ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง
(
Advanced Security Operations Center )
โดย พลตรี ฤทธี
อินทราวุธ
ผู้อำนวยการศูนย์เทคโนโลยีทางทหาร
ยุคสารสนเทศ หรือยุคไซเบอร์ในปัจจุบันนี้
หากจะกล่าวถึง การรักษาความมั่นคงปลอดภัยด้านสารสนเทศ หรือ การรักษาความมั่นคงปลอดภัยด้านไซเบอร์
คงจะหนีไม่พ้นที่จะกล่าวถึง ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยด้าน
การป้องกันการโจมตีด้านไซเบอร์ขององค์กรในยุคแรกๆ
จะเน้นไปที่ระบบกำแพงป้องกันไซเบอร์ หรือที่เรียกกันว่า กำแพงป้องกันไฟ ( Fire wall ) เพื่อใช้เป็นอุปกรณ์สกัดกั้นการบุกรุก
หรือการโจมตีของพวกนักเจาะระบบ ( Hacker / Cracker ) ที่มักอาศัยช่องโหว่หรือจุดอ่อนต่างๆ ที่มีอยู่ในอุปกรณ์ หรือระบบสารสนเทศ ( Vulnerability ) เช่น
ระบบปฏิบัติการ ซอฟต์แวร์แอปพลิเคชั่น หรือแม้แต่กระทั่งค่าติดตั้ง ( Configuration ) ต่างๆ ของอุปกรณ์ในเครื่องคอมพิวเตอร์
หรือระบบเครือข่าย ซึ่งช่องโหว่ หรือจุดอ่อนของระบบเหล่านี้
อาจจะส่งผลกระทบทำให้ระบบทำงานขัดข้องได้เอง หรือถูกผู้ไม่ประสงค์ดีใช้เป็น
ช่องทางในการโจมตีระบบได้ นอกจากนี้ยังเสริมด้วยระบบอุปกรณ์สำหรับตรวจหาการบุกรุก ( Intrusion Detection System ; IDS ) และระบบป้องกันการบุกรุก ( Intrusion Prevention System ; IPS ) แค่นี้ก็ถือว่าเพียงพอต่อการรับมือแล้ว เนื่องจากภัยคุกคามในยุคก่อนๆ
ยังไม่มีความหลากหลาย ซับซ้อน และมีความแตกต่าง เช่นในยุคปัจจุบันนี้ ซึ่งเป็น ยุคเครือข่ายสังคม
( Social Network ) หรือ ยุคสังคมออนไลน์ ( Social
Media )
ปัจจุบันภัยคุกคามด้านไซเบอร์ มีความหลากหลายรูปแบบ
ทั้งภัยที่มาจากคนใน ( Insider ) และภัยที่มาจากคนนอก ( Outsider ) การโจมตีมีทั้งที่กำหนดเป็นเป้าหมายเฉพาะ
( Targeting ) และไม่กำหนดเป้าหมาย ( Non - Targeting
) กล่าวคือ โจมตีแบบหว่านแห โยนหินถามทางไปเรื่อย
จนกว่าจะพบเป้าหมายที่สำคัญและคุ้มค่าต่อการโจมตี
บางรูปแบบเป็นการฝังตัวเป็นสายลับ ( Spy ) หรือทำประตูลับหรือประตูหลัง
( Back door )
เปิดทิ้งไว้คอยปฏิบัติการล้วงความลับขององค์กร หรือข้อมูลที่มีความสำคัญ
บางรูปแบบสามารถหายตัวหรือล่องหน ( Stealthy )
ยากต่อการตรวจจับได้ บางประเภทมีการแฝงตัว ฝังตัวมาอยู่ในระบบขององค์กรเป็นเวลานานแสนนานไม่รู้ว่าเมื่อไหร่
จนกว่าจะถึงเวลาปฏิบัติการโจมตีที่ได้กำหนดไว้ ( Logic bomb ) จึงจะเริ่มออกฤทธิ์ออกเดชตั้งแต่ ระดับรบกวนการทำงานแบบชิวๆ
ไปจนถึงการทำให้ระบบล่มหรือปิดระบบ ( Shutdown ) ไปเลย บางรูปแบบใช้เป็นพาหะเพื่อแพร่กระจายการโจมตีไปยังที่ต่างๆ
และบางประเภทใช้เป็นฐานการโจมตีแทนตัวการจริง ( BotNet ) จะเห็นได้ว่าลักษณะและรูปแบบการโจมตีในยุคปัจจุบัน
ยิ่งทวีความเข้มข้นมากขึ้น ซับซ้อนซ่อนเงื่อน และมีจำนวนหลากหลาย มากมายจนแทบจะตลอดเวลาทุกวินาที
ดังนั้น การรับมือภัยไซเบอร์ในยุคปัจจุบัน
จึงจำเป็นจะต้องพัฒนารูปแบบให้มีความคล่องตัว เช่นเดียวกับ
การปฏิบัติการตั้งรับในการยุทธ์ทางทหารในยุคสงครามตามแบบโบราณ ที่มักจะนิยมการตั้งรับแบบยึดพื้นที่
คือ การป้องกันและทำลายฝ่ายข้าศึกตรงหน้าแนวตั้งรับ
ไม่ยอมให้ฝ่ายข้าศึกรุกล้ำเข้ามาในพื้นที่ของตน
แต่ในยุคต่อมาได้มีการปรับเปลี่ยนกลยุทธ์การตั้งรับ เป็นการตั้งรับแบบคล่องตัว
กล่าวคือ ยอมเปิดพื้นที่บางส่วนให้ฝ่ายข้าศึกรุกล้ำเข้ามาในพื้นที่สังหาร ( Killing Zone )
แล้วทำการโจมตีในพื้นที่ที่ฝ่ายเรากำหนดไว้ และมีความได้เปรียบต่อฝ่ายข้าศึก ซึ่งหลักการนี้ได้ถูกนำมาประยุกต์ใช้ในวงการรักษาความมั่นคงปลอดภัยด้านไซเบอร์
ของ EMC และ RSA ซึ่งเป็นบริษัทชั้นนำในด้านนี้
โดย ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง
ของ RSA ( RSA Advanced Security Operations
Center ) ที่ตั้งอยู่ที่ Boston USA และ Singapore จะเน้นให้ความสำคัญในด้าน
การลดเวลาในการตรวจจับ ( Decrease Drill Time ) และเพิ่มความเร็วในการตอบสนองให้ทันเวลา ( Speed Response Time ) ซึ่ง EMC และ RSA
ได้ให้ความเห็นว่า ปัจจุบันการรับรู้การถูกโจมตีขององค์กร โดยเฉพาะคนในองค์กรไม่ค่อยจะรู้ตัว
ส่วนใหญ่มักจะได้ข่าวสารมาจากหน่วยงานภายนอก ( Third Parties ) แจ้งเตือนให้ทราบ
กว่า 80 % และการเปรียบเทียบการโจมตีสูงมักจะมีความถี่สูง
แต่เวลาการ
ตอบสนองมักช้ากว่าจะไม่ทันกัน โดยองค์กรส่วนใหญ่ในปัจจุบันจะให้ความสำคัญกับระบบป้องกันถึง
80 % การเฝ้าระวัง 15 % และการตอบสนอง เพียง 5 %
ซึ่งหลักการรักษาความมั่นคงปลอดภัยไซเบอร์ที่ชาญฉลาด
ควรจะให้ความสำคัญทั้ง 3 ด้านอย่างเท่าเทียมกัน คือ การป้องกัน ( Prevention ) 33 % การเฝ้าระวัง ( Monitoring ) 33 % และการตอบสนอง
( Response ) 33 % และในปัจจุบันนี้ ระบบการเก็บไฟล์
Log ประมาณ 1% ที่ช่วยในการตรวจสอบการโจมตี
แต่ 85% ข่าวสารมักได้มาจากหน่วยงานภายนอกที่ช่วยกันตรวจสอบและรายงาน
ดังนั้นจึงควรเน้นแชร์ข้อมูลจากองค์กรภายนอก หรือจากในหลายๆ ประเทศ
และหน่วยงานต่างๆ เพียงแต่การแชร์ต้องพิจารณาเรื่องความไว้วางใจด้วย เพราะระดับทักษะ
และประสบการณ์ ด้านความปลอดภัยแต่ละองค์กรมีความแตกต่างกัน
EMC และ RSA ได้ให้ทัศนะว่า ในยุคปัจจุบัน การโดนลักลอบบุกรุก ( Hack / Crack ) หรือการโจมตีด้วย DDoS หรือ BotNet ไม่ใช่เป็นสิ่งที่น่าละอาย
แต่ที่น่าละอาย คือ หน่วยงานภายนอกมาแจ้งว่าหน่วยเราถูกบุกรุก ( Hack / Crack ) โดยเฉพาะการเปลี่ยนแปลงหน้าเว็บไซต์ขององค์กร ดังนั้น เราจึงต้องระมัดระวัง
ดูแล และช่วยเหลือตัวเองก่อน แล้วค่อยร่วมกับหน่วยงานอื่นๆ กระบวนการรักษาความมั่นคงปลอดภัยด้านไซเบอร์ เปรียบเสมือน การตรวจรักษาสุขภาพร่างกายมนุษย์ ( Cyber Security VS Healthy Medical ) กล่าวคือ เราต้องรีบรู้ตัวก่อนว่ามีอาการอย่างไร
( Monitoring ) แล้วจึงค่อยวิเคราะห์ค้นสาเหตุว่าเกิดจากอะไร
( Analysis ) และมีแนวโน้มว่าจะป่วยเป็นโรคอะไร
ถึงจะก้าวไปสู่ขั้นตอนการให้ยาเพื่อรักษา ( Response )
หลายท่านคงเคยจิตนาการภาพของ
ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ ( Cyber Security Operations Center ;
CSOC ) ขององค์กรชั้นนำต่างๆ ว่าควรจะมีรูปโฉมหน้าตาอลังการงานสร้าง
และมีอุปกรณ์เครื่องไม้
เครื่องมือที่ทันสมัยไฮเทคอัดแน่นเต็มไปหมดทุกตารางนิ้ว
ทำนองเดียวกับภาพของศูนย์ควบคุมบังคับบัญชาและสั่งการทางทหาร ( C4I
) และระบบอุปกรณ์เครื่องมือทุกอย่างจะเป็นระบบอัตโนมัติไปหมด
สามารถใช้เจ้าหน้าที่ควบคุมเพียงไม่กี่คน ทำงานแบบทศกรรณ อะไรทำนองนั้น
ซึ่งเป็นภาพที่แย่มากๆ ในสายตาของความเป็นจริง เพราะระบบอุปกรณ์ เครื่องไม้ เครื่องมือที่ทันสมัยเพียงใด ก็ยังต้องอาศัยหัวคิด และมันสมองของมนุษย์เป็นหลักในการวินิจฉัย กระบวนการวิเคราะห์ และการตัดสินใจ และคนเพียงไม่กี่คน ไม่เพียงพอต่อการรับมือกับภัยคุกคามด้านไซเบอร์ที่มีความหลากหลายรูปแบบ จำนวนปริมาณการโจมตีที่มีความต่อเนื่องตลอดเวลามากมายมหาศาลเกินกว่าจะรับมือได้ทัน ดังนั้นการรับมือที่ชาญฉลาด จึงต้องมีการกำหนดพื้นที่ ( Zoning ) เพื่อเป็นกับดัก ( Tap ) ปล่อยให้มีการรุกล้ำเข้ามาในระบบจะได้มีความสะดวกในการเฝ้าระวังและการควบคุม สำหรับภาพศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ดังกล่าวข้างต้น มักจะส่งผลดีในเชิงจิตวิทยาในด้านภาพลักษณ์ขององค์กร และผลทางด้านการขอสนับสนุนงบประมาณ เพื่อให้เกิดความน่าเชื่อถือในระบบการทำงานทั่วไป
ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง ( Advanced Security Operations Center ;
ASOC ) ที่ Boston USA และ Singapore จะมีรูปลักษณะแบบธรรมดามากๆ มีเพียงอุปกรณ์เครื่องไม้เครื่องมือไม่กี่ชิ้น
ที่สามารถ
เชื่องโยงระบบและข้อมูลต่างๆ เข้าไว้ด้วยกัน จะใช้จอมอนิเตอร์ใหญ่เพียงไม่กี่หน้าจอในการดึงข้อมูลที่สำคัญๆ ก็สามารถเฝ้าระวัง ค้นหา ตรวจสอบ วิเคราะห์ และดำเนินการตอบสนองได้อย่างรวดเร็วทันท่วงที กระบวนการในการรองรับการปฏิบัติงาน จะเน้นต่อเนื่องตลอดเวลา การเฝ้าระวังจะเป็นระบบ 7/24 หรือที่เรียกกันว่าแบบ 7 – Eleven โดยเจ้าหน้าที่ควรจะต้องปฏิบัติงาน 10 คน หมุนเวียนเป็น 3 ผลัด สำหรับเจ้าหน้าที่ในทีมตอบสนองต่อเหตุการณ์ ในห้อง SOC ที่
สำคัญจะมี Tier1 และ Tier2 ซึ่งเป็นส่วนเฝ้าระวังภัยคุกคาม ( Monitoring ) Threat Intelligence Analyst เป็นส่วนวิเคราะห์ข่าวกรองด้านภัยคุกคาม Analysis & Tools Support Analyst เป็นส่วนวิเคราะห์การสนับสนุนเครื่องมือในการวิเคราะห์ และ SOC Manager เป็นส่วนบริหารจัดการ ซึ่งมีหน้าที่บริหารจัดการศูนย์ฯ และประสานกับคนภายนอก ดังมีรายละเอียด ดังนี้
1. เจ้าหน้าที่เฝ้าระวัง ( Monitor
) และการวิเคราะห์เหตุการณ์ที่เกิดขึ้น อย่างน้อยควรมีเจ้าหน้าที่ 2
ส่วน ที่เรียกว่า Tier1 Analyst และ Tier2
Analyst สำหรับเจ้าหน้าที่ในส่วนนี้จะเน้นการเฝ้าระวังและแจ้งเตือนเหตุการณ์ที่ผิดปกติต่างๆ
ในเบื้องต้น
2. เจ้าหน้าที่วิเคราะห์ภัยคุกคาม
( Threat Intelligence Analyst ) และ
เจ้าหน้าที่สนับสนุนการวิเคราะห์ และเครื่องมือวิเคราะห์ ( Analysis & Tools Support Analyst) เจ้าหน้าที่ในส่วนนี้จะได้รับรายงานการเฝ้าระวัง
จาก Tier1 และ 2 มาตรวจสอบและวิเคราะห์ในเชิงลึกถึงภัยคุกคามที่เกิดขึ้นอย่างแท้จริง
3. ผู้บริหารศูนย์เฝ้าระวัง ( SOC
Manager ) มีหน้าที่สั่งการแก้ไขปัญหาที่เกิดขึ้น
อาจจะเป็นการแจ้งเตือนในองค์กร หรือการประสานกับคนภายนอก หรือหน่วยงานภายนอก
เพื่อแก้ไขปัญหาที่เกิดขึ้น
การปฏิบัติการด้านความปลอดภัยและตอบสนองเหตุการณ์เบื้องต้น
การเพิ่ม ย้าย และเปลี่ยนแปลง ในปัญหาที่เกิดขึ้น เช่น การเพิ่มกฎของ Firewall ขึ้น , การย้าย Port
, การเปลี่ยนแปลง Configuration ต่างๆ
เป็นต้น
นอกจากนั้นควรจะมีการเปลี่ยนรหัสผ่านในเครื่องที่เกิดปัญหา
การออกหนังสือรับรองความปลอดภัยหลังจากแก้ไขปัญหาแล้ว การตรวจสอบอุปกรณ์ต่างๆ
ให้ใช้งานได้ตามปกติ การปรับปรุงค่าพื้นฐานอยู่สม่ำเสมอ ( Configurations )
การควบคุมการเข้าถึงสิทธิ์ ( Acquisition )
และตลอดจนการควบคุมการปฏิบัติการป้องกันต่างๆ ให้เป็นไปตามระเบียบความปลอดภัย
ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง ( Advanced Security Operations Center ;
ASOC ) ของ EMC และ RSA ที่ Boston USA และ Singapore มีมุมมอง ( Visibility ) ที่ชัดเจนของ RSA Solution ที่นำมาใช้
ประกอบด้วย PLEN ( Packets , Logs, Endpoints, Netflow
) โดยเน้นการจับวิเคราะห์ข้อมูลใน Packet ต่างๆ
ให้ได้โดยตรง การวิเคราะห์ข้อมูลการจราจรทางคอมพิวเตอร์ ( Logs ) ในส่วนเครื่องผู้ใช้งานต่างๆ (
Endpoints) มีให้เลือกแบบลง Agent หรืออาจจะ Deploy
Agent ในภายหลังเมื่อต้องการตรวจสอบ เพื่อประหยัด License นอกจากนั้น การควบคุมเครือข่ายต่างๆ ( Netflow ) ได้ทั้งหมด
ซึ่งจะช่วยในการสอบสวนลงในข้อมูลที่เกิดขึ้นได้
RSA Solution ดังกล่าว จะมีความเข้าใจในทุกๆ
เรื่อง ทั้งด้านการวิเคราะห์ เทียบเคียงจนถึงจุดสิ้นสุด
การสอบสวนเหตุการณ์ที่เกิดขึ้น สามารถทำงานได้รวดเร็วในด้านการปฏิบัติ
การสอบสวนที่เป็นอันหนึ่งอันเดียวกัน และมีการบูรณาการร่วมกัน
RSA Security Analytics ประกอบด้วย
3 ด้าน คือ ด้าน Visibility ด้าน Analysis และด้าน Action
เฉพาะด้าน Visibility จะมี RSA ECAT สำหรับควบคุมระบบฯ และ RSA Security Operation Management
ใช้สำหรับการวัด KPI ของระบบในภาพรวม ระบบ CMDB ( Configuration Management Database
) เป็นฐานข้อมูลหลักในการบันทึกค่า Configuration ต่างๆ เพื่อการกู้คืนระบบ
สำหรับข้อมูลต่างๆ ที่นำมาวิเคราะห์ หรือรวบรวมมาจาก Source ต่างๆ จะถูกเก็บไว้ด้วยระบบ Big data warehouse ซึ่งช่วยได้ในด้านข้อมูล
การวิเคราะห์ข้อมูล เป็นเทคโนโลยีที่มีความทันสมัย ก้าวไกล
และเป็นการตอบสนองต่อการบริการที่เน้นด้านป้องกันทาง Cyber ขั้นสูง
( Advance Cyber Defense Services )
ดังนั้น จุดเริ่มต้นของการทำงานของหน่วยงานด้านไซเบอร์
ควรจะเริ่มต้นด้วย การจัดตั้งทีมสำหรับการตอบสนองต่อเหตุการณ์ ( Cyber Emergency Response Team ; CERT ) ซึ่งเป็นทีมที่มีการเตรียมความพร้อมอยู่ตลอดเวลา มีการตอบสนองอย่างรวดเร็ว และมีความยืดหยุ่นในการปฏิบัติงาน
สิ่งสำคัญของทีม คือ การให้การฝึกศึกษาอย่างต่อเนื่องยั่งยืน
เพื่อก้าวเข้าสู่การป้องกันทาง Cyber ในชั้นสูงต่อไป สำหรับแนวทางการแก้ปัญหา
( Solution ) และเทคโนโลยี ( Technology ) ที่จะพิจารณานำมาใช้ในองค์กร จะต้องมีประสิทธิภาพ มีความเหมาะสม และสามารถรองรับภัยคุกคามในอนาคตได้
ขอขอบคุณ
EMC และ RSA
ที่กรุณาให้การต้อนรับ คณะเจ้าหน้าที่ ศูนย์เทคโนโลยีทางทหารจาก กองทัพบก โดยจัดการบรรยายสรุปจากผู้เชี่ยวชาญ และนำชมการสาธิตการปฏิบัติงานของ ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นสูง (Advanced Security Operations Center ; ASOC ) ที่สิงคโปร์ ระหว่าง 6 – 7 พฤศจิกายน 2557 มา ณ ที่นี้