SIEM: คำย่อของ Security Information & Event Management แนวทางการรักษาความปลอดภัยข้อมูลข่าวสารขององค์กร ที่ต้องการประสิทธิภาพ และความเชื่อถือได้ของระบบและเครื่องมือช่วยตรวจจับภัยคุกคามทางไซเบอร์ การสอบสวน การตอบโต้ต่อภัยคุกคาม SIEM จะเป็นเทคโนโลยีที่จะมาช่วยให้การรักษาความปลอดภัยไซเบอร์ขององค์กรมีแนวทางที่ชัดเจนจนก้าวนำหน้าภัยคุกคาม
ด้วยการทำงานแบบ real time ที่จะมอนิเตอร์กิจกรรมต่างๆ ขององค์กรตลอดเวลา และการวิเคราะห์ข้อมูลประวัติการใช้งาน รวมทั้งการเพิ่มการอยู่รอดขององค์กรจากภัยคุกคาม
การตรวจจับภัยคุกคามและความผิดปกติอื่นๆ SIEM จะประมวลผลข้อมูลจำนวนมากแล้วตรวจจับข้อมูลที่ผิดปกติได้อย่างรวดเร็ว รวมทั้งการจับภาพกิจกรรมที่ผิดปกติของแผนผังข้อมูลข่าวสารตามช่วงเวลาที่กำหนด รวมทั้งแอพพลิเคชั่นทำงานด้านเครือข่าย อุปกรณ์ระบบ ระบบคลาวด์ และการแก้ปัญหาแบบ SaaS ซึ่งจะช่วยให้องค์กรมีความก้าวหน้าล้ำไปข้างหน้าภัยคุกคามทั้งภายในและภายนอก
สำหรับบทความนี้ผมจะพาท่านผู้อ่านให้รู้จักกับเทคโนโลยี SIEM และวิธีการเลือกเครื่องมือ SIEM มาใช้งานกับหน่วยงานหรือองค์กร
แนวโน้มของ SIEM ในปี 2024-2025
SIEM เทคโนโลยีถูกแนะนำครั้งแรกในปี 2005 และพัฒนารูปแบบการใช้งานตามลำดับ สำหรับเครื่องมือช่วยในการตรวจจับภัยคุกคาม การสอบสวน และตอบโต้ภัยคุกคาม (TDIR) โดย SIEM เป็นคำประสมของ SIM การจัดการความปลอดภัยของข้อมูลข่าวสาร และ SEM การจัดการความปลอดภัยแบบองค์รวม และระบบการรักษาความปลอดภัยในทุกระดับขององค์กร
มาดูว่า SIEM ทำงานอย่างไร ?
มีหน้าที่ในการรวบรวม ดาต้า หรือ ข้อมูลการใช้งานอินเตอร์เน็ต ของหน่วยงานหรือองค์กร รวมทั้งการให้บริการข้อมูลต่างๆ เครื่องมือ และแอพพลิเคชั่นการใช้งานของทุกส่วน ทุกคนในองค์กร
ด้วยเทคโนโลยี SIEM จะเป็นศูนย์กลางมุมมอง เกี่ยวกับผู้ใช้งานไอทีขององค์กร ทำหน้าที่เป็นผู้รวมรวมข้อมูลและวิเคราะห์ข้อมูล ที่ผิดปกติ และแจ้งเตือนส่วนที่เกี่ยวข้องในการจัดการ
อุปกรณ์ระบบเครือข่าย เช่น สวิทซ์ฮับ เร้าเตอร์ สะพานเชื่อมต่อ อุปกรณ์ไร้สาย ฯลฯ
ระบบให้บริการข้อมูล เวบไซต์ ดาต้าเซนเตอร์ FTP เป็นต้น
อุปกรณ์รักษาความปลอดภัย IPS ไฟร์วอล โปรแกรมป้องกันไวรัส IDS
การให้บริการบนคลาด์
การวิเคราะห์ของ SIEM เช่น กิจกรรมของผู้ใช้งาน หมายเลขเครื่องใช้งาน หน่วยความจำ และอื่นๆ
โดย SIEM จะจัดหมวดหมู่ค่าเบี่ยงเบนการใช้าน เช่น ความพยายามในการ Log in ของผู้ใช้งาน การเปลี่ยนบัญชีผู้ใช้งาน หรือมัลแวร์ที่เป็นอันตราย โดยอ่อนตัวในการตั้งค่า และกำหนดการป้องกันและการแจ้งเตือน
โดย SIEM จะเลือกรูปแบบหรือพฤติกรรมที่เป็นอันตราย แม้ว่าจะมีไฟล์ต้องสงสัย ที่อาจจะไม่เข้าข่ายธงแดง แต่ว่า SIEM ก็จะยังสามารถตรวจจับได้ในที่สุดด้วย ชุดคำสั่งในการตรวจจับความสัมพันธ์ที่เชื่อมโยงหรือเกี่ยวข้องกัน
สุดท้าย SIEM จะเก็บข้อมูลในระบบฐานข้อมูล ที่เราจะใช้ในการวิเคราะห์ และตรวจสอบภายหลัง และแน่ใจว่าสอดคล้องกับกฏองค์กรด้านไซเบอร์
ด้วย SIEM จะช่วยให้องค์กรมีเครื่องมือเป็นศูนย์กลางการทำงาน ด้านรักษาความปลอดภัยไซเบอร์ ทำให้เจ้าหน้าที่ด้านรักษาความปลอดภัยไซเบอร์ของหน่วยงาน หรือองค์กร มีระบบตรวจสอบ และวิเคราะห์ภัยคุกคาม การป้องกัน การแจ้งเตือนส่วนที่เกี่ยวข้องได้สะดวกและรวดเร็ว
ประสิทธิภาพของการมองเห็นภัยคุกคามที่พุ่งเข้ามายังระบบของหน่วยงานหรือองค์กร
ลดเวลาในการตรวจสอบแก้ไขการแจ้งเตือนที่ผิดพลาด false alert ด้วยระบบฐานข้อมูลและรูปแบบการวิเคราะห์ภัยคุกคามที่ทันสมัยตามเวลาจริง
อ่อนตัวในการปรับแต่งและใช้งาน เพื่อให้สอดคล้องกับโปรแกรมและระบบงานต่างๆ ของหน่วยงานและองค์กร ที่อาจจะมีอยู่แล้ว
