ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง

ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง

( Advanced Security Operations Center )

โดย พลตรี ฤทธี  อินทราวุธ

ผู้อำนวยการศูนย์เทคโนโลยีทางทหาร

ยุคสารสนเทศ หรือยุคไซเบอร์ในปัจจุบันนี้ หากจะกล่าวถึง การรักษาความมั่นคงปลอดภัยด้านสารสนเทศ หรือ การรักษาความมั่นคงปลอดภัยด้านไซเบอร์ คงจะหนีไม่พ้นที่จะกล่าวถึง ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยด้าน

สารสนเทศ ( Internet Security Operations Center ; ISOC ) หรือ ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยด้านไซเบอร์ ( Cyber Security Operations Center ; CSOC ) ซึ่งศูนย์ฯ ดังกล่าว ถือเป็นสิ่งสำคัญและมีความจำเป็นอย่างยิ่ง สำหรับการปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยในโลกไซเบอร์ เนื่องจากภัยคุกคามด้านไซเบอร์นับวันจะยิ่งทวีความสำคัญ ทั้งทางด้านการใช้เป็นอาวุธสำหรับการโจมตีองค์กรทั่วไป โดยเฉพาะการปฏิบัติการทางทหาร ซึ่งได้ถูกกำหนดเป็นอาณาเขตทางการทหาร ที่เรียกกันว่าไซเบอร์โดเมน ( Cyber Domain ) หรือ โดเมนที่ 5

การป้องกันการโจมตีด้านไซเบอร์ขององค์กรในยุคแรกๆ จะเน้นไปที่ระบบกำแพงป้องกันไซเบอร์ หรือที่เรียกกันว่า กำแพงป้องกันไฟ (  Fire wall ) เพื่อใช้เป็นอุปกรณ์สกัดกั้นการบุกรุก หรือการโจมตีของพวกนักเจาะระบบ ( Hacker / Cracker ) ที่มักอาศัยช่องโหว่หรือจุดอ่อนต่างๆ ที่มีอยู่ในอุปกรณ์ หรือระบบสารสนเทศ ( Vulnerability )  เช่น ระบบปฏิบัติการ ซอฟต์แวร์แอปพลิเคชั่น หรือแม้แต่กระทั่งค่าติดตั้ง ( Configuration ) ต่างๆ ของอุปกรณ์ในเครื่องคอมพิวเตอร์ หรือระบบเครือข่าย ซึ่งช่องโหว่ หรือจุดอ่อนของระบบเหล่านี้ อาจจะส่งผลกระทบทำให้ระบบทำงานขัดข้องได้เอง หรือถูกผู้ไม่ประสงค์ดีใช้เป็น ช่องทางในการโจมตีระบบได้ นอกจากนี้ยังเสริมด้วยระบบอุปกรณ์สำหรับตรวจหาการบุกรุก ( Intrusion Detection System ; IDS ) และระบบป้องกันการบุกรุก ( Intrusion Prevention System ; IPS ) แค่นี้ก็ถือว่าเพียงพอต่อการรับมือแล้ว เนื่องจากภัยคุกคามในยุคก่อนๆ ยังไม่มีความหลากหลาย ซับซ้อน และมีความแตกต่าง เช่นในยุคปัจจุบันนี้ ซึ่งเป็น ยุคเครือข่ายสังคม ( Social Network ) หรือ ยุคสังคมออนไลน์ ( Social Media )

ปัจจุบันภัยคุกคามด้านไซเบอร์ มีความหลากหลายรูปแบบ ทั้งภัยที่มาจากคนใน ( Insider ) และภัยที่มาจากคนนอก ( Outsider ) การโจมตีมีทั้งที่กำหนดเป็นเป้าหมายเฉพาะ ( Targeting ) และไม่กำหนดเป้าหมาย ( Non - Targeting ) กล่าวคือ โจมตีแบบหว่านแห โยนหินถามทางไปเรื่อย จนกว่าจะพบเป้าหมายที่สำคัญและคุ้มค่าต่อการโจมตี บางรูปแบบเป็นการฝังตัวเป็นสายลับ ( Spy ) หรือทำประตูลับหรือประตูหลัง ( Back door )  เปิดทิ้งไว้คอยปฏิบัติการล้วงความลับขององค์กร หรือข้อมูลที่มีความสำคัญ บางรูปแบบสามารถหายตัวหรือล่องหน ( Stealthy ) ยากต่อการตรวจจับได้ บางประเภทมีการแฝงตัว ฝังตัวมาอยู่ในระบบขององค์กรเป็นเวลานานแสนนานไม่รู้ว่าเมื่อไหร่ จนกว่าจะถึงเวลาปฏิบัติการโจมตีที่ได้กำหนดไว้ ( Logic bomb ) จึงจะเริ่มออกฤทธิ์ออกเดชตั้งแต่ ระดับรบกวนการทำงานแบบชิวๆ ไปจนถึงการทำให้ระบบล่มหรือปิดระบบ ( Shutdown ) ไปเลย   บางรูปแบบใช้เป็นพาหะเพื่อแพร่กระจายการโจมตีไปยังที่ต่างๆ และบางประเภทใช้เป็นฐานการโจมตีแทนตัวการจริง ( BotNet ) จะเห็นได้ว่าลักษณะและรูปแบบการโจมตีในยุคปัจจุบัน ยิ่งทวีความเข้มข้นมากขึ้น ซับซ้อนซ่อนเงื่อน และมีจำนวนหลากหลาย มากมายจนแทบจะตลอดเวลาทุกวินาที

ดังนั้น การรับมือภัยไซเบอร์ในยุคปัจจุบัน จึงจำเป็นจะต้องพัฒนารูปแบบให้มีความคล่องตัว เช่นเดียวกับ การปฏิบัติการตั้งรับในการยุทธ์ทางทหารในยุคสงครามตามแบบโบราณ ที่มักจะนิยมการตั้งรับแบบยึดพื้นที่ คือ การป้องกันและทำลายฝ่ายข้าศึกตรงหน้าแนวตั้งรับ ไม่ยอมให้ฝ่ายข้าศึกรุกล้ำเข้ามาในพื้นที่ของตน แต่ในยุคต่อมาได้มีการปรับเปลี่ยนกลยุทธ์การตั้งรับ เป็นการตั้งรับแบบคล่องตัว กล่าวคือ ยอมเปิดพื้นที่บางส่วนให้ฝ่ายข้าศึกรุกล้ำเข้ามาในพื้นที่สังหาร ( Killing Zone ) แล้วทำการโจมตีในพื้นที่ที่ฝ่ายเรากำหนดไว้ และมีความได้เปรียบต่อฝ่ายข้าศึก ซึ่งหลักการนี้ได้ถูกนำมาประยุกต์ใช้ในวงการรักษาความมั่นคงปลอดภัยด้านไซเบอร์ ของ EMC และ RSA ซึ่งเป็นบริษัทชั้นนำในด้านนี้ โดย ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง ของ RSA ( RSA Advanced Security Operations Center ) ที่ตั้งอยู่ที่ Boston USA และ Singapore จะเน้นให้ความสำคัญในด้าน การลดเวลาในการตรวจจับ ( Decrease Drill Time ) และเพิ่มความเร็วในการตอบสนองให้ทันเวลา ( Speed Response Time ) ซึ่ง EMC และ RSA ได้ให้ความเห็นว่า ปัจจุบันการรับรู้การถูกโจมตีขององค์กร โดยเฉพาะคนในองค์กรไม่ค่อยจะรู้ตัว ส่วนใหญ่มักจะได้ข่าวสารมาจากหน่วยงานภายนอก ( Third Parties ) แจ้งเตือนให้ทราบ กว่า 80 % และการเปรียบเทียบการโจมตีสูงมักจะมีความถี่สูง แต่เวลาการ

ตอบสนองมักช้ากว่าจะไม่ทันกัน โดยองค์กรส่วนใหญ่ในปัจจุบันจะให้ความสำคัญกับระบบป้องกันถึง 80 % การเฝ้าระวัง 15 % และการตอบสนอง เพียง 5 % ซึ่งหลักการรักษาความมั่นคงปลอดภัยไซเบอร์ที่ชาญฉลาด ควรจะให้ความสำคัญทั้ง 3 ด้านอย่างเท่าเทียมกัน คือ การป้องกัน ( Prevention ) 33 % การเฝ้าระวัง ( Monitoring ) 33 % และการตอบสนอง ( Response )  33 % และในปัจจุบันนี้ ระบบการเก็บไฟล์ Log ประมาณ 1% ที่ช่วยในการตรวจสอบการโจมตี แต่ 85% ข่าวสารมักได้มาจากหน่วยงานภายนอกที่ช่วยกันตรวจสอบและรายงาน ดังนั้นจึงควรเน้นแชร์ข้อมูลจากองค์กรภายนอก หรือจากในหลายๆ ประเทศ และหน่วยงานต่างๆ เพียงแต่การแชร์ต้องพิจารณาเรื่องความไว้วางใจด้วย เพราะระดับทักษะ และประสบการณ์ ด้านความปลอดภัยแต่ละองค์กรมีความแตกต่างกัน

EMC และ RSA ได้ให้ทัศนะว่า ในยุคปัจจุบัน การโดนลักลอบบุกรุก ( Hack / Crack ) หรือการโจมตีด้วย DDoS หรือ BotNet  ไม่ใช่เป็นสิ่งที่น่าละอาย แต่ที่น่าละอาย คือ หน่วยงานภายนอกมาแจ้งว่าหน่วยเราถูกบุกรุก ( Hack / Crack ) โดยเฉพาะการเปลี่ยนแปลงหน้าเว็บไซต์ขององค์กร ดังนั้น เราจึงต้องระมัดระวัง ดูแล และช่วยเหลือตัวเองก่อน แล้วค่อยร่วมกับหน่วยงานอื่นๆ กระบวนการรักษาความมั่นคงปลอดภัยด้านไซเบอร์ เปรียบเสมือน การตรวจรักษาสุขภาพร่างกายมนุษย์ ( Cyber Security VS Healthy Medical ) กล่าวคือ เราต้องรีบรู้ตัวก่อนว่ามีอาการอย่างไร ( Monitoring )  แล้วจึงค่อยวิเคราะห์ค้นสาเหตุว่าเกิดจากอะไร ( Analysis )  และมีแนวโน้มว่าจะป่วยเป็นโรคอะไร ถึงจะก้าวไปสู่ขั้นตอนการให้ยาเพื่อรักษา ( Response )  

หลายท่านคงเคยจิตนาการภาพของ ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ ( Cyber Security Operations Center ; CSOC ) ขององค์กรชั้นนำต่างๆ ว่าควรจะมีรูปโฉมหน้าตาอลังการงานสร้าง และมีอุปกรณ์เครื่องไม้

เครื่องมือที่ทันสมัยไฮเทคอัดแน่นเต็มไปหมดทุกตารางนิ้ว ทำนองเดียวกับภาพของศูนย์ควบคุมบังคับบัญชาและสั่งการทางทหาร ( C⁴I )  และระบบอุปกรณ์เครื่องมือทุกอย่างจะเป็นระบบอัตโนมัติไปหมด สามารถใช้เจ้าหน้าที่ควบคุมเพียงไม่กี่คน ทำงานแบบทศกรรณ อะไรทำนองนั้น ซึ่งเป็นภาพที่แย่มากๆ ในสายตาของความเป็นจริง เพราะระบบอุปกรณ์

เครื่องไม้ เครื่องมือที่ทันสมัยเพียงใด ก็ยังต้องอาศัยหัวคิด และมันสมองของมนุษย์เป็นหลักในการวินิจฉัย กระบวนการวิเคราะห์ และการตัดสินใจ และคนเพียงไม่กี่คน ไม่เพียงพอต่อการรับมือกับภัยคุกคามด้านไซเบอร์ที่มีความหลากหลายรูปแบบ จำนวนปริมาณการโจมตีที่มีความต่อเนื่องตลอดเวลามากมายมหาศาลเกินกว่าจะรับมือได้ทัน ดังนั้นการรับมือที่ชาญฉลาด จึงต้องมีการกำหนดพื้นที่  ( Zoning ) เพื่อเป็นกับดัก ( Tap )  ปล่อยให้มีการรุกล้ำเข้ามาในระบบจะได้มีความสะดวกในการเฝ้าระวังและการควบคุม สำหรับภาพศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ดังกล่าวข้างต้น มักจะส่งผลดีในเชิงจิตวิทยาในด้านภาพลักษณ์ขององค์กร และผลทางด้านการขอสนับสนุนงบประมาณ เพื่อให้เกิดความน่าเชื่อถือในระบบการทำงานทั่วไป

ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง ( Advanced Security Operations Center ; ASOC ) ที่ Boston USA และ Singapore จะมีรูปลักษณะแบบธรรมดามากๆ มีเพียงอุปกรณ์เครื่องไม้เครื่องมือไม่กี่ชิ้น ที่สามารถ

เชื่องโยงระบบและข้อมูลต่างๆ เข้าไว้ด้วยกัน จะใช้จอมอนิเตอร์ใหญ่เพียงไม่กี่หน้าจอในการดึงข้อมูลที่สำคัญๆ ก็สามารถเฝ้าระวัง ค้นหา ตรวจสอบ วิเคราะห์ และดำเนินการตอบสนองได้อย่างรวดเร็วทันท่วงที กระบวนการในการรองรับการปฏิบัติงาน จะเน้นต่อเนื่องตลอดเวลา การเฝ้าระวังจะเป็นระบบ 7/24 หรือที่เรียกกันว่าแบบ 7 – Eleven โดยเจ้าหน้าที่ควรจะต้องปฏิบัติงาน 10 คน หมุนเวียนเป็น 3 ผลัด สำหรับเจ้าหน้าที่ในทีมตอบสนองต่อเหตุการณ์ ในห้อง SOC ที่

สำคัญจะมี  Tier1 และ Tier2 ซึ่งเป็นส่วนเฝ้าระวังภัยคุกคาม ( Monitoring )  Threat Intelligence Analyst เป็นส่วนวิเคราะห์ข่าวกรองด้านภัยคุกคาม Analysis & Tools Support Analyst เป็นส่วนวิเคราะห์การสนับสนุนเครื่องมือในการวิเคราะห์ และ SOC Manager เป็นส่วนบริหารจัดการ ซึ่งมีหน้าที่บริหารจัดการศูนย์ฯ และประสานกับคนภายนอก ดังมีรายละเอียด ดังนี้

1. เจ้าหน้าที่เฝ้าระวัง ( Monitor ) และการวิเคราะห์เหตุการณ์ที่เกิดขึ้น อย่างน้อยควรมีเจ้าหน้าที่ 2 ส่วน ที่เรียกว่า Tier1 Analyst และ Tier2 Analyst สำหรับเจ้าหน้าที่ในส่วนนี้จะเน้นการเฝ้าระวังและแจ้งเตือนเหตุการณ์ที่ผิดปกติต่างๆ ในเบื้องต้น   

2. เจ้าหน้าที่วิเคราะห์ภัยคุกคาม ( Threat Intelligence Analyst ) และ เจ้าหน้าที่สนับสนุนการวิเคราะห์ และเครื่องมือวิเคราะห์ (  Analysis & Tools Support Analyst)  เจ้าหน้าที่ในส่วนนี้จะได้รับรายงานการเฝ้าระวัง จาก Tier1 และ 2 มาตรวจสอบและวิเคราะห์ในเชิงลึกถึงภัยคุกคามที่เกิดขึ้นอย่างแท้จริง 

3. ผู้บริหารศูนย์เฝ้าระวัง ( SOC Manager ) มีหน้าที่สั่งการแก้ไขปัญหาที่เกิดขึ้น อาจจะเป็นการแจ้งเตือนในองค์กร หรือการประสานกับคนภายนอก หรือหน่วยงานภายนอก เพื่อแก้ไขปัญหาที่เกิดขึ้น 

การปฏิบัติการด้านความปลอดภัยและตอบสนองเหตุการณ์เบื้องต้น การเพิ่ม ย้าย และเปลี่ยนแปลง ในปัญหาที่เกิดขึ้น เช่น การเพิ่มกฎของ Firewall ขึ้น , การย้าย Port , การเปลี่ยนแปลง Configuration ต่างๆ เป็นต้น  นอกจากนั้นควรจะมีการเปลี่ยนรหัสผ่านในเครื่องที่เกิดปัญหา การออกหนังสือรับรองความปลอดภัยหลังจากแก้ไขปัญหาแล้ว การตรวจสอบอุปกรณ์ต่างๆ ให้ใช้งานได้ตามปกติ การปรับปรุงค่าพื้นฐานอยู่สม่ำเสมอ ( Configurations ) การควบคุมการเข้าถึงสิทธิ์ ( Acquisition ) และตลอดจนการควบคุมการปฏิบัติการป้องกันต่างๆ ให้เป็นไปตามระเบียบความปลอดภัย

ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง ( Advanced Security Operations Center ; ASOC ) ของ EMC และ RSA ที่ Boston USA และ Singapore มีมุมมอง ( Visibility ) ที่ชัดเจนของ RSA Solution ที่นำมาใช้

ประกอบด้วย PLEN ( Packets , Logs, Endpoints, Netflow ) โดยเน้นการจับวิเคราะห์ข้อมูลใน Packet ต่างๆ ให้ได้โดยตรง การวิเคราะห์ข้อมูลการจราจรทางคอมพิวเตอร์ ( Logs )  ในส่วนเครื่องผู้ใช้งานต่างๆ ( Endpoints) มีให้เลือกแบบลง Agent หรืออาจจะ Deploy Agent ในภายหลังเมื่อต้องการตรวจสอบ เพื่อประหยัด License นอกจากนั้น การควบคุมเครือข่ายต่างๆ ( Netflow )  ได้ทั้งหมด ซึ่งจะช่วยในการสอบสวนลงในข้อมูลที่เกิดขึ้นได้ 

RSA Solution ดังกล่าว จะมีความเข้าใจในทุกๆ เรื่อง ทั้งด้านการวิเคราะห์ เทียบเคียงจนถึงจุดสิ้นสุด การสอบสวนเหตุการณ์ที่เกิดขึ้น สามารถทำงานได้รวดเร็วในด้านการปฏิบัติ การสอบสวนที่เป็นอันหนึ่งอันเดียวกัน และมีการบูรณาการร่วมกัน

RSA Security Analytics ประกอบด้วย 3 ด้าน คือ ด้าน Visibility ด้าน Analysis และด้าน Action  เฉพาะด้าน Visibility จะมี  RSA ECAT สำหรับควบคุมระบบฯ  และ RSA Security Operation Management  ใช้สำหรับการวัด KPI ของระบบในภาพรวม  ระบบ CMDB ( Configuration Management Database ) เป็นฐานข้อมูลหลักในการบันทึกค่า Configuration ต่างๆ เพื่อการกู้คืนระบบ  สำหรับข้อมูลต่างๆ ที่นำมาวิเคราะห์ หรือรวบรวมมาจาก Source ต่างๆ จะถูกเก็บไว้ด้วยระบบ Big data warehouse ซึ่งช่วยได้ในด้านข้อมูล การวิเคราะห์ข้อมูล เป็นเทคโนโลยีที่มีความทันสมัย ก้าวไกล และเป็นการตอบสนองต่อการบริการที่เน้นด้านป้องกันทาง Cyber ขั้นสูง ( Advance Cyber Defense Services )

ดังนั้น จุดเริ่มต้นของการทำงานของหน่วยงานด้านไซเบอร์ ควรจะเริ่มต้นด้วย การจัดตั้งทีมสำหรับการตอบสนองต่อเหตุการณ์  ( Cyber Emergency Response Team ; CERT ) ซึ่งเป็นทีมที่มีการเตรียมความพร้อมอยู่ตลอดเวลา มีการตอบสนองอย่างรวดเร็ว และมีความยืดหยุ่นในการปฏิบัติงาน สิ่งสำคัญของทีม คือ การให้การฝึกศึกษาอย่างต่อเนื่องยั่งยืน เพื่อก้าวเข้าสู่การป้องกันทาง Cyber ในชั้นสูงต่อไป สำหรับแนวทางการแก้ปัญหา ( Solution )  และเทคโนโลยี ( Technology ) ที่จะพิจารณานำมาใช้ในองค์กร จะต้องมีประสิทธิภาพ มีความเหมาะสม และสามารถรองรับภัยคุกคามในอนาคตได้

ขอขอบคุณ EMC และ RSA ที่กรุณาให้การต้อนรับ คณะเจ้าหน้าที่ ศูนย์เทคโนโลยีทางทหารจาก กองทัพบก โดยจัดการบรรยายสรุปจากผู้เชี่ยวชาญ และนำชมการสาธิตการปฏิบัติงานของ ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง (Advanced Security Operations Center ; ASOC )  ที่สิงคโปร์ ระหว่าง 6 – 7 พฤศจิกายน 2557 มา ณ ที่นี้