by A.Prinya Hom-anek
CISSP, SSCP, CISA, CISM, SANS GIAC GCFW, CompTIA Security+, CCSA 2000,
CCNA, MCSE, MCDBA, MCP+Internet, Master CNE, CNI, CNA, ITIL,
(ISC)2 Asian Advisory Board Member, ISACA Bangkok Chapter Board Member
President & Founder, ACIS Professional Center
ACIS
Centralized Log Management System
หมายถึง ระบบบริหารจัดการเก็บข้อมูลจราจรทางคอมพิวเตอร์ โดยมีการจัดเก็บที่ส่วนกลางแบบรวมศูนย์ และ แยกออกจากการเก็บ Log File ภายในเครื่องแม่ข่ายเนื่องจากการเก็บ Log File ในเครื่องแม่ข่ายในทุกวันนี้ถือว่าไม่ “Comply” ตามพรบ.ฯ เนื่องจากเราไม่สามารถรักษาความถูกต้องของข้อมูล หรือ “Integrity” สำหรับ Log File ที่เก็บอยู่ในเครื่องแม่ข่ายได้ เพราะ ผู้ดูแลระบบ หรือ “System Administrator” สามารถเข้าถึง Log File ในเครื่องและสามารถเข้าไปแก้ไข Log File ได้ นอกจากนี้แฮกเกอร์ หรือ MalWare อาจเข้ามาลบ Log File ในเครื่องได้ทุกเมื่อถ้าแฮกเกอร์สามารถเจาะเข้าเครื่องแม่ข่ายและยึดเครื่องแม่ข่ายได้สำเร็จ ทำให้ Log File ที่อยู่ในเครื่องแม่ข่ายนั้นขาดความน่าเชื่อถือในการดำเนินคดีในชั้นศาล (Admissibility in Court)
การจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ หรือ Log File ที่ถูกต้องนั้น ควรต้องจัดเก็บแบบรวมศูนย์ที่ส่วนกลาง โดยแยกระบบออกเป็นอิสระจากเครื่องแม่ข่าย และ ระบบ Centralized Log Management ต้องสามารถป้องกันการเข้ามาแก้ไข Log File โดยไม่ได้รับอนุญาต อีกทั้งต้องสามารถเก็บ Log File ไว้ได้นานตามที่กฎหมายระบุไว้ คืออย่างน้อย 90 วัน เรียกว่า “Log Retention Period” ดังนั้น ฮาร์ดดิสก์ หรือ ระบบ Storage ของ Centralized Log Management System ต้องถูกออกแบบมาโดยเฉพาะใช้ในการเก็บ Log เท่านั้น
(หมายเหตุ : ระบบ SIM หรือ “Security Information Management” นั้นไม่ได้ถูกออกแบบมาเพื่อใช้ในการเก็บ Log ดังนั้น SIM จึงไม่ไช่ Centralized Log Management)

Security Event Management (SEM)
หมายถึง ระบบจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์แบบรวมศูนย์ ในความหมายเดียวกันกับ ระบบCentralized Log Management โดยระบบ SEM ถูกออกแบบมาใช้ในการเก็บ Log แต่ไม่ได้ถูกออกแบบมาใช้ในการวิเคราะห์การโจมตีผ่านทางเครือข่าย (Real-time Threat Analysis) ดังนั้นระบบ SEM จะเน้นไปที่การเก็บ Log เพื่อใช้ในการพิสูจน์หลักฐาน (Computer Forensic) ของพนักงานเจ้าหน้าที่ หรือ เพื่อใช้ในการตรวจสอบ (Audit) ตลอดจนเพื่อให้องค์กร “Comply” พรบ.ฯ และกฎหมายต่างๆที่กำหนดให้องค์กรต้องจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์
เช่น พรบ. ว่าด้วยการกระทำผิดฯ เป็นต้น
การใช้ระบบ SEM ยังช่วยให้องค์กรปฏิบัติตาม International Standards และ Best Practices เช่น ISO/IEC 27001/20000 , CobiT และ ITIL อีกด้วย ปัญหาของการจัดซื้อระบบ “SEM” มาใช้ก็คือ องค์กรไม่สามารถปรับแต่งเครื่องแม่ข่าย และอุปกรณ์เครือข่ายต่างๆให้ส่งข้อมูลจราจร หรือ “Log File” มายังระบบ “SEM” ได้เนื่องจากขาดความรู้ทางด้านเทคนิค ทำให้ระบบ “SEM” ที่จัดซื้อมานั้นไม่สามารถ “ผ่าน” หรือ “Comply” พรบ.ฯได้ ทางแก้ปัญหาที่ถูกต้องคือ การใช้บริการจากผู้เชี่ยวชาญมาทำการปรับแต่งและติดตั้งให้ถูกต้องตามพรบ.ฯ น่าจะเป็นทางออกที่ดีที่สุดหลังจากได้จัดซื้อระบบ “SEM” มาใช้งาน หรืออาจจะ “Outsource” ให้แก่ MSSP ในการจัดการให้บริการติดตั้งระบบ “SEM” โดยที่องค์กรไม่ต้องลงทุนซื้อระบบ “SEM” เอง และไม่ต้องมีค่าใช้จ่ายในการบำรุงรักษาอุปกรณ์ (Maintenance Fee) อีกด้วย การใช้บริการเก็บข้อมูลจราจรทางคอมพิวเตอร์จาก MSSP นั้นเป็นทางออกที่คุ้มค่าในการลงทุน โดยให้ค่า Return On Investment (ROI) ที่สูงกว่าและมีค่า Total Cost of Ownership (TCO) ที่ต่ำกว่าในระยะยาว ตลอดจนลดความเสี่ยงในการลงทุนในสภาวะเศรษฐกิจแบบนี้ และ ยังลดความเสี่ยงจากโอกาสที่การติดตั้งระบบไม่สำเร็จหรือล่าช้าเนื่องจากขาดความรู้ทางด้านเทคนิคโดยที่องค์กรไม่ต้องติดตั้งเอง แต่ใช้บริการของผู้เชี่ยวชาญเฉพาะทางมาติดตั้งให้และรับผิดชอบทั้งระบบครบวงจร กล่าวโดยสรุปแล้วจากการ Outsource โดยไม่จัดซื้อระบบ “SEM” เองนั้นมีข้อดีมากกว่าข้อเสีย นับเป็นทางเลือกที่ถูกต้องของผู้บริหารระบบสารสนเทศในปัจจุบัน

Security Information Management (SIM)
ระบบ SIM เป็นระบบที่ถูกออกแบบมาวิเคราะห์เหตุการณ์ผิดปกติในระบบสารสนเทศในลักษณะ “Proactive Defense” คือเราสามารถรับรู้ล่วงหน้าถึงการโจมตีจากผู้ไม่หวังดีหรือไวรัสคอมพิวเตอร์จากการวิเคราะห์ข้อมูลจราจรทางคอมพิวเตอร์ หรือ จากการวิเคราะห์ “Log File” ที่เกิดจากเครื่องแม่ข่าย, อุปกรณ์เครือข่าย, ไฟล์วอลล์ และ IDS/IPS แต่ระบบ “SIM” ไม่ได้ถูกออกแบบมาให้เก็บข้อมูลจราจร หรือ “Log File” ในระยะเวลาการจัดเก็บที่ยาวนาน ดังนั้นการจัดซื้อระบบ “SIM” จึงไม่ใช่ทางออกที่ถูกต้องของการปฏิบัติตามพรบ.ฯ อีกทั้งระบบ “SIM” ยังต้องการผู้เชี่ยวชาญระดับสูงมาปรับแต่งให้ใช้งานได้ตามวัตถุประสงค์ที่ต้องการวิเคราะห์และรับรู้ถึงภัยล่วงหน้าก่อนการโจมตีจะสัมฤทธิ์ผล ดังนั้นการใช้งานระบบ “SIM” นั้นไม่ง่ายเหมือนการใช้งานระบบ “SEM” ทางออกที่ดีของผู้บริหารระบบสารสนเทศที่ฉลาดก็คือ ไม่ควรจัดซื้อระบบ “SIM” มาทำการติดตั้งเองเพราะไม่คุ้มค่าการลงทุน และไม่ “Comply” พรบ.ฯ อย่างชัดเจน เพราะไม่ได้จัดเก็บ Log ตามที่พรบ.ฯ บัญญิไว้ ปัญหาในปัจจุบันที่พบบ่อยก็คือ องค์กรเข้าใจผิดคิดว่าซื้อ “SIM” ก็คือการซื้อ “SEM” ทำให้การลงทุนเสียเปล่าไปอย่างน่าเสียดาย

Security Information and Event Management (SIEM)
ระบบ SIEM เป็นระบบที่เป็นลูกผสมระหว่างระบบ “SIM” และระบบ “SEM” ซึ่งสามารถเก็บ Log และวิเคราะห์ Log ได้ในเวลาเดียวกัน ข้อเสียของระบบ “SIEM” ก็คือประสิทธิภาพในการทำงานนั้นจะสู้การแยกทำงานเป็นสองระบบไม่ได้ (แยกระหว่าง SIM และ SEM) เพราะฮารด์แวร์ที่ใช้ในการประมวลผลการจัดเก็บ Log ในแบบ Real Time นั้นไม่ควรจะทำงานอยู่บนฮารด์แวร์เดียวกันกับฮารด์แวร์ที่ใช้ในการวิเคราะห์ เนื่องจากเมื่อปริมาณจราจรเพิ่มขึ้นในระดับสูงมากๆในบางช่วงระยะเวลาหนึ่ง จะทำให้ระบบ “SIEM”อาจทำงานได้ไม่เต็มประสิทธิภาพ ซึ่งการจัดซื้อระบบ SIEM ควรกำหนดค่า “EPS” หรือ “Event Per Second” ให้เหมาะสมก่อนการจัดซื้อ เพราะการทำ POC [Proof of Concept] เพื่อให้แน่ใจว่าขนาดของระบบ “SIEM” นั้นเหมาะสมกับขนาดระบบสารสนเทศขององค์กร
ปัญหาของระบบ “SIEM” นั้นเหมือนกับปัญหาของระบบ “SIM” กล่าวคือ ต้องใช้ผู้เชี่ยวชาญระดับสูงมาทำการติดตั้ง และปรับแต่งใช้งาน ดังนั้นการ Outsource ไปยัง MSSP ให้มาจัดบริการทั้งระบบ “SIEM” และ “SIM” จึงเป็นทางออกที่ดีที่สุด จากการวิเคราะห์ข้อดีข้อเสียในหลายๆปัจจัยดังที่กล่าวมาแล้วในตอนต้น

Managed Security Services (MSS) และ Managed Security Services Provider (MSSP)
MSS เป็นการให้บริการดูแลและเฝ้าระวังเหตุการณ์ผิดปกติด้านความปลอดภัยข้อมูลจากผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลเฉพาะทางที่เรียกตัวเองว่า MSSP โดยที่ MSSP ควรต้องมีบุคลากรที่ได้รับการรับรองความรู้ความสามารถทางด้านระบบความปลอดภัยข้อมูล เช่น CISSP, SSCP หรือ SANS GIAC เป็นต้น เพราะธุรกิจของ MSSP สามารถอยู่ได้จากการให้บริการในการวิเคราะห์เหตุการณ์ผิดปกติต่างๆที่เกิดขึ้นในระบบ โดยใช้ความรู้ความสามารถของ “Security Analyst” ในการวิเคราะห์และแจ้งเตือนให้กับลูกค้าผู้ใช้บริการจาก MSSP
     การ Outsource งานเฝ้าระวังไปยัง MSSP นั้นเป็นแนวคิดในการบริหารจัดการระบบความปลอดภัยข้อมูลสมัยใหม่ที่นิยมในสหรัฐอเมริกาและในยุโรป ปัจจุบันในเอเชียและในประเทศไทยมีผู้ให้บริการ MSSP หลายรายเข้ามาเป็นตัวเลือกให้กับองค์กร ในการจัดจ้าง MSSP เข้ามาดูแลระบบความปลอดภัยข้อมูลให้กับองค์กรในระยะยาวโดยควบคุมที่ Service Level Agreement (SLA) ให้ MSSP ทำงานตามที่องค์กรต้องการ เปรียบเทียบได้กับการจ้างบริษัท รปภ. ในปัจจุบันของสำนักงาน อาคารต่างๆ โดยที่องค์กรไม่จำเป็นต้องมี รปภ.เป็นของตนเองและไม่ต้องมีปัญหาเรื่องการขาดแคลนบุคลากร และปัญหาการให้บริการที่ไม่ได้ตาม SLA เพราะการจัดจ้าง MSSP นั้น องค์กรสามารถยกเลิกสัญญาได้ในกรณีที่ MSSP ไม่ปฏิบัติตาม SLA ดังกล่าวแต่การที่จะให้พนักงานในองค์กรออกนั้นไม่ใช่เรื่องที่จะกระทำได้ง่ายๆ

Log Retention Period
หมายถึง ระยะเวลาในการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ หรือ Log File โดยในพรบ.ฯ ได้กำหนดไว้ว่าต้องมี Log Retention Period ไม่น้อยกว่า 90 วัน

MD5 หรือ SHA1
หมายถึง Algorithm ในการทำ Data Hashing ให้กับ Log File เพื่อเป็นการรักษา Integrity ของข้อมูล Log เพื่อประโยชน์ในด้านการสืบสวนสอบสวนทางนิติคอมพิวเตอร์ (Computer Forensic) และประโยชน์ในการพิจารณาคดีในชั้นศาล (Admissibility in Court) โดย MD5 Algorithm จะให้ค่า Hash Value ที่ 128 bits และ SHA1 Algorithm ให้ค่า Hash Value ที่ 160 bits

“Full Text Search” หรือ “Google Like Search”
การค้นหาข้อมูลในระบบ SEM หรือ SIEM ซึ่งเก็บ Log File ขนาดใหญ่หลายร้อย Gigabyte หรือ อาจถึงระดับTerabyte ทำให้การค้นหาข้อมูลค่อนข้างใช้เวลาอย่างมากในการค้นหาหลักฐาน (Evidence) จากระบบ SEM หรือ SIEM ดังนั้นเทคโนโลยี “Full Text Search” จึงเข้ามามีบทบาทอย่างมากในการค้นหาข้อมูลให้รวดเร็วยิ่งขึ้นในลักษณะ “Google Like Search” เพื่อช่วยอำนวยความสะดวกให้กับพนักงานเจ้าหน้าที่ในการค้นหาข้อมูลที่ต้องการนำสืบหาผู้กระทำความผิดต่อไป

จาก : หนังสือ eEnterprise Thailand
ประจำเดือน มีนาคม 2551
Update Information : 26 มีนาคม 2551