ACIS Article

จับกระแสทิศทาง IT Security Outsourcing โดย MSSP (Managed Security Service Provider) ในประเทศไทยและทั่วโลก "What Motivates on enterprise to outsource IT security?"
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:

จากกระแส "IT Outsourcing" ทั่วโลกในช่วงสองสามปีที่ผ่านมาจนถึงวันนี้ "IT Outsourcing" มีการพัฒนาไปถึง "IT Security Outsourcing" หลายคนถามว่าในปัจจุบัน ทำไมองค์กรทั้งภาครัฐและเอกชนหันมาให้ความสนใจกับเรื่องการ Outsource ระบบความปลอดภัยขัอมูลคอมพิวเตอร์ให้กับหน่วยงานมืออาชีพภายนอก คำตอบก็คือ องค์กรสมัยใหม่นิยมที่จะไม่จัดซื้ออุปกรณ์ทั้งฮาร์ดแวร์ และซอฟแวร์มาใช้ในแบบเดิมๆ ซึ่งต้องใช้งบประมาณจำนวนมากในแต่ละปี รวมถึงค่าบำรุงรักษาอุปกรณ์เหล่านั้น ซึ่งในปัจจุบัน องค์กรมักจะ Outsource ระบบสารสนเทศให้กับหน่วบงานภายนอกเข้ามาบริหารจัดการระบบ ตลอดจนรวมถึงอุปกรณ์ฮาร์ดแวร์และโปรแกรมซอฟแวร์ต่างๆที่จำเป็นต้องนำมาใช้ในระบบงานซึ่งกลายเป็นต้นทุนของทาง Outsourcer ต้องคิดคำนวนเป็นค่าบริการรายเดือนหรือรายปีมาแบบเบ็ดเสร็จ โดยกำหนดข้อตกลง SLA (Service Level Agreement) ให้ชัดเจนระบุในสัญญาการให้บริการ Outsource ของ MSSP กับองค์กร

นอกจากเรื่องงบประมาณมหาศาลในการจัดซื้ออุปกรณ์ด้านการรักษาความปลอดภัยข้อมูล เช่น Firewall และ IPS (Intrusion Prevention System) การขาดแคลนบุคลากรผู้เชี่ยวชาญด้านระบบความปลอดภัยกับข้อมูล (Information Security Professional/Specialist) เช่น CISSP หรือ CISM ก็เป็นปัญหาใหม่ขององคกรในขณะนี้เช่นเดียวกัน เพราะ การพัฒนาผู้เชี่ยวชาญด้านระบบความปลอดภัยกับข้อมูลนั้นใช้เวลานาน และ เป็นเรื่องยากที่จะให้ผู้เชี่ยวชาญอยู่กับองค์กรในระยะยาว ซึ่งทำให้หลายๆองค์กรเลือกที่จะใช้บริการผู้เชี่ยวชาญจากหน่วยงานภายนอกมากกว่า ซึ่งองค์กรสามารถกำหนด SLA เพื่อควบคุมการทำงานของ Outsource ได้

ธุรกิจ MSSP (Managed Security Service Provider) จึงกลายเป็นทางเลือกให้กับองค์กร ในยามที่ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลขาดแคลน และ ยากที่จะให้ผู้เชี่ยวชาญอยู่กับองค์กรดังที่กล่าวมาแล้ว บริษัทที่ให้บริการ IT Security Outsourcing หรือ MSSP นั้นต้องมีการลงทุนพัฒนาบุคคลากรผู้เชี่ยวชาญด้านความปลอดภัย ไม่ว่าจะเป็นผู้เชี่ยวชาญที่ได้รับประกาศนียบัตร CISSP, CISA, CISMและ SANS GIAC ล้วนเป็นต้นทุนที่สูงมากโดย MSSP ต้องเป็นผู้ลงทุนอย่างหลีกเลี่ยงไม่ได้ หลายองค์กรพบว่าสามารถประหยัดค่าใช้จ่ายด้าน IT Security โดยรวมได้มากขึ้น หลังจากตัดสินใจ Outsource การเฝ้าระวังและบริหารจัดการระบบความปลอดภัยข้อมูลคอมพิวเตอร์ให้แก่ MSSP แต่เกณฑ์ในการตัดสินใจเลือกใช้บริการของ MSSP รายใดรายหนึ่งนั้นเป็นเรื่องสำคัญ เพราะ MSSP นั้นต้องไว้ใจได้ และ มีความเชี่ยวชาญอย่างแท้จริง ตลอดจนองค์กรจะเลือกใช้บริการเฉพาะ "Monitored" หรือ "Managed" นั้นก็มีความแตกต่างกัน ถ้าองค์กรต้องการ Outsourceเฉพาะการเฝ้าระวังแต่ไม่อนุญาตให้ MSSPเข้ามาจัดการเปลี่ยนแปลง Configuration ของอุปกรณ์ด้านการรักษาความปลอดภัยต่างๆ เช่น Firewall หรือ IPS/ IDS เราเรียกว่าเป็นการให้บริการแบบ "Monitored" แต่หากองค์กรต้องการให้ MSSP เข้ามาควบคุมดูแลอุปกรณ์ด้านการรักษาความปลอดภัยอย่างเต็มรูปแบบ เช่น อนุญาตให้ MSSP สามารถเข้าไปปรับเปลี่ยนแก้ไข Configuration หรือ Policy ใน Firewall ได้(โดยได้รับอนุญาตจากองค์กรก่อน) เราเรียกว่าเป็นการให้บริการแบบ "Managed" ซึ่งส่วนใหญ่แล้ว MSSPมักจะให้บริการในแบบแรกมากกว่า โดย MSSP จะมีหน่วยงานวิเคราะห์ Log File จากระบบ Centralized Log Management ที่ MSSPเป็นผู้ติดตั้งและดูแล และ MSSP จะต้องทำการวิเคราะห์ Log โดยวิธี Correlation Analysis และ ต้องแสดงรายงานระบุต้นเหตุของปัญหาความปลอดภัยในระบบเครือข่ายที่เราเรียกว่า "Root-cause Analysis" เพื่อให้องค์กรสามารถป้องกันการโจมตีจาก Internet Threat ต่างๆได้ทันท่วงที

เราสามารถจัดประเภทลักษณะของการให้บริการ IT Security Outsourcing ของ MSSP ในประเทศต่างๆและทั่วโลกได้10 ลักษณะ ดังนี้ 1. Monitored and Managed Firewall Services

เป็นการให้บริการดูแลและเฝ้าระวังบริเวณ Network Perimeter ขององค์กร โดยปกติแล้วคือ บริเวณที่เชื่อมต่อกับระบบอินเตอร์เน็ต และ บริเวณของ Public Server Farm หรือ DMZ (Demilitarized Zone) ซึ่งโดยปกติแล้วเป็นที่ตั้งของ Web Server และ SMTP Mail Relay ขององค์กร การให้บริการของ MSSP ควรที่จะครอบคลุมถึงการวิเคราะห์ Log จาก Firewall ประจำวัน (Daily Report) และคอยสังเกตพฤติกรรมแปลกๆ (Suspicious Activity) หรือพฤติกรรมบุกรุก (Intrusion Activity) แล้วรีบแจ้งเตือนองค์กรโดยด่วน เพื่อที่จะเตรียมตั้งรับเหตุการณ์การโจมตีในทางอินเตอร์เน็ท หรือ ตรวจสอบข้อมูลที่อาจจะรั่วไหลออกจากองค์กรผ่านทาง Firewall ก็เป็นไปได้เช่นกัน นอกจากนี้ถ้ามีการปรับเปลี่ยน Policy ที่Firewall ทาง MSSP ควรต้องมีการแจ้งและบันทึกให้องค์กรได้รับทราบเช่นกัน

2. Automated/Manual Incident Response, Event Escalation and Digital Forensic Services

เป็นการให้บริการต่อเนื่องจากข้อที่หนึ่ง กล่าวคือ เมื่อผู้เชี่ยวชาญของ MSSP ตรวจพบความผิดปกติในระบบโดยวิเคราะห์จาก Log ของ Firewallแล้ว MSSPควรมีขั้นตอนในการแจ้งปัญหา (Event Escalation) ให้องค์กรทราบอย่างทันท่วงที ภายในเวลาที่สามารถจะป้องกันความเสียหายให้แก่ระบบสารสนเทศขององค์กรได้ทัน และ ควรมีระยะเวลาในการตอบสนอง หรือ การแจ้งปัญหาระบุไว้ใน SLA (Service Level Agreement) ให้ชัดเจน เช่นกำหนดไว้ ภายใน 1 ชั่วโมง หรือ 3 ชั่วโมงเป็นต้น

เมื่อตรวจพบหลักฐานการบุกรุกหรือการโจมตีระบบจากการวิเคราะห์ข้อมูลที่ได้มาจากระบบ Centralized Log Management แล้ว การพิสูจน์หลักฐานทางคอมพิวเตอร์ หรือ Digital Forensics ก็ควรเป็นบริการที่ MSSP ควรมีให้แก่องค์กร เพื่อเชื่อมโยงหลักฐานไปสู่การติดตามจับกุมผู้กระทำผิดทางคอมพิวเตอร์ ซึ่งในประเทศไทยกำลังจะมีกฎหมายออกมาในอนาคตอันใกลันี้

3. Monitored and Managed IDS/IPS (Real-Time Intrusion Monitoring) Services

เป็นการให้บริการเฝ้าระวังการบุกรุกโดยใช้อุปกรณ์ IDS/ IPS ซึ่งเป็นส่วนสำคัญที่สุดของการให้บริการจาก MSSP โดย MSSP มีหน้าที่ในการวิเคราะห์ข้อมูลรายงานจากอุปกรณ์ IDS/ IPS ซึ่งปกติแล้วมักจะไม่มีคนอ่าน หรือ ยากที่จะหาคนที่เชี่ยวชาญมาวิเคราะห์รายงานดังกล่าว จึงทำให้รายงานจากอุปกรณ์ IDS/ IPS ไม่ค่อยจะมีประโยชน์ต่อองค์กรนักหากองค์กรเป็นผู้ดูแลเอง แต่ถ้าใช้บริการผู้เชี่ยวชาญด้าน Intrusion Analysis ของ MSSP ทางผู้เชี่ยวชาญจะมีหน้าที่ให้การวิเคราะห์เจาะลึก และ รายงานข้อมูลที่มีประโยชน์ให้กับองค์กรได้ทราบภายในเวลาที่กำหนดใน SLA ผู้ให้บริการ MSSP บางรายจะนำ อุปกรณ์ IDS/ IPS มาติดตั้งให้กับองค์กร โดยที่องค์กรไม่ต้องซึ้อ IDS /IPS แต่ขณะเดียวกัน MSSP หลายรายก็มักใช้ IDS/ IPS ที่องค์กรมีอยู่แล้ว โดยดึงเฉพาะรายงานมาวิเคราะห์ในลักษณะ Daily Intrusion Analysis Report สรุปก็คือ รายงานจาก IDS/ IPSในรูปแบบ Raw Report จะถูก MSSP นำมาวิเคราะห์ในเชิงลึก (In-Depth Event Analysis) ดังนั้นความแตกต่างของการวิเคราะห์โดยผู้เชี่ยวชาญจึงเป็นปัจจัยสำคัญในการเลือกใช้บริการของ MSSP

หมายเหตุ: (การ Block ผู้บุกรุกโดยใช้ IPS โดยอัตโนมัตินั้น ปกติแล้ว MSSP จะไม่ทำทันที แต่จะแจ้งให้องค์กรเป็นผู้ตัดสินใจเองว่าจะ Block หรือไม่ ภายในเวลาที่กำหนดใน SLA)

4. Managed and Monitored VPN Services

เป็นการให้บริการของ MSSP เฝ้าระวังการใช้ VPN โดยสังเกตจาก Log File ของอุปกรณ์ VPN จากการใช้งาน VPN ในแต่ละวัน เทียบกับการใช้งาน VPN ในช่วงเวลาปกติว่ามีสิ่งผิดปกติเกิดขึ้นหรือไม่ ตลอดจนคอยสังเกตว่ามีไวรัส เวิร์ม หรือ โทรจัน รวมทั้งโปรแกรมจำพวก P2P ใช้งานผ่าน VPN หรือไม่ โดยปกติแล้วข้อมูลผ่าน VPN จะถูกเข้ารหัสทำให้ IDS/ IPS ไม่สามารถตรวจสอบได้ MSSP จึงต้องมีวิธีการในการเฝ้าระวังตรวจสอบการใช้งาน VPN ขององค์กรโดยเฉพาะ ซึ่งก็ขึ้นกับ รุ่นและประเภทของอุปกรณ์ VPN ที่องค์กรเลือกใช้งานอยู่ สำหรับการบริหารจัดการ Policy ใน VPN นั้น ทางองค์กรเป็นผู้กำหนด Policy แต่ MSSP เป็นผู้ปฎิบัติ โดย MSSP ต้องทำ "Change Management" ให้แก่องค์กรด้วย

5. Monitored and Managed ANTI-Virus (ANTI-MalWare) Services

เป็นการให้บริการเตือนข่าวสารเกี่ยวกับไวรัสใหม่ๆ เพื่อให้องค์กรเตรียมรับมือกับการแพร่กระจายของไวรัสซึ่งในปัจจุบันการแพร่ของไวรัสจะมีลักษณะ Zero-day Outbreak ที่ยังไม่มีการออก Patch หรือ Virus Signature ออกมาแก้ไข ดังนั้นการเฝ้าระวังการแพร่กระจายของไวรัสอย่างทันท่วงที จึงเป็นเรื่องสำคัญที่มองข้ามไม่ได้ และ จำเป็นที่จะต้องมีผู้เชี่ยวชาญคอยเฝ้าระวังตลอด 24 ชั่วโมง ส่วนการบริหารจัดการกำจัดไวรัสนั้นขึ้นกับข้อตกลงระหว่างองค์กรกับ MSSP ว่าใครจะเป็นผู้รับผิดชอบ แต่โดยปกติแล้วทาง MSSP จะให้บริการเฝ้าระวัง Zero-day Outbreak และ คอยเตือนองค์กรให้ตั้งรับอย่างทันท่วงทีเท่านั้น แต่จะไม่รวมถึงการกำจัดไวรัส ซึ่งจริงๆ แล้วทาง MSSP ก็สามารถทำได้ แต่มีราคาที่ค่อนข้างแพง ไม่คุ้มกับการลงทุนขององค์กรขนาดเล็ก ถ้าเป็นองค์กรขนาดใหญ่ การ Outsource บริหารจัดการปราบไวรัสคอมพิวเตอร์ก็เป็นอีกทางเลือกหนึ่งขององค์กร โดย CIO จะต้องตัดสินใจว่าองค์กรเหมาะสมกับการ Outsource ดังกล่าวหรือไม่

6. Monitored and Managed Content Filtering Services

โดยปกติแล้ว Content ที่ต้องเฝ้าระวังมีอยู่3 ประเภทใหญ่ๆ ได้แก่ HTTP content, FTP content และ SMTP (Mail) Content แต่ในปัจจุบัน IM (Instant Messaging) Content และ P2P Content ก็มีความจำเป็นต้องเฝ้าระวัง และ ตรวจสอบเช่นกัน เนื่องจากเป็นตัวการในการนำไวรัสเข้าสู่องค์กร ตลอดจนการนำข้อมูลออกจากองค์กรอย่างไม่ถูกต้องด้วย ดังนั้น MSSP จึงมีบทบาทในการเฝ้าระวังและตรวจสอบ Content ดังกล่าว ปัญหาก็คือ การตรวจสอบ Content เหล่านี้ต้องใช้อุปกรณ์ฮาร์ดแวร์ และซอฟแวร์ที่มีประสิทธิภาพสูง ดังนั้นการลงทุนกับอุปกรณ์ดังกล่าวจึงต้องมีการตกลงกันระหว่างองค์กรกับ MSSP ว่าใครจะเป็นผู้รับผิดชอบ ถ้าทาง MSSP รวมมูลค่าอุปกรณ์เข้าไปกับการบริการ ค่าบริการก็จะสูงขึ้นเป็นเงาตามตัวเช่นกัน

7. Monitored and Managed Vulnerability Assessment and Penetration Testing Services

เป็นส่วนหนึ่งของการบริหารจัดการความเสี่ยงระบบสารสนเทศขององค์กรซึ่งถือว่าเป็นเรื่องสำคัญที่ทุกองค์กรควรทำ ปัจจุบันการทำ Vulnerability Assessment and Penetration Testing กลายเป็นกฎข้อบังคับในหลายๆองค์กร เช่น Internet Banking ของธนาคารพานิชย์เป็นต้น การประเมินความเสี่ยง (Risk Assessment) ด้วยการทำ Vulnerability Assessment และการตรวจสอบความเสี่ยงเชิงลึกในลักษณะ Ethical Hacking ที่นิยมเรียกว่า Penetration Testing กำลังได้รับความนิยมเพิ่มขึ้น โดยเฉพาะองค์กรที่ใช้ Web Server และมี Web Application ทำงานอยู่ ไม่ว่าจะเป็น IIS Web Server หรือ Apache Web Server ที่ใช้ภาษา ASP, JAVA หรือ PHP ในการพัฒนาก็พบว่ามีช่องโหว่เกิดขึ้นให้แฮกเกอร์สามารถเข้ามาโจมตีได้อยู่เป็นประจำ ถ้าทาง Web Application Developer ไม่มีความรู้ด้านระบบความปลอดภัยของ Web Application ดีพอ ดังนั้นงานประเมินความเสี่ยงโดยวิธีดังกล่าวจึงเป็นอีกบริการหนึ่งที่ MSSP ควรมีให้บริการ และ ควรมีการบริการในลักษณะการรายงานเป็นรายเดือน หรือ รายปี ขึ้นกับ SLA ที่จะตกลงกัน การลองเจาะระบบด้วยวิธี Penetration Testing นั้นจะทำให้องค์กรได้ทราบถึงระดับของความปลอดภัยที่องค์กรสามารถต้านรับการโจมตีของแฮกเกอร์และไวรัสต่างๆ ซึ่งถ้าทาง MSSP ตรวจสอบก่อนล่วงหน้า องค์กรก็สามารถแก้ปัญหาโดยการ Hardening ระบบได้ทันก่อนที่ระบบจะถูกโจมตี

ลักษณะของการตรวจสอบแบบ Penetration Testing จำเป็นต้องใช้ผู้เชี่ยวชาญที่เป็น Penetration Tester โดยเฉพาะและ ไม่สามารถใช้แค่เพียง Vulnerability Scanner ตรวจสอบ ดังนั้นการใช้บริการ Penetration Testing จาก MSSP จึงถือเป็นสิ่งจำเป็น แต่ต้องเลือก MSSP ที่มีความสามารถเฉพาะด้าน Penetration Testing มาดูแลระบบให้เรา และ ให้คำแนะนำในการป้องกันระบบที่ถูกต้องแก่องค์กรด้วย เช่น จัดฝึกอบรมเรื่อง Web Application Security ให้แก่ผู้พัฒนาระบบ Web Application เป็นต้น

8. Security Awareness Training Services

เป็นการให้บริการของ MSSP ที่ควรครอบคลุมถึงการฝึกอบรมประจำปีเกี่ยวกับเรื่อง Security Awareness ซึ่งโดยปกติควรจัดอบรมประมาณ 2-4ครั้งต่อปี เพื่อเตือนให้ผู้ใช้คอมพิวเตอร์ทุกระดับตั้งแต่ผู้ใช้คอมพิวเตอร์ทั่วไปจนถึงผู้บริหารระดับสูง ให้ตระหนักถึงภัยจากอินเตอร์เน็ต และ เรียนรู้การใช้งานระบบคอมพิวเตอร์อย่างปลอดภัย ซึ่งจะเป็นส่วนสำคัญในการบริหารจัดการด้านระบบความปลอดภัยอย่างมีประสิทธิภาพ และได้ผลตามที่องค์กรต้องการ

9. On-site Security Consulting Services

เป็นการบริการให้คำปรึกษาปัญหาด้านความปลอดภัยข้อมูลที่สำนักงานขององค์กร MSSP ควรจะเข้าประชุมร่วมกับเจ้าหน้าที่ฝ่ายสารสนเทศ และ ฝ่ายควบคุมความปลอดภัยข้อมูลขององค์กรอย่างสม่ำเสมอ โดยปกติแล้ว ควรจะมีการประชุมทุกสัปดาห์ (เดือนละ 4ครั้ง) เพื่อเข้าไปช่วยเหลือ และ ติดตามงานด้านความปลอดภัยข้อมูลต่างๆที่ทาง MSSP ได้แจ้งเตือนองค์กรโดยเป็นการร่วมประสานงานกับทีมงานระบบสารสนเทศขององค์กร และควรมีการประชุมใหญ่กับผู้บริหารระดับสูงอย่างน้อยเดือนละหนึ่งครั้ง เพื่อรายงานสถานการณ์ด้านความปลอดภัยกับข้อมูลให้กับผู้บริหารระดับสูงให้ทราบถึงความปลอดภัยของระบบสารสนเทศขององค์กรโดยรวม

10. Policy Compliance Monitoring Services

หลังจากองค์กรได้ประกาศใช้ Security Policy แล้ว ควรมีการตรวจสอบว่าผู้ใช้คอมพิวเตอร์ได้ปฎิบัติตาม Security Policy ที่กำหนดไว้หรือไม่ ซึ่งจำเป็นต้องมีการตรวจสอบ (Audit) ทั้ง Internal IT Audit และ External Audit ซึ่งตรวจสอบโดยผู้เชี่ยวชาญของ MSSP ที่สามารถทำหน้าที่เป็น External Auditor เพื่อให้ความเห็นในมุมมองของคนภายนอกองค์กร และ นำเสนอแนวทางในการปรับปรุงเรื่อง Policy Compliance ให้แก่องค์กรต่อไป

ในเมื่อปัจจุบันองค์กรนิยมให้ความไว้วางใจกับ IT Outsourcer ในการบริหารจัดการระบบเครือข่ายและระบบสารสนเทศขององค์กรแล้ว การมอบหมายให้ IT Security Outsourcer หรือ MSSP เข้ามาดูแลระบบความปลอดภัยข้อมูลคอมพิวเตอร์ของ Server เช่น Windows และ UNIX/Linux รวมถึงอุปกรณ์เครือข่าย เช่น Router/Switching และ อุปกรณ์รักษาความปลอดภัยข้อมูลคอมพิวเตอร์ เช่น Firewall, VPN, IDS/ IPS, Anti-Virus System, Content filtering System ตลอดจนการประเมินความเสี่ยงด้วยการทำ Vulnerability Assessment และ Penetration Testing ก็คงจะไม่ใช่เรื่องแปลกสำหรับองค์กรอีกต่อไป แต่การเลือกใช้ MSSP รายใดรายหนึ่งนั้น กลับกลายเป็นปัจจัยสำคัญที่องค์กรต้องระมัดระวังในการเลือกใช้บริการ เพราะ MSSP ต้องไว้วางใจได้ในระดับหนึ่ง เพราะ MSSP นั้นมีหน้าที่ในการดูแลระบบความปลอดภัยขององค์กรโดยรวมซึ่งถือเป็นหัวใจสำคัญในการดำเนินงานขององค์กรวันนี้

จาก : หนังสือ eWeek Thailand
ปักษ์หลัง ประจำ เดือนมกราคม 2549
Update Information : 30 มกราคม 2549