ตอบโต้ภัยคุกคามอย่างมืออาชีพ ด้วย 6 ขั้นตอนสำคัญ

บทความนี้เราจะมาพูดถึงวิธีการตอบสนองต่อภัยคุกคามเมื่อมีการตรวจพบการโจมตีหรอืมัลแวร์บนระบบเครือข่าย ผู้ดูแลระบบควรพึงระลึกไว้เสมอว่า ระบบของตนมีความเสี่ยงที่จะถูกโจมตีตลอดเวลา ดังนั้นจึงควรมีสติ และรับมืออย่างเป็นระบบ SANS สถาบันอบรบด้านความปลอดภัยของข้อมูลและความปลอดภัยบนโลกไซเบอร์ ได้อธิบายถึง 6 ขั้นตอนสำคัญในการตอบโต้ภัยคุกคาม ดังนี้

  1. เตรียมความพร้อม – เตรียมคนและระบบ IT ให้พร้อมรับมือกับภัยคุกคามที่อาจเกิดขึ้นได้
  2. ระบุภัยคุกคาม – จำแนกให้ชัดเจนว่า สิ่งไหนคือ “Security Incident” หรือเหตุการณ์ที่เรียกได้ว่าเป็นภัยคุกคามต่อระบบ สิ่งไหนคือเหตุการณ์ที่ปล่อยไปได้โดยไม่ต้องสนใจ
  3. กักกัน – เมื่อตรวจพบภัยคุกคามแล้ว ต้องทำการกักกันระบบ ณ ตำแหน่งนั้นๆเพื่อไม่ให้ภัยคุกคามขยายวงกว้างต่อไปได้
  4. กำจัด – ค้นหาและทำลายต้นตอของปัญหา เช่น นำระบบที่ได้รับผลกระทบออกจากการใช้งาน แล้วจัดการคลีนมัลแวร์ หรืออุดช่องโหว่ เป็นต้น
  5. ฟื้นฟู – นำระบบที่ได้รับผลกระทบที่ได้ผ่านการ “กำจัด”​ เรียบร้อยแล้วกลับเข้าสู่การใช้งานปกติ แล้วคอยติดตามพฤติกรรมอย่างใกล้ชิด
  6. เรียนรู้จากประสบการณ์ – จดบันทึก ตรวจสอบ และวิเคราะห์เหตุการณ์ที่เกิดขึ้นกับสมาชิกในทีม เพื่อที่จะได้รับมือกับเหตุการณ์คล้ายๆกันที่อาจเกิดขึ้นในอนาคตได้ดียิ่งขึ้น
techtalkthai_stop_process
Credit: ShutterStock

เปลี่ยนนิยามเรื่องความสำเร็จในการป้องกันเสียใหม่

ความสำเร็จในการป้องกันภัยคุกคามมีหลายระดับ คนส่วนใหญ่มักหลงไปกับวาทกรรมที่ว่า แฮ็คเกอร์โจมตีเป็นร้อยเป็นพันครั้ง ขอแค่สำเร็จเพียงครั้งเดียว ก็จะเจาะเข้าระบบได้ทันที ตรงข้ามกับผู้ดูแลระบบ ต่อให้ป้องกันการโจมตีได้สักกี่ครั้ง แต่ถ้าพลาดเพียงครั้งเดียวก็เป็นอันจบเช่นกัน … คำกล่าวนี้ไม่ได้เป็นจริงเสมอไป

การโจมตีไม่ใช่เรื่องที่ถ้าพลาดแล้วก็พลาดเลย กล่าวคือ ก่อนที่แฮ็คเกอร์จะโจมตีได้สำเร็จ ต้องผ่านขั้นตอน วิธีการที่หลากหลาย การที่จะทำให้ระบบป้องกันมองไม่เห็น หรือตรวจจับไม่ได้นั้น แฮ็คเกอร์จำเป็นต้องเดินหมากอย่างรอบคอบ ถ้าเป้าหมายสามารถตรวจจับการโจมตีได้แม้เพียงครั้งเดียว เป็นไปได้ที่การโจมตีอื่นๆที่เหลือจะถูกตรวจพบและล้มเหลวไปในที่สุด

สรุปคือ เราไม่จำเป็นต้องตรวจจับได้หมดทุกอย่างขณะที่ถูกโจมตี ขอเพียงแค่สามารถตรวจจับและชี้ชัดการโจมตีเพียงส่วนหนึ่งได้อย่างถูกต้อง ก็สามารถหยุดยั้งการโจมตีทั้งหมดได้ แค่นี้ก็เรียกว่าป้องกันภัยคุกคามได้สำเร็จแล้ว

อย่าตื่นกลัว ต้องมีสติตลอดเวลา

วิธีการบุกรุกโจมตีระบบมีมากมายหลายรูปแบบ การคาดหวังว่าจะรู้เท่าทันแฮ็คเกอร์ได้หมดทุกรูปแบบนั้นเป็นเรื่องที่แทบจะเป็นไปไม่ได้ในชีวิตจริง สิ่งสำคัญที่สุดในการตอบโต้ภัยคุกคามคือ ต้องสามารถรับมือกับทุกสถานการณ์ได้ โดยเกิดความเสียภายในวงจำกัด ซึ่งจะช่วยให้ประหยัดเวลาและค่าใช้จ่ายในการฟื้นฟูระบบได้เหมือนเดิม

แฮ็คเกอร์ก็มีข้อจำกัดเช่นกัน

แฮ็คเกอร์ส่วนใหญ่มีข้อจำกัดด้านสกิลและการเงิน ส่งผลให้แฮ็คเกอร์มักทุ่มเทกับการแฮ็คโดยใช้ความพยายามและทรัพยากรในการเจาะระบบให้น้อยที่สุดเท่าที่จะทำได้ ดังนั้น ยิ่งเราจัดการอุดช่องโหว่ และขจัดประเด็นเรื่องความความเสี่ยงได้มากเท่าไหร่ แฮ็คเกอร์ก็ยิ่งจำเป็นต้องยกระดับการโจมตีให้สูงขึ้น ซึ่งถ้าบริษัทเราไม่ใช่เป้าหมายโดยตรงของแฮ็คเกอร์แล้ว แฮ็คเกอร์ส่วนใหญ่ก็จะเปลี่ยนใจไปหาเป้าหมายใหม่ที่ง่ายยิ่งกว่า แทนที่จะทนอยู่กับการเจาะระบบที่ต้องเสียทั้งเงิน ทั้งเวลา

Credit: ShutterStock
Credit: ShutterStock

ที่มา: http://www.informationsecuritybuzz.com/isb-promotion/how-to-build-a-successful-incident-response-plan/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ซิสโก้เผยโฉมนวัตกรรม AI พร้อมประกาศความร่วมมือกับพาร์ทเนอร์ ที่งาน Cisco Live Amsterdam [PR]

โซลูชั่นใหม่ที่ขับเคลื่อนด้วย AI ครอบคลุมระบบเครือข่าย ระบบรักษาความปลอดภัย การทำงานร่วมกัน และการตรวจสอบ ตอกย้ำความมุ่งมั่นอย่างต่อเนื่องของซิสโก้ในการพัฒนานวัตกรรม AI

VMware เตือนผู้ใช้งานปลั๊กอิน EAP รีบลบออกด่วนหลังพบช่องโหว่ร้ายแรง

VMware Enhanced Authentication Plug-in (EAP) ได้ถูกประกาศยุติการไปต่อมาตั้งแต่ปี 2021 แล้วตั้งแต่ vCenter Version 7.0 update 2 มิหนำซ้ำล่าสุดยังพบช่องโหว่ร้ายแรงอีกต่างหาก ด้วยเหตุนี้ทาง …