(ISC)2 Security Congress APAC 2016: แชร์ประสบการณ์สร้างทีม CSIRT โดย ดร.สรนันท์ จิวะสุรัตน์ ผอ.สำนักวิจัยและพัฒนา จาก ETDA

isc2_sec_congress_apac_2

ดร.สรนันท์ จิวะสุรัตน์ ผอ.สำนักวิจัยและพัฒนา จาก ETDA กระทรวง ICT ได้ออกมาแชร์ประสบการณ์การสร้างทีม CSIRT สำหรับรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ในไทย พร้อมให้คำแนะนำผู้ที่สนใจสร้างทีม CSIRT ในองค์กรของตนภายในงานประชุม Security Congress APAC 2016 โดย (ISC)2 ที่กำลังจัดขึ้นอยู่ในขณะนี้

isc2_sec_con_apac_2016_etda_1

ทำความรู้จักเบื้องต้น CERT/CSIRT/CIRT คืออะไร

CERT ย่อมาจาก Computer Emergency Response Team แปลว่า ทีมสำหรับรับมือกับสถาณการณ์ฉุกเฉินที่เกี่ยวกับคอมพิวเตอร์ คำว่า CERT ถูกลงทะเบียนเป็นเครื่องหมายการค้าของ CERT Coordication Center (CERT/CC) ซึ่งอยู่ภายใต้สถาบันวิศวกรรมซอฟต์แวร์ (SEI) ของมหาวิทยาลัยคาร์เนกี้ เมลลอน (CMU) สหรัฐอเมริกา

CSIRT ย่อมาจาก Computer Security Incident Response Team หรือก็คือทีมสำหรับรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยคอมพิวเตอร์ เรียกได้ว่าเป็นชื่อทั่วไปของ CERT มักนิยมใช้ในแถบยุโรป ซึ่งบางองค์กรอาจใช้ชื่อที่แตกต่างกันไป เช่น IRT (Incident Responst Team), CIRT (Computer Incident Response Team), SERT (Security Incident Response Team) แต่ทุกชื่อต่างถูกตั้งมาเพื่อวัตถุประสงค์เดียวกัน คือ ตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัย และให้บริการสิ่งจำเป็นสำหรับรับมือกับเหตุการณ์นั้นๆ เช่น การแจ้งเตือน การให้คำแนะนำ การอบรม และการบริหารจัดการ

“ภัยคุกคามไซเบอร์ในปัจจุบันแบ่งออกเป็น 2 แบบหลักๆ คือ Malicious Activities ซึ่งได้แก่ การโจมตีไซเบอร์ การจารกรรม การต้มตุ๋นหรือ Phishing มัลแวร์ การแฮ็คเว็บ DDoS เป็นต้น และอีกแบบคือ Social Uprising ซึ่งเริ่มพบมากขึ้นในไทย โดยส่วนใหญ่จะเป็นการโจมตีเพื่อแสดงจุดยืนทางการเมือง การต่อต้านกฏหมาย หรือนโยบายของรัฐบาล เช่น เหตุการณ์ F5 ทีมงาน CERT จำเป็นต้องรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยเหล่านี้ทั้งหมด” — ดร.สรนันท์ อธิบาย

แนวทางการสร้างทีม CERT ในประเทศไทย

ดร.สรนันท์ ระบุว่า ETDA ได้ใช้แนวปฏิบัติที่ดีที่สุดและกรอบการทำงานที่เป็นที่ยอมรับจากนานาชาติหลายอย่าง สำหรับสร้างทีม CERT ในไทย ได้แก่

  • SEI/CMU – Handbook for Computer Security Incident Response Teams (CSIRTs)
  • enisa – วิธีการสร้างทีม CSIRT แบบขั้นต่อขั้น
  • Terena – คู่มือการสร้างทีม CERT
  • RFC 2350 – Expectations for Computer Security Incident Responser

หลังจากนั้นก็มีการกำหนดและนิยามขอบเขตหลายประการ เช่น

  • นิยามเป้าหมายของทีม CERT
  • นิยามบริการหลักของ CERT และกำหนดหน้าที่ความรับผิดชอบ เช่น การแจ้งเตือน การรับมือกับปัญหา การจัดการกับช่องโหว่ การเฝ้าระวังภัยคุกคามจากเทคโนโลยีใหม่ การตรวจสอบและประเมินผล การตรวจจับภัยคุกคาม การอบรม เป็นต้น
  • ว่าจ้างพนักงานที่มีศักยภาพ และนิยามโครงสร้างขององค์กร
  • สร้างความสัมพันธ์อันดีทั้งภายในและภายนอก รวมไปถึงมีการแลกเปลี่ยนข้อมูลด้านความมั่นคงปลอดภัยระหว่างกัน
  • กำหนดช่องทางการติดต่อสื่อสารกับหน่วยงานที่ให้การดูแลและทีม CERT
  • กำหนดโมเดลด้านการเงิน เช่น เงินลงทุน ค่าใช้จ่าย และรายได้

6 – 8 คน คือจำนวนขั้นต่ำที่เหมาะสมที่สุด

โครงสร้างของทีม CERT ควรเป็นไปตามรูปด้านล่าง

isc2_sec_con_apac_2016_etda_2

ถ้าต้องการตั้งทีม CERT แบบให้บริการเต็มเวลา ควรมีพนักงานขั้นต่ำ 6 – 8 คน นอกจากนี้ อาจมีการว่าจ้างที่ปรึกษาจากภายนอกเพิ่มเติมเมื่อจำเป็น ซึ่งปัจจุบันนี้ ทีม ThaiCERT ภายใต้ ETDA ใช้โมเดลดังกล่าว และให้การดูแลหน่วยงานภาครัฐมากถึง 80 หน่วยงาน

ในส่วนของ Technician นั้น คุณสมบัติและทักษะที่พึงมี ประกอบด้วย

ศักยภาพด้านบุคคล

  • ยืดหยุ่น มีความคิดสร้างสรรค์ และทำงานเป็นทีม
  • มีทักษะการวิเคราะห์ที่ดีเยี่ยม
  • สามารถอธิบายข้อมูลเชิงเทคนิคให้ผู้อื่นเข้าใจได้ง่าย
  • มีความมั่นใจสูงและทำงานอย่างเป็นระบบ
  • อดทนต่อความกดดัน
  • มีทักษะด้านการติดต่อสื่อสารและการเขียนดีเยี่ยม
  • เปิดใจและพร้อมที่เรียนรู้สิ่งใหม่

ศักยภาพด้านเทคนิค

  • มีความรู้ทางด้านเทคโนโลยีอินเทอร์เน็ตและโปรโตคอลอย่างกว้างขวาง
  • มีความรู้ทางด้านระบบ Linux, Unix และ Windows
  • มีความรู้ทางด้านอุปกรณ์โครงสร้างเครือข่าย
  • มีความรู้ทางด้านแอพพลิเคชันและบริการบนอินเทอร์เน็ต เช่น SMTP, HTTP(s), Social Media และอื่นๆ
  • มีความรู้ทางด้านภัยคุกคาม เช่น DDoS, Phishing, Deafacing, Malware และอื่นๆ
  • มีความรู้ทางด้านการประเมินความเสี่ยงและการวางระบบ
  • มีความรู้ทางด้านการวิเคราะห์ข้อมูลแบบ Big Data และ Malware

ศักยภาพด้านอื่นๆ

  • พร้อมทำงานแบบ 7/24 หรือพร้อมรับการติดต่อตลอดเวลา
  • สามารถทำงานต่างจังหวัดหรือระยะไกลได้
  • มีประสบการณ์การทำงานในสาย IT Security

“มันเป็นเรื่องยากที่จะหาคนที่เหมาะสมมาทำงานในทีม CERT ทาง ETDA จึงได้ร่วมมือกับมหาวิทยาลัยต่างๆ ทั่วประเทศ เพื่อพัฒนาคนให้มีศักยภาพตามที่เราต้องการ รวมไปถึงสนับสนุนให้มีการจัดการแข่งขันด้านความมั่นคงปลอดภัยไซเบอร์ต่างๆ เพื่อสร้างความตระหนักและความสำคัญของการมีความรู้และทักษะด้านความมั่นคงปลอดภัย” — ดร.สรนันท์ อธิบายถึงการหาคนมาร่วมงาน

ประโยชน์ของการมีทีม CERT

  • เป็นทีมเฉพาะกิจด้านความมั่นคงปลอดภัยที่ช่วยบรรเทาและป้องกันภัยคุกคามต่างๆ รวมไปถึงปกป้องทรัพย์สินอันแสนมีค่าขององค์กร
  • บริหารจัดการปัญหาด้านความมั่นคงปลอดภัยและแลกเปลี่ยนข้อมูลภัยคุกคามระหว่างกันแบบรวมศูนย์
  • พัฒนาบุคลากรด้านความมั่นคงปลอดภัยได้ง่ายและมีประสิทธิภาพ
  • จำลองการซ้อมรับมือกับภัยคุกคามและสร้างความตระหนักให้แก่พนักงานในองค์กรได้ง่าย

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Trend Micro เข้าซื้อ Cloud Conformity เสริมทัพ Cloud Security

Trend Micro ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดัง ประกาศเข้าควบรวมกิจการของ Cloud Confirmity บริษัทที่ให้บริการแพลตฟอร์มด้าน Cloud Security Posture Management ด้วยมูลค่า $70 ล้าน (ประมาณ …

Cyber Defense Initiative Conference (CDIC) 2019 เปิดลงทะเบียนวันนี้แล้ว

Software Park Thailand และ ACIS Professional Center ร่วมกับเหล่าพันธมิตร ขอเชิญผู้ที่สนใจเข้าร่วมงานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ที่ยิ่งใหญ่ที่สุดในประเทศไทยและภูมิภาคอาเซียน “Cyber Defense Initiative Conference (CDIC) 2019” …