(ភ្នំពេញ)៖ SOC ឬ មជ្ឈមណ្ឌលប្រតិបត្តិការសន្តិសុខសាយប័រ (Security Operation Center) គឺជាទីកន្លែងមួយដែលក្រុមអ្នកជំនាញបានធ្វើការសម្របសម្រួលគ្នាយ៉ាងល្អ មានភារកិច្ចត្រួតពិនិត្យ វិភាគ និងការពារអង្គភាពមួយពីឧប្បតិ្តហេតុសន្តិសុខសាយប័រ។

ពួកគេធ្វើការ ២៤ម៉ោងក្នុង១សប្តាហ៍ (24/7) ដើម្បីតាមដានសកម្មភាពទាំងអស់នៅលើបណ្តាញ ប្រព័ន្ធ និងកម្មវិធីនានារបស់ស្ថាប័ន ដើម្បីកំណត់និងឆ្លើយតបចំពោះការគំរាមកំហែងដែលអាចកើតមានឡើង។

លោក អ៊ូ ផាន់ណារិទ្ធ អ្នកស្រាវជ្រាវនៅវិទ្យាស្ថានចក្ខុវិស័យអាស៉ី (AVI) បានឲ្យដឹងថា ក្នុងយុគសម័យឌីជីថលបច្ចុប្បន្នដែលការវាយប្រហារតាមអុីនធឺណិតមានភាពស្មុគស្មាញនិងញឹកញាប់ ការមាន SOC គឺចាំបាច់ដើម្បីរក្សាបាននូវភាពធន់ និងសុចរិតភាព (integrity) នៃប្រតិបត្តិការរបស់អង្គភាព/ស្ថាប័ន។

SOC ដើរតួនាទីយ៉ាងសំខាន់ក្នុងការកាត់បន្ថយហានិភ័យសន្តិសុខ សាយប័រ និងការពារទិន្នន័យសំខាន់ៗរបស់អង្គភាពពីការវាយប្រហារផ្សេងៗជាច្រើនដូចជា៖ ការវាយប្រហារដោយ malware (កម្មវិធីព្យាបាទ) ដែលអាចបំផ្លាញទិន្នន័យ ឬប្រព័ន្ធឌីជីថល, ransomware (មេរោគចាប់ជំរិត) ដែលរាំងខ្ទប់ទិន្នន័យ និងទាមទារប្រាក់លោះ, ការវាយប្រហារ phishing (បោកប្រាស់តាមអុីនធឺណិត) ដែលព្យាយាមលួចព័ត៌មានសម្ងាត់, និងការគំរាមកំហែងពីខាងក្នុង (internal threats) អង្គភាពផ្ទាល់។

ភារកិច្ចចម្បងរបស់ SOC រួមមាន៖
*ការត្រួតពិនិត្យប្រព័ន្ធ និងបណ្តាញជាប្រចាំ៖ ការត្រួតពិនិត្យកំណត់ហេតុ (logs) នៃសកម្មភាពបណ្តាញ ការចូលប្រើប្រព័ន្ធ និងចរាចរណ៍ទិន្នន័យតាមពេលវេលាជាក់ស្តែង (real-time) ដើម្បីរកមើលសកម្មភាពគួរឱ្យសង្ស័យ ឬខុសពីធម្មតាដែលអាចជាសញ្ញានៃការវាយប្រហារ។

*ការរកឃើញហេតុការណ៍ និងការគំរាមកំហែងសន្តិសុខ៖ ការកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះ (vulnerabilities) និងការប្រើប្រាស់ព័ត៌មាននៃការគំរាមកំហែង (threat intelligence) ដើម្បីព្យាករណ៍ និងទប់ស្កាត់ការវាយប្រហារមុនពេលវាកើតឡើង ឬបង្កឱ្យមានការខូចខាត។

*ការឆ្លើយតបទៅនឹងឧប្បតិ្តហេតុនៅពេលវាកើតឡើង៖ នៅពេលរកឃើញការគំរាមកំហែង SOC ធ្វើសកម្មភាពភ្លាមៗដើម្បីទប់ស្កាត់ (contain) ការវាយប្រហារ កម្ចាត់វាចោល (eradicate) និងស្តារប្រព័ន្ធឱ្យត្រឡប់មកដំណើរការធម្មតាវិញ (recover)។ នេះរួមបញ្ចូលទាំងការវិភាគកោសល្យវិច្ច័យ (forensic analysis) ដើម្បីស្វែងរកឫសគល់នៃបញ្ហា។

*ការកែលម្អប្រព័ន្ធសន្តិសុខជាប្រចាំ៖ បន្ទាប់ពីឧប្បតិ្តហេតុ ឬជាផ្នែកនៃយុទ្ធសាស្ត្រការពារសកម្ម SOC ធ្វើការវាយតម្លៃ និងកែលម្អគោលនយោបាយសន្តិសុខ ធ្វើបច្ចុប្បន្នភាពកម្មវិធី និងអនុវត្តន៍ការជួសជុលភាពងាយរងគ្រោះ។ នេះក៏រួមបញ្ចូលទាំងការធ្វើតេស្តការជ្រៀតចូល (penetration testing) និងការវាយតម្លៃភាពងាយរងគ្រោះ (vulnerability assessment) ផងដែរ។

*ការធ្វើរបាយការណ៍ និងឯកសារជូនថ្នាក់គ្រប់គ្រង៖ ការបង្កើតរបាយការណ៍លម្អិតអំពីឧប្បត្តិហេតុសន្តិសុខសាយប័រ វិធានការឆ្លើយតប និងអនុសាសន៍សម្រាប់ការកែលម្អនាពេលអនាគត។ ការធ្វើឯកសារត្រឹមត្រូវ គឺសំខាន់សម្រាប់ការអនុលោមភាព (compliance) និងការសម្រេចចិត្តប្រកបដោយព័ត៌មានជាក់លាក់។

ដើម្បីឱ្យមាននិរន្តរភាព SOC ប្រើប្រាស់បច្ចេកវិទ្យានិងឧបករណ៍ជាច្រើនរួមទាំងប្រព័ន្ធគ្រប់គ្រងព្រឹត្តិការណ៍និងព័ត៌មានសន្តិសុខ (SIEM - Security Information and Event Management) ដែលប្រមូលផ្តុំ និងវិភាគទិន្នន័យកំណត់ហេតុពីប្រភពផ្សេងៗគ្នា ប្រព័ន្ធរកឃើញនិងឆ្លើយតបនឹងការវាយប្រហារ (EDR - Endpoint Detection and Response) ដែលតាមដាន និងការពារកុំព្យូទ័រ (endpoints) និងប្រព័ន្ធស្វ័យប្រវត្តិកម្មនិងវិធីសាស្រ្តវិភាគដែលទំនើប។

បន្ថែមពីលើ SIEM និង EDR ឧបករណ៍សំខាន់ៗផ្សេងទៀតរួមមាន firewalls (ជញ្ជាំងការពារ), ប្រព័ន្ធរកឃើញ/ទប់ស្កាត់ការឈ្លានពាន (IDS/IPS - Intrusion Detection/Prevention Systems) ដែលត្រួតពិនិត្យចរាចរណ៍បណ្តាញរកសញ្ញាគំរាមកំហែង, ឧបករណ៍វិភាគភាពងាយរងគ្រោះ (vulnerability scanners), និងប្រព័ន្ធស្វ័យប្រវត្តិកម្ម និងឆ្លើយតបសន្តិសុខ (SOAR - Security Orchestration, Automation, and Response) ដែលជួយសម្រួលដល់ដំណើរការឆ្លើយតប។

ប៉ុន្តែបច្ចេកវិទ្យាគឺគ្រាន់តែជាផ្នែកមួយនៃរឿងប៉ុណ្ណោះ។ អ្វីដែលធ្វើឱ្យ SOC មានប្រសិទ្ធភាពពិតប្រាកដគឺសមត្ថភាពនិងការសម្របសម្រួលនៃបុគ្គលិកដែលដើរតួនាទីផ្សេងៗក្នុងក្រុម។ ក្រុម SOC រួមបញ្ចូលគ្នានូវជំនាញបច្ចេកទេស ការគិតវិភាគ និងការសហការគ្នាដើម្បីបកស្រាយការជូនដំណឹង ទាញយកការសន្និដ្ឋាន និងអនុវត្តដំណោះស្រាយ។ ជំនាញមនុស្សក្នុងការវិភាគទិន្នន័យដ៏ច្រើន និងយល់ពីបំណងនៃការវាយប្រហារ គឺមិនអាចជំនួសដោយស្វ័យប្រវត្តិកម្មបានទាំងស្រុងនោះទេ។ ការបញ្ចូលគ្នារវាងបច្ចេកវិទ្យាទំនើប និងអ្នកជំនាញដែលមានបទពិសោធន៍ គឺជាគន្លឹះដើម្បីការពារព្រំដែនឌីជីថលរបស់អង្គភាព៕