ทำอย่างไรดีหลังพบว่าระบบถูกเจาะ

forescout_logo

จากรายงาน 2015 Data Breach Investigation Report พบว่า ในปี 2014 ที่ผ่านมา มีข้อมูลถูกเจาะรวมแล้วทั้งสิ้นกว่า 700 ล้านเร็คคอร์ด คิดเป็นมูลค่าสูงถึง 400 ล้านเหรียญสหรัฐฯ แต่แทนที่บริษัทส่วนใหญ่จะสนใจว่าระบบของตนถูกเจาะได้อย่างไรแล้วรีบหาทางป้องกัน กลับมัวแต่หาว่าใครเป็นต้นเหตุให้ระบบถูกเจาะเพื่อสอบถามหาความรับผิดชอบ

Credit: Brian Rinker
Credit: Brian Rinker

หาสาเหตุและรีบอุดช่องโหว่ แทนที่จะมัวแต่ถามหาความรับผิดชอบ

ถึงแม้ว่านี่จะเป็นเรื่องปกติของมนุษย์ทั่วไปเมื่อมีใครกระทำผิด แต่ในกรณีที่เป็นการเจาะระบบเครือข่ายและขโมยข้อมูล การมัวแต่สอบถามหาความรับผิดชอบนับเป็นเรื่องที่เสียเวลาโดยใช่เหตุ เมื่อระบบถูกแฮ็ค สิ่งที่ควรทำในทันที คือ การรีบหาสาเหตุและอุดช่องโหว่ให้เร็วที่สุด Pedro Abreu, Chief Strategy Officer ของ ForeScout ผู้ใช้บริการโซลูชัน Next-generation NAC และ BYOD ชื่อดังระบุถึง 5 คำถามสำคัญที่ต้องตอบให้ได้หลังระบบถูกโจมตี

คำถามที่ 1: เกิดอะไรขึ้น ?

Network Visibility ถือว่าเป็นสิ่งสำคัญในการตอบคำถามนี้ ถ้าผู้ดูแลระบบสามารถดูอุปกรณ์ที่เชื่อมต่ออยู่ ติดตามการใช้งานของผู้ใช้ และตรวจจับการคลิ๊กลิงค์มัลแวร์ได้แบบเรียลไทม์ ก็จะช่วยให้วิเคราะห์และหาต้นตนของสาเหตุของการเจาะระบบที่เกิดขึ้นได้อย่างรวดเร็วและแม่นยำ

คำถามที่ 2: อุดช่องโหว่ได้อย่างไร ?

การรีบซ่อมแซมส่วนที่เสียหายเป็นสิ่งที่ต้องรีบทันทีหลังจากระบบถูกโจมตี ซึ่งความเร็วของการระบุจุดที่เสียหายและจัดการอุดช่องโหว่นั้นขึ้นอยู่กับว่าเราสามารถตอบคำถามข้อ 1 ได้เร็วแค่ไหน นอกจากนี้ การทำ Virtual Patch สำหรับอุดช่องโหว่ชั่วคราวนับว่าเป็นทางออกที่ดี เนื่องจากการแก้บั๊คหรืออุดช่องโหว่ที่ต้นตอของซอร์สโค้ดโดยทันทีอาจเสียเวลานานและส่งผลกระทบต่อการดำเนินงานเชิงธุรกิจได้

คำถามที่ 3: ข้อมูลอะไรถูกขโมยไป และถูกขโมยไปมากน้อยแค่ไหน ?

การตรวจสอบข้อมูลที่รั่วไหลออกไปสู่ภายนอกอาจต้องใช้เวลานานในการยืนยัน และถือว่าเป็นช่วงเวลาอันยากลำบากของบริษัทที่ต้องคอยตามคำถามของลูกค้า โดยเฉพาะในกรณีที่ข้อมูลที่ถูกขโมยเป็นข้อมูลส่วนตัวของลูกค้าเอง การตรวจสอบข้อมูลอย่างรวดเร็วและตอบคำถามพร้อมแสดงแนวทางแก้ไขปัญหาอย่างชัดเจนแก่ลูกค้าจะช่วยให้บริษัทผ่านพ้นปัญหานี้ไปได้

คำถามที่ 4: เรายังเสี่ยงต่อการถูกโจมตีหรือไม่ ?

หลังจากที่ตรวจพบการเจาะระบบระลอกแรก สิ่งที่ต้องรีบทำทันทีคือค้นหาต้นตอของสาเหตุแล้วรีบจัดการอุดช่องโหว่ตรงนั้นให้เรียบร้อย อย่างไรก็ตาม ความไม่รอบคอบและการขาดศักยภาพในการมองเห็นทุกสิ่งบนระบบเครือข่ายอาจทำให้การอุดช่องโหว่และคลีนระบบไม่สมบูรณ์ เช่น ยังคงหลงเหลือ Backdoor ที่ช่วยให้แฮ็คเกอร์ใช้เป็นช่องทางในการกลับมาโจมตีอีกรอบได้

คำถามที่ 5: เราเรียนรู้อะไรจากเหตุการณ์นี้ ?

อีกหนึ่งคำถามสำคัญที่ผู้ดูแลระบบต้องถามตัวเองหลังจากจัดการทุกอย่างเรียบร้อย ทีมวางแผนด้านความปลอดภัยควรเรียนรู้จากความผิดพลาดในอดีตเพื่อนำมาปรับใช้กับเหตุการณ์และความเสี่ยงต่างๆที่อาจเกิดขึ้นได้ในอนาคต การโจมตีรูปแบบเดิมจะต้องไม่สามารถทำอันตรายต่อระบบได้อีกเป็นครั้งที่สอง

ttt_clean_sign_in_dc-watcharakun_2
Credit: watcharakun/ShutterStock

สนใจโซลูชันของ ForeScout ติดต่อ Rafa Technology

ผู้ที่สนใจระบบ Next-generation NAC และ BYOD จาก ForeScout สามารถติดต่อสอบถามรายละเอียดเพิ่มเติม หรือขอทดสอบการใช้งานได้ที่ Rafa Technology อีเมล sales@rafatechnology.co.th หรือโทร 0-2945-9828

rafa_logo

ที่มา: http://www.itbriefcase.net/after-a-breach-forget-the-who-and-focus-on-the-how-and-the-what

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google Chrome Enhanced Protection ปกป้องผู้ใช้จากภัยคุกคามออนไลน์ได้กว่า 1 พันล้านรายแล้ว

Google ฉลองก้าวสำคัญ โดยประกาศว่าโหมด Enhanced Protection ใน Chrome ซึ่งใช้ปัญญาประดิษฐ์ (AI) และแมชชีนเลิร์นนิงเพื่อตรวจจับและบล็อกภัยคุกคามออนไลน์แบบเรียลไทม์ ขณะนี้สามารถปกป้องผู้ใช้ได้กว่า 1 พันล้านรายจากฟิชชิงและการหลอกลวงออนไลน์แล้ว

Workday เปิดตัว Agent System of Record ระบบจัดการ AI Agent แบบครบวงจรสำหรับองค์กร

Workday ประกาศเปิดตัวระบบจัดการ AI Agent รูปแบบใหม่ที่ช่วยให้องค์กรสามารถควบคุมและจัดการ AI Agent ทั้งจาก Workday และบริษัทอื่นๆ ได้จากที่เดียว พร้อมเปิดตัว AI Agent ใหม่