จากรายงาน 2015 Data Breach Investigation Report พบว่า ในปี 2014 ที่ผ่านมา มีข้อมูลถูกเจาะรวมแล้วทั้งสิ้นกว่า 700 ล้านเร็คคอร์ด คิดเป็นมูลค่าสูงถึง 400 ล้านเหรียญสหรัฐฯ แต่แทนที่บริษัทส่วนใหญ่จะสนใจว่าระบบของตนถูกเจาะได้อย่างไรแล้วรีบหาทางป้องกัน กลับมัวแต่หาว่าใครเป็นต้นเหตุให้ระบบถูกเจาะเพื่อสอบถามหาความรับผิดชอบ

หาสาเหตุและรีบอุดช่องโหว่ แทนที่จะมัวแต่ถามหาความรับผิดชอบ
ถึงแม้ว่านี่จะเป็นเรื่องปกติของมนุษย์ทั่วไปเมื่อมีใครกระทำผิด แต่ในกรณีที่เป็นการเจาะระบบเครือข่ายและขโมยข้อมูล การมัวแต่สอบถามหาความรับผิดชอบนับเป็นเรื่องที่เสียเวลาโดยใช่เหตุ เมื่อระบบถูกแฮ็ค สิ่งที่ควรทำในทันที คือ การรีบหาสาเหตุและอุดช่องโหว่ให้เร็วที่สุด Pedro Abreu, Chief Strategy Officer ของ ForeScout ผู้ใช้บริการโซลูชัน Next-generation NAC และ BYOD ชื่อดังระบุถึง 5 คำถามสำคัญที่ต้องตอบให้ได้หลังระบบถูกโจมตี
คำถามที่ 1: เกิดอะไรขึ้น ?
Network Visibility ถือว่าเป็นสิ่งสำคัญในการตอบคำถามนี้ ถ้าผู้ดูแลระบบสามารถดูอุปกรณ์ที่เชื่อมต่ออยู่ ติดตามการใช้งานของผู้ใช้ และตรวจจับการคลิ๊กลิงค์มัลแวร์ได้แบบเรียลไทม์ ก็จะช่วยให้วิเคราะห์และหาต้นตนของสาเหตุของการเจาะระบบที่เกิดขึ้นได้อย่างรวดเร็วและแม่นยำ
คำถามที่ 2: อุดช่องโหว่ได้อย่างไร ?
การรีบซ่อมแซมส่วนที่เสียหายเป็นสิ่งที่ต้องรีบทันทีหลังจากระบบถูกโจมตี ซึ่งความเร็วของการระบุจุดที่เสียหายและจัดการอุดช่องโหว่นั้นขึ้นอยู่กับว่าเราสามารถตอบคำถามข้อ 1 ได้เร็วแค่ไหน นอกจากนี้ การทำ Virtual Patch สำหรับอุดช่องโหว่ชั่วคราวนับว่าเป็นทางออกที่ดี เนื่องจากการแก้บั๊คหรืออุดช่องโหว่ที่ต้นตอของซอร์สโค้ดโดยทันทีอาจเสียเวลานานและส่งผลกระทบต่อการดำเนินงานเชิงธุรกิจได้
คำถามที่ 3: ข้อมูลอะไรถูกขโมยไป และถูกขโมยไปมากน้อยแค่ไหน ?
การตรวจสอบข้อมูลที่รั่วไหลออกไปสู่ภายนอกอาจต้องใช้เวลานานในการยืนยัน และถือว่าเป็นช่วงเวลาอันยากลำบากของบริษัทที่ต้องคอยตามคำถามของลูกค้า โดยเฉพาะในกรณีที่ข้อมูลที่ถูกขโมยเป็นข้อมูลส่วนตัวของลูกค้าเอง การตรวจสอบข้อมูลอย่างรวดเร็วและตอบคำถามพร้อมแสดงแนวทางแก้ไขปัญหาอย่างชัดเจนแก่ลูกค้าจะช่วยให้บริษัทผ่านพ้นปัญหานี้ไปได้
คำถามที่ 4: เรายังเสี่ยงต่อการถูกโจมตีหรือไม่ ?
หลังจากที่ตรวจพบการเจาะระบบระลอกแรก สิ่งที่ต้องรีบทำทันทีคือค้นหาต้นตอของสาเหตุแล้วรีบจัดการอุดช่องโหว่ตรงนั้นให้เรียบร้อย อย่างไรก็ตาม ความไม่รอบคอบและการขาดศักยภาพในการมองเห็นทุกสิ่งบนระบบเครือข่ายอาจทำให้การอุดช่องโหว่และคลีนระบบไม่สมบูรณ์ เช่น ยังคงหลงเหลือ Backdoor ที่ช่วยให้แฮ็คเกอร์ใช้เป็นช่องทางในการกลับมาโจมตีอีกรอบได้
คำถามที่ 5: เราเรียนรู้อะไรจากเหตุการณ์นี้ ?
อีกหนึ่งคำถามสำคัญที่ผู้ดูแลระบบต้องถามตัวเองหลังจากจัดการทุกอย่างเรียบร้อย ทีมวางแผนด้านความปลอดภัยควรเรียนรู้จากความผิดพลาดในอดีตเพื่อนำมาปรับใช้กับเหตุการณ์และความเสี่ยงต่างๆที่อาจเกิดขึ้นได้ในอนาคต การโจมตีรูปแบบเดิมจะต้องไม่สามารถทำอันตรายต่อระบบได้อีกเป็นครั้งที่สอง

สนใจโซลูชันของ ForeScout ติดต่อ Rafa Technology
ผู้ที่สนใจระบบ Next-generation NAC และ BYOD จาก ForeScout สามารถติดต่อสอบถามรายละเอียดเพิ่มเติม หรือขอทดสอบการใช้งานได้ที่ Rafa Technology อีเมล sales@rafatechnology.co.th หรือโทร 0-2945-9828
ที่มา: http://www.itbriefcase.net/after-a-breach-forget-the-who-and-focus-on-the-how-and-the-what