Security Management

Threat Intelligence เป็นระบบที่รวบรวมภัยคุกคามจากแหล่งข้อมูลต่าง ๆ และสามารถตรวจจับภัยคุกคามในเชิงรุกทั้งการตรวจจับช่องโหว่ลการเฝ้าระวังจากแหล่งข้อมูลสาธารณะเช่น Social Media, Dark web และยังสามารถติดต่อหรือเชื่อมต่อกับระบบวิเคราะห์ Log (SIEM) ได้อีกด้วย และสามารถบริหารจัดการข้อมูลผ่านหน้า Dashboard ของระบบ
  • Cybersecurity News – บริการส่งข่าวสารด้าน Cybersecurity ที่มีความเกี่ยวข้องกับรูปแบบธุรกิจของลูกค้าและแจ้งเตือนลูกค้าเพื่อเตรียมความพร้อมรับมือต่อภัยคุกคามไซเบอร์
  • Threat Feed – บริการส่งข้อมูล IoC ที่เชื่อมต่อจากผู้ให้บริการต่าง ๆ จากให้บริการ Threat Sharing ทั่วโลก โดยจะส่งข้อมูลต่าง ๆ เช่น Suspicious Domain, Suspicious IP, C&C IP, Malicious URL, Phishing Domain & URL, CVE (Common Vulnerability Exposure) เป็นต้น
  • Vulnerability Detection – การตรวจจับช่องโหว่ต่าง ๆ ที่เกิดขึ้นในเครื่องแม่ข่ายหรือ Asset ต่าง ๆ ในระบบโดยจะมีการตรวจจับและแจ้งเตือนโดยอ้างอิงจากฐานข้อมูลช่องโหว่ (CVE) ที่เป็นมาตรฐานสากล
  • SIEM Integration – ระบบสามารถเชื่อมต่อกับระบบวิเคราะห์ Log (SIEM) ในรูปแบบต่าง ๆ ได้และสามารถปรับแต่ง Format ของ Log ให้รองรับต่ออุปกรณ์ต่าง ๆ ด้วย
  • OSINT (Open Source Intelligence) – ระบบสามารถตรวจจับและสแกน Asset บน Internet เพื่อนำมาเฝ้าระวังต่อไป
  • Compromise Monitoring – ระบบสามารถตรวจจับการถูกยึดเครื่องและบัญชีต่าง ๆ ของระบบเช่น Email, Active Directory Account, System Compromise
  • Data Leak Monitoring – ระบบสามารถตรวจจับการรั่วไหลของข้อมูลที่ถูกเผยแพร่ทาง Social Media และ Dark Web และแหล่งข้อมูลต่าง ๆ ที่ Attacker นำมาเผยแพร่
  • Web Defacement Monitoring – ระบบสามารถตรวจจับการเปลี่ยนหน้าเว็บด้วยวิธีการ Web Defacement ซึ่งทำให้เกิดความเสียหายต่อความน่าเชื่อถือขององค์กร
Security Baseline คือแนวทางการตั้งค่านโยบายความมั่นคงปลอดภัยที่ทาง Microsoft ได้จัดทำขึ้นมาเพื่อให้ผู้ดูแลระบบสามารถนำไปปรับใช้ในเครื่องคอมพิวเตอร์ขององค์กรได้ ซึ่งทุกองค์กรต้องเผชิญกับภัยคุกคามด้านความปลอดภัย อย่างไรก็ตามประเภทของภัยคุกคามด้านความปลอดภัยที่เกี่ยวข้องกับบางองค์กรอาจแตกต่างจากองค์กรอื่น ๆ เช่น บริษัท อีคอมเมิร์ซอาจให้ความสำคัญกับการปกป้องเว็บแอปที่เชื่อมต่อกับอินเทอร์เน็ตในขณะที่โรงพยาบาลอาจให้ความสำคัญกับการปกป้องข้อมูลผู้ป่วยที่เป็นความลับ โดยสิ่งหนึ่งที่ทุกองค์กรมีเหมือนกันคือความจำเป็นในการรักษาข้อมูลและอุปกรณ์ของตนให้ปลอดภัย อุปกรณ์เหล่านี้ต้องเป็นไปตามมาตรฐานความปลอดภัยที่องค์กรกำหนด โดยการใช้งาน Security Baseline จะทำผ่าน Security Compliance Toolkit ซึ่งเป็นเครื่องมือที่จะช่วยเปรียบเทียบว่าการตั้งค่าในปัจจุบันนั้นสอดคล้องกับข้อแนะนำหรือไม่ หากพบข้อที่ไม่สอดคล้อง ผู้ดูแลระบบก็สามารถพิจารณาปรับปรุงการตั้งค่าในข้อนั้น ๆ รวมถึงสั่งใช้งานการตั้งค่านี้ให้กับเครื่องคอมพิวเตอร์อื่น ๆ ในองค์กรได้ผ่านทาง Group Policy และถ้าเป็นอุปกรณ์อื่น ๆ สามารถตั้งค่าได้ตาม Hardening หรือ best practice ของอุปกรณ์นั้น ๆ
Security Baseline สำคัญอย่างไร
  • พื้นฐานด้านความปลอดภัยเป็นประโยชน์ที่สำคัญสำหรับลูกค้าเนื่องจากรวบรวมความรู้จากผู้เชี่ยวชาญจาก Microsoft คู่ค้าและลูกค้า เช่น มีการตั้งค่า Group Policy มากกว่า 3,000 รายการสำหรับ Windows 10 ซึ่งไม่รวมการตั้งค่า Internet Explorer 11 มากกว่า 1,800 รายการ จาก 4,800 การตั้งค่าเหล่านี้มีเพียงบางส่วนเท่านั้นที่เกี่ยวข้องกับความปลอดภัย แม้ว่า Microsoft จะให้คำแนะนำที่ครอบคลุมเกี่ยวกับคุณลักษณะด้านความปลอดภัยที่แตกต่างกัน แต่การสำรวจแต่ละคุณลักษณะอาจใช้เวลานาน โดยจะต้องกำหนดผลกระทบด้านความปลอดภัยของแต่ละการตั้งค่าด้วยตัวเอง จากนั้นยังคงต้องกำหนดค่าที่เหมาะสมสำหรับการตั้งค่าแต่ละรายการ
  • ในองค์กรสมัยใหม่ภูมิทัศน์ของภัยคุกคามด้านความปลอดภัยมีการพัฒนาอย่างต่อเนื่องและผู้เชี่ยวชาญด้านไอทีและผู้กำหนดนโยบายจะต้องติดตามภัยคุกคามด้านความปลอดภัยและทำการเปลี่ยนแปลงการตั้งค่าความปลอดภัยของ Windows ที่จำเป็นเพื่อช่วยบรรเทาภัยคุกคามเหล่านี้ เพื่อเปิดใช้งานการปรับใช้ที่เร็วขึ้นและทำให้การจัดการ Windows ง่ายขึ้น Microsoft ให้บริการลูกค้าด้วยพื้นฐานความปลอดภัยที่พร้อมใช้งานในรูปแบบที่ใช้งานได้ เช่น การสำรองข้อมูล Group Policy
Compromise Assessment การทำ Compromise Assessment เพื่อยืนยันสถานะที่ถูกบุกรุกหรือไม่ถูกบุกรุกอย่างรวดเร็วระบุจะช่วยลดสัญญาณของการบุกรุกและพัฒนาความสามารถในการติดตามและตอบสนองภัยคุกคามภายในได้
Compromise Assessment สำคัญอย่างไร
ทีมของคุณทำงานจากที่บ้านเนื่องจากการปิดกั้นการระบาดของ COVID-19 หรือไม่ คุณได้ประเมินว่าเครือข่ายและอุปกรณ์ของผู้ใช้ปลายทางสามารถถูกบุกรุกได้หรือไม่ ในความเป็นจริงคุณแน่ใจหรือไม่ว่าเครือข่ายหรือระบบของคุณไม่ถูกบุกรุกแล้วการสำรวจและตรวจจับการโจมตีทางไซเบอร์ที่เกิดขึ้นได้อย่างต่อเนื่องในอดีต และในโครงสร้างพื้นฐานด้านความปลอดภัยต้องมีนโยบายความปลอดภัยด้านไซเบอร์ ในหลายองค์กรได้ทำตามข้อแนะนำเพื่อให้เป็นไปตามกฎข้อบังคับสำหรับป้องกันความเสี่ยง การทำ Compromise Assessment มาเป็นกลยุทธ์การลดความเสี่ยงจะช่วยให้มั่นใจได้ว่าข้อมูลทางธุรกิจของคุณจะไม่ถูกบุกรุกจากการโจมตีปัจจุบัน
SIEM Optimization คือการปรับแต่ง SIEM เป็นกระบวนการกำจัดสิ่งที่มารบกวนระบบและทำการปรับเปลี่ยนเพื่อแจ้งเตือนเกี่ยวกับสิ่งสำคัญที่เกิดขึ้นภายในองค์กรณ์ จึงทำให้ SIEM มีค่าสำหรับด้านความปลอดภัยไซเบอร์เมื่อเทียบกับระบบบันทึกข้อมูลอื่น ๆ
SIEM Optimization สามารถแบ่งออกเป็นสามส่วนดังนี้
  • การแจ้งเตือนมากเกินไป (Alarms)
  • การลดเสียงรบกวน (Events)
  • การแจ้งเตือนเกี่ยวกับสิ่งสำคัญ (Rules)