Kaspersky แนะวิธีช่วยทีมรักษาความปลอดภัยในช่วงมีงานที่ต้องดูแลล้นมือ

โดย
beer
-
Kaspersky

แคสเปอร์สกี้ (Kaspersky) แนะวิธีช่วยทีมรักษาความปลอดภัยในช่วงมีงานที่ต้องดูแลล้นมือ ก่อนที่จะเป็นอาการป่วยทางวิชาชีพ…

Kaspersky แนะวิธีช่วยทีมรักษาความปลอดภัยในช่วงมีงานที่ต้องดูแลล้นมือ

หากรู้สึกเหนื่อยล้าสุด ๆ จากหน้าที่เดิม ๆ สมาธิในการทำงานเริ่มลดลง หรือเริ่มรู้สึกไม่ดีกับงานที่กำลังทำอยู่ นั่นคือสัญญาณว่าคุณกำลังหมดไฟ และไม่ใช่แค่คุณคนเดียวเท่านั้น แต่ทุก ๆ คนในที่ทำงานต่างก็เคยประสบกับภาวะเช่นนี้มาก่อน ต่างก็เป็นกันอย่างแพร่หลายในสังคมการทำงานจนทำให้ องค์กรอนามัยโลก (WHO) จัดให้อยู่ในกลุ่มอาการป่วยทางวิชาชีพ

Kaspersky

ในฝั่งของคนที่ทำงานด้านการรักษาความปลอดภัยของข้อมูล เช่น เจ้าหน้าที่ศูนย์ปฏิบัติการรักษาความปลอดภัย หรือ SOC ซึ่งมีรูปแบบการทำงานที่ทำให้ไฟมอดลงไปเรื่อย ๆ และท้ายที่สุดจะส่งผลอย่างร้ายแรงต่อตนเอง และต่อองค์กร โดยเนื้องานของพวกเขาตามปกติจะเป็นการเฝ้าระวังข้อมูลต่าง ๆ ที่ถูกส่งเข้ามายังเซิร์ฟเวอร์ซ้ำแล้วซ้ำเล่า

เมื่อมีการตรวจพบความไม่ปกติ การทำงานก็จะเข้มข้นยิ่งขึ้นเพราะมีเหตุให้ตรวจสอบ มีข้อมูลที่ต้องเก็บรวบรวม มีความเสี่ยงรวมถึงความเสียหายที่อาจเกิดขึ้นได้ ทว่า สำหรับบริษัทที่ติดตั้งระบบโซลูชันที่ทันสมัยที่สุดในการปกป้องโครงสร้างพื้นฐานทางข้อมูล และเวิร์กสเตชั่นทั้งระบบนั้น การถูกโจมตีทางไซเบอร์ย่อมไม่ใช่เรื่องธรรมดาสามัญอย่างแน่นอน

Kaspersky

ใน ผลสำรวจล่าสุด โดยคณะกรรมการ Enterprise Strategy Group ของ แคสเปอร์สกี้ ระบุว่าองค์กร 70% ยอมรับว่าได้พยายามอย่างยิ่งที่จะปฏิบัติการให้สอดรับกับปริมาณการแจ้งเตือนด้านความปลอดภัย นอกจากนี้ผลการสำรวจยังพบว่า นอกเหนือจากปริมาณการแจ้งเตือนด้านความปลอดภัยแล้ว กว่าองค์กร 67%

ยังเผชิญความท้าทายจากความหลากหลายของภัยคุกคามที่ถูกแจ้งเตือนเข้ามาด้วยเช่นกัน สถานการณ์ดังกล่าวได้สร้างความยากลำบากต่อเจ้าหน้าที่นักวิเคราะห์ของ SOC ในการโฟกัสไปยังการปฏิบัติงานที่มีความสำคัญ และซับซ้อนยิ่งกว่า

โดยบริษัท 34% เปิดเผยว่าทีมปฏิบัติการด้านความปลอดภัยของตนนั้นประสบปัญหางานล้นมือจากปริมาณการแจ้งเตือนและเหตุฉุกเฉินด้านความปลอดภัย โดยระบุว่าพวกเขาไม่มีเวลาเพียงพอในการดำเนินกลยุท ธ์และแนวทางในการพัฒนาปรับปรุง

ลดการใช้สติปัญญาหนัก ๆ เพื่อแก้ไชปัญหาภัยคุกคามทางไซเบอร์ที่ซับซ้อน

Kaspersky
เซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ ของ แคสเปอร์สกี้

เซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ ของ แคสเปอร์สกี้ กล่าวว่า ผู้เชี่ยวชาญของเราได้ประเมินสถานการณ์ และคาดการณ์ทิศทางในอนาคตว่าฐานข้อมูลภัยคุกคามทางไซเบอร์ และการไล่ล่าตามจับภัยคุกคามจะกลายเป็นองค์ประกอบสำคัญในการวางกลยุทธ์ SOC

แต่ด้วยสภาพการณ์ในปัจจุบันที่บรรดานักวิเคราะห์ SOC ต้องสิ้นเปลืองเวลา สติปัญญาความสามารถ และพลังงานของพวกเขาไปกับการแก้ไชปัญหา IoC คุณภาพต่ำ และยังต้องคอยรับมือกับการแจ้งเตือนผิดพลาดที่ไม่จำเป็น แทนที่จะได้ปฏิบัติงานเชิงรุกในการต่อกรกับภัยคุกคามที่มีความซับซ้อนที่ซ่อนตัวในเครือข่ายโครงสร้างพื้นฐาน

ขององค์กร ซึ่งการปฏิบัติงานในลักษณะดังกล่าวไม่ใช่เพียงไร้ประสิทธิภาพเท่านั้น แต่ยังทำให้ผู้ปฏิบัติงานเกิดสภาวะหมดไฟอีกด้วย จากการเฝ้าสังเกตการณ์ของเรา พบว่า ในปี 2566 ผู้ปฏิบัติงาน SOC ยังต้องเผชิญกับการโจมตีแบบซับซ้อนต่อไป เช่น แรนซัมแวร์ และซัพพลายเชน

นั่นหมายความว่าทีม SOC จะต้องมีความพร้อมในการรับมือภัยคุกคามเหล่านี้ และกุญแจสู่ความสำเร็จในการเตรียมความพร้อมสำหรับการเสริมประสิทธิภาพ SOC ให้ครอบคลุมด้านต่าง ๆ รวมถึงรับมือกับสภาวะหมดไฟของพนักงานอีกด้วย

เราขอแนะนำให้องค์กรทบทวนในเรื่องการจัดสรรหน้าที่ของทีม SOC ให้มีความหลากหลายขึ้นกว่าเดิมใหม่อีกครั้ง ขอให้พิจารณาเลือกโซลูชันอัตโนมัติต่าง ๆ และการจ้างผู้ชำนาญการจากภายนอกเข้ามาช่วยในการยกระดับการรักษาความปลอดภัยทางไซเบอร์

Kaspersky

แคสเปอร์สกี้ แนะ เคล็ดลับ ในการจัดสรรงานแก่ทีม SOC ให้เกิดความคล่องตัว และหลีกเลี่ยงความเหนื่อยล้าจากการเฝ้าระวังการแจ้งเตือนดังต่อไปนี้

  • แบ่งการทำงานภายในทีมให้เป็นกะอย่างชัดเจน เพื่อเลี่ยงสภาวะงานล้นมือ เน้นให้แน่ใจว่าหน้าที่สำคัญต่าง ๆ มีการแจกจ่ายไปยังผู้ปฏิบัติงาน เช่น ฝ่ายเฝ้าระวัง ฝ่ายตรวจสอบ ฝ่ายสถปานิกและวิศวกรรมโครงสร้างไอที ฝ่ายบริหารจัดการ อย่างทั่วถึง
  • วางแนวทางปฏิบัติต่างให้เป็นแบบอัตโนมัติ เช่น การโอนย้าย และหมุนเวียนข้อมูลภายในรวมถึงการปฏิบัติงานรูทีนแบบอัตโนมัติ และการจัดจ้างผู้ชำนาญการด้านการเฝ้าระวังข้อมูลจากภายนอก สามารถช่วยในการจัดการสถานการณ์ที่ทีม SOC มีงานล้นมือจนนำไปสู่ภาวการณ์หมดไฟได้
  • ใช้บริการด้านฐานข้อมูลภัยคุกคามที่ได้รับการยอมรับ ซึ่งสามารถช่วยในการบูรณาการระบบฐานข้อมูลอัจฉริยะแบบ machine-readable เข้ากับระบบควบคุมความปลอดภัยที่มีอยู่ได้ เช่น จากระบบ SIEM เพื่อทำให้กระบวนการคัดกรองขั้นต้นดำเนินได้โดยอัตโนมัติ และสร้างข้อมูลบริบทที่เพียงพอต่อการตัดสินใจว่าการแจ้งเตือนนั้น ๆ ควรได้รับการตรวจสอบอย่างเฉียบพลัน หรือไม่
  • เพื่อปลดเปลื้องภาระให้กับทีม SOC จากการตรวจสอบการแจ้งเตือนซ้ำซากเป็นรูทีน การเลือกใช้บริการ Managed Detection and Response ที่ได้รับการยอมรับ เช่น Extended Detection and Response หรือแพลทฟอร์ม XDR ซึ่งเป็นเทคโนโลยีระบบรักษาความปลอดภัยแบบ multi-layer ที่ช่วยในการปกป้องโครงสร้างพื้นฐานทางไอที โดย XDR ถูกจัดให้เป็นระบบ Endpoint Detection and Response หรือ EDR ในระดับที่สูงกว่าเดิม โดย EDR จะเน้นไปที่การทำงานแบบ endpoint แต่ XDR จะเน้นไปที่การทำงานที่มีความกว้างขวางกว่า บนระบบควบคุมความปลอดภัยพร้อมกันหลายระบบ เพื่อตรวจจับภัยคุกคามได้อย่าวรวดเร็วยิ่งขึ้น ด้วยการทำงานแบบวิเคราะห์เชิงลึกและมีความเป็นอัตโนมัติ โดยผลิตภัณฑ์และโซลูชั่นที่ใช้ในการทำงานแบบแพลทฟอร์ม XDR ได้แก่ EDR Optimum, EDR Expert, Anti-Targeted Attack Platform, Managed Detection and Response และ Incident Response เป็นต้น
ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก N/A

สามารถกดติดตามข่าวสาร และบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th

ITDay

บทความที่เกี่ยวข้องเพิ่มเติมจากผู้เขียน