สวัสดีครับทุกท่าน สำหรับบทความนี้จะนำเสนอเรื่องราวของการสร้าง Modern Blue Team ด้วย Microsoft Security Solutions ครับ แต่ก่อนจะไปถึงเรื่องราวด้งกล่าว ก็ต้องขออนุญาตเกริ่นหรือท้าวความถึงที่มาที่ไปของ Teams ต่างๆ ที่เกี่ยวข้องกับ Security Operations ใน Cybersecurity ครับ โดยมีรายละเอียดคร่าวๆ ดังนี้:
- Red Team, เป็น Team ที่อยู่ภายใน Security หรือ Cybersecurity Operations โดยหน้าที่คือ ดำเนินการในเรื่องของ Simulated Attacks และ Penetration Testing หรือการเจาะระบบภายใน Infrastructure ขององค์กร
- Blue Team, เป็น Team ที่อยู่ภายใน Security หรือ Cybersecurity Operations เช่นกัน โดยหน้าที่คือ การ Defense และ Response กับภัยคุกคามหรือ Attacks ต่างๆ
- Yellow Team, เป็น Team ของ Developers หรือเรียก Team นี้ว่า "Builder" โดย Team ดังกล่าวนี้จะรับผิดชอบการ Developing, Coding, รวมถึงการ Implement Secure Applications และ Infrastructures ตั้งแต่เริ่มต้น
- Purple Team, เป็น Team ที่โฟกัสเรื่องของแนวคิดและ Methodology กับ Cybersecurity Architecture รวมถึงการป้องกัน โดย Purple Team จะทำงานร่วมกับทั้ง Red และ Blue Teams เพื่อทำให้ความสามารถต่างๆ ที่เกี่ยวข้องกับ Cybersecurity ถูกนำมาใช้ได้อย่างเต็มประสิทธิภาพ นอกจากนั้นแล้ว Purple Team ยังนำเอาข้อมูลต่างๆ เช่น Feedback, Lessons Learned และอื่นๆ จากทั้ง 2 Teams (Red และ Blue Teams) มาทำการวิเคราะห์เพื่อทำการปรับปรุงกระบวนการต่างๆ ของ Security Operations ให้มีประสิทธิภาพมากขึ้น
สำหรับบทความนี้ผมจะโฟกัสที่ Blue Team ซึ่งท่านผู้อ่านจะเห็นแล้วว่า Team ดังกล่าวนี้มีหน้าที่หลักๆ คือการป้องกัน IT Assets ต่างๆ ที่อยู่ใน IT Environments (Hybrid และ Multi-Cloud) ขององค์กรให้มีความปลอดภัย โดยแต่เดิมนั้นสิ่งที่ Blue Team จะต้องดำเนินการ เช่น การใช้ Firewall ในการป้องกันโดยการควบคุม Traffics ต่างๆ ที่เข้าและออกขององค์กร, การติดตั้งและใช้งาน Antivirus, Intrusion Detection System, และอื่นๆ โดยภาพรวมที่ดำเนินการคือ การป้องกันหรือ Protection/Prevention อย่างเดียว แต่อาจจะไม่ได้เข้าใจคอนเซปและการทำงานของภัยคุกคามหรือ Threats ที่จะ Attack เข้ามา
ตลอดจนช่วงที่ผ่านมาการ Attacks มีการพัฒนาและปรับเปลี่ยนรูปแบบต่างๆ มากขึ้นกว่าแต่ก่อน เพราะฉะนั้นการที่ Blue Team จะดำเนินการเพียงแค่การป้องกันอย่างเดียวไม่พอ จะต้องเพิ่มและพัฒนาปรับปรุงในเรื่องของการค้นหาหรือ Detection แต่เดิมที่เคยค้นหาโดยอาศัยรูปแบบหรือ Signatures เป็นหลัก จะต้องมีการสังเกตหรือ Observe IT Assets ต่างๆ ด้วย เช่น Identities, Devices, Applications, และอื่นๆ เพื่อมองหาสิ่งผิดปรกติหรือสิ่งที่น่าสงสัย เพราะฉะนั้นจากประเด็นดังกล่าวนี้สิ่งที่จะต้องนำเอาเข้ามาเพื่อทำการสร้าง Modern Blue Team ประกอบไปด้วย:
1. Behavioral Analytic/Detection คือ การค้นหาหรือตรวจสอบดูว่ามีสิ่งผิดปรกติ, พฤติกรรมที่น่าสงสัย, และอื่นๆ ที่สุ่มเสี่ยงที่จะก่อให้เกิดความไม่ปลอดภัยกับ IT Assets ต่างๆ ขององค์กร เช่น Identities, Devices, และอื่นๆ ตามที่เกริ่นไว้ก่อนหน้านี้ครับ
2. Identity Management คือ การบริหารจัดการรวมถึงการสร้างความปลอดภัยให้กับ Identities ต่างๆ ไม่ว่าจะเป็น Users, Groups, Apps, รวมถึง Services ที่ต้องการเข้าถึง Resources หรือ Data ขององค์กร นอกจากเรื่องของการบริหารจัดการแล้ว ยังต้องพิจารณถึงเรื่องของการป้องกัน Identities เหล่านี้ด้วย รวมถึงการที่ Blue Team จะต้องเข้าไปทำการตรวจสอบ Logs, เหตุการณ์ต่างๆ, และอื่นๆ ที่เกี่ยวข้องกับ Identity ด้วย เพราะ ณ วันนี้ Identity ถือว่าเป็น New Security Perimeter ที่องค์กรจะต้องพิจารณาในการจัดการและป้องกันเป็นอันดับแรก เพราะ Identity คือ เป้าหมายแรกของ Attackers ครับ
3. Integration และ Correlation คือ การรวบรวมนำเอา Signals ตลอดจนข้อมูลต่างๆ จาก IT Assets เช่น Identities, Endpoints (Devices), Applications, และอื่นๆ ที่เกี่ยวข้องและสัมพันธฺ์กันเพื่อทำให้ Blue Team เข้าใจและเห็นภาพทั้งหมดว่าเป็นอย่างไร มีอะไรที่เกี่ยวข้องบ้าง ตลอดจนรายละเอียดต่างๆ หากมีเหตุการณ์หรือ Incident เกิดขึ้น ส่งผลทำให้การ Investigate และ Response ได้รวดเร็วและมีประสิทธิภาพ
จากทั้ง 3 สิ่งที่ผมได้ไป เราจะต้องนำมาพิจารณาวางแผนในการสร้าง Modern Blue Team โดยหา Security Solutions ที่มีความสามารถครอบคลุมกับทั้ง 3 สิ่งบวกกับความสามารถอื่นๆ เข้ามาเป็นเครื่องมือให้กับ Blue Team ใช้ในการดำเนินการ Security Operations ให้มีประสิทธิภาพมากขึ้น โดยถ้า Map Microsoft Security Solutions เข้ากับสิ่งๆ ต่างๆ ที่ผมได้อธิบายไว้ข้างต้น คือ
1. Microsoft Defender Product Family, Services ที่เกี่ยวข้อง คือ Microsoft Defender XDR (ประกอบไปด้วย Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Endpoint, และ Microsoft Defender for Cloud Apps) ที่จะเข้ามา Protect และ Detect สิ่งผิดปรกติ, พฤติกรรมที่น่าสงสัย, และอื่นๆ ที่อาจจะเป็นการ Attack
2. Microsoft Entra Product Family, Service หลักที่เกี่ยวข้อง คือ Microsoft Entra ID กับ Features ต่างๆ ที่จะเข้าบริหารจัดการและสร้างความปลอดภัยให้กับ Identities ขององค์กร
3. Microsoft Sentinel, Service ตัวนี้จะให้บริการ SIEM และ SOAR โดยสามารถที่จะทำงานร่วมกับ Security Solutions ต่างๆ ของทั้ง Microsoft และ 3rd Party ในการ Correlate Signals และอื่นๆ ที่เกี่ยวข้องหรือสัมพันธ์กันรวบรวมมาเป็นไว้จุดเดียวหรือเป็น Incident เพื่อให้ Blue Team สามารถดูและทำความเข้าใจกับ Incident และรายละเอียดต่างๆ ในการทำ Investigation และส่งผลทำให้การ Response ได้อย่างรวดเร็วและมีประสิทธิภาพ *ณ ปัจจุบันทาง Microsoft ได้มีการปรับปรุงเปลี่ยนแปลง Microsoft Sentinel ภายใต้คอนเซปที่เรียกว่า "Unified Security Operations Platform" คือ การนำเอา Microsoft Sentinel ใส่เข้าไปใน Portal ของ Microsoft Defender เพื่อทำให้การจัดการรวมถึงการทำ Security Operations มีความสะดวกและยืดหยุ่นมากขึ้นครับ
และทั้งหมดนี้คือภาพรวมของการสร้าง Modern Blue Team ด้วย Microsoft Security Solutions/Ecosystem ครับผม.....
