การที่องค์กรสนใจป้องกันหรือตรวจจับภัยคุกคาม เช่น การอัปเดตแพทซ์ จำกัดสิทธิ์การใช้งานของผู้ใช้ เสริมความแข็งแกร่งด้านความมั่นคงปลอดภัยให้อุปกรณ์ Endpoint หรือ ทำการสำรองข้อมูล พื้นฐานเหล่านี้เป็นสิ่งจำเป็น อย่างไรก็ดีองค์กรมักมองข้ามความสำคัญของการวิเคราะห์ข้อมูลในเครือข่ายเพื่อเข้าใจถึงการใช้งานในยามปกติ หรือการเก็บหลักฐานหลังถูกโจมตีซึ่งจะทำให้เราเข้าใจภาพของการโจมตีและเสริมความมั่นคงปลอดภัยจากจุดอ่อนที่เป็นสาเหตุเหล่านั้นเพื่อป้องกันไม่ให้เกิดเหตุการณ์ซ้ำอีกในอนาคต ดังนั้นเราจึงได้สรุปบทความที่กล่าวถึงประโยชน์ของขั้นตอนเหล่านี้มาให้ได้ติดตามกัน
- Prevention ประกอบด้วยการใช้เครื่องมือ เช่น Antivirus และ Firewall เพื่อเป็นประตูบ้านไว้ป้องกันคนร้าย
- Detection การใช้ระบบที่รู้จำการบุกรุกที่สามารถระบุการโจมตีที่เกิดขึ้นภายในระบบเครือข่ายได้
- Remediation การเปลี่ยนแปลงระบบให้ถูกต้อง เช่น การกำจัดภัยคุกคามออกจากระบบที่ได้รับผลกระทบ ซึ่งส่วนหนึ่งประกอบด้วยการอาศัยข้อมูลการโจมตีจากหลักฐานที่เก็บมาได้ในเครือข่าย (Network Forensics) เพื่อนำไปใช้แก้ไขปัญหาที่เกิดขึ้นต่อไป
ความพ่ายแพ้ในการต่อสู้ขององค์กร
องค์กรหลายแห่งไม่ได้ให้ความสนใจกับขั้นตอนด้านการเก็บหลักฐาน (Forensic) มากนัก โดยจากการวิเคราะห์ในภาคอุตสาหกรรมของ Gartner พบว่าองค์กรทั่วไปมักจะเน้นไปที่การตรวจจับหรือป้องกันระบบมากกว่า ซึ่งมีงบประมาณถูกใช้ไปกับส่วนดังกล่าวถึง 1$ หมื่นล้านแต่แบ่งมาในส่วน Remediation เพียง 200$ ล้านเท่านั้น จะเห็นว่าต่างกันถึง 50 เท่าทีเดียว แม้ว่าเราสามารถสืบย้อนกลับไปถึงสาเหตุของความล้มเหลวด้านความมั่นคงปลอดภัยได้ เช่น การไม่มีแพตซ์ การไม่ระมัดระวังตัวจากอีเมลหลอกลวง หรือ การจำกัดสิทธิ์การเข้าถึง หรืออื่นๆ แต่ผลสำรวจจาก State of the Network พบว่า 80% ของทีมระบบเครือข่ายหมดเวลาไปกับความมั่นคงปลอดภัยอันเนื่องมาจากมัลแวร์มีความซับซ้อนมากขึ้นประกอบกับจำนวนทรัพยากรในระบบที่เพิ่มขึ้น ความผิดอันใหญ่หลวงของมาตรการป้องกันทุกวันนี้คือมันสนใจแค่ Known Attack อย่างไรก็ดีมี Zero-day Attack เกิดขึ้นทุกวัน ดังนั้นระบบของเราก็อาจจะถูกเจาะได้อยู่ดีเพราะไม่มีระบบไหนปลอดภัย 100%
ถึงเวลาของ Data Forensics
- ติดตามย้อนรอยการโจมตีที่เกิดขึ้น เช่น เครื่องไหนติดมัลแวร์เครื่องแรกและมันเกิดขึ้นได้อย่างไรเพื่อติดตามวิธีการทำงานของมัลแวร์จากจุดนั้นต่อไป หลังจากนั้นทีมงานสามารถนำไปปรับปรุงการทำงานของ Firewall หรืออุปกรณ์ Endpoint ให้มั่นคงปลอดภัยมากขึ้น
- สามารถกำหนดค่าพารามิเตอร์ในเครือข่าย เช่น สามารถปรับปรุงการแจ้งเตือนไปยังทีมงานเมื่อ SMBs โปรโตคอลมีคำสั่งในการลบไฟล์จำนวนมาก ซึ่งมันมีประโยชน์มากกับพวก WannaCry และ Petya/NotPetya ที่ใช้ SMB หรือ Samba ในการโจมตีเป็นต้น
- ทราบถึงพฤติกรรมปกติในระบบเครือข่าย หากวันใดมีการใช้งานที่ต่างออกไปเราจะสามารถทราบถึงความเปลี่ยนแปลงได้และระมัดระวังภัยที่อาจจะเกิดขึ้น
- รู้จักคนร้าย โดยศึกษายุทธวิธีของคนร้ายที่ใช้โจมตี เพื่อให้ครั้งหน้าจะสามารถค้นหาและจัดการมัลแวร์ได้อย่างรวดเร็ว
- ทำงานได้กับปริมาณข้อมูลจำนวนมหาศาลในปัจจุบันได้อย่างมีประสิทธิภาพ โดยทีมงานสามารถระบุช่วงเวลาที่เกิดเหตุการณ์ได้เพื่อดึงเฉพาะข้อมูลที่เกิดในช่วงเวลานั้นๆ ออกมาตรวจสอบ
ที่มา : https://www.scmagazine.com/how-to-use-data-forensics-to-secure-enterprise-networks/article/710052/