Network Security
เหตุผลที่ควรมี Network Monitoring
ภายในระบบเครือข่ายขององค์กรประกอบด้วยอุปกรณ์เชื่อมต่อกันอยู่มากมาย ไม่จำกัดเพียงแค่ Router, Switch, Firewall และ Load Balancer แต่ยังรวมไปถึงเซิร์ฟเวอร์ เครื่องปริ้นต์ คอมพิวเตอร์ และอื่นๆ ซึ่งปัจจุบันเครือข่ายยังต้องนับรวมการใช้งานคลาวด์เข้าไปด้วย ดังนั้นจะเห็นได้ว่าท่ามกลางความซับซ้อนที่เกิดขึ้น องค์กรจึงควรต้องมีระบบบางอย่างที่ออกแบบมาเพื่อเก็บและบูรณาการข้อมูล เพื่อสร้างมุมมองที่ช่วยให้ติดตามและแก้ปัญหาระดับเครือข่ายได้ตรงจุดรวดเร็ว ซึ่งโซลูชันนี้มีชื่อว่า ‘Network Monitoring‘
Network Monitoring เป็นโซลูชันที่ช่วยติดตามประสิทธิภาพและสภาพความพร้อมใช้งานของเครือข่าย ช่วยให้เกิดการแก้ปัญหาได้รวดเร็วก่อนที่ผู้ใช้งานจะรับรู้ เนื่องจากระบบเครือข่ายคือช่องทางให้บริการของธุรกิจ หากใช้การไม่ได้ก็เท่ากับธุรกิจเกิดความเสียหายแล้ว โดยหน้าที่ของโซลูชันคือการเก็บข้อมูลจากอุปกรณ์ที่เชื่อมต่ออยู่ในเครือข่าย ช่วยการวิเคราะห์เชิงสถิติและแปลงผลเป็นรายงาน หรือมุมมองที่เข้าใจได้ง่าย
ประโยชน์ที่องค์กรจะได้รับ หากมีโซลูชัน Network Monitoring
มองเห็นภาพรวมของเครือข่ายในองค์กร เพราะเราไม่สามารถแก้ไขปัญหาที่มองไม่เห็นได้ และไม่ทางรู้ได้เลยว่าส่วนที่มองไม่เห็นนี้เป็นส่วนหนึ่งของปัญหาหรือไม่ ดังนั้นการมือเครื่องมือที่ฉายภาพรอบด้าน จะช่วยให้องค์กรมองเห็นทุกชิ้นส่วนที่เกิดขึ้น
รับรู้ถึงสถานะของอุปกรณ์เครือข่าย เซิร์ฟเวอร์ หรืออุปกรณ์อื่นที่เชื่อมต่อในเครือข่าย เมื่อเกิดเหตุล่ม ขาดการติดต่อ หรืออาจมีข้อผิดพลาดบางอย่าง
รับรู้ถึงประสิทธิภาพของทรัพยากรในเครือข่าย เช่น มีทราฟฟิคปริมาณมากระหว่างเส้นทางใด หรืออุปกรณ์เองทำงานหนักเพราะมีอัตราการใช้ CPU, Memory หรือ Disk สูง
ตอบปัญหาให้ทีมแอปพลิเคชันได้ว่าเกิดจากปัญหาทางเครือข่ายหรือไม่ ซึ่งเป็นเรื่องสำคัญในหน้าที่ความรับผิดชอบของทีมดูแลเครือข่าย
จัดทำรายงานเพื่อตอบโจทย์ Compliance และใช้นำเสนอต่อผู้บริหาร โดยมีข้อมูลเทรนด์จากอดีตถึงปัจจุบัน ในบางโซลูชันยังเปิดให้ผู้ใช้งานเลือกเมทริกซ์ที่ตนสนใจได้ สิ่งเหล่านี้ยังช่วยให้ท่านนำไปจัดทำแผนการใช้งานที่เหมาะสมได้อีกด้วย
ช่วยให้ท่านมองเห็นภัยคุกคามที่เกิดขึ้น เช่น เส้นทางการเคลื่อนไหวของคนร้าย การนำออกข้อมูลสำคัญ เนื่องจากเครือข่ายคือเส้นทางไปหาทุกอุปกรณ์และผู้ใช้งาน ดังนั้นการมองเห็นเครือข่ายจะทำให้ท่านสังเกตเห็นพฤติกรรมที่เกิดขึ้นในเส้นทางต่างๆ
โซลูชัน Network Monitoring ที่ดีนอกจากจะทำให้ผู้ปฏิบัติงานมองเห็นต้นตอปัญหาได้แล้ว ยังอาจแสดงผลวิเคราะห์ที่มาของปัญหาประกอบด้วย เมื่อผู้ดูแลเข้าใจได้เร็วระยะเวลาที่เกิดปัญหาก็จะลดลง
Network Monitoring ยังช่วยติดตามเรื่องของการปรับเปลี่ยนคอนฟิค ทำให้ทราบได้ว่าเมื่อเกิดการเปลี่ยนแปลงคอนฟิคบางอย่าง ถ้ามีปัญหาตามมาอาจมาจากผลของการปรับเปลี่ยนนั้น
ทำไมองค์กรต้องจัดเก็บ logs file?
กฏหมายเป็นสิ่งที่ผู้เกี่ยวข้องทุกคนต้องปฏิบัติตาม ซึ่งเป็นความรู้ที่เราไม่สามารถปฏิเสธได้เลยว่าไม่ทราบเพราะถือว่าเป็นหน้าที่ โดยหากพูดถึง พ.ร.บ. คอมพิวเตอร์เองก็ได้ถูกประกาศใช้มาตั้งแต่ปี ๒๕๕๐ เป็นเวลามากกว่าสิบปี จนกระทั่งปี ๒๕๖๐ จึงได้มีการปรับปรุงและแก้ไขให้กฏหมายมีความทันสมัยรองรับกับบริบททางเทคโนโลยีวิถีชีวิตที่เปลี่ยนไป อย่างไรก็ดีสำหรับในมุมของผู้ให้บริการเองใจความสำคัญของ พ.ร.บ. ก็ไม่ได้เปลี่ยนไปมากนัก
โดยใจความสำคัญยังคงมุ่งหวังให้ผู้ให้บริการต่างๆ ได้เก็บหลักฐานเพื่อพิสูจน์ทราบความผิดและความบริสุทธ์ของตนได้ ในกรณีเหตุร้ายทางไซเบอร์ต่างๆ โดยอำนาจของเจ้าหน้าที่ภายใต้มาตราที่ ๑๘(๒) และ (๓) ระบุว่าเจ้าหน้าที่สามารถ “เรียกข้อมูลจราจรคอมพิวเตอร์จากผู้ให้บริการเกี่ยวกับการติดต่อสื่อสารผ่านระบบคอมพิวเตอร์หรือจากบุคคลอื่นที่เกี่ยวข้อง สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการที่ต้องเก็บตามมาตรา ๒๖ หรือที่อยู่ในความครอบครองหรือควบคุมของผู้ให้บริการแก่เจ้าหน้าที่หรือให้เก็บข้อมูลไว้ก่อน” โดยทั้งหมดก็เพื่อประโยชน์ในการสืบสวนข้อมูล และจะต้องทำอย่างไม่ชักช้าซึ่งระบุชัดเจนว่าภายใน ๗ วันเมื่อถูกร้องขอหรือภายในระยะที่เจ้าหน้าที่กำหนดเหตุอันสมควร หากไม่ทำตามมาตรา ๒๖ มีโทษปรับไม่เกิน ๕๐๐,๐๐๐ บาท
ระยะเวลาที่ผู้เกี่ยวข้องต้องจัดเก็บ Log ตามมาตราที่ ๒๖ ระบุว่า “ผู้ให้บริการต้องเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า๙๐ วันนับแต่วันที่ข้อมูลเข้าสู่ระบบ แต่กรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ไว้เกิน ๙๐ วันแต่ไม่เกิน ๒ ปีเป็นกรณีพิเศษเฉพาะราย หรือเฉพาะคราวก็ได้”
และนี่เองคือเหตุผลว่าทำไมองค์กรจำเป็นต้องมีการจัดเก็บ Log ไฟล์ นั่นก็เพื่อพิสูจน์ทราบความบริสุทธิ์และให้ความร่วมมือกับเจ้าหน้าที่รัฐภายใต้กฏหมายนั่นเอง สำหรับเนื้อหาของ Log File จะขึ้นอยู่กับบทบาทของความเป็นผู้ให้บริการด้วยเช่น ร้านอินเทอร์เน็ต ผู้ให้เช่าดาต้าเซ็นเตอร์ ผู้ให้บริการโปรแกรมคอมพิวเตอร์ หรือผู้ที่เก็บรักษาข้อมูลผลประโยชน์ (ผู้ให้บริการดิจิทัลต่างๆ) ทั้งนี้ Log จึงหมายรวมถึงบันทึกข้อมูลจากอุปกรณ์เครือข่ายคอมพิวเตอร์ เซิร์ฟเวอร์ประเภทต่างๆ
Log Management System มีความแตกต่างกับ SIEM อย่างไร ?
Security information and event management หรือที่เราเรียกกันว่า SIEM นั้น แท้จริงแล้วเป็นการประกบคู่ระหว่าง 2 ความหมายคือ Security Event Management(SIM) ซึ่งหมายถึงการเก็บข้อมูล Log ในระยะยาวเพื่อวิเคราะห์และออกรายงาน อีกส่วนหนึ่งคือ Security Event Manager (SEM) พูดถึงการมอนิเตอร์เหตุการณ์แบบเรียลไทม์ เชื่อมโยงเหตุการณ์และสามารถแจ้งเตือนต่อผู้ดูแลได้ โดยเมื่อรวมกันแล้ว SIEM จึงมีความสามารถในการรวมข้อมูล วิเคราะห์ และช่วยในการตัดสินใจเชิงปฏิบัติการ
กลับกันโดยพื้นฐานของ Log Management System เป็นเพียงความสามารถในการรวมศูนย์ Log มาจัดเก็บเพื่อประโยชน์ในการมอนิเตอร์ ตรวจสอบและสืบค้นข้อมูล ซึ่งเป็นเรื่องพื้นฐานตาม พรบ.คอมพิวเตอร์ที่ทุกองค์กรในประเทศไทยควรมี เมื่อเปรียบเทียบทั้งสองคำ กล่าวได้ว่า Log Management System เป็นระบบพื้นฐานที่ทุกองค์กรต้องมี แต่หน้าที่หลักคือการเก็บรวบรวมเท่านั้น ฟังก์ชันในการสืบค้นข้อมูลหรือความรวดเร็วเทียบไม่ได้กับ SIEM
SIEM คือโซลูชันที่ถูกออกแบบมาต่อยอดหลังจากการมีข้อมูล Log เรียบร้อยแล้ว โดยเน้นเรื่องความสามารถในการวิเคราะห์ เชื่อมโยงเหตุการณ์ ออกรายงาน รวมถึงช่วยจัดประเภทหรือลำดับความสำคัญของเหตุการณ์ การสืบค้นข้อมูลทำได้ง่ายและยืดหยุ่น ทั้งนี้ก็เพื่อให้ทีมงานด้านความมั่นคงปลอดภัยสามารถบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยได้สะดวก ง่าย รวดเร็วจากกองข้อมูลมหาศาลด้านความมั่นคงปลอดภัย
