หลังจากคำศัพท์ DevOps เกิดขึ้น ก็ได้มีคำประดิษฐ์ใหม่มากมายซึ่งมีแนวคิดคล้ายกัน ที่ว่าด้วยเรื่องของการผสานหน้าที่ต่างๆเข้าไว้ด้วยกัน เนื่องสถานการณ์ของเทคโนโลยีที่ซับซ้อนทำให้ผู้ดูแลระบบไอทีต้องรับผิดชอบงานหลายอย่าง NetSecOps เองก็เป็นหนึ่งในนั้นที่ว่าด้วยหน้าที่ของ Network และ Security Operation ที่ถูกรวบเข้าด้วยกัน ซึ่งในวันนี้เราขอนำเสนอ 6 แนวทางปฏิบัติที่ NetSecOps ควรรู้
1.) มีระบบติดตามอย่างต่อเนื่อง
เราทราบดีกันอยู่แล้วว่าผู้ดูแลระบบมักมีเครื่องมือมอนิเตอร์เครือข่าย แต่เมื่อพูดถึงบริบทของ Network และ Security ขอบเขตการดูแลย่อมกว้างกว่าเดิม ดังนั้นผู้ดูแลจะต้องมีเครื่องมือที่ครอบคลุมในหัวข้อต่างๆที่สำคัญคือต้องเหมาะสมจำเป็นกับทีมอย่างแท้จริง เช่น IDS/IPS, NMAP, PingSafe, Datadog, SolarWinds, SIEM และอื่นๆ โดยจะเห็นได้ว่าบางเครื่องมืออาจจะมีฟังก์ชันครอบคลุมหลายมุมมองในตัวเดียว ต่อยอดไปถึงการวิเคราะห์ด้านความมั่นคงปลอดภัยได้ แต่ไม่ว่าจะอย่างไรวิธีการปฏิบัติงานก็ควรจะเกิดขึ้นได้แบบอัตโนมัติเพื่อเพิ่มประสิทธิภาพในการทำงาน และเครื่องมือควรมีเทคโนโลยี AI ภายในด้วยเพื่อลดขั้นตอนและเพิ่มความคล่องตัวมากยิ่งขึ้น
2.) ผสานพลังของ Threat Intelligence
ภัยคุกคามเป็นเรื่องที่เกิดขึ้นใหม่ทุกวินาที ซึ่งปัจจุบันมีผู้ให้บริการมากมายที่นำเสนอเรื่อง Threat Intelligence และเป็นเรื่องธรรมดาที่ Vendor ด้านความมั่นคงปลอดภัยมักจะมีทีม Threat Intelligence ของตนเองด้วย อย่างไรก็ดีผู้ปฏิบัติงานควรผสานพลังของ Threat Intelligence เหล่านี้เข้ามาให้ได้ แต่ก่อนอื่นจะต้องวางแผนเป้าหมายที่สอดคล้องกับธุรกิจก่อนว่าเหมาะสมกับ Threat Intelligence แบบรูปแบบใด ต่อจากนั้นก็ผนวกความสามารถเข้าสู่ SIEM หรือ SOAR หรือเครื่องมืออื่นๆ พร้อมทั้งมีการพัฒนา Playbook เพื่อตอบสนองเหตุการณ์อย่างเหมาะสมร่วมด้วย
3.) ตอบสนองอย่างอัตโนมัติ
เหตุการณ์ไม่คาดฝันนั้นเกิดขึ้นได้เสมอ ประเด็นคือท่านจะโต้ตอบอย่างไรคือหนึ่งในกลยุทธ์ที่จะช่วยบรรเทาความรุนแรงได้ ซึ่งหัวใจสำคัญของความรวดเร็วนั้นคือความเป็นอัตโนมัติ ที่ขั้นแรกจะต้องเริ่มต้นด้วยการกำหนดแผนตอบสนองที่ชัดเจน พร้อมจัดลำดับความสำคัญของเหตุ incident ว่าหากเกิดขึ้นจริงจะทำสิ่งใดก่อนหลัง รวมถึงมีการศึกษานำข้อมูลด้านความมั่นคงปลอดภัยมาใช้ เช่น Indicator of compromise เป็นต้น เพื่อเพิ่มความแม่นยำในการตรวจสอบ สุดท้ายคือต้องสร้างทักษะให้แก่ทีมงานมีความรู้ความเข้าใจถึงการรับมือ
4.) ทำงานร่วมกันกับทีมอื่นได้
ในการจัดการรับมือกับปัญหามักต้องมีการสื่อสารและประสานงานระหว่างหลายฝ่าย นั่นทำให้องค์กรควรกำหนดหน้าที่ปฏิบัติงานให้ชัดเจนในแต่ละทีมจะได้รู้ว่าเมื่อถึงงานจริงใครต้องทำเรื่องอะไร นอกจากนี้ควรต้องมีช่องทางการสื่อสารและอัปเดตกันอยู่เสมอเช่น มีการประชุมผ่านโปรแกรมองค์กรต่างๆอย่าง Zoom, WebEx, Teams และอื่นๆ ที่สำคัญคือต้องมีเกณฑ์ชี้วัดถึงประสิทธิภาพของทีมด้วยเพื่อจะได้รู้ว่ายังบกพร่องส่วนไหนและพัฒนาอะไรเพิ่มเติม เช่น ความสำเร็จในการแก้ปัญหา หรือ ประสิทธิภาพของการสื่อสาร เป็นต้น
5.) สร้างขั้นตอนการทำ incident response อย่างครอบคลุม
คงจะวุ่นวายหน้าดูเมื่อถึงเหตุการฉุกเฉินแล้วผู้ปฏิบัติงานไม่รู้ว่าตนควรเริ่มทำอะไรก่อน ติดต่อใคร ด้วยเหตุนี้เององค์กรควรต้องมีการกำหนดโปรโตคอลการปฏิบัติตนสำหรับรับมือเหตุการณ์ฉุกเฉินที่ชัดเจน มีการมอบหมายหน้าที่ความรับผิดชอบอย่างชัดเจน ที่สำคัญคือจงจำไว้เสมอว่าความมั่นคงปลอดภัยเป็นหน้าที่ของทุกคน เมื่อมีแผนแล้วจะต้องมีการจำลองสถานการณ์และฝึกซ้อมแผนเป็นระยะๆด้วย อย่างไรก็ดีพนักงานทุกคนจะต้องได้รับการอบรบให้ตระหนักถึงความมั่นคงปลอดภัยและรู้จักสังเกตภัยคุกคามเพื่อเป็นหูเป็นตาให้แก่องค์กรไม่ให้หลงเชื่อหรือตกเป็นเหยื่อโดยง่าย
6.) พัฒนาทักษะของทีม
เทคโนโลยีไม่เคยหยุดนิ่ง แต่เมื่อมีเทคโนโลยีใหม่ภัยใหม่ก็ตามมา ด้วยเหตุนี้เองการเพิ่มพูนความรู้สร้างทักษะและความเข้าใจในเทคโนโลยีจึงเป็นเกราะป้องกันชั้นดีที่ NetSecOps พึงมี โดยจะต้องเริ่มจากการสร้างวัฒนธรรมในการเรียนรู้อย่างต่อเนื่อง จัดแบ่งเวลาสำหรับการเรียนรู้ ต้องฝึกฝนในการสื่อสารและทำงานเป็นทีม ตลอดจนควรประยุกต์ใช้ระบบอัตโนมัติ ซึ่งนอกจากเรื่องของพื้นฐานด้านเครือข่ายและความมั่นคงปลอดภัยแล้ว การใช้สคิร์ปต์เพื่อจัดการงานซ้ำๆเดิมๆ เช่น Python หรือการใช้งานคลาวด์อย่างมั่นคงปลอดภัยด้วยระลึกเสมอว่าความมั่นคงปลอดภัยเป็นหน้าที่ของท่านเองมิใช้ผู้ให้บริการ
ที่มา : https://www.techtarget.com/searchnetworking/tip/NetSecOps-best-practices-for-network-engineers