Blue Team คืออะไร? แล้วทำงานอะไรบ้างใน Cybersecurity

ช่วงนี้บ้านเรา MSSP ขึ้นมาใหม่กันมาหลายเจ้าเลยทีเดียว โดยมี SIEM ที่ใช้เป็นระบบหลังบ้านให้ลูกค้าเลือกหลากหลายยี่ห้อด้วย ทั้ง Splunk, ArcSight, Elastic, IBM แต่ละบริษัทก็ประกาศรับคนกันระรัวเลย ซึ่งน้อยคนนักที่จะมาทำงานในสายนี้ เนื่องจากในบ้านเราเน้นปั้น Redteam หรือเหล่า pentester เป็นส่วนใหญ่ จะเห็นว่าแต่ละปี มีงาน Capture The Flag(CTF) หลายงานให้น้องๆได้ทดสอบความสามารถไปล่ารางวัลกัน จนทุกคนจะได้ยินคำว่า “Redteam” หรือ “Pentester” กันจนติดหูซะมากกว่า ผมเลยอยากเล่าในมุมคนป้องกันหรือ Blue Team บ้าง

Blue Team คืออะไร?

เป็นทีมที่จะรับผิดชอบเรื่องการตรวจจับ รับมือ และป้องกันภัยคุกคามทางไซเบอร์

Blue Team นั้นจะแบ่งเป็น 2 มุมมอง ดังนี้
- Blue Team ขององค์กรทั่วไป (Enterprise, SME)
- Blue Team ของผู้ที่ให้บริการดูแลรักษาความปลอดภัยข้อมูลองค์กรและป้องกันภัยจากอินเทอร์เน็ต (MSSP)

Blue Team ขององค์กรทั่วไป (Enterprise, SME)

โดยส่วนใหญ่หากอยู่ตามองค์กร ก็จะเป็นทีม Cyber Security/IT Security ขององค์กรนั้นๆ นั่นเอง ซึ่งหน้าที่คร่าวๆ ส่วนใหญ่ก็จะหนีไม่พ้น ดังนี้

• Log Collection: กำกับดูแลและเก็บ Log ตามอุปกรณ์ต่างๆ ขององค์กรให้เป็นไปตามพรบ. คอมพิวเตอร์
• Incident Detection: ตรวจจับการโจมตีทางไซเบอร์ต่างๆ ที่เกิดขึ้นกับองค์กร
• Incident Response: ดำเนินการรับมือและจัดการกับการโจมตีไซเบอร์ที่เกิดขึ้นกับองค์กรตามแนวทางที่วางไว้
• Threat Hunting: คิดหากระบวนการในตรวจจับภัยคุกคามใหม่ๆ ที่เกิดขึ้นในปัจจุบัน อย่างตัวอย่างที่เขียนไปก่อนหน้า
  SIEM — Indicator Of Attack(IoAs) : ตัวบ่งชี้การโจมตีทางไซเบอร์ [Part 1/2]
  SIEM — Indicator Of Attack(IoAs) : ตัวบ่งชี้การโจมตีทางไซเบอร์ [Part 2/2]

Use Case Framework

• Threat Intelligence: ติดตามข่าวสารเกี่ยวกับช่องโหว่ของ Technology ที่องค์กรใช้, การโจมตีทางไซเบอร์ที่มีเป้าหมายเป็นธุรกิจเดียวกับองค์กรตัวเอง หรือ malware ที่มีการระบาดเป็นจำนวนมาก เช่น wannacry, maze ransomware เป็นต้น

Blue Team ของผู้ที่ให้บริการดูแลรักษาความปลอดภัยข้อมูลองค์กรและป้องกันภัยจากอินเทอร์เน็ต (MSSP)

หากเป็น Blue Team ฝั่ง MSSP นั้น หน้าที่ส่วนใหญ่ก็จะเป็นการตรวจจับภัยคุกคามและตอบสนองแจ้งไปยังลูกค้าอย่างทันท่วงที โดยมีตำแหน่งหลักๆ ดังนี้

• Security Analyst Level-1/Alert Analyst/SOC Tier1
  ทำหน้าที่ดูแลระบบอย่างต่อเนื่อง โดยจะเฝ้าระวังและวิเคราะห์ภัยคุกคามด้านความมั่นคงปลอดภัยทางไซเบอร์จากระบบต่างๆ เช่น การบุกรุกระบบเครือข่าย, การบุกรุกเครื่องเซิร์ฟเวอร์หรือเครื่องแม่ข่ายที่สำคัญขององค์กร, การแพร่กระจายของมัลแวร์และพฤติกรรมที่ผิดปกติของพนักงานภายในองค์กร ให้เป็นไปตาม SLA
• Security Analyst Level-2/Incident Responder/SOC Tier2
  - ทำหน้าที่วิเคราะห์พฤติกรรมหรือรูปแบบของข้อมูลเป็นภัยคุกคามทางไซเบอร์เชิงลึก เชื่อมโยงข้อมูลจากหลายแหล่งเข้าด้วยกัน และคอยให้คำแนะนำในการตอบสนองและแก้ไขปัญหาอุบัติการณ์ด้านความมั่นคงทางไซเบอร์
  - คิดหากระบวนการในตรวจจับภัยคุกคามใหม่ๆ ที่เกิดขึ้น (Threat hunting)
• Security Analyst Level-3/Subject Matter Expert/SOC Tier3
  - ทำหน้าที่รับเคสต่อจาก Tier2 แล้วทำการวิเคราะห์ในระดับที่ซับซ้อนขึ้น นอกจากใช้คนที่มีความเชี่ยวชาญด้าน security แล้วก็อาจต้องใช้คนที่ทำงานด้าน Forensic, Threat Intelligence มาช่วยด้วย ในการทำงานของ tier 3 จะมีการใช้ข้อมูลจาก Threat Adversary ต่างๆ เพื่อค้นหาวัตถุประสงค์ของการโจมตีอีกด้วย และหาทางปิดช่องโหว่หรือช่องทางที่ผู้โจมตีเข้ามาได้
• SOC Manager
  บริหารจัดการบุคคลากรในศูนย์ SOC, จัดการงบประมาณ, จัดตารางการทำงาน, ประเมิณและวัดผลประสิทธิภาพการทำงานของทีมงานและระบบ, วางแผนพัฒนาความรู้ความสามารถของบุคลากร, สนับสนุนงานด้านต่างๆ เพื่อให้ศูนย์ SOC ได้มาตรฐาน
• SIEM Engineer
  - ให้คำปรึกษา ออกแบบและติดตั้งระบบ เกี่ยวกับระบบบริหารจัดการข้อมูล
  - นำเข้าข้อมูลจราจรทางคอมพิวเตอร์ข้อมูลจากระบบหรืออุปกรณ์ทางคอมพิวเตอร์ (Log Collection)
  - พัฒนารูปแบบการวิเคราะห์ข้อมูลภัยคุกคามทางไซเบอร์ (Usecase Development)
  - พัฒนารูปแบบรายงานและนำเสนอผลการวิเคราะห์ข้อมูลต่อลูกค้า (Report/Dashboard Development)
  - ดูแลและปรับปรุงระบบ SIEM ให้สามารถทำงานได้อย่างมีประสิทธิภาพ
• Threat Intelligence Analyst
  - ติดตามและวิเคราะห์ข้อมูลข่าวสารทางด้านความมั่นคงปลอดภัยทางไซเบอร์ เพื่อแจ้งเตือนภัยคุกคามทางไซเบอร์ใหม่ ๆ ที่กำลังเกิดขึ้น และนำมาถ่ายทอดให้กับทีมงาน
  - นำเข้าข้อมูล Indicator of Compromise (IoC) ของภัยคุกคามที่เป็นที่สนใจ หรืออาจมีเป้าหมายอยู่ในกลุ่มลูกค้า เข้าสู่ระบบ SIEM เพื่อเพิ่มการเฝ้าระวังให้ลูกค้า

Red Team vs Blue Team

ความน่าสนใจในการเป็น Blue Team

• ไม่ตกข่าว Cyber Security และช่องโหว่ใหม่ๆ แน่นอน
• สนุกไม่มีเบื่อในการหาทางรับมือกับ Hacker และภัยไซเบอร์รูปแบบใหม่ๆ
• ถ้าตรวจจับ Hacker หรือ Insider Threat ได้เร็วได้ไว องค์กรของเราและข้อมูลของลูกค้าก็จะปลอดภัยมากขึ้น

ตัวอย่าง malware จริงๆ ที่ Blue Team ตรวจจับได้ก่อนที่จะสร้างความเสียหายจริงๆต่อองค์กร

• โชว์ความเท่ของทีมงาน เมื่อ UseCase ที่สร้างไว้จับโจรได้จริงๆ บางหน่วยงานทางผู้บริหารจะมีการจ้าง Pentester มาช่วยทดสอบ incident response ของทาง Blue Team หรือ SOC Team ก่อนโดน hacker มาเจาะจริงๆ หรือที่เรียกว่าปฏิบัติการ Redteaming

Blue Team Certificate & Course

• SANS Institute
  SEC504: Hacker Tools, Techniques, Exploits, and Incident Handling
  SEC503: Intrusion Detection In-Depth
  SEC511: Continuous Monitoring and Security Operations
  SEC450: Blue Team Fundamentals: Security Operations and Analysis
  SEC487: Open-Source Intelligence (OSINT) Gathering and Analysis
  SEC545: Cloud Security Architecture and Operations

• PentesterAcademy
  Attacking and Defending Active Directory (CRTP) [Intermediate]
  เพื่อเข้าใจในพฤติกรรมของ hacker ในการเข้ามายึดระบบแม่ข่ายในองค์กร
  https://www.pentesteracademy.com/course?id=47

review course: — Tales to Redteam Ops — CRTP Review by

Vanitas

• eLearnSecurity
  eLearnSecurity Certified Threat Hunting Professional (eCTHPv2) [Intermediate]
  เพื่อเข้าใจการวิธีการและกระบวนการของ Threat Hunting https://elearnsecurity.com/product/ecthpv2-certification/

review course: eLearnSecurity: Certified Threat Hunting Professional v2 (eCTHPv2) Review

• EC-Council
  Certified SOC Analyst (CSA) [Intermediate]
  EC-Council Certified Incident Handler (ECIH) [Basic]
• OFFENSIVE security
  Evasion Techniques and Breaching Defenses (PEN-300) [Advanced]
  https://www.offensive-security.com/pen300-osep/
  เรียนรู้วิธีการของเหล่าแฮ็กเกอร์ในการหลบหลีกช่องทางการป้องกันของอุปกรณ์ security ขององค์กร เพื่อยึดเครื่องแม่ข่ายและระบบเครือข่าย
• SECURITY BLUE TEAM
• Blue Teaming Training 2020
• SOSECURE
  How to be a Cyber Threat Hunter (Thai Version) [Basic]
  หลักสูตรภาษาไทยสำหรับ Security Analyst มือใหม่หรือน้องๆที่จบใหม่ที่สนใจในสายงานนี้ สอนโดยผู้มีประสบการณ์จากผู้ให้บริการ MSSP มาก่อน

https://www.sosecure.co.th/how-to-be-a-threat-hunter/

ที่มา:

• ประสบการณ์ตัวเอง
• Microsoft CISO Series Blog: Lessons learned

CISO Series: Lessons learned from the Microsoft SOC-Part 2a: Organizing people

• SANS: Building a World-Class Security Operations Center: A Roadmap

SANS Institute: Reading Room - Analyst Papers

• SIEM SPEED Use Case Framework v1.0

Introducing: SPEED Use Case Framework for SIEM

• What the 6 Phases of the Threat Intelligence Lifecycle Mean for Your Team
  https://www.recordedfuture.com/threat-intelligence-lifecycle-phases/