Log Management and SIEM

Daimler ผู้ผลิตยานยนต์จากเยอรมนี ได้ประกาศเปลี่ยนจากระบบ SIEM เดิมที่มีอยู่ หันมาใช้ Splunk Enterprise และ Splunk Enterprise Security (ES) แทน เพื่อตอบโจทย์ด้านการเสริม Security ภายในองค์กรทุกด้านด้วยการทำ Security Analytics

Security Information and Event Management หรือ SIEM นั้นถือเป็นหนึ่งในเทคโนโลยีที่ทุกๆ องค์กรต้องมีในปัจจุบันเพื่อใช้รับมือกับภัยคุกคามต่างๆ ที่อาจเกิดขึ้นได้ภายในองค์กร และในปี 2017 – 2018 นี้เทคโนโลยีใหม่ๆ ทางด้าน Security ก็เปิดขึ้นมามากมาย ทาง Splunk จึงได้ทำการออก SIEM Buyer’s Guide หรือคู่มือการเลือกพิจารณาระบบ SIEM เพื่อให้ทุกท่านได้นำไปศึกษาก่อนการตัดสินใจลงทุนกันได้ฟรีๆ ดังนี้ครับ

ในปี 2018 นี้ถือเป็นหนึ่งในปีที่เทคโนโลยีใหม่ๆ จะมาแรงและน่าสนใจยิ่งกว่าปีที่ผ่านๆ มาในอดีตเป็นอย่างมาก โดยทาง Splunk ได้ออกรายงาน Splunk 2018 Predictions เพื่อทำนายประเด็นต่างๆ ทางด้าน AI, IT Operations, IoT และ DevSecOps ที่น่าจับตามองเอาไว้ดังนี้

SolarWinds ได้ประกาศเข้าซื้อกิจการของ Loggly ผู้ให้บริการด้าน Cloud Log Monitoring & Analytics แล้วอย่างเป็นทางการ เพื่อนำบริการดังกล่าวมาเสริมให้กับเหล่าลูกค้าของ SolarWinds ขยายทัพฝั่ง Cloud IT Management ของตนเองให้แข็งแกร่งยิ่งขึ้น

การประเมินทรัพย์สินจำพวกอุปกรณ์ ฮาร์ดแวร์ ซอฟต์แวร์ เป็นสิ่งที่ควรจะกระทำให้องค์กรอย่างสม่ำเสมอ ซึ่งบางองค์กรกลับมองข้ามและหลายแห่งยกหน้าที่นี้ให้เป็นของทีม IT อย่างไรก็ตามขั้นตอนเหล่านี้มีผลต่อความมั่นคงปลอดภัยด้านไซเบอร์ด้วย วันนี้เราจึงหยิบยกบทความที่กล่าวถึงเหตุผลว่าทำไมการประเมินทรัพย์สินในองค์กรจึงถือเป็นความรับผิดชอบของทีมงานด้านความมั่นคงปลอดภัยไซเบอร์ด้วยเช่นกัน เหมือนที่ซุนวูกล่าวไว้ว่า “รู้เขารู้เรารบร้อยครั้งย่อมชนะร้อยครั้ง“

การที่องค์กรสนใจป้องกันหรือตรวจจับภัยคุกคาม เช่น การอัปเดตแพทซ์ จำกัดสิทธิ์การใช้งานของผู้ใช้ เสริมความแข็งแกร่งด้านความมั่นคงปลอดภัยให้อุปกรณ์ Endpoint หรือ ทำการสำรองข้อมูล พื้นฐานเหล่านี้เป็นสิ่งจำเป็น อย่างไรก็ดีองค์กรมักมองข้ามความสำคัญของการวิเคราะห์ข้อมูลในเครือข่ายเพื่อเข้าใจถึงการใช้งานในยามปกติ หรือการเก็บหลักฐานหลังถูกโจมตีซึ่งจะทำให้เราเข้าใจภาพของการโจมตีและเสริมความมั่นคงปลอดภัยจากจุดอ่อนที่เป็นสาเหตุเหล่านั้นเพื่อป้องกันไม่ให้เกิดเหตุการณ์ซ้ำอีกในอนาคต ดังนั้นเราจึงได้สรุปบทความที่กล่าวถึงประโยชน์ของขั้นตอนเหล่านี้มาให้ได้ติดตามกัน

Gartner, Inc บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกคำพยากรณ์แนวโน้มด้านความมั่นคงปลอดภัยในปี 2018 ชี้งบลงทุนอาจเพิ่มสูงขึ้นถึง $96,300 ล้าน (ประมาณ 3 ล้านล้านบาท) มากกว่าปี 2017 ถึง 8% ซึ่งเป็นผลสืบเนื่องมาจากกฎระเบียบที่ออกมาบังคับใช้มากขึ้น การเปลี่ยนแปลงแนวคิดการลงทุน รวมไปถึงความตระหนักด้านภัยคุกคามรูปแบบใหม่ และการเปลี่ยนไปของกลยุทธ์เชิงธุรกิจดิจิทัล

ที่ผ่านมานั้นระบบ SIEM ได้รับความนิยมสูงและเข้ามาเติมเต็มระบบ Log Management อยู่ระยะหนึ่ง แต่ในช่วงไม่กี่ปีที่ผ่านมานี้ ด้วยปริมาณข้อมูล Log ภายในองค์กรที่เติบโตอย่างรวดเร็ว ทำให้ SIEM ที่มักมีค่าใช้จ่ายสูงขึ้นตามปริมาณข้อมูลไม่สามารถตอบโจทย์ให้กับเหล่าองค์กรได้อีกต่อไป การนำ Log Management มาใช้ร่วมกับเครื่องมือต่างๆ ในการทำ Threat Detection และ Incident Response เพิ่มเติมจึงกลายมาเป็นอีกทางเลือกหนึ่งที่น่าสนใจ Softnix ในฐานะของผู้ผลิตระบบ Log Management และมีประสบการณ์มาอย่างยาวนาน จึงได้ทำการศึกษาแนวทางเหล่านี้และนำมาสรุปให้ผู้อ่านทุกท่านได้นำไปประยุกต์ใช้กันดังนี้

การนำ Data Analytics และ Machine Learning มาใช้ในเชิง IT Security นั้นเริ่มกลายเป็นกรณีการใช้งานที่เกิดขึ้นจริงอย่างหลากหลายในแต่ละองค์กรแล้ว และในงาน CDID 2017 นี้ ทาง STelligence ก็ได้นำเทคโนโลยีทั้งสองมาประยุกต์ใช้งานทางด้าน IT Security ให้ทุกท่านได้ลองสัมผัสและใช้งานจริงแล้ว

แฮ็กเกอร์ในปัจจุบันต่างสรรหาเทคนิคและพัฒนาการโจมตีไซเบอร์ให้ทวีความแยบยลและรุนแรงขึ้นเรื่อยๆ การป้องกันเพียงอย่างเดียวไม่สามารถปกป้ององค์กรจากภัยคุกคามระดับสูงได้อีกต่อไป องค์กรจำเป็นต้องมีกระบวนการในการรับมือกับสถานการณ์ที่ผิดปกติเมื่อภัยคุกคามเหล่านั้นหลุดเข้ามาได้ ยิ่งองค์กรสามารถตอบสนองต่อภัยคุกคามได้เร็วเท่าไหร่ ยิ่งช่วยให้สามารถกักกันความเสียหายและฟื้นฟูระบบให้กลับมาใช้งานตามปกติได้เร็วมากเท่านั้น

ในปี 2560 ที่ผ่านมานี้ ได้มีการประกาศ พ.ร.บ. คอมพิวเตอร์ 2560 ฉบับใหม่ ที่จะทำให้เหล่าผู้ให้บริการ Internet และองค์กรต่างๆ ทั้งภาครัฐและเอกชนต้องมีการปรับตัวด้านการจัดเก็บข้อมูล Logs ภายในองค์กร ทาง Softnix ในฐานะผู้เชี่ยวชาญและพัฒนาเทคโนโลยีเพื่อตอบสนองต่อข้อกฎหมายและการใช้งานขององค์กรโดยเฉพาะ จึงได้จัดทำ Whitepaper ขึ้นมาเพื่อให้เหล่าองค์กรในไทยได้นำไปศึกษากันได้ฟรีๆ ดังนี้

Yip In Tsoi Distributor Business Unit ผู้ให้บริการโซลูชัน IT ระดับ Enterprise-class ชั้นนำของไทย จับมือเป็นพันธมิตรกับ FireEye ผู้ให้บริการโซลูชัน Threat Intelligence ชั้นนำระดับโลก พร้อมให้คำปรึกษาและสนับสนุนทุกอุตสาหกรรมด้านความมั่นคงปลอดภัยไซเบอร์ในยุค Thailand 4.0

ภายในงาน RSA Conference APAC 2017 ที่เพิ่งจัดไปเมื่อเดือนก่อน ทีมงาน TechTalkThai ได้มีโอกาสได้ไปเข้าร่วมและเยี่ยมชมศูนย์ SOC ของ Temasek Polytechnic หนึ่งในสถาบันสอนวิชาชีพชั้นนำของสิงค์โปร์ ซึ่งให้นักศึกษาระดับอุดมศึกษาเป็นผู้ดูแลศูนย์ SOC ภายใต้การแนะนำและควบคุมดูแลของผู้เชี่ยวชาญ เพื่อเตรียมพัฒนาบุคลากรทางด้านความมั่นคงปลอดภัยไซเบอร์เพื่อป้อนเข้าสู่ตลาดในอนาคต บทความนี้เลยมาจะมาแชร์ให้ได้อ่านกันครับว่า เขาทำได้อย่างไร และนักศึกษาเหล่านั้นช่วยดูแลศูนย์ SOC อย่างไร

ACER ประเทศไทย ผู้ให้บริการระบบคอมพิวเตอร์สำหรับองค์กรชื่อดัง ออกโปรโมชันใหม่สำหรับ ACER SAFE3.0 ระบบจัดเก็บและวิเคราะห์ Log แบบรวมศูนย์ สำหรับบริษัท Startup และ SMB โดยเฉพาะ ชูจุดเด่นด้านความง่ายของการบริหารจัดการ รองรับการเก็บ Log จากอุปกรณ์และระบบงานที่หลากหลาย และแสดงผลผ่านหน้าเว็บในรูปแบบที่เข้าใจง่ายได้ ช่วยให้บริษัทหรือหน่วยงานที่มีบุคลากรด้าน IT จำกัดก็สามารถใช้งานได้อย่างไร้กังวล

Gartner, Inc บริษัทวิจัยและให้คำปรึกษาชื่อดังของสหรัฐฯ ออกมาพยากรณ์ถึงแนวโน้มด้านความมั่นคงปลอดภัยสารสนเทศ ระบุว่า ในปี 2017 นี้ ทั่วโลกจะลงทุนเพิ่มขึ้นจากเดิมถึง 7% ซึ่งคิดเป็นจำนวนเงินสูงถึง $86,400 ล้าน หรือประมาณ 2.9 ล้านล้านบาท และจะแตะถึงระ $93,000 ล้านในปีหน้า

Network Computing ได้ออกมาสรุปถึง 7 สิ่งที่จะเกิดขึ้นหลังจากเกิดการนำระบบ Artificial Intelligence (AI) เข้ามาใช้งานภายในองค์กรและ Data Center ซึ่งเหล่า IT Manager ต้องเตรียมวางแผนรับมือให้ดี ดังต่อไปนี้

McAfee ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยแบบครบวงจร ออกมาให้คำแนะนำถึงการออกแบบระบบรักษาความมั่นคงปลอดภัยขององค์กร โดยเฉพาะศูนย์ SOC (Security Operation Center) แนะการใช้เทคโนโลยีที่ดีที่สุดอาจเป็นเรื่องดี แต่ไม่ได้ทำให้ระบบมีความมั่นคงปลอดภัยสูงสุด สิ่งสำคัญคือการมีระบบรักษาความมั่นคงปลอดภัยแบบบูรณาการที่สามารถแชร์ Intelligence ระหว่างกันได้

ACER ประเทศไทย ผู้ให้บริการระบบคอมพิวเตอร์สำหรับองค์กรชื่อดัง เปิดตัว ACER SAFE3.0 ระบบจัดเก็บและวิเคราะห์ Log แบบรวมศูนย์ สำหรับธุรกิจระดับ Enterprise และ SME โดยเฉพาะ ชูจุดเด่นด้านความง่ายของการบริหารจัดการในราคาย่อมเยาว์ รองรับการจัดเก็บบันทึกหลักฐาน (Log) จากอุปกรณ์และระบบงานที่หลากหลาย พร้อมแสดงผลผ่านหน้าเว็บที่ง่ายต่อการใช้งาน ไม่ต้องมานั่งจดจำคำสั่งบน CLI ให้วุ่นวาย ทำให้บริษัทหรือหน่วยงานที่มีบุคลากรด้าน IT จำกัดก็สามารถใช้งานได้อย่างไร้กังวล ที่สำคัญคือตอบโจทย์การปฏิบัติงานตาม พรบ. คอมพิวเตอร์ฯ ฉบับปี 2560 ที่เพิ่งประกาศใช้งานไป

    Cisco และ IBM Security สองยักษ์ใหญ่วงการ IT ลงนามจับมือร่วมกันในการผสานโซลูชันและบริการด้านความมั่นคงปลอดภัยของทั้งสองฝั่งเข้าด้วยกัน รวมไปถึงระบบ Threat Intelligence เพื่อให้พร้อมรับมือกับภัยคุกคามสมัยใหม่ และเสริมความแข็งแกร่งให้กับลูกค้าที่ใช้ระบบของ Cisco และ IBM Security มากยิ่งขึ้น

พร้อมตรวจจับและตอบสนองต่อภัยคุกคามในยุคที่ “การป้องกัน” ไม่ใช่หนทางที่ดีที่สุดอีกต่อไป หลายองค์กรในปัจจุบันยังคงยึดติดกับกลยุทธ์การป้องกันภัยคุกคามไซเบอร์แบบเก่า คือ เน้นที่การป้องกันภัยคุกคามภายนอกไม่ให้เข้ามาทำอันตรายระบบเครือข่ายภายในองค์กร อย่างไรก็ตาม ภัยคุกคามไซเบอร์นับวันยิ่งพัฒนาไปไกล ไม่ว่าจะเป็น Advanced Threats หรือ Zero-day Attacks ซึ่งมีเทคนิคในการซ่อนตัว แทรกซึม และหลบหลีกการตรวจจับ ทำให้สุดท้ายก็สามารถเล็ดรอดเข้ามาสร้างความเสียหายแก่ระบบได้