ไทย
English
หลายองค์กรติดกับดักกับการเก็บ Log ทุกอย่างที่ทำได้ โดยเชื่อว่าการมีข้อมูลมากย่อมดีกว่าไม่มีข้อมูลเลย แต่ในความเป็นจริง แนวคิดนี้อาจกลายเป็นหนึ่งในกับดักที่อันตรายที่สุดของงาน Security
| มี Log เยอะ ไม่ได้แปลว่า Detect ได้ดี
การมี Log จำนวนมหาศาลไม่ได้ช่วยให้เรามองเห็นภัยคุกคามได้ดีขึ้นเสมอไป ตรงกันข้าม มันอาจทำให้เรามองไม่เห็นสิ่งสำคัญเลยก็ได้ เพราะข้อมูลที่มากเกินไปจะกลายเป็น Noise หรือสัญญาณรบกวน
ลองนึกภาพการพยายามหาความผิดปกติเล็ก ๆ จากข้อมูลนับล้านรายการในแต่ละวัน โอกาสที่เหตุการณ์สำคัญจะถูกกลบด้วยข้อมูลที่ไม่เกี่ยวข้องนั้นมีสูงมาก นี่คือเหตุผลที่หลายองค์กรมี Log ครบ แต่กลับตรวจจับภัยคุกคามไม่ทัน การ Detect ที่ดีจึงไม่ใช่แค่การเห็นทุกอย่างแต่คือการเข้าใจว่าอะไรสำคัญ และตอบสนองได้ทันเวลา
ทำไมการเก็บ Log เยอะ ถึงสร้างปัญหามากกว่าที่คิด
ปัญหาแรกคือเรื่องของประสิทธิภาพในการตรวจจับ ยิ่งมีข้อมูลมาก การวิเคราะห์ก็ยิ่งซับซ้อน การค้นหาภัยคุกคามจึงเหมือนการงมหาเข็มในมหาสมุทร ซึ่งทำให้โอกาสพลาดเหตุการณ์สำคัญเพิ่มขึ้นโดยไม่รู้ตัว
นอกจากนั้นยังมีเรื่องของต้นทุนที่เพิ่มขึ้นอย่างต่อเนื่อง ทั้งค่า Storage และค่า License ของระบบ SIEM ที่มักคิดตามปริมาณข้อมูลที่นำเข้า เมื่อ Log เพิ่ม ค่าใช้จ่ายก็เพิ่มตามไปด้วย
อีกหนึ่งผลกระทบที่มักถูกมองข้ามคือ Alert Fatigue หรือความเหนื่อยล้าของทีม CSOC เมื่อระบบสร้าง Alert จำนวนมาก โดยเฉพาะ Alert ที่ไม่มีความสำคัญจริง ทีมงานจะเริ่มชินกับการแจ้งเตือน และอาจเผลอมองข้ามเหตุการณ์ที่เป็นภัยจริงได้ ซึ่งเป็นความเสี่ยงที่อันตรายที่หลายองค์กรพลาดสังเกตุในจุดนี้
คุณภาพของ Log คือสิ่งที่องค์กรควรให้ความสำคัญ
| Quality Over Quantity
แทนที่จะโฟกัสที่ปริมาณ องค์กรควรหันมาให้ความสำคัญกับคุณภาพของ Log มากกว่า
Log ที่ดีไม่ควรเป็นเพียงข้อมูลเชิงเทคนิค เช่น การเชื่อมต่อหรือการเรียกใช้งานระบบเท่านั้น แต่ควรสะท้อนพฤติกรรมของผู้ใช้งานได้ด้วย เพราะพฤติกรรมคือกุญแจสำคัญในการตรวจจับภัยคุกคามแบบใหม่
อีกสิ่งที่ขาดไม่ได้คือบริบทหรือ Context เพราะ Log ที่ไม่มีบริบทแทบไม่มีประโยชน์ในการวิเคราะห์ ตัวอย่างเช่น การรู้ว่าเกิดการ Login ขึ้นหนึ่งครั้ง อาจไม่ช่วยอะไรเลย หากไม่รู้ว่าใครเป็นคน Login มาจากที่ไหน และพฤติกรรมนี้ผิดปกติหรือไม่เมื่อเทียบกับพฤติกรรมปกติ
นอกจากนี้ Log ที่ดีควรเป็น Actionable คือสามารถนำไปใช้ต่อได้จริง ไม่ว่าจะเป็นการสร้าง Detection Rule การวิเคราะห์ Incident หรือการพัฒนามาตรการป้องกันในอนาคต
แนวทางการจัดการ Log อย่างชาญฉลาด
การจัดการ Log ที่มีประสิทธิภาพไม่ใช่การเก็บทุกอย่าง แต่คือการเลือกเก็บอย่างมีเหตุผล องค์กรควรเริ่มจากการประเมินความเสี่ยงของระบบและทรัพย์สิน (Asset) แล้วกำหนดระดับการเก็บ Log ให้เหมาะสม ระบบที่มีความสำคัญสูงควรมีการเก็บ Log ที่ละเอียด ในขณะที่ระบบทั่วไปอาจเก็บเฉพาะข้อมูลที่จำเป็น
อีกแนวทางที่สำคัญคือการกรองข้อมูลตั้งแต่ต้นทาง เพื่อลด Noise ก่อนที่ข้อมูลจะเข้าสู่ระบบ SIEM รวมถึงการจัดรูปแบบ Log ให้พร้อมใช้งาน เพื่อช่วยให้การวิเคราะห์ทำได้รวดเร็วและแม่นยำมากขึ้น
นอกจากนี้ การนำ Framework อย่าง MITRE ATT&CK มาใช้ร่วมในการวางแผนการเก็บ Log จะช่วยให้องค์กรมองเห็นได้ชัดเจนขึ้นว่า Log ที่มีอยู่สามารถครอบคลุมเทคนิคการโจมตีที่เกิดขึ้นจริงหรือไม่ หากมีช่องว่างก็สามารถปรับปรุงได้อย่างตรงจุด
เปลี่ยนมุมมองจาก Reactive สู่ Proactive Security
องค์กรจำนวนมากยังคงทำงานในลักษณะ Reactive คือรอให้เกิดเหตุการณ์ก่อนแล้วจึงค่อยตรวจสอบ ซึ่งการจัดการ Log อย่างมีคุณภาพจะช่วยให้องค์กรสามารถก้าวไปสู่การทำงานแบบ Proactive ได้ โดยสามารถตรวจจับความผิดปกติได้เร็วขึ้น และตอบสนองได้ทันก่อนที่ความเสียหายจะลุกลาม ที่สำคัญ การวัดผลความสำเร็จควรเปลี่ยนจากการดูว่ามีข้อมูลมากแค่ไหน ไปเป็นการวัดว่าตรวจจับได้เร็วแค่ไหน โดยใช้ตัวชี้วัดอย่าง Mean Time to Detect (MTTD) เป็นหลัก
ในท้ายที่สุด สิ่งที่องค์กรควรตระหนักคือการมีข้อมูลจำนวนมากไม่ได้สร้างความปลอดภัย แต่การมีข้อมูลที่ถูกต้อง ใช้ได้ และมีความหมายต่างหากที่สร้างความได้เปรียบ หากองค์กรของคุณกำลังเผชิญกับปัญหา Log จำนวนมาก แต่ยังไม่สามารถนำข้อมูลเหล่านั้นมาใช้ตรวจจับภัยคุกคามได้อย่างมีประสิทธิภาพ การมีแนวทางจัดการ Log ที่ถูกต้องคือจุดเริ่มต้นสำคัญ
BMSP ช่วยให้องค์กรบริหารจัดการ Log ได้อย่างเป็นระบบ ลด Noise เพิ่มคุณภาพของการตรวจจับ และสนับสนุนการทำงานของทีม Security ให้ตอบสนองต่อภัยคุกคามได้รวดเร็วยิ่งขึ้น
สนใจสอบถามข้อมูลเพิ่มเติมเกี่ยวกับโซลูชันที่ช่วยจัดการ Log และยกระดับการตรวจจับภัยคุกคาม
