การบริหารและการจัดการระบบแจ้งเตือนภัยในเครือข่ายยุคใหม่

ในปัจจุบันการดำเนินธุรกิจของทุกหน่วยงานทั่วทุกมุมโลกไม่ว่าจะเป็นภาครัฐหรือเอกชนต่างให้ความสำคัญกับความปลอดภัยของระบบเครือข่าย จนทำให้เกิดการกำหนดมาตรฐานสากลด้านความปลอดภัยเพื่อเป็นแม่แบบพื้นฐานเพื่อให้เกิดความปลอดภัยที่เป็นมาตรฐานเดียวกันทั่วโลกตัวอย่างเช่น ISO17799, BS7799 หรือ COBIT เป็นต้น

สำหรับในประเทศไทยได้ให้ความสำคัญ ทำการศึกษาและใช้งานในระดับเบื้องต้นเมื่อประมาณ 3-4 ปีที่ผ่านมาแล้ว โดยทำการศึกษารูปแบบการโจมตีที่เกิดขึ้นในช่วงแรกๆ คือการที่ไวรัสโจมตีเครื่องคอมพิวเตอร์เป็นส่วนใหญ่ ไม่ได้มุ่งเน้นไปที่ระบบเครือข่ายเหมือนเช่นในปัจจุบัน

ทุกวันนี้ระบบเครือข่ายไม่ว่าจะเล็กหรือใหญ่ก็ตาม อย่างน้อยควรจะติดตั้งอุปกรณ์ป้องกันเครือข่าย (Firewall) ในระบบทั้งสิ้น ถือว่าเป็นอุปกรณ์ที่มีความจำเป็นขั้นพื้นฐานในแต่ละองค์กร แต่ถ้าเป็นองค์กรขนาดกลาง หรือ องค์กรขนาดใหญ่ ระบบเครือข่ายก็จะมีขนาดใหญ่ตามไปด้วย รวมไปถึงระบบรักษาความปลอดภัยของเครือข่ายก็จะซับซ้อนมากขึ้นด้วยเช่นกัน

ทั้งนี้การออกแบบระบบรักษาความปลอดภัยที่มีขนาดกลางหรือใหญ่นั้น มักจะมีอุปกรณ์ที่เกี่ยวกับการรักษาความปลอดภัยมากมาย จนทำให้ผู้ที่มีหน้าที่ดูแลระบบต้องพบกับความยุ่งยากในการตรวจดูเหตุการณ์ต่างๆ ที่เกิดขึ้นในระบบ เมื่อเกิดเหตุการณ์ผิดปกติขึ้น ซึ่งบางครั้งมีจำนวนมากเกินความสามารถของผู้ดูแลจะสามารถทำได้ ดังนั้นจึงอาจทำให้เกิดการโจมตีในระบบเครือข่ายของแต่ละองค์กรขึ้น แต่ในความเป็นจริงแล้ว เรามักจะมาตรวจตราหลังจากที่เกิดปัญหาขึ้นในระบบ ซึ่งเป็นการกระทำในลักษณะ Re-Active

ปัจจุบันนี้ได้มีการคิดค้นเทคโนโลยีเพื่อช่วยในการแก้ปัญหาดังกล่าว เพื่อเข้ามาช่วยดูแลการโจมตีระบบเครือข่ายทั้งจากภายในและภายนอกองค์กร โดยทำการตรวจวิเคราะห์เหตุการณ์ที่เกิดขึ้นกับระบบได้อย่างรวดเร็วเพื่อการป้องกันการรุกรานระบบเครือข่ายได้อย่างทันท่วงทีดังตัวอย่างในตาราง

การตรวจดูเหตุการณ์ต่างๆ ที่เกิดขึ้นในระบบของเรานั้นมีความจำเป็นมาก เพราะจะทำให้เราพบปัญหาตั้งแต่จุดเริ่มต้น และเราสามารถแก้ไขได้เบื้องต้นได้ทันที ดังนั้นหัวใจหลักของระบบรักษาความปลอดภัยนั้นอยู่ที่ความสามารถขององค์กรในการแก้ปัญหาที่เกิดขึ้นกับระบบอย่างทันท่วงที (Pro-Active) ด้วยเหตุนี้ถ้าเราสามารถจัดการกับเหตุการณ์ต่างๆ ที่เกิดขึ้นในเครือข่ายได้อย่างมีระบบด้วยวิธีการดังต่อไปนี้จะส่งผลให้ระบบเกิดความปลอดภัยมากขึ้นเช่นกัน

1. การเก็บรวบรวมเหตุการณ์ต่างๆ ที่เกิดขึ้นในระบบ เช่น การแจ้งเตือนเมื่อมีอุปกรณ์ใหม่ๆ เข้ามาเชื่อมต่อกับระบบเครือข่ายของเรา
2. การจำแนก แยกแยะและวิเคราะห์เหตุการณ์ต่างๆ ที่เกิดขึ้นในระบบ เช่น การเรียงลำดับความสำคัญของปัญหาที่เกิดขึ้นตามที่เรากำหนด, การแจ้งเตือนของเหตุการณ์ที่มีความสัมพันธ์กันจากอุปกรณ์หลายๆ ตัวในระบบ, การรวบรวมเหตุการณ์ที่เหมือนๆ กันจากการแจ้งเตือนจากอุปกรณ์หลายๆ ตัวในระบบ เป็นต้น
3. การบริหารและจัดการข้อมูลต่างๆ ที่เกิดขึ้นในระบบ เช่น การแจ้งข้อมูลการเข้าใช้ระบบ, การเข้ารหัสของข้อมูลต่างๆ ที่มีความสำคัญในองค์กร เป็นต้น

ถ้าเราสามารถจัดการเหตุการณ์ที่เกิดขึ้นในระบบอย่างมีประสิทธิภาพ จะทำให้เราสามารถแก้ปัญหาได้ทันท่วงที ไม่ว่าปัญหาที่เกิดขึ้นนั้นจะมาจากระบบเครือข่าย, ระบบรักษาความปลอดภัยหรือ ระบบเครื่องแม่ข่าย ทำให้เราสามารถระบุที่มาของปัญหาว่าเกิดขึ้นเมื่อไหร่, ที่ไหน, เกิดขึ้นจากอะไร และกับใคร

ผลที่ได้รับทำให้เราสามารถป้องกันปัญหาต่างๆ ที่จะเกิดขึ้นในระบบของเราได้ เกิดความน่าเชื่อถือในการใช้งานสูง, ระบบมีความปลอดภัยมากขึ้น และการลงทุนเรื่องของการบริหารและการจัดการบุคคลากรในการดูแลรักษาระบบจะลดลง ซึ่งถือเป็นการเริ่มต้นที่ดีของผู้บริหารด้านไอที ที่ต้องการวางแผนงานในองค์กรให้มีความปลอดภัยพร้อมๆ กับการลงทุนที่คุ้มค่าในอนาคต