Breaking News

10 ขั้นตอนเตรียมความพร้อมในการทำ Incident Response

แฮ็กเกอร์ในปัจจุบันต่างสรรหาเทคนิคและพัฒนาการโจมตีไซเบอร์ให้ทวีความแยบยลและรุนแรงขึ้นเรื่อยๆ การป้องกันเพียงอย่างเดียวไม่สามารถปกป้ององค์กรจากภัยคุกคามระดับสูงได้อีกต่อไป องค์กรจำเป็นต้องมีกระบวนการในการรับมือกับสถานการณ์ที่ผิดปกติเมื่อภัยคุกคามเหล่านั้นหลุดเข้ามาได้ ยิ่งองค์กรสามารถตอบสนองต่อภัยคุกคามได้เร็วเท่าไหร่ ยิ่งช่วยให้สามารถกักกันความเสียหายและฟื้นฟูระบบให้กลับมาใช้งานตามปกติได้เร็วมากเท่านั้น

McAfee ผู้ให้บริการโซลูชันสำหรับศูนย์ SOC ชั้นนำ จึงได้ออก White Paper หัวข้อ “Ten Ways to Prepare for Incident Response” เพื่อให้เจ้าหน้าที่ด้านความมั่นคงปลอดภัยได้นำไปใช้เป็นแนวทางในการเตรียมความพร้อมสำหรับทำ Incident Response อย่างเป็นระบบ ซึ่งสามารถสรุปเนื้อหาได้ดังนี้

1.กำหนดหน้าที่ แนวทาง และกระบวนการต่างๆ – ขณะเกิดเหตุการณ์ไม่พึงประสงค์ จำเป็นต้องมีการแบ่งแยกหน้าที่และความรับผิดชอบที่ชัดเจน เพื่อให้ทุกคนทราบถึงสิ่งที่ตนเองต้องกระทำ เช่น IR & Forensics, Network & Information Security, Endpoint Security, SOC, Legal Department, Public Relations, Policy หรือ Contracting เป็นต้น

2. สื่อสารแผนงานและกระบวนการอย่างมีประสิทธิผล – ควรวางแผนการรับมือกับเหตุการณ์ไม่พึงประสงค์ก่อนจะเกิดเหตุการณ์ขึ้นจริง ไม่ว่าจะเป็นรูปแบบการสื่อสารที่ใช้ ช่องทางการติดต่อ รวมไปถึงจัดห้องวอร์รูมที่มีสิ่งอำนวยความสะดวกครบครันต่อการประชุมเมื่อเกิดเหตุผิดปกติ ที่สำคัญคือต้องมีลิสต์รายชื่อผู้เกี่ยวข้องและวิธีการติดต่อบุคคลเหล่านั้น

3. ผสานรวม Threat Intelligence และข้อมูลภัยคุกคามต่างๆ เข้าด้วยกัน – การมี Threat Intelligence และข้อมูลเกี่ยวกับภัยคุกคามประเภทต่างๆ ช่วยให้สามารถจำแนกประเภทของภัยคุกคาม เทคนิคที่ใช้ ผลกระทบ และ IoC (Indicators of Compromise) ได้อย่างแม่นยำ ช่วยให้สามารถปกป้องระบบได้อย่างรวดเร็วและตรงจุด

4. คัดแยกและเฝ้าระวังระบบที่ได้รับผลกระทบ – หลังจากที่ระบุ IoC ได้แล้ว จำเป็นต้องตัดสินใจว่าจะทำการคัดแยกระบบที่มีปัญหาออกจากระบบเครือข่ายเพื่อป้องกันผลกระทบที่อาจเกิดขึ้นต่อระบบอื่นๆ หรือไม่ ซึ่งอาจทำได้ในเชิง Physical เช่น ดึงสายเคเบิลที่ใช้เชื่อมต่อออก หรือในเชิง Logical เช่น การใช้ Firewall หรือปิดพอร์ตบน Switch

5. จัดทำเอกสารและลงบันทึกการตอบสนองต่อเหตุการณ์ไม่พึงประสงค์ – การลงบันทึกและทำเอกสารระหว่างเกิดเหตุไม่พึงประสงค์ช่วยให้ง่ายต่อการแชร์และตรวจสอบข้อมูลย้อนหลัง รวมไปถึงทำรายงานส่งผู้บริหาร ผู้ตรวจประเมิน หรือหน่วยงานกำกับดูแลที่เกี่ยวข้อง

6. จัดทำเอกสารเหตุการณ์ไม่พึงประสงค์ตามลำดับเวลา – นอกจากจัดทำเอกสารเป็นลายลักษณ์อักษรแล้ว ควรมีการระบุและจัดลำดับเหตุการณ์ที่เกิดขึ้นตามเวลาให้ชัดเจน เพื่อให้เห็นภาพและเข้าใจเหตุการณ์ทั้งหมดได้ง่ายยิ่งขึ้น

7. เข้าใจการตอบสนองต่อภัยคุกคามในแต่ละเฟส – การตอบสนองต่อภัยคุกคามจะถูกแบ่งออกเป็น 3 เฟสหลัก คือ การระบุขอบเขตของเหตุการณ์ไม่พึงประสงค์ การกักกันภัยคุกคาม และการฟื้นฟูระบบให้กลับคืนมา ซึ่งผู้ที่ได้รับมอบหมายจำเป็นต้องศึกษากระบวนการในเฟสที่ตนรับผิดชอบให้เป็นอย่างดี เพื่อให้สามารถรับมือกับเหตุการณ์ไม่พึงประสงค์ได้อย่างถูกต้องและรวดเร็ว

8. พร้อมรับมือภัยคุกคามตลอดเวลาด้วยการทำสถาปัตยกรรม แอพพลิเคชัน และระบบปฏิบัติการให้มั่นคงปลอดภัย – ภัยคุกคามบางอย่างสามารถป้องกันได้ล่วงหน้าจากการทำให้แอพพลิเคชัน ระบบปฏิบัติ และระบบเครือข่ายมีความมั่นคงปลอดภัย เช่น อัปเดตแพทช์สม่ำเสมอ มีการแบ่งระบบเครือข่ายออกเป็นส่วนๆ ใช้การพิสูจน์ตัวตนแบบ 2-factor Authentication หรือตั้งรหัสผ่านให้แข็งแกร่ง เป็นต้น

9. จัดการและสำรองข้อมูล Log – การตรวจสอบข้อมูล Log ย้อนหลังเป็นสิ่งสำคัญมาก เนื่องจากช่วยให้สามารถจำลองสถานการณ์การโจมตีที่เคยเกิดขึ้นได้ ส่งผลให้สามารถเตรียมรับมือกับเหตุการณ์ที่คล้ายคลึงกันได้ง่ายยิ่งขึ้น โดย Log ควรเก็บจาก Antivirus, Network Traffic, PCAP, IDS/IPS, Firewall, Web Proxy, VPN, DHCP, AD และอื่นๆ

10. ใช้โซลูชันการบริหารจัดการและเฝ้าระวังอุปกรณ์ปลายทาง – อุปกรณ์ปลายทางนับว่าเป็นจุดที่อ่อนแอที่สุดในระบบเครือข่าย จึงควรมีการวางมาตรการควบคุม เช่น ติดตั้งโปรแกรม Antivirus และอัปเดตฐานข้อมูลล่าสุดเสมอ และการมีระบบบริหารจัดการจากศูนย์กลางจะช่วยลดภาระในการเฝ้าระวังอุปกรณ์ปลายทางได้เป็นอย่างมาก

ผู้ที่สนใจอ่านรายละเอียดเกี่ยวกับการเตรียมความพร้อมในการทำ Incident Response ทั้ง 10 ขั้นตอนสามารถดาวน์โหลดเอกสารฉบับเต็มได้ที่: https://www.mcafee.com/us/resources/white-papers/foundstone/wp-10-ways-prepare-incident-response.pdf


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VMUG Webinar: แม่นยำขึ้น ฉลาดขึ้น ในการตรวจสอบปัญหาและการใช้ทรัพยากรในระบบ VMware HCI, Private Cloud, Hybrid Cloud, Multi-Cloud โดย VMware

VMware User Group Thailand ขอเรียนเชิญผู้บริหารฝ่าย IT, ผู้จัดการ IT, Cloud Engineer, System Engineer และผู้ดูแลระบบ IT เข้าร่วมฟัง Webinar ในหัวข้อเรื่อง "แม่นยำขึ้น ฉลาดขึ้น ในการตรวจสอบปัญหาและการใช้ทรัพยากรในระบบ VMware HCI, Private Cloud, Hybrid Cloud, Multi-Cloud โดย VMware" เพื่อรู้จักกับแนวคิด Self-Driving Operation ที่ต่อยอดจากความสามารถของ VMware vRealize Operation 8.0 โดยทีมงาน VMware โดยตรง ในวันจันทร์ที่ 25 พฤศจิกายน 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

TechTalk Webinar: HTTP/3, How Cloudflare Help to Make the Internet Better โดย Cloudflare APAC

TechTalkThai ขอเรียนเชิญทุกท่านในสายงานด้าน IT เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "TechTalk Webinar: HTTP/3, How Cloudflare Help to Make the Internet Better โดย Cloudflare APAC" เพื่อรู้จักกับแนวคิดและการทำงานของ HTTP/3 อย่างเจาะลึก พร้อมกับโซลูชันของ Cloudflare ที่จะช่วยให้ Web Application ของคุณสามารถเริ่มต้นรองรับ HTTP/3 ได้ทันที ในวันอังคารที่ 26 พฤศจิกายน 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้