ฟอร์ติเน็ต ผู้นำระดับโลกด้านไซเบอร์ซีเคียวริตี้ ที่ขับเคลื่อนการผสานรวมของระบบเครือข่ายและระบบรักษาความปลอดภัย เปิดเผยผลสำรวจใหม่ที่จัดทำโดย IDC เกี่ยวกับสถานการณ์การดำเนินงานด้านการรักษาความปลอดภัย ในหัวข้อ The State of Security Operations (SecOps) ในภาคพื้นเอเชียแปซิฟิก ซึ่งสนับสนุนการจัดทำโดยฟอร์ติเน็ต โดยผลสำรวจได้ให้ข้อมูลเชิงลึกที่มีค่าเกี่ยวกับภาพรวมของ SecOps ในปัจจุบัน ที่เน้นถึงบทบาทของ AI และระบบอัตโนมัติ โดยทำการศึกษาในหลายแง่มุม ไม่ว่าจะเป็นแนวทางปฏิบัติด้านการรักษาความปลอดภัยที่ใช้กันแพร่หลาย ความถี่และผลกระทบ รวมถึงระยะเวลาในการตรวจจับและดำเนินการตอบโต้ ความเหนื่อยล้าจากการแจ้งเตือนที่มากเกิน (Alert Fatigue) รวมถึงสถานภาพและผลกระทบของระบบอัตโนมัติในเวิร์กโฟลว์ของ SecOps ตลอดจนความท้าทายที่เกี่ยวข้องกับการพัฒนาทักษะด้าน SecOps ทั้งนี้ผลที่ได้จากการสำรวจในประเทศไทยยังรวมถึงประเด็นต่างๆ ที่น่าสนใจดังต่อไปนี้
ความท้าทายของการรักษาความปลอดภัยในปัจจุบัน กับความพร้อมของทีมงานและภัยคุกคามต่างๆ
- ภัยคุกคามทางไซเบอร์ที่พบมากที่สุด ฟิชชิ่ง และการขโมยข้อมูลส่วนตัวคือภัยคุกคามทางไซเบอร์ที่ส่งผลมากที่สุด ซึ่งองค์กรเกือบ 50% จัดอันดับให้ภัยคุกคามดังกล่าวเป็นความกังวลใจอันดับต้น โดยภัยคุกคามห้าอันดับแรก ได้แก่ ฟิชชิ่ง การขโมยข้อมูลส่วนตัว แรนซัมแวร์ ช่องโหว่ที่ยังไม่ได้รับการแก้ไข และการโจมตีอุปกรณ์ IoT ซึ่งภาพรวมภัยคุกคามจะแตกต่างกันไปตามแต่ละประเทศ
- การขยายตัวอย่างรวดเร็วของแรนซัมแวร์ โดยเหตุการณ์โจมตีด้วยแรนซัมแวร์ ในประเทศไทยขยายเพิ่มถึงสองเท่าตัว องค์กรจำนวน 56% รายงานถึงการเพิ่มขึ้นอย่างน้อยสองเท่าตัวในปี 2023 เมื่อเทียบกับปี 2022 ทั้ง
ฟิชชิ่งและมัลแวร์คือวิธีหลักในการโจมตี ส่วนการโจมตีที่มีนัยสำคัญอื่นๆ ได้แก่การโจมตีด้วยการหลอกลวงโดยใช้จิตวิทยาทางสังคม (Social Engineering) ภัยคุกคามจากในองค์กร และการเจาะช่องโหว่ Zero-day
- ภัยคุกคามจากในองค์กร และการทำงานระยะไกล โดย 80% ของผู้ร่วมการสำรวจรู้สึกว่าการทำงานระยะไกลทำให้เกิดเหตุคุกคามในองค์กรเพิ่มขึ้น การฝึกอบรมที่ไม่เพียงพอ ขาดการดูแลเอาใจใส่พนักงาน รวมถึงสื่อสารไม่เพียงพอ ทำให้การโจมตีดังกล่าวเพิ่มขึ้น เน้นให้เห็นถึงความจำเป็นในการจัดการเรื่องของคนในการรักษาความปลอดภัยทางไซเบอร์
- การจัดหาทีมรักษาความปลอดภัยไอที มีองค์กรธุรกิจทั่วเอเชียเพียง 50% ที่จัดพนักงานไอทีเพื่อตั้งเป็นทีมรักษาความปลอดภัยโดยเฉพาะ ทำให้มีความท้าทายเพิ่มขึ้นในการที่ต้องเสริมประสิทธิภาพเรื่องมาตรการรักษาความปลอดภัยอย่างจริงจัง
- ผลกระทบจากเทคโนโลยีเกิดใหม่ ทั้งการทำงานแบบไฮบริด/การผสานรวมระหว่างไอที และโอที ทำให้เกิดความท้าทายสำคัญ การนำเทคโนโลยีคลาวด์มาใช้ถือเป็นความท้าทายหลัก ที่ส่งผลกระทบถึงความสามารถในการมองเห็นภัยคุกคามทางไซเบอร์ที่เกิดขึ้นในองค์กร
SecOps SOS กับการต่อสู้กับความเหนื่อยล้าจากการแจ้งเตือนที่มากเกิน และการควบคุมภัยคุกคาม
- การเตรียมพร้อมและควบคุมภัยคุกคาม ประมาณครึ่งหนึ่ง (52%) ขององค์กรที่เข้าร่วมการสำรวจ แสดงความกังวลถึงความไม่พร้อมในการควบคุมภัยคุกคาม ความไม่พอใจในประเด็นนี้ ย้ำถึงความจำเป็นในการเสริมศักยภาพด้านการรักษาความปลอดภัยไซเบอร์ เพื่อต่อสู้กับภัยคุกคามที่มีพัฒนาการต่อเนื่องได้อย่างมีประสิทธิภาพ และเรื่องน่าตกใจก็คือ สามในสี่ขององค์กรไม่ได้มีการประเมินความเสี่ยงอย่างเป็นประจำ ทำให้ความท้าทายเรื่องการตรวจจับภัยคุกคามได้ทันเวลากลายเป็นปัญหาใหญ่ขึ้น
- ความเหนื่อยล้าจากการแจ้งเตือนที่มากเกิน (Alert Fatigue) กว่า 50% ขององค์กรที่เข้าร่วมการสำรวจเคยประสบกับเหตุการณ์ภัยคุกคามโดยเฉลี่ย 221 ครั้งต่อวัน และสองในห้าขององค์กรต้องรับมือกับเหตุการณ์ที่มากถึง 500 ครั้งต่อวัน นำไปสู่ความเหนื่อยล้าจากการได้รับการแจ้งเตือนจำนวนมาก ซึ่งการแจ้งเตือนสองอันดับต้นคือเรื่องการตรวจจับมัลแวร์หรือไวรัส และบัญชีโดนปิดล็อคการใช้งาน (Accounts Lockouts) เน้นให้เห็นถึงความจำเป็นในการจัดฝึกอบรมโดยมุ่งไปที่การสร้างการรับรู้ นอกจากนี้ อีเมลที่น่าสงสัย (ฟิชชิ่ง) รวมถึงพฤติกรรมที่น่าสงสัยของผู้ใช้งาน และความพยายามในการล็อกอินที่ล้มเหลวหลายครั้ง มีส่วนทำให้เกิดความเหนื่อยล้าในเรื่องนี้เช่นกัน
- ข้อจำกัดด้านเวิร์กโหลดและเวลา โดยเฉลี่ยจะมีผู้เชี่ยวชาญด้าน SecOps อยู่แค่หนึ่งคนจากจำนวนพนักงานทุก 219 คน ซึ่งผู้เชี่ยวชาญแต่ละคนต้องจัดการกับการแจ้งเตือนประมาณ 35 ครั้งต่อวัน ทำให้เวิร์กโหลดเรื่องนี้กลายเป็นความกดดันหลักของบรรดาผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ เพราะต้องใช้เวลาประมาณ 14 นาทีในการจัดการกับการแจ้งเตือนแต่ละครั้งตลอดระยะเวลา 8 ชั่วโมงของการทำงานในแต่ละวัน ข้อจำกัดด้านเวลาจึงเน้นให้เห็นความจำเป็นเรื่องของกระบวนการทำงานที่มีประสิทธิภาพ รวมถึงเรื่องระบบอัตโนมัติ และการจัดลำดับความสำคัญเพื่อจัดการเวิร์กโหลดได้อย่างมีประสิทธิภาพ
- การรายงานผลลัพธ์ที่ผิดพลาด และเวลาในการตอบสนอง ความท้าทายเรื่องการรายงานผลลัพธ์ที่ผิดพลาดยังมีอยู่ โดยผู้ตอบแบบสอบถามจำนวน 60% สังเกตว่าอย่างน้อย 25% ของการแจ้งเตือนที่ได้รับเป็นการรายงานที่ผิดพลาด ทั้งการแจ้งเตือนความปลอดภัยของอีเมล/ฟิชชิ่ง การแจ้งเตือนเกี่ยวกับทราฟฟิคของอีเมลที่เพิ่มขึ้นรวดเร็ว รวมถึงการแจ้งเตือนเกี่ยวกับการ Lockout ของบัญชีที่ใช้งาน เหล่านี้คือเรื่องหลักที่มีการรายงานพลาด
- การพัฒนาทักษะ 98% ของผู้ตอบแบบสอบถามพบว่าการพัฒนาทักษะของทีมเพื่อให้ทันกับภาพรวมภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็วถือเป็นความท้าทาย ผู้ตอบแบบสำรวจให้ความสำคัญกับความสามารถในการดำเนินงานได้แบบอัตโนมัติ (62%) ว่าเป็นทักษะสำคัญสำหรับทีม SOC (Security Operations Centre) โดยเน้นถึงความสำคัญของระบบอัตโนมัติในการรักษาความปลอดภัยทางไซเบอร์ ควบคู่ไปกับความสามารถในการจัดการงานได้หลายอย่างพร้อมกันและการคิดเชิงวิพากษ์ (Critical Thinking) เหล่านี้คือทักษะการพัฒนาที่จำเป็นต่อการรับมือกับภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็วตลอดเวลา
ระบบอัตโนมัติใน SecOps กับการใช้งานในปัจจุบันและความเป็นไปได้ในอนาคต
- นำไปใช้งานกันมาก และก็มีศักยภาพที่ยังไม่ถูกใช้ องค์กรส่วนใหญ่ (96%) นำระบบอัตโนมัติและเครื่องมือในการจัดการและควบคุม (Orchestration Tools) มาใช้ในการดำเนินการด้านการรักษาความปลอดภัย ซึ่งเน้นให้เห็นว่าระบบดังกล่าวได้รับการยอมรับอย่างแพร่หลายในเรื่องของคุณค่าที่ช่วยเสริมความแข็งแกร่งให้กับกลยุทธ์ด้านการรักษาความปลอดภัยไซเบอร์ แม้ว่าจะมีการใช้เครื่องมือที่เป็นระบบอัตโนมัติกันอย่างแพร่หลาย แต่ผลการสำรวจชี้ว่าองค์กรยังไม่สามารถใช้ศักยภาพของเทคโนโลยีเหล่านี้ได้อย่างเต็มที่ โดยได้ระบุถึงโอกาสในการปรับปรุงด้านต่างๆ อย่างการตรวจจับและการตอบสนองในรูปแบบของการสตรีมมิ่ง (Streaming Response Triage) การควบคุมเหตุการณ์ การแก้ไขและการกู้คืน รวมถึงการจำกัดภัยคุกคาม
- ผลลัพธ์ที่ได้ ประมาณ 93% ของผู้ตอบแบบสำรวจมีประสบการณ์ในการได้รับผลลัพธ์ที่ดีขึ้น โดยระบบอัตโนมัติช่วยปรับปรุงเวลาในการตรวจจับเหตุการณ์คุกคามได้เร็วขึ้นอย่างน้อย 25%
- แผนงานในอนาคตและบริเวณที่มุ่งเน้นเพื่อเพิ่มประสิทธิภาพ หลายองค์กรกำลังมุ่งเน้นที่การเพิ่มประสิทธิภาพกระบวนการทำงานอัตโนมัติอย่างจริงจัง เพื่อสร้างกรอบการทำงานด้านการรักษาความปลอดภัยไซเบอร์ที่คล่องตัวมากขึ้น เมื่อมองไปข้างหน้า ทุกองค์กร (100%) ทั่วเอเชียแปซิฟิกแสดงเจตนารมณ์ในการติดตั้งระบบอัตโนมัติและเครื่องมือควบคุมการทำงานภายใน 12 เดือนข้างหน้า โดยในเชิงกลยุทธ์ องค์กรเหล่านี้กำลังมุ่งเน้นที่การนำเครื่องมือในระบบอัตโนมัติมาใช้ในการตรวจจับและตอบสนองแบบสตรีมมิ่ง เพื่อเร่งให้สามารถควบคุมเหตุการณ์ที่เกิดขึ้นได้อย่างรวดเร็ว พร้อมกู้คืนได้เร็วที่สุด
เหนือภัยคุกคาม คือการเตรียมความพร้อมให้ SecOps และจัดลำดับความสำคัญในอนาคต
- การตรวจจับภัยคุกคามและตอบสนองได้เร็วขึ้น คือสิ่งสำคัญ หลายองค์กรตระหนักดีถึงบทบาทสำคัญของระบบอัตโนมัติที่ให้ศักยภาพการตรวจจับและตอบสนองต่อภัยไซเบอร์ได้อย่างรวดเร็วและมีประสิทธิภาพ ซึ่งสะท้อนให้เห็นถึงแนวทางเชิงรุกในการสนับสนุนเรื่องความยืดหยุ่นด้านความปลอดภัยในองค์กร ผลสำรวจชี้ว่า 70.7% ขององค์กรทั่วเอเชียแปซิฟิกให้ความสำคัญเรื่องการตรวจจับภัยคุกคามได้เร็วขึ้น ในขณะที่ 58.8% มองหาวิธีเพิ่มความสามารถในการตรวจจับภัยคุกคามโดยรวมด้วยระบบอัตโนมัติ
- ระบบอัตโนมัติแบบองค์รวมเพื่อยกระดับการรักษาความปลอดภัยให้ดีขึ้น กว่า 50% ของผู้ตอบแบบสอบถามกล่าวว่าความสามารถหลักของระบบอัตโนมัติ คือการเพิ่มความสามารถในการมองเห็น ตอบสนองได้อัตโนมัติ และรู้เท่าทันภัยคุกคาม รวมถึงช่วยเพิ่มประสิทธิภาพให้กับทรัพยากรด้านการรักษาความปลอดภัยที่มีอยู่ และให้ความรู้เท่าทัน โดยการมุ่งเน้นที่ระบบอัตโนมัติแบบองค์รวม คือแนวทางการดำเนินการด้านความปลอดภัยที่ครอบคลุม โดยผสมผสานเรื่องการเพิ่มประสิทธิภาพในการรู้เท่าทันภัยคุกคามพร้อมตอบสนองได้แบบอัตโนมัติ แนวทางดังกล่าวมุ่งเน้นเพื่อปรับปรุงประสิทธิภาพโดยรวม ให้ความสามารถในการมองเห็นและนำความรู้เท่าทันมาใช้ประโยชน์เพื่อรับมือกับความท้าทายในการรักษาความปลอดภัยไซเบอร์แบบไดนามิก
- ลำดับความสำคัญในการรักษาความปลอดภัยในอนาคต องค์กรมากมายต่างมุ่งเน้นความสำคัญที่การลงทุนด้านการดำเนินการรักษาความปลอดภัยใน 12 เดือนข้างหน้า โดยความสำคัญ 5 อันดับแรก ได้แก่การเพิ่มความปลอดภัยของเครือข่ายและอุปกรณ์ปลายทางหรือ Endpoint การสร้างศักยภาพให้พนักงานเรื่องการรับรู้เกี่ยวกับภัยไซเบอร์ การยกระดับการตามล่าหาภัยคุกคามและการตอบสนอง การอัปเดตระบบงานสำคัญ และการตรวจสอบการทำงานของระบบรักษาความปลอดภัย ลำดับความสำคัญเรื่องเหล่านี้ สอดคล้องกับภาพรวมภัยคุกคามที่มีการพัฒนาตลอดเวลา และเน้นความสำคัญของการมุ่งเน้นเชิงกลยุทธ์เรื่องมาตรการดูแลความปลอดภัยไซเบอร์ที่ครอบคลุม
ไซมอน พิฟฟ์ รองประธานฝ่ายวิจัย ไอดีซี เอเชียแปซิฟิก กล่าวว่า “การรักษาความปลอดภัยระบบโครงสร้างพื้นฐานไอทีที่ทันสมัย ต้องอาศัยความมุ่งมั่นอย่างต่อเนื่องในการเฝ้าระวัง มีการดำเนินการเชิงรุก และสามารถปรับตัวรับความท้าทายจากการทำงานแบบไฮบริด AI และการใช้เทคโนโลยีคลาวด์ ซึ่งการเปลี่ยนแปลงอย่างรวดเร็วจากการควบคุมการทำงานแบบเดิม เป็นการรักษาความปลอดภัยไซเบอร์ที่เน้นเรื่องความเสี่ยง นับว่าสอดคล้องกับภาพรวมด้านเทคโนโลยีที่พัฒนาไปอย่างต่อเนื่อง โดยผลการสำรวจชี้ว่า การผสานการทำงานร่วมกันระหว่างเครื่องมือที่ใช้ความสามารถของ AI และมีการประเมินคนทำงาน มีการเอาท์ซอร์สงานบางส่วน พร้อมนำระบบอัตโนมัติมาใช้เพิ่มขึ้น เหล่านี้เน้นให้เห็นถึงความเร่งด่วนที่องค์กรจำเป็นต้องนำระบบอัตโนมัติมาใช้ในเชิงกลยุทธ์
ภัคธภา ฉัตรโกเมศ ผู้จัดการประจำประเทศไทย ฟอร์ติเน็ต ประเทศไทย กล่าวว่า ภาพรวมการรักษาความปลอดภัยทางไซเบอร์มีพัฒนาการไปไกลกว่าที่ผ่านมามาก 70.7% ขององค์กรให้ความสำคัญกับการตรวจจับภัยคุกคามได้เร็วขึ้นด้วยระบบอัตโนมัติ ที่ฟอร์ติเน็ต เราตระหนักดีถึงความจำเป็นในการตรวจจับและตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วซึ่งเป็นรากฐานสำคัญของการยกระดับมาตรการในการรักษาความปลอดภัยให้เหนือชั้น ระบบอัตโนมัติจึงมีบทบาทสำคัญในการระบุหาและตอบสนองต่อภัยคุกคามได้อย่างทันท่วงที ช่วยลดช่องโหว่ในการละเมิดได้มาก ประสบการณ์ที่ลูกค้าเราเคยเจอเน้นถึงความจำเป็นเร่งด่วนในการลดเวลาการตรวจจับ จากโดยเฉลี่ย 21 วัน เหลือแค่เพียงหนึ่งชั่วโมง ซึ่งขับเคลื่อนด้วยระบบ AI และการวิเคราะห์ขั้นสูง เรื่องนี้แสดงให้เห็นขั้นตอนที่เป็นพื้นฐานสำคัญในการเสริมความแข็งแกร่งให้กับการป้องกันเพื่อรักษาความปลอดภัยทางไซเบอร์ โดยเรื่องของเวลาในการตรวจจับและตอบสนองคือสิ่งสำคัญอย่างยิ่ง จึงทำให้ระบบอัตโนมัติมีความสำคัญยิ่งในการรับมือกับความท้าทายของภัยคุกคามในปัจจุบันที่เปลี่ยนแปลงอย่างรวดเร็วตลอดเวลา
ดร. รัตติพงษ์ พุทธเจริญ ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ ฟอร์ติเน็ต ประเทศไทย กล่าวว่า ด้วยภาพรวมของภัยคุกคามที่พัฒนาไปไกลมาก องค์กรต่างๆ ต้องรับมือกับภัยไซเบอร์หลายรูปแบบที่มุ่งเป้าที่สินทรัพย์ดิจิทัล โดยโซลูชันด้านการดำเนินงานในการรักษาความปลอดภัยของฟอร์ติเน็ต สนับสนุนการทำงานด้วยระบบ AI ขั้นสูง นอกจากจะตอบโจทย์ความจำเป็นเร่งด่วนเรื่องระบบอัตโนมัติแล้ว ยังให้กลยุทธ์ที่ครอบคลุมในการตรวจจับและตอบสนองต่อเหตุการณ์ที่เกิดขึ้น ความมุ่งมั่นของฟอร์ติเน็ตในการสร้างขุมพลังให้กับองค์กรในการควบคุมการรักษาความปลอดภัยไซเบอร์แบบไดนามิก สะท้อนอยู่ในโซลูชันนวัตกรรมของเรา ที่ใช้เวลาในการตรวจจับและจำกัดการคุกคามได้อย่างน่าประทับใจ ด้วยเวลาแค่หนึ่งชั่วโมงโดยเฉลี่ย (ในหลายกรณีน้อยกว่านั้น) และใช้เวลาในการตรวจสอบและแก้ไขแค่ 11 นาทีโดยเฉลี่ย ให้ ROI สูงถึง 579% ช่วยเพิ่มประสิทธิภาพให้ทีมงานได้ถึงสองเท่า และคาดว่าช่วยลดค่าใช้จ่ายจากการละเมิดได้มากถึง 1.39 ล้านเหรียญสหรัฐ