Incident Response ความพร้อมในการรับมือภัยฉุกเฉิน – Rapid7

Incident Response

“It’s not if, it’s when”: Preparing for a breach

ความสามารถในการตอบสนองกับเหตุการณ์ฉุกเฉิน ไม่ใช่เมื่อไหร่ แต่อยู่ที่เตรียมตัวดีแค่ไหน

 

At a Glance:

 

เมื่อทีมรักษาความปลอดภัยขององค์กรของคุณสามารถตรวจพบ “ภัยคุกคาม” ที่เข้ามาภายในเครือข่ายขององค์กร และอะไรจะเกิดขึ้นต่อไปหลังจากนั้น ? หากไม่มีการเตรียมความพร้อมในการรับมืออย่างเป็นระบบและถูกต้อง ซึ่งขั้นตอนเหล่านี้จำเป็นที่จะต้องมีแผนการรับมือกับเหตุการณ์เหล่านี้ หรือที่เรียกว่า “Incident Response Plan (IRP)” อย่างเป็นขั้นเป็นตอน

ซึ่งความรับผิดชอบเหล่านี้อาจจะเป็นของทีมความปลอดภัยภายในองค์กร หรือแม้แต่การเลือกใช้ Outsource การเตรียมความพร้อมของ IRP คือ “สิ่งสำคัญเสมอในการสร้างความปลอดภัยให้กับเครือข่ายขององค์กร”

 

ความพร้อมในการตอบสนองต่อภัยคุกคามจะต้องประกอบขึ้นจากองค์ประกอบเหล่านี้ :

1. การจัดการและการประสานงานระหว่างทีมงาน ทั้งหน่วยงามภายในและ Outsource ในระดับสูง
2. การวิเคราะห์เชิงลึกทางเทคนิคของเหตุการณ์และภัยคุกคามที่ถูกต้อง
3. วางขอบเขตการพิจารณาว่าใคร หน่วยงานไหน ส่วนใดได้รับผลกระทบจากสิ่งที่เกิดขึ้น
4. การสื่อสาร รับส่งของมูลที่เป็นประโยชน์ระหว่างกันได้ในช่วงที่เกิดเหตุการณ์ “ภาวะวิกฤติ”
5. การประสานงานและตอบสนองในทางกฎหมายว่าจะสามารถดำเนินการได้ในทิศทางใด
6. คำแนะนำในการฟื้นฟูบรรเทา จากความเสียหายและผลกระทบที่เกิดขึ้น เพื่อให้คงการทำงานต่อไปได้อย่างราบรื่น ไม่ติดขัด จนทำให้เสียระบบของการทำงาน

 

Organization-Wide Preparation:

 

“การวางแผนเตรียมตัวในภาคองค์กร” การตอบสนองกับเหตุการณ์และภัยคุกคามที่เกิดขึ้น จะต้องเกิดขึ้นภายในองค์กร “โดยส่วนรวม” เนื่องจากเมื่อ “เกิดภัยคุกคาม” คนที่ได้รับผลกระทบไม่ได้มีเพียงแค่ฝ่าย IT ที่รับผิดชอบดูแลเท่านั้น แต่ผู้ที่มีส่วนได้ส่วนเสียกับเหตุการณ์นี้คือ “คนทั้งองค์กร”

ฉะนั้น “การเตรียมความพร้อม เตรียมตัวกันทั้งองค์กร คือหัวใจสำคัญ” หากมีแผนรับมือที่ชัดเจนและสามารถสื่อสารให้กับทุกคนทั้งองค์กรได้รับรู้ การรับมือย่อมจะเกิดขึ้นได้อย่างรวดเร็ว ซึ่งการใช้เวลายิ่งเร็วมากแค่ไหน ก็จะยิ่งทำให้เหตุการณ์ทุเลาลงมากยิ่งขึ้น “ดีกว่าการรอแก้ปัญหาที่ล่าช้า ก็จะยิ่งทำให้เหตุการณ์ทวีความรุนแรงขึ้นกว่าเดิมอย่างแน่นอน ความเสียหายก็จะยิ่งขยายวงกว้างมากยิ่งขึ้นอีกด้วย”

ทุกคนในองค์กรจะต้องเข้าใจแผนการรับมือ และทราบว่าตัวเองมีหน้าที่ มีความรับผิดชอบในเรื่องใด และเมื่อเกิดเหตุการณ์ฉุกเฉินก็แค่เพียงรอสัญญาณในการลงมือแก้ไขปัญหาเท่านั้น ซึ่งแน่นอนความความพร้อมของทุกคนในองค์กรจะเกิดขึ้นได้จะต้องมีการฝึกอบรบที่ดีไม่ว่าจะเป็นการรับฟังข้อมูล และการฝึกฝนจากเหตุการณ์จำลองเพื่อให้เข้าใจถึงกระบวนการทางด้านเทคนิคขั้นตอนที่ถูกต้อง ปรึกษาการทำ Cyber Security

 

Know Your Key Players

 

ใครคือคนสำคัญในการแก้ปัญหา ? เมื่อคนทั้งองค์กรมีการเตรียมความพร้อมที่เหมาะสมกับเหตุการณ์ที่อาจจะเกิดขึ้นแล้ว เพื่อให้แผนการรับมือสามารถเกิดขึ้นได้อย่างราบรื่น “ทางองค์กรจะต้องจัดเตรียมคนเหมาะสมในการแก้ปัญหาหลักเสมือนบุคคลหลักของทีมในการแก้ปัญหา” ซึ่งบุคคลเหล่านี้มีความสำคัญมากสำหรับแผนการรับมือ โดยจะมีบทบาทสำคัญดังนี้

 

1. Incident management: การจัดลำดับเหตุการณ์ บทบาทสำคัญที่จะต้องอาศัยความรู้ด้านเทคนิคและประสบการณ์ในการจัดการปัญหาเป็นอย่างดี ซึ่งบุคคลนี้จะต้องทำในบทบาทหน้าที่ในตำแหน่ง “ผู้จัดการโครงการโดยรวม” ซึ่งจะดูแลงานด้านเทคนิคโดยรวมตั้งแต่เริ่มต้นจนสิ้นสุด
2. Enterprise incident investigation: “การสืบสวนและค้นหาสาเหตุของเหตุการณ์ที่เกิดขึ้นภายในองค์กร” ส่วนนี้เป็นส่วนสำคัญของการแก้ปัญหาอีกส่วนหนึ่ง ที่ทำหน้าที่ในการค้นหา “ต้นตอของปัญหา” ไม่ว่าจะเป็นจากบุคคลภายในองค์กรหรือจะเป็นโฮสต์ที่อันตรายจากภายนอกเพื่อให้บ่งชี้ปัญหา และขอบเขตการแก้ปัญหาให้ได้โดยเร็วที่สุด
3. Technical analysis: ฝ่ายรับผิดชอบในการวิเคราะห์ทางเทคนิคจากปัญหาที่เกิดขึ้น ซึ่งบุคคลในส่วนนี้จำเป็นต้องมีความรู้ทางเทคนิคที่ดีที่สุด โดยส่วนมากจะมีนักวิเคราะห์ในทีมที่มีความเชี่ยวชาญเฉพาะด้านเช่นการวิเคราะห์มัลแวร์ และการวิเคราะห์ข้อมูลทางนิติวิทยาศาสตร์
4. Incident scoping: ทีมงานที่ทำหน้าที่กำหนดขอบเขตของเหตุการณ์ และสามารถตอบคำถามที่สำคัญได้ว่า อะไรคือขอบเขตของการละเมิดและเป็นภัยคุกคาม ? “ซึ่งคำตอบนี้จะสามารถเปลี่ยนไปได้ทุกเมื่อ เมื่อมีการเปลี่ยนแปลงของ การหาสาเหตุและความรุนแรงของภัยคุกคาม”
5. Crisis communications: บทบาทของฝ่ายที่รับผิดชอบในส่วนนี้คือ “การแบ่งบันข้อมูล สื่อสารระหว่างกันภายในองค์กร และบุคคลต่างๆที่มีส่วนได้ส่วนเสียกับเหตุการณ์ที่เกิดขึ้น” โดยทีมสื่อสารนี้จะต้องความสามารถรวมไปถึงประสบการณ์ในการประเมินและนำเสนอรายละเอียดที่ถูกต้องแก่ทุกคน โดยรวมไปถึง “การแจ้งเตือนด้านกฎระเบียบ การแจ้งระเบียบของพนักงาน หรือการแถลงข่าวหากจำเป็น” อีกด้วย
6. Legal, human resources, and regulatory concerns: ทีมงานที่จะต้องประสานงานในเรื่องของ “ข้อกฎหมายกับภาครัฐ สร้างคุ้มครองสิทธิขององค์กรและพนักงานของทุกคนเอาไว้ให้ได้มากที่สุด” ซึ่งจะต้องอาศัยผู้เชี่ยวชาญทางด้านกฎหมายขององค์กรที่ดีทำหน้าที่รับผิดชอบในส่วนนี้
7. Executive decision making: การละเมิดใดๆ ก็ตามที่เกิดขึ้น ซึ่งอาจส่งผลต่อภาพลักษณ์และฐานะทางการเงินขององค์กร จึงเป็นเหตุให้ผู้บริหารระดับสูงขององค์กรควรจะมีส่วนร่วมตัดสินใจในเหตุการณ์เสมอ
8. Reporting and remediation: ในขณะที่แต่ละฝ่ายทำงานรับผิดชอบในส่วนของตัวเอง ก็จะต้องมีทีมที่คอยรวบรวมและจัดทำเอกสาร เพื่อทำบันทึกของเหตุการณ์ภัยคุกคามที่เกิดขึ้น ไม่ว่าจะเป็น “เหตุการณ์เกิดขึ้นเมื่อไร โดยใคร มีวิธีการเช่นไร มีเป้าหมายคืออะไร และผลของภัยคุกคามเป็นอย่างไร” เพื่อการวางแผนรับมือที่ดีกว่าหากเกิดเหตุการณ์ที่คล้ายคลึงกันในอนาคต

 

The Post-Mortem

หลังความสำเร็จในการตอบสนองต่อ “เหตุการณ์ภัยคุกคามที่เกิด” ยังไม่ใช่เวลาที่จะพักผ่อน ! แต่เป็นเวลาที่จะประเมินผลของรับมือว่าทำได้รวดเร็ว และดีเพียงใด รวมไปถึงการนำข้อผิดพลาดและจุดบอดที่ตรวจพบมาสร้างความแข็งแรงให้กับเครือข่ายขององค์กร เพื่อเพิ่มประสิทธิภาพในการรับมือและลดความเสี่ยงต่อภัยคุกคามเหล่านี้ให้ได้มากยิ่งขึ้น

Reference : https://www.rapid7.com/fundamentals/incident-response/