สวัสดีครับ วันนี้เราจะมาทำความรู้จักกับระบบ Security Information & Event Management (SIEM)
Security Information & Event Management หรือ SIEM คือระบบสำหรับทำหน้าที่ในการรวบรวมข้อมูลด้าน Security ในรูปแบบต่างๆ ไม่ว่าจะเป็น Log, Event, Flow หรืออื่นๆ เพื่อนำมาจัดเก็บ, เปลี่ยนรูปแบบ, ตรวจสอบ, วิเคราะห์, แสดงผล, แจ้งเตือน เพื่อให้ธุรกิจองค์กรสามารถนำข้อมูลด้านความมั่นคงปลอดภัยจากอุปกรณ์ IT หรือ Software จำนวนมากที่มีอยู่มาวิเคราะห์ร่วมกัน และค้นหาปัญหา, ภัยคุกคาม หรือการโจมตีที่เกิดขึ้นอยู่ได้ อีกทั้งยังเป็นแหล่งรวบรวมข้อมูลด้านความมั่นคงปลอดภัยที่จะช่วยให้ธุรกิจองค์กรสามารถตรวจสอบเหตุการณ์การโจมตีที่เกิดขึ้นในเชิงลึก เพื่อระบุถึงสาเหตุ, ความเสียหาย และความเสี่ยงได้อย่างแม่นยำมากยิ่งขึ้น
เนื่องจากในปัจจุบันมีข้อมูลจราจรทางคอมพิวเตอร์เกิดขึ้นจากอุปกรณ์ต่างๆ มากมาย ไม่ว่าจะเป็นอุปกรณ์เครือข่าย (Network Devices) เช่น Switch, Router, DNS, DHCP อุปกรณ์รักษาความปลอดภัยทางเครือข่าย (Network Security Devices) เช่น Firewall, Intrusion Prevention System (IPS), Antivirus รวมไปถึงแอพพลิเคชั่น และเครื่องแม่ข่าย (server) เป็นต้น ซึ่งองค์กรทุกองค์กรจะต้องมีการเก็บข้อมูลจราจรดังกล่าว ตามที่พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ กำหนดการเก็บข้อมูลจราจรทางคอมพิวเตอร์ที่ดี ควรมีระบบจัดเก็บข้อมูลจราจรคอมพิวเตอร์แบบรวมศูนย์ เพื่อที่จะสามารถบริหารจัดการข้อมูลจราจรคอมพิวเตอร์ได้อย่างมีประสิทธิภาพ และสามารถออกรายงานตามความต้องการของผู้ใช้งานได้ ตัวอย่างของการบริหารจัดการข้อมูลที่ดี ได้แก่ การจัดการหน่วยความจำ (Storage) ในการเก็บข้อมูล ให้เพียงพอต่อการเก็บข้อมูลจำนวนมาก ในระยะเวลาตามที่กฎหมายกำหนด การบีบอัดข้อมูล (compression) เพื่อให้ใช้หน่วยความจำในการเก็บข้อมูลที่น้อยลง การทำดัชนี (index) และการจัดหมวดหมู่ของข้อมูล (categorize) เพื่อให้การสืบค้นข้อมูลย้อนหลังสามารถทำได้อย่างรวดเร็ว และง่ายดาย เป็นต้น นอกจากการเก็บข้อมูลจราจรทางคอมพิวเตอร์แล้ว ระบบ Security Information & Event Management หรือ SIEM ยังสามารถหาความสัมพันธ์ของข้อมูลทางจราจรที่เกิดขึ้น เชื่อมโยงความสัมพันธ์ของเหตุการณ์จากอุปกรณ์ต่างๆ หลายๆ อุปกรณ์เข้าด้วยกัน พร้อมแจ้งเตือนเมื่อเกิดเหตุการณ์ที่ผิดปกติได้ ทำให้ทีมผู้ดูแลระบบ สามารถทราบถึงภาพรวมของข้อมูลทางจราจรขององค์กร รวมไปถึงภัยคุกคาม (threats) ต่างๆ ที่กำลังเข้ามาโจมตีองค์กรอยู่ในปัจจุบัน และหาทางแก้ไขปัญหาได้อย่างทันท่วงที
คุณสมบัติของระบบ SIEM เบื้องต้นจะมีดังต่อไปนี้ครับ
- Data Aggregation & Log Management จัดเก็บรวบรวมข้อมูลด้านความมั่นคงปลอดภัยและบริหารจัดการข้อมูลในส่วนนี้
- Data Correlation วิเคราะห์หาความสัมพันธ์ระหว่างเหตุการณ์ เพื่อให้ทำความเข้าใจลำดับเหตุการณ์และความเกี่ยวพันได้อย่างง่ายดายและชัดเจนยิ่งขึ้น
- Monitoring & Alerting ตรวจสอบค้นหาเหตุการณ์ผิดปกติและภัยคุกคามต่างๆ รวมถึงทำการแจ้งเตือนผู้ดูแลระบบ โดยมีปริมาณของเหตุการณ์ที่แจ้งเตือนอย่างเหมาะสม คัดกรองเหตุการณ์ที่ไม่เกี่ยวข้องหรือไม่สำคัญออกไป เพื่อไม่ให้เกิดการล้นทะลักของการแจ้งเตือน
- Dashboard แสดงผลภาพรวมด้านความมั่นคงปลอดภัยและจัดลำดับของเหตุการณ์ต่างๆ ที่เกิดขึ้น พร้อมเปิดให้ผู้ดูแลระบบทำการ Drill Down เพื่อตรวจสอบข้อมูลในเชิงลึกได้ง่าย
- Compliance & Reporting ทำการสอบเทียบให้ระบบ IT ทำงานได้ตรงตามมาตรฐานด้านความมั่นคงปลอดภัย และออกรายงานเชิงลึกสำหรับประเด็นต่างๆ
- Retention ทำการจัดเก็บข้อมูลด้านความมั่นคงปลอดภัยย้อนหลังเอาไว้ตามเวลาที่กำหนดโดยควบคุมให้ข้อมูลเหล่านี้ไม่ถูกลบหรือทำลายก่อนเวลาที่กำหนดได้ ให้สอดคล้องกับข้อกฎหมายหรือข้อบังคับใดๆ และทำการกทำลายข้อมูลเมื่อหมดระยะเวลาที่ต้องจัดเก็บโดยอัตโนมัติ
- Forensic Analysis มีเครื่องมือสำหรับช่วยค้นหาและวิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยทั้งในแบบย้อนหลังและ Real-Time พร้อมตัวช่วยอื่นๆ เพื่อช่วยในการสืบสวนเหตุการณ์ต่างๆ ที่ต้องการได้อย่างสะดวก
โดยทั่วไปแล้วประสิทธิภาพของระบบ SIEM จะวัดกันที่ค่า Event Per Second (EPS) หรือ Flow Per Second (FPS) หรือค่าอื่นๆ ซึ่งระบุถึงประสิทธิภาพในการประมวลผลข้อมูลด้านความมั่นคงปลอดภัยในแต่ละรูปแบบต่อวินาที เพื่อให้ผู้ใช้งานสามารถประเมินและออกแบบระบบให้รองรับต่อความต้องการในส่วนนี้ได้
องค์ประกอบของ SIEM ถึงแม้เทคโนโลยี SIEM จะมีผู้พัฒนาที่หลากหลาย และแต่ละเทคโนโลยีอาจใช้ชื่อเรียกที่แตกต่างกันออกไป แต่โดยทั่วไปแล้วในระบบ SIEM จะมีองค์ประกอบดังต่อไปนี้ครับ
- Data Collector ระบบสำหรับทำหน้าที่รวบรวมข้อมูล Log, Event, Flow ซึ่งมีทั้งในรูปแบบของ Protocol เพื่อส่งข้อมูลจากระบบใดๆ ออกมายัง Data Collector, Software Agent ที่ดึงข้อมูลจากระบบต่างๆ ส่งมายัง Data Collector และการที่ Data Collector เชื่อมต่อไปยังระบบต่างๆ เพื่อดึงข้อมูลออกมาโดยตรง
- Data Processor ระบบสำหรับทำหน้าที่แปลงข้อมูล, วิเคราะห์ความสัมพันธ์ของข้อมูล และจัดข้อมูลให้อยู่ในรูปที่นำไปใช้งานได้อย่างง่ายดายและรวดเร็ว
- Data Visualizer & Searcher ระบบสำหรับการแสดงผลข้อมูล และค้นหาข้อมูลเหตุการณ์ด้านความมั่นคงปลอดภัย
อย่างไรก็ดี ด้วยการที่ SIEM นั้นเป็นเทคโนโลยีที่ถูกพัฒนาในรูปแบบของ Software มาตั้งแต่แรกเริ่ม ทำให้ SIEM นั้นนำแนวคิดของ Software-Defined มาใช้ได้อย่างรวดเร็ว และทำให้องค์ประกอบต่างๆ ของ SIEM นั้นอยู่ในรูปแบบของ Software ส่งผลให้บางครั้งในอุปกรณ์หรือ VM ของ SIEM ชิ้นเดียว สามารถทำหน้าที่ได้หลากหลาย
โดยส่วนมากแล้ว โซลูชัน SIEM แบบเริ่มต้นมักรวมเอาองค์ประกอบทั้งหมดเอาไว้ในระบบเดียวเพื่อให้สามารถเริ่มต้นนำไปใช้งานได้ง่าย และในโซลูชัน SIEM สำหรับธุรกิจองค์กรที่มีขนาดใหญ่หรือมีหลายสาขา ก็อาจมีการแยกส่วนของระบบออกจากกัน เพื่อให้สามารถทำการออกแบบติดตั้งระบบได้อย่างอิสระ รองรับสถาปัตยกรรม IT ของแต่ละองค์กรได้อย่างยืดหยุ่น
มาถึงตรงนี้ทุกคนก็น่าจะเข้าใจเรื่อง ระบบ Security Information & Event Management (SIEM) กันมากขึ้นละนะครับ ซึ่งก็หวังว่าบทความนี้จะเป็นประโยชน์ไม่มากก็น้อยสำหรับทุกคนที่สนใจนะครับ
https://www.techtalkthai.com/what-is-siem/
https://en.wikipedia.org/wiki/Security_information_and_event_management
https://www.techtarget.com/searchsecurity/definition/security-information-and-event-management-SIEM
https://www.ibm.com/topics/siem
https://www.mcafee.com/enterprise/en-us/security-awareness/operations/what-is-siem.html
https://www.exabeam.com/siem-guide/what-is-siem/
https://logrhythm.com/what-is-siem/
https://www.fireeye.com/products/helix/what-is-siem-and-how-does-it-work.html
https://www.juniper.net/us/en/research-topics/what-is-siem.html
