เมื่อเกิดภัยคุกคามทางไซเบอร์ CSOC ทำงานอย่างไร?

CSOC ทำงานอย่างไร
Share on Facebook
Share on Linkedin
Share on Twitter

ในโลกยุคปัจจุบันภัยคุกคามทางโซเบอร์ ได้ทวีความรุนแรงและส่งผลกระทบต่อการดำเนินธุรกิจขององค์กรต่างๆ อย่างมากมาย ทำให้ศูนย์เฝ้าระวังภัยคุกคามทางไซเบอร์ (Cybersecurity Operation Center) มีบทบาทหน้าที่สำคัญในยับยั้งและบรรเทาความเสียหายที่อาจจะเกิดขึ้นได้ หากมีการบริหารจัดการทั้งด้านเทคโนโลยี กระบวนการและบุคลากรอย่างเหมาะสม

ในบทความนี้จะอธิบายกระบวนการทำงานภายในศูนย์ CSOC รวมถึงบทบาทหน้าที่ความรับผิดชอบของเจ้าหน้าที่ภายในศูนย์ อ้างอิงตามแนวปฏิบัติตามมาตรฐานสากล

Ref: NIST Computer Security Incident Handling Guide 800-61 Revision 2

เจ้าหน้าที่วิเคราะห์ภัยคุกคามระดับที่ 1 (Tier 1 – Cybersecurity Analyst)

ปฏิบัติหน้าที่ตรวจสอบการแจ้งเตือนที่เกิดขึ้นจากระบบป้องกันและระบบเฝ้าระวังภัยคุกคามทางไซเบอร์ เจ้าหน้าที่ระดับที่ 1 จะดำเนินการรวบรวมตรวจสอบข้อมูลความผิดปกติเบื้องต้นเพื่อคัดกรอง ค้นหา จัดลำดับความสำคัญภัยคุกคาม ตามวิธีปฏิบัติที่กำหนดไว้ (Playbooks) ในกรณีที่เหตุการณ์ที่ตรวจพบมีความรุนแรงหรือมีความซับซ้อน เจ้าหน้าที่ระดับที่ 1 จะรวบรวมข้อมูลเบื้องต้น พร้อมทั้งจัดทำรายงานและยกระดับเหตุการณ์ รวมถึงส่งต่อไปให้เจ้าหน้าที่วิเคราะห์ระดับที่ 2 ดำเนินการวิเคราะห์เหตุการณ์ต่อไป

เจ้าหน้าที่วิเคราะห์ภัยคุกคามระดับที่ 2 (Tier 2 – Cybersecurity Analyst)

ปฏิบัติหน้าที่ตรวจสอบเหตุการณ์ภัยคุกคามต่อจากเจ้าหน้าที่วิเคราะห์เหตุการณ์ระดับที่ 1 เพื่อคัดกรอง ค้นหาและตอบสนองต่อภัยคุกคาม ระบุความเชื่อมโยงของข้อมูลแวดล้อมต่างๆ และดำเนินการประเมินระดับความรุนแรงของเหตุการณ์ เจ้าหน้าที่วิเคราะห์เหตุการณ์ระดับที่ 2 จะกำหนดแนวทางการตอบสนองต่อเหตุการณ์เบื้องต้น ในกรณีที่พบว่าเหตุการณ์ภัยคุกคามนั้นก่อให้เกิดผลกระทบและยกระดับไปเป็นเหตุการณ์ผิดปกติ (Incident) เจ้าหน้าที่ระดับที่ 2 จะแจ้งเหตุการณ์ผิดปกติดังกล่าวให้แก่เจ้าหน้าที่ผู้ที่ทำหน้าที่ตัดสินใจและตอบสนองต่อเหตุการณ์

เจ้าหน้าที่หรือทีมงานตอบสนองต่อเหตุการณ์ (Incident Response Team)

เจ้าหน้าที่หรือหน่วยงานผู้ทำหน้าที่ตัดสินใจและดำเนินการตอบสนองต่อเหตุการณ์ผิดปกติ เพื่อยับยั้ง กำจัด และกู้คืนเหตุการณ์ (Containment, Eradication and Recovery) ซึ่งอาจจะประกอบด้วยตัวแทนจากหน่วยงานอื่นๆ เช่น หน่วยงาน IT, หน่วยงานสื่อสารภายในและภายนอกองค์กร, ฝ่ายทรัพยากรบุคคล, หน่วยงานธุรกิจ ที่ได้รับผลกระทบ และหน่วยงานอื่นๆ เพื่อตัดสินใจกำหนดแนวทางและดำเนินการตอบสนองต่อเหตุการณ์ได้อย่างครอบคลุม ซึ่งในกรณีที่เหตุการณ์ผิดปกติได้ถูกยกระดับความรุนแรงสู่วิกฤติการณ์ (Crisis) ทีมงานตอบสนองต่อเหตุการณ์มีหน้าที่รวบรวมข้อมูลและยกระดับเหตุการณ์ให้คณะจัดการวิกฤติการณ์ (Crisis Management) ต่อไป

ในเหตุการณ์ที่มีความจำเป็นต้องการเก็บหลักฐานเพื่อใช้ในกระบวนทางกฎหมาย ทีมงานตอบสนองต่อเหตุการณ์จะประกอบไปด้วยผู้เชี่ยวชาญด้านการเก็บรวบรวมและจัดเก็บการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล (Digital Forensic) หรือในบางกรณีที่มีความต้องการการวิเคราะห์หาสาเหตุและกระบวนการการโจมตีของภัยคุกคามในเชิงลึก ก็สามารถที่จะนำกระบวนการและเครื่องมือที่ใช้ในการพิสูจน์หลักฐานทางดิจิทัลมาสนับสนุนการตอบสนองต่อภัยคุกคามได้เช่นเดียวกัน หรือที่เรียกว่า DFIR (Digital Forensic and Incident Response)

An Example of an Interrelationship Diagram for Different Services and Processes. Ref: ENISA “HOW TO SETUP UP CSIRT AND SOC”
An Example of an Interrelationship Diagram for Different Services and Processes. Ref: ENISA “HOW TO SETUP UP CSIRT AND SOC”

นอกจากเจ้าหน้าที่และหน่วยงานต่างๆ ที่ปฏิบัติงานในการจัดการเหตุการณ์ภัยคุกคามโดยตรงแล้ว ยังมีเจ้าหน้าที่อื่นๆ ที่ปฏิบัติหน้าที่ภายในศูนย์ CSOC เช่น Security Engineer, Vulnerability & Threat Intelligence Analysis, Threat Hunt, Red Team, Digital Forensic เป็นต้น ดังนั้นจะเห็นได้ว่าการทำงานของศูนย์ CSOC ในการจัดการและตอบสนองต่อภัยคุกคามนั้นจำเป็นต้องได้รับการพัฒนาทั้งด้านบุคลากร (People) ด้านกระบวนการปฏิบัติงาน (Process) และด้านเทคโนโลยีเพื่อให้มีความรวดเร็ว ถูกต้องแม่นยำ และมีประสิทธิภาพตลอดทั้งกระบวนการของการกำหนดขั้นตอนกระบวนการทำงานภายในศูนย์

บริษัท ไซเบอร์ อีลีท จำกัด เป็นผู้ให้บริการศูนย์เฝ้าระวังภัยคุกคามทางไซเบอร์ (CSOC ) ซึ่งเลือกใช้เทคโนโลยีจากหลากหลายผลิตภัณฑ์ในระดับ Enterprise Grade ตัวอย่างเช่น SIEM, SOAR, UEBA, EDR และ ITSM ซึ่งแต่ละผลิตภัณฑ์ล้วนแล้วแต่ถูกจัดอันดับอยู่ในระดับ Leader โดยสถาบันที่ได้รับการยอมรับในระดับสากลอย่าง Gartner อีกทั้งศูนย์เฝ้าระวังภัยคุกคามทางไซเบอร์ (CSOC )ของบริษัท ไซเบอร์ อีลีท จำกัด ยังได้รับใบรับรองตามมาตฐาน ISO27001 และ ISO27701 ในด้านการบริหารจัดการความปลอดภัยสารสนเทศและความเป็นส่วนตัวของข้อมูล รวมถึงบุคคลกรที่ผ่านการอบรมได้รับประกาศนียบัตร เช่น CompTIA Security+, Certified Ethical Hacker, GIAC-WAPT, CISSP ฯลฯ

สนใจรับคำปรึกษารับบริการศูนย์เฝ้าระวังภัยคุกคามทางไซเบอร์ (CSOC ) หรือมีปัญหาด้าน Cybersecurity สามารถติดต่อ CYBER ELITE ได้ที่

Email: [email protected]

Tel: 094-480-4838

LINE Official: https://line.me/R/ti/p/@cyberelite

Website: https://www.cyberelite.co

Linkedin: https://bit.ly/36M3T7J

 

Stop threats today

Let’s get started