กฎใหม่ 80/20สำหรับ SecOps (2)

ต่อจากสัปดาห์ที่แล้ว ที่ผมได้อธิบายเกี่ยวกับกฏ 80/20 ที่ใช้ในศูนย์รักษาความปลอดภัยระบบเครือข่ายและระบบสารสนเทศ (Security Operations Center หรือ SOC) นั้น ได้มีการแบ่งระบบเป็น 2 ส่วน คือ ระบบอัตโนมัติ 80% และอีก 20% เป็นการปรับเปลี่ยนเพิ่มเติม (Customization) เพื่อทำให้ยืดหยุ่นและครอบคลุมการใช้งานของแต่ละองค์กร ผมขอหยิบยกเอาเคสตัวอย่างเพื่อให้ทุกคนเข้าใจมากยิ่งขึ้นนะครับ

การนำเข้าแหล่งข้อมูล (Data Source) ที่กำหนดเอง : แต่ละองค์กรมีแหล่งข้อมูลหลายแหล่งที่ใช้เพื่อนำเข้ามาในระบบด้วยรูปแบบ log ที่แตกต่างกัน ผู้ผลิตหลายรายไม่ได้จัดทำผลิตภัณฑ์ที่สามารถรองรับการนำเข้าข้อมูลจากแหล่งข้อมูลจำนวนมากไว้ล่วงหน้า

ดังนั้นหากผู้ผลิตรายใดที่นำเสนอความสามารถดังกล่าวได้ จะเป็นการช่วยองค์กรที่อยู่ในช่วงกำลังใช้งานหรือกำลังย้ายไปยัง Data Lake เพื่อให้ดูแลรักษาข้อมูลได้ดียิ่งขึ้น

Detection-as-code : กลายเป็นคำศัพท์ยอดนิยมในอุตสาหกรรมด้านความปลอดภัยไปแล้ว เพราะการตรวจจับเป็นโค้ดสามารถช่วยงานของเจ้าหน้าที่วิศวกรตรวจจับได้เป็นอย่างดี

เช่น วงจรการพัฒนาที่ได้รับการปรับปรุงให้มีประสิทธิภาพ และช่วยจัดการสภาพแวดล้อมแบบหลายผู้เช่าในองค์กรขนาดใหญ่ได้อย่างมีประสิทธิภาพมากขึ้น

หากเราไม่คุ้นเคยกับแนวคิดนี้ Detection-as-code จะใช้ API และไปป์ไลน์ของการ deploy เพื่อเข้าจัดการขีดความสามารถในการตรวจสอบตามที่ต้องการ ทำให้วงจรการพัฒนาด้านความปลอดภัยมีความใกล้เคียงกับการพัฒนาซอฟต์แวร์แบบเดิมมากขึ้น

โดยแนวทางนี้จะปรับปรุงกระบวนการเพื่อช่วยให้การแจ้งเตือนของทีมพัฒนามีคุณภาพดีขึ้นหรือนำโค้ดมาใช้ซ้ำภายในองค์กร ดังนั้นจึงไม่มีความจำเป็นต้องสร้างตัวตรวจจับตั้งแต่เริ่มต้นใหม่ทุกตัว นอกจากนี้ยังช่วยงานวิศวกรรมการตรวจจับที่เหลืออยู่ในวงจรการพัฒนา ทำให้ไม่จำเป็นต้องทดสอบและปรับใช้เครื่องตรวจจับด้วยตนเอง

บริบทของการขยายตัวทางธุรกิจ : ไม่ใช่เฉพาะข้อมูลที่มีความอ่อนไหวเท่านั้น แต่ข้อมูลที่ได้มาจากลักษณะการประกอบธุรกิจที่แตกต่างกัน หรือข้อมูลซ้ำซ้อนจากแหล่งที่แตกต่างกัน

ทั้งหมดนี้ทำให้องค์กรต้องใช้ระยะเวลาและความพยายามอย่างมากในการรวบรวมข้อมูลเพื่อทำความเข้าใจและนำไปใช้งานได้ต่อการใช้ประโยชน์จาก SIEM alternative ซึ่งใช้ความสามารถในการจัดการทั้งหมดนี้ผ่าน API เพื่อช่วยเพิ่มประสิทธิภาพและความสามารถในการขยายตัวทางธุรกิจและที่สำคัญคือ ไม่ใช่ผู้ผลิตทุกรายจะสามารถทำได้

สรุปแล้ว การสร้าง SOC ที่มีประสิทธิภาพนั้นถือเป็นความพยายามที่ต้องได้รับการพัฒนาต่อไป และขอให้ทุกองค์กรคำนึงเสมอว่า ไม่มีเครื่องมือรักษาความปลอดภัยหรือโซลูชันใดๆ ที่เหมาะกับทุกองค์กรได้อย่าง 100% สิ่งสำคัญคือ องค์กรต่างๆ ไม่เพียงแต่ต้องปรับเปลี่ยนให้สิ่งเหล่านี้เหมาะกับการใช้งานขององค์กรเท่านั้น แต่จำเป็นอย่างยิ่งที่จะต้องผสมผสานและปรับเปลี่ยนให้เข้ากับระบบอัตโนมัติที่มีอยู่ในผลิตภัณฑ์นั้นด้วย

นี่จึงเป็นจุดเปลี่ยนที่สำคัญในการมองหาผู้ขายผลิตภัณฑ์ที่สามารถนำเสนอทั้งแนวทางการปรับใช้งานสิ่งที่มีอยู่ เพื่อช่วยเติมเต็มระบบขององค์กรให้ดำเนินงานได้อย่างมีสิทธิภาพและสามารถตอบสนองต่อความต้องการของทีมรักษาความปลอดภัยได้

นอกจากนี้ การเพิ่มคุณสมบัติในการปรับเปลี่ยนที่เกี่ยวข้องด้านนวัตกรรมใหม่อย่างต่อเนื่องก็สามารถช่วยให้องค์กรต่างๆ สามารถปรับกลยุทธ์ด้านความปลอดภัยให้ตรงกับความต้องการเฉพาะขององค์กรได้

เพราะฉะนั้นระบบอัตโนมัติ 80% จึงมีความสำคัญ แต่การจัดการกับ 20% ที่เหลือจะทำให้ทีมรักษาความปลอดภัยขององค์กรคุณเหนือขึ้นไปอีกระดับหนึ่งครับ