รู้จัก Security Analytics เทคโนโลยีที่จะมาแทน SIEM ในเร็วๆ นี้

เมื่อภัยคุกคามและการโจมตีที่เกิดขึ้นภายในระบบ IT มีความซับซ้อนสูงขึ้น เครื่องมือในการช่วยเหล่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยก็ต้องวิวัฒนาการตามไปด้วย จน SIEM ไม่สามารถตอบโจทย์ให้กับเหล่าองค์กรได้อีกแล้ว และ Security Analytics เองก็จะกลายเป็นเครื่องมือหลักอันใหม่ที่จะมาช่วยเหล่าองค์กรรับมือกับภัยคุกคามในปัจจุบันและอนาคตได้นั่นเอง บทความนี้จะพาผู้อ่านทุกท่านไปรู้จักกับระบบ Security Analytics กันให้มากขึ้น

Security Analytics คืออะไร?

ระบบ Security Analytics นั้นจะช่วยให้เหล่าผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยภายในองค์กรสามารถตรวจพบการโจมตีหรือภัยคุกคามทางด้าน Cybersecurity แล้วทำการตรวจสอบเชิงลึกก่อนจะทำการโต้ตอบได้อย่างรวดเร็วยิ่งขึ้นกว่าแต่ก่อน ซึ่งความรวดเร็วในการโต้ตอบนี้เองที่ถือเป็นหัวใจสำคัญในการรับมือกับภัยคุกคามในทุกวันนี้ที่แฝงตัวมาในรูปแบบที่หลากหลายและอันตรายยิ่งกว่าแต่ก่อนเป็นอย่างมาก ทำให้ Security Analytics ได้กลายเป็นเครื่องมีที่เหล่าองค์กรธุรกิจต่างๆ ไม่อาจขาดไปได้ในปัจจุบัน

โดยสรุปแล้ว ระบบ Security Analytics ควรจะมีความสามารถเบื้องต้นด้วยกัน 6 ประการ ดังนี้

• สามารถตรวจสอบภัยคุกคามที่ไม่เคยตรวจพบมาก่อนได้ ด้วยการใช้เทคโนโลยีการตรวจจับชั้นสูง เช่น การใช้ Machine Learning หรือระบบ Behavioral Anomaly Detection ในการตรวจจับภัยคุกคามต่างๆ ในรูปแบบใหม่
• สามารถทำการค้นหาภัยคุกคามย้อนหลังในอดีตได้ ทำให้สามารถทำการตรวจสอบภัยคุกคามในเชิงลึกได้ทันทีที่ต้องการ
• ตรวจสอบกิจกรรมต่างๆ ที่กำลังเกิดขึ้นภายในระบบเครือข่ายได้ โดยการรวบรวมข้อมูล Traffic และเหตุการณ์จากหลายแหล่งมาทำการวิเคราะห์ร่วมกัน เพื่อทำความเข้าใจความสัมพันธ์ของเหตุการณ์ต่างๆ ที่เกิดขึ้น โดยความสามารถอย่าง Security User Behavior Analytics (SUBA) ที่คอยตรวจสอบพฤติกรรมผิดปกติของผู้ใช้งานเองก็อาจรวมอยู่ในนี้ด้วยเช่นกัน
• สามารถตรวจสอบการแจ้งเตือนแต่ละครั้งได้อย่างรวดเร็ว ด้วยการมีข้อมูลแวดล้อมต่างๆ ทั้งจากภายในและภายนอกให้พร้อมตรวจสอบในทุกๆ การแจ้งเตือนได้ทันที รวมถึงมีระบบ Workflow และการทำ Automation เข้ามาช่วยให้การโต้ตอบภัยคุกคามแต่ละครั้งมีประสิทธิภาพมากยิ่งขึ้น
• รองรับการทำ Automation ในการโต้ตอบภัยคุกคามแต่ละครั้งได้อย่างเต็มตัว ด้วยการรองรับการทำ Security Automation & Orchestration เพื่อให้การโต้ตอบเป็นไปได้อย่างรวดเร็วที่สุด
• ต้องสนับสนุนการทำ Compliance สำหรับมาตรฐานและข้อบังคับต่างๆ ได้หลากหลาย ไม่ว่าจะเป็น PCI-DSS, HIPAA, SOX, ISO 27002, NERC CIP หรือ FISMA ก็ตาม และยังต้องปรับแต่งให้รองรับมาตรฐานอื่นๆ หรือความต้องการเฉพาะทางขององค์กรที่นอกเหนือจากนี้ได้ด้วย

กล่าวโดยสรุปแล้ว ระบบ Security Analytics นี้จะมีทั้งแง่มุมของการรวบรวมข้อมูลต่างๆ เพื่อนำมาใช้ตรวจสอบ, วิเคราะห์ และประมวลผลทางด้านความมั่นคงปลอดภัย โดยมีระบบ Automation และ Workflow เข้ามาช่วยให้การทำงานเป็นไปได้อย่างมีระบบและรวดเร็ว ในขณะที่มีการนำเทคโนโลยีอย่าง Machine Learning หรือ Artificial Intelligence (AI) เข้ามาช่วยตรวจสอบภัยคุกคามรูปแบบใหม่ๆ ที่เกิดขึ้นได้อย่างต่อเนื่องตลอดเวลาภายในองค์กรด้วยนั่นเอง

 

SIEM กับการปรับตัวก้าวไปสู่การเป็น Security Analytics

Security Information and Event Management หรือ SIEM นั้นเดิมทีก็มีบทบาทในฐานะระบบที่ทำหน้าที่รวบรวม, วิเคราะห์ข้อมูล และแสดงผลข้อมูลต่างๆ ทางด้านความมั่นคงปลอดภัย และเป็นเครื่องมือหลักของเหล่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยในองค์กร แต่เมื่อการโจมตีต่างๆ นั้นมีความซับซ้อนสูงขึ้น การรับมือกับการโจมตีเหล่านี้ให้ได้โดยอัตโนมัติก็ต้องใช้การตรวจสอบที่หลากหลายและซับซ้อนขึ้นตามไปด้วย ส่งผลให้ต้องใช้หน่วยประมวลผลและข้อมูลที่มหาศาลเพิ่มยิ่งขึ้นเพื่อรองรับเทคโนโลยีการตรวจสอบใหม่ๆ ให้ได้มากขึ้น จนทำให้ SIEM แบบเดิมๆ ไม่ตอบโจทย์อีกต่อไปแล้ว

อย่างไรก็ดี เหล่าผู้ผลิตระบบ SIEM นั้นต่างก็รู้ในจุดนี้ดี และทำการพัฒนาระบบ SIEM ของตนให้กลายไปเป็นระบบ Security Analytics ด้วยการเพิ่มความสามารถใหม่ๆ ดังนี้เข้าไปใน SIEM ของตน

• Network Analysis and Visibility (NAV) ความสามารถในการตรวจสอบระบบเครือข่ายในเชิงลึก เช่น การค้นหาอุปกรณ์ที่ติดตั้งอยู่ภายในเครือข่ายอย่างต่อเนื่อง, การวิเคราะห์ข้อมูล Flow ที่เกิดขึ้น, การวิเคราะห์ข้อมูล Metadata ของระบบเครือข่าย, การบันทึกข้อมูล Packet ภายในระบบเครือข่ายและทำการวิเคราะห์ ไปจนถึงการมีเครื่องมือประเภท Network Forensics ให้ใช้งานได้ในตัว
• Security User Behavior Analytics (SUBA) ระบบวิเคราะห์พฤติกรรมผู้ใช้งานและค้นคหาพฤติกรรมผิดปกติหรือมีความเสี่ยงที่จะเป็นภัยคุกคาม โดยผู้พัฒนาระบบ SIEM นั้นอาจจะทำการพัฒนาเทคโนโลยีนี้ขึ้นมาเอง หรือทำการ Integrate ระบบกับผู้ผลิตระบบ SUBA โดยเฉพาะรายอื่นๆ ก็ได้
• Big Data Infrastructure เปลี่ยนจากการใช้ Relational Database ในการเก็บข้อมูลภัยคุกคาม มาใช้ระบบ Big Data Infrastructure ที่รงอรับการจัดเก็บข้อมูลปริมาณมหาศาลได้ภายในรูปแบบที่หลากหลาย รวมถึงยังสามารถนำมาวิเคราะห์ได้อย่างมีประสิทธิภาพ

สามความสามารถนี้เองที่ทำให้ Security Analytics ต่างจาก SIEM แบบเดิมๆ ซึ่งปัจจุบันก็มีผู้ผลิตระบบ SIEM หลายรายที่สามารถก้าวไปสู่การเป็น Security Analytics ได้สำเร็จแล้ว

 

Splunk: ตอบโจทย์ด้านความมั่นคงปลอดภัย ด้วยเทคโนโลยี Big Data Analytics และ Machine Learning อย่างเต็มตัว

Splunk Enterprise Security นั้นถือเป็นเครื่องมือที่สามารถปรับแต่งได้อย่างยืดหยุ่น โดยรองรับทั้งความสามารถในการใช้งานในระดับ SIEM ไปจนถึง Security Analytics ได้อย่างครอบคลุม ทำให้องค์กรต่างๆ สามารถเริ่มต้นจากการมีระบบ SIEM อัจฉริยะที่ปรับแต่งได้อย่างหลากหลาย และค่อยๆ เพิ่มขยายจนกลายเป็นระบบ Security Analytics ให้พร้อมใช้งานได้ในอนาคตทันทีที่องค์กรมีความพร้อม อีกทั้ง Splunk นี้ยังมี Plug-in สำหรับการทำ SUBA ได้ ทำให้การตรวจจับภัยคุกคามที่มีความซับซ้อนสูงจากข้อมูลต่างๆ ก็สามารถทำได้ด้วยเช่นกัน

ความสามารถในการปรับแต่งการค้นหาข้อมูลและการแสดงผลต่างๆ นี้เอง ทำให้ Splunk สามารถถูกนำไปปรับใช้กับงานในเชิงการรักษาความมั่นคงปลอดภัยได้ทั้งในเชิงรับและเชิงรุก และทำให้สามารถสร้างหน้าจอใหม่ๆ ขึ้นมาเพื่อตอบสนองต่อการรับมือและโต้ตอบภัยคุกคามรูปแบบใหม่ๆ ได้อย่างหลากหลาย ทำให้กระบวนการการทำงานในการรักษาความมั่นคงปลอดภัยโดยเหล่าผู้เชี่ยวชาญนั้นถูกปรับปรุงให้มีประสิทธิภาพดีขึ้นได้อย่างต่อเนื่อง กลายเป็นการรักษาความมั่นคงปลอดภัยแบบ Data-driven ได้อย่างแท้จริง

 

ทดสอบใช้งาน Software และ Download Free Whitepaper

สำหรับผู้ที่สนใจต้องการทดสอบ Software ต่างๆ จาก STelligence หรือศึกษาข้อมูลเพิ่มเติมจาก Whitepaper สามารถโหลดได้จาก URL ดังต่อไปนี้

• ทดลองใช้งาน Splunk https://www.splunkpartnerhub.com/UserData/203/Mailings/a625b2f5-6fee-4350-8d84-67b5f17ce7c4.htm
• ทดลองใช้งาน Tableau https://www.tableau.com/partner-trial?id=67009
• 6 ความสามารถที่ SIEM ควรมี https://www.splunkpartnerhub.com/UserData/203/Mailings/b11cb0da-99c0-4536-8fa6-9869bc3219c7.htm
• Splunk for Compliance Solution Guide https://goo.gl/forms/XVDmdOCaYkpwtWwQ2
• Yelp Case Study by Splunk https://goo.gl/forms/zE8hts3Xz4wRlalv2
• Splunk Use Case at Telenor https://goo.gl/forms/u1LSClwdW942JYih2
• Top 10 Cloud Trends for 2017 https://www.tableau.com/asset/top-10-cloud-trends-2017?id=67009

 

ติดต่อ STelligence ได้ทันที

ร่วมพูดคุยแลกเปลี่ยนความคิดเห็น หรือสามารถสอบถามข้อมูลเพิ่มเติม ทดสอบระบบ Solution Network Monitoring หรือระบบ Data Center Monitoring, ระบบ Network Operation Center (NOC), ระบบ Security Operation Center (SOC), ระบบ SIEM ได้ทาง

• ติดต่อบริษัท STelligence ได้ที่ info@stelligence.com
• ติดต่อคุณธเนศ ฝ่ายขาย โทร 089-444-2443 หรือโทร 02-938-7475
• สามารถกด Like เพื่อรับข่าวสารข้อมูลอัพเดต และ Use case ที่น่าสนใจมากมาย : www.facebook.com/stelligence
• พูดคุยกับทางทีมงานได้แบบ Real-time ผ่าน Line ID : @stelligence
  

ที่มา: https://reprints.forrester.com/#/assets/2/682/’RES134864’/reports