การ์ทเนอร์พบว่า ในปี ค.ศ. 2019 ที่ผ่านเพียงปีเดียว มีเม็ดเงินที่ใช้จ่ายทั่วโลกในด้านความปลอดภัยไซเบอร์สูงกว่า 124 พันล้านดอลลาร์
อย่างไรก็ตาม ทีมจัดการด้านความปลอดภัยไซเบอร์ยังประสบปัญหาในการบริหารระบบความปลอดภัยให้กับองค์กรเนื่องจากมีคอนโซลให้บริหารมากเกินไป มีการแจ้งเตือนภัยจากอุปกรณ์เป็นจำนวนมากเกินกว่าจะจัดการได้ รวมถึงการพึ่งพาวิธีปฏิบัติงานของเจ้าหน้าที่ ทั้งที่องค์กรขาดแคลนบุคลากรด้านปลอดภัยไซเบอร์อันเป็นสถานการณ์ที่เกิดขึ้นทั่วโลก
ดังนั้น องค์กรจึงควรพัฒนาศูนย์ Next-Gen SOC รับมือภัยและลดความเสี่ยง พร้อมโมเดลกรอบการทำงานแบบอัตโนมัติ SOC Automation Framework เพื่อเร่งประสิทธิภาพการประสานงานอุปกรณ์ทั้งศูนย์ ด้วย FortiSIEM และ FortiSOAR รองรับพ.ร.บ. ไซเบอร์และพ.ร.บ. ป้องกันข้อมูลส่วนบุคคล
กรอบการดำเนินงานของ Next-Gen SOC
คำถามคือเครื่องมือใน SOC ใดที่เหมาะกับองค์กรของท่าน ฟอร์ติเน็ตได้ออกแบบกรอบการทำงาน Next-Gen SOC แบบอัตโนมัติอันประกอบด้วย 3 ส่วนหลัก ได้แก่ บุคลากร (People) กระบวนการ (Process) และอุปกรณ์ที่ใช้งาน (Product) ทั้งนี้ กรอบการทำงานจะช่วยให้องค์กรแต่ละแห่งสามารถประเมินระดับศักยภาพด้านความมั่นคงปลอดภัยไซเบอร์ของตน ณ ปัจจุบัน และเลือกใช้โซลูชั่นให้เหมาะสมกับขนาดและสภาพแวดล้อมขององค์กร โดยแบ่งเป็น 3 ระดับ ได้แก่
องค์กรที่อยู่ในระดับ 1 หมายถึง องค์กรขนาดเล็กถึงกลาง ที่มีทีมไอทีขนาดเล็ก อาจไม่มีพนักงานด้านความปลอดภัยไซเบอร์เลย ยังไม่ใช้เพลย์บุ๊ก (Playbooks) ที่ระบุขั้นตอนการปฏิบัติงานเมื่อเกิดปัญหา ดังนั้น การตอบสนองต่อเหตุการณ์ภัยคุกคามที่เกิดขึ้นนั้นจะเป็นลักษณะการใช้เครื่องมือที่มีอยู่ให้ดีที่สุดเท่าที่จะเป็นไปได้
องค์กรที่อยู่ในระดับ 2 หมายถึง องค์กรขนาดกลางถึงใหญ่ ที่มีทีมพนักงานด้านความปลอดภัยไซเบอร์เฉพาะ ควรจะมีกระบวนการสร้างแผนด้านความปลอดภัย
องค์กรในระดับที่ 3 จะหมายถึงองค์กรที่มีทีมรักษาความปลอดภัยทีมใหญ่ มีนักวิเคราะห์ SOC ที่มีประสบการณ์ มีเพลย์บุ๊กที่กำหนดขั้นตอนที่ควรปฏิบัติไว้อย่างดี มีโซลูชั่น SIEM (Security Information and Event Management) ใช้ในการบริหารอุปกรณ์และโซลูชั่น SOAR (Security Orchestration, Automation, and Response) ในการประสานการทำงานของอุปกรณ์ทุกชิ้นในศูนย์รวมถึงอุปกรณ์ของบุคคลที่สาม และยังมีการวิเคราะห์ประสิทธิภาพการทำงานของทั้งสองโซลูชั่นอีกด้วย
ฟอร์ติเน็ตได้แนะนำโซลูชั่นสำคัญที่ช่วยในการบริหาร SOC ได้แก่ ฟอร์ติอนาไลเซอร์ (FortiAnalyzer) ทำหน้าที่วิเคราะห์และทำให้ระบบความปลอดภัยในซีเคียวริตี้แฟบริคเป็นอัตโนมัติ (สำหรับองค์กรระดับ 1) ฟอร์ติเซียม (FortiSIEM) ทำหน้าที่จัดการเหตุการณ์และอีเว้นท์ด้านความปลอดภัย และฟอร์ติซอร์ (FortiSOAR) ทำหน้าที่ประสานการทำงานของอุปกรณ์ด้านความปลอดภัยแบบอัตโนมัติและตอบสนองภัยคุกคามที่เข้ามา (สำหรับองค์กรระดับ 2 และ 3 ตามลำดับ) โดยมีซีเคียวริตี้แฟบริคเป็นแพลทฟอร์มที่เชื่อมโยงโซลูชั่นเหล่านี้ทั้งหมดเข้าด้วยกัน ให้ทำงานร่วมกันอย่างราบรื่น ส่งให้ทีมรักษาความปลอดภัยที่มีจำนวนจำกัดในองค์กรนั้นสามารถเพิ่มศักยภาพในการป้องกันภัยได้สูงสุด
ใช้ Security Fabric Analytics & Automation เป็นพื้นฐาน
Next-Gen SOC ต้องมีความฉลาด ฟอร์ติเน็ตได้นำเทคโนโลยีปัญญาประดิษฐ์หรือเอไอเข้ามาช่วยในการทำงานของอุปกรณ์ด้านความปลอดภัยที่อยู่บนซีเคียวริตี้แฟบริคแพลตฟอร์มด้านความปลอดภัยของฟอร์ติเน็ต
การสร้างและแบ่งปันข้อมูลภัยคุกคามอัจฉริยะระหว่างอุปกรณ์ด้านความปลอดภัยแต่ละชิ้นในแพลตฟอร์มได้อย่างทั่วถึง อันรวมถึงอุปกรณ์ไฟร์วอลล์และ IPS/IDS และอื่นๆ โดยใช้อุปกรณ์ฟอร์ติอนาไลเซอร์ช่วยประมวลผลค้นหาภัยคุกคามได้รวดเร็วเป็นเรียลไทม์ ส่งให้เป็นระบบความปลอดภัยแบบบูรณาการ จึงสามารถตอบสนองภัยคุกคามที่ตรวจพบด้วยความเร็วเครือข่าย
นอกจากนี้แล้ว องค์กรควรใช้อุปกรณ์ฟอร์ติเซียมในการรวบรวมและแจ้งเตือนเกี่ยวกับข้อมูลที่รวบรวมมานั้นได้อย่างชาญฉลาด สามารถทำงานร่วมกับอุปกรณ์ด้านความปลอดภัยเครือข่ายของบุคคลที่สามได้ สามารถรายงานให้ข้อมูลเชิงลึกที่ครอบคลุมการปฏิบัติงานของเครือข่ายขนาดใหญ่ได้
อุปกรณ์ฟอร์ติซอร์ออกแบบมาสำหรับ SOC ขนาดใหญ่
ในองค์กรที่ใช้โซลูชั่นรักษาความปลอดภัยขนาดใหญ่หลายประเภทจำเป็นต้องใช้โซลูชันที่มีศักยภาพสูงขึ้น จึงจะสามารถรองรับการทำงานที่ซับซ้อนได้มากขึ้น ในที่นี้หมายถึง การใช้ฟอร์ติซอร์รวบรวมเหตุการณ์ภัยคุกคามจากอุปกรณ์ด้านความปลอดภัยหลายประเภท อันรวมถึง อุปกรณ์ SIEM อุปกรณ์ความปลอดภัย อุปกรณ์เครือข่ายอื่นๆ และจัดการให้เกิดการปฏิบัติตามขึ้นตอนที่ได้กำหนดไว้ล่วงหน้าในเพลย์บุ๊กเพื่อตอบสนองภัยคุกคามที่มีลักษณะซับซ้อน
นอกจากนี้แล้ว ฟอร์ติซอร์ยังเหมาะสำหรับให้ผู้ให้บริการ MSSP โดยเอื้อให้ใช้ประโยชน์จากคุณสมบัติขั้นสูงของฟอร์ติซอร์ในการขยายขีดความสามารถด้านความปลอดภัยในบริการที่มีการจัดการของตนแก่ลูกค้า ช่วยแก้ไขปัญหา พัฒนาบริการแก่ลูกค้าที่รวดเร็วในอัตราส่วนของวิศวกรต่อลูกค้าที่ต่ำ จึงเป็นการเพิ่มผลกำไรได้
ฟอร์ติซอร์เป็นโซลูชั่นที่สมบูรณ์แบบสำหรับองค์กรธุรกิจและผู้ให้บริการที่ต้องการลดความซับซ้อนของการดำเนินงานในขณะที่เพิ่มประสิทธิภาพของ SOC ด้วยเทคโนโลยีการเชื่อมต่อได้มากกว่า 300 ประเภท ฟอร์ติซอร์จึงสามารถรวมเทคโนโลยีและผู้ค้าอุปกรณ์ด้านความปลอดภัยรายใหญ่ๆ ที่สำคัญได้ทั้งหมด ส่งให้มีศักยภาพในการมองเห็นเครือข่ายและควบคุมแบบรวมศูนย์ สามารถควบคุมการเข้าถึงเครือข่ายได้ตามบทบาทของผู้ใช้งานได้อย่างละเอียดเพื่อรักษาความปลอดภัยข้อมูลที่เกี่ยวข้องกับผู้ใช้ นอกจากนี้ ฟอร์ติซอร์มีเพลย์บุ๊กมากกว่า 200 ฉบับที่กำหนดค่าปฏิบัติตามได้อย่างง่ายๆ มีโมดูลในการจัดการที่ทันสมัยที่สุดในอุตสาหกรรม ซึ่งได้รับการอัปเดตด้วยไทม์ไลน์และวิธีการทำงานที่สอดคล้องกันของอุปกรณ์ เพื่อให้ได้ซึ่งขั้นตอนการตอบโต้ การแก้ไขที่เป็นแบบอัตโนมัติและสม่ำเสมอ
องค์กรในทุกอุตสาหกรรมล้วนต้องการแข่งขันในเศรษฐกิจดิจิทัลใหม่ ในขณะที่มีข้อบังคับใหม่ๆ ที่ต้องปฏิบัติตามรวมถึงพ.ร.บ. ไซเบอร์และพ.ร.บ. ป้องกันข้อมูลส่วนบุคคล ดังนั้น การยกระดับศูนย์ปฏิบัติการเพื่อความปลอดภัยให้เป็น Next-Gen SOC จึงจำเป็นอย่างยิ่ง องค์กรควรเพิ่มการวิเคราะห์เอไอขั้นสูงในโครงสร้างความปลอดภัยซึ่งจะช่วยให้มั่นใจในการมองเห็น การตรวจจับ การเคลื่อนไหวและการตอบสนองอัตโนมัติต่อเหตุการณ์ไซเบอร์ที่เกิดขึ้นได้ทุกที่ทั่วทั้งองค์กร
สรุปแล้ว องค์กรในประเทศไทยควรยกระดับศูนย์ปฏิบัติการเพื่อความปลอดภัยยุคเน็กซ์เจนเนอเรชั่น (Next-Generation Security Operating Center: SOC) พร้อมแนะนำโมเดลกรอบการทำงานแบบอัตโนมัติ (SOC Automation Framework) เพื่อเฝ้าระวังและรับมือภัยคุกคามอย่างมีประสิทธิภาพ โดยองค์กรสามารถเร่งประสิทธิภาพการบริหารและประสานงานอุปกรณ์ทั้งศูนย์ด้วยฟอร์ติเซียม (FortiSIEM) และฟอร์ติซอร์ (FortiSOAR) ช่วยก้าวข้ามปัญหาการขาดแคลนบุคลากรผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ทั้งนี้ การยกระดับศูนย์นี้นับเป็นกลยุทธ์สำคัญในการรองรับพ.ร.บ. ไซเบอร์และพ.ร.บ. ป้องกันข้อมูลส่วนบุคคลโดยทันที.