ขั้นตอนที่ 3 คือ การบริหารจัดการความปลอดภัยระบบเครือข่ายคอมพิวเตอร์ ที่เรียกว่า MSSP “Management Security Services Provider” มักจะทำที่ SoC (Security Operation Center) เป็นการการเก็บบันทึกข้อมูลจราจรทางคอมพิวเตอร์ การเฝ้าระวังภัยคุกคามทางเครือข่าย และตรวจจับและป้องกันภัยคุกคามเครือข่าย เพื่อแก้ไขปัญหาที่เกิดขึ้นอย่างทันท่วงที
ภาพ 3 ขั้นตอนใน One Security Services
บริการบริหารจัดการความปลอดภัยระบบเครือข่ายสารสนเทศด้วยทีมงานมืออาชีพ รองรับความต้องการที่หลากหลาย อาทิ เก็บบันทึกข้อมูลจราจรทางคอมพิวเตอร์ (Log File) เฝ้าระวังภัยคุกคามทางเครือข่าย ตรวจจับและป้องกันภัยคุกคามทางเครือข่าย ด้วยเทคโนโลยี IDS/IPS พร้อมแก้ไขปัญหาที่เกิดขึ้นอย่างทันท่วงที จึงไม่ต้องกังวลกับการบริหารจัดการความปลอดภัยเครือข่ายสารสนเทศอีกต่อไป
ผลที่ได้จากบริการ MSSP
ประกอบด้วย 3 ส่วน
1. รายงานผลเชิงรูปธรรม
1.1 วิเคราะห์การตรวจวัดข้อมูลการใช้งานบนระบบเครือข่ายคอมพิวเตอร์ โดยแบ่งประเภทรายงานดังนี้
- รายงานภาพรวมขนาดการใช้งานข้อมูลทั้งหมด (Bandwidth Report)
- รายงานผลชนิดการใช้งานตาม Protocol ที่มีการใช้งานในองค์กร (Protocol Report)
- รายงานผลลักษณะการใช้งานตามชนิด Application เรียงลำดับตามปริมาณการใช้ข้อมูล (Network Traffic Report)
1.2 เฝ้าระวังภัยคุกคามที่อาจเกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์ (Intrusion & Extrusion Detection / Prevention Report) โดยแบ่งประเภทรายงานดังนี้
- รายงานช่วงเวลาที่พบความเสี่ยง จัดระดับ สูง / กลาง / ต่ำ เป็นรายวัน
- รายงานการตรวจจับผู้บุกรุก และลักษณะภัยคุกคาม ได้แก่ ภัยคุกคามที่เกิดจาก Virus/worm, Spyware, Trojan, Backdoor ฯลฯ, ลักษณะการใช้งานที่ไม่เหมาะสม ได้แก่ การเปิดเว็บไซต์ไม่เหมาะสม, การดาวน์โหลดชนิด P2P, การสนทนาออนไลน์ (Instant Messaging) ซึ่งอาจส่งผลกระทบกับองค์กร, การเฝ้าระวังการส่งจดหมายอิเล็คทรอนิคส์ขยะ (spam) ที่เกิดขึ้นในองค์กร เป็นต้น โดยรายงานเหตุการณ์ที่มีความเสี่ยง 10 อันดับแรก เป็นรายวัน
- รายงานผลการประเมินความเสี่ยงอุปกรณ์ระบบเครือข่าย (Devices Vulnerability Assessment/Management) จากอุปกรณ์ระบบเครือข่าย ได้แก่ อุปกรณ์ Router, Firewall, IDS/IPS
- รายงานผลการประเมินความเสี่ยงเครื่องแม่ข่ายที่สำคัญ Server Vulnerability Assessment/Management) จากเครื่องแม่ข่าย ได้แก่ Web Server, Mail Server, Database Server
- รายงานการเก็บบันทึกข้อมูลจราจร (Log File) ที่เกิดขึ้นในแต่ละวัน ทำการเปรียบเทียบให้สอดคล้องกับมาตรฐาน ISO 27001 และ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
2. เก็บบันทึกเหตุการณ์ (Log Archive)
ดำเนินการสำรองข้อมูลจราจร (Log Files) เพื่อสะดวกในการค้นหาข้อมูล และการนำไปใช้ประโยชน์ ประกอบด้วยข้อมูลดังนี้
- ลักษณะการใช้ข้อมูลเครือข่ายคอมพิวเตอร์ (Network Traffic Log Archive)
- การตรวจจับสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย ทั้งภัยคุกคามที่เกิดจากภายในองค์กร และภายนอกองค์กร (Intrusion / Extrusion Log Archive)
- การประเมินความเสี่ยงอุปกรณ์เครือข่าย และเครื่องแม่ข่ายที่สำคัญ (Vulnerability Assessment Log Archive)
- ข้อมูลจราจรซึ่งจัดเปรียบเทียบให้สอดคล้องกับมาตรฐาน ISO 27001 และ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (Compliance Log Archive)
3. การแจ้งเตือนภัยเมื่อเกิดเหตุฉุกเฉิน
- บริการแจ้งเตือนภัยผ่านอีเมล์ เมื่อตรวจพบปัญหาที่เกี่ยวข้องกับความปลอดภัยเครือข่ายสารสนเทศ
- บริการ On Site Service เมื่อพบปัญหาซึ่งต้องแก้ไขที่ระบบเครือข่าย เพื่อป้องกันเหตุการณ์ไม่พึงประสงค์ที่อาจเกิดขึ้นกับองค์กร
ประโยชน์ที่ได้รับ
- เก็บบันทึกข้อมูลจราจรทางคอมพิวเตอร์ พร้อม Data Archive และ Data Hashing สอดคล้องตาม พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550
- ข้อมูลจราจรที่จัดเก็บ จำแนกได้ว่า ใคร, ทำอะไร, ที่ไหน, เมื่อไร, อย่างไร ง่ายต่อการสืบสวนหาผู้กระทำความผิด (IT Forensics) โดยจัดเก็บข้อมูลได้มากกว่า 90 วัน
- ประเมินความเสี่ยงให้ผู้บริหารองค์กรทราบว่า มีเครื่องใดในองค์กรที่เสี่ยงต่อการกระทำความผิดตาม พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
- วิเคราะห์การใช้งานเครือข่าย ช่วยให้ทราบว่าพนักงานในองค์กรใช้เครือข่ายไปในลักษณะใด ผิดประเภทหรือไม่ ส่งผลกระทบต่อการใช้งานเครือข่ายโดยรวมหรือไม่ อย่างไร
- เฝ้าระวังเครือข่ายและป้องกันภัยคุกคามเครือข่าย ตลอด 24 ชั่วโมง พร้อมบริการแจ้งเตือนภัย และแก้ไขปัญหาหน้างาน
- สรุปรายงานหลากรูปแบบ เช่น จำนวนเหตุการณ์ที่เกิดขึ้นสูงสุด, IP ที่กระทำเหตุการณ์สูงสุด, จัดระดับความเสี่ยงแยกเป็น สูง/กลาง/ต่ำ, เปรียบเทียบเหตุการณ์ที่เกิดขึ้นแยกตามมาตราแห่ง พ.ร.บ.คอมพ์ เป็นต้น
