ตรวจจับภัยคุกคามด้วย SIEM แบบ Rule หรือ Model ต่างกันอย่างไร

Exabeam หนึ่งในผู้ให้บริการ SIEM ได้นำเสนอแนวทางและความหมายของ Rule และ Model ว่ามีการใช้งานแตกต่างกันอย่างไร เพราะเมื่อก่อน SIEM จะใช้ Signature ตรวจจับภัยคุกคามแต่ปัจจุบันมีทางเลือกใหม่คือ Correlation Rule และ Model ซึ่งเราเห็นว่าเป็นป็นประโยชน์ดีจึงขอนำเสนอให้ได้อ่านกัน

Correlation Rule 

Logical Expression ที่ถูกกำหนดไว้เป็นเงื่อนไขเพื่อให้ระบบปฏิบัติตาม ข้อจำกัดคือต้องใช้ความรู้ของผู้เขียน Rule สูงและไม่ได้อ้างอิงกับเหตุการณ์ที่เคยเกิดขึ้นมาแล้ว อย่างไรก็ตาม Rule สามารถปฏิบัติงานตามที่ถูกกำหนดได้เองและสามารถผสมผสานหลายเหตุการณ์ได้ เช่น ถ้าเซิร์ฟเวอร์มีการพิสูจน์ตัวตนผิดพลาด 3 ครั้งจากไอพีเดิมภายในเวลา 1 ชั่วโมงและมีชื่อผู้ใช้งานต่างกันให้แจ้งเตือน หรือ ถ้าล็อกอินสำเร็จหลังจากมีเหตุผิดพลาดเกิดขึ้นหลายครั้งให้แจ้งเตือน เป็นต้น

Model 

โมเดลจะทำการสร้างโปรไฟล์ผู้ใช้งานหรือประเมินพฤติกรรมปกติ โดยถ้าหากพฤติกรรมเบี่ยงเบนออกจากความปกติจนถือว่าเข้าข่ายผิดปกติจึงมีการแจ้งเตือน ซึ่งภายในโมเดลผู้ใช้งานก็สามารถใช้ Rule เพื่อแยกแยะประเภทของพฤติกรรมต่างๆ ได้ ดังนั้นความแตกต่างระหว่าง Correlation และ Model คือ Model จะไม่ทำการแจ้งเตือนในทุกเหตุการณ์เพราะจะแจ้งเตือนเฉพาะพบความผิดปกติเกินค่าที่กำหนดไว้ซึ่งได้มาจากการเรียนรู้ สำรวจพฤติกรรมปกติ รวมถึงไม่ต้องการความรู้ของภัยคุกคามอย่างเฉพาะเจาะจงมากเท่ากับการใช้ Correlation ตัวอย่างการใช้งาน เช่น มีผู้ใช้ล็อกอินทางไกลในเวลาตี 3 ไปยังฐานข้อมูลในสิทธิ์ผู้ดูแล หรือ เปลี่ยนสิทธิ์ธรรมดาไปเป็นระดับสูงเพื่อถ่ายโอนข้อมูลไปยังบริการใดๆ อย่างผิดปกติ

หลักการใช้งานของทั้งสองรูปแบบทาง Exabeam ให้แนวคิดและความแตกต่างในการใช้งานดังนี้

Correlation  
  • ภัยคุกคามที่รู้จักกันดีอยู่แล้ว (Well-known Threat) เช่น วิธีการยอดฮิตของแฮ็กเกอร์เพื่อเข้าถึงทรัพยากรซึ่ง SIEM หลายเจ้าก็เขียน Rule เบื้องต้นมาให้แล้ว
  • Compliance กฏระเบียบปฏิบัติ เช่น GDPR PCI DSS หรืออื่นๆ ซึ่งถ้ารู้ว่าอะไรจะละเมิดกฏระเบียบเหล่านี้อยู่แล้วก็กำหนดไว้ได้ก่อนเลย
  • Signature-base Threat วิธีการตรวจจับมัลแวร์แบบเดิมก็ยังจำเป็นและการใช้ Rule สามารถช่วยอัปเดตฐานข้อมูลการป้องกันเหล่านี้ได้เช่นกัน
Model
  • Behavior-based Threat การติดตามพฤติกรรมทั้งปกติและไม่ปกติจะช่วยให้เห็นมุมมองแนวโน้มของภัยคุกคามได้มากขึ้น
  • Data Exfiltration อีกกรณีภัยคุกคามยอดฮิตที่ตรวจจับได้ยาก โดยแฮ็กเกอร์ที่พยายามขโมยข้อมูลออกไปนอกองค์กร อันที่จริงแล้วอาจเกิดขึ้นได้จากแฮ็กเกอร์ พนักงาน หรืออดีตพนักงาน ก็เป็นได้
  • Zero-day เราไม่มีทางรู้สิ่งที่ไม่เคยเกิดขึ้นมาก่อนได้แต่เราสามารถรู้สิ่งที่ผิดปกติจากการใช้งานได้ ตรงนี้เอง Correlation Rule ทำให้เราไม่ได้อย่างแน่นอน

ที่มา : https://www.exabeam.com/siem/siem-threat-detection-rules-or-models/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ราชกิจจาฯ ประกาศมาตรฐานด้านความมั่นคงปลอดภัยด้าน ‘Cloud’ พ.ศ. 2567 ออกแล้ว!

คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติได้ ออกประกาศเกี่ยวกับมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของระบบคลาวด์ ซึ่งมีวัตถุประสงค์เพื่อลดความเสี่ยงของการใช้บริการคลาวด์สาธารณะในหน่วยงานรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐาน โดยกล่าวถึงหน้าที่ในฐานะของผู้ให้บริคลาวด์กับหน่วยงานข้างต้น และหน่วยงานทั้งสามส่วนที่เข้าไปใช้งานบริการคลาวด์

[True IDC Webinar] App Modernization: The Ultimate Guide – พลิกโฉมการพัฒนาแอปพลิเคชันสู่ธุรกิจยุคดิจิทัล

True IDC ขอเรียนเชิญ Software Engineer, DevOps Engineer และ Developer เข้าร่วมงานสัมมนาออนไลน์เรื่อง “App Modernization: The Ultimate Guide …