แหล่งข้อมูล

ศูนย์ปฏิบัติการความปลอดภัยคืออะไร?

พูดง่าย ๆ คือศูนย์ปฏิบัติการด้านความปลอดภัย คือทีมผู้เชี่ยวชาญที่คอยตรวจสอบความสามารถขององค์กรในเชิงรุกในการดำเนินงานอย่างปลอดภัย SOC ให้เป็นห้องที่นักวิเคราะห์ทำงานร่วมกัน สมาชิกในทีม SOC สามารถทำงานนอกสำนักงานหรือที่บ้านได้ เช่นเดียวกับที่ทำได้ในศูนย์ปฏิบัติการ

สมาชิกทีม SOC ทำอะไร

สมาชิกของทีม SOC มีหน้าที่รับผิดชอบในกิจกรรมต่าง ๆ รวมถึงการติดตามเชิงรุก การตอบสนอง และการกู้คืนเหตุการณ์ การแก้ไข การปฏิบัติตามข้อกำหนด และการประสานงานและบริบท

มาดูรายละเอียดของแต่ละงานกันดีกว่า

การตรวจสอบเชิงรุก: รวมถึงการวิเคราะห์ไฟล์บันทึก บันทึกอาจมาจากปลายทาง (เช่น คอมพิวเตอร์ โน้ตบุ๊ก โทรศัพท์มือถือ หรืออุปกรณ์ IoT) หรือจากทรัพยากรเครือข่ายเช่น เราเตอร์ ไฟร์วอลล์ แอปพลิเคชันระบบตรวจจับการบุกรุก (IDS) และอุปกรณ์อีเมล อีกนิยามสำหรับการตรวจสอบเชิงรุกคือการตรวจสอบภัยคุกคาม สมาชิกทีม SOC ทำงานกับทรัพยากรต่าง ๆ ซึ่งอาจรวมถึงพนักงานไอทีคนอื่น ๆ (เช่น ช่างเทคนิค) ตลอดจนเครื่องมือปัญญาประดิษฐ์ (AI) และ ไฟล์ log

การตอบสนองและการกู้คืนเหตุการณ์: SOC ประสานงานองค์กรในการดำเนินการตามขั้นตอนที่จำเป็นเพื่อลดความเสียหายและสื่อสารอย่างเหมาะสมเพื่อให้องค์กรดำเนินต่อไปหลังจากเกิดเหตุการณ์ แค่ดูบันทึกและออกการแจ้งเตือนไม่เพียงพอ ส่วนสำคัญของการตอบสนองต่อเหตุการณ์ คือ การช่วยให้องค์กรฟื้นตัวจากเหตุการณ์ ตัวอย่างเช่น การกู้คืนอาจรวมถึงกิจกรรมต่าง ๆ เช่นการจัดการเหตุการณ์ มัลแวร์เฉียบพลันหรือแรนซัมแวร์

การแก้ไข: สมาชิกในทีม SOC จัดเตรียมการวิเคราะห์ที่ขับเคลื่อนด้วยข้อมูลซึ่งช่วยให้องค์กรจัดการกับช่องโหว่และปรับเครื่องมือตรวจสอบและแจ้งเตือนความปลอดภัย ตัวอย่างเช่น การใช้ข้อมูลที่ได้รับจากไฟล์บันทึกและแหล่งข้อมูลอื่น สมาชิก SOC สามารถแนะนำกลยุทธ์ การแบ่งกลุ่มเครือข่ายที่ดีกว่า หรือวิธีการแก้ไขระบบที่ดีกว่า การปรับปรุงความปลอดภัยทางไซเบอร์ที่มีอยู่ถือเป็นความรับผิดชอบหลักของ SOC

การปฏิบัติตาม: องค์กรรักษาความปลอดภัยตัวเองผ่านความสอดคล้องกับนโยบายการรักษาความปลอดภัยเช่นเดียวกับมาตรฐานการรักษาความปลอดภัยภายนอกเช่น ISO 27001x ที่ NIST Cybersecurity Framework (CSF) และการควบคุมการป้องกันข้อมูลทั่วไป (General Data Protection Regulation : GDPR) องค์กรจำเป็นต้องมี SOC เพื่อช่วยให้มั่นใจว่าสอดคล้องกับมาตรฐานความปลอดภัยที่สำคัญและแนวทางปฏิบัติที่ดีที่สุด

การประสานงานและบริบท: เหนือสิ่งอื่นใดสมาชิกในทีม SOC ช่วยให้องค์กรประสานงานองค์ประกอบและบริการที่แตกต่างกันและให้ข้อมูลที่เป็นภาพและเป็นประโยชน์ ส่วนหนึ่งของการประสานงานนี้คือความสามารถในการจัดเตรียมชุดข้อมูลที่เป็นประโยชน์ และเป็นประโยชน์สำหรับกิจกรรมบนเครือข่าย ข้อมูลเหล่านี้ช่วยกำหนดนโยบายและท่าทางการรักษาความปลอดภัยทางไซเบอร์ของบริษัทในอนาคต

สมาชิกทีม SOC ช่วยองค์กรระบุสาเหตุหลักของการโจมตีทางอินเทอร์เน็ต เมื่อนักวิเคราะห์ SOC ทำเช่นนี้พวกเขาจะมีส่วนร่วมในการวิเคราะห์สาเหตุที่แท้จริง ในระยะสั้นนักวิเคราะห์ SOC จะหาคำตอบว่าเมื่อใด อย่างไร และทำไมการโจมตีจึงประสบความสำเร็จ ด้วยเหตุนี้นักวิเคราะห์ SOC จะตรวจสอบหลักฐานการโจมตี หลักฐานดังกล่าวเรียกว่าตัวบ่งชี้การโจมตี หากการโจมตีประสบความสำเร็จนักวิเคราะห์ SOC จะศึกษาตัวชี้วัดของการ compromise เพื่อช่วยให้องค์กรตอบสนองอย่างเหมาะสม รวมทั้งทำการเปลี่ยนแปลงเพื่อไม่ให้การโจมตีแบบเดียวกันนี้เกิดขึ้นอีกในอนาคต

บทบาทงานของศูนย์ปฏิบัติการความปลอดภัย

แน่นอนว่ามีตำแหน่งเฉพาะหลายอย่างที่อยู่ในทีม SOC แม้ว่าตำแหน่งงานและตำแหน่งงานที่เฉพาะเจาะจงจะเปลี่ยนจากองค์กรหนึ่งไปยังอีกองค์กรหนึ่ง แต่ตำแหน่งงานบางส่วนที่มักพบใน SOC มีดังนี้

นักวิเคราะห์ความปลอดภัย: บุคคลนี้มีหน้าที่ในการตรวจสอบเครื่องมือและแอปพลิเคชันด้านความปลอดภัย จากนั้นจึงทำการตีความและบริบทที่เป็นประโยชน์ตามรายงานเหล่านั้น แอปพลิเคชันเหล่านี้อาจรวมถึงแอปพลิเคชันระบบตรวจจับการบุกรุก (IDS) ข้อมูลความปลอดภัยและแอปพลิเคชันการตรวจสอบเหตุการณ์ (SIEM) และแอปพลิเคชันฟีดภัยคุกคามความปลอดภัยทางไซเบอร์ บางครั้งบทบาทงานเฉพาะนี้เรียกว่าตัวดำเนินการหรือตัวดำเนินการ SOC

นักวิเคราะห์ความปลอดภัยอาวุโส: บุคคลนี้มีหน้าที่รับผิดชอบหลายอย่างเช่นเดียวกับนักวิเคราะห์ แต่ทำงานในประเด็นที่ท้าทายและรุนแรงกว่า หลายครั้งนักวิเคราะห์ความปลอดภัยอาวุโสจะต้องรับผิดชอบในกิจกรรมการรับมือเหตุการณ์ที่เป็นผู้นำ ในความเป็นจริงบางครั้งนักวิเคราะห์ความปลอดภัยอาวุโสเรียกว่าผู้จัดการการตอบสนองต่อเหตุการณ์

นักล่าภัยคุกคาม: บุคคลนี้มีการผสมผสานระหว่างการวิเคราะห์ความปลอดภัยและทักษะการทดสอบการเจาะระบบ นอกจากนี้ยังมีความสามารถในการทำงานร่วมกับคนทางด้านเทคนิคและไม่ใช่เทคนิคเหมือนกันที่จะช่วยให้องค์กรที่คาดว่าจะมีการโจมตี

ผู้จัดการ Cyber ​​Threat Intelligence (CTI): องค์กรที่แสวงหาผลกำไรและไม่แสวงหาผลกำไรหลายแห่งสร้างฟีดข่าวกรองภัยคุกคามที่มีประโยชน์ ผู้จัดการ CTI อาจถูกขอให้เชี่ยวชาญในการรับกลั่นกรองและตีความฟีดเหล่านี้สำหรับองค์กร

ผู้จัดการ: บุคคลนี้มีหน้าที่จัดการสมาชิกในทีมแต่ละคนตลอดจนเทคโนโลยีที่สมาชิกในทีมแต่ละคนใช้

เกิดอะไรขึ้นในศูนย์ปฏิบัติการความปลอดภัย

ก่อนอื่นทีม SOC จะรวบรวมข้อมูลจากทรัพยากรต่าง ๆ รวมถึงฟีดภัยคุกคาม CTI เพื่อบันทึกไฟล์จากระบบต่าง ๆ ทั่วทั้งองค์กร ทีม SOC ตรวจสอบทรัพย์สินของบริษัท อย่างรอบคอบตั้งแต่เซิร์ฟเวอร์ในองค์กรในศูนย์ข้อมูลไปจนถึงทรัพยากรระบบคลาวด์ การตรวจสอบที่ถูกต้องเป็นสิ่งสำคัญ ดังนั้นสมาชิกในทีม SOC จะตรวจสอบเซิร์ฟเวอร์และอุปกรณ์เช่น ไฟร์วอลล์และสวิตช์

จากนั้นสมาชิกทีม SOC จะทำการวิเคราะห์เพื่อตีความข้อมูลนี้อย่างรอบคอบเพื่อให้พวกเขามีข้อมูลที่นำไปปฏิบัติได้ ส่วนหนึ่งของการตีความนี้เกี่ยวข้องกับการกำจัดข้อมูลที่ซ้ำกันและระบุสาเหตุที่แท้จริงของปัญหา กิจกรรมนี้มักเรียกว่า data normalization

เพียงแค่ดูไฟล์บันทึกของเครื่องมือ SIEM เท่านั้นยังไม่เพียงพอ ผู้ปฏิบัติงานต้องมีประสบการณ์และความรู้เพียงพอที่จะตีความข้อมูลได้อย่างถูกต้อง ในหลาย ๆ ด้าน สมาชิกในทีม SOC ในอุดมคติจะทำหน้าที่เป็นล่ามหลักของข้อมูล

แต่ความรับผิดชอบของ SOC ไม่ได้จบแค่นั้น SOC ไม่ได้ถูกตั้งขึ้นมาเพื่อตามหาผู้กระทำผิดเท่านั้น สมาชิกทีม SOC ใช้เวลาไม่น้อยในการระบุเงื่อนไขที่สร้าง honey pot ที่เหมาะสำหรับแฮกเกอร์

ซึ่งอาจรวมถึงการค้นหาสิ่งต่อไปนี้:

Unpatched servers and end points: ในขณะที่การอัปเดตระบบอาจดูเหมือนเป็นขั้นตอนเล็กน้อย แต่ก็ไม่ได้เป็นเช่นนั้นจริง ๆ สมาชิกในทีม SOC สามารถช่วยตั้งค่าสถานะระบบที่ไม่ได้ติดตั้งหรือระบุแนวทางปฏิบัติอื่น ๆ ตัวอย่างเช่น หากไม่สามารถแพตช์ระบบได้ด้วยเหตุผลบางประการอาจจำเป็นต้องตรวจสอบระบบที่ไม่ได้ติดตั้งจนกว่าจะมีเวลาในการแก้ไขอย่างถูกต้อง

Vulnerable endpoints: อาจรวมถึงการ update โปรแกรม antivirus ที่ไม่ดี หรือแม้แต่ไม่มีโปรแกรมป้องกันไวรัสที่ทำงานอยู่เลย

คุณต้องมีทักษะอะไรบ้างในการทำงานในศูนย์ปฏิบัติการความปลอดภัย

ไม่ใช่ทุกคนในทีม SOC ที่มีประสบการณ์ด้านความปลอดภัยมานานหลายปี ในความเป็นจริงสมาชิกทีม SOC บางคนมีประสบการณ์ด้านไอทีเพียงไม่กี่ปี และยังมีคนอื่น ๆ อีก

คุณลักษณะหลักของสมาชิกในทีม SOC คือความรู้ที่ลึกซึ้งและกว้างขวางในทุกด้านของไอทีดังสรุปไว้ในตารางด้านล่าง ทักษะที่จำเป็นในการทำงานใน SOC อยู่ภายใต้การรับรองของ CompTIA ดังที่ระบุไว้ด้านล่าง การมีใบรับรอง CompTIA พิสูจน์ให้ผู้ว่าจ้างเห็นว่าคุณมีทักษะที่จำเป็นในศูนย์ปฏิบัติการด้านความปลอดภัย

กิจกรรมคำอธิบายการรับรอง CompTIA
การวิเคราะห์จุด endpointความสามารถในการทำความเข้าใจว่าโฮสต์เครือข่ายควรจะทำงานอย่างไรและสามารถจัดการได้อย่างไรCompTIA A +
การประเมินทรัพยากรเครือข่ายและระบบคลาวด์วิธีการใช้ทรัพยากรในทางที่ผิดCompTIA Network +
CompTIA Cloud +
CompTIA Linux +
CompTIA Server +
การรับรู้ช่องโหว่และการจดจำการโจมตีประสบการณ์จริงและตรงกับลักษณะของการโจมตีCompTIA Security +
การวิเคราะห์กลยุทธ์เทคนิคและขั้นตอน (TTPS) และตัวบ่งชี้การ compromise (IoC)ความสามารถในการระบุกิจกรรมเฉพาะของแฮ็กเกอร์CompTIA Security +
CompTIA CySA +
CompTIA PenTest +
ทำตามแต่ละขั้นตอนของวงจรชีวิตของแฮ็กเกอร์ความสามารถโดยละเอียดในการติดตามว่าแฮ็กเกอร์ทำอะไรอย่างไรขณะทำการโจมตี ต้องมีความรู้เกี่ยวกับเรื่องต่างๆรวมถึง Lockheed-Martin Cybersecurity Kill ChainCompTIA Security +
CompTIA PenTest +

สิ่งสำคัญคือต้องทราบว่านักวิเคราะห์ SOC ระดับเริ่มต้นอาจไม่ต้องการการรับรองขั้นสูงเช่น CompTIA Cybersecurity Analyst (CySA +), CompTIA PenTest + หรือ CompTIA Advanced Security Practitioner (CASP +) แต่ตารางด้านบนควรให้แนวคิดเกี่ยวกับประเภทของทักษะที่นักวิเคราะห์ SOC หรือผู้ที่ติดต่อประสานงานกับนักวิเคราะห์ SOC