ภายในงาน RSA Conference APAC 2017 ที่เพิ่งจัดไปเมื่อเดือนก่อน ทีมงาน TechTalkThai ได้มีโอกาสได้ไปเข้าร่วมและเยี่ยมชมศูนย์ SOC ของ Temasek Polytechnic หนึ่งในสถาบันสอนวิชาชีพชั้นนำของสิงค์โปร์ ซึ่งให้นักศึกษาระดับอุดมศึกษาเป็นผู้ดูแลศูนย์ SOC ภายใต้การแนะนำและควบคุมดูแลของผู้เชี่ยวชาญ เพื่อเตรียมพัฒนาบุคลากรทางด้านความมั่นคงปลอดภัยไซเบอร์เพื่อป้อนเข้าสู่ตลาดในอนาคต บทความนี้เลยมาจะมาแชร์ให้ได้อ่านกันครับว่า เขาทำได้อย่างไร และนักศึกษาเหล่านั้นช่วยดูแลศูนย์ SOC อย่างไร
ทำความรู้จักกับ Temasek Polytechnic ก่อนเล็กน้อย
Temasek Polytechnic เป็นสถาบันสอนวิชาชีพระดับอุดมศึกษาที่จัดตั้งและได้รับการสนับสนุนทางด้านการเงินจากรัฐบาลสิงคโปร์ อาจเทียบได้กับ Institute of Technology อย่างที่หลายคนเคยได้ยิน ก่อตั้งเมื่อปี 1990 ปัจจุบันนี้เปิดสอนหลักสูตรสายวิชาชีพขั้นสูงและปริญญามากถึง 46 หลักสูตร ภายใต้ 6 คณะ และมีนักศึกษามากกว่า 15,000 คน โดยหลักสูตรสำหรับดูแลศูนย์ SOC นี้อยู่ภายใต้การดูแลของ School of Informatics & IT
แนะนำศูนย์ SOC ของ Temasek Polytechic
ศูนย์ปฏิบัติการด้านความมั่นคงปลอดภัย (Security Operation Center: SOC) ของ Temasek Polytechnic อยู่ภายใต้การดูแลของ School of Informatics & IT โดยถูกสร้างขึ้นเพื่อเฝ้าระวังและตอบสนองต่อภัยคุกคามไซเบอร์ที่เกิดขึ้นบนระบบเครือข่ายทั้งหมดของสถาบัน ครอบคลุมอุปกรณ์รวมแล้วมากกว่า 20,000 เครื่อง มีนักศึกษา อาจารย์ และผู้เชี่ยวชาญคอยดูแลตลอดเวลาแบบ 7/24 นอกจากนี้ระบบของศูนย์ SOC ของ Temasek Polytechnic ยังเชื่อมต่อกับศูนย์รักษาความมั่นคงปลอดภัยแห่งชาติ (National Cyber Security Center: NCSC) ของสิงคโปร์ภายใต้การกำกับดูแลของรัฐบาลอีกด้วย เพื่อให้มั่นใจว่าระบบของสถาบันจะมีความมั่นคงปลอดภัย และมีการอัปเดตข้อมูลภัยคุกคามรูปแบบใหม่ๆ ที่พบในสิงคโปร์อยู่ตลอดเวลา
ในแต่ละวัน ศูนย์ SOC ของ Temasek Polytechnic ต้องทำการวิเคราะห์ข้อมูล Log จากอุปกรณ์ปลายทาง และ Packet ของทราฟฟิกที่วิ่งไปมาบนระบบเครือข่าย รวมแล้วมากกว่า 10,000 เหตุการณ์ ซึ่งประมาณ 40 – 50 เหตุการณ์เหล่านั้นเป็น เหตุการณ์ผิดปกติ (Security Incident) ที่จำเป็นต้องได้รับการพิจารณาและแก้ไข นอกจากนี้ ข้อมูล Log ทั้งหมดจะถูกจัดเก็บเป็นเวลา 5 ปีเพื่อใช้เป็นหลักฐาน รวมไปถึงทำ Data Analytics เพื่อพิจารณาถึงแนวโน้มและวางแผนรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยที่อาจเกิดขึ้นในอนาคต
บริหารจัดการและดูแลโดยนักศึกษา
ศูนย์ SOC ของ Temasek Polytechnic อยู่ภายใต้การดูแลของนักศึกษาชั้นเป็นหลัก (Tier 1) โดยมีอาจารย์และผู้เชี่ยวชาญคอยให้คำแนะนำ และรับมือกับเหตุการณ์ผิดปกติกรณีที่นักศึกษาไม่สามารถแก้ไขปัญหาได้ (Tier 2) ซึ่งการดูแลศูนย์ SOC นี้เป็นหลักสูตรวิชาเลือกระยะเวลา 20 สัปดาห์ของนักศึกษาระดับชั้นปีที่ 3 และ 4 ที่ต้องการฝึกทักษะทางด้านความมั่นคงปลอดภัยไซเบอร์จากสถานการณ์จริง
การดูแลศูนย์ SOC ของนักศึกษาใช้หลักการเดียวกับการดูแลศูนย์ SOC จริงขององค์กรขนาดใหญ่ โดยต้องเฝ้าระวังภัยคุกคามตลอด 7 วัน 24 ชั่วโมง ซึ่งการทำงานจะถูกแบ่งออกเป็น 2 กะ คือกลางวันและกลางคืน หน้าที่หลักของนักศึกษาคือการคัดกรองเหตุการณ์ที่ผิดปกติ (Incident) ออกจากเหตุการณ์ด้านความมั่นคงปลอดภัยที่เกิดขึ้นทั้งหมด เช่น การโจมตีแบบ SQL Injection, Brute Force หรือ Drive-by Download เป็นต้น รวมไปถึงจำแนกประเภทของเหตุการณ์ที่ผิดปกติเหล่านั้นตามกลุ่มต่างๆ ได้แก่ เหตุการณ์ใหม่ เหตุการณ์ที่เคยประสบมาก่อน หรือเหตุการณ์ที่เป็น False Positive เพื่อจัดทำเป็นรายงานสรุปให้แก่ผู้ที่เกี่ยวข้องในแต่ละวันหรือสัปดาห์ ที่สำคัญคือต้องแจ้งเตือนและให้คำแนะนำแก่ผู้ที่ได้รับผลกระทบต่อเหตุการณ์ที่เกิดขึ้นด้วย
นอกจากนี้ ยังมีการตั้ง KPI ในการชี้วัดนักศึกษาแต่ละคน เช่น ต้องจัดการกับเหตุการณ์ผิดปกติให้แล้วเสร็จภายใน 90 นาที สำหรับเหตุการณ์ที่วิเคราะห์แล้วว่ามีความรุนแรงระดับต่ำหรือระดับทั่วไป แล้วต้องดำเนินการภายใน 30 นาทีสำหรับความรุนแรงระดับสูง เป็นต้น ในกรณีที่ไม่สามารถแก้ปัญหาได้ นักศึกษาสามารถส่งเรื่องต่อไปยังผู้รับผิดชอบในระดับถัดไป (Tier 2) ซึ่งเป็นผู้เชี่ยวชาญด้านการดูแลศูนย์ SOC ให้ทำการวิเคราะห์และตอบสนองต่อเหตุการณ์ที่เกิดขึ้นแทน และในกรณีที่ต้องเจอกับภัยคุกคามระดับชาติหรือ State-sponsored Attacks ศูนย์รักษาความมั่นคงปลอดภัยแห่งชาติของสิงคโปร์ก็พร้อมที่จะเข้ามาช่วยเหลือและรับมือกับภัยคุกคามแทน
สนับสนุนโดยเทคโนโลยีจาก RSA
เพื่อสนับสนุนการดูแลศูนย์ SOC ของนักศึกษา RSA ผู้นำด้านโซลูชันสำหรับศูนย์ SOC ได้ร่วมมือกับ Temasek Polytechnic ในการสนับสนุนเทคโนโลยีและการออกแบบกระบวนการต่างๆ โดยระบบหลักที่ใช้ในการวิเคราะห์ภัยคุกคามและทำ Incident Reaponse คือ RSA NetWitness Suite ซึ่งให้บริการครอบคลุมทั้ง Advanced Threat Protection, Network Monitoring & Forensics, Security & Behavioral Analytics, Cyber Incident Management & Security Operations และ SIEM ส่งผลให้นักศึกษาและผู้ดูแลศูนย์ SOC สามารถปฏิบัติการได้อย่างรวดเร็วและเป็นระบบ พร้อมต่อการนำความรู้และประสบการณ์ที่ได้ไปประกอบอาชีพในอนาคต
ด้านล่างเป็นวิดีโอแนะนำศูนย์ SOC ของ Temasek Polytechnic
ก็หวังว่าเมืองไทยของเราจะได้เห็นความร่วมมือกันระหว่างมหาวิทยาลัย หน่วยงานรัฐ และ Vendor เพื่อสร้างศูนย์ SOC สำหรับใช้ฝึกฝนนักศึกษาให้มีความรู้และทักษะสำหรับป้อนเข้าสู่ตลาดในยุคที่บุคลากรทางด้านความมั่นคงปลอดภัยไซเบอร์กำลังขาดแคลนอย่างในปัจจุบันนะครับ