เมื่อเกิดภัยคุกคามทางไซเบอร์ CSOC ทำงานอย่างไร?
ในโลกยุคปัจจุบันภัยคุกคามทางโซเบอร์ ได้ทวีความรุนแรงและส่งผลกระทบต่อการดำเนินธุรกิจขององค์กรต่างๆ อย่างมากมาย ทำให้ศูนย์เฝ้าระวังภัยคุกคามทางไซเบอร์ (Cybersecurity Operation Center) มีบทบาทหน้าที่สำคัญในยับยั้งและบรรเทาความเสียหายที่อาจจะเกิดขึ้นได้ หากมีการบริหารจัดการทั้งด้านเทคโนโลยี กระบวนการและบุคลากรอย่างเหมาะสม ในบทความนี้จะอธิบายกระบวนการทำงานภายในศูนย์ CSOC รวมถึงบทบาทหน้าที่ความรับผิดชอบของเจ้าหน้าที่ภายในศูนย์ อ้างอิงตามแนวปฏิบัติตามมาตรฐานสากล Ref: NIST Computer Security Incident Handling Guide 800-61 Revision 2 เจ้าหน้าที่วิเคราะห์ภัยคุกคามระดับที่ 1 (Tier 1 – Cybersecurity Analyst) ปฏิบัติหน้าที่ตรวจสอบการแจ้งเตือนที่เกิดขึ้นจากระบบป้องกันและระบบเฝ้าระวังภัยคุกคามทางไซเบอร์ เจ้าหน้าที่ระดับที่ 1 จะดำเนินการรวบรวมตรวจสอบข้อมูลความผิดปกติเบื้องต้นเพื่อคัดกรอง ค้นหา จัดลำดับความสำคัญภัยคุกคาม ตามวิธีปฏิบัติที่กำหนดไว้ (Playbooks) ในกรณีที่เหตุการณ์ที่ตรวจพบมีความรุนแรงหรือมีความซับซ้อน เจ้าหน้าที่ระดับที่ 1 จะรวบรวมข้อมูลเบื้องต้น พร้อมทั้งจัดทำรายงานและยกระดับเหตุการณ์ รวมถึงส่งต่อไปให้เจ้าหน้าที่วิเคราะห์ระดับที่ 2 ดำเนินการวิเคราะห์เหตุการณ์ต่อไป เจ้าหน้าที่วิเคราะห์ภัยคุกคามระดับที่ 2 (Tier 2 – Cybersecurity Analyst) ปฏิบัติหน้าที่ตรวจสอบเหตุการณ์ภัยคุกคามต่อจากเจ้าหน้าที่วิเคราะห์เหตุการณ์ระดับที่ […]