"ความท้าทายสำคัญในการรับมือกับ ภัยไซเบอร์ ซึ่งไม่ใช่เฉพาะบ้านเราเท่านั้น แต่เป็นความท้าทายของ  ทุกประเทศทั่วโลกนั่นคือ ปัญหาการขาดแคลนบุคลากรที่มีความรู้ ความสามารถ และความชำนาญ แม้ว่าจะมีความพยายามแก้ปัญหานี้โดยการเร่งผลิตทรัพยากรบุคคล"
เรียกว่าแทบทุกมหาวิทยาลัยจะมีหลักสูตรด้านนี้ รวมถึงศูนย์ฝึกอบรมระยะสั้น ตลอดจนการเรียนผ่าน online ฯลฯ แต่ก็ยังไม่เพียงพอต่อความต้องการอยู่ดี จากผลสำรวจของ (ISC)2* พบว่าในปีพ.ศ. 2565    มีตำแหน่งงานด้านความมั่นคงปลอดภัยไซเบอร์ที่ว่าง ยังไม่สามารถหาคนมาลงได้ถึง 3.4 ล้านตำแหน่ง    ทั่วโลก 

ความท้าทายนี้เริ่มตั้งแต่การสรรหา การพัฒนา ตลอดจนการรักษาบุคลากรที่มีประสบการณ์ให้ทำงานอยู่กับเราสู้กับการแย่งชิงตัวพนักงานทำให้ค่าใช้จ่ายด้านบุคลากรสูงขึ้นอย่างมากนอกจากนี้ปัญหาที่แทรกซ้อนขึ้นมาคือแม้จะมีความก้าวหน้าของเครื่องมือและเทคโนโลยีด้านการป้องกันภัยไซเบอร์แต่หากเราไม่สามารถสรรหาบุคลากรเก่ง ๆ มาใช้เทคโนโลยีดังกล่าวได้ การลงทุนนั้นก็ไม่คุ้มค่าและไม่สามารถลดความเสี่ยงจากภัยไซเบอร์ลงไปได้ ผลของการขาดแคลนบุคลากร ทำให้องค์กรส่วนใหญ่ตกอยู่ในความเสี่ยง และกำลังเดินเข้าสู่วังวนแห่งหายนะ (vicious cycle)  กล่าวคือ  เมื่อมีบุคลากรไม่เพียงพอ ทำให้บุคลกรที่มีอยู่ต้องรับภาระทำงานยาวขึ้นในแต่ละวัน ไม่สามารถหาวันลาพักผ่อนหรือวันหยุดได้ ประกอบกับภัยคุกคาม ที่เพิ่มสูงขึ้น เป็นแรงกดดันให้เกิดภาวะ burnout หมดพลัง หมดไฟ และหมดแรงจูงใจให้สู้กับงาน จึงทยอยลาออกจากงานไป หลายคนถึงกับเปลี่ยนอาชีพไปเลยก็มี ภาระงานนี้จึงตกไปอยู่ในความรับผิดชอบของพนักงาน  
ที่เหลือ อันนำไปสู่วังวนแห่งหายนะดังกล่าว

ทางแก้หรือหนทางบรรเทาปัญหาแบบกำปันทุบดินก็คือ ปรับปรุงระบบการสรรหาและการพัฒนาบุคลากร นอกจากนี้ยังต้องมีกลไกการบริหารความเสี่ยง และต้องมีศูนย์ปฏิบัติการด้านความมั่นคงปลอดภัยไซเบอร์   
ที่เหมาะสม (A Fully Optimized Security Operations Center, SOC) เช่นกัน ศูนย์ SOC ที่มีประสิทธิภาพและมีประสิทธิผลซึ่งปรกติ      จะต้องปฏิบัติงานแบบ 7x24x365 จำเป็นต้องมีบุคลากรที่มีความรู้และทักษะที่ถูกต้อง เหมาะสม ทั้งปริมาณและคุณภาพ มีกระบวนการ และเทคโนโลยีที่ทันสมัย (people, process, technology)
"ถึงแม้จะมีตัวช่วยอย่างระบบ AI ก็ยังจำเป็นต้องมีบุคลากรที่เป็นนักวิเคราะห์ (security analysts)       มาเติมเต็มในส่วนที่ AI ไม่รองรับอยู่ดี"

เพราะความสามารถของมนุษย์ที่เหนือกว่า AI คือความเฉลียวฉลาด จินตนาการ และประสบการณ์ช่วย 
ในการค้นหาแบบแผนและสิ่งผิดปรกติที่เกิดขึ้นรองรับความเป็นพลวัตมีการเปลี่ยนแปลงตลอดเวลาประกอบกับความซับซ้อนของระบบเทคโนโลยีสารสนเทศที่เปิดช่องทางการโจมตีมากขึ้น(attack surface) ตลอดจนจำนวนและวิธีการของภัยคุกคามจากแฮกเกอร์ที่พัฒนาลำหน้าอยู่ตลอดเวลา(Tactics,
Techniques, Procedures, TTPs)
         นักวิเคราะห์ความปลอดภัยไซเบอร์ในแต่ละวันต้องทำอะไรบ้าง
         1) เฝ้าสังเกตุและค้นหาเห็นการณ์ที่น่าสงสัยและกิจกรรมที่ผิดปรกติ
         2) ตรวจสอบเหตุการณ์น่าสงสัยประกอบข้อมูลข่าวกรองด้านภัยคุกคาม (Threat Intelligence)
         3) บริหารการตอบสนองต่อภัยคุกคาม
         4) ปรับแก้สัญญาณเตือนที่ผิดพลาดให้ลดลง (reduce faults positive)
         5) ติดตามข่าวสารและเรียนรู้ภัยคุกคามรูปแบบใหม่ ๆ
         6) ตรวจสอบบันทึกที่รวบรวมมา
         7) ทำรายงานการเปลี่ยนแปลงต่าง ๆ
         8) สื่อสารเหตุการณ์ภัยไซเบอร์ไปยังผู้ที่เกี่ยวข้อง เป็นต้น
ส่วนปัญหาพื้นฐานที่ทีมงาน SOC พบเจอ ได้แก่
1) นักวิเคาะห์เกิดความล้าจากสัญญาณเตือน (alert fatigue) ที่มีมากเกินไปจากเครื่องมือด้านความปลอดภัยไซเบอร์จำนวนมาก ทำให้ความสามารถในการเชื่อมโยงหาความสัมพันธ์และค้นหาภัยคุกคามจริง ๆ เป็นไปได้ยากขึ้น เหมือนสุภาษิตที่ว่า “งมเข็มในมหาสมุทร” ปานนั้นเลย
2) ความหลากหลายของเครื่องมือและเทคโนโลยีที่นำมาใช้ เริ่มที่ระบบอัตโนมัติต่าง ๆ เพื่อแก้ปัญหาการขาดแคลนบุคลากร เช่น ระบบวิเคราะห์พฤติกรรมผู้ใช้ (User Entity Behavior Analytics, UEBA) ระบบประสานความปลอดภัยและดำเนินการเพื่อตอบสนองแก้ไขภัยคุกคามแบบอัตโนมัติ (Security 
Orchestration, Automation, and Response, SOAR) ตลอดจนเทคโนโลยีในการป้องกันภัยคุกคามอีกหลายหลายประเภท เช่น NG-Firewall, IDS/IPS, EDR/XDR,…
3) ข้อปฏิบัติตามกฏระเบียบควมคุมและการบริหารความเสี่ยง (Security Compliance & Risk Management)
 
ดังนั้นแต่ละองค์กรคงต้องชั่งนำหนักหลาย ๆ ด้านในการเลือกรูปแบบ SOC ให้เหมาะสมตามความเสี่ยงกฏระเบียบที่ถูกกำกับดูแล มูลค่าสินทรัพย์ดิจิทัล บุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ที่สรรหาได้          ตลอดจนความสามารถในการจัดสรรงบประมาณทั้งแบบงบดำเนินการและงบลงทุน ที่สำคัญคือต้องมี   
งบประมาณอย่างเพียงพอในการลดความเสี่ยงและผลกระทบ หากโชคร้ายต้องเจอกับภัยคุกคามทางไซเบอร์ ทั้งนี้รูปแบบ SOC ที่นิยมใช้ในปัจจุบันซึ่งช่วยลดปัญหาด้านความขาดแคลนบุคลากรโดยเฉพาะองค์กรขนาดกลางถึงย่อม (SMEs) ที่มีงบประมาณจำกัด ก็คือ Co-Managed SOC โดยใช้บริการจากผู้ให้บริการ 2 ประเภทหลัก ๆ คือ Managed Security Service Provider, MSSP หรือ Managed Detection & Response, MDR

ทั้งนี้ Co-Managed SOC จะเป็นการแบ่งปันจัดสรรความรับผิดชอบระหว่างผู้ให้บริการและองค์กรในระดับที่เหมาะสมโดยมีงบประมาณและทรัพยากรบุคคลเป็นตัวกำหนดขอบเขตความรับผิดชอบภายใต้สัญญาระดับบริการ (SLAs) ตามที่องค์กรต้องการ ส่วนองค์กรขนาดใหญ่ที่มีงบประมาณเพียงพอ และสามารถดึงดูดบุคลากรที่มีความรู้ ความสามารถ ก็มักเลือกแบบ Dedicated SOC โดยสร้างลงทุน และดำเนินการบริหารและสรรหาบุคลากรเต็มรูปแบบด้วยตัวองค์กรเอง

สรุปแนวทางการสร้างศูนย์รักษาความมั่นคงปลอดภัยไซเบอร์ (SOC) องค์กรมีทางเลือก 3 ทาง คือ
1) สรรหาและพัฒนาบุคลากรและลงทุนสร้างศูนย์ SOC ด้วยองค์กรเองทั้งหมด
2) สรรหาและพัฒนาบุคลากรบางส่วนเพื่อมาทำงานร่วมกับ MSSP ตามขอบเขตและระดับบริการ   
ที่เหมาะสม และ
3) ใช้บริการจาก MDR Provider โดย outsourced งาน SOC หลักทั้งหมดออกไป 7x24/365
 
ทั้งนี้องค์กรไม่ว่าจะลือกรูปแบบหนึ่งในสามแบบข้างต้น ก็ควรจะมีทีมงานในการฟื้นฟู (Recover) หากเกิดเหตุสุดวิสัยจากภัยคุกคามทางไซเบอร์ เพื่อให้องค์กรดำรงความสามารถในการดำเนินธุรกิจอย่างต่อเนื่องต่อไปตามแนวคิด Cyber Resilience นั่นเอง

ที่มา : https://www.bangkokbiznews.com/tech/gadget/1070884 
Reference:
* (ISC)2 Cybersecurity Workforce Study 2022: A Critical Need for Cybersecurity Professionals Persists Amidst a Year of Cultural and Workplace Evolution
Overcoming the Security Talent Shortage: Practical Staffing Strategies for Security Leaders, deepwatch & Splunk