมายความว่า แม้ว่าความสามารถแบบอัตโนมัติในการจัดการสำหรับการใช้งานทั่วไปได้ถึง 80% แต่ความสามารถเพิ่มเติมก็ยังจำเป็นต้องครอบคลุมส่วนที่เหลืออีก 20% ด้วย

สำหรับทีมรักษาความปลอดภัยนั้น การปรับเปลี่ยนจะช่วยทำให้ระบบมีความยืดหยุ่น ครอบคลุมการใช้งานเฉพาะด้านและขยายขีดความสามารถเพิ่มเติม

สัปดาห์หน้าเราจะมาตามกันต่อเรื่องกฎใหม่ 80/20 สำหรับ SecOps และบทสรุปกันในตอนที่ 2 นะครับ