Security Operations

Cyber Security Operation ကိုရည်ညွှန်းပါတယ်။ သတိမထားဘဲ မတွက်မချက်ဘဲ security operation လုပ်မိရင် အချိန်လည်းကုန် ငွေလည်းကုန် ဖြစ်ရတတ်ပါတယ်။

၁။

ပထမဆုံးသတိထားသင့်တာက ကိုယ်က ဘာကို secure လုပ်ရမယ်ဆိုတာကို မှန်မှန်ကန်ကန်သိနေဖို့လိုပါတယ်။ ကိုယ့်အဖွဲ့အစည်းရဲ့ တန်းဖိုးအရှိဆုံး data ရှိတဲ့နေရာတွေဟာ ပစ်မှတ်ဖြစ်တတ်တဲ့အတွက် အဲဒီ နေရာတွေကို ‌သတ်သတ်မှတ်မှတ်သိအောင်လုပ်ရပါမယ်။ Threat Modeling လုပ်ကြည့်လိုက်ရင် ဘယ်နားမှာ sensor တွေထားရမယ်၊ ဘယ်အချိန်တွေမှာ သေချာ monitor လုပ်ပြီးစောင့်ကြည့်ရမယ်၊ ဘယ်လို skillset ရှိတဲ့ဝန်ထမ်းတွေ ထား ထားရမယ် ဆိုတာမျိုးတွေ သိလာပါမယ်။ Threat Model လုပ်တာ use-case တစ်ခုနဲ့တစ်ခု မတူသလို ကိုယ့်ရဲ့ model နဲ့ နောက်အဖွဲ့အစည်းတစ်ခုရဲ့ model တူချင်မှတူမှာပါ။ သူတို့အတွက်က customer data အခိုးခံရတာ သိပ်ဂရုမစိုက်ပေမယ့် ကိုယ့်အတွက်ကြတော့ အရမ်း‌အရေးကြီးနေတာမျိုး ဖြစ်နေနိုင်ပါတယ် (အထူးသဖြင့် လိုက်နရမယ့် compliance တွေရှိနေတဲ့အခါမျိုး)။ အရေးကြီးတာက ကိုယ့် Threat Model ကို ကိုယ်သေချာ ချထားဖို့လိုပါတယ်။

၂။

တချို့အဖွဲ့အစည်းများက ကိုယ့် network ရဲ့အပိုင်းတစ်ပိုင်းကို အဓီကအာရုံထားပြီး လုံခြုံအောင်လုပ်ပါတယ်။ ဥပမာ active directory controller တို့ Database server တို့ကို အလေးပေးလုံခြုံအောင်ထားပြီး workstation လေးတွေကို ဖြစ်ချင်တာဖြစ်ဆိုပြီး ပစ်ထားတတ်မိတယ်။ Vulnerability တို့၊ User training တို့၊ Awareness ပေးဖို့တို့အတွက် သိပ်အလေးမပေးကြဘူး။ Attacker တစ်ယောက်အတွက်က ကိုယ့် network အတွင်းက software အားနည်းချက်ရှိနေတဲ့ စက်တွေ၊ သင်တန်းမပေးထားတဲ့ ဝန်ထမ်းတွေ၊ အရမ်းလွယ်တဲ့ password တွေကနေ ကနဦး ဝင်လာပြီး ဘေးကတခြားစက်တွေကို ပတ်ဝင်ဖို့ ကြိုးစားမှာမို့ ဂရုမပြုဘဲ မနေစေချင်ပါ။

၃။

နောက်ဆုံးပေါ် device တွေ software တွေဝယ်ထားပြီး run နေပြီး အဲဒီ device firmware တွေ၊ software အတွက် patch တွေကို နောက်ပိုင်းမှာ ဆက်ပြီး apply မလုပ်နိုင်ရင်လည်း ထင်သလောက် အကျိုးမရှိလှပါ။ Endpoint protection ဆိုလည်း ကိုယ်ရဲ့ environemnt ရဲ့လိုအပ်ချက်နဲ့ ကိုက်ညီးအောင် setup လုပ်နိုင်မှ‌အကျိုးများပါမယ်။ Firewall ဆိုရင်လည်း rule တွေကို အမြဲစောင့်ကြပ်ကြည့်ပြီး ပိုမိုတိကျကောင်းမွန်တဲ့ ruleset ဖြစ်အောင် ပြောင်းယူသင့်ပါတယ်။ တစ်ကြိမ် setup လုပ်ပြီး ပစ်ထားရမယ့် ပစ္စည်းထဲမှာ security ပစ္စည်းများမပါပါ။ အဲလို ပစ္စည်းမျိုးဟာ လက်ရှိ ကိုယ့် network/OS/software ထဲက အဖြစ်အပျက်တွေကို အချိန်နဲ့ တစ်ပြေးထဲ ပြနိုင်တာမို့ ဆက်တိုက် monitor မလုပ်ရင်တောင် periodically ကြည့်ကြည့်ပေးဖို့ လိုပါတယ်။ ဖြစ်နိုင်ရင် alert တွေ ချထားပြီး ထူးခြားချက်တွေ့ရင် ကိုယ့် team ကို email ပို့ခိုင်းတာတို့ လုပ်သင့်ပါတယ်။ vendor ကရောင်းပြီး setup လုပ်ပေးပြီးရင် နောက်ပိုင်း ကိစ္စတွေကို ကိုယ်ဘက်က လိုက်လုပ်ဖို့ plan ချရပါမယ်။ အရေးကြီးဆုံးက security device ကထွက်လာတဲ့ output တွေကို စောင့်ကြည့်ဖို့နဲ့ စောင့်ကြည့်တဲ့လူက အဲဒီ output ကို နားလည်တဲ့သူဖြစ်ဖို့ပါ။ Firewall က block လုပ်ရုံနဲ့ မလုံလောက်ပါဘူး။ ဘာကြောင့် ဒီ attack ဖြစ်တာလဲ။ ဘယ်သူလုပ်နေတာလဲ။ ဒါမျိုးတွေ ကောက်ချက်ချနိုင်ဖို့လည်း လိုပါတယ်။

ကိုယ့်ရဲ့ Firewall ဟာ များသောအားဖြင့် phishing မကာနိုင်ဘူး။ 0-day မကာနိုင်ဘူး။ ပုံမှန်လာနေကြလမ်းကြောင်းက လာနေတာတွေကို မပိတ်နိုင်ဘူး (ဥပမာ- SSL/TLS port 443) ဆိုတာ သိထားရပါမယ်။ rule တွေဘယ်လောက်ကောင်းအောင်ရေးထား ပြောပြော။ တကယ်တမ်း attack ဖြစ်သွားတဲ့ပုံက အပြင်ကနေ အတွင်းကို ဝင်လာတဲ့ပုံစံ မျိုးချည်းမဟုတ်ပါ။ Firewall ဟာ အဝင်ကို အများကြီး ပိတ်ထားလို့ရပေမယ့် အထွက်ကြတော့ အနည်းဆုံး port 80/443 တော့ ဖွင့်ထားရတာပဲ။ Threat Intelligence မသုံးရင် ပိတ်ဖို့မလွယ်ပါ။ ဒါကြောင့်မလို့ ကိုယ့် network အတွင်းက လူတစ်ယောက် phishing လုပ်ထားတဲ့ link တစ်ချက်နှိပ်လိုက်တာနဲ့ (သို့မဟုတ်) malware ပါတဲ့ file တစ်ခုဖွင့်မိလိုက်တာနဲ့ network ပေါက်ဖို့ တော်တော်များသွားပါပြီ။ အပြင်ကနေ attacker က control ရဖို့ အထဲကလူက အဲဒါလေးတွေလုပ်လိုက်ဖို့ပဲ လိုပါတယ်။ အဲဒါကြောင့် ကိုယ့် network ကို layer လိုက် ခုခံဖို့၊ visibility ရအောင်လိုပ်ဖို့ ဂရုစိုက်ရပါမယ်။ Host-based IPS/IDS တွေထည့်ထားသင့်ပါတယ်။

Monitor လုပ်ပြီဆိုရင်လည်း Firewall နဲ့ Endpoint တွေရဲ့ console တွေလောက်ပဲ ကြည့်နေမယ်ဆိုရင်တော့ မလုံလောက်သေးပါ။ authentication log တွေကောကြည့်နေရဲ့လား။ config တွေ အပြောင်းအလဲဖြစ်တဲ့ log တွေကော ကြည့်နေရဲ့လား။ DNS requeset တွေကော ကြည့်နေရဲ့လား။ ကောင်းတာတော့ အဲဒါတွေကို တစ်နေရာထဲက ထိုင်ကြည့်နေနိုင်မယ့် SIEM လို product တွေသုံးရင် ပိုလွယ်နိုင်တယ်။

၄။

ကိုယ့်ရဲ့ Team မှာကော သူတို့ ဖြေရှင်းခဲ့တဲ့ ပြဿနာတွေ၊ ဘာကြောင့်ဘယ်လို ကောက်ချက်ချတယ်ဆိုတာတွေ share ဖို့ knowledge base platform ရှိနေဖို့လည်း လိုအပ်လှပါတယ်။ နောက်ပြီး ကိုယ့် team member တွေရဲ့ skill ကို မြှင့်တင်ဖို့အတွက် training ပေးရပါမယ်။ အခြေခံကျတဲ့ network firewall rule တွေရေးဖို့၊ SIEM ထဲကို log ပို့ဖို့ vendor/SI တွေကို အားကိုးနေရပြီဆိုရင် မိမိ team ကို training ပေးဖို့ လိုအပ်ချက်ရှိနေပြီလို့ သတိရပါ။

၅။

အကျဥ်းချုပ်အနေနဲ့ဆိုရင် Security Operations မှာ technology တစ်ခုထဲ ဖြည့်ဆည်းပေးနေလို့ပဲမရပါ။ အဲဒီ technology ကို အကျိုးရှိစွာ အသုံးချဖို့ ကောင်းမွန်ပြည့်ဝတဲ့ process များရှိရပါမယ်။ ပြီး operate လုပ်မယ့် လူများရဲ့ skill set တွေကို ပြည့်မီအောင် ဖြည့်ဆည်းပေးပြီး motivate ဖြစ်နေအောင်ထားဖို့ကိုလည်း လိုအပ်ပါတယ်။