Log Centralized, SIM, SEM และ SIEM แตกต่างกันอย่างไร ?

  สวัสดีครับ นี่ก็ผ่านไปกว่า 1 เดือนแล้วหลังจาก พ.ร.บ. มั่นคงไซเบอร์ ได้ถูกประกาศใช้เป็นกฎหมาย ซึ่งสำหรับคนทำงานไอทีหลายๆท่าน ก็ไม่วายจะต้องให้ความสนใจและหาความรู้ โดยเฉพาะท่านที่ต้องดูแลระบบให้กับองค์กรที่ทำงานอยู่ คงจะวุ่นวายกันไม่ใช่น้อยและเนื่องจากตัวผมเองนั้นเป็นผู้ทำงานด้านความปลอดภัยไซเบอร์อยู่แล้ว โดยเฉพาะอย่างยิ่งระบบที่ใช้ตรวจจับเรื่องความมั่นคงปลอดภัยอย่าง SIEM ที่เป็นของถนัด ทำให้ช่วงนี้ไม่ว่าคุยกับลูกค้าท่านไหนก็จะได้รับความสนใจมากเป็นพิเศษเกี่ยวกับระบบ SIEM แต่ด้วยความยุ่งยากในการติดตั้ง อีกทั้งราคาที่ค่อนข้างแรงเอาเรื่อง หลายๆท่านก็มักจะมีคำถามตามมาว่า เราสามารถใช้เทคโนโลยีอื่นๆ เช่น SIM, SEM หรือ Log Centralized ธรรมดาๆ แทนการใช้งานระบบ SIEM ได้ไหม? และมันแตกต่างกันอย่างไรบ้าง? วันนี้เลยถือโอกาสมาแจกแจงความแตกต่างของระบบทั้ง 4 ตัวนี้ให้ฟังครับ

Log Management vs SIEM

เริ่มจากตัวแรกก่อนเลยครับ Log Centralized หรือ Log Management

 สำหรับ Log Centralized นั้นเป็นระบบพื้นฐานที่ทุกองค์กร ต้องมี เพื่อให้เป็นไปตาม พ.ร.บ.คอมพิวเตอร์ (พ.ร.บ ความมั่นคงไซเบอร์  กับ พ.ร.บ. คอมพิวเตอร์ เป็นคนละกฎหมายกันนะครับ) โดยหน้าที่หลักของระบบนั้นมีเพียงอย่างเดียว คือจัดเก็บข้อมูล Log จากระบบต่างๆ มารวมไว้ที่ตัวเอง

โดยคุณสมบัติพื้นฐานคือ

  1. ต้องสามารถรักษาความสมบูรณ์ของข้อมูลนั้นได้ครับ พูดง่ายๆก็คือห้ามใครมาแก้ข้อมูล Log ได้โดยง่ายนั่นเอง
  2. ข้อมูลต้องสามารถถูกนำออกมาใช้ได้เมื่อต้องการ
  3. สามารถจัดเก็บข้อมูลได้เป็นระยะเวลาตามที่กฎหมายกำหนด เช่น พ.ร.บ. คอมพิวเตอร์ กำหนดว่าอย่างน้อยต้องจัดเก็บ 90 วัน

 ซึ่งสำหรับบ้านเรานั้น กฎหมายได้มีการบังคับให้ผู้ให้บริการ Internet หรือสถานที่ใดๆก็ตามที่เปิด Internet ให้ผู้คนใช้งาน เช่น บริษัทฯ จำเป็นต้องมีระบบ Log Centralized และจัดเก็บ Log เอาไว้อย่างน้อย 90 วันครับ (ใครไม่ทำถือว่าผิดกฎหมายเลยนะครับ!!!)
โดยการใช้งานหลักๆของระบบนี้ก็คือจะเป็นการนำข้อมูล Log ออกมาใช้ในยามจำเป็นครับ เช่น กรณีต้องส่งข้อมูลการใช้งาน Internet ให้แก่เจ้าหน้าที่ทางการ ระบบจะต้องสามารถ Export Raw Log ออกมาเป็นหลักฐานได้ ซึ่งต้องเก็บ Log จากข้อมูลอะไรบ้างถึงจะครอบคลุมนั้นสามารถอ่านได้จากบทความ เพราะฉะนั้นสำหรับบริษัทฯ ส่วนมากแค่มี Log Centralized และเก็บข้อมูล Log ได้ครบตามที่ระบุ ก็เพียงพอสำหรับกฎหมายบ้านเราแล้วครับ

ทีนี้ว่ากันด้วยเรื่องของ SIM และ SEM กันครับ

 สองตัวนี้ไม่ค่อยเป็นที่พูดถึงในปัจจุบันกันเท่าไหร่แต่จริงๆแล้วระบบ Log Centralized ส่วนใหญ่ที่เราพบในตลาด จริงๆแล้วมันไม่ใช่ Log Centralized หรอกครับ แต่เป็น SIM ต่างหาก!!! เพราะ Log Centralized ส่วนมากนั้นจะมาพร้อมกับ Feature ในการออกรายงาน หรือสร้าง Dashboard แสดงข้อมูลต่างๆจาก Log ได้ ซึ่งตรงนี้แหละครับคือคำนิยามของ SIM – Security Information Management ซึ่งก็คือระบบจัดเก็บ Log ที่ไม่ใช่แค่เก็บ Log เป็นข้อมูลดิบไว้อย่างเดียว แต่สามารถนำข้อมูลเหล่านั้นมาวิเคราะห์ ออกรายงานต่างๆได้ เช่น รายงานการใช้งาน Internet, รายงานการเข้าใช้งานระบบ Web Application ในขณะที่ Log Centralized แท้ๆนั้นจะทำได้แค่เก็บข้อมูลดิบไว้ และ Export ออกมาเมื่อจำเป็นต้องใช้ (แบบดิบๆ)

อ่าวแล้ว SEM ละมันต่างจาก SIM ยังไง?

 ความแตกต่างหลักๆของ SIM และ SEM เลยคือข้อมูลที่เก็บครับ ในขณะที่ SIM จะเก็บข้อมูลทุกอย่าง SEM จะถูกออกแบบมาให้เก็บเฉพาะ “เหตุการณ์”  ที่น่าสนใจเท่านั้นครับ เช่น SIM จะเก็บข้อมูลของ User ทุกคนที่ Login เข้าระบบ แต่ SEM จะเก็บเฉพาะข้อมูล Login ของ User ที่เป็น Admin เท่านั้น หรือสนใจเฉพาะข้อมูลของเหตุการณ์ที่มีการ Login Failure เท่านั้น มันจึงถูกตั้งชื่อว่า SEM – Security Event Management นั่นเอง เพราะสนใจแค่เหตุการณ์ที่น่าสนใจเท่านั้น โดย SEM มักจะมาพร้อมกับ Predifine Rule ที่กำหนดไว้จากผู้ผลิตครับว่าจะตรวจจับเหตุการณ์อะไรบ้าง ซึ่งส่วนมากจะเป็นเหตุการณ์การโจมตีทาง Cyber ต่างๆ โดยบางครั้งก็อาจจะมี Feature ในการทำ Incident Response, Alert, Security Report หรือ Compliance Report ติดมาด้วย

ถึงตรงนี้น่าจะพอเดาได้แล้วใช่ไหมครับว่า SIEM คืออะไร

 ใช่แล้วครับมันคือ Security Information and Event Management นั่นเอง (เอาทุกอย่าง) ซึ่ง Concept ของตัวนี้ก็คือการนำ SEM และ SIM มารวมกันเป็นระบบเดียวกัน พูดง่ายๆคือ เก็บข้อมูล Log ทั้งหมดเหมือนที่ SIM ทำนั่นแหละ และก็นำข้อมูลเหล่านั้นบางส่วนมาวิเคราะห์ต่อด้วย Predefine Rule แบบ SEM ซึ่งตรงนี้จะช่วยให้ SIEM นั้นมีดีกว่า SEM ตรงที่ว่า ในบางครั้งการโจมตีทาง Cyber (โดยเฉพาะในยุคปัจจุบันนั้น) มักเกิดจากเหตุการณ์หลายๆเหตุการณ์ร่วมกัน และบางครั้งมีระยะเวลาการแฝงตัวนานหลายเดือนก่อนเกิดเหตุ มันจึงเป็นการยากมากๆครับ ที่เราจะกำหนดเหตุการณ์เฉพาะบางเหตุการณ์ที่สนใจและนำมาวิเคราะห์หาการโจมตี ดังนั้นหลายๆครั้งที่ข้อมูลที่เก็บเฉพาะเหตุการณ์ของ SEM นั้นไม่เพียงพอต่อการวิเคราะห์ ในขณะที่ SIEM นั้นมีข้อมูลครบถ้วนที่จะสามารถสร้างความสัมพันธ์ของเหตุการณ์ต่างๆได้ นั่นจึงทำให้หลายๆองค์กรที่มีความใส่ใจเรื่อง Cyber Security เลือกที่จะมีระบบ SIEM มากกว่าที่จะเป็น SEM แล้วอะไรที่เหมาะกับเรา?

สรุปแบบง่ายๆได้ดังนี้เลยครับ

  • ถ้าต้องการให้บริษัทเราถูกกฎหมาย พ... คอมพิวเตอร์ –> ไป Log Management เลยครับ
  • ถ้าต้องการนำข้อมูล Log มาใช้ประโยชน์ในด้านต่างๆ เช่น วิเคราะห์การใช้งาน Internet, การเข้าถึง Server เครื่องสำคัญ, ตรวจสอบการเปลี่ยนค่า Configure ต่างๆ  –> ต้อง SIM เลยครับ
  • ถ้าต้องการตรวจจับ Cyber Attack และเน้นเรื่อง Cyber Security –> ไป SIEM หรือ SEM ครับ
ร่วมติดตามข่าวสารข้อมูลกับทางเรา