PinPrint

ในโรงงานอุตสาหกรรมยุคใหม่ที่เชื่อมต่อกันทั้งระบบ IT และ OT มีเหตุการณ์ด้านความปลอดภัยเกิดขึ้นนับหมื่นครั้งต่อวัน — ตั้งแต่การพยายาม Login ผิดพลาด การเชื่อมต่อที่น่าสงสัย ไปจนถึงการเปลี่ยนแปลง Configuration ของ PLC การดูแลเหตุการณ์เหล่านี้ทีละอุปกรณ์เป็นไปไม่ได้ นี่คือเหตุผลที่ SIEM (Security Information and Event Management) กลายเป็นเครื่องมือหัวใจสำคัญของ Security Operations Center (SOC) สำหรับระบบ OT ในปัจจุบัน

SIEM คืออะไร และทำงานอย่างไร?

SIEM เป็นแพลตฟอร์มที่ทำหน้าที่ รวบรวม, ประมวลผล, วิเคราะห์ และแจ้งเตือน ข้อมูล Log และ Event ด้านความปลอดภัยจากแหล่งต่างๆ ทั่วทั้งโรงงาน โดยทำงานบนหลักการสำคัญ 4 ขั้นตอน คือ:

  1. Log Collection — ดึงข้อมูลจาก Firewall, PLC, HMI, Active Directory, VPN Gateway ฯลฯ ผ่าน Syslog, SNMP Trap หรือ REST API
  2. Normalization — แปลงรูปแบบ Log ที่ต่างกันให้เป็นมาตรฐานเดียวกัน (เช่น CEF หรือ LEEF) เพื่อให้เปรียบเทียบข้ามอุปกรณ์ได้
  3. Correlation — ใช้ Rule Engine วิเคราะห์ความสัมพันธ์ของเหตุการณ์หลายๆ อย่างที่เกิดขึ้นพร้อมกัน เพื่อค้นหารูปแบบการโจมตี
  4. Alerting and Reporting — แจ้งเตือนเจ้าหน้าที่ SOC เมื่อพบเหตุการณ์ที่น่าสงสัย และสร้างรายงาน Compliance ตามที่ต้องการ

💡 ตัวอย่างการทำงาน: หาก SIEM พบว่ามีการพยายาม Login ผิดพลาด 5 ครั้งที่ HMI เครื่องหนึ่ง ภายในเวลา 2 นาที และในเวลาใกล้เคียงกันมีการเปลี่ยนแปลง Tag Configuration ของ PLC ตัวหนึ่ง — Correlation Engine จะรวมสองเหตุการณ์นี้เข้าด้วยกันและแจ้งเตือนว่าอาจมีการบุกรุกกำลังเกิดขึ้น ซึ่งวิศวกรคนเดียวที่ดู Log ทีละอุปกรณ์จะไม่มีทางสังเกตเห็นความเชื่อมโยงนี้ได้

ความแตกต่างระหว่าง SIEM สำหรับ IT และ OT

แม้หลักการพื้นฐานของ SIEM จะเหมือนกัน แต่ SIEM ที่ออกแบบมาสำหรับ OT โดยเฉพาะจะต้องมีความสามารถที่แตกต่างออกไป เพราะโลกของ OT มี Protocol, อุปกรณ์ และพฤติกรรมที่เป็นเอกลักษณ์เฉพาะตัว

มิติการเปรียบเทียบ IT SIEM OT SIEM
Protocol ที่รองรับ HTTP, DNS, SMTP, Kerberos Modbus, DNP3, OPC UA, PROFINET, S7comm
พฤติกรรมปกติ (Baseline) เปลี่ยนแปลงบ่อย ขึ้นกับ User Activity คงที่ — กระบวนการผลิตทำซ้ำๆ
Asset Inventory CMDB ที่อัปเดตโดย IT ต้องใช้ Passive Discovery เพราะ Active Scan เสี่ยงกระทบกระบวนการผลิต
Alert Priority วัดจาก Data Sensitivity วัดจาก Safety และ Process Impact
การตอบสนอง สามารถ Block/Quarantine อัตโนมัติ ต้องระมัดระวัง — การบล็อกอาจหยุดกระบวนการผลิต

Log Sources ที่ SIEM ควรรวบรวมในโรงงาน

เพื่อให้ SIEM ทำงานได้อย่างมีประสิทธิภาพ การเลือก Log Source ที่ครอบคลุมเป็นสิ่งสำคัญ ในโรงงานอุตสาหกรรมควรรวบรวมจากอย่างน้อย 6 กลุ่มดังนี้:

  • Network Security Layer — Industrial Firewall, IDS/IPS, VPN Gateway, Network Access Control
  • Endpoint Layer — HMI Workstation, Engineering Station, Jump Server (ผ่าน Windows Event Log)
  • Control System Layer — PLC/DCS Log (เมื่อรองรับ), SCADA Server Audit Trail, Historian Change Log
  • Identity Layer — Active Directory, RADIUS Server, Privileged Access Management
  • Physical Security — Badge Access System, CCTV Motion Detection (สำหรับการทำ Correlation กับ Cyber Event)
  • Cloud และ Remote Access — Cloud IIoT Platform, Remote Maintenance Portal

Use Case ที่สำคัญของ OT SIEM

การใช้งาน SIEM ใน OT ไม่ใช่แค่เก็บ Log ไว้ดูย้อนหลัง แต่ต้องสร้าง Detection Use Case ที่ตอบโจทย์ภัยคุกคามจริง ดังตัวอย่างต่อไปนี้:

  1. Unauthorized Firmware Download — ตรวจจับเมื่อมีการดาวน์โหลด Firmware ไปยัง PLC นอกเวลา Maintenance Window
  2. New Asset Detection — แจ้งเตือนเมื่อมีอุปกรณ์ใหม่ปรากฏในเครือข่าย OT ซึ่งอาจเป็น Rogue Device
  3. Anomalous Protocol Use — ตรวจจับเมื่อ PLC เครื่องหนึ่งเริ่มสื่อสารผ่าน Protocol ที่ไม่เคยใช้มาก่อน เช่น Modbus TCP ที่ปกติใช้แค่ PROFINET
  4. After-Hours Configuration Change — แจ้งเตือนเมื่อมีการแก้ไข Setpoint หรือ Logic นอกเวลาทำการ
  5. Lateral Movement Detection — ตรวจจับเมื่อ Workstation ในเซกเมนต์หนึ่งพยายามเชื่อมต่อไปยังอีกเซกเมนต์ที่ไม่ควรเชื่อมโยงกัน

การเชื่อมต่อกับ SOAR เพื่อ Auto-Response

ในขั้นต่อไป หลายองค์กรเริ่มเชื่อม SIEM เข้ากับ SOAR (Security Orchestration, Automation and Response) เพื่อให้การตอบสนองต่อภัยคุกคามเป็นไปอัตโนมัติ ตัวอย่างเช่น เมื่อ SIEM ตรวจพบว่ามี Engineering Workstation พยายามเชื่อมต่อไปยัง Internet (ซึ่งผิดปกติ) SOAR จะสั่งให้ Industrial Firewall บล็อกการเชื่อมต่อนั้นโดยอัตโนมัติ พร้อมสร้าง Ticket ให้ทีม SOC ตรวจสอบ

อย่างไรก็ตามใน OT ต้องระมัดระวังเป็นพิเศษ — การตอบสนองอัตโนมัติบางอย่างอาจส่งผลกระทบต่อกระบวนการผลิต เช่น การตัดการเชื่อมต่อของ PLC อาจทำให้กระบวนการหยุดชะงัก ดังนั้นควรกำหนด Response Playbook ที่แยกระหว่างเหตุการณ์ที่สามารถตอบโดยอัตโนมัติกับเหตุการณ์ที่ต้องรอการยืนยันจากมนุษย์ (Human-in-the-Loop)

ความท้าทายในการใช้งาน SIEM ใน OT

  • Log Quality ไม่สม่ำเสมอ — อุปกรณ์ OT รุ่นเก่าจำนวนมากไม่รองรับการส่ง Syslog จึงต้องใช้ Log Collector แบบพิเศษ
  • Bandwidth จำกัด — เครือข่าย OT บางส่วนใช้ Serial หรือ Low-Bandwidth Radio ที่ส่ง Log ปริมาณมากไม่ได้
  • Tuning ต้องใช้เวลา — Correlation Rule ที่ดีต้องปรับจูนตามพฤติกรรมจริงของแต่ละโรงงาน ไม่ใช่ Default Rule แบบสำเร็จรูป
  • ขาดแคลนบุคลากร OT-Security — ทีม SOC ส่วนใหญ่มีพื้นฐาน IT ทำให้เข้าใจภาษาและพฤติกรรมของระบบ OT ได้ยาก

🔑 Key Takeaways — สรุปประเด็นสำคัญ

  1. SIEM เป็นแพลตฟอร์มสำหรับ รวบรวม-ประมวลผล-วิเคราะห์-แจ้งเตือน Event ด้านความปลอดภัยจากทุกแหล่งในโรงงาน
  2. กระบวนการทำงานหลัก 4 ขั้นตอนคือ Collection, Normalization, Correlation, Alerting
  3. OT SIEM ต้องรองรับ Protocol เฉพาะ เช่น Modbus, DNP3, OPC UA, PROFINET, S7comm ที่ IT SIEM ทั่วไปไม่เข้าใจ
  4. Log Sources ครอบคลุม 6 กลุ่มหลัก: Network, Endpoint, Control System, Identity, Physical และ Cloud
  5. Use Case สำคัญใน OT รวมถึง Unauthorized Firmware Download และ New Asset Detection
  6. การเชื่อม SIEM กับ SOAR ช่วยให้การตอบสนองเป็นอัตโนมัติ แต่ต้องมี Human-in-the-Loop เพื่อความปลอดภัยของกระบวนการผลิต
  7. ความท้าทายหลักคือ Log Quality, Bandwidth จำกัด และการขาดแคลนบุคลากร OT-Security
  8. ควรเริ่มต้นจาก Core Use Case 3-5 ข้อ ก่อน แล้วค่อยขยายผลเพื่อหลีกเลี่ยง Alert Fatigue

หมายเหตุ: ภาพประกอบเป็น Server Rack ในศูนย์ข้อมูล — เปรียบเสมือนหัวใจของระบบ SIEM ที่ประมวลผลข้อมูล Event นับล้านรายการต่อวัน — ที่มา: Wikimedia Commons (CC0)

Honey Corporation ให้บริการออกแบบและติดตั้งระบบ SIEM สำหรับโรงงานอุตสาหกรรม พร้อมทีมผู้เชี่ยวชาญที่เข้าใจทั้งโลก IT และ OT ติดต่อเราเพื่อรับคำปรึกษาในการสร้าง SOC ที่ตอบโจทย์อุตสาหกรรมของคุณ

PinPrint