Saturday, September 2

SOC in the Box

สังเกตไหมว่า ทำไม หลายองค์กร ที่ลงทุนด้านระบบรักษาความปลอดภัยไปแล้ว ถึงยังคงต้องมาปวดหัวกับเรื่องภัยคุกคามต่างๆที่เกิดขึ้นอยู่ ทั้งที่ซื้อระบบ Firewall , IDS/IPS และ software ป้องกันภัยต่างๆ ไปแล้ว ก็ยังคงไม่ปลอดภัยอยู่ดี เนื่องจากที่เราทราบกันดีว่าองค์ประกอบที่สำคัญในด้านการรักษาความปลอดภัยข้อมูล มี 3 ข้อ คือ เรื่องเทคโนโลยี คน และ กระบวนการ หากเราลงทุนเทคโนโลยีไปแล้ว แต่ยังไม่มีการดูแล คน และไม่มีการจัดการที่กระบวนการ เราก็ยังไม่ปลอดภัย เป็นโจทย์ใหญที่ทำให้ผมต้องการให้มีความปลอดภัยข้อมูลในองค์กร แบบสำเร็จรูป โดยใช้องค์ประกอบหลักใหญ่ทั้ง 3 เพื่อสร้างความลงตัว ผมมองว่า การทำให้ คน และ กระบวน การจะรวมกันได้นั้นต้องมี มาตราฐานมารองรับ โดยที่มาตราฐานที่ใช้ในการทำ Information Security มีอยู่ด้วยกันหลายรูปแบบ จึงทำให้เป็นที่สงสัย และเกิดความไม่เข้าใจว่าจะเริ่มต้นที่จุดไหนก่อนดี ?

ผมจึงได้เสนอแนวคิด การตั้ง ศูนย์เตือนภัยทางเครือข่ายคอมพิวเตอร์ ขึ้น หรือที่เรียกว่า SOC (Security Operation Center) หากแต่ SOC ตามความหมายของคนทั่วไปมักจะมองเป็นห้องบัญชาการขนาดใหญ่ และมีเครื่องคอมพิวเตอร์ไว้สังเกตการจำนวนมาก มีคนปฏิบัติหน้าที่ และค่อยเฝ้าระวังภัยที่อาจจะเกิดขึ้นบนระบบเครือข่าย ทุกคนเห็นว่าการจัดทำ SOC เป็นเรื่องที่ดี และควรจะลงมือปฏิบัติ แต่ไม่รู้จะเริ่มต้นอย่างไร ?

คำถามทั้ง 2 ที่ยังไม่ได้รับคำตอบ เหล่านี้จึงเกิดการลงทุนด้านระบบเครือข่ายความปลอดภัยจำนวนมาก โดยไม่รู้ว่าจะคุ้มทุนที่ใด
คำตอบผมมี ใน 1 Blade server โดยทั้งระบบนี้จะสามารถ compliance ตรงตาม มาตราฐานที่เราต้องการไม่ว่าเป็น ISO17799 , SOX, HIPAA คุณสามารถเลือก compliance และให้ระบบตรวจสอบว่ายังขาดตกในมาตราฐานข้อใดในองค์กรได้

ในส่วนการสร้างมาตราฐานความปลอดภัยข้อมูล บน SOC โดยสรุป สามารถแบ่ง เทคโนโลยี ในการเปรียบเทียบได้ 4 หัวข้อหลักคือ
1. Threat Detection เกี่ยวกับการตรวจตราภัยคุกคามที่อาจเกิดขึ้นบนเครือข่าย ไม่ว่าเป็นแบบ Reactive เช่น log firewall , syslog จาก devices หรือ proactive เช่น IDS/IPS , antivirus แบบ Real time , รวมถึงระบบ Network access control สำหรับ endpoint security สำหรับเครื่องพกพา และเครื่องแปลกปลอมที่เข้าสู่เครือข่าย LAN ในองค์กร
2. Vulnerability Detection / Management เกี่ยวกับการสร้างความปลอดภัยสม่ำเสมอ และการประเมินความเสี่ยงเพื่อป้องกันเครือข่ายคอมพิวเตอร์ รวมถึงเครื่องคอมพิวเตอร์ในองค์กร
3. Remediation คือ การตรวจตรา software การเก็บข้อมูล และแผนฉุกเฉินที่ต้องรองรับเมื่อเกิดสถานการณ์ที่ผิดปกติขึ้นมา
4. Security and Available Management คือ การสร้างระบบความปลอดภัยทั้งเป็นโครงสร้างหลัก และ องค์ประกอบในการบริหารจัดการ เช่น ระบบ core switch , Firewall Gateway , Remote access ,VPN , รวมถึงการทำ System Monitoring Hardware/Software

โดยทั่วไปอุปกรณ์ด้านระบบรักษาความปลอดภัย ที่นำมาใช้งานกันในประเทศไทย มักจะไปอยู่ในข้อ 4 นั่นคือ Security and Available Management และ ในส่วน Threat Detection ก็มีบทบาทมากในปี 2 ปีหลัง
หากเราประเมินดูแล้วการจัดหา เทคโนโลยีให้ตรงตาม compliance ทั้งหมดคงเป็นการลงทุนที่สูงมาก แต่เมื่อเราจับประเด็นใน 4 โหมดนี้ดังกล่าวทำให้เราทราบว่า การจัดหาเทคโนโลยีมาสร้าง SOC ก็ไม่ใช่เรื่องยากเกินไป เราสามารถสร้าง SOC ภายใน 1 ตู้ Rack หรือ 1
Blade Server ได้

SRANinaSOC_1


ในการออกแบบ SOC ที่เราเรียกว่า "SOC in box" เป็นแนวทางแก้ไขปัญหาภัยคุกคามที่เกิดขึ้นบนการใช้ข้อมูลในองค์กร แบบประหยัดงบประมาณ การลงทุน และได้ผลตามมาตราฐานการรักษาความปลอดภัย ISO17799 ได้

โดยเราสามารถแยกในแต่ละ เทคโนโลยี เพื่อบรรจุลงใน blade server ดังนี้
SRANinaSOC_2

ส่วนประกอบที่ 1 ใช้ IDS/IPS ใช้ SRAN Security Center , และระบบ FreeNAC
ส่วนประกอบที่ 2 ใช้ VA/VM ใช้ SRAN Security Center
ส่วนประกอบที่ 3 ใช้ NetXMS และ FreeNAS
ส่วนประกอบที่ 4 ใช้ SRAN Wall , OSSIM
ทั้งหมดนี้จะสามารถ comply ตาม ISO17799 ได้อย่างลงตัว
SRANinaSOC_3

เท่านี้เราสามารถสร้าง SOC บน blade server 1 เครื่อง บนเทคโนโลยี SRAN และ Open source ชั้นนำตรงตาม compliace มาตราฐานที่ ISO17799 รองรับไว้ คุ้มค่าการลงทุนประหยัดงบประมาณ สนองนโยบายเศรษฐกิจพอเพียง ได้

นนทวรรธนะ สาระมาน
Nontawattana Saraman
2/09/49



No comments: