เมื่อภัยคุกคามและการโจมตีที่เกิดขึ้นภายในระบบ IT มีความซับซ้อนสูงขึ้น เครื่องมือในการช่วยเหล่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยก็ต้องวิวัฒนาการตามไปด้วย จน SIEM ไม่สามารถตอบโจทย์ให้กับเหล่าองค์กรได้อีกแล้ว และ Security Analytics เองก็จะกลายเป็นเครื่องมือหลักอันใหม่ที่จะมาช่วยเหล่าองค์กรรับมือกับภัยคุกคามในปัจจุบันและอนาคตได้นั่นเอง บทความนี้จะพาผู้อ่านทุกท่านไปรู้จักกับระบบ Security Analytics กันให้มากขึ้น
Security Analytics คืออะไร?
ระบบ Security Analytics นั้นจะช่วยให้เหล่าผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยภายในองค์กรสามารถตรวจพบการโจมตีหรือภัยคุกคามทางด้าน Cybersecurity แล้วทำการตรวจสอบเชิงลึกก่อนจะทำการโต้ตอบได้อย่างรวดเร็วยิ่งขึ้นกว่าแต่ก่อน ซึ่งความรวดเร็วในการโต้ตอบนี้เองที่ถือเป็นหัวใจสำคัญในการรับมือกับภัยคุกคามในทุกวันนี้ที่แฝงตัวมาในรูปแบบที่หลากหลายและอันตรายยิ่งกว่าแต่ก่อนเป็นอย่างมาก ทำให้ Security Analytics ได้กลายเป็นเครื่องมีที่เหล่าองค์กรธุรกิจต่างๆ ไม่อาจขาดไปได้ในปัจจุบัน
โดยสรุปแล้ว ระบบ Security Analytics ควรจะมีความสามารถเบื้องต้นด้วยกัน 6 ประการ ดังนี้
- สามารถตรวจสอบภัยคุกคามที่ไม่เคยตรวจพบมาก่อนได้ ด้วยการใช้เทคโนโลยีการตรวจจับชั้นสูง เช่น การใช้ Machine Learning หรือระบบ Behavioral Anomaly Detection ในการตรวจจับภัยคุกคามต่างๆ ในรูปแบบใหม่
- สามารถทำการค้นหาภัยคุกคามย้อนหลังในอดีตได้ ทำให้สามารถทำการตรวจสอบภัยคุกคามในเชิงลึกได้ทันทีที่ต้องการ
- ตรวจสอบกิจกรรมต่างๆ ที่กำลังเกิดขึ้นภายในระบบเครือข่ายได้ โดยการรวบรวมข้อมูล Traffic และเหตุการณ์จากหลายแหล่งมาทำการวิเคราะห์ร่วมกัน เพื่อทำความเข้าใจความสัมพันธ์ของเหตุการณ์ต่างๆ ที่เกิดขึ้น โดยความสามารถอย่าง Security User Behavior Analytics (SUBA) ที่คอยตรวจสอบพฤติกรรมผิดปกติของผู้ใช้งานเองก็อาจรวมอยู่ในนี้ด้วยเช่นกัน
- สามารถตรวจสอบการแจ้งเตือนแต่ละครั้งได้อย่างรวดเร็ว ด้วยการมีข้อมูลแวดล้อมต่างๆ ทั้งจากภายในและภายนอกให้พร้อมตรวจสอบในทุกๆ การแจ้งเตือนได้ทันที รวมถึงมีระบบ Workflow และการทำ Automation เข้ามาช่วยให้การโต้ตอบภัยคุกคามแต่ละครั้งมีประสิทธิภาพมากยิ่งขึ้น
- รองรับการทำ Automation ในการโต้ตอบภัยคุกคามแต่ละครั้งได้อย่างเต็มตัว ด้วยการรองรับการทำ Security Automation & Orchestration เพื่อให้การโต้ตอบเป็นไปได้อย่างรวดเร็วที่สุด
- ต้องสนับสนุนการทำ Compliance สำหรับมาตรฐานและข้อบังคับต่างๆ ได้หลากหลาย ไม่ว่าจะเป็น PCI-DSS, HIPAA, SOX, ISO 27002, NERC CIP หรือ FISMA ก็ตาม และยังต้องปรับแต่งให้รองรับมาตรฐานอื่นๆ หรือความต้องการเฉพาะทางขององค์กรที่นอกเหนือจากนี้ได้ด้วย
กล่าวโดยสรุปแล้ว ระบบ Security Analytics นี้จะมีทั้งแง่มุมของการรวบรวมข้อมูลต่างๆ เพื่อนำมาใช้ตรวจสอบ, วิเคราะห์ และประมวลผลทางด้านความมั่นคงปลอดภัย โดยมีระบบ Automation และ Workflow เข้ามาช่วยให้การทำงานเป็นไปได้อย่างมีระบบและรวดเร็ว ในขณะที่มีการนำเทคโนโลยีอย่าง Machine Learning หรือ Artificial Intelligence (AI) เข้ามาช่วยตรวจสอบภัยคุกคามรูปแบบใหม่ๆ ที่เกิดขึ้นได้อย่างต่อเนื่องตลอดเวลาภายในองค์กรด้วยนั่นเอง
SIEM กับการปรับตัวก้าวไปสู่การเป็น Security Analytics
Security Information and Event Management หรือ SIEM นั้นเดิมทีก็มีบทบาทในฐานะระบบที่ทำหน้าที่รวบรวม, วิเคราะห์ข้อมูล และแสดงผลข้อมูลต่างๆ ทางด้านความมั่นคงปลอดภัย และเป็นเครื่องมือหลักของเหล่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยในองค์กร แต่เมื่อการโจมตีต่างๆ นั้นมีความซับซ้อนสูงขึ้น การรับมือกับการโจมตีเหล่านี้ให้ได้โดยอัตโนมัติก็ต้องใช้การตรวจสอบที่หลากหลายและซับซ้อนขึ้นตามไปด้วย ส่งผลให้ต้องใช้หน่วยประมวลผลและข้อมูลที่มหาศาลเพิ่มยิ่งขึ้นเพื่อรองรับเทคโนโลยีการตรวจสอบใหม่ๆ ให้ได้มากขึ้น จนทำให้ SIEM แบบเดิมๆ ไม่ตอบโจทย์อีกต่อไปแล้ว
อย่างไรก็ดี เหล่าผู้ผลิตระบบ SIEM นั้นต่างก็รู้ในจุดนี้ดี และทำการพัฒนาระบบ SIEM ของตนให้กลายไปเป็นระบบ Security Analytics ด้วยการเพิ่มความสามารถใหม่ๆ ดังนี้เข้าไปใน SIEM ของตน
- Network Analysis and Visibility (NAV) ความสามารถในการตรวจสอบระบบเครือข่ายในเชิงลึก เช่น การค้นหาอุปกรณ์ที่ติดตั้งอยู่ภายในเครือข่ายอย่างต่อเนื่อง, การวิเคราะห์ข้อมูล Flow ที่เกิดขึ้น, การวิเคราะห์ข้อมูล Metadata ของระบบเครือข่าย, การบันทึกข้อมูล Packet ภายในระบบเครือข่ายและทำการวิเคราะห์ ไปจนถึงการมีเครื่องมือประเภท Network Forensics ให้ใช้งานได้ในตัว
- Security User Behavior Analytics (SUBA) ระบบวิเคราะห์พฤติกรรมผู้ใช้งานและค้นคหาพฤติกรรมผิดปกติหรือมีความเสี่ยงที่จะเป็นภัยคุกคาม โดยผู้พัฒนาระบบ SIEM นั้นอาจจะทำการพัฒนาเทคโนโลยีนี้ขึ้นมาเอง หรือทำการ Integrate ระบบกับผู้ผลิตระบบ SUBA โดยเฉพาะรายอื่นๆ ก็ได้
- Big Data Infrastructure เปลี่ยนจากการใช้ Relational Database ในการเก็บข้อมูลภัยคุกคาม มาใช้ระบบ Big Data Infrastructure ที่รงอรับการจัดเก็บข้อมูลปริมาณมหาศาลได้ภายในรูปแบบที่หลากหลาย รวมถึงยังสามารถนำมาวิเคราะห์ได้อย่างมีประสิทธิภาพ
สามความสามารถนี้เองที่ทำให้ Security Analytics ต่างจาก SIEM แบบเดิมๆ ซึ่งปัจจุบันก็มีผู้ผลิตระบบ SIEM หลายรายที่สามารถก้าวไปสู่การเป็น Security Analytics ได้สำเร็จแล้ว
Splunk: ตอบโจทย์ด้านความมั่นคงปลอดภัย ด้วยเทคโนโลยี Big Data Analytics และ Machine Learning อย่างเต็มตัว
Splunk Enterprise Security นั้นถือเป็นเครื่องมือที่สามารถปรับแต่งได้อย่างยืดหยุ่น โดยรองรับทั้งความสามารถในการใช้งานในระดับ SIEM ไปจนถึง Security Analytics ได้อย่างครอบคลุม ทำให้องค์กรต่างๆ สามารถเริ่มต้นจากการมีระบบ SIEM อัจฉริยะที่ปรับแต่งได้อย่างหลากหลาย และค่อยๆ เพิ่มขยายจนกลายเป็นระบบ Security Analytics ให้พร้อมใช้งานได้ในอนาคตทันทีที่องค์กรมีความพร้อม อีกทั้ง Splunk นี้ยังมี Plug-in สำหรับการทำ SUBA ได้ ทำให้การตรวจจับภัยคุกคามที่มีความซับซ้อนสูงจากข้อมูลต่างๆ ก็สามารถทำได้ด้วยเช่นกัน
ความสามารถในการปรับแต่งการค้นหาข้อมูลและการแสดงผลต่างๆ นี้เอง ทำให้ Splunk สามารถถูกนำไปปรับใช้กับงานในเชิงการรักษาความมั่นคงปลอดภัยได้ทั้งในเชิงรับและเชิงรุก และทำให้สามารถสร้างหน้าจอใหม่ๆ ขึ้นมาเพื่อตอบสนองต่อการรับมือและโต้ตอบภัยคุกคามรูปแบบใหม่ๆ ได้อย่างหลากหลาย ทำให้กระบวนการการทำงานในการรักษาความมั่นคงปลอดภัยโดยเหล่าผู้เชี่ยวชาญนั้นถูกปรับปรุงให้มีประสิทธิภาพดีขึ้นได้อย่างต่อเนื่อง กลายเป็นการรักษาความมั่นคงปลอดภัยแบบ Data-driven ได้อย่างแท้จริง
ทดสอบใช้งาน Software และ Download Free Whitepaper
สำหรับผู้ที่สนใจต้องการทดสอบ Software ต่างๆ จาก STelligence หรือศึกษาข้อมูลเพิ่มเติมจาก Whitepaper สามารถโหลดได้จาก URL ดังต่อไปนี้
- ทดลองใช้งาน Splunk https://www.splunkpartnerhub.com/UserData/203/Mailings/a625b2f5-6fee-4350-8d84-67b5f17ce7c4.htm
- ทดลองใช้งาน Tableau https://www.tableau.com/partner-trial?id=67009
- 6 ความสามารถที่ SIEM ควรมี https://www.splunkpartnerhub.com/UserData/203/Mailings/b11cb0da-99c0-4536-8fa6-9869bc3219c7.htm
- Splunk for Compliance Solution Guide https://goo.gl/forms/XVDmdOCaYkpwtWwQ2
- Yelp Case Study by Splunk https://goo.gl/forms/zE8hts3Xz4wRlalv2
- Splunk Use Case at Telenor https://goo.gl/forms/u1LSClwdW942JYih2
- Top 10 Cloud Trends for 2017 https://www.tableau.com/asset/top-10-cloud-trends-2017?id=67009
ติดต่อ STelligence ได้ทันที
ร่วมพูดคุยแลกเปลี่ยนความคิดเห็น หรือสามารถสอบถามข้อมูลเพิ่มเติม ทดสอบระบบ Solution Network Monitoring หรือระบบ Data Center Monitoring, ระบบ Network Operation Center (NOC), ระบบ Security Operation Center (SOC), ระบบ SIEM ได้ทาง
- ติดต่อบริษัท STelligence ได้ที่ info@stelligence.com
- ติดต่อคุณธเนศ ฝ่ายขาย โทร 089-444-2443 หรือโทร 02-938-7475
- สามารถกด Like เพื่อรับข่าวสารข้อมูลอัพเดต และ Use case ที่น่าสนใจมากมาย : www.facebook.com/stelligence
- พูดคุยกับทางทีมงานได้แบบ Real-time ผ่าน Line ID : @stelligence
ที่มา: https://reprints.forrester.com/#/assets/2/682/’RES134864’/reports