ในช่วงเวลาหลายปีที่ผ่านมาปฏิเสธไม่ได้ว่าระบบ SIEM (Security Information and Event Management) เป็นระบบที่อยู่คู่กับศูนย์เฝ้าระวังด้านความมั่นคงปลอดภัย (Security Operation Center) นั้น เป็นเทคโนโลยีที่สำคัญที่ทุกองค์กรต้องมี แต่เนื่องด้วยภัยคุกคามไซเบอร์และอุปกรณ์ทางด้านฮาร์ดแวร์/ซอฟต์แวร์นั้นได้เปลี่ยนแปลงรูปแบบไปมากในปัจจุบัน จึงทำให้ระบบ SIEM ที่เคยมีประสิทธิภาพสูง ไม่สามารถตรวจจับภัยคุกคามที่ถูกปรับปรุงให้มีรูปแบบใหม่ๆ และมีความซับซ้อนมากขึ้นได้
เหตุใด SIEM จึงไม่สามารถทำงานได้ตามความคาดหวัง
กล่าวย้อนถึงหลักการทำงานของเทคโนโลยี SIEM นั้น การทำงานหลักๆ ของระบบ SIEM จะพึ่งพาข้อมูลที่จะป้อนเข้ามาในระบบด้วย Log จากอุปกรณ์ทางด้านความมั่นคงปลอดภัยและระบบงานต่างๆ ที่ติดตั้งใช้งานในเครือข่ายองค์กร ยกตัวอย่างเช่น Firewall, IPS, Antivirus รวมไปถึงแอพพลิเคชันระบบฐานข้อมูลในองค์กร เช่น Web Application, Database Server, File Server เป็นต้น ซึ่งในปัจจุบัน Log ที่กล่าวถึงข้างต้น มีข้อมูลที่ไม่เพียงพอให้กับระบบ SIEM วิเคราะห์หาภัยคุกคามที่เกิดขึ้นได้ เนื่องจากข้อจำกัดดังต่อไปนี้
1. รูปแบบการติดตั้งเพื่อนำเข้าข้อมูล (Deployment Form Factor)
- Agent – การติดตั้งซอฟต์แวร์เล็กๆ ลงบนระบบงานและระบบความมั่นคงปลอดภัย เพื่อดึงข้อมูล Log จากระบบต่างๆ แล้วส่งต่อมาที่ระบบ SIEM ซึ่งก่อให้เกิดผลกระทบต่อประสิทธิภาพการทำงานของระบบต้นทาง ประการแรกเนื่องจากต้องใช้ทรัพยากรจากระบบดังกล่าว ประการที่สอง ส่งผลให้การบริหารจัดการทำได้ยากหาก Agent นั้นๆ หยุดทำงานลงไป ทำให้ทีม SOC ขาดความคล่องตัวในการทำงานและเกิดข้อขัดแย้งกับทีมที่บริหารจัดการระบบงาน ที่จะต้องมีการร้องขอเพื่อทำการติดตั้ง บำรุงรักษา และอัปเกรดซอฟต์แวร์ต่างๆ
- Agentless – การรับส่ง Log อีกวิธีหนึ่ง กล่าวคือ ตั้งค่าให้อุปกรณ์ในระบบเครือข่ายทำการส่งข้อมูล Log มาที่ระบบ SIEM โดยตรง ข้อดีคือความสะดวก แต่ก็มีข้อเสียเช่นกัน ได้แก่ ประการแรก การเปิดให้อุปกรณ์ต่างๆ ส่งข้อมูล Log มาทั้งหมดจะทำให้ประสิทธิภาพและทรัพยากรของระบบนั้นๆ ลดลงไปโดยอัตโนมัติ ประการที่สอง เนื่องจากอุปกรณ์หลายๆ ประเภทจะทำการส่ง Log ในรูปแบบข้อมูล Plain Text ซึ่งไม่มีการเข้ารหัส จึงสุ่มเสี่ยงที่จะถูกโจมตีแบบ Man-in-the-Middle และ Log ถูกเปลี่ยนแปลงแก้ไขก่อนที่จะส่งมาถึงระบบ SIEM ขององค์กร
- Virtual Machine Traffic – การตรวจสอบข้อมูลที่รับส่งไปมาภายใน Virtualization กันเองทำได้ยาก เนื่องจากหากต้องการข้อมูลหลายๆ ชนิดของระบบงานและระบบความมั่นคงปลอดภัยที่ทำงานใน Virtualization นั้น จะต้องใช้จำนวนซอฟต์แวร์ Agent จำนวนมาก ก่อให้เกิดจุดที่ระบบ SIEM เข้าไปดูแลไม่ทั่วถึง
- Internet of Things (IoT) – ในปัจจุบันอุปกรณ์ประเภท Internet of Things ได้มีบทบาทและจำนวนมากขึ้น เช่น ระบบกล้องวงจรปิด ระบบความปลอดภัยทางด้านกายภาพ (Physical Access Control) อุปกรณ์เหล่านี้ส่วนใหญ่ไม่สามารถส่ง Log ออกมาได้ รวมไปถึงไม่สามารถติดตั้งซอฟต์แวร์Agent ลงไปได้ด้วยเช่นกัน ทำให้เกิดจุดอับที่ระบบ SIEM ไม่สามารถลงไปตรวจตราได้อย่างครอบคลุมเนื่องจากขาดข้อมูล Log จากอุปกรณ์ IoT
2. SSL Visibility
ในปัจจุบันข้อมูลหลายๆ ชนิดของระบบงาน และการใช้งานอินเทอร์เน็ตถูกปกป้องความลับด้วยเทคโนโลยีการเข้ารหัสลับที่เรียกว่า SSL/TLS ซึ่งถือเป็นข้อดีอย่างมหาศาล แต่ในข้อดีก็มีข้อเสียในตัวเองด้วย กล่าวคือ ข้อมูลที่ถูกเข้ารหัสด้วย SSL/TLS นั้น ไม่สามารถถอดรหัสออกมาเพื่อส่งต่อให้ระบบ SIEM เข้าไปวิเคราะห์หาภัยคุกคามภายในได้ ส่งผลให้การลงทุนบนระบบรักษาความมั่นคงปลอดภัยหลายล้านบาทสูญเปล่าไปโดยปริยาย
3. False Positive
ระบบ SIEM จำเป็นต้องมีการปรับตั้งค่าเพื่อลดอัตราการเกิด False Positive ทว่าในปัจจุบันการทำ Fine-Tuning ให้ระบบ SIEM มีความถูกต้องแม่นยำนั้น ได้ทวีความยากและมีอุปสรรคมากขึ้น เช่น การจัดเก็บข้อมูล Log ไม่ครอบคลุมเนื่องด้วยข้อจำกัดของ License ที่จะต้องสอดคล้องกับจำนวนซอฟต์แวร์ Agent ที่ได้ทำการจัดซื้อ, การเข้าไม่ถึงข้อมูล Log ของระบบงานบางอย่างเช่น IoT, VM, Cloud, BYOD (ดังที่กล่าวไว้ในข้อ 1 และข้อ 2) ทำให้การวิเคราะห์ของ SIEM ไม่แม่นยำเพียงพอ และไม่สามารถที่จะทำ Fine-Tuning ได้อย่างมีประสิทธิภาพอีกต่อไป เพราะไม่มีข้อมูลดิบที่จะนำเข้ามาวิเคราะห์ได้
อีกประเด็นหนึ่งซึ่งถือเป็นเรื่องสำคัญมาก คือ จะทำอย่างไรที่จะจำแนกแยกแยะผลของการวิเคราะห์ของ SIEM ว่า เหตุการณ์ใดเป็นผลกระทบเชิงความมั่นคงปลอดภัย และเหตุการณ์ใดเป็นผลกระทบเชิงประสิทธิภาพของระบบงาน ซึ่งประเด็นนี้ถือเป็นความท้าทายที่น่าสนใจ เพราะไม่ใช่ทุกเหตุการณ์จะเป็นเหตุการณ์ที่กระทบต่อความมั่นคงปลอดภัยทั้งหมด อาจจะเป็นผลกระทบจากทรัพยากรในระบบงานก็เป็นได้
4. Hop by Hop Analytics
การวิเคราะห์ของ SIEM ในปัจจุบันนั้นเป็นการวิเคราะห์แบบ Horizontal Analysis หมายความว่าทำการวิเคราะห์ในมิติเดียว ซึ่งเป็นผลมาจากการที่ SIEM เก็บข้อมูลแบบ หนึ่งต่อหนึ่ง ยกตัวอย่างเช่น Log จากระบบฐานข้อมูลที่ส่งเข้ามายัง SIEM ก็จะเป็น Log จากระบบฐานข้อมูลที่ตั้งอยู่ใน Data Center แห่งเดียวเท่านั้น ทำให้ SIEM ไม่สามารถรู้ได้เลยว่าหากระบบฐานข้อมูลตอบกลับการร้องขอไปที่ผู้ใช้ที่อยู่ต่างเครือข่ายออกไป จะยังมีการตอบสนองที่ถูกต้องอยู่หรือไม่
สิ่งที่ขาดไปของ SIEM ก็คือการวิเคราะห์ในหลายๆ มิติ เป็นการวิเคราะห์ข้อมูลจากหลายๆ Hop ของเครือข่าย เพื่อทำการตรวจสอบว่า ในแต่ละช่วงของเครือข่ายที่เชื่อมต่อผ่านขอบเขตของ Router หรือ Firewall ยังทำงานได้ปกติ หรือมีความเสี่ยงต่อภัยคุกคามได้หรือไม่ โดยการวิเคราะห์และเปรียบเทียบเพื่อเชื่อมโยงความสัมพันธ์ระหว่างแต่ละ Tier ให้เกิดความแม่นยำในการตรวจจับย่ิงขึ้น
ดังนั้น จะเสริมสมรรถภาพและความสามารถของระบบ SIEM ได้อย่างไร
ในปัจจุบันมีเทคโนโลยีที่จะเข้ามาช่วยการเฝ้าระวังด้านความมั่นคงปลอดภัยอยู่หลากหลาย และเทคโนโลยีที่จะเข้ามาเสริมความสามารถของ SIEM มีดังนี้
- Big Data Technique – การใช้เทคนิคการวิเคราะห์ข้อมูลโดยใช้เทคนิคของ Big Data โดยทำการเก็บข้อมูลที่ไม่ใช่ข้อมูล Log เพียงอย่างเดียว แต่เป็นการเก็บข้อมูลที่รับส่งไปมาบนระบบเครือข่าย ทั้งนี้เพื่อสร้างขอบเขตการดูแลที่กว้างและสร้างความลึกของข้อมูลให้มากขึ้น ทำให้ระบบ SIEM สามารถลงลึกเพื่อจับตาดูภัยคุกคามได้อย่างแม่นยำ และลดข้อจำกัดของการติดตั้งซอฟต์แวร์ Agent เอเจนท์ลงไป
- SSL Decryption – เทคโนโลยีในการถอดรหัสข้อมูล SSL เพื่อนำมาวิเคราะห์หารูปแบบของภัยคุกคามที่มากับข้อมูลที่เข้ารหัส ซึ่งจะทำให้ SIEM สามารถลงลึกไปในข้อมูลที่มีชั้นความลับที่ซับซ้อนได้
- Multi-Hop Traffic Visibility – เครื่องมือประเภท Intelligence Network Broker ช่วยนำส่งข้อมูลที่สำคัญในเครือข่ายที่ซับซ้อนและแบ่งเป็น Hop ออกมาแล้วนำส่งไปยัง Big Data Analytics ส่งผลให้สามารถวิเคราะห์ เปรียบเทียบ แจ้งเตือนข้อมูลได้หลากหลายมิติ และลดจุดอับสายตาของ SIEM ได้เป็นอย่างดี
ทั้งนี้ในการสร้างทีม SOC ที่ดีจะต้องประกอบไปด้วยสามเสาหลักคือ People, Process และTechnology ดังนั้นจะเป็นการดีหากทุกๆ องค์กรมุ่งหน้าทำการพัฒนาองค์ประกอบทั้งสามส่วนนี้ไปพร้อมกัน เพื่อสร้างระบบความมั่นคงปลอดภัยที่มีประสิทธิภาพให้เกิดแก่องค์กรเอง
สำหรับผู้นำด้าน Security Delivery Platform ในตลาดตอนนี้คงหนีไม่พ้น Gigamon ซึ่งพร้อมนำส่งข้อมูลประเภท Port Mirroring, NetFlow/IPFix Generator, Application Session Filtering รวมไปถึงทำการถอดรหัสข้อมูล SSL เพื่อส่งข้อมูลไปจัดเก็บและวิเคราะห์ยังระบบ SIEM, Network Performance Monitor, Application Performance Monitor, IPS/IDS และเครื่องมือทางด้าน Forensics ต่างๆ
Gigamon: Security Delivery Platform ช่วยให้ทีม SOC และ NOC ได้รับข้อมูลที่ครบถ้วนสมบูรณ์ เพื่อเพิ่มประสิทธิภาพและความแม่นยำในการตรวจจับภัยคุกคาม วิเคราะห์ และแจ้งเตือนถึงปัญหาที่เกิดจากประสิทธิภาพของระบบ IT ได้อย่างรวดเร็ว นอกจากนี้ยังช่วยเพิ่มความสะดวกคล่องตัวในการบริหารจัดการ รวมไปถึงช่วยลดต้นทุนค่าใช้จ่ายทางด้านอุปกรณ์และ License ที่ใช้งานได้เป็นอย่างมาก
nForce Secure จับมือกับ Gigamon พร้อมให้บริการ Security Delivery Platform ในประเทศไทย
บริษัท nForce Secure จับมือเป็นพันธมิตรร่วมกับ Gigamon ผุ้ใช้บริการ Security Deliver Platform ชั้นนำระดับโลก ด้วยประสบการณ์เป็นที่ปรึกษาและตัวแทนจำหน่ายระบบรักษาความมั่นคงปลอดภัยมานานกว่า 10 ปี ทำให้มั่นใจได้บริษัทฯ สามารถส่งมอบโซลูชันของ Gigamon เพื่อพัฒนาระบบ SOC ขององค์กรได้อย่างมีประสิทธิภาพ และช่วยให้องค์กรพร้อมรับมือกับภัยคุกคามไซเบอร์ในปัจจุบันได้อย่างครอบคลุม
ผู้ที่สนใจโซลูชันของ Gigamon สามารถติดต่อเพื่อสอบถามรายละเอียดเพิ่มเติมหรือทดสอบ POC ได้ที่
คุณสิทธิพงษ์ นทีประสิทธิพร
Product Manager
โทร. 0919974691 / 02-2740984
sittipong@nforcesecure.com
sale@nforcesecure.com