mobile-logo

All

06 Sep

Penetration Testing ทดสอบการโจมตีก่อนของจริงจะมา

by Monster Connect
in All, IT and Security Fundamentals, Rapid7
Comments

Penetration Testing ทดสอบการโจมตีก่อนของจริงจะมา Penetration Testing : Uncover security gaps before attackers do   HIGHLIGHT - ดูเหมือนว่าในทุกๆวันจะมีเรื่องราวของ “ภัยบนโลกไซเบอร์” ให้อัพเดทกันอยู่ตลอดเวลา ซึ่งความเสียหายที่เกิดก็เป็นเม็ดเงินหลายพันล้านดอลล่าร์เลยทีเดียว นั่นหมายถึงว่าเหล่าอาชญากรไซเบอร์ก็มีความพยายามในการพัฒนาความสามารถในการเจาะและทำลายความปลอดภัยที่แต่ละองค์กรสร้างขึ้นมาอยู่ทุกวันเช่นเดียวกัน - การทดสอบความปลอดภัยที่เห็นภัยได้อย่างจริงจังก็คือ “การทดสอบและประเมินในสถานการณ์จริง” ซึ่งจะสามารถช่วยทดสอบความสามารถของเครื่องมือ และมองหาช่องโหว่ที่จะช่องทางในการโจรกรรมข้อมูลที่สำคัญ ไม่ว่าจะเป็นข้อมูลองค์กร ข้อมูลลูกค้า ข้อมูล PII หรือจะเป็นการจู่โจมแบบเรียกค่าไถ่ก็ได้เช่นเดียวกัน - แน่นอนว่า “การป้องกันอันตรายเหล่านี้จะสามารถป้องกันผลประโยชน์ทางธุรกิจของคุณได้มากเลยทีเดียว” รวมไปถึงการยกระดับความเชื่อมั่นให้กับองค์กรของคุณได้อีกด้วย How Can You Exploit Vulnerabilities? คุณสามารถใช้ประโยชน์จากช่องโหว่ได้อย่างไร ? การทดสอบภัยคุกคามสามารถทำได้โดยผู้เชี่ยวชาญ ไม่ว่าจะเป็นบุคลากรภายในองค์กรของคุณเอง หรือจะเป็นหน่วยงาน Outsource โดยจะทดสอบระดับความสามารถในการรับมือความปลอดภัยว่าจะรับมือกับภัยคุกคามที่จะเข้ามาได้มากน้อยเพียงใด ผู้เชี่ยวชาญจะทำการทดสอบเจาะระบบ เพื่อมองหาช่องโหว่ที่มีโอกาสจะคุกคามและสร้างความเสียหายให้กับองค์กรได้ เมื่อตรวจพบจะสามารถสร้างเกาะป้องกันได้อย่างทันท่วงที นอกจากเรื่องของความปลอดภัยในการเจาะระบบแล้ว มีบ่อยครั้งผู้เชี่ยวชาญมักจะทดสอบผู้ใช้เครือข่าย (บุคลากรทั่วไปในองค์กร) ในเรื่องของปฏิกิริยาตอบสนองต่ออีเมลฟิชชิ่งอีกด้วย How Do You Test the "User Risk" to Your IT Security Chain? ความเสี่ยงของผู้ใช้ต่อวงจรความปลอดภัยด้าน IT ผู้ที่ใช้เครือข่ายและบุคลากรภายในองค์กรคือความเสี่ยงอีกอย่างที่จะเกิดขึ้นด้วยเช่นเดียวกัน ไม่ว่าจะเป็นเรื่องของข้อผิดพลาดและการป้อนข้อมูลลงในเว็บไซด์หรือเครือข่ายที่อันตราย และวิธีการนี้เป็นวิธีที่ง่ายที่สุดสำหรับแฮ็กเกอร์ในการขโมยข้อมูล ข้อมูลด้านการบุกรุกและละเมิดข้อมูลเหล่านี้จะแสดงผลอยู่ใน “Verizon Data Breach Report” ที่จะเข้ามาเป็นส่วนหหนึ่งของการทดสอบระดับความปลอดภัย ไม่ว่าจะเป็นสุ่มเดารหัสในการเข้าถึงเครือข่ายและระบบและแอพพลิเคชัน ที่ถึงแม้จะเป็นวิธีการง่ายๆ แต่ก็ถือเป็นความเสี่ยงที่สามารถสร้างความเสี่ยงหายให้กับองค์กรได้ในระดับสูงเลยทีเดียว นอกจากนี้การทดสอบ...

Read More
cybersecurity-professionals-top-complaints
04 Sep

7 รูปแบบทั่วไปของการโจมตี Cybersecurity

by Monster Connect
in All, IT and Security Fundamentals, Rapid7
Comments

7 รูปแบบทั่วไปของการโจมตี Cybersecurity   Highlight   - หากคุณได้เคยศึกษาเรื่องราวของภัยคุกคามในโลกไซเบอร์จะพบว่า “มีการโจมตีมากมายหลายรูปแบบ แตกไม่มีรูปแบบไหนเลยที่เหมือนกัน” แต่ละประเภทของภัยคุกคามจะมีลักษณะการโจมตีเป็นของตัวเองถึงแม้อาจจะมีความคล้ายคลึงกันบ้างก็ตาม - ในทำนองเดียวกันหากผู้ไม่หวังที่ต้องการจะคุกคามข้อมูลขององค์กรและสร้างความเสียหายให้กับองค์กรของคุณ พวกเขาจะเตรียมข้อมูลและพัฒนารูปแบบอาวุธให้มีประสิทธิภาพที่มากพอในการคุกคาม - ซึ่งหากคุณจะทำความเข้าใจเกี่ยวกับ “ภัยคุกคาม” เหล่านี้มากเพียงใด ก็อาจจะไม่มากพอ เพราะสิ่งเหล่านี้จะพยายามหาช่องโหว่ที่จะโจมตีอยู่เสมอ อย่างไรก็ตามนี่คือ 7 รูปแบบการโจมตีที่พบมากในปัจจุบัน 1. Malware 2. Phishing 3. SQL Injection Attack 4. Cross-Site Scripting (XSS) 5. Denial of Service (DoS) 6. Session Hijacking and Man-in-the-Middle Attacks 7. Credential Reuse   Malware ภัยคุกคามรุ่นบุกเบิก Malware หากคุณเคยเห็นการแจ้งเตือนไวรัสที่มักปรากฏขึ้นเป็นหน้าจอของคุณ หรือในโปรแกรม Anti-Virus ขั้นพื้นฐานเมื่อเกิดความผิดปกติ หรือมีไวรัสปลอมแปลงเข้ามาในคอมพิวเตอร์ของคุณ ซึ่งมักแฝงตัวมากับไฟล์ที่ดาวน์โหลด อีเมล์ หรือแม้แต่การเชื่อมต่อของอุปกรณ์เสริมต่างๆ “มัลแวร์” หมายถึงการรูปแบบหนึ่งของซอฟต์แวร์ ที่เป็นอันตรายต่อผู้ที่ได้รับ เช่น ไวรัส และ ransomware หากมีมัลแวร์อยู่ในคอมพิวเตอร์แล้วก็จะสามารถสร้างความเสียหายได้มากเลยทีเดียว ไม่ว่าจะเป็นการทำลายข้อมูล หรือแม้แต่การเข้าควบคุมระบบของคุณ ตัวอย่างที่ระบาดหนักก็คือ WannaCry ที่สร้างความเสียหายให้กับองค์กรทั้งในสหรัฐอเมริกา สหราชอาณาจักร จีน รัสเซีย สเปน อิตาลี และไต้หวัน โดยมีการเปิดเผยข้อมูลจากบริษัท Avast ซึ่งเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์รายงานว่า...

Read More
Rapid 7
02 Sep

หัวใจความปลอดภัย 3 ข้อ

by Monster Connect
in All, IT and Security Fundamentals, Rapid7
Comments

หัวใจความปลอดภัย 3 ข้อ   Highlight - ทำความเข้าใจว่า “ภัยอันตรายที่จะโจมตีองค์กร” ในปัจจุบันไม่ได้มาในรูปแบบเดิมๆบนระบบคอมพิวเตอร์เพียงอย่างเดียวเท่านั้น แต่มีช่องโหว่มากมายไม่ว่าจะเป็น “อุปกรณ์อิเล็กทรอนิกส์อย่างเช่น เครื่องปริ้น กล้องถ่ายรูป และอุปกรณ์เสริมอื่นๆ ที่ไม่ได้ออกแบบมาเพียงรอรับภัยคุกคาม” อุปกรณ์เหล่านี้จึงตกเป็นเป้าหมายของทางผ่านในการโจมตีของเหล่าแฮกเกอร์ ทำให้บริษัทและบุคคลต่างๆหันมาคิดถึงเรื่องความปลอดภัยของเครือข่าย ที่ผ่านการเชื่อมต่อของอุปกรณ์ต่างๆด้วยเช่นเดียวกัน - มีเหตุการณ์ที่สร้างความเสียหายมากมายที่เกิดขึ้นบนโลกไซเบอร์ซึ่งสามารถแบ่งออกเป็น 3 ความเสียหายหลักก็คือ “ความเสียหายที่เกิดขึ้นจากช่องโหว่” “ความเสียหายที่เกิดขึ้นจากการแสวงหาผลประโยชน์” และ “ความเสียหายที่เกิดขึ้นจากภัยคุกคาม”   What Is a Vulnerability? อะไรคือ “ช่องโหว่” ที่จะเกิดขึ้นกับองค์กรของคุณ เพื่อให้เข้าใจการทำงานของระบบและการจัดการช่องโหว่ที่เกิดขึ้น จะต้องเริ่มต้นมาจากการทำความเข้าใจ “API” ซึ่งย่อมาจาก “Application Program Interface” ซึ่ง API มีความสำคัญมากในการสร้างหลักเกณฑ์ที่กำหนดทิศทางของซอฟต์แวร์ ในการใช้งานบนเครือข่ายใดๆก็ตาม (โดยความแตกต่างของ API จะเป็นอย่างไรก็ขึ้นอยู่กับการติดตั้งและผู้ให้บริการ) ซึ่งช่องโหว่ที่จะเกิดขึ้นนั้น ล้วนเป็นเรื่องราวที่ไม่ได้ตั้งใจให้เกิดขึ้นบน API อย่างแน่นอน ! แต่อย่างไรก็ตามเมื่อตรวจสอบพบช่องโหว่บนเครือข่ายหรือระบบใดๆขององค์กรแล้วก็ควรจะอัพเดทหรือหาวิธีในการแก้ปัญหาอุดรอยรั่วเหล่านั้น เพื่อไม่ให้เหล่าแฮกเกอร์ใช้ช่องโหว่นี้เข้ามาสร้างความเสียหายให้กับองค์กร อุปกรณ์สแกนช่องโหว่จะทำการแยกวิเคราะห์โดย API โดยจะทำหน้าวิเคราะห์ความเสี่ยงที่จะเกิดขึ้นกับองค์กร เพื่อระบุว่าระบบใดที่อาจทำให้ระบบมีความเสี่ยง และได้แก้ปัญหาได้ทันท่วงที ซึ่งประสิทธิภาพของอุปกรณ์ที่ใช้สแกนนั้น จะต้องได้รับทดสอบอยู่อย่างสม่ำเสมอ เพื่อสร้างความมั่นใจให้กับองค์กรได้ว่า “อุปกรณ์ที่มีอยู่นั้นสามารถสแกนตรวจจับช่องโหว่ของระบบได้อย่างเต็มประสิทธิภาพ   What Is an Exploit? อะไรคือ “การแสวงหาผลประโยชน์” จากองค์กรของคุณ “การแสวงหาผลประโยชน์” จะเป็นขั้นตอนถัดมาหลังจากที่เหล่า “แฮกเกอร์ผู้ไม่หวังดี” ตรวจพบช่องโหว่ที่เกิดขึ้นบน APIs จะเป็นด้วยความบังเอิญหรือตั้งใจก็ตาม แต่การเอารัดเอาเปรียบจะสามารถสร้างความเสียหายให้กับองค์กรของคุณได้หลากหลายส่วนอย่างแน่นอน...

Read More
28 Aug

GDPR ความปลอดภัยด้านข้อมูลของพลเมือง EU

by Monster Connect
in All, IT and Security Fundamentals, Rapid7
Comments

GDPR ความปลอดภัยด้านข้อมูลของพลเมือง EU General Data Protection Regulation (GDPR) ข้อบังคับของการป้องกันข้อมูลในแบบทั่วไป Breaking down GDPR compliance and how it protects EU citizens' data (ลดการปฏิบัติตาม GDPR และปกป้องข้อมูลของสหภาพยุโรปเป็นอย่างไร)     At a Glance:  มีหลายเหตุการณ์ชวนปวดหัวเกิดขึ้นมากมายในช่วงหลายปีที่ผ่าน ซึ่งปัญหาความไม่ปลอดภัยในระบบเครือข่ายต่างระบาดไปทั่วประเทศต่างๆในทวีปยุโรป จึงเป็นเหตุให้ EU ได้ผ่านกฎระเบียบคุ้มครองข้อมูลทั่วไปในชื่อ “General Data Protection Regulation (GDPR)” ภายในปี 2560 ทั้งนี้มีเป้าหมายเพื่อให้องค์กรต่างๆในประเทศสมาชิก EU ได้เพิ่มประสิทธิภาพในเพิ่มความปลอดภัยในการปกป้องข้อมูล ถึงแม้ว่า GDPR จะพึ่งถูกนำมาใช้อย่างจริงจังในปี 2560 ก็ตาม แต่ GDPR  ก็เริ่มมีการใช้งานกันมาตั้งปี 25 พฤษภาคม พ.ศ. 2561 เลยทีเดียว ถึงแม้ว่าองค์กรของคุณจะไม่ได้ตั้งอยู่ในกลุ่มประเทศ EU ก็ตาม แต่หากธุรกรรมที่คุณทำนั้นเกี่ยวข้องกับการจัดเก็บและจัดการข้อมูลส่วนบุคคลของพลเมืองของ EU คุณก็จะต้องปฏิบัติตามข้อกำหนดด้านความปลอดภัยนี้ ซึ่งหากไม่ปฏิบัติตามก็อาจจะโดนปรับมากถึง 4% ของรายได้องค์กรต่อปี หรืออาจะสูงถึง 20 ล้านยูโร (มีโอกาสเพิ่มขึ้นได้มากกว่านี้แล้วแต่การพิจารณา)   Key Points of the GDPR   ...

Read More
NYDFS
27 Aug

NYDFS ตัวแทนความปลอดภัยของนิวยอร์ก

by Monster Connect
in All, IT and Security Fundamentals, Rapid7
Comments

NYDFS ตัวแทนความปลอดภัยของนิวยอร์ก เข้าใจ เข้าถึง รักษา ตามหลักข้อกำหนด 23 NYCRR Part 500   At a Glance:   ข้อกำหนดด้านความปลอดภัยบนระบบเครือข่ายของ NYDFS ซึ่งถูกกำหนดให้บริษัทประกันภัย ธนาคาร และสถาบันการเงินใน New York ประเทศสหรัฐอเมริกา ซึ่งจะรวมไปถึงหน่วยงานที่เกี่ยวข้องกับสถาบันการเงิน สาขาต่างๆ ที่ไม่ใช่หน่วยงานของภาครัฐ ปฏิบัติตามเพื่อประเมินด้านความเสี่ยงบนโลกไซเบอร์ โดยระเบียบการปฏิบัติ “NYDFS Cybersecurity” ได้รับการออกแบบมาเพื่อปกป้องผู้บริโภคและเพื่อ "รักษาความปลอดภัยและความถูกต้องของตัวสถาบันเอง" ด้วยเช่นเดียวกัน ซึ่งระเบียบดังกล่าวได้มีผลบังคับใช้เมื่อวันที่ 1 มีนาคม 2017 และจะต้องมีผลดำเนินงานภายใน 180 วัน (28 สิงหาคม 2017) ภายใต้การควบคุมของ New York Department of Financial Services (NYDFS) องค์กรที่ได้รับรอง ในการวางโปรแกรมระบบรักษาความปลอดภัยในโลกไซเบอร์ที่จะครอบคลุมและสอดคล้องกับระยะเวลาการปฏิบัติตามข้อกำหนดที่มีการเจาะจงเอาไว้   What Is the NYDFS Cybersecurity Regulation?   NYDFS ได้ออกกฎระเบียน NYDFS ได้ออกกฎระเบียบ Cybersecurity (23 NYCRR Part 500) เพื่อตลอดสนองความต้องการที่แสนซับซ้อนด้านความปลอดภัย เนื่องจากเหล่า “อาชญากรไซเบอร์” ในรูปแบบการโจมตีหลากหลาย และมักจะเลือกโจมตี “สถาบันการเงินของสหรัฐฯ”...

Read More
SOC
27 Aug

รู้จัก SOC Reports ข้อมูลเชิงลึกด้านความเสี่ยงขององค์กร

by Monster Connect
in All, IT and Security Fundamentals, Rapid7
Comments

รู้จัก SOC Reports ข้อมูลเชิงลึกด้านความเสี่ยงขององค์กร Providing insight into an organization's risk   At a Glance: สำหรับองค์กรที่มีการควบคุมภายใต้กรอบ SOC ซึ่งจะมีการใช้รายงานในการรายผลเพื่อเป็นวิธีใน “การตรวจสอบว่า องค์กรสามารถปฏิบัติได้ตามแนวทางของกรอบควบคุมความปลอดภัยหรือไม่” ทั้งนี้ยังเป็นการตรวจเช็คภายใต้กรอบปฏิบัติก่อนที่องค์กรจะเลือกใช้ตัวช่วยจากหน่วยงาน Outsource อีกด้วย ซึ่งแนวทางนี้จะเป็นทางออกด้านความปลอดภัยเกี่ยวกับระบบการเงิน และการประมวลผลต่างๆได้เป็นอย่างดีเลยทีเดียว นอกจากนี้รายงานยังสามารถนำมาตรวจสอบโดยองค์กรอิสระ บุคคลที่สาม เพื่อประกอบการพิจารณาต่างๆ ไม่ว่าจะเป็นในการทำประกัน และนักลงทุน เพื่อแสดงให้เห็นถึงศักยภาพด้านความปลอดภัยขององค์กรว่ามีมากน้อยแค่ไหน   รายงาน SOC จะเป็นตัวแสดงถึง “ภาพรวมด้านความปลอดภัยภายในองค์กร” และรายละเอียดของกรอบการทำงานด้านความปลอดภัย ซึ่งจะสอดคล้องกับระบบการทำงานจริงที่เกิดขึ้นภายในองค์กร รวมไปถึงการประสานงานร่วมกับบรรดาพันธมิตร และความสัมพันธ์ด้านธุรกิจต่างๆอีกด้วย ซึ่งในปัจจุบันรายงาน SOC มีความสำคัญมากที่เลยทีเดียวสำหรับ “ทีมขาย” ขององค์กรที่มักจะใช้อ้างอิงถึงความปลอดภัยและเสถียรภาพภายในองค์กรแก่ลูกค้า ก่อนที่จะไปทำความเข้าใจกันในเรื่อง “ประเภทของรายงาน” จะต้องเข้าใจก่อน “รายงาน  SOC” จะมีคำจำกัดความได้เช่นไรบ้าง ? รายงานที่แสดงถึง “ความสามารถในการให้บริการ” รายงานที่แสดงถึง “การบริหารงานโดยใช้ Outsource หรือใช้พันธมิตรในเครือธุรกิจ” รายงานที่แสดงถึง “ขอบเขตการควบคุม กระบวนการและกลไกที่ตรวจสอบได้ รวมถึงผลกระทบที่เกิดขึ้นจากปัญหาด้านความปลอดภัย”   Types of Reports รายงานของ SOC สามารถแยกออกเป็นได้หลายประเภท ทั้งนี้ก็จะขึ้นอยู่กับความหลากหลายและรูปแบบการทำงานขององค์กร รวบไปถึงข้อมูลด้านความปลอดภัยที่องค์กรต้องการอีกด้วย   SOC1: รายงานที่แสดงเกี่ยวกับ “การควบคุมที่มีผลกระทบทันที หรือต่อเนื่องเกี่ยวกับงบประมาณ การเงิน ตามมาตรฐานของ SSAE16”   Type...

Read More
Compliance and Regulatory Frameworks
25 Aug

Compliance and Regulatory Frameworks กรอบความปลอดภัยแบบไหนเหมาะกับคุณ

by Monster Connect
in All, IT and Security Fundamentals, Rapid7
Comments

Compliance and Regulatory Frameworks กรอบความปลอดภัยแบบไหนเหมาะกับคุณ แนวทางและแนวการปฏิบัติที่ดี ที่มีอิทธิพลต่อองค์กรในปัจจุบัน   At a Glance: กรอบการปฏิบัติตามกฎระเบียบและข้อบังคับคือแนวทางการปฏิบัติที่ดีที่สุดขององค์กร เพื่อให้ให้องค์กรสามารถปรับปรุงกระบวนการเสริมสร้างความปลอดภัยและบรรลุวัตถุประสงค์ทางธุรกิจได้ในอีกหลายๆด้าน “ตัวอย่างเช่น บริษัทของเอกชนเสนอขายโซลูชั่นระบบคลาวด์ให้กับหน่วยงานของรัฐ การดำเนินการกฎระเบียบที่วางเอาไว้จะช่วยส่งเสริมให้ธุรกิจประสบความสำเร็จได้เป็นอย่างดี” กรอบการปฏิบัติเหล่านี้จะส่งผลให้การสื่อสารกันระหว่างห้องเซิร์ฟเวอร์ไปยังห้องทำงานได้อย่างราบรื่น โดยมาตรฐานของกฎระเบียบและข้อบังคับนี้จะใช้ประโยชน์ได้โดย ผู้ตรวจสอบภายในองค์กรและผู้มีส่วนได้ส่วนเสียภายในองค์กร จะสามารถใช้กรอบการปฏิบัตินี้ “เพื่อประเมินและควบคุมภายในองค์กรได้” ผู้ตรวจสอบและประเมินจากภายนอกสามารถใช้ “กรอบการปฏิบัติ” เหล่านี้ในการประเมินเพื่อรับรองการทำงานขององค์กรได้อีกด้วย บุคคลภายนอกอื่นๆเช่น “ลูกค้า นักลงทุน หรือกลุ่มธุรกิจอื่นๆ” จะสามารถนำมาใช้ประเมินความเสี่ยงที่อาจจะเกิดขึ้นภายในองค์กรได้อีกด้วย   การปฏิบัติตามกรอบข้อบังคับที่จะสามารถเปลี่ยนแปลงและปรับแต่งให้เข้ากับสภาพแวดล้อมที่เปลี่ยนไปตลอดเวลา ซึ่งประสิทธิภาพในการควบคุมอาจจะลดลงได้เช่นเดียวกัน “การเฝ้าติดตามการเปลี่ยนแปลงอยู่เป็นประจำคือสิ่งที่จะช่วยให้ควบคุมความปลอดภัยได้” ซึ่งหากคุณทำงานร่วมกันกับทีมรักษาความปลอดภัยของข้อมูล (IS) นี่คือกรอบการดูแลที่คุณอาจจะได้พบ   Sarbanes-Oxley (SOX)   -              ทำไมถึงต้องมี SOX ? ตามที่ Sarbanes-Oxley Act ได้มีการรับรองในปี 2545 ซึ่งจะได้รับการรับรองในการป้องกันการคุกคาม ภายหลังเรื่องราวที่เกิดขึ้นใน Enron, WorldCom และ Tyco ที่ได้รับผลกระทบในเรื่องของความไว้วางใจจากนักลงทุน หากคุณเป็นส่วนหนึ่งของ IS จะมีผลต่อคุณอย่างไร ? มีข้อกำหนดด้านความปลอดภัยที่หลากหลายเลยทีเดียวสำหรับแอพพลิเคชั่นและระบบที่ใช้การประมวลข้อมูลทางการเงิน โดยจะเป็นการควบคุมด้านระบบไอทีทั่วไป (ITGCs) โดยการควบคุมแบบ Entity-Level จำเป็นที่ต้องได้รับการจัดการโดย IS team   กรอบการทำงานในลักษณะนี้ เหมาะสมกับองค์กรประเภทใด ? กรอบตามการควบคุมนี้จะเหมาะกับบริษัทมหาชนทั่วไป และบริษัทที่เกี่ยวกับงานเงิน และตลอดหุ้น (IPO)   PCI DSS ...

Read More
Security Risk Management
23 Aug

Information Security Risk Management เข้าใจความเสี่ยง !

by Monster Connect
in All, IT and Security Fundamentals, Rapid7
Comments

Information Security Risk Management เข้าใจความเสี่ยง ! ระบุเป้าหมายเข้าใจระดับของความเสี่ยง   At a Glance: การจัดการความเสี่ยงและความปลอดภัยด้านข้อมูลขององค์กรหรือ Information Security Risk Management (ISRM) คือกระบวนการจัดการความเสี่ยงที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ (IT) เข้ามาเป็นส่วนเกี่ยวข้องในการจัดการและระบุภัยคุกคาม รวมไปถึงการเก็บรักษาและสร้างความปลอดภัยให้พร้อมรับมืออยู่ตลอดเวลาอีกด้วย อย่างไรก็ตาม “ทรัพย์สินขององค์กร” ไม่ว่าจะเป็นทั้งแบบ Hardware หรือ Software คือเป้าหมายสุดท้ายในการรักษาเอาไว้ให้ได้ดีที่สุด เพื่อเป็นการสร้างความปลอดภัยขั้นสูงการจัดการความเสี่ยงทั้งหมด ระบุเป้าหมายให้ชัดเจน และกำหนดระดับของความเสี่ยงได้ คือทางออกที่ดีที่สุด   Stages of ISRM:   Identification   Identify assets: ข้อมูลที่ถูกเก็บอยู่ขององค์กรภายในระบบเปรียบได้กับ “เพชรที่แสนล้ำค่า” ที่หากเสียหายหรือสูญเสียไปจะต้องส่งผลมากมาย ตัวอย่างเช่น หมายเลขประกันสังคม และระบบทรัพย์สินทางปัญญา หรือจะเป็นข้อมูลด้านการเงินขององค์กร และส่วนอื่นๆที่หากโดนคุกคามไปแล้วอาจจะส่งผลเสียหายให้กับองค์กรได้ในระดับสูงมากเลยทีเดียว   Identify vulnerabilities: ระบุให้ได้ว่าตอนนี้ในองค์กรมี “ช่องโหว่” ด้านความปลอดภัยที่ส่วนใดบ้าง โดยเฉพาะในเรื่องของระบบ Software ที่ใช้ในการรักษาความปลอดภัยอยู่ เพื่อสร้างความตื่นตัวในการป้องกันให้ได้มากที่สุด   Identify threats: ระบุสาเหตุที่จะทำให้องค์กรของคุณเสียหาย เช่นหากเป็นภัยคุกคามทางกายภาพเช่น คุณสามารถระบุได้ว่าจะมีพายุทอร์นาโดและน้ำท่วมได้เมื่อไร ในทิศทางเดียวกัน การระบุความเสี่ยงที่องค์กรของคุณอาจจะเจอได้ในระบบไอที ไม่ว่าจะเป็น กลุ่มแฮกเกอร์ มัลเวอร์ที่น่าสงสัย หรือจะเป็นกลุ่มอาชญากรรมในระบบต่างๆ   Identify controls: ระบุให้ได้ว่า “คุณมีหน้าที่อะไรบ้างในการป้องกันทรัพย์สินขององค์กร” ในส่วนนี้จะหมายถึงการระบุขอบเขตของการป้องกัน ควบคุม แก้ไขช่องโหว่ ที่เกิดขึ้น เพื่อลดและป้องกันภัยที่จะเข้ามาทำลายองค์กรให้ได้โดยอัตโนมัติ...

Read More
Incident Response Plan วางแผนก่อน พร้อมก่อน
22 Aug

Incident Response Plan วางแผนก่อน เริ่มก่อน พร้อมก่อน

by Monster Connect
in All, IT and Security Fundamentals, Rapid7
Comments

Incident Response Plan วางแผนก่อน เริ่มก่อน พร้อมก่อน   At a Glance:   Incident Response Plan หรือแผนการตอบสนองภัยคุกคามจะทำหน้าที่เป็นตัวอธิบายถึงขั้นตอนในการรับมือภัยคุกคามที่จะเข้ามาสร้างปัญหาให้กับองค์กรของคุณ “ซึ่งแผนการตอบสนองที่รัดกุมได้มากเท่าไรก็เหมือนการยิ่งสร้างความแข็งแกร่งให้กับความปลอดภัยขององค์กรมากเท่านั้น” เมื่อเกิดเหตุการณ์ที่ไม่คาดคิดขึ้นแล้วนั้น “แผนรับมือ” จะเป็นหัวใจสำคัญที่ทำให้องค์กรกลับมาเป็นปกติและฟื้นฟูความเสียหายได้อย่างรวดเร็ว  แต่อย่างไรก็ตามแผนการรับมือที่รัดกุมจำเป็นจะต้องผ่านการจำลองเหตุการณ์และการฝึกอบรมอย่างสม่ำเสมอ เพื่อให้แก้ไขสถานการณ์ได้อย่างไม่ติดขัดและทันท่วงที   ไม่มีใครชอบสถานการณ์วิกฤติกันอย่างแน่นอน เมื่อถึงเวลาเช่นนี้ย่อมจะต้องคลีคลายให้เร็วที่สุด และจะต้องมีการรับมืออย่างถูกต้องตามขั้นตอนที่สามารถแก้ปัญหาได้ตั้งแต่วินาทีแรกที่เกิดปัญหา ซึ่งหากปล่อยให้เหตุการณ์วิกฤติยิ่งกินเวลานานมากขึ้น ก็จะยิ่งส่งผลให้องค์กรของคุณจะต้องเสียหายไปเรื่อยๆ เพื่อป้องกันไม่ให้เกิดเหตุการณ์เช่นนี้เกิดขึ้นกับองค์กรของคุณ “ทีมผู้ดูแลระบบความปลอดภัย” จะต้องมีความตื่นตัวและพร้อมอยู่เสมอในการรับมือสถานการณ์ อีกทั้งบุคคลอื่นๆในองค์กรด้วยเช่นเดียวกัน จะต้องทราบว่าเมื่อเกิด “สถานการณ์วิกฤติ” ใครควรจะปฏิบัติตัวเช่นไร เพื่อไม่ให้เกิดความเสียหายกับองค์กรในภาพรวม   What’s In a Robust Incident Response Plan?   Buy-in from key organizational stakeholders: เมื่อเกิดวิกฤติขึ้นทีมของคุณจำเป็นต้องรู้ว่า “การคุกคาม” ที่เกิดขึ้นมาจากผู้มีส่วนได้ส่วนเสียคนอื่นในองค์กรหรือไม่ ไม่ว่าจะเป็นพนักงานทั่วไปหรือผู้บริหารระดับสูงคนอื่นๆ เพื่อจะได้เดินตามแผนการตอบสนองอย่างเต็มที่ อย่างรวดเร็วและมั่นใจอีกด้วย   Clearly defined roles, responsibilities, and processes: พยายามมองหาตัวการหลักของปัญหาว่ามากจากผู้ใด พิจารณาจากองค์ประกอบที่มีผลต่อเหตุการณ์ที่เกิดขึ้น ซึ่งผู้ที่พิจารณาในจุดนี้จะต้องมีข้อมูลอัพเดทกันอยู่เสมอว่า “ใครที่อาจจะเป็นภัยคุกคาม” ซึ่งในช่วงเวลานี้ไม่ใช้เวลาที่จะมาทดสอบสมาชิกในทีมของคุณเอง ซึ่งบางครั้งอาจจะเกิดการคลุมเครือว่าเป็นฝีมือของกลุ่มใดที่เข้ามาทำความเสียหายในองค์กร “กระบวนการคัดกรองและพิจารณาหาต้นตอของปัญหาจึงสำคัญ”   Technologies and partnerships to enable quick action: การฝึกซ้อม ทดสอบจากการจำลองสถานการณ์อยู่เป็นประจำ จะช่วยให้ทุกคนในทีมช่วยกันมองช่องโหว่ ไม่ว่าจะเป็นในเรื่องของวิธีการแก้ปัญหา หรือจะเป็นในเรื่องของเครื่องมือ...

Read More
21 Aug

Security Awareness Training ความปลอดภัยกับการฝึกอบรม -Rapid7

by Monster Connect
in All, IT and Security Fundamentals, Rapid7
Comments

Security Awareness Training ความปลอดภัยกับการฝึกอบรม -Rapid7 “สร้างความพร้อมในด้านความปลอดภัยกับการฝึกอบรม องค์ประกอบที่สำคัญกับระบบความปลอดภัย”   At a Glance:   พนักงานเป็นส่วนหนึ่งขององค์กร ทั้งในเรื่องของการทำงานและเรื่องของการสอดส่องรักษาความปลอดภัยให้กับระบบขององค์กร โดยไม่เพียงแค่ผู้ดูแลระบบเท่านั้น แต่พนักงานทุกคนจะต้องมีความรู้และสามารถป้องกันภัยคุกคามที่เข้ามาทำลายองค์กร อย่างน้อยก็ได้ในระบบเบื้องต้น โดยการฝึกอบรบด้านความปลอดภัยจากทั้งภาครัฐและภาคอุตสาหกรรมไม่ว่าจะเป็น FISMA, PCI, HIPAA หรือ Sarbanes-Oxley ทั้งนี้ยังสามารถฝึกอบรบโดยผู้เชี่ยวชาญในองค์กรเอง หรือบุคคลจากภายนอกเข้ามาฝึกอบรมให้กับพนักงาน ในด้านของการรับรู้ด้านความปลอดภัย การมีส่วนร่วม และให้ข้อเสนอแนะตลอดกระบวนการรักษาความปลอดภัย   Types of Training : ประเภทของการฝึกอบรม   ในแต่ละองค์ย่อมมีระบบและวัฒนธรรมภายในองค์กรที่แตกต่างกันออกไป ซึ่งรูปแบบของการฝึกอบรมก็ย่อมแตกต่างกันออกไปด้วยเช่นเดียวกัน Classroom training: เป็นรูปแบบการฝึกอบรมที่คล้ายกับห้องเรียนของเด็กนักเรียน ซึ่งจะมีผู้สอนยืนบรรยายและให้คำแนะนำ ทั้งผู้สอนและผู้เข้าฝึกอบรมจะสามารถแลกเปลี่ยน พูดคุย และสามารถตอบคำถามกันได้ตลอดการฝึกอบรม   Online training: เป็นรูปแบบการฝึกอบรมที่เน้นการฝึกอบรมโดยคนจำนวนน้อยผ่านระบบออนไลน์ แต่สามารถฝึกอบรมได้ตามเวลาที่ผู้เรียนสะดวก นอกจากนี้จะเป็นการฝึกอบรมที่ผู้เรียนสามารถใช้อุปกรณ์ของตัวเองในการฝึกอบรมได้อีกด้วย   Visual aids: การฝึกอบรมในรูปแบบนี้จะเน้นไปที่ “การสร้างความตระหนักด้านความปลอดภัย” กันมากกว่า ซึ่งส่วนมากจะติดเป็นป้ายประกาศอยู่ภายในห้องพักของพนักงาน   Phishing campaigns: ไม่มีอะไรน่าดึงดูดใจในการฝึกอบรมได้มากกว่า “การฝึกอบรมที่จะต้องมีการวัดผล” “ผู้เข้ารับการฝึกอบรมจะต้องลงทะเบียน” ไม่ว่าจะเพื่อรางวัลที่ทางองค์กรจะให้ หรือการบังคับก็ตาม   ในบางกรณีการผสมผสานวิธีการฝึกอบรมเหล่านี้ ให้มีความหลากหลาย อาจจะเป็นตัวเลือกที่ดีที่สุด ทั้งการเรียนรู้ และการสร้างความตระหนักในเรื่องความปลอดภัย “อีกทั้งการสร้างสื่อเอกสารที่สามารถทำความเข้าใจได้ง่ายก็เป็นอีกวิธีที่เหมาะกับองค์กรมีอัตราการหมุนเวียนสูง”   Subjects to Cover : เรื่องที่จะฝึกอบรม   ความแตกต่างกันออกไปของรายละเอียดภายในองค์ ความเสี่ยงที่องค์กรจะต้องเจอ ระดับความรู้ความสามารถพื้นของพนักงานในองค์กร ก็จะเป็นองค์ประกอบในการตัดสินว่า “เรื่องที่จะฝึกอบรมคือเรื่องอะไร”   Phishing: เรื่องพื้นฐานเลยทีเดียวที่พนักงานจะต้องทำความเข้าใจและศึกษาเกี่ยวกับ การสังเกตและรายงาน ระบบ Phishing การป้อนข้อมูลในสื่อที่แปลกปลอม การโต้ตอบกับลิงก์ที่น่าสงสัย...

Read More