พูดง่าย ๆ คือศูนย์ปฏิบัติการด้านความปลอดภัย คือทีมผู้เชี่ยวชาญที่คอยตรวจสอบความสามารถขององค์กรในเชิงรุกในการดำเนินงานอย่างปลอดภัย SOC ให้เป็นห้องที่นักวิเคราะห์ทำงานร่วมกัน สมาชิกในทีม SOC สามารถทำงานนอกสำนักงานหรือที่บ้านได้ เช่นเดียวกับที่ทำได้ในศูนย์ปฏิบัติการ
สมาชิกทีม SOC ทำอะไร
สมาชิกของทีม SOC มีหน้าที่รับผิดชอบในกิจกรรมต่าง ๆ รวมถึงการติดตามเชิงรุก การตอบสนอง และการกู้คืนเหตุการณ์ การแก้ไข การปฏิบัติตามข้อกำหนด และการประสานงานและบริบท
มาดูรายละเอียดของแต่ละงานกันดีกว่า
การตรวจสอบเชิงรุก: รวมถึงการวิเคราะห์ไฟล์บันทึก บันทึกอาจมาจากปลายทาง (เช่น คอมพิวเตอร์ โน้ตบุ๊ก โทรศัพท์มือถือ หรืออุปกรณ์ IoT) หรือจากทรัพยากรเครือข่ายเช่น เราเตอร์ ไฟร์วอลล์ แอปพลิเคชันระบบตรวจจับการบุกรุก (IDS) และอุปกรณ์อีเมล อีกนิยามสำหรับการตรวจสอบเชิงรุกคือการตรวจสอบภัยคุกคาม สมาชิกทีม SOC ทำงานกับทรัพยากรต่าง ๆ ซึ่งอาจรวมถึงพนักงานไอทีคนอื่น ๆ (เช่น ช่างเทคนิค) ตลอดจนเครื่องมือปัญญาประดิษฐ์ (AI) และ ไฟล์ log
การตอบสนองและการกู้คืนเหตุการณ์: SOC ประสานงานองค์กรในการดำเนินการตามขั้นตอนที่จำเป็นเพื่อลดความเสียหายและสื่อสารอย่างเหมาะสมเพื่อให้องค์กรดำเนินต่อไปหลังจากเกิดเหตุการณ์ แค่ดูบันทึกและออกการแจ้งเตือนไม่เพียงพอ ส่วนสำคัญของการตอบสนองต่อเหตุการณ์ คือ การช่วยให้องค์กรฟื้นตัวจากเหตุการณ์ ตัวอย่างเช่น การกู้คืนอาจรวมถึงกิจกรรมต่าง ๆ เช่นการจัดการเหตุการณ์ มัลแวร์เฉียบพลันหรือแรนซัมแวร์
การแก้ไข: สมาชิกในทีม SOC จัดเตรียมการวิเคราะห์ที่ขับเคลื่อนด้วยข้อมูลซึ่งช่วยให้องค์กรจัดการกับช่องโหว่และปรับเครื่องมือตรวจสอบและแจ้งเตือนความปลอดภัย ตัวอย่างเช่น การใช้ข้อมูลที่ได้รับจากไฟล์บันทึกและแหล่งข้อมูลอื่น สมาชิก SOC สามารถแนะนำกลยุทธ์ การแบ่งกลุ่มเครือข่ายที่ดีกว่า หรือวิธีการแก้ไขระบบที่ดีกว่า การปรับปรุงความปลอดภัยทางไซเบอร์ที่มีอยู่ถือเป็นความรับผิดชอบหลักของ SOC
การปฏิบัติตาม: องค์กรรักษาความปลอดภัยตัวเองผ่านความสอดคล้องกับนโยบายการรักษาความปลอดภัยเช่นเดียวกับมาตรฐานการรักษาความปลอดภัยภายนอกเช่น ISO 27001x ที่ NIST Cybersecurity Framework (CSF) และการควบคุมการป้องกันข้อมูลทั่วไป (General Data Protection Regulation : GDPR) องค์กรจำเป็นต้องมี SOC เพื่อช่วยให้มั่นใจว่าสอดคล้องกับมาตรฐานความปลอดภัยที่สำคัญและแนวทางปฏิบัติที่ดีที่สุด
การประสานงานและบริบท: เหนือสิ่งอื่นใดสมาชิกในทีม SOC ช่วยให้องค์กรประสานงานองค์ประกอบและบริการที่แตกต่างกันและให้ข้อมูลที่เป็นภาพและเป็นประโยชน์ ส่วนหนึ่งของการประสานงานนี้คือความสามารถในการจัดเตรียมชุดข้อมูลที่เป็นประโยชน์ และเป็นประโยชน์สำหรับกิจกรรมบนเครือข่าย ข้อมูลเหล่านี้ช่วยกำหนดนโยบายและท่าทางการรักษาความปลอดภัยทางไซเบอร์ของบริษัทในอนาคต
สมาชิกทีม SOC ช่วยองค์กรระบุสาเหตุหลักของการโจมตีทางอินเทอร์เน็ต เมื่อนักวิเคราะห์ SOC ทำเช่นนี้พวกเขาจะมีส่วนร่วมในการวิเคราะห์สาเหตุที่แท้จริง ในระยะสั้นนักวิเคราะห์ SOC จะหาคำตอบว่าเมื่อใด อย่างไร และทำไมการโจมตีจึงประสบความสำเร็จ ด้วยเหตุนี้นักวิเคราะห์ SOC จะตรวจสอบหลักฐานการโจมตี หลักฐานดังกล่าวเรียกว่าตัวบ่งชี้การโจมตี หากการโจมตีประสบความสำเร็จนักวิเคราะห์ SOC จะศึกษาตัวชี้วัดของการ compromise เพื่อช่วยให้องค์กรตอบสนองอย่างเหมาะสม รวมทั้งทำการเปลี่ยนแปลงเพื่อไม่ให้การโจมตีแบบเดียวกันนี้เกิดขึ้นอีกในอนาคต
บทบาทงานของศูนย์ปฏิบัติการความปลอดภัย
แน่นอนว่ามีตำแหน่งเฉพาะหลายอย่างที่อยู่ในทีม SOC แม้ว่าตำแหน่งงานและตำแหน่งงานที่เฉพาะเจาะจงจะเปลี่ยนจากองค์กรหนึ่งไปยังอีกองค์กรหนึ่ง แต่ตำแหน่งงานบางส่วนที่มักพบใน SOC มีดังนี้
นักวิเคราะห์ความปลอดภัย: บุคคลนี้มีหน้าที่ในการตรวจสอบเครื่องมือและแอปพลิเคชันด้านความปลอดภัย จากนั้นจึงทำการตีความและบริบทที่เป็นประโยชน์ตามรายงานเหล่านั้น แอปพลิเคชันเหล่านี้อาจรวมถึงแอปพลิเคชันระบบตรวจจับการบุกรุก (IDS) ข้อมูลความปลอดภัยและแอปพลิเคชันการตรวจสอบเหตุการณ์ (SIEM) และแอปพลิเคชันฟีดภัยคุกคามความปลอดภัยทางไซเบอร์ บางครั้งบทบาทงานเฉพาะนี้เรียกว่าตัวดำเนินการหรือตัวดำเนินการ SOC
นักวิเคราะห์ความปลอดภัยอาวุโส: บุคคลนี้มีหน้าที่รับผิดชอบหลายอย่างเช่นเดียวกับนักวิเคราะห์ แต่ทำงานในประเด็นที่ท้าทายและรุนแรงกว่า หลายครั้งนักวิเคราะห์ความปลอดภัยอาวุโสจะต้องรับผิดชอบในกิจกรรมการรับมือเหตุการณ์ที่เป็นผู้นำ ในความเป็นจริงบางครั้งนักวิเคราะห์ความปลอดภัยอาวุโสเรียกว่าผู้จัดการการตอบสนองต่อเหตุการณ์
นักล่าภัยคุกคาม: บุคคลนี้มีการผสมผสานระหว่างการวิเคราะห์ความปลอดภัยและทักษะการทดสอบการเจาะระบบ นอกจากนี้ยังมีความสามารถในการทำงานร่วมกับคนทางด้านเทคนิคและไม่ใช่เทคนิคเหมือนกันที่จะช่วยให้องค์กรที่คาดว่าจะมีการโจมตี
ผู้จัดการ Cyber Threat Intelligence (CTI): องค์กรที่แสวงหาผลกำไรและไม่แสวงหาผลกำไรหลายแห่งสร้างฟีดข่าวกรองภัยคุกคามที่มีประโยชน์ ผู้จัดการ CTI อาจถูกขอให้เชี่ยวชาญในการรับกลั่นกรองและตีความฟีดเหล่านี้สำหรับองค์กร
ผู้จัดการ: บุคคลนี้มีหน้าที่จัดการสมาชิกในทีมแต่ละคนตลอดจนเทคโนโลยีที่สมาชิกในทีมแต่ละคนใช้
เกิดอะไรขึ้นในศูนย์ปฏิบัติการความปลอดภัย
ก่อนอื่นทีม SOC จะรวบรวมข้อมูลจากทรัพยากรต่าง ๆ รวมถึงฟีดภัยคุกคาม CTI เพื่อบันทึกไฟล์จากระบบต่าง ๆ ทั่วทั้งองค์กร ทีม SOC ตรวจสอบทรัพย์สินของบริษัท อย่างรอบคอบตั้งแต่เซิร์ฟเวอร์ในองค์กรในศูนย์ข้อมูลไปจนถึงทรัพยากรระบบคลาวด์ การตรวจสอบที่ถูกต้องเป็นสิ่งสำคัญ ดังนั้นสมาชิกในทีม SOC จะตรวจสอบเซิร์ฟเวอร์และอุปกรณ์เช่น ไฟร์วอลล์และสวิตช์
จากนั้นสมาชิกทีม SOC จะทำการวิเคราะห์เพื่อตีความข้อมูลนี้อย่างรอบคอบเพื่อให้พวกเขามีข้อมูลที่นำไปปฏิบัติได้ ส่วนหนึ่งของการตีความนี้เกี่ยวข้องกับการกำจัดข้อมูลที่ซ้ำกันและระบุสาเหตุที่แท้จริงของปัญหา กิจกรรมนี้มักเรียกว่า data normalization
เพียงแค่ดูไฟล์บันทึกของเครื่องมือ SIEM เท่านั้นยังไม่เพียงพอ ผู้ปฏิบัติงานต้องมีประสบการณ์และความรู้เพียงพอที่จะตีความข้อมูลได้อย่างถูกต้อง ในหลาย ๆ ด้าน สมาชิกในทีม SOC ในอุดมคติจะทำหน้าที่เป็นล่ามหลักของข้อมูล
แต่ความรับผิดชอบของ SOC ไม่ได้จบแค่นั้น SOC ไม่ได้ถูกตั้งขึ้นมาเพื่อตามหาผู้กระทำผิดเท่านั้น สมาชิกทีม SOC ใช้เวลาไม่น้อยในการระบุเงื่อนไขที่สร้าง honey pot ที่เหมาะสำหรับแฮกเกอร์
ซึ่งอาจรวมถึงการค้นหาสิ่งต่อไปนี้:
Unpatched servers and end points: ในขณะที่การอัปเดตระบบอาจดูเหมือนเป็นขั้นตอนเล็กน้อย แต่ก็ไม่ได้เป็นเช่นนั้นจริง ๆ สมาชิกในทีม SOC สามารถช่วยตั้งค่าสถานะระบบที่ไม่ได้ติดตั้งหรือระบุแนวทางปฏิบัติอื่น ๆ ตัวอย่างเช่น หากไม่สามารถแพตช์ระบบได้ด้วยเหตุผลบางประการอาจจำเป็นต้องตรวจสอบระบบที่ไม่ได้ติดตั้งจนกว่าจะมีเวลาในการแก้ไขอย่างถูกต้อง
Vulnerable endpoints: อาจรวมถึงการ update โปรแกรม antivirus ที่ไม่ดี หรือแม้แต่ไม่มีโปรแกรมป้องกันไวรัสที่ทำงานอยู่เลย
คุณต้องมีทักษะอะไรบ้างในการทำงานในศูนย์ปฏิบัติการความปลอดภัย
ไม่ใช่ทุกคนในทีม SOC ที่มีประสบการณ์ด้านความปลอดภัยมานานหลายปี ในความเป็นจริงสมาชิกทีม SOC บางคนมีประสบการณ์ด้านไอทีเพียงไม่กี่ปี และยังมีคนอื่น ๆ อีก
คุณลักษณะหลักของสมาชิกในทีม SOC คือความรู้ที่ลึกซึ้งและกว้างขวางในทุกด้านของไอทีดังสรุปไว้ในตารางด้านล่าง ทักษะที่จำเป็นในการทำงานใน SOC อยู่ภายใต้การรับรองของ CompTIA ดังที่ระบุไว้ด้านล่าง การมีใบรับรอง CompTIA พิสูจน์ให้ผู้ว่าจ้างเห็นว่าคุณมีทักษะที่จำเป็นในศูนย์ปฏิบัติการด้านความปลอดภัย
| กิจกรรม | คำอธิบาย | การรับรอง CompTIA |
| การวิเคราะห์จุด endpoint | ความสามารถในการทำความเข้าใจว่าโฮสต์เครือข่ายควรจะทำงานอย่างไรและสามารถจัดการได้อย่างไร | CompTIA A + |
| การประเมินทรัพยากรเครือข่ายและระบบคลาวด์ | วิธีการใช้ทรัพยากรในทางที่ผิด | CompTIA Network + CompTIA Cloud + CompTIA Linux + CompTIA Server + |
| การรับรู้ช่องโหว่และการจดจำการโจมตี | ประสบการณ์จริงและตรงกับลักษณะของการโจมตี | CompTIA Security + |
| การวิเคราะห์กลยุทธ์เทคนิคและขั้นตอน (TTPS) และตัวบ่งชี้การ compromise (IoC) | ความสามารถในการระบุกิจกรรมเฉพาะของแฮ็กเกอร์ | CompTIA Security + CompTIA CySA + CompTIA PenTest + |
| ทำตามแต่ละขั้นตอนของวงจรชีวิตของแฮ็กเกอร์ | ความสามารถโดยละเอียดในการติดตามว่าแฮ็กเกอร์ทำอะไรอย่างไรขณะทำการโจมตี ต้องมีความรู้เกี่ยวกับเรื่องต่างๆรวมถึง Lockheed-Martin Cybersecurity Kill Chain | CompTIA Security + CompTIA PenTest + |
สิ่งสำคัญคือต้องทราบว่านักวิเคราะห์ SOC ระดับเริ่มต้นอาจไม่ต้องการการรับรองขั้นสูงเช่น CompTIA Cybersecurity Analyst (CySA +), CompTIA PenTest + หรือ CompTIA Advanced Security Practitioner (CASP +) แต่ตารางด้านบนควรให้แนวคิดเกี่ยวกับประเภทของทักษะที่นักวิเคราะห์ SOC หรือผู้ที่ติดต่อประสานงานกับนักวิเคราะห์ SOC