SIEM (Security Information and Event Management) และแผนตอบสนองเหตุการณ์ช่วยตรวจจับและจัดการภัยคุกคามได้อย่างรวดเร็ว
สถิติภัย SIEM/Incident ในไทย
- ในปี 2567 พบการโจมตีทางไซเบอร์ที่ซับซ้อนและเฉพาะเจาะจงมากขึ้น โดยมุ่งเป้าหมายที่มีมูลค่าสูง และมีการใช้เทคนิคที่ซับซ้อนมากขึ้น (ที่มา: แคสเปอร์สกี้, สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ)
องค์ประกอบของ SIEM
- Log Collection: รวบรวมข้อมูลจากอุปกรณ์ต่างๆ
- Event Correlation: เชื่อมโยงเหตุการณ์ที่เกี่ยวข้อง
- Real-time Monitoring: ตรวจสอบแบบเรียลไทม์
- Alert Management: จัดการการแจ้งเตือน
- Forensic Analysis: การวิเคราะห์เพื่อหาสาเหตุ
ขั้นตอนการตอบสนองเหตุการณ์
- Preparation: เตรียมความพร้อมและเครื่องมือ
- Identification: ระบุและยืนยันเหตุการณ์
- Containment: จำกัดขอบเขตของเหตุการณ์
- Eradication: กำจัดสาเหตุของเหตุการณ์
- Recovery: กู้คืนระบบให้กลับมาใช้งานได้
- Lessons Learned: เรียนรู้และปรับปรุง
ความคิดเห็น