Network engineers จำเป็นต้องปรับหน้าที่ของตนให้สอดคล้องกับความปลอดภัยมากขึ้น เช่น การดำเนินการตรวจสอบอย่างต่อเนื่อง การปรับใช้ Threat intelligence และการทำงานร่วมกันกับทีม Security
การนำ DevOps มาใช้นั้นมีการพัฒนาไปไกลนับตั้งแต่มีการประกาศใช้คำนี้เป็นครั้งแรกในปี 2009 นับตั้งแต่นั้นเป็นต้นมา DevOps ก็ได้มีส่วนร่วมเป็นอย่างมากในการผสมผสานหน้าที่ต่างๆเข้าไว้ด้วยกัน เช่น Machine learning operations, ChatOps, NetOps และ NetSecOps
NetSecOps เป็นคำที่ใช้อธิบาย workflows สำหรับทีม Network และทีม Security ทีมเหล่านี้เคยทำงานเป็นทีมที่เป็นเอกภาพเมื่อหลายปีก่อน แต่เมื่อเครือข่ายขยายขนาดและโครงสร้างพื้นฐานกลายเป็นเรื่องยากในการจัดการ องค์กรต่างๆ จึงจำเป็นต้องมีแผนกเฉพาะทาง
อย่างไรก็ตาม การกระจัดกระจายของการประมวลผลแบบคลาวด์ทำให้ทีม Network และทีม Security ต้องกลับมาทำงานร่วมกันอีกครั้ง การสูญเสียการมองเห็นเครือข่ายเป็นเรื่องที่น่ากังวลอย่างมาก และธุรกิจต่างๆ ที่ใช้ระบบบนคลาวด์จำเป็นต้องมีการรักษาความปลอดภัยที่แข็งแกร่งเพื่อรักษาชื่อเสียงในสังคมดิจิทัลที่มีการแข่งขันสูง
แนวทางปฏิบัติของ NetSecOps คืออะไร
วัตถุประสงค์หลักของ NetSecOps คือการปรับปรุงความปลอดภัยเครือข่ายและการดำเนินงานเพื่อการป้องกัน และมีความยืดหยุ่น
- ดำเนินการติดตามอย่างต่อเนื่อง
การตรวจสอบอย่างต่อเนื่องเป็นสิ่งสำคัญสำหรับ NetSecOps ช่วยให้ Network Engineer สามารถระบุและป้องกันภัยคุกคามด้านความปลอดภัยได้อย่างรวดเร็วและรอบด้าน
ต่อไปนี้เป็นขั้นตอนบางส่วนสำหรับการตรวจสอบ:
- เลือกเครื่องมือที่เหมาะกับความต้องการของทีม เครื่องมือเหล่านี้รวมถึงระบบตรวจจับการบุกรุกและระบบป้องกันการบุกรุก (IDS/IPS) เพื่อตรวจจับและบล็อกการรับส่งข้อมูลที่น่าสงสัย
- ปรับใช้ข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (SIEM) เครื่องมือ SIEM รวบรวมและวิเคราะห์เหตุการณ์ด้านความปลอดภัยในเครือข่าย
- ใช้เครื่องมือตรวจสอบเครือข่าย เครื่องมือเหล่านี้ตรวจสอบประสิทธิภาพและความสมบูรณ์ของเครือข่าย
- ใช้การสแกนช่องโหว่ การสแกนช่องโหว่ช่วยระบุช่องโหว่ในอุปกรณ์เครือข่ายและซอฟต์แวร์ที่ให้บริการผู้ใช้ทุกวัน เครื่องมือทั่วไป
- Automate tasks การทำงานอัตโนมัติเป็นสิ่งสำคัญยิ่ง และเครื่องมือบางอย่างสามารถทำให้เป็นอัตโนมัติเพื่อรวบรวม วิเคราะห์ และสร้างข้อมูลได้ ระบบอัตโนมัติช่วยให้ Network Engineer มีเวลามากขึ้นเพื่อมุ่งเน้นไปที่งานอื่นๆ
- นำ AI และ Machine learning (ML) มาใช้ เครื่องมือที่ใช้ AI และ ML สามารถช่วยระบุและตอบสนองต่อเหตุการฉุกเฉินด้านความปลอดภัยโดยไม่ต้องมีการดูแลจากมนุษย์
- ผสมผสานพลังของ Threat Intelligence ที่มีประสิทธิภาพ
เหตุการฉุกเฉินทางไซเบอร์สามารถเกิดขึ้นได้ตลอดเวลา จำเป็นอย่างยิ่งที่ทีม NetSecOps จะต้องนำหน้าอาชญากรไซเบอร์ใช้ข้อมูลและเครื่องมือเพื่อรับมือเหตุการฉุกเฉิน
ต่อไปนี้เป็นขั้นตอนบางส่วนในการเริ่มต้นใช้งาน Threat intelligence:
- กำหนดวัตถุประสงค์และเป้าหมาย Network Engineer จำเป็นต้องมีเป้าหมายที่ชัดเจนในการใช้ Threat intelligence พิจารณาว่าธุรกิจต้องการข้อมูลประเภทใด เครื่องมือที่เหมาะสม และวิธีการวัดความสำเร็จ
- เลือกเครื่องมือ Threat intelligence ที่เหมาะสม เครื่องมือจะต้องเกี่ยวข้องกับบริษัท นอกจากนี้ ให้พิจารณาว่าจะเลือกใช้โอเพ่นซอร์สหรือ Threat intelligence เชิงพาณิชย์
- ผสานรวม Threat intelligence เข้ากับเครื่องมือและระบบรักษาความปลอดภัย เครื่องมือเหล่านี้ทำงานร่วมกับ SIEM, การจัดการความปลอดภัย, ระบบอัตโนมัติและการตอบสนอง (SOAR), เครื่องมือตรวจสอบเครือข่าย และการรักษาความปลอดภัยอุปกรณ์ปลายทาง
- พัฒนา Playbooks และขั้นตอนการตอบสนอง สร้าง Playbooks และขั้นตอนที่อิงตามสถานการณ์เหตุการฉุกเฉินเฉพาะและตัวบ่งชี้ข่าวกรอง คู่มือกลยุทธ์ควรกำหนดบทบาทและความรับผิดชอบสำหรับทีมต่างๆ ที่เกี่ยวข้องกับการตอบสนองต่อเหตุการฉุกเฉิน
- ใช้กลไกการตอบสนองอัตโนมัติ
เหตุการฉุกเฉินทางไซเบอร์ที่ไม่คาดคิดเกิดขึ้นได้เสมอ และการโต้ตอบอย่างรวดเร็วช่วยปกป้องอุปกรณ์และข้อมูล ระบบอัตโนมัติเป็นพันธมิตรสำคัญของ Network Engineer เพื่อการตอบสนองต่อเหตุการฉุกเฉินด้านความปลอดภัยที่รวดเร็วและแม่นยำยิ่งขึ้น
ต่อไปนี้เป็นแนวทางปฏิบัติที่ดีที่สุดในการรวมระบบอัตโนมัติเข้ากับการตอบสนองต่อเหตุการฉุกเฉิน:
- จัดทำแผนตอบสนองต่อเหตุการฉุกเฉินที่ชัดเจน ออกแบบขั้นตอนการทำงานเพื่อตอบสนองต่อเหตุการฉุกเฉินด้านความปลอดภัย กำหนดบทบาทและความรับผิดชอบ และวิธีที่การตอบสนองต่อเหตุการฉุกเฉินแบบอัตโนมัติที่เป็นมนุษย์
- จัดลำดับความสำคัญของเหตุการฉุกเฉินเพื่อทำให้เป็นอัตโนมัติ จัดลำดับความสำคัญการรับส่งข้อมูลปริมาณมากสำหรับระบบอัตโนมัติเสมอ การตอบสนองเหตุการฉุกเฉินอัตโนมัติสามารถจัดการการรับส่งข้อมูลระดับต่ำได้อย่างง่ายดาย แต่ Network Engineer จะยังคงมีงานที่ต้องทำ ไม่ว่าระบบอัตโนมัติจะอยู่ในระดับใดก็ตาม
- ใช้ฟีด Threat intelligence ติดตามข่าวสารภัยคุกคาม
- ฝึกอบรมและให้ความรู้แก่ทีม ทีมรักษาความปลอดภัยควรเรียนรู้วิธีทำความเข้าใจการตอบสนองต่อเหตุการฉุกเฉินแบบอัตโนมัติและการทำงานร่วมกันอย่างมีประสิทธิภาพ
- ทำงานร่วมกันระหว่างทีมต่างๆ
ทีม Engineer สมัยใหม่ทำงานร่วมกันเพื่อแบ่งปันความรู้และความเชี่ยวชาญ ซึ่งจะช่วยปรับปรุงการทำงานร่วมกันและลดทีมที่แยกจากกันซึ่งเป็นเรื่องปกติในช่วงไม่กี่ปีที่ผ่านมา
ต่อไปนี้เป็นขั้นตอนในการปรับปรุงการทำงานเพื่อทำงานเป็นทีม:
- กำหนดบทบาทและความรับผิดชอบที่ชัดเจน มอบหมายงานให้กับแต่ละทีมและกำหนดว่าใครจะบรรลุเป้าหมายในทีมและแผนกต่างๆ กระบวนการนี้ช่วยปรับปรุงการตัดสินใจเมื่อสิ่งต่าง ๆ ไม่เป็นไปตามที่คาดไว้
- ส่งเสริมการสื่อสารและความโปร่งใส การสื่อสารเป็นสิ่งสำคัญสำหรับทีมที่จะทำงานได้ดีขึ้น กำหนดเวลาการประชุมเป็นประจำ ตั้งค่าระบบการจัดการความรู้ และใช้เครื่องมือการทำงานร่วมกัน เช่น Cisco Webex, Microsoft Teams และ Zoom
- ส่งเสริมการทำงานร่วมกันข้ามสายงาน ผู้มีส่วนได้ส่วนเสียจากทีมปฏิบัติการด้านไอทีไปจนถึงการปฏิบัติตามกฎระเบียบควรมีความกระตือรือร้นใน NetSecOps
- วัดกันที่ผลงานที่ทีมทำ เป็นการยากที่จะปรับปรุงประสิทธิภาพหากไม่ได้วัดผล ใช้ตัวชี้วัด KPI ที่แตกต่างกันเพื่อปรับปรุงการทำงานร่วมกัน ประสิทธิภาพการสื่อสาร และอัตราการแก้ไขเหตุการณ์
- พัฒนาระเบียบปฏิบัติในต่อ Incident response ที่ครอบคลุม
หนึ่งในวิธีที่ดีที่สุดสำหรับบริษัทต่างๆ ในการบรรเทาเหตุการฉุกเฉินคือการตั้งค่าโปรโตคอลตอบสนองต่อเหตุการฉุกเฉิน
ต่อไปนี้เป็นแนวทางปฏิบัติ:
- กำหนดบทบาทและความรับผิดชอบ อีกครั้งที่การระบุผู้มีส่วนร่วมในกระบวนการตอบสนองต่อเหตุการฉุกเฉิน และมอบหมายบทบาทและความรับผิดชอบที่ชัดเจน การรักษาความปลอดภัยเป็นความรับผิดชอบของทุกคน
- สร้างแผนตอบสนองต่อเหตุการฉุกเฉินที่ชัดเจน แผนนี้เปรียบเสมือนแผนที่ที่แสดงที่ตั้งของบริษัทและสถานที่ที่จะไปในกรณีที่เกิดปัญหา สรุปขั้นตอนทั้งหมดที่ผู้มีส่วนได้ส่วนเสียควรทำเมื่อเกิดเหตุการณ์ขึ้น
- ทดสอบและจำลอง ทดสอบแผนการตอบสนองต่อเหตุการณ์ผ่านการฝึกซ้อมจำลองเพื่อค้นหาช่องว่างที่อาจเกิดขึ้น เตือนทุกคนถึงความรับผิดชอบในทีม
- ส่งเสริมความตระหนักรู้ด้านความปลอดภัย ฝึกอบรมพนักงานทุกคนเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์ และวิธีการระบุและรายงานกิจกรรมที่น่าสงสัย วัฒนธรรมการรับรู้ช่วยให้บริษัทมีความยืดหยุ่น
- เสริมสร้างพัฒนาทักษะของทีม
เทคโนโลยีด้านความปลอดภัยทางไซเบอร์เปลี่ยนแปลงตลอดเวลา เทรนด์ต่างๆ เกิดขึ้นและผ่านไป และผู้โจมตีที่มุ่งร้ายก็พัฒนาเทคนิคใหม่ๆ เพื่อใช้ประโยชน์จากบริษัทต่างๆ เป็นสิ่งสำคัญยิ่งสำหรับทีม NetSecOps ในการอัปเดตทักษะและก้าวให้ทันอุตสาหกรรม
ต่อไปนี้เป็นขั้นตอนบางส่วนที่จะช่วยพัฒนาทักษะของทีม:
- ส่งเสริมวัฒนธรรมการเรียนรู้อย่างต่อเนื่อง
- ลงทุนเวลากับประสบการณ์ตรง
- เรียนรู้ที่จะสื่อสารและทำงานร่วมกัน
- ส่งเสริมการใช้ระบบอัตโนมัติ
จากมุมมองทางเทคนิค ทักษะต่อไปนี้มีประโยชน์ในทีม NetSecOps:
- Networking เป็นสิ่งสำคัญสำหรับ NetSecOps มืออาชีพที่จะต้องมีความเข้าใจอย่างถ่องแท้เกี่ยวกับพื้นฐานของเครือข่าย เช่น TCP/IP, การกำหนดเส้นทางและการสลับ, ไฟร์วอลล์ และ IPS/IDS
- Security ความเข้าใจอย่างถ่องแท้เกี่ยวกับแนวคิดด้านความปลอดภัยเป็นสิ่งสำคัญ เช่น ช่องโหว่ ภัยคุกคาม การควบคุมการเข้าถึง การเข้ารหัส การสแกนช่องโหว่และแพตช์
- Scripting การรู้ภาษาสคริปต์ เช่น Python เพื่อทำให้งานประจำวันเป็นแบบอัตโนมัติจะเป็นประโยชน์
- Cloud security บริษัทต่างๆ กำลังย้ายปริมาณข้อมูล และงานไปยังระบบคลาวด์ และผู้เชี่ยวชาญด้าน NetSecOps จำเป็นต้องเข้าใจแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยบนระบบคลาวด์ ทักษะที่เกี่ยวข้อง ได้แก่ การเข้ารหัสข้อมูล รูปแบบความรับผิดชอบร่วมกัน และการจัดการการเข้าถึงข้อมูลประจำตัว
อุตสาหกรรมเครือข่ายเปลี่ยนแปลงตลอดเวลา ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องเรียนรู้ตลอดชีวิต
Source : techtarget.com
SolarWinds: Observability และ IT Management Platform
SolarWinds Platform เป็น monitoring software ที่ได้รับความไว้วางใจและได้รับรางวัลจากหลากหลายสาขาทั้งแบบ Full-stack hybrid และ multi-cloud observability การจัดการบริการไอที และการจัดการประสิทธิภาพของฐานข้อมูล ทั้งหมดในแพลตฟอร์มเดียว
