Ingram SUSE

ทำอย่างไรดีหลังพบว่าระบบถูกเจาะ

forescout_logo

จากรายงาน 2015 Data Breach Investigation Report พบว่า ในปี 2014 ที่ผ่านมา มีข้อมูลถูกเจาะรวมแล้วทั้งสิ้นกว่า 700 ล้านเร็คคอร์ด คิดเป็นมูลค่าสูงถึง 400 ล้านเหรียญสหรัฐฯ แต่แทนที่บริษัทส่วนใหญ่จะสนใจว่าระบบของตนถูกเจาะได้อย่างไรแล้วรีบหาทางป้องกัน กลับมัวแต่หาว่าใครเป็นต้นเหตุให้ระบบถูกเจาะเพื่อสอบถามหาความรับผิดชอบ

Credit: Brian Rinker
Credit: Brian Rinker

หาสาเหตุและรีบอุดช่องโหว่ แทนที่จะมัวแต่ถามหาความรับผิดชอบ

ถึงแม้ว่านี่จะเป็นเรื่องปกติของมนุษย์ทั่วไปเมื่อมีใครกระทำผิด แต่ในกรณีที่เป็นการเจาะระบบเครือข่ายและขโมยข้อมูล การมัวแต่สอบถามหาความรับผิดชอบนับเป็นเรื่องที่เสียเวลาโดยใช่เหตุ เมื่อระบบถูกแฮ็ค สิ่งที่ควรทำในทันที คือ การรีบหาสาเหตุและอุดช่องโหว่ให้เร็วที่สุด Pedro Abreu, Chief Strategy Officer ของ ForeScout ผู้ใช้บริการโซลูชัน Next-generation NAC และ BYOD ชื่อดังระบุถึง 5 คำถามสำคัญที่ต้องตอบให้ได้หลังระบบถูกโจมตี

คำถามที่ 1: เกิดอะไรขึ้น ?

Network Visibility ถือว่าเป็นสิ่งสำคัญในการตอบคำถามนี้ ถ้าผู้ดูแลระบบสามารถดูอุปกรณ์ที่เชื่อมต่ออยู่ ติดตามการใช้งานของผู้ใช้ และตรวจจับการคลิ๊กลิงค์มัลแวร์ได้แบบเรียลไทม์ ก็จะช่วยให้วิเคราะห์และหาต้นตนของสาเหตุของการเจาะระบบที่เกิดขึ้นได้อย่างรวดเร็วและแม่นยำ

คำถามที่ 2: อุดช่องโหว่ได้อย่างไร ?

การรีบซ่อมแซมส่วนที่เสียหายเป็นสิ่งที่ต้องรีบทันทีหลังจากระบบถูกโจมตี ซึ่งความเร็วของการระบุจุดที่เสียหายและจัดการอุดช่องโหว่นั้นขึ้นอยู่กับว่าเราสามารถตอบคำถามข้อ 1 ได้เร็วแค่ไหน นอกจากนี้ การทำ Virtual Patch สำหรับอุดช่องโหว่ชั่วคราวนับว่าเป็นทางออกที่ดี เนื่องจากการแก้บั๊คหรืออุดช่องโหว่ที่ต้นตอของซอร์สโค้ดโดยทันทีอาจเสียเวลานานและส่งผลกระทบต่อการดำเนินงานเชิงธุรกิจได้

คำถามที่ 3: ข้อมูลอะไรถูกขโมยไป และถูกขโมยไปมากน้อยแค่ไหน ?

การตรวจสอบข้อมูลที่รั่วไหลออกไปสู่ภายนอกอาจต้องใช้เวลานานในการยืนยัน และถือว่าเป็นช่วงเวลาอันยากลำบากของบริษัทที่ต้องคอยตามคำถามของลูกค้า โดยเฉพาะในกรณีที่ข้อมูลที่ถูกขโมยเป็นข้อมูลส่วนตัวของลูกค้าเอง การตรวจสอบข้อมูลอย่างรวดเร็วและตอบคำถามพร้อมแสดงแนวทางแก้ไขปัญหาอย่างชัดเจนแก่ลูกค้าจะช่วยให้บริษัทผ่านพ้นปัญหานี้ไปได้

คำถามที่ 4: เรายังเสี่ยงต่อการถูกโจมตีหรือไม่ ?

หลังจากที่ตรวจพบการเจาะระบบระลอกแรก สิ่งที่ต้องรีบทำทันทีคือค้นหาต้นตอของสาเหตุแล้วรีบจัดการอุดช่องโหว่ตรงนั้นให้เรียบร้อย อย่างไรก็ตาม ความไม่รอบคอบและการขาดศักยภาพในการมองเห็นทุกสิ่งบนระบบเครือข่ายอาจทำให้การอุดช่องโหว่และคลีนระบบไม่สมบูรณ์ เช่น ยังคงหลงเหลือ Backdoor ที่ช่วยให้แฮ็คเกอร์ใช้เป็นช่องทางในการกลับมาโจมตีอีกรอบได้

คำถามที่ 5: เราเรียนรู้อะไรจากเหตุการณ์นี้ ?

อีกหนึ่งคำถามสำคัญที่ผู้ดูแลระบบต้องถามตัวเองหลังจากจัดการทุกอย่างเรียบร้อย ทีมวางแผนด้านความปลอดภัยควรเรียนรู้จากความผิดพลาดในอดีตเพื่อนำมาปรับใช้กับเหตุการณ์และความเสี่ยงต่างๆที่อาจเกิดขึ้นได้ในอนาคต การโจมตีรูปแบบเดิมจะต้องไม่สามารถทำอันตรายต่อระบบได้อีกเป็นครั้งที่สอง

ttt_clean_sign_in_dc-watcharakun_2
Credit: watcharakun/ShutterStock

สนใจโซลูชันของ ForeScout ติดต่อ Rafa Technology

ผู้ที่สนใจระบบ Next-generation NAC และ BYOD จาก ForeScout สามารถติดต่อสอบถามรายละเอียดเพิ่มเติม หรือขอทดสอบการใช้งานได้ที่ Rafa Technology อีเมล sales@rafatechnology.co.th หรือโทร 0-2945-9828

rafa_logo

ที่มา: http://www.itbriefcase.net/after-a-breach-forget-the-who-and-focus-on-the-how-and-the-what

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุปคำแนะนำและแนวทางปฏิบัติด้าน Password ล่าสุดจาก NIST

บทความนี้ได้สรุปคำแนะนำและแนวทางปฏิบัติด้าน Password จากเอกสาร NIST Special Publication 800-63B Rev3 ของ สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ หรือ NIST ได้แก่ การสร้างรหัสผ่านใหม่ การพิสูจน์ตัวตนด้วยรหัสผ่าน …

Microsoft ประกาศเข้าซื้อกิจการ ‘Nuance’ ด้วยมูลค่า 19,700 ล้านเหรียญสหรัฐฯ

Microsoft ได้ทำสร้างสถิติอันกับสองของยอดเข้าซื้อกิจการ ด้วยดีลการเข้าซื้อ Nuance Communications Inc. ด้วยมูลค่าสูงถึง 19,700 ล้านเหรียญสหรัฐฯ