SIEM คืออะไร? ทำไม SIEM ถึงจำเป็นต่อธุรกิจองค์กร?

ทุกวันนี้ Security Information & Event Management หรือ SIEM นั้นได้กลายเป็นเทคโนโลยีด้านความมั่นคงปลอดภัยที่ทุกองค์กรจำเป็นต้องใช้เพื่อรับมือกับภัยคุกคามที่มีความซับซ้อนสูงภายในระบบ IT ที่มีอุปกรณ์จำนวนมหาศาลและหลากหลาย

ในบทความนี้ทีมงาน TechTalkThai จะพาทุกท่านไปรู้จักกับ SIEM โดยสังเขป เพื่อเป็นประโยชน์ต่อชาว IT มือใหม่ หรือผู้ที่ต้องเริ่มหันมารับผิดชอบงานทางด้าน Cybersecurity ในองค์กรกันครับ

Security Information & Event Management (SIEM) คืออะไร? คุณสมบัติของ SIEM มีอะไรบ้าง?

Security Information & Event Management หรือ SIEM คือระบบสำหรับทำหน้าที่ในการรวบรวมข้อมูลด้าน Security ในรูปแบบต่างๆ ไม่ว่าจะเป็น Log, Event, Flow หรืออื่นๆ เพื่อนำมาจัดเก็บ, เปลี่ยนรูปแบบ, ตรวจสอบ, วิเคราะห์, แสดงผล, แจ้งเตือน เพื่อให้ธุรกิจองค์กรสามารถนำข้อมูลด้านความมั่นคงปลอดภัยจากอุปกรณ์ IT หรือ Software จำนวนมากที่มีอยู่มาวิเคราะห์ร่วมกัน และค้นหาปัญหา, ภัยคุกคาม หรือการโจมตีที่เกิดขึ้นอยู่ได้ อีกทั้งยังเป็นแหล่งรวบรวมข้อมูลด้านความมั่นคงปลอดภัยที่จะช่วยให้ธุรกิจองค์กรสามารถตรวจสอบเหตุการณ์การโจมตีที่เกิดขึ้นในเชิงลึก เพื่อระบุถึงสาเหตุ, ความเสียหาย และความเสี่ยงได้อย่างแม่นยำมากยิ่งขึ้น

เดิมที SIEM นั้นวิวัฒนาการมาจาก Log Management System (LMS), Security Information Management (SIM) และ Security Event Management (SEM) จนท้ายที่สุดก็ได้กลายมาเป็น SIEM ซึ่งก็วิวัฒนาการจากโซลูชันในรูปแบบ Hardware Appliance มาสู่ Software และรองรับการใช้งานได้ทั้งแบบ On-Premises และ Cloud

คุณสมบัติของระบบ SIEM โดยทั่วไปจะมีดังต่อไปนี้

• Data Aggregation & Log Management จัดเก็บรวบรวมข้อมูลด้านความมั่นคงปลอดภัยและบริหารจัดการข้อมูลในส่วนนี้
• Data Correlation วิเคราะห์หาความสัมพันธ์ระหว่างเหตุการณ์ เพื่อให้ทำความเข้าใจลำดับเหตุการณ์และความเกี่ยวพันได้อย่างง่ายดายและชัดเจนยิ่งขึ้น
• Monitoring & Alerting ตรวจสอบค้นหาเหตุการณ์ผิดปกติและภัยคุกคามต่างๆ รวมถึงทำการแจ้งเตือนผู้ดูแลระบบ โดยมีปริมาณของเหตุการณ์ที่แจ้งเตือนอย่างเหมาะสม คัดกรองเหตุการณ์ที่ไม่เกี่ยวข้องหรือไม่สำคัญออกไป เพื่อไม่ให้เกิดการล้นทะลักของการแจ้งเตือน
• Dashboard แสดงผลภาพรวมด้านความมั่นคงปลอดภัยและจัดลำดับของเหตุการณ์ต่างๆ ที่เกิดขึ้น พร้อมเปิดให้ผู้ดูแลระบบทำการ Drill Down เพื่อตรวจสอบข้อมูลในเชิงลึกได้ง่าย
• Compliance & Reporting ทำการสอบเทียบให้ระบบ IT ทำงานได้ตรงตามมาตรฐานด้านความมั่นคงปลอดภัย และออกรายงานเชิงลึกสำหรับประเด็นต่างๆ
• Retention ทำการจัดเก็บข้อมูลด้านความมั่นคงปลอดภัยย้อนหลังเอาไว้ตามเวลาที่กำหนดโดยควบคุมให้ข้อมูลเหล่านี้ไม่ถูกลบหรือทำลายก่อนเวลาที่กำหนดได้ ให้สอดคล้องกับข้อกฎหมายหรือข้อบังคับใดๆ และทำการกทำลายข้อมูลเมื่อหมดระยะเวลาที่ต้องจัดเก็บโดยอัตโนมัติ
• Forensic Analysis มีเครื่องมือสำหรับช่วยค้นหาและวิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยทั้งในแบบย้อนหลังและ Real-Time พร้อมตัวช่วยอื่นๆ เพื่อช่วยในการสืบสวนเหตุการณ์ต่างๆ ที่ต้องการได้อย่างสะดวก

โดยทั่วไปแล้วประสิทธิภาพของระบบ SIEM จะวัดกันที่ค่า Event Per Second (EPS) หรือ Flow Per Second (FPS) หรือค่าอื่นๆ ซึ่งระบุถึงประสิทธิภาพในการประมวลผลข้อมูลด้านความมั่นคงปลอดภัยในแต่ละรูปแบบต่อวินาที เพื่อให้ผู้ใช้งานสามารถประเมินและออกแบบระบบให้รองรับต่อความต้องการในส่วนนี้ได้

องค์ประกอบของ SIEM

ถึงแม้เทคโนโลยี SIEM จะมีผู้พัฒนาที่หลากหลาย และแต่ละเทคโนโลยีอาจใช้ชื่อเรียกที่แตกต่างกันออกไป แต่โดยทั่วไปแล้วในระบบ SIEM จะมีองค์ประกอบดังต่อไปนี้

• Data Collector ระบบสำหรับทำหน้าที่รวบรวมข้อมูล Log, Event, Flow ซึ่งมีทั้งในรูปแบบของ Protocol เพื่อส่งข้อมูลจากระบบใดๆ ออกมายัง Data Collector, Software Agent ที่ดึงข้อมูลจากระบบต่างๆ ส่งมายัง Data Collector และการที่ Data Collector เชื่อมต่อไปยังระบบต่างๆ เพื่อดึงข้อมูลออกมาโดยตรง
• Data Processor ระบบสำหรับทำหน้าที่แปลงข้อมูล, วิเคราะห์ความสัมพันธ์ของข้อมูล และจัดข้อมูลให้อยู่ในรูปที่นำไปใช้งานได้อย่างง่ายดายและรวดเร็ว
• Data Visualizer & Searcher ระบบสำหรับการแสดงผลข้อมูล และค้นหาข้อมูลเหตุการณ์ด้านความมั่นคงปลอดภัย

อย่างไรก็ดี ด้วยการที่ SIEM นั้นเป็นเทคโนโลยีที่ถูกพัฒนาในรูปแบบของ Software มาตั้งแต่แรกเริ่ม ทำให้ SIEM นั้นนำแนวคิดของ Software-Defined มาใช้ได้อย่างรวดเร็ว และทำให้องค์ประกอบต่างๆ ของ SIEM นั้นอยู่ในรูปแบบของ Software ส่งผลให้บางครั้งในอุปกรณ์หรือ VM ของ SIEM ชิ้นเดียว สามารถทำหน้าที่ได้หลากหลาย

โดยส่วนมากแล้ว โซลูชัน SIEM แบบเริ่มต้นมักรวมเอาองค์ประกอบทั้งหมดเอาไว้ในระบบเดียวเพื่อให้สามารถเริ่มต้นนำไปใช้งานได้ง่าย และในโซลูชัน SIEM สำหรับธุรกิจองค์กรที่มีขนาดใหญ่หรือมีหลายสาขา ก็อาจมีการแยกส่วนของระบบออกจากกัน เพื่อให้สามารถทำการออกแบบติดตั้งระบบได้อย่างอิสระ รองรับสถาปัตยกรรม IT ของแต่ละองค์กรได้อย่างยืดหยุ่น

การใช้งาน SIEM เกิดขึ้นได้ในรูปแบบใดบ้าง?

โดยทั่วไปแล้วการใช้งาน SIEM จะมีด้วยกัน 4 รูปแบบ ดังนี้

1. การติดตั้งใช้งานเองภายในองค์กรแบบ On-Premises
2. การใช้ SIEM ในรูปแบบบริการ Cloud
3. การเช่าใช้งาน SIEM ในแบบ as-a-Service
4. การใช้งาน Security Operations Center (SOC) หรือ Managed Security Services ที่มีการให้บริการ SIEM

การใช้งาน SIEM หลากหลายรูปแบบพร้อมๆ กันในระบบ IT เดียวกันก็เป็นเหตุการณ์ที่มักพบเห็นได้ในธุรกิจองค์กรขนาดใหญ่ เพื่อให้รองรับต่อสถาปัตยกรรม IT ที่มีความซับซ้อนสูง หรือรองรับต่อข้อกำหนดที่เข้มงวดแตกต่างกันในแต่ละระบบย่อยได้

SIEM สามารถนำไปต่อยอดได้อย่างไรบ้าง?

จากคุณสมบัติของ SIEM ที่มีการรวบรวมและนำข้อมูลและเหตุการณ์ด้าน Security ไปทำการวิเคราะห์ ทำให้ SIEM นั้นสามารถถูกนำไปใช้ต่อยอดได้หลากหลาย ดังนี้

• ทำ Security Analytics วิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยร่วมกับแหล่งข้อมูลอื่นๆ
• ต่อยอดระบบสู่ SOAR (Security Orchestration, Automation, and Response) จัดการประเด็นด้านความมั่นคงปลอดภัยโดยอัตโนมัติ
• ต่อยอดระบบสู่ EDR, NDR, XDR วิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยเฉพาะส่วนอย่างเข้มข้นยิ่งขึ้น
• ต่อยอดระบบสู่การนำ AI มาใช้วิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัย

ที่มา:

https://en.wikipedia.org/wiki/Security_information_and_event_management
https://www.techtarget.com/searchsecurity/definition/security-information-and-event-management-SIEM
https://www.gartner.com/en/information-technology/glossary/security-information-and-event-management-siem
https://www.ibm.com/topics/siem
https://www.mcafee.com/enterprise/en-us/security-awareness/operations/what-is-siem.html
https://www.exabeam.com/siem-guide/what-is-siem/
https://logrhythm.com/what-is-siem/
https://www.fireeye.com/products/helix/what-is-siem-and-how-does-it-work.html
https://www.juniper.net/us/en/research-topics/what-is-siem.html
https://www.splunk.com/en_us/data-insider/what-is-siem.html