หลายคนน่าจะทราบกันดีว่างาน Cyber Security ในมุม Technical นั้นมีหลากหลาย ซึ่งในบทความนี้เราจะมาโฟกัสที่ทีมแนวหน้าสายบู๊ของ KBTG กัน ซึ่งทีมประกอบไปด้วยฝ่ายไหนบ้างนั้น มาทำความรู้จักกันเลยครับ
Vulnerability Management & Threat Intelligence
หน่วยข่าวกรองทางไซเบอร์ที่จะคัดกรองข้อมูลข่าวสารช่องโหว่ การโจมตีต่างๆ นำมาเป็นข้อมูลตั้งต้นให้กับธนาคารในการป้องกันและเฝ้าระวัง รวมไปถึงค้นหาช่องโหว่หรือจุดอ่อนของระบบด้วยวิธีการต่างๆ เช่น การทำ Vulnerability Assessment และ Penetration Test เพื่อการป้องกันได้อย่างทันท่วงที บริหารจัดการช่องโหว่ที่มีภายในองค์กร ประเมินความเสี่ยงที่ระบบอาจถูกโจมตีและผลกระทบที่อาจเกิดขึ้น ประสานงานกับหน่วยงานที่เกี่ยวข้องจนกระทั่งช่องโหว่ได้รับการแก้ไข ด้วยแนวคิดที่ว่า “ค้นหาจุดอ่อนของตัวเองให้พบ ก่อนคนอื่นจะมาเจอ”
Security Analyst and Incident Response
หน่วยเฝ้าระวังและรับมือการโจมตีทางไซเบอร์และเหตุละเมิดต่างๆ ตลอด 24 ชั่วโมง มีหน้าที่ค้นหาเบาะแสความผิดปกติที่เกิดขึ้นในระบบ โดยวิเคราะห์ข้อมูล Log จากระบบต่างๆ จากนั้นจะประสานงานกับหน่วยงานที่เกี่ยวข้องเพื่อระงับเหตุและแก้ไขจนกระทั่งเหตุการณ์ดังกล่าวกลับสู่สภาวะปกติ เพื่อให้มั่นใจได้ว่าระบบของธนาคารสามารถให้บริการลูกค้าทุกคนได้อย่างปลอดภัย
Security Platform
หน่วยงานผู้ปิดทองหลังพระ เป็นผู้ออกแบบสถาปัตยกรรม สรรหา ติดตั้งและดูแลเครื่องมือต่างๆ เพื่อเพิ่มขีดความสามารถในการเฝ้าระวัง และยกระดับการป้องกันการโจมตีทางไซเบอร์ให้มีประสิทธิภาพทัดเทียมกับหน่วยงานชั้นนำระดับโลก
แม้ว่าลักษณะงานของทั้ง 3 ทีมจะแตกต่างกันออกไป แต่เรามีเป้าหมายที่เป็นอันหนึ่งอันเดียวกัน คือการทำให้ธนาคารปลอดภัยจากภัยคุกคามทางไซเบอร์รูปแบบต่างๆ
แล้วในหนึ่งวัน Cyber Security สายบู๊ที่ KBTG ทำอะไรกันบ้าง
ช่วงเช้า
ช่วงเช้าจะเป็นเวลาของการอัพเดตข่าวสาร ติดตามเหตุการณ์ภัยไซเบอร์ต่างๆ ที่เกิดขึ้นทั่วโลก เพื่อศึกษารูปแบบการโจมตีต่างๆ รวมไปถึงช่องโหว่ใหม่ๆ แล้วคัดกรองสรุปเป็นข้อมูลกระจายต่อไปยังส่วนงานอื่นๆ เพื่อใช้ป้องกันและเฝ้าระวังการโจมตีที่อาจเกิดขึ้นต่อไป อีกทั้งยังตรวจสอบระบบในธนาคารว่ามีความเสี่ยงหรือช่องโหว่ที่อาจถูกโจมตีด้วยวิธีการตามข่าวสารที่สรุปหรือไม่
“กรุงโรมไม่ได้สร้างเสร็จในวันเดียวฉันใด เราก็ไม่สามารถแก้ไขช่องโหว่เสร็จทันทีฉันนั้น”
ปกติแล้วช่องโหว่ที่มีในระบบก็ต้องใช้เวลาในการแก้ไข จึงจำเป็นต้องมีการเฝ้าระวังการโจมตีช่องโหว่เหล่านี้ เพื่อให้แน่ใจว่าเราจะไม่โดนโจมตีและตกเป็นข่าวเสียเองในอนาคต โดยจะ Deploy ข้อมูล Indicator of Compromise หรือ IOC (ข้อมูลเชิงเทคนิคที่เกี่ยวข้องกับรูปแบบการโจมตีทางไซเบอร์ต่างๆ) เพื่อป้องกันในเบื้องต้น นอกจากนี้ยังค้นหา Signature เพื่อนำไปสร้าง Rule เพื่อให้สามารถตรวจจับการโจมตีได้อย่างแม่นยำและรวดเร็วที่สุด อีกทั้งยังปรับแต่งระบบให้ทำงานแบบ Automation เพื่อลดภาระและข้อผิดพลาดของผู้ปฏิบัติงานที่อาจเกิดขึ้น
ช่วงกลางวัน
เมื่อวิเคราะห์พฤติกรรมของช่องโหว่ใหม่ๆ เสร็จสิ้น หรือหากหน่วยงานเฝ้าระวังพบเหตุการณ์การโจมตีที่น่าสงสัย ทีมงานต้องทำการประสานงานไปยังผู้เกี่ยวข้องในธนาคารเพื่อประเมินความเสี่ยง ผลกระทบที่อาจเกิดขึ้น และแนวทางการแก้ไขช่องโหว่หรือเหตุการณ์การโจมตีเหล่านี้
การค้นหาข้อมูลการโจมตีย้อนหลัง (Threat Hunting) เป็นอีกหนึ่งกิจกรรมที่จะทำอยู่สม่ำเสมอ เพื่อให้มั่นใจว่าระบบของธนาคารยังไม่เคยถูกโจมตีเฉกเช่นกับองค์กรอื่นๆ ที่ตกเป็นข่าวการถูกโจมตีก่อนหน้านี้ อีกทั้งยังมีการประชุมภายในทีมเพื่อแลกเปลี่ยนเทคนิคการเฝ้าระวังระบบที่มีช่องโหว่เป็นพิเศษ ตรวจสอบแนวโน้มการโจมตีที่อาจมีผู้ไม่หวังดีพยายามงัดแงะระบบของเรา
สำหรับทีมที่ดูแลระบบนั้น นอกจากจะตรวจสอบ Performance และ Capacity ของระบบที่ใช้เฝ้าระวังให้พร้อมรองรับกับเหตุการณ์ที่เกิดขึ้น ยังปรับแต่ง Rule และเครื่องมือที่มีให้เหมาะสมกับการตรวจจับและป้องกัน เพื่อช่วยให้ทีมเฝ้าระวังสามารถวิเคราะห์หรือตรวจพบเหตุการณ์การโจมตีได้อย่างรวดเร็วและมีประสิทธิภาพมากยิ่งขึ้น
ช่วงเย็น
หลังจากที่ให้ความสำคัญกับการเฝ้าระวังและแก้ไขช่องโหว่ทั้งวันแล้วนั้น ในช่วงเย็นทีมงานจะสรุปเหตุการณ์ต่างๆ ที่เกิดขึ้น สถานะของระบบที่เกี่ยวข้อง ไทม์ไลน์และผลกระทบที่ใช้ในการแก้ไขช่องโหว่ ข้อมูลการโจมตีที่ตรวจพบและคอยเฝ้าระวังการโจมตีที่อาจเกิดขึ้นในอนาคต สถานะระบบที่ใช้ในการตรวจสอบ ค้นหา เฝ้าระวังช่องโหว่และการโจมตีทางไซเบอร์ แนะนำเทคโนโลยีต่างๆ ที่คาดว่าต้อง Implement เพิ่มเติมเพื่อการป้องกันที่มีประสิทธิภาพมากขึ้น รวมถึงความท้าทายหรือปัญหาต่างๆ ที่ไม่สามารถแก้ไขได้ เพื่อให้หัวหน้าทีมช่วยเหลือจนสามารถจัดการกับความท้าทายเหล่านั้นได้ดีที่สุด
STEEL Mindset ของคน Cyber Security สายบู๊
Mindset ที่สำคัญในการทำงานด้าน Cyber Security โดยเฉพาะอย่างยิ่งที่ KBTG เราขอใช้อักษรย่อแทน Mindset ดังกล่าวว่า ‘STEEL’ ซึ่งมีองค์ประกอบดังนี้
1. Sense of Urgency การตัดสินใจเรื่องความเร่งด่วน
จัดว่าเป็น Mindset ที่สำคัญมากที่สุด เพราะงานของเรานั้นแข่งกับเวลาและมักจะไม่เลือกช่วงเวลาเกิดเหตุ เช่น ในกรณีที่เกิดเหตุการณ์โจมตีในช่วงวันหยุดสุดสัปดาห์ เราคงไม่สามารถนั่งชิวๆ รอวันจันทร์ค่อยดำเนินการแก้ไขอย่างแน่นอน ในขณะเดียวกันบางครั้งเหตุการณ์ต่างๆ ก็พร้อมจะปะเดปะดังเข้ามาราวกับได้นัดหมายกันไว้ล่วงหน้า ดังนั้นการเรียงลำดับความสำคัญของงานหรือขั้นตอนการทำงานถือเป็นสิ่งสำคัญเช่นกัน ถ้าไฟไหม้ เราก็ต้องรีบหาทางดับไฟก่อน แล้วหาสาเหตุของไฟไหม้ภายหลัง ผมเคยกล่าวไว้ครั้งหนึ่งในบทความ เรามีเวลาให้กับความปลอดภัยเสมอ: บทเรียนจาก Deepwater Horizon ขอนำมากล่าวอีกซักครั้ง
“Every bad news is good news if communicate early”
ทุกๆ ข่าวร้ายที่เกิดขึ้นคือข่าวดี ถ้าเรารีบบอก รีบแก้ไข รีบหาทางป้องกัน ก่อนที่ปัญหาจะลุกลามบานปลายจนยากที่จะแก้ไขและควบคุม
2. Teamwork การทำงานเป็นทีม
ด้วยงานที่ต้องติดต่อประสานงานหลายฝ่าย มีข้อมูลจำนวนมากต้องวิเคราะห์ ตรวจสอบ แก้ไข และเป็นงานที่ไม่สามารถจบเบ็ดเสร็จได้ด้วยตัวคนเดียว การมี Teamwork การดูแลเอาใจใส่พร้อมแลกเปลี่ยนความรู้ข้อมูลจึงเป็นสิ่งสำคัญมาก
“ ทีมไม่ได้ถูกสร้างให้เราดูแลมัน แต่เพราะเราดูแลกันและกัน จึงกลายเป็นทีมขึ้นมา ”
3. Ethics จริยธรรม
เราอยู่กับข้อมูลมหาศาล ทั้งข่าวสารจากภายนอกองค์กร และข้อมูลภายในองค์กร Ethics จึงมีความสำคัญมากในการทำงาน เพราะข้อมูลต่างๆ ล้วนเป็นความลับขององค์กร ถ้ามีผู้ไม่หวังดีได้ไป อาจสร้างความเสียหายต่อองค์กรได้ รวมทั้งยังต้องตรงไปตรงมา ไม่กลัวงานหนัก ไม่กลัวปัญหาที่จะเกิด เพราะเมื่อเรากังวลและกลัว เราก็จะไม่กล้าทำ ถ้าเราไม่ทำในวันนี้ ไม่แก้ปัญหาแล้วปล่อยทิ้งไว้ ในวันข้างหน้าปัญหาจะลุกลามบานปลายใหญ่กว่านี้อย่างแน่นอน ผู้เขียนเชื่อว่า ไม่มึใครอยากทำงานยาก ไม่มีใครอยากทำงานที่มีปัญหา แต่ด้วยเนื้องานของการทำงานสายนี้ ประเด็นไม่ได้อยู่ที่งานยากหรืองานมีปัญหา เพราะถ้างานนั้นจำเป็นต้องทำ แม้จะยากแค่ไหนก็ต้องหาทางทำให้ได้
4. Empathy การเข้าใจผู้อื่น
ด้วยเนื้องานของเราแล้วไม่แปลกที่จะเกิด Conflict ในการทำงานเพราะงานของเราบางส่วนคือการ Interrupt งานของทีมอื่นที่กำลังไปได้สวย โปรเจคกำลังจะ Go-live วันพรุ่งนี้ วันนี้เจอแจ็คพอตมีข่าวการโจมตีออกมา ซึ่งกระทบกับโปรเจคนั้นโดยตรง ก็อาจจะมีกระทบกระทั่งกันบ้างในหน้าที่ที่ต่างฝ่ายต่างรับผิดชอบ เราจำเป็นต้องมี Empathy เข้าใจและช่วยเหลือในการแก้ปัญหา เพื่อให้ทุกอย่างผ่านไปได้อย่างที่ควรจะเป็น
5. Learn-Unlearn-Relearn เรียนรู้ไม่สิ้นสุด
เข้าใจในความผิดพลาด ความไม่สมบูรณ์แบบ เรียนรู้และลองผิดลองถูก ด้วยโลกเทคโนโลยีทุกวันนี้วิ่งไปข้างหน้าอย่างรวดเร็ว พรุ่งนี้ก็มีเรื่องใหม่ให้เรียนรู้ สิ่งที่เราเคยทำได้ดีมากในเมื่อวาน วันนี้อาจจะโดนล้มกระดานก็ได้ การยอมรับว่าเราไม่รู้ เราไม่ได้เก่งไปทุกเรื่อง รับฟังความคิดเห็นผู้อื่น เปิดใจรับสิ่งใหม่ๆ ตลอดเวลา นี่คือสิ่งที่คนทำงานสายนี้ต้องมีและรักมากๆ ในการเรียนรู้สิ่งใหม่
ท้ายสุดนี้ หนึ่งวันที่ KBTG มีอะไรให้เรียนรู้และได้พัฒนาทักษะใหม่ๆ อยู่ตลอดเวลาทั้งในด้าน Hard Skill และ Soft Skill ซึ่งผู้บริหารของ KBTG ให้ความสำคัญกับการเรียนรู้เป็นอย่างมาก ด้วยการสนับสนุนหลักสูตรต่างๆ ที่เหมาะสมกับพนักงานแต่ละกลุ่มตามความเหมาะสม ให้ทุกคนพร้อมใช้ความสามารถทั้งหมดที่มีในการป้องกันระบบของธนาคารอย่างเข้มข้น ใส่ใจในทุกตารางมิลลิเมตรของระบบ เพื่อให้ระบบของเราทำงานและให้บริการลูกค้าได้อย่างมีประสิทธิภาพ ข้อมูลต่างๆ ที่อยู่ในองค์กรได้รับการดูแลอย่างดี ตอบโจทย์ผู้ใช้งานให้ทันตามยุคสมัยที่เปลี่ยนไปอย่างรวดเร็ว
และสำหรับใครที่อ่านจบแล้ว อยากจะกระโดดมาร่วมเส้นทางสายงาน Cyber Security ตอนนี้เรากำลังมีโปรแกรมดีๆ อย่าง Cyber Security Bootcamp จาก Tech Kampus ClassNest ที่ปูทางให้กับชาวไอทีที่สนใจ ไม่ว่าจะเป็นคนเทคสายงานอื่นที่อยาก Reskill หรือน้องๆ จบใหม่ที่สนใจ Upskill เรียนกันเต็มๆ ถึง 3 เดือน แถมยังได้มีโอกาสพูดคุยแลกเปลี่ยนความรู้อย่างใกล้ชิดกับทีม Cyber Security และสามารถนำคะแนน Post Test ตรงเข้าสู่รอบ Final Interview กับ KBTG ได้อีกด้วย สามารถดูรายละเอียดและสมัครได้ตั้งแต่วันที่ 3–24 มิ.ย. 2022 ที่เว็บไซต์ด้านล่างนี้ได้เลยครับ
สำหรับชาวเทคคนไหนที่สนใจเรื่องราวดีๆแบบนี้ หรืออยากเรียนรู้เกี่ยวกับ Product ใหม่ๆ ของ KBTG สามารถติดตามรายละเอียดกันได้ที่เว็บไซต์ www.kbtg.tech