Security
Siem Security Information Event Management
SIEM: Security Information Event Management คืออะไร / ทำไมถึงสำคัญ
น้องๆ เคยสงสัยไหมว่าทำไมบริษัทใหญ่ๆ ถึงโดนแฮกยากจัง? ส่วนหนึ่งเป็นเพราะเค้ามีตัวช่วยที่เรียกว่า SIEM นี่แหละ SIEM หรือ Security Information and Event Management มันก็คือระบบที่คอยเก็บข้อมูล Log ทุกอย่างที่เกิดขึ้นในระบบ IT ของเรา แล้วเอามาวิเคราะห์หาความผิดปกติ
สมัยผมทำร้านเน็ต SiamCafe.net นะ บอกเลยว่าไม่มี SIEM หรอก (ตอนนั้นยังไม่มีใครใช้กันแพร่หลาย) แต่ก็ต้องคอยนั่งเฝ้า Log file เองเลย เคยนั่งอ่าน Log Apache เป็นวันๆ เพื่อหาว่าใครพยายาม Hack เว็บไซต์เราบ้าง เหนื่อยสุดๆ ถ้ามี SIEM ตอนนั้นชีวิตคงง่ายขึ้นเยอะ
ทำไมถึงสำคัญน่ะเหรอ? ลองคิดดูว่าถ้ามีคนพยายาม Brute force Password เข้า Server เรา ถ้าเราไม่มี SIEM เราก็อาจจะไม่รู้เลย จนกว่า Server จะโดนยึดไปแล้ว แต่ถ้ามี SIEM มันจะแจ้งเตือนเราทันทีว่ามีคนพยายาม Login ผิดพลาดหลายครั้งจาก IP address เดิม เราก็จะได้เข้าไปจัดการได้ทัน
พื้นฐานที่ต้องรู้
Log คืออะไร
Log ก็คือบันทึกเหตุการณ์ที่เกิดขึ้นในระบบ IT ของเรานั่นเอง ไม่ว่าจะเป็น Server, Network Device, Application ทุกอย่างมันจะสร้าง Log ขึ้นมาหมด ลองนึกภาพว่ามันเหมือนกล้องวงจรปิดที่คอยบันทึกทุกการกระทำที่เกิดขึ้นในระบบของเรา
สมัยก่อน Log ก็จะเป็นแค่ Text file ธรรมดา อ่านยากสุดๆ แต่ปัจจุบัน SIEM มันสามารถดึง Log จากหลายๆ แหล่งมาเก็บไว้ในที่เดียวกัน แล้วจัดระเบียบให้เราดูง่ายขึ้นเยอะ
Event Correlation
Event Correlation คือการที่ SIEM เอา Log จากหลายๆ แหล่งมาวิเคราะห์ร่วมกัน เพื่อหาความสัมพันธ์ ยกตัวอย่างเช่น ถ้า SIEM เห็นว่ามีคน Login เข้า Server จาก IP address ที่ไม่เคย Login มาก่อน แล้วหลังจากนั้นก็มีการ Copy ไฟล์จำนวนมากออกจาก Server SIEM ก็จะแจ้งเตือนเราทันที เพราะมันอาจจะหมายถึงว่า Server เราโดน Hack แล้ว
สมัยผมทำร้านเน็ตนะ เคยเจอเคสที่ลูกค้าติดไวรัส แล้วไวรัสมันพยายามส่งอีเมล Spam ออกไป ถ้ามี SIEM มันจะช่วยให้เรา Detect ได้เร็วกว่านี้เยอะ เพราะมันจะเห็นว่ามีการส่งอีเมลจำนวนมากผิดปกติจากเครื่องนั้น
วิธีใช้งาน / เริ่มต้นยังไง
การใช้งาน SIEM ก็ไม่ได้ยากอย่างที่คิดนะ น้องๆ ลองเริ่มจากติดตั้ง SIEM ตัว Open Source อย่าง Wazuh หรือ Graylog ดูก่อนก็ได้ แล้วค่อยๆ เรียนรู้การ Config และใช้งาน
สิ่งสำคัญคือเราต้องเข้าใจ Log ที่ระบบของเราสร้างขึ้นมา และต้องรู้ว่าอะไรคือพฤติกรรมปกติ และอะไรคือพฤติกรรมที่ผิดปกติ SiamCafe Blog มีบทความเกี่ยวกับเรื่องนี้อยู่บ้าง ลองเข้าไปอ่านดูนะ
ขั้นตอนปฏิบัติจริง
การติดตั้งและ Config
เริ่มจากการ Download SIEM ที่เราเลือกมาติดตั้งก่อนเลย แต่ละตัวก็จะมีวิธีการติดตั้งที่แตกต่างกันไป ลองอ่าน Document ของแต่ละตัวดูให้ละเอียด
หลังจากติดตั้งเสร็จแล้ว เราก็ต้อง Config ให้ SIEM ไปดึง Log จากระบบต่างๆ ของเรามาเก็บไว้ อาจจะต้องติดตั้ง Agent บน Server หรือ Config Network Device ให้ส่ง Log มาที่ SIEM
# ตัวอย่างการ Config rsyslog ให้ส่ง Log ไปที่ SIEM Server
*.* @192.168.1.100:514
การสร้าง Rule
Rule คือเงื่อนไขที่เรากำหนดให้ SIEM ตรวจสอบ Log ถ้า Log ตรงตามเงื่อนไข SIEM ก็จะแจ้งเตือนเรา ยกตัวอย่างเช่น ถ้ามีคน Login ผิดพลาดเกิน 5 ครั้งจาก IP address เดิม ให้แจ้งเตือน
การสร้าง Rule เป็นเรื่องที่ต้องใช้ประสบการณ์พอสมควร เพราะเราต้องรู้ว่าอะไรคือพฤติกรรมที่ผิดปกติจริงๆ ไม่ใช่ทุกอย่างที่ผิดปกติจะต้องเป็นภัยคุกคามเสมอไป
# ตัวอย่าง Rule ใน Wazuh
5700
Authentication failed
Authentication failed too many times.
alert_by_email
เปรียบเทียบกับทางเลือกอื่น
นอกจาก SIEM แล้ว ก็ยังมีเครื่องมืออื่นๆ ที่ช่วยในการรักษาความปลอดภัยของระบบ IT ของเราได้ เช่น Firewall, Intrusion Detection System (IDS), Antivirus แต่ละตัวก็จะมีหน้าที่และความสามารถที่แตกต่างกันไป
Firewall จะคอยป้องกันไม่ให้คนที่ไม่ได้รับอนุญาตเข้ามาในระบบของเรา IDS จะคอยตรวจจับการบุกรุกที่เกิดขึ้นในระบบ Antivirus จะคอยป้องกันและกำจัดไวรัส
SIEM จะเป็นเหมือนศูนย์รวมข้อมูลจากเครื่องมือทั้งหมดที่กล่าวมา แล้วเอามาวิเคราะห์ร่วมกัน เพื่อให้เราเห็นภาพรวมของความปลอดภัยของระบบของเราได้ชัดเจนยิ่งขึ้น
| เครื่องมือ | หน้าที่ | ข้อดี | ข้อเสีย |
|---|---|---|---|
| Firewall | ป้องกันการเข้าถึงระบบจากภายนอก | ใช้งานง่าย, ป้องกันการบุกรุกเบื้องต้นได้ | ไม่สามารถป้องกันการบุกรุกจากภายในระบบได้ |
| Intrusion Detection System (IDS) | ตรวจจับการบุกรุกที่เกิดขึ้นในระบบ | ตรวจจับการบุกรุกได้หลากหลายรูปแบบ | อาจจะเกิด False positive ได้บ่อย |
| Antivirus | ป้องกันและกำจัดไวรัส | ป้องกันไวรัสได้หลากหลายชนิด | ต้องอัพเดทฐานข้อมูลไวรัสอยู่เสมอ |
| SIEM | รวบรวมและวิเคราะห์ Log จากทุกแหล่ง | เห็นภาพรวมของความปลอดภัยของระบบได้ชัดเจน, ช่วยในการ Detect ภัยคุกคามได้เร็วขึ้น | ต้องใช้ความรู้และความเชี่ยวชาญในการ Config และใช้งาน |
หวังว่าน้องๆ จะเข้าใจ SIEM มากขึ้นนะ ลองเอาไปประยุกต์ใช้กับระบบของตัวเองดู SiamCafe Blog มีบทความเกี่ยวกับ Security อีกเยอะเลย ลองเข้าไปอ่านดูนะ
Best Practices / เคล็ดลับจากประสบการณ์
สมัยผมทำร้านเน็ต SiamCafe เนี่ย เรื่อง Security สำคัญสุดๆ เพราะเป็นแหล่งรวม User ทุกรูปแบบ ตั้งแต่เด็กเล่นเกม ยันคนทำธุรกรรมออนไลน์ ถ้า Security ไม่ดี เตรียมตัวรับมือปัญหาปวดหัวได้เลย ผมเลยอยากแชร์ Best Practices ที่ผมใช้จริงมาฝากกัน
3-4 เทคนิคที่ใช้ได้จริง
1. Log ทุกอย่างที่ทำได้: อย่ามองข้าม Log Files นะครับ! มันคือขุมทรัพย์ข้อมูลชั้นดี ที่จะช่วยให้เราตามรอยปัญหาได้ สมัยก่อนผมใช้โปรแกรมง่ายๆ เขียน Log การเข้าเว็บของ User แต่ละคน แค่นี้ก็พอรู้แล้วว่าใครเข้าเว็บแปลกๆ บ้าง
# ตัวอย่าง Log file
2024-01-26 14:30:00 user123 accessed example.com
2024-01-26 14:35:15 user456 accessed game.siamcafe.net
2024-01-26 14:40:22 user123 accessed suspicious-website.ru
2. ติดตั้ง Firewall และ IDS/IPS: Firewall เปรียบเหมือนยามหน้าประตู ที่คอยสกัดกั้นคนที่ไม่ได้รับอนุญาต ส่วน IDS/IPS ก็เหมือนหน่วยข่าวกรอง ที่คอยตรวจจับสิ่งผิดปกติที่เล็ดลอดเข้ามาได้ สมัยนี้มี Open Source ให้เลือกใช้เยอะแยะ ลองศึกษาดูครับ
3. อัพเดท Patch อย่างสม่ำเสมอ: ช่องโหว่ของระบบ คือประตูที่เปิดต้อนรับ Hacker เลยครับ อย่าละเลยการอัพเดท Patch นะครับ หมั่นตรวจสอบและติดตั้ง Patch ใหม่ๆ อย่างสม่ำเสมอ ผมเคยโดน Hack เพราะลืมอัพเดท Patch Windows นี่แหละ เจ็บใจสุดๆ
4. Educate Users: สอนให้ User รู้จักภัยคุกคามออนไลน์ และวิธีป้องกันตัวเอง เช่น ห้ามคลิกลิงก์แปลกๆ ห้ามดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ ผมเคยทำป้ายประกาศติดไว้ทั่วร้านเลยครับ ได้ผลดีกว่าที่คิด
FAQ คำถามที่พบบ่อย
SIEM จำเป็นสำหรับธุรกิจขนาดเล็กไหม?
หลายคนอาจจะมองว่า SIEM เหมาะสำหรับองค์กรใหญ่ๆ เท่านั้น แต่จริงๆ แล้วธุรกิจขนาดเล็กก็สามารถใช้ประโยชน์จาก SIEM ได้เหมือนกันครับ เพียงแต่ต้องเลือก Solution ที่เหมาะสมกับงบประมาณและความต้องการของธุรกิจ
SIEM ราคาแพงไหม?
ราคาของ SIEM ขึ้นอยู่กับปัจจัยหลายอย่าง เช่น จำนวน Log ที่ต้องเก็บรักษา ฟีเจอร์ที่ต้องการ และผู้ให้บริการ แต่ปัจจุบันมี Open Source SIEM ให้เลือกใช้ฟรีๆ หลายตัว ลองศึกษาดูครับ อาจจะตอบโจทย์ก็ได้
ต้องมีความรู้ด้าน Security มากแค่ไหน ถึงจะใช้งาน SIEM ได้?
SIEM เป็นเครื่องมือที่ค่อนข้างซับซ้อนครับ แต่ไม่ต้องกังวลไป ปัจจุบันมี SIEM หลายตัวที่ใช้งานง่าย และมี Documentation ที่ละเอียด เพียงแค่มีความรู้พื้นฐานด้าน IT และ Security ก็สามารถเริ่มต้นใช้งานได้แล้วครับ
iCafeForex เกี่ยวอะไรกับ Security?
การบริหารจัดการความเสี่ยงในตลาด Forex ก็เหมือนกับการจัดการความเสี่ยงด้าน Security ครับ ต้องมีการวางแผน วิเคราะห์ และป้องกัน เพื่อลดโอกาสในการสูญเสีย
สรุป
SIEM เป็นเครื่องมือที่ทรงพลัง ที่จะช่วยให้เราตรวจจับและตอบสนองต่อภัยคุกคามทางไซเบอร์ได้อย่างรวดเร็วและมีประสิทธิภาพ แต่การใช้งาน SIEM ให้ได้ผลดี ต้องอาศัยความเข้าใจในระบบ Security และการวางแผนที่รอบคอบ อย่าลืมว่า Security ไม่ใช่แค่ Product แต่เป็น Process ที่ต้องทำอย่างต่อเนื่องครับ
ถ้าอยากอ่านเรื่องราว Security สนุกๆ สมัยผมทำร้านเน็ต ลองเข้าไปอ่านที่ SiamCafe Blog นะครับ มีเรื่องเล่าอีกเยอะเลย
iCafeForex