แนวทางบรรเทาปัญหาขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์
ความท้าทายสำคัญในการรับมือกับ ภัยไซเบอร์ ซึ่งไม่ใช่เฉพาะบ้านเราเท่านั้น แต่เป็นความท้าทายของทุกประเทศทั่วโลกนั่นคือ ปัญหาการขาดแคลนบุคลากรที่มีความรู้ ความสามารถ และความชำนาญ แม้ว่าจะมีความพยายามแก้ปัญหานี้โดยการเร่งผลิตทรัพยากรบุคคล
เรียกว่าแทบทุกมหาวิทยาลัยจะมีหลักสูตรด้านนี้ รวมถึงศูนย์ฝึกอบรมระยะสั้น ตลอดจนการเรียนผ่าน online ฯลฯ แต่ก็ยังไม่เพียงพอต่อความต้องการอยู่ดี จากผลสำรวจของ (ISC)2* พบว่าในปีพ.ศ. 2565 มีตำแหน่งงานด้านความมั่นคงปลอดภัยไซเบอร์ที่ว่าง ยังไม่สามารถหาคนมาลงได้ถึง 3.4 ล้านตำแหน่งทั่วโลก
ความท้าทายนี้เริ่มตั้งแต่การสรรหา การพัฒนา ตลอดจนการรักษาบุคลากรที่มีประสบการณ์ให้ทำงานอยู่กับเรา สู้กับการแย่งชิงตัวพนักงาน ทำให้ค่าใช้จ่ายด้านบุคลากรสูงขึ้นอย่างมาก
นอกจากนี้ปัญหาที่แทรกซ้อนขึ้นมาคือ แม้จะมีความก้าวหน้าของเครื่องมือและเทคโนโลยีด้านการป้องกันภัยไซเบอร์ แต่หากเราไม่สามารถสรรหาบุคลากรเก่ง ๆ มาใช้เทคโนโลยีดังกล่าวได้ การลงทุนนั้นก็ไม่คุ้มค่าและไม่สามารถลดความเสี่ยงจากภัยไซเบอร์ลงไปได้
ผลของการขาดแคลนบุคลากร ทำให้องค์กรส่วนใหญ่ตกอยู่ในความเสี่ยง และกำลังเดินเข้าสู่วังวนแห่งหายนะ (vicious cycle) กล่าวคือ เมื่อมีบุคลากรไม่เพียงพอ ทำให้บุคลกรที่มีอยู่ต้องรับภาระทำงานยาวขึ้นในแต่ละวัน ไม่สามารถหาวันลาพักผ่อนหรือวันหยุดได้
ประกอบกับภัยคุกคามที่เพิ่มสูงขึ้น เป็นแรงกดดันให้เกิดภาวะ burnout หมดพลัง หมดไฟ และหมดแรงจูงใจให้สู้กับงาน จึงทยอยลาออกจากงานไป หลายคนถึงกับเปลี่ยนอาชีพไปเลยก็มี ภาระงานนี้จึงตกไปอยู่ในความรับผิดชอบของพนักงานที่เหลือ อันนำไปสู่วังวนแห่งหายนะดังกล่าว
ทางแก้หรือหนทางบรรเทาปัญหาแบบกำปันทุบดินก็คือ ปรับปรุงระบบการสรรหาและการพัฒนาบุคลากร นอกจากนี้ยังต้องมีกลไกการบริหารความเสี่ยง และต้องมีศูนย์ปฏิบัติการด้านความมั่นคงปลอดภัยไซเบอร์ที่เหมาะสม (A Fully Optimized Security Operations Center, SOC) เช่นกัน
ศูนย์ SOC ที่มีประสิทธิภาพและมีประสิทธิผลซึ่งปรกติจะต้องปฏิบัติงานแบบ 7x24x365 จำเป็นต้องมีบุคลากรที่มีความรู้และทักษะที่ถูกต้อง เหมาะสม ทั้งปริมาณและคุณภาพ มีกระบวนการ และเทคโนโลยีที่ทันสมัย (people, process, technology)
ถึงแม้จะมีตัวช่วยอย่างระบบ AI ก็ยังจำเป็นต้องมีบุคลากรที่เป็นนักวิเคราะห์ (security analysts) มาเติมเต็มในส่วนที่ AI ไม่รองรับอยู่ดี
เพราะความสามารถของมนุษย์ที่เหนือกว่า AI คือความเฉลียวฉลาด จินตนาการ และประสบการณ์ช่วยในการค้นหาแบบแผนและสิ่งผิดปรกติที่เกิดขึ้น รองรับความเป็นพลวัต มีการเปลี่ยนแปลงตลอดเวลา
ประกอบกับความซับซ้อนของระบบเทคโนโลยีสารสนเทศที่เปิดช่องทางการโจมตีมากขึ้น (attack surface) ตลอดจนจำนวนและวิธีการของภัยคุกคามจากแฮกเกอร์ที่พัฒนาลำหน้าอยู่ตลอดเวลา (Tactics, Techniques, Procedures, TTPs)
นักวิเคราะห์ความปลอดภัยไซเบอร์ในแต่ละวันต้องทำอะไรบ้าง
1) เฝ้าสังเกตุและค้นหาเห็นการณ์ที่น่าสงสัยและกิจกรรมที่ผิดปรกติ
2) ตรวจสอบเหตุการณ์น่าสงสัยประกอบข้อมูลข่าวกรองด้านภัยคุกคาม (Threat Intelligence)
3) บริหารการตอบสนองต่อภัยคุกคาม
4) ปรับแก้สัญญาณเตือนที่ผิดพลาดให้ลดลง (reduce faults positive)
5) ติดตามข่าวสารและเรียนรู้ภัยคุกคามรูปแบบใหม่ ๆ
6) ตรวจสอบบันทึกที่รวบรวมมา
7) ทำรายงานการเปลี่ยนแปลงต่าง ๆ
8) สื่อสารเหตุการณ์ภัยไซเบอร์ไปยังผู้ที่เกี่ยวข้อง เป็นต้น
ส่วนปัญหาพื้นฐานที่ทีมงาน SOC พบเจอ ได้แก่
1) นักวิเคาะห์เกิดความล้าจากสัญญาณเตือน (alert fatigue) ที่มีมากเกินไปจากเครื่องมือด้านความปลอดภัยไซเบอร์จำนวนมาก ทำให้ความสามารถในการเชื่อมโยงหาความสัมพันธ์และค้นหาภัยคุกคามจริง ๆ เป็นไปได้ยากขึ้น เหมือนสุภาษิตที่ว่า “งมเข็มในมหาสมุทร” ปานนั้นเลย
2) ความหลากหลายของเครื่องมือและเทคโนโลยีที่นำมาใช้ เริ่มที่ระบบอัตโนมัติต่าง ๆ เพื่อแก้ปัญหาการขาดแคลนบุคลากร เช่น ระบบวิเคราะห์พฤติกรรมผู้ใช้ (User Entity Behavior Analytics, UEBA) ระบบประสานความปลอดภัยและดำเนินการเพื่อตอบสนองแก้ไขภัยคุกคามแบบอัตโนมัติ (Security Orchestration, Automation, and Response, SOAR) ตลอดจนเทคโนโลยีในการป้องกันภัยคุกคามอีกหลายหลายประเภท เช่น NG-Firewall, IDS/IPS, EDR/XDR,…
3) ข้อปฏิบัติตามกฏระเบียบควมคุมและการบริหารความเสี่ยง (Security Compliance & Risk Management)
ดังนั้นแต่ละองค์กรคงต้องชั่งนำหนักหลาย ๆ ด้านในการเลือกรูปแบบ SOC ให้เหมาะสมตามความเสี่ยง
กฏระเบียบที่ถูกกำกับดูแล มูลค่าสินทรัพย์ดิจิทัล บุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ที่สรรหาได้ ตลอดจนความสามารถในการจัดสรรงบประมาณทั้งแบบงบดำเนินการและงบลงทุน
ที่สำคัญคือ ต้องมีงบประมาณอย่างเพียงพอในการลดความเสี่ยงและผลกระทบ หากโชคร้ายต้องเจอกับภัยคุกคามทางไซเบอร์
ทั้งนี้รูปแบบ SOC ที่นิยมใช้ในปัจจุบันซึ่งช่วยลดปัญหาด้านความขาดแคลนบุคลากรโดยเฉพาะองค์กรขนาดกลางถึงย่อม (SMEs) ที่มีงบประมาณจำกัด ก็คือ Co-Managed SOC โดยใช้บริการจากผู้ให้บริการ 2 ประเภทหลัก ๆ คือ Managed Security Service Provider, MSSP หรือ Managed Detection & Response, MDR
ทั้งนี้ Co-Managed SOC จะเป็นการแบ่งปันจัดสรรความรับผิดชอบระหว่างผู้ให้บริการและองค์กรในระดับที่เหมาะสม โดยมีงบประมาณและทรัพยากรบุคคลเป็นตัวกำหนดขอบเขตความรับผิดชอบภายใต้สัญญาระดับบริการ (SLAs) ตามที่องค์กรต้องการ
ส่วนองค์กรขนาดใหญ่ที่มีงบประมาณเพียงพอ และสามารถดึงดูดบุคลากรที่มีความรู้ ความสามารถ ก็มักเลือกแบบ Dedicated SOC โดยสร้าง ลงทุน และดำเนินการบริหารและสรรหาบุคลากรเต็มรูปแบบด้วยตัวองค์กรเอง
สรุปแนวทางการสร้างศูนย์รักษาความมั่นคงปลอดภัยไซเบอร์ (SOC) องค์กรมีทางเลือก 3 ทาง คือ
1) สรรหาและพัฒนาบุคลากรและลงทุนสร้างศูนย์ SOC ด้วยองค์กรเองทั้งหมด
2) สรรหาและพัฒนาบุคลากรบางส่วนเพื่อมาทำงานร่วมกับ MSSP ตามขอบเขตและระดับบริการที่เหมาะสม และ
3) ใช้บริการจาก MDR Provider โดย outsourced งาน SOC หลักทั้งหมดออกไป 7x24/365
ทั้งนี้องค์กรไม่ว่าจะลือกรูปแบบหนึ่งในสามแบบข้างต้น ก็ควรจะมีทีมงานในการฟื้นฟู (Recover) หากเกิดเหตุสุดวิสัยจากภัยคุกคามทางไซเบอร์ เพื่อให้องค์กรดำรงความสามารถในการดำเนินธุรกิจอย่างต่อเนื่องต่อไป ตามแนวคิด Cyber Resilience นั่นเอง
Reference:
* (ISC)2 Cybersecurity Workforce Study 2022: A Critical Need for Cybersecurity Professionals Persists Amidst a Year of Cultural and Workplace Evolution
Overcoming the Security Talent Shortage: Practical Staffing Strategies for Security Leaders, deepwatch & Splunk