CDIC 2023

ตะลุยศูนย์ SOC ของ Temasek Polytechnic ที่นี่ใช้นักศึกษาดูแล

ภายในงาน RSA Conference APAC 2017 ที่เพิ่งจัดไปเมื่อเดือนก่อน ทีมงาน TechTalkThai ได้มีโอกาสได้ไปเข้าร่วมและเยี่ยมชมศูนย์ SOC ของ Temasek Polytechnic หนึ่งในสถาบันสอนวิชาชีพชั้นนำของสิงค์โปร์ ซึ่งให้นักศึกษาระดับอุดมศึกษาเป็นผู้ดูแลศูนย์ SOC ภายใต้การแนะนำและควบคุมดูแลของผู้เชี่ยวชาญ เพื่อเตรียมพัฒนาบุคลากรทางด้านความมั่นคงปลอดภัยไซเบอร์เพื่อป้อนเข้าสู่ตลาดในอนาคต บทความนี้เลยมาจะมาแชร์ให้ได้อ่านกันครับว่า เขาทำได้อย่างไร และนักศึกษาเหล่านั้นช่วยดูแลศูนย์ SOC อย่างไร

ทำความรู้จักกับ Temasek Polytechnic ก่อนเล็กน้อย

Temasek Polytechnic เป็นสถาบันสอนวิชาชีพระดับอุดมศึกษาที่จัดตั้งและได้รับการสนับสนุนทางด้านการเงินจากรัฐบาลสิงคโปร์ อาจเทียบได้กับ Institute of Technology อย่างที่หลายคนเคยได้ยิน ก่อตั้งเมื่อปี 1990 ปัจจุบันนี้เปิดสอนหลักสูตรสายวิชาชีพขั้นสูงและปริญญามากถึง 46 หลักสูตร ภายใต้ 6 คณะ และมีนักศึกษามากกว่า 15,000 คน โดยหลักสูตรสำหรับดูแลศูนย์ SOC นี้อยู่ภายใต้การดูแลของ School of Informatics & IT

แนะนำศูนย์ SOC ของ Temasek Polytechic

ศูนย์ปฏิบัติการด้านความมั่นคงปลอดภัย (Security Operation Center: SOC) ของ Temasek Polytechnic อยู่ภายใต้การดูแลของ School of Informatics & IT โดยถูกสร้างขึ้นเพื่อเฝ้าระวังและตอบสนองต่อภัยคุกคามไซเบอร์ที่เกิดขึ้นบนระบบเครือข่ายทั้งหมดของสถาบัน ครอบคลุมอุปกรณ์รวมแล้วมากกว่า 20,000 เครื่อง มีนักศึกษา อาจารย์ และผู้เชี่ยวชาญคอยดูแลตลอดเวลาแบบ 7/24 นอกจากนี้ระบบของศูนย์ SOC ของ Temasek Polytechnic ยังเชื่อมต่อกับศูนย์รักษาความมั่นคงปลอดภัยแห่งชาติ (National Cyber Security Center: NCSC) ของสิงคโปร์ภายใต้การกำกับดูแลของรัฐบาลอีกด้วย เพื่อให้มั่นใจว่าระบบของสถาบันจะมีความมั่นคงปลอดภัย และมีการอัปเดตข้อมูลภัยคุกคามรูปแบบใหม่ๆ ที่พบในสิงคโปร์อยู่ตลอดเวลา

ในแต่ละวัน ศูนย์ SOC ของ Temasek Polytechnic ต้องทำการวิเคราะห์ข้อมูล Log จากอุปกรณ์ปลายทาง และ Packet ของทราฟฟิกที่วิ่งไปมาบนระบบเครือข่าย รวมแล้วมากกว่า 10,000 เหตุการณ์ ซึ่งประมาณ 40 – 50 เหตุการณ์เหล่านั้นเป็น เหตุการณ์ผิดปกติ (Security Incident) ที่จำเป็นต้องได้รับการพิจารณาและแก้ไข นอกจากนี้ ข้อมูล Log ทั้งหมดจะถูกจัดเก็บเป็นเวลา 5 ปีเพื่อใช้เป็นหลักฐาน รวมไปถึงทำ Data Analytics เพื่อพิจารณาถึงแนวโน้มและวางแผนรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยที่อาจเกิดขึ้นในอนาคต

บริหารจัดการและดูแลโดยนักศึกษา

ศูนย์ SOC ของ Temasek Polytechnic อยู่ภายใต้การดูแลของนักศึกษาชั้นเป็นหลัก (Tier 1) โดยมีอาจารย์และผู้เชี่ยวชาญคอยให้คำแนะนำ และรับมือกับเหตุการณ์ผิดปกติกรณีที่นักศึกษาไม่สามารถแก้ไขปัญหาได้ (Tier 2) ซึ่งการดูแลศูนย์ SOC นี้เป็นหลักสูตรวิชาเลือกระยะเวลา 20 สัปดาห์ของนักศึกษาระดับชั้นปีที่ 3 และ 4 ที่ต้องการฝึกทักษะทางด้านความมั่นคงปลอดภัยไซเบอร์จากสถานการณ์จริง

การดูแลศูนย์ SOC ของนักศึกษาใช้หลักการเดียวกับการดูแลศูนย์ SOC จริงขององค์กรขนาดใหญ่ โดยต้องเฝ้าระวังภัยคุกคามตลอด 7 วัน 24 ชั่วโมง ซึ่งการทำงานจะถูกแบ่งออกเป็น 2 กะ คือกลางวันและกลางคืน หน้าที่หลักของนักศึกษาคือการคัดกรองเหตุการณ์ที่ผิดปกติ (Incident) ออกจากเหตุการณ์ด้านความมั่นคงปลอดภัยที่เกิดขึ้นทั้งหมด เช่น การโจมตีแบบ SQL Injection, Brute Force หรือ Drive-by Download เป็นต้น รวมไปถึงจำแนกประเภทของเหตุการณ์ที่ผิดปกติเหล่านั้นตามกลุ่มต่างๆ ได้แก่ เหตุการณ์ใหม่ เหตุการณ์ที่เคยประสบมาก่อน หรือเหตุการณ์ที่เป็น False Positive เพื่อจัดทำเป็นรายงานสรุปให้แก่ผู้ที่เกี่ยวข้องในแต่ละวันหรือสัปดาห์ ที่สำคัญคือต้องแจ้งเตือนและให้คำแนะนำแก่ผู้ที่ได้รับผลกระทบต่อเหตุการณ์ที่เกิดขึ้นด้วย

นอกจากนี้ ยังมีการตั้ง KPI ในการชี้วัดนักศึกษาแต่ละคน เช่น ต้องจัดการกับเหตุการณ์ผิดปกติให้แล้วเสร็จภายใน 90 นาที สำหรับเหตุการณ์ที่วิเคราะห์แล้วว่ามีความรุนแรงระดับต่ำหรือระดับทั่วไป แล้วต้องดำเนินการภายใน 30 นาทีสำหรับความรุนแรงระดับสูง เป็นต้น ในกรณีที่ไม่สามารถแก้ปัญหาได้ นักศึกษาสามารถส่งเรื่องต่อไปยังผู้รับผิดชอบในระดับถัดไป (Tier 2) ซึ่งเป็นผู้เชี่ยวชาญด้านการดูแลศูนย์ SOC ให้ทำการวิเคราะห์และตอบสนองต่อเหตุการณ์ที่เกิดขึ้นแทน และในกรณีที่ต้องเจอกับภัยคุกคามระดับชาติหรือ State-sponsored Attacks ศูนย์รักษาความมั่นคงปลอดภัยแห่งชาติของสิงคโปร์ก็พร้อมที่จะเข้ามาช่วยเหลือและรับมือกับภัยคุกคามแทน

สนับสนุนโดยเทคโนโลยีจาก RSA

เพื่อสนับสนุนการดูแลศูนย์ SOC ของนักศึกษา RSA ผู้นำด้านโซลูชันสำหรับศูนย์ SOC ได้ร่วมมือกับ Temasek Polytechnic ในการสนับสนุนเทคโนโลยีและการออกแบบกระบวนการต่างๆ โดยระบบหลักที่ใช้ในการวิเคราะห์ภัยคุกคามและทำ Incident Reaponse คือ RSA NetWitness Suite ซึ่งให้บริการครอบคลุมทั้ง Advanced Threat Protection, Network Monitoring & Forensics, Security & Behavioral Analytics, Cyber Incident Management & Security Operations และ SIEM ส่งผลให้นักศึกษาและผู้ดูแลศูนย์ SOC สามารถปฏิบัติการได้อย่างรวดเร็วและเป็นระบบ พร้อมต่อการนำความรู้และประสบการณ์ที่ได้ไปประกอบอาชีพในอนาคต

ด้านล่างเป็นวิดีโอแนะนำศูนย์ SOC ของ Temasek Polytechnic

ก็หวังว่าเมืองไทยของเราจะได้เห็นความร่วมมือกันระหว่างมหาวิทยาลัย หน่วยงานรัฐ และ Vendor เพื่อสร้างศูนย์ SOC สำหรับใช้ฝึกฝนนักศึกษาให้มีความรู้และทักษะสำหรับป้อนเข้าสู่ตลาดในยุคที่บุคลากรทางด้านความมั่นคงปลอดภัยไซเบอร์กำลังขาดแคลนอย่างในปัจจุบันนะครับ


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ยกระดับบริการขององค์กรอย่างมั่นใจด้วย HPE Aruba Networking SASE โดย ยิบอินซอย

HPE Aruba Networking นำเสนอ Unified SASE ที่รวมเอาความสามารถของเทคโนโลยี SD-WAN และ SSE เข้าไว้ด้วยกัน เพื่อความง่ายดายในการบริหารจัดการ SD-WAN, Routing, WAN Optimization ตลอดจนการบังคับใช้นโยบายความปลอดภัยได้แบบ end-to-end เพื่อให้การทำงานของแอปพลิเคชันมีประสิทธิภาพสูงขึ้น มั่นคงปลอดภัย ลดต้นทุน และพร้อมให้บริการเสมอ

Microsoft แพตช์แก้ไขช่องโหว่เร่งด่วน 2 รายการให้ Edge, Teams และ Skype

Microsoft ได้แก้ไขช่องโหว่ Heap Buffer Overflow 2 รายการอย่างเร่งด่วนในไลบรารีที่ผลิตภัณฑ์ของตนเกี่ยวข้อง ทั้งนี้มีรายงานพบว่าช่องโหว่ได้ถูกนำไปใช้โจมตีจริงแล้ว