Security Operations Center หรือ SOC นั้นได้กลายเป็นส่วนสำคัญของธุรกิจองค์กรในเวลานี้ เพื่อใช้ในการรวบรวมข้อมูลด้าน Cybersecurity จากระบบ IT ที่มีความสำคัญในองค์กร มาทำการวิเคราะห์ ตรวจสอบ และค้นหาภัยคุกคามที่อาจแฝงเร้นมาในวิธีการที่ซับซ้อนเกินกว่าที่ระบบรักษาความมั่นคงปลอดภัยทั่วไปจะตรวจจับได้

อย่างไรก็ดี การนำระบบ SOC มาใช้ในธุรกิจองค์กร ไม่ว่าจะเป็นการลงทุนสร้างศูนย์ SOC เอง หรือการใช้บริการในลักษณะ Managed Services นั้น ก็ต้องอาศัยเทคโนโลยีที่เหมาะสม และผู้เชี่ยวชาญด้าน Cybersecurity ในการตรวจจับและรับมือกับภัยคุกคาม โดยจะดียิ่งขึ้นไปอีกหากผู้เชี่ยวชาญนั้นๆ มีทักษะด้าน IT Infrastructure ที่สามารถช่วยแก้ไขช่องโหว่ด้านความมั่นคงปลอดภัย IT ให้ได้อย่างทันท่วงที

ในบทความนี้ เราจะพาทุกท่านไปรู้จักกับ IBM Security QRadar และทีมงาน Ruth Victor ที่ได้มีประสบการณ์ในการวางระบบ SOC ให้กับธุรกิจโทรคมนาคมและธุรกิจด้านโครงสร้างพื้นฐานของประเทศมาแล้ว เพื่อเป็นอีกทางเลือกให้กับธุรกิจองค์กรไทยกัน

รู้จักกับ IBM Security QRadar Suite: โซลูชันครบวงจรสำหรับการรวบรวม วิเคราะห์ และตอบสนองต่อข้อมูลและเหตุการณ์ด้าน Cybersecurity ขององค์กร

IBM Security QRadar Suite นั้นคือโซลูชันสำหรับการทำ Threat Detection & Response ที่ครบวงจร โดยมีการผสมผสานนวัตกรรมด้าน AI และ Automation สำหรับธุรกิจองค์กรเข้าไปเพื่อช่วยให้การจัดการด้านความมั่นคงปลอดภัยเป็นไปได้อย่างสะดวกและง่ายดายมากยิ่งขึ้น

Gartner ได้จัดอันดับให้ IBM Security QRadar SIEM นั้นอยู่ในกลุ่มของ Leader ภายในรายงาน Magic Quadrant for SIEM ต่อเนื่องมานานถึง 13 ปี เป็นอีกหนึ่งการยืนยันถึงความสามารถที่สามารถตอบโจทย์การใช้งานได้อย่างครบถ้วน และการยอมรับจากธุรกิจองค์กรทั่วโลกได้อย่างแท้จริง โดยผู้ที่สนใจสามารถโหลดรายงานได้ที่ https://www.ibm.com/account/reg/us-en/signup?formid=urx-51774

สำหรับโซลูชันที่อยู่ภายใต้ IBM Security QRadar Suite จะมีด้วยกัน 5 ส่วน ดังนี้

1. IBM Security QRadar EDR

Credit: IBM

โซลูชันสำหรับการตรวจจับภัยคุกคามภายในอุปกรณ์ Endpoint โดยเฉพาะ เพื่อรับมือกับการเจาะโจมตีระบบที่อุปกรณ์ Endpoint, การโจมตีระบบผ่านช่องโหว่ 0-day และการโจมตีของ Ransomware ในวงกว้าง

โซลูชันนี้จะมีการนำเทคโนโลยี NanoOS ที่ถูกออกแบบมาเพื่อให้ผู้โจมตีตรวจจับเจอได้ยาก มาใช้ในการตรวจสอบ Process และ Application ที่ทำงานอยู่ภายในแต่ละ Endpoint และค้นหาภัยคุกคามได้อย่างต่อเนื่องด้วยการวิเคราะห์จาก AI ซึ่งทำการเรียนรู้พฤติกรรมและความผิดปกติใหม่ๆ ที่เกิดขึ้นอยู่ตลอดเวลา ทำให้สามารถตรวจพบภัยคุกคามเชิงลึกได้มากยิ่งขึ้น พร้อมทำการสร้าง Behavioral Tree เพื่อวิเคราะห์พฤติกรรมที่ผิดปกติให้ง่ายต่อการวิเคราะห์

และทันทีที่ตรวจพบภัยคุกคามใหม่ๆ IBM Security QRadar EDR ก็มี Workflow สำหรับการสร้าง Use Case รับมือกับภัยคุกคามนั้นๆ ได้อย่างรวดเร็วและง่ายดาย ช่วยให้ผู้ดูแลระบบรักษาความมั่นคงปลอดภัยสามารถตัดสินใจจัดการกับภัยคุกคามใหม่ๆ ที่ยังไม่เคยตรวจเจอได้อย่างทันท่วงที

2. IBM Security QRadar Log Insights

Credit: IBM

สำหรับธุรกิจที่มุ่งเน้นการวิเคราะห์ข้อมูลจาก Log เป็นหลัก โดยเฉพาะข้อมูล Log จากระบบ Cloud อันหลากหลาย IBM Security QRadar Log Insights คือโซลูชันที่สามารถตอบโจทย์นี้ได้เป็นอย่างดี ด้วยคุณสมบัติด้านการวิเคราะห์ภัยคุกคามจากระบบ Log ที่เหนือกว่าระบบ Log Management ทั่วๆ ไป

โซลูชันดังกล่าวสามารถทำการรวบรวมข้อมูล Log จากแหล่ง Data Source ใดๆ ก็ได้ที่ต้องการ และนำมาเปิดให้บริการสำหรับการ Search, การสร้าง Visualization Dashboard และวาง Workflow สำหรับการรับมือกับภัยคุกคามที่ตรวจพบได้ทันที

นอกจากนี้ IBM Security QRadar Log Insights ยังมาพร้อมกับคุณสมบัติ AWS Built-In ทำให้สามารถติดตั้งใช้งานบน AWS แบบอัตโนมัติผ่าน Marketplace และทำการรวบรวมข้อมูลด้าน Cybersecurity จากระบบ Cloud ของ AWS มาทำการวิเคราะห์แสดงผล และตรวจจับภัยคุกคามได้อย่างรวดเร็วง่ายดาย

3. IBM Security QRadar SIEM

Credit: IBM

โซลูชันที่ถูกใช้งานมากที่สุดในธุรกิจองค์กร ด้วยคุณสมบัติการรวบรวมข้อมูลจาก Data Source ที่หลากหลายไม่ว่าจะเป็น Log, Flow, Network Traffic, API และอื่นๆ เพื่อนำมาวิเคราะห์ด้าน Cybersecurity ค้นหาภัยคุกคามได้แบบรวมศูนย์ พร้อมการเชื่อมต่อ Threat Intelligence เพื่อตรวจจับภัยคุกคามใหม่ๆ ที่ทั่วโลกมีการตรวจพบ อีกทั้งยังสามารถติดตั้งใช้งานได้ทั้งแบบ On-Premises และ Cloud ทำให้ IBM Security QRadar SIEM กลายเป็นโซลูชันแรกๆ ที่ถูกเลือกใช้ในการวางระบบ SOC ในธุรกิจองค์กรหลายแห่ง

การผสาน AI ในระบบเพื่อตรวจจับภัยคุกคามทั้งที่เป็นที่รู้จักและยังไม่เป็นที่รู้จักนั้น ก็ทำให้โซลูชันนี้สามารถช่วยรับมือกับภัยคุกคามได้หลากหลายมากยิ่งขึ้น อีกทั้งการมี Pre-Built Integration และ Extension มากกว่า 700 รายการ ก็ทำให้การผสานระบบ SIEM เข้ากับระบบ IT เดิมที่ใช้งานอยู่นั้นกลายเป็นเรื่องที่ง่ายดายยิ่งขึ้นเป็นอย่างมาก

IBM ระบุว่าการใช้ IBM Security QRadar SIEM จะช่วยประหยัดเวลาให้กับนักวิเคราะห์ด้านความมั่นคงปลอดภัยได้มากกว่า 14,000 ชั่วโมงต่อ 3 ปี และระบบก็สามารถช่วยสร้าง Correlation หาความสัมพันธ์ระหว่างข้อมูลหรือเหตุการณ์ พร้อมตัดสินใจกำหนดระดับความสำคัญของข้อมูลแต่ละส่วนให้ได้อัตโนมัติ ทำให้สามารถลดเวลาในการวิเคราะห์เหตุการณ์โจมตีแต่ละครั้งลงได้ถึง 90% ซึ่งทั้งหมดนี้ ก็ช่วยให้ธุรกิจองค์กรแต่ละแห่งสามารถลดความเสี่ยงที่ระบบจะถูกเจาะโจมตีจนเกิดความเสียหายลงได้ถึง 60%

4. IBM Security QRadar SOAR

Credit: IBM

เสริมประสิทธิภาพของ SOC ด้วยการต่อยอดจาก SIEM สู่ SOAR กับ IBM Security Qradar SOAR ที่เสริมความสามารถในการทำ Incident Response (IR) ขึ้นไปอีกชั้นด้วยการนำเทคโนโลยี Automation และการวางมาตรฐานให้กับกระบวนการรับมือกับภัยคุกคามเข้ามาเติมเต็ม

โซลูชันดังกล่าวจะช่วยให้ธุรกิจสามารถผสานรวมความสามารถของ SIEM เข้ากับการตอบสนองโดยโซลูชัน Cybersecurity อื่นๆ ภายในองค์กรได้อย่างอัตโนมัติ เพื่อให้ระบบทำการจัดการภัยคุกคามตาม Playbook ที่วางเอาไว้โดยอัตโนมัติ พร้อมกำหนด Workflow เพื่อให้ Cybersecurity Engineer เข้ามาทำการวิเคราะห์, ออกเอกสาร และจัดการกับภัยคุกคามตามกระบวนการที่กำหนดเอาไว้ได้ตามมาตรฐานที่วางเอาไว้

โดยสำหรับกรณีที่เกิดข้อมูลรั่วไหล ภายในระบบก็จะมี Work Flow สำหรับการทำ Breach Response เพื่อออกรายงาน Privacy Reporting สำหรับแจ้งผลการตรวจสอบวิเคราะห์ความเสียหายไปยังหน่วยงานที่เกี่ยวข้องหรือเจ้าของข้อมูล ทำให้สามารถจัดการกับกรณีของภัยคุกคามได้อย่างครบวงจร

5. IBM Security QRadar Advisor with Watson

Credit: IBM

โซลูชันระบบ AI และ Machine Learning สำหรับช่วย Cybersecurity ในการทำ Investigation ตรวจสอบวิเคราะห์และสืบสวนเหตุการณ์การโจมตีและภัยคุกคาม ที่สามารถนำข้อมูลภายใน IBM Security QRadar มาวิเคราะห์ร่วมกับข้อมูลที่ระบบ AI มีอยู่เดิม ช่วยให้กระบวนการการสืบสวนเหตุการณ์การโจมตีเป็นไปได้อย่างรวดเร็ว โดย AI จะทำการตรวจสอบข้อมูลและนำเสนอผลการวิเคราะห์การโจมตี พร้อมสรุปข้อมูล Relationship Graph เพื่อให้เห็นถึงความสัมพันธ์ที่ตรวจพบในการวิเคราะห์ได้โดยง่าย พร้อมเปิดให้นำข้อมูลเหล่านี้เข้าไปบันทึกเป็นส่วนหนึ่งของ Ticket ในการแก้ไขปัญหาได้ทันที

นอกจากนี้ Watson ยังสามารถช่วยในการค้นหาข้อมูลเกี่ยวกับ Indicator ที่ตรวจพบในการโจมตี เพื่อหาข้อมูลแวดล้อมเพิ่มเติมประกอบการวิเคราะห์ข้อมูลได้อีกด้วย

Credit: IBM