แฮ็กเกอร์ในปัจจุบันต่างสรรหาเทคนิคและพัฒนาการโจมตีไซเบอร์ให้ทวีความแยบยลและรุนแรงขึ้นเรื่อยๆ การป้องกันเพียงอย่างเดียวไม่สามารถปกป้ององค์กรจากภัยคุกคามระดับสูงได้อีกต่อไป องค์กรจำเป็นต้องมีกระบวนการในการรับมือกับสถานการณ์ที่ผิดปกติเมื่อภัยคุกคามเหล่านั้นหลุดเข้ามาได้ ยิ่งองค์กรสามารถตอบสนองต่อภัยคุกคามได้เร็วเท่าไหร่ ยิ่งช่วยให้สามารถกักกันความเสียหายและฟื้นฟูระบบให้กลับมาใช้งานตามปกติได้เร็วมากเท่านั้น
McAfee ผู้ให้บริการโซลูชันสำหรับศูนย์ SOC ชั้นนำ จึงได้ออก White Paper หัวข้อ “Ten Ways to Prepare for Incident Response” เพื่อให้เจ้าหน้าที่ด้านความมั่นคงปลอดภัยได้นำไปใช้เป็นแนวทางในการเตรียมความพร้อมสำหรับทำ Incident Response อย่างเป็นระบบ ซึ่งสามารถสรุปเนื้อหาได้ดังนี้
1.กำหนดหน้าที่ แนวทาง และกระบวนการต่างๆ – ขณะเกิดเหตุการณ์ไม่พึงประสงค์ จำเป็นต้องมีการแบ่งแยกหน้าที่และความรับผิดชอบที่ชัดเจน เพื่อให้ทุกคนทราบถึงสิ่งที่ตนเองต้องกระทำ เช่น IR & Forensics, Network & Information Security, Endpoint Security, SOC, Legal Department, Public Relations, Policy หรือ Contracting เป็นต้น
2. สื่อสารแผนงานและกระบวนการอย่างมีประสิทธิผล – ควรวางแผนการรับมือกับเหตุการณ์ไม่พึงประสงค์ก่อนจะเกิดเหตุการณ์ขึ้นจริง ไม่ว่าจะเป็นรูปแบบการสื่อสารที่ใช้ ช่องทางการติดต่อ รวมไปถึงจัดห้องวอร์รูมที่มีสิ่งอำนวยความสะดวกครบครันต่อการประชุมเมื่อเกิดเหตุผิดปกติ ที่สำคัญคือต้องมีลิสต์รายชื่อผู้เกี่ยวข้องและวิธีการติดต่อบุคคลเหล่านั้น
3. ผสานรวม Threat Intelligence และข้อมูลภัยคุกคามต่างๆ เข้าด้วยกัน – การมี Threat Intelligence และข้อมูลเกี่ยวกับภัยคุกคามประเภทต่างๆ ช่วยให้สามารถจำแนกประเภทของภัยคุกคาม เทคนิคที่ใช้ ผลกระทบ และ IoC (Indicators of Compromise) ได้อย่างแม่นยำ ช่วยให้สามารถปกป้องระบบได้อย่างรวดเร็วและตรงจุด
4. คัดแยกและเฝ้าระวังระบบที่ได้รับผลกระทบ – หลังจากที่ระบุ IoC ได้แล้ว จำเป็นต้องตัดสินใจว่าจะทำการคัดแยกระบบที่มีปัญหาออกจากระบบเครือข่ายเพื่อป้องกันผลกระทบที่อาจเกิดขึ้นต่อระบบอื่นๆ หรือไม่ ซึ่งอาจทำได้ในเชิง Physical เช่น ดึงสายเคเบิลที่ใช้เชื่อมต่อออก หรือในเชิง Logical เช่น การใช้ Firewall หรือปิดพอร์ตบน Switch
5. จัดทำเอกสารและลงบันทึกการตอบสนองต่อเหตุการณ์ไม่พึงประสงค์ – การลงบันทึกและทำเอกสารระหว่างเกิดเหตุไม่พึงประสงค์ช่วยให้ง่ายต่อการแชร์และตรวจสอบข้อมูลย้อนหลัง รวมไปถึงทำรายงานส่งผู้บริหาร ผู้ตรวจประเมิน หรือหน่วยงานกำกับดูแลที่เกี่ยวข้อง
6. จัดทำเอกสารเหตุการณ์ไม่พึงประสงค์ตามลำดับเวลา – นอกจากจัดทำเอกสารเป็นลายลักษณ์อักษรแล้ว ควรมีการระบุและจัดลำดับเหตุการณ์ที่เกิดขึ้นตามเวลาให้ชัดเจน เพื่อให้เห็นภาพและเข้าใจเหตุการณ์ทั้งหมดได้ง่ายยิ่งขึ้น
7. เข้าใจการตอบสนองต่อภัยคุกคามในแต่ละเฟส – การตอบสนองต่อภัยคุกคามจะถูกแบ่งออกเป็น 3 เฟสหลัก คือ การระบุขอบเขตของเหตุการณ์ไม่พึงประสงค์ การกักกันภัยคุกคาม และการฟื้นฟูระบบให้กลับคืนมา ซึ่งผู้ที่ได้รับมอบหมายจำเป็นต้องศึกษากระบวนการในเฟสที่ตนรับผิดชอบให้เป็นอย่างดี เพื่อให้สามารถรับมือกับเหตุการณ์ไม่พึงประสงค์ได้อย่างถูกต้องและรวดเร็ว
8. พร้อมรับมือภัยคุกคามตลอดเวลาด้วยการทำสถาปัตยกรรม แอพพลิเคชัน และระบบปฏิบัติการให้มั่นคงปลอดภัย – ภัยคุกคามบางอย่างสามารถป้องกันได้ล่วงหน้าจากการทำให้แอพพลิเคชัน ระบบปฏิบัติ และระบบเครือข่ายมีความมั่นคงปลอดภัย เช่น อัปเดตแพทช์สม่ำเสมอ มีการแบ่งระบบเครือข่ายออกเป็นส่วนๆ ใช้การพิสูจน์ตัวตนแบบ 2-factor Authentication หรือตั้งรหัสผ่านให้แข็งแกร่ง เป็นต้น
9. จัดการและสำรองข้อมูล Log – การตรวจสอบข้อมูล Log ย้อนหลังเป็นสิ่งสำคัญมาก เนื่องจากช่วยให้สามารถจำลองสถานการณ์การโจมตีที่เคยเกิดขึ้นได้ ส่งผลให้สามารถเตรียมรับมือกับเหตุการณ์ที่คล้ายคลึงกันได้ง่ายยิ่งขึ้น โดย Log ควรเก็บจาก Antivirus, Network Traffic, PCAP, IDS/IPS, Firewall, Web Proxy, VPN, DHCP, AD และอื่นๆ
10. ใช้โซลูชันการบริหารจัดการและเฝ้าระวังอุปกรณ์ปลายทาง – อุปกรณ์ปลายทางนับว่าเป็นจุดที่อ่อนแอที่สุดในระบบเครือข่าย จึงควรมีการวางมาตรการควบคุม เช่น ติดตั้งโปรแกรม Antivirus และอัปเดตฐานข้อมูลล่าสุดเสมอ และการมีระบบบริหารจัดการจากศูนย์กลางจะช่วยลดภาระในการเฝ้าระวังอุปกรณ์ปลายทางได้เป็นอย่างมาก
ผู้ที่สนใจอ่านรายละเอียดเกี่ยวกับการเตรียมความพร้อมในการทำ Incident Response ทั้ง 10 ขั้นตอนสามารถดาวน์โหลดเอกสารฉบับเต็มได้ที่: https://www.mcafee.com/us/resources/white-papers/foundstone/wp-10-ways-prepare-incident-response.pdf