CEO Blog

แผนรับมือ 'วันที่โดนโจมตี'

By นักรบ เนียมนามธรรม01 เม.ย. 2022 เวลา 14:48 น.
แผนรับมือ 'วันที่โดนโจมตี'

เมื่อมีการโจมตีทางไซเบอร์เกิดขึ้น ทุกวินาทีนั้นมีค่ามหาศาล

ความจริงอันแสนโชคร้ายคือ ขณะที่บริษัทต่างๆ ให้ความสำคัญและเพิ่มการลงทุนที่มากขึ้นกว่าแต่ก่อนในการป้องกันรักษาความปลอดภัยทางไซเบอร์ ทว่าการบุกรุกที่ไม่อาจหลีกเลี่ยงได้และการโจมตีของแรนซัมแวร์กลับเพิ่มมากขึ้น

บริษัทต่างๆ ต้องเผชิญกับความจริงที่ว่า พวกเขาจำเป็นต้องเตรียมแผนรับมือและในขณะเดียวกันก็ต้องให้ความรู้แก่คนในองค์กรเรื่องความปลอดภัยทางด้านไซเบอร์ซิเคียวริตี้ไว้เป็นอย่างดี

ปัจจุบัน มีบริษัทจำนวนมากที่ตกเป็นเหยื่อของการโจมตีทางไซเบอร์ จึงทำให้เกิดธุรกิจด้าน Incident Response (IR) หรือการเข้าควบคุมสถานการณ์ตามเสียหายที่เกิดขึ้นได้ทันท่วงที เพื่อลดมูลค่าความเสียหายให้ได้มากที่สุด 

โดยการทำงานของ IR นับพันๆ ครั้ง สามารถช่วยเผยแนวทางปฏิบัติที่ดีที่สุดและแนวทางตั้งรับเพื่อเตรียมความพร้อมผู้ที่ตกเป็นเหยื่อของการโจมตีทางไซเบอร์

เมื่อเร็วๆ นี้ บริษัทผู้เชี่ยวชาญความปลอดภัยทางไซเบอร์ ได้จัดทำ Word template สำหรับการตอบสนองต่อเหตุการณ์ เพื่อช่วยให้บริษัทต่างๆ สามารถวางแผนสำหรับเหตุการณ์แย่ๆ เหล่านี้

การวางแผนเตรียมการสำหรับสิ่งที่แย่ที่สุด มีสุภาษิตกล่าวไว้ว่า “ความหวังมีไว้เพื่อสิ่งดีที่สุด แผนการมีไว้เพื่อสิ่งที่เลวร้ายที่สุด”

แต่สุภาษิตนี้ก็ไม่ได้ถูกต้องทั้งหมด บริษัทส่วนใหญ่กำลังทำงานอย่างแข็งขันเพื่อปกป้องตนเองจากการโจมตีทางไซเบอร์ และแน่นอนว่าความหวังไม่ได้เป็นเพียงสิ่งที่ดีที่สุดเท่านั้น 

เมื่อเกิดการจู่โจมขึ้น การวางแผนเตรียมความพร้อมนั้นจะถือว่าเป็นความพยายามที่คุ้มค่ามาก เพราะบริษัทสามารถจัดการได้ทันที เมื่อมีการโจมตีทางไซเบอร์เกิดขึ้นและผู้โจมตีก็สามารถเข้าถึงเครือข่ายได้ ทำให้ทุกวินาทีนั้นมีค่ามหาศาล 

ทั้งนี้แผน IR จะกำหนดบทบาทและความรับผิดชอบที่ชัดเจนสำหรับทีมที่ออกปฏบัติหน้าที่ พร้อมทั้งกำหนดกระบวนการขั้นสูงที่ทีมจะดำเนินการเมื่อเข้าปฏิบัติหน้าที่ทางไซเบอร์ โดยได้สร้าง IR template และแนะนำให้ปฏิบัติตามกระบวนการ IR แบบ 6 ขั้นตอนที่กำหนดโดยสถาบัน SANS ในคู่มือ Incident Handler's Handbook ซึ่งเป็นแหล่งข้อมูล IR ชั้นเยี่ยมอีกแหล่งหนึ่งเลยก็ว่าได้ ประกอบด้วย

1. การเตรียมการ โดยการทบทวนและการจัดทำนโยบายการรักษาความปลอดภัยขององค์กร ดำเนินการประเมินความเสี่ยง ระบุสินทรัพย์ที่ละเอียดอ่อน กำหนดว่าเหตุการณ์ใดเป็นเหตุการณ์ด้านความปลอดภัยที่สำคัญที่ทีมควรมุ่งเน้น และสร้างทีมตอบสนองเหตุการณ์ความปลอดภัยของคอมพิวเตอร์ (CSIRT)

2. การระบุ โดยการตรวจสอบระบบไอทีโดยตรวจจับการเบี่ยงเบนจากการทำงานปกติ เพื่อพิจารณาดูว่ามันแสดงถึงเหตุการณ์ด้านความปลอดภัยจริงหรือไม่ เมื่อพบเหตุการณ์ ให้รวบรวมหลักฐานเพิ่มเติม ระบุประเภทและความรุนแรงของเหตุการณ์ และจัดทำเอกสารทุกอย่าง

3. การยับยั้ง โดยเริ่มจากการยับยั้งในระยะสั้น เช่น การแยกส่วนเครือข่ายที่อยู่ภายใต้การโจมตี จากนั้นจึงมุ่งเน้นไปที่การยับยั้งในระยะยาว ซึ่งจะเกี่ยวข้องกับการแก้ไขชั่วคราว เพื่อให้ระบบสามารถดำเนินการได้ ในขณะที่กำลังสร้างระบบที่มีความปลอดภัยใหม่ขึ้นมา

4. การกำจัด โดยลบมัลแวร์ออกจากระบบที่ได้รับผลกระทบทั้งหมด ระบุสาเหตุของการโจมตี และเตรียมการป้องกันการโจมตีที่ต่อไป

5. การกู้คืน โดยนำระบบการผลิตที่ได้รับผลกระทบกลับมาใช้งานอย่างระมัดระวัง เพื่อป้องกันการโจมตีเพิ่มเติม ทดสอบและตรวจสอบระบบที่ได้รับผลกระทบเพื่อให้แน่ใจว่าระบบกลับสู่การทำงานปกติ

6. บทเรียนที่ได้รับ โดยการตรวจสอบย้อนหลังของเหตุการณ์การถูกโจมตีภายในสองสัปดาห์ เตรียมเอกสาร รายละเอียดของเหตุการณ์ที่เกิดขึ้นที่มีความเกี่ยวข้องทั้งหมด และตรวจสอบเหตุการณ์อื่นๆ เพิ่มเติม พร้อมทั้งทำความเข้าใจกับสิ่งที่ได้ดำเนินการเพื่อควบคุมเหตุการณ์นั้นๆ และดูว่าสิ่งใดในกระบวนการตอบสนองต่อเหตุการณ์สามารถปรับปรุงได้

เราจำเป็นจะต้องมีการซักซ้อมการรับมือกับเหตุการณ์ภัยพิบัติต่างๆ อยู่เสมอ เมื่อต้องพบเจอกับเหตุการณ์จะได้รับมือได้อย่างเท่าทัน เช่นเดียวกับเหตุการณ์ที่เกี่ยวกับภัยไซเบอร์ที่ควรจะมีการซักซ้อมรับมือเช่นกัน