ผลการวิจัยแคสเปอร์สกี้พบว่า บริษัท 50% ตั้งใจที่จะจัดตั้งศูนย์ SOC โดยส่วนใหญ่เพื่อเสริมสร้างความมั่นคงทางไซเบอร์ และ 45% ได้รับแรงจูงใจจากความจำเป็นในการรับมือกับภัยคุกคามที่ซับซ้อนและอันตรายมากขึ้น
เหตุผลหลักในการจัดตั้งศูนย์ปฏิบัติการด้านความปลอดภัย (Security Operations Center หรือ SOC) คือการเสริมสร้างความแข็งแกร่งด้านความปลอดภัยทางไซเบอร์ การตรวจจับและตอบสนองที่รวดเร็วยิ่งขึ้น และการสร้างความได้เปรียบในการแข่งขัน ประเด็นที่น่าสนใจคือ แม้ความต้องการโซลูชันด้านความปลอดภัยทางไซเบอร์แบบอัตโนมัติจะเพิ่มขึ้น แต่ธุรกิจต่างๆ ยังพึ่งพาผู้เชี่ยวชาญด้านความปลอดภัยที่มีทักษะในการตัดสินใจที่สำคัญ เนื่องจากความเชี่ยวชาญของมนุษย์เป็นสิ่งจำเป็นในการจัดการความปลอดภัยที่มีประสิทธิภาพ
ศูนย์ SOC คือหน่วยงานเฉพาะที่รับผิดชอบในการตรวจสอบและปกป้องโครงสร้างพื้นฐานด้านไอทีของบริษัทอย่างต่อเนื่อง ภารกิจหลักคือการตรวจจับ วิเคราะห์ และตอบสนองต่อภัยคุกคามทางไซเบอร์อย่างเชิงรุก
แคสเปอร์สกี้ได้ทำการศึกษาครอบคลุมทั่วโลก ทั้งผู้เชี่ยวชาญด้านความปลอดภัยไอทีระดับสูง ผู้จัดการ และผู้อำนวยการจากบริษัทที่มีพนักงาน 500 คนขึ้นไป เพื่อระบุปัจจัยขับเคลื่อนหลัก ลำดับความสำคัญเชิงกลยุทธ์ และความท้าทายที่อาจเกิดขึ้นในการวางแผนและการดำเนินการศูนย์ SOC นั้น โดยผู้เข้าร่วมการวิจัยทั้งหมดดำเนินงานโดยไม่มีศูนย์ SOC แต่มีแผนที่จะจัดตั้งในอนาคตอันใกล้ การศึกษานี้ครอบคลุม 16 ประเทศในภูมิภาคเอเชียแปซิฟิก ตะวันออกกลางและแอฟริกาเหนือ ละตินอเมริกา ยุโรป และรัสเซีย โดยให้ข้อมูลเชิงลึกที่มีคุณค่าเกี่ยวกับแนวโน้มที่เกิดขึ้นใหม่และแนวปฏิบัติที่ดีที่สุดในการพัฒนาศูนย์ SOC ทั่วโลก
ผลการวิจัยเผยให้เห็นว่า บริษัทต่างๆ 50% ตั้งใจที่จะจัดตั้งศูนย์ SOC โดยส่วนใหญ่เพื่อเสริมสร้างความมั่นคงทางไซเบอร์ และ 45% ได้รับแรงจูงใจจากความจำเป็นในการรับมือกับภัยคุกคามที่ซับซ้อนและอันตรายมากขึ้น
ปัจจัยรองลงมา ได้แก่ การเพิ่มประสิทธิภาพงบประมาณ ความจำเป็นในการตรวจจับและตอบสนองที่รวดเร็วยิ่งขึ้น และการขยายตัวของซอฟต์แวร์ เครื่องเอ็นด์พอยต์ และอุปกรณ์ของผู้ใช้ ซึ่งเป็นปัจจัยที่ต้องการมาตรการรักษาความปลอดภัยที่ครอบคลุมและซับซ้อนมากขึ้น องค์กร 41% ระบุถึงปัจจัยเหล่านี้ นอกจากนี้ 40% ต้องการการปกป้องข้อมูลที่เป็นความลับที่ดีขึ้น 39% มุ่งมั่นที่จะปฏิบัติตามข้อกำหนดด้านกฎระเบียบ และ 33% คาดหวังว่าความสามารถของศูนย์ SOC จะสร้างความได้เปรียบในการแข่งขัน องค์กรขนาดใหญ่มีแนวโน้มที่จะระบุเหตุผลเหล่านี้บ่อยกว่า ซึ่งสะท้อนให้เห็นถึงแรงกดดันด้านการดำเนินงานและกฎระเบียบที่กว้างขวางกว่าที่องค์กรประสบ
การเฝ้าระวังอย่างต่อเนื่องกลายเป็นข้อกำหนดสำคัญที่สุดของศูนย์ SOC
ในบรรดาฟังก์ชันหลักที่องค์กรวางแผนจะมอบหมาย การเฝ้าระวังความปลอดภัยตลอด 24 ชั่วโมง คิดเป็นสัดส่วน 54% การเฝ้าระวังตลอด 24 ชั่วโมงนี้ช่วยให้สามารถตรวจจับความผิดปกติได้ตั้งแต่เนิ่นๆ ป้องกันการลุกลาม และรักษาความยืดหยุ่นทางไซเบอร์แบบเรียลไทม์ เน้นย้ำถึงความจำเป็นเชิงกลยุทธ์สำหรับการบริหารความเสี่ยงเชิงรุก ด้วยองค์กรมุ่งมั่นที่จะป้องกันภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่องซึ่งอาจโจมตีองค์กรได้ทุกเมื่อ
บริษัทที่ตั้งใจจะจ้างบริษัทภายนอกมาดูแลการดำเนินงานศูนย์ SOC อย่างเต็มรูปแบบ แสดงความสนใจมากขึ้นในการนำบทเรียนที่ได้รับมาใช้ ในขณะที่บริษัทที่พัฒนาศูนย์ SOC ภายในองค์กรเองจะเน้นไปที่การจัดการการเข้าถึงเพื่อรักษาการควบคุมที่เข้มงวดมากขึ้น
ความเชี่ยวชาญของมนุษย์เป็นแรงขับเคลื่อนสำคัญในการเลือกใช้เทคโนโลยีของศูนย์ SOC
แม้ว่าศูนย์ SOC จะใช้เทคโนโลยีขั้นสูง แต่การเลือกใช้เทคโนโลยีขององค์กรต่างๆ แสดงให้เห็นว่านักวิเคราะห์ที่เป็นมนุษย์มีความสำคัญอย่างยิ่ง เทคโนโลยีสามอันดับแรกที่ได้รับเลือก ได้แก่ แพลตฟอร์มข้อมูลภัยคุกคาม (Threat Intelligence Platforms) (48%) การตรวจจับและตอบสนองเอ็นด์พอยต์ (Endpoint Detection and Response) (42%) และระบบจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (Security Information and Event Management) (40%) ล้วนเป็นโซลูชันที่ซับซ้อนซึ่งช่วยรวบรวมข้อมูลโดยอัตโนมัติและลดภาระงานด้านการปฏิบัติงาน อย่างไรก็ตาม เทคโนโลยีนี้ขึ้นอยู่กับผู้เชี่ยวชาญด้านความปลอดภัยที่มีทักษะสูง ซึ่งให้กรอบการทำงานที่สำคัญ ตีความผลการค้นพบที่ซับซ้อน และตัดสินใจขั้นสุดท้ายเมื่อต้องกำหนดแนวทางการตอบสนองที่เหมาะสม
โซลูชันอื่นๆ ที่ได้รับเลือก ได้แก่ การตรวจจับและตอบสนองแบบขยาย (Extended Detection and Response) (38%) การตรวจจับและตอบสนองเครือข่าย (Network Detection and Response) (37%) และการตรวจจับและตอบสนองแบบจัดการ (Managed Detection and Response) (33%) องค์กรขนาดใหญ่มีแนวโน้มที่จะนำเทคโนโลยีมาใช้มากกว่า (เฉลี่ย 5.5 ต่อ SOC) ในขณะที่องค์กรขนาดเล็กจะนำมาใช้น้อยกว่า (3.8)
โรมัน นาซารอฟ หัวหน้าฝ่ายที่ปรึกษาศูนย์ SOC ของแคสเปอร์สกี้ กล่าวว่า “ในการสร้างศูนย์ SOC ให้ประสบความสำเร็จ บริษัทต่างๆ ต้องให้ความสำคัญกับการผสมผสานเทคโนโลยีที่เหมาะสม รวมถึงการวางแผนกระบวนการอย่างรอบคอบ การกำหนดเป้าหมายที่ชัดเจน และการจัดสรรทรัพยากรอย่างมีประสิทธิภาพ เวิร์กโฟลว์ที่กำหนดไว้อย่างดีและการปรับปรุงอย่างต่อเนื่องเป็นสิ่งสำคัญ เพื่อให้นักวิเคราะห์ที่สามารถมุ่งเน้นไปที่งานที่สำคัญ ทำให้ศูนย์ SOC เป็นส่วนประกอบเชิงรุกและปรับตัวได้ของกลยุทธ์ด้านความปลอดภัยทางไซเบอร์”
แคสเปอร์สกี้แนะนำการดำเนินการเพื่อให้การสร้างและบำรุงรักษาศูนย์ SOC ประสบความสำเร็จและมีประสิทธิภาพ ดังต่อไปนี้
- ร่วมมือกับ Kaspersky SOC Consulting ในขั้นตอนการตั้งค่าเริ่มต้น หรือเมื่อต้องการปรับปรุงการดำเนินงานด้านความปลอดภัยที่มีอยู่ บริการให้คำปรึกษาที่ครอบคลุมของแคสเปอร์สกี้ได้รับการออกแบบมาเพื่อช่วยให้บริษัทต่างๆ สร้างศูนย์ SOC ที่แข็งแกร่งและปรับปรุงกระบวนการให้มีประสิทธิภาพยิ่งขึ้น
- เพิ่มประสิทธิภาพด้านความปลอดภัยด้วย Kaspersky SIEM ที่ขับเคลื่อนด้วยความสามารถ AI ขั้นสูง โซลูชันนี้รวบรวม วิเคราะห์ และจัดเก็บข้อมูลบันทึกทั่วทั้งโครงสร้างพื้นฐานด้านไอที ให้ข้อมูลเชิงลึกด้านภัยคุกคามที่สามารถนำไปปฏิบัติได้จริง
- ปกป้องบริษัทจากภัยคุกคามที่หลากหลายด้วยโซลูชันจากกลุ่มผลิตภัณฑ์ Kaspersky Next ที่ให้การป้องกันแบบเรียลไทม์ การมองเห็นภัยคุกคาม การตรวจสอบ และความสามารถในการตอบสนองของ EDR และ XDR สำหรับองค์กรทุกขนาดและทุกอุตสาหกรรม
- เสริมศักยภาพทีมรักษาความปลอดภัยไซเบอร์ด้วยการมองเห็นภัยคุกคามไซเบอร์ที่มุ่งเป้าไปที่องค์กรอย่างละเอียด Kaspersky Threat Intelligence รุ่นล่าสุดให้ข้อมูลเชิงลึกที่ครบถ้วนตลอดวงจรการจัดการเหตุการณ์ทั้งหมด ช่วยให้สามารถระบุความเสี่ยงทางไซเบอร์ได้ทันท่วงที
