Share

กฎใหม่ 80/20สำหรับ SecOps (2)

Last updated: 8 Jan 2024
774 Views
กฎใหม่ 80/20 สำหรับ SecOps (2)
 
ระบบอัตโนมัติ 80% มีความสำคัญ แต่การจัดการกับ 20% ที่เหลือจะทำให้ทีมรักษาความปลอดภัยขององค์กรเหนือขึ้นไปอีกระดับ
 
ต่อจากสัปดาห์ที่แล้ว ที่ผมได้อธิบายเกี่ยวกับกฏ 80/20 ที่ใช้ในศูนย์รักษาความปลอดภัยระบบเครือข่ายและระบบสารสนเทศ (Security Operations Center หรือ SOC) นั้น ได้มีการแบ่งระบบเป็น 2 ส่วน คือ ระบบอัตโนมัติ 80% และอีก 20% เป็นการปรับเปลี่ยนเพิ่มเติม (Customization) เพื่อทำให้ยืดหยุ่นและครอบคลุมการใช้งานของแต่ละองค์กร ผมขอหยิบยกเอาเคสตัวอย่างเพื่อให้ทุกคนเข้าใจมากยิ่งขึ้นนะครับ

การนำเข้าแหล่งข้อมูล (Data Source) ที่กำหนดเอง : แต่ละองค์กรมีแหล่งข้อมูลหลายแหล่งที่ใช้เพื่อนำเข้ามาในระบบด้วยรูปแบบ log ที่แตกต่างกัน ผู้ผลิตหลายรายไม่ได้จัดทำผลิตภัณฑ์ที่สามารถรองรับการนำเข้าข้อมูลจากแหล่งข้อมูลจำนวนมากไว้ล่วงหน้า

ดังนั้นหากผู้ผลิตรายใดที่นำเสนอความสามารถดังกล่าวได้ จะเป็นการช่วยองค์กรที่อยู่ในช่วงกำลังใช้งานหรือกำลังย้ายไปยัง Data Lake เพื่อให้ดูแลรักษาข้อมูลได้ดียิ่งขึ้น

Detection-as-code : กลายเป็นคำศัพท์ยอดนิยมในอุตสาหกรรมด้านความปลอดภัยไปแล้ว เพราะการตรวจจับเป็นโค้ดสามารถช่วยงานของเจ้าหน้าที่วิศวกรตรวจจับได้เป็นอย่างดี

เช่น วงจรการพัฒนาที่ได้รับการปรับปรุงให้มีประสิทธิภาพ และช่วยจัดการสภาพแวดล้อมแบบหลายผู้เช่าในองค์กรขนาดใหญ่ได้อย่างมีประสิทธิภาพมากขึ้น
 
หากเราไม่คุ้นเคยกับแนวคิดนี้ Detection-as-code จะใช้ API และไปป์ไลน์ของการ deploy เพื่อเข้าจัดการขีดความสามารถในการตรวจสอบตามที่ต้องการ ทำให้วงจรการพัฒนาด้านความปลอดภัยมีความใกล้เคียงกับการพัฒนาซอฟต์แวร์แบบเดิมมากขึ้น

โดยแนวทางนี้จะปรับปรุงกระบวนการเพื่อช่วยให้การแจ้งเตือนของทีมพัฒนามีคุณภาพดีขึ้นหรือนำโค้ดมาใช้ซ้ำภายในองค์กร ดังนั้นจึงไม่มีความจำเป็นต้องสร้างตัวตรวจจับตั้งแต่เริ่มต้นใหม่ทุกตัว นอกจากนี้ยังช่วยงานวิศวกรรมการตรวจจับที่เหลืออยู่ในวงจรการพัฒนา ทำให้ไม่จำเป็นต้องทดสอบและปรับใช้เครื่องตรวจจับด้วยตนเอง

บริบทของการขยายตัวทางธุรกิจ : ไม่ใช่เฉพาะข้อมูลที่มีความอ่อนไหวเท่านั้น แต่ข้อมูลที่ได้มาจากลักษณะการประกอบธุรกิจที่แตกต่างกัน หรือข้อมูลซ้ำซ้อนจากแหล่งที่แตกต่างกัน

ทั้งหมดนี้ทำให้องค์กรต้องใช้ระยะเวลาและความพยายามอย่างมากในการรวบรวมข้อมูลเพื่อทำความเข้าใจและนำไปใช้งานได้ต่อการใช้ประโยชน์จาก SIEM alternative ซึ่งใช้ความสามารถในการจัดการทั้งหมดนี้ผ่าน API เพื่อช่วยเพิ่มประสิทธิภาพและความสามารถในการขยายตัวทางธุรกิจและที่สำคัญคือ ไม่ใช่ผู้ผลิตทุกรายจะสามารถทำได้

สรุปแล้ว การสร้าง SOC ที่มีประสิทธิภาพนั้นถือเป็นความพยายามที่ต้องได้รับการพัฒนาต่อไป และขอให้ทุกองค์กรคำนึงเสมอว่า ไม่มีเครื่องมือรักษาความปลอดภัยหรือโซลูชันใดๆ ที่เหมาะกับทุกองค์กรได้อย่าง 100% สิ่งสำคัญคือ องค์กรต่างๆ ไม่เพียงแต่ต้องปรับเปลี่ยนให้สิ่งเหล่านี้เหมาะกับการใช้งานขององค์กรเท่านั้น แต่จำเป็นอย่างยิ่งที่จะต้องผสมผสานและปรับเปลี่ยนให้เข้ากับระบบอัตโนมัติที่มีอยู่ในผลิตภัณฑ์นั้นด้วย

นี่จึงเป็นจุดเปลี่ยนที่สำคัญในการมองหาผู้ขายผลิตภัณฑ์ที่สามารถนำเสนอทั้งแนวทางการปรับใช้งานสิ่งที่มีอยู่ เพื่อช่วยเติมเต็มระบบขององค์กรให้ดำเนินงานได้อย่างมีสิทธิภาพและสามารถตอบสนองต่อความต้องการของทีมรักษาความปลอดภัยได้

นอกจากนี้ การเพิ่มคุณสมบัติในการปรับเปลี่ยนที่เกี่ยวข้องด้านนวัตกรรมใหม่อย่างต่อเนื่องก็สามารถช่วยให้องค์กรต่างๆ สามารถปรับกลยุทธ์ด้านความปลอดภัยให้ตรงกับความต้องการเฉพาะขององค์กรได้

เพราะฉะนั้นระบบอัตโนมัติ 80% จึงมีความสำคัญ แต่การจัดการกับ 20% ที่เหลือจะทำให้ทีมรักษาความปลอดภัยขององค์กรคุณเหนือขึ้นไปอีกระดับหนึ่งครับ
 
สามารถติดตามบทความจาก CEO ผ่านทางบทความ Think Secure โดย คุณนักรบ เนียมนามธรรม (นักรบ มือปราบไวรัส) เป็นประจำทุกสัปดาห์ ได้ทางหนังสือพิมพ์กรุงเทพธุรกิจ หรือช่องทาง Online ที่ https://www.bangkokbiznews.com/category/tech/gadget
 
ที่มา: หนังสือพิมพ์กรุงเทพธุรกิจ (ฉบับวันที่ 27 พฤศจิกายน 2566)
https://www.bangkokbiznews.com/blogs/tech/gadget/1100760

Related Content
This website uses cookies to enhance your experience and providing the best service from us. Please confirm the acceptance. You can learn more about our use of cookies from our Policy. Privacy Policy and Cookies Policy
Compare product
0/4
Remove all
Compare