ดร.สรนันท์ จิวะสุรัตน์ ผอ.สำนักวิจัยและพัฒนา จาก ETDA กระทรวง ICT ได้ออกมาแชร์ประสบการณ์การสร้างทีม CSIRT สำหรับรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ในไทย พร้อมให้คำแนะนำผู้ที่สนใจสร้างทีม CSIRT ในองค์กรของตนภายในงานประชุม Security Congress APAC 2016 โดย (ISC)2 ที่กำลังจัดขึ้นอยู่ในขณะนี้
ทำความรู้จักเบื้องต้น CERT/CSIRT/CIRT คืออะไร
CERT ย่อมาจาก Computer Emergency Response Team แปลว่า ทีมสำหรับรับมือกับสถาณการณ์ฉุกเฉินที่เกี่ยวกับคอมพิวเตอร์ คำว่า CERT ถูกลงทะเบียนเป็นเครื่องหมายการค้าของ CERT Coordication Center (CERT/CC) ซึ่งอยู่ภายใต้สถาบันวิศวกรรมซอฟต์แวร์ (SEI) ของมหาวิทยาลัยคาร์เนกี้ เมลลอน (CMU) สหรัฐอเมริกา
CSIRT ย่อมาจาก Computer Security Incident Response Team หรือก็คือทีมสำหรับรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยคอมพิวเตอร์ เรียกได้ว่าเป็นชื่อทั่วไปของ CERT มักนิยมใช้ในแถบยุโรป ซึ่งบางองค์กรอาจใช้ชื่อที่แตกต่างกันไป เช่น IRT (Incident Responst Team), CIRT (Computer Incident Response Team), SERT (Security Incident Response Team) แต่ทุกชื่อต่างถูกตั้งมาเพื่อวัตถุประสงค์เดียวกัน คือ ตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัย และให้บริการสิ่งจำเป็นสำหรับรับมือกับเหตุการณ์นั้นๆ เช่น การแจ้งเตือน การให้คำแนะนำ การอบรม และการบริหารจัดการ
“ภัยคุกคามไซเบอร์ในปัจจุบันแบ่งออกเป็น 2 แบบหลักๆ คือ Malicious Activities ซึ่งได้แก่ การโจมตีไซเบอร์ การจารกรรม การต้มตุ๋นหรือ Phishing มัลแวร์ การแฮ็คเว็บ DDoS เป็นต้น และอีกแบบคือ Social Uprising ซึ่งเริ่มพบมากขึ้นในไทย โดยส่วนใหญ่จะเป็นการโจมตีเพื่อแสดงจุดยืนทางการเมือง การต่อต้านกฏหมาย หรือนโยบายของรัฐบาล เช่น เหตุการณ์ F5 ทีมงาน CERT จำเป็นต้องรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยเหล่านี้ทั้งหมด” — ดร.สรนันท์ อธิบาย
แนวทางการสร้างทีม CERT ในประเทศไทย
ดร.สรนันท์ ระบุว่า ETDA ได้ใช้แนวปฏิบัติที่ดีที่สุดและกรอบการทำงานที่เป็นที่ยอมรับจากนานาชาติหลายอย่าง สำหรับสร้างทีม CERT ในไทย ได้แก่
- SEI/CMU – Handbook for Computer Security Incident Response Teams (CSIRTs)
- enisa – วิธีการสร้างทีม CSIRT แบบขั้นต่อขั้น
- Terena – คู่มือการสร้างทีม CERT
- RFC 2350 – Expectations for Computer Security Incident Responser
หลังจากนั้นก็มีการกำหนดและนิยามขอบเขตหลายประการ เช่น
- นิยามเป้าหมายของทีม CERT
- นิยามบริการหลักของ CERT และกำหนดหน้าที่ความรับผิดชอบ เช่น การแจ้งเตือน การรับมือกับปัญหา การจัดการกับช่องโหว่ การเฝ้าระวังภัยคุกคามจากเทคโนโลยีใหม่ การตรวจสอบและประเมินผล การตรวจจับภัยคุกคาม การอบรม เป็นต้น
- ว่าจ้างพนักงานที่มีศักยภาพ และนิยามโครงสร้างขององค์กร
- สร้างความสัมพันธ์อันดีทั้งภายในและภายนอก รวมไปถึงมีการแลกเปลี่ยนข้อมูลด้านความมั่นคงปลอดภัยระหว่างกัน
- กำหนดช่องทางการติดต่อสื่อสารกับหน่วยงานที่ให้การดูแลและทีม CERT
- กำหนดโมเดลด้านการเงิน เช่น เงินลงทุน ค่าใช้จ่าย และรายได้
6 – 8 คน คือจำนวนขั้นต่ำที่เหมาะสมที่สุด
โครงสร้างของทีม CERT ควรเป็นไปตามรูปด้านล่าง
ถ้าต้องการตั้งทีม CERT แบบให้บริการเต็มเวลา ควรมีพนักงานขั้นต่ำ 6 – 8 คน นอกจากนี้ อาจมีการว่าจ้างที่ปรึกษาจากภายนอกเพิ่มเติมเมื่อจำเป็น ซึ่งปัจจุบันนี้ ทีม ThaiCERT ภายใต้ ETDA ใช้โมเดลดังกล่าว และให้การดูแลหน่วยงานภาครัฐมากถึง 80 หน่วยงาน
ในส่วนของ Technician นั้น คุณสมบัติและทักษะที่พึงมี ประกอบด้วย
ศักยภาพด้านบุคคล
- ยืดหยุ่น มีความคิดสร้างสรรค์ และทำงานเป็นทีม
- มีทักษะการวิเคราะห์ที่ดีเยี่ยม
- สามารถอธิบายข้อมูลเชิงเทคนิคให้ผู้อื่นเข้าใจได้ง่าย
- มีความมั่นใจสูงและทำงานอย่างเป็นระบบ
- อดทนต่อความกดดัน
- มีทักษะด้านการติดต่อสื่อสารและการเขียนดีเยี่ยม
- เปิดใจและพร้อมที่เรียนรู้สิ่งใหม่
ศักยภาพด้านเทคนิค
- มีความรู้ทางด้านเทคโนโลยีอินเทอร์เน็ตและโปรโตคอลอย่างกว้างขวาง
- มีความรู้ทางด้านระบบ Linux, Unix และ Windows
- มีความรู้ทางด้านอุปกรณ์โครงสร้างเครือข่าย
- มีความรู้ทางด้านแอพพลิเคชันและบริการบนอินเทอร์เน็ต เช่น SMTP, HTTP(s), Social Media และอื่นๆ
- มีความรู้ทางด้านภัยคุกคาม เช่น DDoS, Phishing, Deafacing, Malware และอื่นๆ
- มีความรู้ทางด้านการประเมินความเสี่ยงและการวางระบบ
- มีความรู้ทางด้านการวิเคราะห์ข้อมูลแบบ Big Data และ Malware
ศักยภาพด้านอื่นๆ
- พร้อมทำงานแบบ 7/24 หรือพร้อมรับการติดต่อตลอดเวลา
- สามารถทำงานต่างจังหวัดหรือระยะไกลได้
- มีประสบการณ์การทำงานในสาย IT Security
“มันเป็นเรื่องยากที่จะหาคนที่เหมาะสมมาทำงานในทีม CERT ทาง ETDA จึงได้ร่วมมือกับมหาวิทยาลัยต่างๆ ทั่วประเทศ เพื่อพัฒนาคนให้มีศักยภาพตามที่เราต้องการ รวมไปถึงสนับสนุนให้มีการจัดการแข่งขันด้านความมั่นคงปลอดภัยไซเบอร์ต่างๆ เพื่อสร้างความตระหนักและความสำคัญของการมีความรู้และทักษะด้านความมั่นคงปลอดภัย” — ดร.สรนันท์ อธิบายถึงการหาคนมาร่วมงาน
ประโยชน์ของการมีทีม CERT
- เป็นทีมเฉพาะกิจด้านความมั่นคงปลอดภัยที่ช่วยบรรเทาและป้องกันภัยคุกคามต่างๆ รวมไปถึงปกป้องทรัพย์สินอันแสนมีค่าขององค์กร
- บริหารจัดการปัญหาด้านความมั่นคงปลอดภัยและแลกเปลี่ยนข้อมูลภัยคุกคามระหว่างกันแบบรวมศูนย์
- พัฒนาบุคลากรด้านความมั่นคงปลอดภัยได้ง่ายและมีประสิทธิภาพ
- จำลองการซ้อมรับมือกับภัยคุกคามและสร้างความตระหนักให้แก่พนักงานในองค์กรได้ง่าย