(ISC)2 Security Congress APAC 2016: แชร์ประสบการณ์สร้างทีม CSIRT โดย ดร.สรนันท์ จิวะสุรัตน์ ผอ.สำนักวิจัยและพัฒนา จาก ETDA

isc2_sec_congress_apac_2

ดร.สรนันท์ จิวะสุรัตน์ ผอ.สำนักวิจัยและพัฒนา จาก ETDA กระทรวง ICT ได้ออกมาแชร์ประสบการณ์การสร้างทีม CSIRT สำหรับรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ในไทย พร้อมให้คำแนะนำผู้ที่สนใจสร้างทีม CSIRT ในองค์กรของตนภายในงานประชุม Security Congress APAC 2016 โดย (ISC)2 ที่กำลังจัดขึ้นอยู่ในขณะนี้

isc2_sec_con_apac_2016_etda_1

ทำความรู้จักเบื้องต้น CERT/CSIRT/CIRT คืออะไร

CERT ย่อมาจาก Computer Emergency Response Team แปลว่า ทีมสำหรับรับมือกับสถาณการณ์ฉุกเฉินที่เกี่ยวกับคอมพิวเตอร์ คำว่า CERT ถูกลงทะเบียนเป็นเครื่องหมายการค้าของ CERT Coordication Center (CERT/CC) ซึ่งอยู่ภายใต้สถาบันวิศวกรรมซอฟต์แวร์ (SEI) ของมหาวิทยาลัยคาร์เนกี้ เมลลอน (CMU) สหรัฐอเมริกา

CSIRT ย่อมาจาก Computer Security Incident Response Team หรือก็คือทีมสำหรับรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยคอมพิวเตอร์ เรียกได้ว่าเป็นชื่อทั่วไปของ CERT มักนิยมใช้ในแถบยุโรป ซึ่งบางองค์กรอาจใช้ชื่อที่แตกต่างกันไป เช่น IRT (Incident Responst Team), CIRT (Computer Incident Response Team), SERT (Security Incident Response Team) แต่ทุกชื่อต่างถูกตั้งมาเพื่อวัตถุประสงค์เดียวกัน คือ ตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัย และให้บริการสิ่งจำเป็นสำหรับรับมือกับเหตุการณ์นั้นๆ เช่น การแจ้งเตือน การให้คำแนะนำ การอบรม และการบริหารจัดการ

“ภัยคุกคามไซเบอร์ในปัจจุบันแบ่งออกเป็น 2 แบบหลักๆ คือ Malicious Activities ซึ่งได้แก่ การโจมตีไซเบอร์ การจารกรรม การต้มตุ๋นหรือ Phishing มัลแวร์ การแฮ็คเว็บ DDoS เป็นต้น และอีกแบบคือ Social Uprising ซึ่งเริ่มพบมากขึ้นในไทย โดยส่วนใหญ่จะเป็นการโจมตีเพื่อแสดงจุดยืนทางการเมือง การต่อต้านกฏหมาย หรือนโยบายของรัฐบาล เช่น เหตุการณ์ F5 ทีมงาน CERT จำเป็นต้องรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยเหล่านี้ทั้งหมด” — ดร.สรนันท์ อธิบาย

แนวทางการสร้างทีม CERT ในประเทศไทย

ดร.สรนันท์ ระบุว่า ETDA ได้ใช้แนวปฏิบัติที่ดีที่สุดและกรอบการทำงานที่เป็นที่ยอมรับจากนานาชาติหลายอย่าง สำหรับสร้างทีม CERT ในไทย ได้แก่

  • SEI/CMU – Handbook for Computer Security Incident Response Teams (CSIRTs)
  • enisa – วิธีการสร้างทีม CSIRT แบบขั้นต่อขั้น
  • Terena – คู่มือการสร้างทีม CERT
  • RFC 2350 – Expectations for Computer Security Incident Responser

หลังจากนั้นก็มีการกำหนดและนิยามขอบเขตหลายประการ เช่น

  • นิยามเป้าหมายของทีม CERT
  • นิยามบริการหลักของ CERT และกำหนดหน้าที่ความรับผิดชอบ เช่น การแจ้งเตือน การรับมือกับปัญหา การจัดการกับช่องโหว่ การเฝ้าระวังภัยคุกคามจากเทคโนโลยีใหม่ การตรวจสอบและประเมินผล การตรวจจับภัยคุกคาม การอบรม เป็นต้น
  • ว่าจ้างพนักงานที่มีศักยภาพ และนิยามโครงสร้างขององค์กร
  • สร้างความสัมพันธ์อันดีทั้งภายในและภายนอก รวมไปถึงมีการแลกเปลี่ยนข้อมูลด้านความมั่นคงปลอดภัยระหว่างกัน
  • กำหนดช่องทางการติดต่อสื่อสารกับหน่วยงานที่ให้การดูแลและทีม CERT
  • กำหนดโมเดลด้านการเงิน เช่น เงินลงทุน ค่าใช้จ่าย และรายได้

6 – 8 คน คือจำนวนขั้นต่ำที่เหมาะสมที่สุด

โครงสร้างของทีม CERT ควรเป็นไปตามรูปด้านล่าง

isc2_sec_con_apac_2016_etda_2

ถ้าต้องการตั้งทีม CERT แบบให้บริการเต็มเวลา ควรมีพนักงานขั้นต่ำ 6 – 8 คน นอกจากนี้ อาจมีการว่าจ้างที่ปรึกษาจากภายนอกเพิ่มเติมเมื่อจำเป็น ซึ่งปัจจุบันนี้ ทีม ThaiCERT ภายใต้ ETDA ใช้โมเดลดังกล่าว และให้การดูแลหน่วยงานภาครัฐมากถึง 80 หน่วยงาน

ในส่วนของ Technician นั้น คุณสมบัติและทักษะที่พึงมี ประกอบด้วย

ศักยภาพด้านบุคคล

  • ยืดหยุ่น มีความคิดสร้างสรรค์ และทำงานเป็นทีม
  • มีทักษะการวิเคราะห์ที่ดีเยี่ยม
  • สามารถอธิบายข้อมูลเชิงเทคนิคให้ผู้อื่นเข้าใจได้ง่าย
  • มีความมั่นใจสูงและทำงานอย่างเป็นระบบ
  • อดทนต่อความกดดัน
  • มีทักษะด้านการติดต่อสื่อสารและการเขียนดีเยี่ยม
  • เปิดใจและพร้อมที่เรียนรู้สิ่งใหม่

ศักยภาพด้านเทคนิค

  • มีความรู้ทางด้านเทคโนโลยีอินเทอร์เน็ตและโปรโตคอลอย่างกว้างขวาง
  • มีความรู้ทางด้านระบบ Linux, Unix และ Windows
  • มีความรู้ทางด้านอุปกรณ์โครงสร้างเครือข่าย
  • มีความรู้ทางด้านแอพพลิเคชันและบริการบนอินเทอร์เน็ต เช่น SMTP, HTTP(s), Social Media และอื่นๆ
  • มีความรู้ทางด้านภัยคุกคาม เช่น DDoS, Phishing, Deafacing, Malware และอื่นๆ
  • มีความรู้ทางด้านการประเมินความเสี่ยงและการวางระบบ
  • มีความรู้ทางด้านการวิเคราะห์ข้อมูลแบบ Big Data และ Malware

ศักยภาพด้านอื่นๆ

  • พร้อมทำงานแบบ 7/24 หรือพร้อมรับการติดต่อตลอดเวลา
  • สามารถทำงานต่างจังหวัดหรือระยะไกลได้
  • มีประสบการณ์การทำงานในสาย IT Security

“มันเป็นเรื่องยากที่จะหาคนที่เหมาะสมมาทำงานในทีม CERT ทาง ETDA จึงได้ร่วมมือกับมหาวิทยาลัยต่างๆ ทั่วประเทศ เพื่อพัฒนาคนให้มีศักยภาพตามที่เราต้องการ รวมไปถึงสนับสนุนให้มีการจัดการแข่งขันด้านความมั่นคงปลอดภัยไซเบอร์ต่างๆ เพื่อสร้างความตระหนักและความสำคัญของการมีความรู้และทักษะด้านความมั่นคงปลอดภัย” — ดร.สรนันท์ อธิบายถึงการหาคนมาร่วมงาน

ประโยชน์ของการมีทีม CERT

  • เป็นทีมเฉพาะกิจด้านความมั่นคงปลอดภัยที่ช่วยบรรเทาและป้องกันภัยคุกคามต่างๆ รวมไปถึงปกป้องทรัพย์สินอันแสนมีค่าขององค์กร
  • บริหารจัดการปัญหาด้านความมั่นคงปลอดภัยและแลกเปลี่ยนข้อมูลภัยคุกคามระหว่างกันแบบรวมศูนย์
  • พัฒนาบุคลากรด้านความมั่นคงปลอดภัยได้ง่ายและมีประสิทธิภาพ
  • จำลองการซ้อมรับมือกับภัยคุกคามและสร้างความตระหนักให้แก่พนักงานในองค์กรได้ง่าย

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

จีเอเบิล ชี้ 3 Mega Trend ไอที เปลี่ยนโฉมธุรกิจองค์กรไทย พร้อมเป็น Tech Enabler ขับเคลื่อนองค์กรสู่อนาคต [PR]

ในยุคที่ธุรกิจองค์กรแข่งขันกันด้วยความเร็ว เพื่อให้ได้ผลลัพธ์และผลกำไรที่มากขึ้น การลดต้นทุนและการเพิ่มประสิทธิภาพในการทำงานที่เพิ่มขึ้น เป็นสิ่งที่เจ้าของธุรกิจรวมถึงผู้บริหารระดับสูงในธุรกิจองค์กรต่างๆ กำลังมองหา เพราะการดำเนินธุรกิจองค์กรในสถานการณ์ปัจจุบัน จำเป็นอย่างยิ่งที่จะต้องสร้าง Competitive Advantage เพื่อเป็นฐานในการสร้างการเติบโตอย่างยั่งยืน ซึ่งแน่นอนว่าอาวุธที่เป็นฟันเฟืองสำคัญในการผลักดันให้เกิดการเติบโตอย่างยั่งยืน นอกจากการพัฒนาคนในองค์กรให้เรียนรู้ทักษะด้านเทคโนโลยีอยู่เสมอ การเลือกใช้เทคโนโลยีที่ตรงกับกระแสทิศทางเทรนด์ได้อย่างถูกต้องเหมาะสมและตอบโจทย์ในการสร้างผลกำไรของแต่ละธุรกิจองค์กรในทุกภาคอุตสาหกรรมก็เป็นหัวใจสำคัญไม่แพ้กัน

Soft De’but จัดงาน Soft De’but : Breakthrough 2025 เพื่อขอบคุณพาร์ทเนอร์ พร้อมเปิดเวทีอัปเดตโซลูชันแห่งปี 2025 [Guest Post]

Soft De’but  ผู้นำเข้าและพัฒนาซอฟต์แวร์ชั้นนำระดับโลก จัดงาน Soft De’but : Breakthrough 2025 เมื่อวันที่ 24 มกราคม ที่ผ่านมา ณ BDMS Connect …