สวัสดีปีใหม่ครับทุกท่าน สำหรับบทความนี้ถือว่าเป็นบทความแรกของปี 2025 ของผมเลยครับ โดยบทความนี้ผมอยากจะนำเสนอเรื่องราวเกี่ยวกับ Cybersecurity โดยจะโฟกัสที่ Model หรือ Framework ที่มีความสำคัญมากเพราะ Model ดังกล่าวนี้ถือว่าเป็นส่วนสำคัญมากส่วนหนึ่งที่จะช่วยเราในเรื่องของการทำความเข้าใจ, การวางแผน, การออกแบบ, ตลอดจนการนำเอา Security Solutions ต่างๆ ที่จะเข้ามาช่วยสร้างความปลอดภัยใหักับ IT Environments ขององค์กรโดยจะครอบคลุมทั้ง Hybrid และ Multi-Cloud ครับ โดย Model หรือ Framework ดังกล่าวนี้คือ "Zero Trust" ครับ สำหรับท่านใดที่ยังไม่รู้จักกับ Zero Trust เลยผมแนะนำให้ย้อนกลับไปอ่านบทความของผมที่นำเสนอเรื่องราวของ Zero Trust ก่อนนะครับ โดยตัวของ Zero Trust นั้นยังมีความเกี่ยวข้องกับ "Security Operations" หรือ SecOps ด้วยครับ โดย Security Operations นั้นจะเกี่ยวข้องกับกระบวนการต่างๆ โดยเริ่มจากการรวบรวมข้อมูล (Data Collection) โดยข้อมูลดังกล่าวนี้ในมุมของ Cybersecurity จะเกี่ยวข้องพวก Logs ต่างๆ ที่อยู่ใน IT Environments ขององค์กรที่ดำเนินการ Security Operations ครับ โดยข้อมูลที่รวบรวมมาได้ จะถูกนำมาวิเคราะห์และค้นหาสิ่งผิดปรกติ, เหตุการณ์หรือพฤติกรรมต่างๆ ที่น่าสงสัยและมีความเป็นไปได้ว่าจะก่อให้เกิดการโจมตี (Attacks) จาก Attackers โดย Security Operations ประกอบไปด้วยกระบวนต่างๆ ดังรูปด้านล่างครับ
ดังนั้นหน้าที่ความรับผิดชอบของท่านที่ดำเนินการเกี่ยวกับ Security Operations หรือ SecOps หลักๆ ก็จะทำหน้าที่เกี่ยวกับ
- Security Monitoring
- Incident Management
- Orchestration
- อื่นๆ
โดยทีมที่เข้ามาดำเนินการ Security Operations หรือ SecOps จะมีเครื่องมือหรือ Tools ต่างๆ ตลอดจนเทคนิดและวิธีการที่จะทำให้ IT Environments นั้นๆ มีความปลอดภัยมากขึ้นเพื่อลดความเสี่ยงจากการที่จะถูกโจมตี ดังนั้นการที่ทีมงานที่เกี่ยวข้องกับ Security Operations หรือ SecOps นำเอา Zero Trust เข้ามาประยุกต์ใช้งานในการออกแบบและสร้างความปลอดภัยให้กับ IT Environments ขององค์กรมากขึ้น และสิ่งสำคัญเรื่องหนึ่งสำหรับทีมงานที่เกี่ยวข้องกับ Security Operations คือ เรื่องการมองเห็นและเข้าใจภาพทั้งหมดของ IT Environments ที่เรากำลังดำเนินการหรือจัดการอยู่ให้ครบถ้วน และจากสิ่งที่ผมกำลังอธิบายอยู่ ณ ขณะนี้ ในมุมของ Cybersecurity มักนิยมใช้คำนี้ คือ "Visibility" ครับ ดังนั้นทีมที่เกี่ยวข้องกับเรื่องราวของ Security จะต้องเห็นและเข้าใจแบบ End-to-End Visibility ครับ เพื่อที่จะทำให้การดำเนินการหรือจัดการเรื่องของความปลอดภัยได้ดีขึ้นครับ ซึ่ง Zero Trust ก็จะเข้ามาช่วยในประเด็นนี้เช่นเดียวกันครับ เพราะเมื่อเราทำการออกแบบ Cybersecurity Architecture โดยมีการนำเอา Zero Trust เข้ามาช่วยในการออกแบบจะทำให้เราเห็นภาพครบถ้วน (Visibility) อีกทั้งยังช่วยในเรื่องของการ Mitigation ด้วยครับ
และทีมงานที่เกี่ยวข้องกับเรื่องราวของ Cybersecurity ที่จะเข้ามาดำเนินการต่างๆ ในภาพและคอนเซปของ Security Operations ที่ผมได้อธิบายไว้ข้างต้น ตลอดจนที่ดังกล่าวนี้จะต้องดำเนินการกระบวนการต่างๆ ตามคอนเซป Security Operations โดยอาศัยเครื่องมือต่างๆ จาก Security Solutions ที่ได้ออกแบบไว้ โดยสิ่งเหล่านี้จะเข้ามาดำเนินการต่างๆ เช่น Continuous Threat Detection & Protection, Mitigation, และอื่นๆ และทีมงานที่ว่านี้โดยปรกติจะเรียกว่า "Security Operations Center" หรือเรียกกันสั้นๆ ว่า "SOC" ครับ เชื่อว่าหลายๆ ท่านจะน่าเคยได้ยินหรือคุ้นหูกันนะครับ บางทีก็จะเรียกว่า "Security Team" ก็ได้ครับ โดยภายนทีมดังกล่าวก็ยังประกอบไปด้วยทีมย่อยๆ เพื่อดำเนินการเกี่ยวกับ Security Operations ครับ
สำหรับเครื่องมือต่างๆ ที่มาพร้อมกับ Security Solutions ที่ได้มีการออกแบบไว้นั้น (โดย SOC Team หรือ Security Team จะเป็นทีมที่ใช้งาน Security Solutions ตลอดจนเครื่องมือต่างๆ ครับ) ก็จะมาพร้อมกับเทคโนโลยีต่างๆ ที่ถูกใส่เข้ามาใน Security Solutions เหล่านั้นและแน่นอนรวมถึง Security Solutions ของ Microsoft ครับ และนี่คือตัวอย่างของเทคโนโลยีที่อยู่ใน Security Solutions ที่ SOC Teams ควรจะพิจารณานำมาใช้งานครับ
- Extended Detection and Response (XDR)
- Cloud Security Posture Management (CSPM)
- Cloud Workload Protection (CWP)
- User Entity Behavior Analytics (UEBA)
- Security Information and Event Management (SIEM)
- อื่นๆ
และอย่างที่ผมได้เน้นย้ำจากตอนต้นของบทความว่า "Zero Trust" เป็นสิ่งสำคัญสิ่งหนึ่งในการวางแผนและออกแบบ Cybersecurity Architecture ครับ และไม่ใช่เพียงแค่ Microsoft เท่านั้นที่นำเอาแนวคิดหรือ Framework (Zero Trust) มาใช้งาน ยังมีอีกหลายๆ Vendors ครับที่นำเอา Zero Trust มาใช้กับ Security Solutions ต่างๆ ของแต่ละ Vendors เอง เช่น Zero Trust (Microsoft), BeyondCorp (Google), LISA, CARTA (Gartner), NIST, และอื่นๆ ครับ
Microsoft (Zero Trust)
BeyondCorp (Google)
CARTA (Gartner)
โดยเป้าหมายหรือวัตถุประสงค์หลักของ Zero Trust ของทุกๆ Vendors คือ ทำการปรับปรุงและพัฒนาเรื่องของความปลอดภัย (Security) โดยทำการตรวจสอบ (Verify) ทุกอย่าง (Users, Endpoints, เป็นต้น) ตลอดก่อนที่จะเข้าถึง Resources ต่างๆ ขององค์กร และทำให้องค์กรดังกล่าวมีความปลอดภัยมากขึ้น
มาถึงตรงนี้ทุกท่านจะเห็นว่า Zero Trust ไม่ใช่เป็นเพียงแค่ Model หรือ Framework ที่เอาไว้ท่องจำเฉยๆ หรือดูแค่เพียงผ่านๆ ในทางกลับกัน Zero Trust เป็นสิ่งที่สำคัญมากสิ่งหนึ่งตามที่ผมได้อธิบายไว้ในบทความนี้ครับ โดยส่วนตัวผมใช้ Zero Trust แทบจะเป็นประจำหรือเป็นกิจวัตรครับ เพราะงานของผมส่วนใหญ่จะเกี่ยวข้องกับ Cybersecurity โดยเน้นไปที่เรื่องของการวางแผนและออกแบบ Cybersecurity Architecture ให้กับลูกค้า รวมถึงผมยังนำเอาเรื่องนี้ไปถ่ายทอดและบรรยายใน Courses ต่างๆ ที่เกี่ยวข้องกับ Cybersecurity อีกด้วยครับ โดยเฉพาะท่านใดที่อ่านบทความนี้และตัวของท่านเองสนใจเรื่องราวดังกล่าวนี้ตลอดจนท่านที่มีบทบาทหน้าที่ในการวางแผนและออกแบบหรือท่านที่เป็น Cybersecurity Architect อย่าลืมที่จะทำความเข้าใจคอนเซปและเรื่องราวต่างๆ ของ Zero Trust ด้วยนะครับ เพราะเป็นสิ่งที่จะเข้ามาช่วยท่านได้ในการวางแผนและออกแบบ ตลอดจนการนำเอา Security Solutions ต่างๆ เข้ามาช่วยสร้างความปลอดภัยให้กับ IT Environments (ครอบคลุมทั้ง Hybrid และ Multi-Cloud) ขององค์กรของท่านครับ
สำหรับท่านใดที่สนใจและอยากศึกษาเรื่องราวเกี่ยวกับ Zero Trust ของ Microsoft สามารถไปที่ Link นี้ได้เลยครับ, โมเดล Zero Trust - สถาปัตยกรรมการรักษาความปลอดภัยสมัยใหม่ | Microsoft Security
Zero Trust ของทาง Google (BeyondCorp) ไปที่ Link นี้ได้ครับ, BeyondCorp Zero Trust Enterprise Security | Google Cloud
Zero Trust ของทาง Gartner (CARTA) ไปที่ Link นี้ได้เลยครับ, Zero Trust Architecture: Strategies and Benefits | Gartner
และทั้งหมดนี้คือเรื่องราวส่วนเล็กๆ ส่วนหนึ่งของ Zero Trust กับ Security Operations ที่ผมนำมาฝากทุกท่านครับผม.....
