บทความนี้เราจะมาพูดถึงวิธีการตอบสนองต่อภัยคุกคามเมื่อมีการตรวจพบการโจมตีหรอืมัลแวร์บนระบบเครือข่าย ผู้ดูแลระบบควรพึงระลึกไว้เสมอว่า ระบบของตนมีความเสี่ยงที่จะถูกโจมตีตลอดเวลา ดังนั้นจึงควรมีสติ และรับมืออย่างเป็นระบบ SANS (
https://www.sans.org) สถาบันอบรบด้านความปลอดภัยของข้อมูลและความปลอดภัยบนโลกไซเบอร์ ได้อธิบายถึง 6 ขั้นตอนสำคัญในการตอบโต้ภัยคุกคาม ดังนี้
1.
เตรียมความพร้อม – เตรียมคนและระบบ IT ให้พร้อมรับมือกับภัยคุกคามที่อาจเกิดขึ้นได้
2.
ระบุภัยคุกคาม – จำแนกให้ชัดเจนว่า สิ่งไหนคือ “Security Incident” หรือเหตุการณ์ที่เรียกได้ว่าเป็นภัยคุกคามต่อระบบ สิ่งไหนคือเหตุการณ์ที่ปล่อยไปได้โดยไม่ต้องสนใจ
3.
กักกัน – เมื่อตรวจพบภัยคุกคามแล้ว ต้องทำการกักกันระบบ ณ ตำแหน่งนั้นๆเพื่อไม่ให้ภัยคุกคามขยายวงกว้างต่อไปได้
4.
กำจัด – ค้นหาและทำลายต้นตอของปัญหา เช่น นำระบบที่ได้รับผลกระทบออกจากการใช้งาน แล้วจัดการคลีนมัลแวร์ หรืออุดช่องโหว่ เป็นต้น
5.
ฟื้นฟู – นำระบบที่ได้รับผลกระทบที่ได้ผ่านการ “กำจัด” เรียบร้อยแล้วกลับเข้าสู่การใช้งานปกติ แล้วคอยติดตามพฤติกรรมอย่างใกล้ชิด
6.
เรียนรู้จากประสบการณ์ – จดบันทึก ตรวจสอบ และวิเคราะห์เหตุการณ์ที่เกิดขึ้นกับสมาชิกในทีม เพื่อที่จะได้รับมือกับเหตุการณ์คล้ายๆกันที่อาจเกิดขึ้นในอนาคตได้ดียิ่งขึ้น
Credit: ShutterStock
เปลี่ยนนิยามเรื่องความสำเร็จในการป้องกันเสียใหม่
ความสำเร็จในการป้องกันภัยคุกคามมีหลายระดับ คนส่วนใหญ่มักหลงไปกับวาทกรรมที่ว่า
แฮ็คเกอร์โจมตีเป็นร้อยเป็นพันครั้ง ขอแค่สำเร็จเพียงครั้งเดียว ก็จะเจาะเข้าระบบได้ทันที ตรงข้ามกับผู้ดูแลระบบ ต่อให้ป้องกันการโจมตีได้สักกี่ครั้ง แต่ถ้าพลาดเพียงครั้งเดียวก็เป็นอันจบเช่นกัน … คำกล่าวนี้ไม่ได้เป็นจริงเสมอไป
การโจมตีไม่ใช่เรื่องที่ถ้าพลาดแล้วก็พลาดเลย กล่าวคือ ก่อนที่แฮ็คเกอร์จะโจมตีได้สำเร็จ ต้องผ่านขั้นตอน วิธีการที่หลากหลาย การที่จะทำให้ระบบป้องกันมองไม่เห็น หรือตรวจจับไม่ได้นั้น แฮ็คเกอร์จำเป็นต้องเดินหมากอย่างรอบคอบ ถ้าเป้าหมายสามารถตรวจจับการโจมตีได้แม้เพียงครั้งเดียว เป็นไปได้ที่การโจมตีอื่นๆที่เหลือจะถูกตรวจพบและล้มเหลวไปในที่สุด
สรุปคือ เราไม่จำเป็นต้องตรวจจับได้หมดทุกอย่างขณะที่ถูกโจมตี ขอเพียงแค่สามารถตรวจจับและชี้ชัดการโจมตีเพียงส่วนหนึ่งได้อย่างถูกต้อง ก็สามารถหยุดยั้งการโจมตีทั้งหมดได้ แค่นี้ก็เรียกว่าป้องกันภัยคุกคามได้สำเร็จแล้ว
อย่าตื่นกลัว ต้องมีสติตลอดเวลา
วิธีการบุกรุกโจมตีระบบมีมากมายหลายรูปแบบ การคาดหวังว่าจะรู้เท่าทันแฮ็คเกอร์ได้หมดทุกรูปแบบนั้นเป็นเรื่องที่แทบจะเป็นไปไม่ได้ในชีวิตจริง สิ่งสำคัญที่สุดในการตอบโต้ภัยคุกคามคือ ต้องสามารถรับมือกับทุกสถานการณ์ได้ โดยเกิดความเสียหายภายในวงจำกัด ซึ่งจะช่วยให้ประหยัดเวลาและค่าใช้จ่ายในการฟื้นฟูระบบได้เหมือนเดิม
แฮ็คเกอร์ก็มีข้อจำกัดเช่นกัน
แฮ็คเกอร์ส่วนใหญ่มีข้อจำกัดด้านสกิลและการเงิน ส่งผลให้แฮ็คเกอร์มักทุ่มเทกับการแฮ็คโดยใช้ความพยายามและทรัพยากรในการเจาะระบบให้น้อยที่สุดเท่าที่จะทำได้ ดังนั้น ยิ่งเราจัดการอุดช่องโหว่ และขจัดประเด็นเรื่องความความเสี่ยงได้มากเท่าไหร่ แฮ็คเกอร์ก็ยิ่งจำเป็นต้องยกระดับการโจมตีให้สูงขึ้น ซึ่งถ้าบริษัทเราไม่ใช่เป้าหมายโดยตรงของแฮ็คเกอร์แล้ว แฮ็คเกอร์ส่วนใหญ่ก็จะเปลี่ยนใจไปหาเป้าหมายใหม่ที่ง่ายยิ่งกว่า แทนที่จะทนอยู่กับการเจาะระบบที่ต้องเสียทั้งเงิน ทั้งเวลา
Credit: ShutterStock
ที่มา:
http://www.informationsecuritybuzz.com/isb-promotion/how-to-build-a-successful-incident-response-plan/
ที่มา2:
https://www.techtalkthai.com/6-steps-to-build-successful-incident-response-plan/
ตอบโต้ภัยคุกคามอย่างมืออาชีพ ด้วย 6 ขั้นตอนสำคัญ (เหมาะมากทั้งผู้ดูแลระบบในบริษัทหรือองค์กรและผู้ใช้คอมตามบ้าน)
1. เตรียมความพร้อม – เตรียมคนและระบบ IT ให้พร้อมรับมือกับภัยคุกคามที่อาจเกิดขึ้นได้
2. ระบุภัยคุกคาม – จำแนกให้ชัดเจนว่า สิ่งไหนคือ “Security Incident” หรือเหตุการณ์ที่เรียกได้ว่าเป็นภัยคุกคามต่อระบบ สิ่งไหนคือเหตุการณ์ที่ปล่อยไปได้โดยไม่ต้องสนใจ
3. กักกัน – เมื่อตรวจพบภัยคุกคามแล้ว ต้องทำการกักกันระบบ ณ ตำแหน่งนั้นๆเพื่อไม่ให้ภัยคุกคามขยายวงกว้างต่อไปได้
4. กำจัด – ค้นหาและทำลายต้นตอของปัญหา เช่น นำระบบที่ได้รับผลกระทบออกจากการใช้งาน แล้วจัดการคลีนมัลแวร์ หรืออุดช่องโหว่ เป็นต้น
5. ฟื้นฟู – นำระบบที่ได้รับผลกระทบที่ได้ผ่านการ “กำจัด” เรียบร้อยแล้วกลับเข้าสู่การใช้งานปกติ แล้วคอยติดตามพฤติกรรมอย่างใกล้ชิด
6. เรียนรู้จากประสบการณ์ – จดบันทึก ตรวจสอบ และวิเคราะห์เหตุการณ์ที่เกิดขึ้นกับสมาชิกในทีม เพื่อที่จะได้รับมือกับเหตุการณ์คล้ายๆกันที่อาจเกิดขึ้นในอนาคตได้ดียิ่งขึ้น
Credit: ShutterStock
เปลี่ยนนิยามเรื่องความสำเร็จในการป้องกันเสียใหม่
ความสำเร็จในการป้องกันภัยคุกคามมีหลายระดับ คนส่วนใหญ่มักหลงไปกับวาทกรรมที่ว่า แฮ็คเกอร์โจมตีเป็นร้อยเป็นพันครั้ง ขอแค่สำเร็จเพียงครั้งเดียว ก็จะเจาะเข้าระบบได้ทันที ตรงข้ามกับผู้ดูแลระบบ ต่อให้ป้องกันการโจมตีได้สักกี่ครั้ง แต่ถ้าพลาดเพียงครั้งเดียวก็เป็นอันจบเช่นกัน … คำกล่าวนี้ไม่ได้เป็นจริงเสมอไป
การโจมตีไม่ใช่เรื่องที่ถ้าพลาดแล้วก็พลาดเลย กล่าวคือ ก่อนที่แฮ็คเกอร์จะโจมตีได้สำเร็จ ต้องผ่านขั้นตอน วิธีการที่หลากหลาย การที่จะทำให้ระบบป้องกันมองไม่เห็น หรือตรวจจับไม่ได้นั้น แฮ็คเกอร์จำเป็นต้องเดินหมากอย่างรอบคอบ ถ้าเป้าหมายสามารถตรวจจับการโจมตีได้แม้เพียงครั้งเดียว เป็นไปได้ที่การโจมตีอื่นๆที่เหลือจะถูกตรวจพบและล้มเหลวไปในที่สุด
สรุปคือ เราไม่จำเป็นต้องตรวจจับได้หมดทุกอย่างขณะที่ถูกโจมตี ขอเพียงแค่สามารถตรวจจับและชี้ชัดการโจมตีเพียงส่วนหนึ่งได้อย่างถูกต้อง ก็สามารถหยุดยั้งการโจมตีทั้งหมดได้ แค่นี้ก็เรียกว่าป้องกันภัยคุกคามได้สำเร็จแล้ว
อย่าตื่นกลัว ต้องมีสติตลอดเวลา
วิธีการบุกรุกโจมตีระบบมีมากมายหลายรูปแบบ การคาดหวังว่าจะรู้เท่าทันแฮ็คเกอร์ได้หมดทุกรูปแบบนั้นเป็นเรื่องที่แทบจะเป็นไปไม่ได้ในชีวิตจริง สิ่งสำคัญที่สุดในการตอบโต้ภัยคุกคามคือ ต้องสามารถรับมือกับทุกสถานการณ์ได้ โดยเกิดความเสียหายภายในวงจำกัด ซึ่งจะช่วยให้ประหยัดเวลาและค่าใช้จ่ายในการฟื้นฟูระบบได้เหมือนเดิม
แฮ็คเกอร์ก็มีข้อจำกัดเช่นกัน
แฮ็คเกอร์ส่วนใหญ่มีข้อจำกัดด้านสกิลและการเงิน ส่งผลให้แฮ็คเกอร์มักทุ่มเทกับการแฮ็คโดยใช้ความพยายามและทรัพยากรในการเจาะระบบให้น้อยที่สุดเท่าที่จะทำได้ ดังนั้น ยิ่งเราจัดการอุดช่องโหว่ และขจัดประเด็นเรื่องความความเสี่ยงได้มากเท่าไหร่ แฮ็คเกอร์ก็ยิ่งจำเป็นต้องยกระดับการโจมตีให้สูงขึ้น ซึ่งถ้าบริษัทเราไม่ใช่เป้าหมายโดยตรงของแฮ็คเกอร์แล้ว แฮ็คเกอร์ส่วนใหญ่ก็จะเปลี่ยนใจไปหาเป้าหมายใหม่ที่ง่ายยิ่งกว่า แทนที่จะทนอยู่กับการเจาะระบบที่ต้องเสียทั้งเงิน ทั้งเวลา
Credit: ShutterStock
ที่มา: http://www.informationsecuritybuzz.com/isb-promotion/how-to-build-a-successful-incident-response-plan/
ที่มา2: https://www.techtalkthai.com/6-steps-to-build-successful-incident-response-plan/