Breaking News

10 ขั้นตอนเตรียมความพร้อมในการทำ Incident Response

แฮ็กเกอร์ในปัจจุบันต่างสรรหาเทคนิคและพัฒนาการโจมตีไซเบอร์ให้ทวีความแยบยลและรุนแรงขึ้นเรื่อยๆ การป้องกันเพียงอย่างเดียวไม่สามารถปกป้ององค์กรจากภัยคุกคามระดับสูงได้อีกต่อไป องค์กรจำเป็นต้องมีกระบวนการในการรับมือกับสถานการณ์ที่ผิดปกติเมื่อภัยคุกคามเหล่านั้นหลุดเข้ามาได้ ยิ่งองค์กรสามารถตอบสนองต่อภัยคุกคามได้เร็วเท่าไหร่ ยิ่งช่วยให้สามารถกักกันความเสียหายและฟื้นฟูระบบให้กลับมาใช้งานตามปกติได้เร็วมากเท่านั้น

McAfee ผู้ให้บริการโซลูชันสำหรับศูนย์ SOC ชั้นนำ จึงได้ออก White Paper หัวข้อ “Ten Ways to Prepare for Incident Response” เพื่อให้เจ้าหน้าที่ด้านความมั่นคงปลอดภัยได้นำไปใช้เป็นแนวทางในการเตรียมความพร้อมสำหรับทำ Incident Response อย่างเป็นระบบ ซึ่งสามารถสรุปเนื้อหาได้ดังนี้

1.กำหนดหน้าที่ แนวทาง และกระบวนการต่างๆ – ขณะเกิดเหตุการณ์ไม่พึงประสงค์ จำเป็นต้องมีการแบ่งแยกหน้าที่และความรับผิดชอบที่ชัดเจน เพื่อให้ทุกคนทราบถึงสิ่งที่ตนเองต้องกระทำ เช่น IR & Forensics, Network & Information Security, Endpoint Security, SOC, Legal Department, Public Relations, Policy หรือ Contracting เป็นต้น

2. สื่อสารแผนงานและกระบวนการอย่างมีประสิทธิผล – ควรวางแผนการรับมือกับเหตุการณ์ไม่พึงประสงค์ก่อนจะเกิดเหตุการณ์ขึ้นจริง ไม่ว่าจะเป็นรูปแบบการสื่อสารที่ใช้ ช่องทางการติดต่อ รวมไปถึงจัดห้องวอร์รูมที่มีสิ่งอำนวยความสะดวกครบครันต่อการประชุมเมื่อเกิดเหตุผิดปกติ ที่สำคัญคือต้องมีลิสต์รายชื่อผู้เกี่ยวข้องและวิธีการติดต่อบุคคลเหล่านั้น

3. ผสานรวม Threat Intelligence และข้อมูลภัยคุกคามต่างๆ เข้าด้วยกัน – การมี Threat Intelligence และข้อมูลเกี่ยวกับภัยคุกคามประเภทต่างๆ ช่วยให้สามารถจำแนกประเภทของภัยคุกคาม เทคนิคที่ใช้ ผลกระทบ และ IoC (Indicators of Compromise) ได้อย่างแม่นยำ ช่วยให้สามารถปกป้องระบบได้อย่างรวดเร็วและตรงจุด

4. คัดแยกและเฝ้าระวังระบบที่ได้รับผลกระทบ – หลังจากที่ระบุ IoC ได้แล้ว จำเป็นต้องตัดสินใจว่าจะทำการคัดแยกระบบที่มีปัญหาออกจากระบบเครือข่ายเพื่อป้องกันผลกระทบที่อาจเกิดขึ้นต่อระบบอื่นๆ หรือไม่ ซึ่งอาจทำได้ในเชิง Physical เช่น ดึงสายเคเบิลที่ใช้เชื่อมต่อออก หรือในเชิง Logical เช่น การใช้ Firewall หรือปิดพอร์ตบน Switch

5. จัดทำเอกสารและลงบันทึกการตอบสนองต่อเหตุการณ์ไม่พึงประสงค์ – การลงบันทึกและทำเอกสารระหว่างเกิดเหตุไม่พึงประสงค์ช่วยให้ง่ายต่อการแชร์และตรวจสอบข้อมูลย้อนหลัง รวมไปถึงทำรายงานส่งผู้บริหาร ผู้ตรวจประเมิน หรือหน่วยงานกำกับดูแลที่เกี่ยวข้อง

6. จัดทำเอกสารเหตุการณ์ไม่พึงประสงค์ตามลำดับเวลา – นอกจากจัดทำเอกสารเป็นลายลักษณ์อักษรแล้ว ควรมีการระบุและจัดลำดับเหตุการณ์ที่เกิดขึ้นตามเวลาให้ชัดเจน เพื่อให้เห็นภาพและเข้าใจเหตุการณ์ทั้งหมดได้ง่ายยิ่งขึ้น

7. เข้าใจการตอบสนองต่อภัยคุกคามในแต่ละเฟส – การตอบสนองต่อภัยคุกคามจะถูกแบ่งออกเป็น 3 เฟสหลัก คือ การระบุขอบเขตของเหตุการณ์ไม่พึงประสงค์ การกักกันภัยคุกคาม และการฟื้นฟูระบบให้กลับคืนมา ซึ่งผู้ที่ได้รับมอบหมายจำเป็นต้องศึกษากระบวนการในเฟสที่ตนรับผิดชอบให้เป็นอย่างดี เพื่อให้สามารถรับมือกับเหตุการณ์ไม่พึงประสงค์ได้อย่างถูกต้องและรวดเร็ว

8. พร้อมรับมือภัยคุกคามตลอดเวลาด้วยการทำสถาปัตยกรรม แอพพลิเคชัน และระบบปฏิบัติการให้มั่นคงปลอดภัย – ภัยคุกคามบางอย่างสามารถป้องกันได้ล่วงหน้าจากการทำให้แอพพลิเคชัน ระบบปฏิบัติ และระบบเครือข่ายมีความมั่นคงปลอดภัย เช่น อัปเดตแพทช์สม่ำเสมอ มีการแบ่งระบบเครือข่ายออกเป็นส่วนๆ ใช้การพิสูจน์ตัวตนแบบ 2-factor Authentication หรือตั้งรหัสผ่านให้แข็งแกร่ง เป็นต้น

9. จัดการและสำรองข้อมูล Log – การตรวจสอบข้อมูล Log ย้อนหลังเป็นสิ่งสำคัญมาก เนื่องจากช่วยให้สามารถจำลองสถานการณ์การโจมตีที่เคยเกิดขึ้นได้ ส่งผลให้สามารถเตรียมรับมือกับเหตุการณ์ที่คล้ายคลึงกันได้ง่ายยิ่งขึ้น โดย Log ควรเก็บจาก Antivirus, Network Traffic, PCAP, IDS/IPS, Firewall, Web Proxy, VPN, DHCP, AD และอื่นๆ

10. ใช้โซลูชันการบริหารจัดการและเฝ้าระวังอุปกรณ์ปลายทาง – อุปกรณ์ปลายทางนับว่าเป็นจุดที่อ่อนแอที่สุดในระบบเครือข่าย จึงควรมีการวางมาตรการควบคุม เช่น ติดตั้งโปรแกรม Antivirus และอัปเดตฐานข้อมูลล่าสุดเสมอ และการมีระบบบริหารจัดการจากศูนย์กลางจะช่วยลดภาระในการเฝ้าระวังอุปกรณ์ปลายทางได้เป็นอย่างมาก

ผู้ที่สนใจอ่านรายละเอียดเกี่ยวกับการเตรียมความพร้อมในการทำ Incident Response ทั้ง 10 ขั้นตอนสามารถดาวน์โหลดเอกสารฉบับเต็มได้ที่: https://www.mcafee.com/us/resources/white-papers/foundstone/wp-10-ways-prepare-incident-response.pdf


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ Zero-day บน iPhone X, Samsung Galaxy 9 และ Xiaomi Mi6 ในงาน Pwn2Own

ภายในการแข่งขัน Mobile Hacking ในงาน Pwn2Own ที่เพิ่งจัดไป ณ เมืองโตเกียว ประเทศญี่ปุ่น เมื่อวันที่ 13 – 14 พฤศจิกายนที่ผ่านมา นักวิจัยด้านความมั่นคงปลอดภัยหลายรายได้ออกมาสาธิตการแฮ็กสมาร์ตโฟนยอดนิยมหลายรุ่น …

พบช่องโหว่ Zero-day บน GDPR Plugin ของ WordPress เสี่ยงถูกเข้าควบคุมไซต์

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของ WordPress ออกมาแจ้งเตือนถึงช่องโหว่ Zero-day บน WP GDPR Compliance Plugin หนึ่งใน Plugin ยอดนิยมสำหรับผู้ที่ต้องการผ่านข้อกำหนดของ GDPR ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงไซต์ ติดตั้งสคริปต์ …