สำหรับเรื่องที่ผมอยากจะอธิบายคือ เรื่องของ "Security Posture" หรือบางเอกสารรวมถึงบางท่านจะเรียกสั้นๆ ว่า Posture ครับ ซึ่งเรื่องของ Security Posture นั้นถือว่าเป็นเรื่องหนึ่งหรือสามารถบอกได้ว่าเป็นปัจจัยหนึ่งที่สำคัญสำหรับการวางแผน, ออกแบบ, และดำเนินการในกระบวนการที่เราเรียกว่า Security Operations ครับ และเกี่ยวข้องแน่นอนกับ Security/SOC Teams ตลอดจนผู้ที่สนใจเรื่องราวของ Cybersecurity ครับ โดยส่วนตัวเองในเวลาที่ผมสอนหรืออบรมลูกค้าเกี่ยวกับเรื่องของ Microsoft Azure Security, Microsoft Cybersecurity, และอื่นๆ เรื่องนึงที่ผมมักจะหยิบยกมาอธิบายก่อนเลยคือ Security Posture ครับ เพราะฉะนั้นเรามาทำความรู้จักกันครับว่า Security Posture คืออะไร?
Security Posture คืออะไร?
Security Posture คือ การสะท้อนให้เห็นถึงภาพรวมความปลอดภัยของ IT Assets ที่อยู่ใน IT Environment ขององค์กรซึ่งครอบคลุมถึง Hybrid และ Multi-Cloud Environments ว่าเป็นอย่างไร ตัวอย่างของ IT Assets เช่น Identities, Endpoints, Apps, เป็นต้นครับ เพราะฉะนั้นถ้าเรามีข้อมูลและรู้ว่า Security Posture ของ IT Environment นั้นเป็นอย่างไร ก็จะทำให้เราสามารถดำเนินการในเรื่องของการวางแผนและออกแบบการ Secure & Protect IT Environment ได้ดียิ่งขึ้นครับ
ดังนั้นองค์กรหรือท่านที่เกี่ยวข้องกับ Security Operations รวมถึง Cybersecurity ควรจะหาเครื่องมือหรือโซลูชั่นที่จะเข้ามาทำการรวบรวมข้อมูลของ IT Environment จากนั้นนำเอาข้อมูลที่รวบรวมมานั้น มาทำการวิเคราะห์, ตรวจสอบ, และทำการประเมิน Security Posture ของ IT Environment ดังกล่าวเพื่อให้เรารู้ว่ามีความเสี่ยง (Risk) กับจุดใดหรือ IT Assets ใดที่อยู่ใน IT Environment ดังกล่าวบ้าง และจะได้ดำเนินการปรับปรุงแก้ไขต่อไปเพื่อทำให้ Security Posture ของ IT Environment ขององค์กรนั้นมีความเสี่ยงน้อยลงและในทางกลับกันก็จะทำให้ภาพรวมของ Security Posture ของ IT Environment ขององค์กรมีความปลอดภัยมากขึ้นครับ เครื่องมือหรือโซลูชั่นที่จะเข้ามาดำเนินการตั้งแต่การรวบรวมข้อมูล, วิเคราะห์, ตรวจสอบ, และทำการประเมิน Security Posture ให้กับ IT Environment ขององค์กรนั้นมีหลากหลายครับ แม้กระทั่ง Microsoft เองก็มีเครื่องมือหรือโซลูชั่นที่จะดำเนินการเรื่องนี้หลายตัวครับ หนึ่งในนั้นคือ "Microsoft Defender for Cloud" หรือ MDC ซึ่งเป็น Service หนึ่งใน Microsoft Azure โดยตัวของ MDC นั้นมาพร้อมกับโซลูชั่นด้านความปลอดภัย คือ
- Cloud Security Posture Management (CSPM)
- Cloud Workload Protection Platform (CWPP)
- Cloud Native Application Protection Platform (CNAPP)
ซึ่ง CSPM ของ Microsoft Defender for Cloud คือ เครื่องมือหรือโซลูชั่นที่จะเข้าดำเนินการขั้นตอนต่างๆ ที่ผมได้อธิบายไว้ก่อนหน้านี้สำหรับเรื่องของ Security Posture ครับ โดยตัวของ MDC นั้นจะโฟกัสที่ Security Posture ที่เกี่ยวข้องกับ Infrastructure เป็นหลักครับ แต่ในความเป็นจริงแล้วยังมี Security Posture ของ IT Assets อื่นๆ อีกที่จะต้องดำเนินการ เช่น SaaS/Cloud Apps เช่น Microsoft 365 ซึ่ง Microsoft ก็มีเครื่องมือหรือโซลูชั่นในการเข้าไปทำการรวบรวมข้อมูล, วิเคราะห์, ตรวจสอบ, และทำการประเมิน Security Posture ของ Microsoft 365 ครับ เมื่อมาถึงตรงนี้ท่านผู้อ่านจะสังเกตเห็นว่าเครื่องมือหรือโซลูชั่นที่จะใช้ในการเข้าไปจัดการกับ Security Posture นั้นจะมีของใครของมันต่างหากรวมถึงข้อมูลที่ได้จากการตรวจสอบและประเมิน Security Posture ก็จะแยกของใครของมันเช่นเดียวกันหรือจะใช้คำว่าเครื่องมือหรือโซลูชั่นรวมถึงข้อมูลที่ได้จากการวิเคราะห์และประเมิน Security Posture มีลักษณะที่เรียกว่า Data (Security Posture) Silos ครับ
และจากประเด็นนี้ส่งผลทำให้ SOC/Security Teams ตลอดจนผู้ที่เกี่ยวข้องในกระบวน Security Operations ก็จะต้องดูข้อมูลต่างๆ เกี่ยวกับ Security Posture ของ IT Assets ขององค์กรด้วยเครื่องมือต่างๆ จากนั้นต้องมาปะติดปะต่อเป็นภาพใหญ่เพื่อทำให้เข้าใจว่าภาพรวมทั้งหมดของ Security Posture ขององค์กรเป็นอย่างไร จากนั้นก็จะนำมาคิดและพิจารณาดำเนินการจัดการต่อไป มาถึงตรงนี้ทุกท่านจะเห็นว่า SOC/Security Teams ขาดเรื่องของ Visibility ของ Security Posture ทั้งหมดจากที่เดียวครับ และจากประเด็นดังกล่าวนี้เอง จึงเป็นจุดเริ่มต้นที่ทาง Microsoft ได้ทำการเตรียม Microsoft Security Posture Management (MSEM) เข้ามาช่วยจัดการประเด็นดังกล่าวนี้ครับ
Microsoft Security Posture Management (MSEM) คืออะไร?
คือ เครื่องมือที่จะทำการยุบรวม Data Silos (ข้อมูลเกี่ยวกับ Security Posture ของ IT Assets ต่างๆ) ที่กระจัดกระจายมารวมไว้ที่ MSEM หรือถ้าจะอ้างอิงตาม Cybersecurity Solutions ทั่วๆ ไป สามารถบอกได้ว่า Microsoft Security Posture Management หรือ MSEM ให้บริการหรือทำหน้าที่ที่เรียกว่า "Extended Security Posture Management" หรือ "XSPM" ครับ
โดยการยุบรวม Data Silos ข้างต้นส่งผลทำให้ SOC/Security Teams มองเห็นภาพรวมทั้งหมดของ Security Posture แบบ End-to-End ทำให้ SOC/Security Teams เข้าใจตลอดจนดำเนินการกับ Security Exposure ที่เกี่ยวข้องกับ Security Posture นั้นๆ ส่งผลทำให้ภาพรวมของ IT Environment ขององค์กรนั้นๆ มีความปลอดภัยมากขึ้นครับ โดยส่วนตัวถ้าท่านใดมีความคุ้นเคยกับ Microsoft Defender Family เช่น Microsoft Defender for Endpoint, Microsoft Defender for Cloud, และอื่นๆ ก็สามารถที่จะใช้งาน MSEM ได้ครับ เพราะ MSEM จะเข้ามาทำงานร่วมกับ Microsoft Defender Family และอื่นๆ ครับ และยิ่งไปกว่านั้น MSEM จะถูกเพิ่มเข้าไปใน Microsoft Defender XDR เพื่อดำเนินการเรื่องของ Security Posture แบบ End-to-End ส่งผลทำให้ SOC/Security Teams สามารถใช้ Portal เดียวในการดำเนินการในเรื่องของ Security Operations และก่อนหน้านี้ Microsoft ก็ได้ทำการ Integrate ระหว่าง XDR (Microsoft Defender XDR) กับ SIEM (Microsoft Sentinel) ภายใตัคอนเซปที่เรียกว่า "Unified Security Operations Platform" ครับ
ประโยชน์หรือ Benefits ของ MSEM
- ทำการยุบรวม (Consolidate) Data Silos ของ Security Posture ของ IT Assets มาไว้ที่เดียว ส่งผลทำให้มองเห็นภาพรวมทั้งหมดที่เกี่ยวกับ Security Posture แบบ End-to-End ผ่านทาง MSEM
- ทำการวิเคราะห์และประเมินความเสี่ยง (Risk Assessment) และจัดลำดับความเสี่ยงของ IT Assets ว่า IT Assets ใดที่มีความเสี่ยงสูงหรือต่ำ
- แสดงให้เห็นว่า Attackers เข้ามาใน IT Environment อย่างไรตลอดจนการเข้าถึง IT Assets ต่างๆ ได้อย่างไร ทำให้ SOC/Security Teams สามารถจัดการและป้องกันต่อไป เรียกความสามารถนี้ว่า "Attack Path Analysis" ครับ
- อื่นๆ
ตัวของ Microsoft Security Exposure Management หรือ MSEM สามารถทำงานร่วมกับ Security Solutions ต่างๆ ดังนี้ (ณ ขณะที่เขียนบทความนี้)
1. CSPM
- Microsoft Defender for Cloud (MDC)
2. Endpoint Security
- Microsoft Defender for Endpoint (MDE)
3. IAM
- Microsoft Defender for Identity (MDI)
- Microsoft Entra ID (Free, P1, และ P2)
4. SaaS/Cloud Application Security
- Microsoft Defender for Cloud Apps (MDA)
5. Vulnerability Management
- Microsoft Defender Vulnerability Management (MDVM)
- Qualys Vulnerability Mangement (Preview)
- Rapid7 Vulnerability Management (Preview)
6. Email Security
- Microsoft Defender for Office (MD)
7. OT/IoT Security
- Microsoft Defender for IoT
8. อื่นๆ
การใช้งาน Microsoft Security Exposure Management นั้นจะขึ้นอยู่กับ Plan หรือ License ครับ โดย Plan หรือ License ต่อไปนี้ที่สามารถใช้ MSEM ได้:
- Microsoft 365 E5
- Microsoft 365 E3 (with Microsoft Enterprise Mobility + Security E5 Add-On)
- Microsoft 365 A5
- Microsoft 365 A3 (with Microsoft 365 A5 Security Add-On)
- Microsoft Defender for Endpoint (Plan1 และ Plan 2)
- อื่นๆ
รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Security Exposure Management สามารถไปที่ Link นี้ได้เลยครับ, Microsoft Security Exposure Management | Microsoft Security
และทั้งหมดนี้คือเรื่องราวของ Microsoft Security Exposure Management เบื้องต้นที่ผมอยากจะแนะนำให้ทุกท่านได้รู้จักครับผม.....
ไม่มีความคิดเห็น:
แสดงความคิดเห็น