All

Penetration Testing ทดสอบการโจมตีก่อนของจริงจะมา Penetration Testing : Uncover security gaps before attackers do   HIGHLIGHT - ดูเหมือนว่าในทุกๆวันจะมีเรื่องราวของ “ภัยบนโลกไซเบอร์” ให้อัพเดทกันอยู่ตลอดเวลา ซึ่งความเสียหายที่เกิดก็เป็นเม็ดเงินหลายพันล้านดอลล่าร์เลยทีเดียว นั่นหมายถึงว่าเหล่าอาชญากรไซเบอร์ก็มีความพยายามในการพัฒนาความสามารถในการเจาะและทำลายความปลอดภัยที่แต่ละองค์กรสร้างขึ้นมาอยู่ทุกวันเช่นเดียวกัน - การทดสอบความปลอดภัยที่เห็นภัยได้อย่างจริงจังก็คือ “การทดสอบและประเมินในสถานการณ์จริง” ซึ่งจะสามารถช่วยทดสอบความสามารถของเครื่องมือ และมองหาช่องโหว่ที่จะช่องทางในการโจรกรรมข้อมูลที่สำคัญ ไม่ว่าจะเป็นข้อมูลองค์กร ข้อมูลลูกค้า ข้อมูล PII หรือจะเป็นการจู่โจมแบบเรียกค่าไถ่ก็ได้เช่นเดียวกัน - แน่นอนว่า “การป้องกันอันตรายเหล่านี้จะสามารถป้องกันผลประโยชน์ทางธุรกิจของคุณได้มากเลยทีเดียว” รวมไปถึงการยกระดับความเชื่อมั่นให้กับองค์กรของคุณได้อีกด้วย How Can You Exploit Vulnerabilities? คุณสามารถใช้ประโยชน์จากช่องโหว่ได้อย่างไร ? การทดสอบภัยคุกคามสามารถทำได้โดยผู้เชี่ยวชาญ ไม่ว่าจะเป็นบุคลากรภายในองค์กรของคุณเอง หรือจะเป็นหน่วยงาน Outsource โดยจะทดสอบระดับความสามารถในการรับมือความปลอดภัยว่าจะรับมือกับภัยคุกคามที่จะเข้ามาได้มากน้อยเพียงใด ผู้เชี่ยวชาญจะทำการทดสอบเจาะระบบ เพื่อมองหาช่องโหว่ที่มีโอกาสจะคุกคามและสร้างความเสียหายให้กับองค์กรได้ เมื่อตรวจพบจะสามารถสร้างเกาะป้องกันได้อย่างทันท่วงที นอกจากเรื่องของความปลอดภัยในการเจาะระบบแล้ว มีบ่อยครั้งผู้เชี่ยวชาญมักจะทดสอบผู้ใช้เครือข่าย (บุคลากรทั่วไปในองค์กร) ในเรื่องของปฏิกิริยาตอบสนองต่ออีเมลฟิชชิ่งอีกด้วย How Do You Test the "User Risk" to Your IT Security Chain? ความเสี่ยงของผู้ใช้ต่อวงจรความปลอดภัยด้าน IT ผู้ที่ใช้เครือข่ายและบุคลากรภายในองค์กรคือความเสี่ยงอีกอย่างที่จะเกิดขึ้นด้วยเช่นเดียวกัน ไม่ว่าจะเป็นเรื่องของข้อผิดพลาดและการป้อนข้อมูลลงในเว็บไซด์หรือเครือข่ายที่อันตราย และวิธีการนี้เป็นวิธีที่ง่ายที่สุดสำหรับแฮ็กเกอร์ในการขโมยข้อมูล ข้อมูลด้านการบุกรุกและละเมิดข้อมูลเหล่านี้จะแสดงผลอยู่ใน “Verizon Data Breach Report” ที่จะเข้ามาเป็นส่วนหหนึ่งของการทดสอบระดับความปลอดภัย ไม่ว่าจะเป็นสุ่มเดารหัสในการเข้าถึงเครือข่ายและระบบและแอพพลิเคชัน ที่ถึงแม้จะเป็นวิธีการง่ายๆ แต่ก็ถือเป็นความเสี่ยงที่สามารถสร้างความเสี่ยงหายให้กับองค์กรได้ในระดับสูงเลยทีเดียว นอกจากนี้การทดสอบ...

Read More
cybersecurity-professionals-top-complaints

7 รูปแบบทั่วไปของการโจมตี Cybersecurity   Highlight   - หากคุณได้เคยศึกษาเรื่องราวของภัยคุกคามในโลกไซเบอร์จะพบว่า “มีการโจมตีมากมายหลายรูปแบบ แตกไม่มีรูปแบบไหนเลยที่เหมือนกัน” แต่ละประเภทของภัยคุกคามจะมีลักษณะการโจมตีเป็นของตัวเองถึงแม้อาจจะมีความคล้ายคลึงกันบ้างก็ตาม - ในทำนองเดียวกันหากผู้ไม่หวังที่ต้องการจะคุกคามข้อมูลขององค์กรและสร้างความเสียหายให้กับองค์กรของคุณ พวกเขาจะเตรียมข้อมูลและพัฒนารูปแบบอาวุธให้มีประสิทธิภาพที่มากพอในการคุกคาม - ซึ่งหากคุณจะทำความเข้าใจเกี่ยวกับ “ภัยคุกคาม” เหล่านี้มากเพียงใด ก็อาจจะไม่มากพอ เพราะสิ่งเหล่านี้จะพยายามหาช่องโหว่ที่จะโจมตีอยู่เสมอ อย่างไรก็ตามนี่คือ 7 รูปแบบการโจมตีที่พบมากในปัจจุบัน 1. Malware 2. Phishing 3. SQL Injection Attack 4. Cross-Site Scripting (XSS) 5. Denial of Service (DoS) 6. Session Hijacking and Man-in-the-Middle Attacks 7. Credential Reuse   Malware ภัยคุกคามรุ่นบุกเบิก Malware หากคุณเคยเห็นการแจ้งเตือนไวรัสที่มักปรากฏขึ้นเป็นหน้าจอของคุณ หรือในโปรแกรม Anti-Virus ขั้นพื้นฐานเมื่อเกิดความผิดปกติ หรือมีไวรัสปลอมแปลงเข้ามาในคอมพิวเตอร์ของคุณ ซึ่งมักแฝงตัวมากับไฟล์ที่ดาวน์โหลด อีเมล์ หรือแม้แต่การเชื่อมต่อของอุปกรณ์เสริมต่างๆ “มัลแวร์” หมายถึงการรูปแบบหนึ่งของซอฟต์แวร์ ที่เป็นอันตรายต่อผู้ที่ได้รับ เช่น ไวรัส และ ransomware หากมีมัลแวร์อยู่ในคอมพิวเตอร์แล้วก็จะสามารถสร้างความเสียหายได้มากเลยทีเดียว ไม่ว่าจะเป็นการทำลายข้อมูล หรือแม้แต่การเข้าควบคุมระบบของคุณ ตัวอย่างที่ระบาดหนักก็คือ WannaCry ที่สร้างความเสียหายให้กับองค์กรทั้งในสหรัฐอเมริกา สหราชอาณาจักร จีน รัสเซีย สเปน อิตาลี และไต้หวัน โดยมีการเปิดเผยข้อมูลจากบริษัท Avast ซึ่งเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์รายงานว่า...

Read More
Rapid 7

หัวใจความปลอดภัย 3 ข้อ   Highlight - ทำความเข้าใจว่า “ภัยอันตรายที่จะโจมตีองค์กร” ในปัจจุบันไม่ได้มาในรูปแบบเดิมๆบนระบบคอมพิวเตอร์เพียงอย่างเดียวเท่านั้น แต่มีช่องโหว่มากมายไม่ว่าจะเป็น “อุปกรณ์อิเล็กทรอนิกส์อย่างเช่น เครื่องปริ้น กล้องถ่ายรูป และอุปกรณ์เสริมอื่นๆ ที่ไม่ได้ออกแบบมาเพียงรอรับภัยคุกคาม” อุปกรณ์เหล่านี้จึงตกเป็นเป้าหมายของทางผ่านในการโจมตีของเหล่าแฮกเกอร์ ทำให้บริษัทและบุคคลต่างๆหันมาคิดถึงเรื่องความปลอดภัยของเครือข่าย ที่ผ่านการเชื่อมต่อของอุปกรณ์ต่างๆด้วยเช่นเดียวกัน - มีเหตุการณ์ที่สร้างความเสียหายมากมายที่เกิดขึ้นบนโลกไซเบอร์ซึ่งสามารถแบ่งออกเป็น 3 ความเสียหายหลักก็คือ “ความเสียหายที่เกิดขึ้นจากช่องโหว่” “ความเสียหายที่เกิดขึ้นจากการแสวงหาผลประโยชน์” และ “ความเสียหายที่เกิดขึ้นจากภัยคุกคาม”   What Is a Vulnerability? อะไรคือ “ช่องโหว่” ที่จะเกิดขึ้นกับองค์กรของคุณ เพื่อให้เข้าใจการทำงานของระบบและการจัดการช่องโหว่ที่เกิดขึ้น จะต้องเริ่มต้นมาจากการทำความเข้าใจ “API” ซึ่งย่อมาจาก “Application Program Interface” ซึ่ง API มีความสำคัญมากในการสร้างหลักเกณฑ์ที่กำหนดทิศทางของซอฟต์แวร์ ในการใช้งานบนเครือข่ายใดๆก็ตาม (โดยความแตกต่างของ API จะเป็นอย่างไรก็ขึ้นอยู่กับการติดตั้งและผู้ให้บริการ) ซึ่งช่องโหว่ที่จะเกิดขึ้นนั้น ล้วนเป็นเรื่องราวที่ไม่ได้ตั้งใจให้เกิดขึ้นบน API อย่างแน่นอน ! แต่อย่างไรก็ตามเมื่อตรวจสอบพบช่องโหว่บนเครือข่ายหรือระบบใดๆขององค์กรแล้วก็ควรจะอัพเดทหรือหาวิธีในการแก้ปัญหาอุดรอยรั่วเหล่านั้น เพื่อไม่ให้เหล่าแฮกเกอร์ใช้ช่องโหว่นี้เข้ามาสร้างความเสียหายให้กับองค์กร อุปกรณ์สแกนช่องโหว่จะทำการแยกวิเคราะห์โดย API โดยจะทำหน้าวิเคราะห์ความเสี่ยงที่จะเกิดขึ้นกับองค์กร เพื่อระบุว่าระบบใดที่อาจทำให้ระบบมีความเสี่ยง และได้แก้ปัญหาได้ทันท่วงที ซึ่งประสิทธิภาพของอุปกรณ์ที่ใช้สแกนนั้น จะต้องได้รับทดสอบอยู่อย่างสม่ำเสมอ เพื่อสร้างความมั่นใจให้กับองค์กรได้ว่า “อุปกรณ์ที่มีอยู่นั้นสามารถสแกนตรวจจับช่องโหว่ของระบบได้อย่างเต็มประสิทธิภาพ   What Is an Exploit? อะไรคือ “การแสวงหาผลประโยชน์” จากองค์กรของคุณ “การแสวงหาผลประโยชน์” จะเป็นขั้นตอนถัดมาหลังจากที่เหล่า “แฮกเกอร์ผู้ไม่หวังดี” ตรวจพบช่องโหว่ที่เกิดขึ้นบน APIs จะเป็นด้วยความบังเอิญหรือตั้งใจก็ตาม แต่การเอารัดเอาเปรียบจะสามารถสร้างความเสียหายให้กับองค์กรของคุณได้หลากหลายส่วนอย่างแน่นอน...

Read More

GDPR ความปลอดภัยด้านข้อมูลของพลเมือง EU General Data Protection Regulation (GDPR) ข้อบังคับของการป้องกันข้อมูลในแบบทั่วไป Breaking down GDPR compliance and how it protects EU citizens' data (ลดการปฏิบัติตาม GDPR และปกป้องข้อมูลของสหภาพยุโรปเป็นอย่างไร)     At a Glance:  มีหลายเหตุการณ์ชวนปวดหัวเกิดขึ้นมากมายในช่วงหลายปีที่ผ่าน ซึ่งปัญหาความไม่ปลอดภัยในระบบเครือข่ายต่างระบาดไปทั่วประเทศต่างๆในทวีปยุโรป จึงเป็นเหตุให้ EU ได้ผ่านกฎระเบียบคุ้มครองข้อมูลทั่วไปในชื่อ “General Data Protection Regulation (GDPR)” ภายในปี 2560 ทั้งนี้มีเป้าหมายเพื่อให้องค์กรต่างๆในประเทศสมาชิก EU ได้เพิ่มประสิทธิภาพในเพิ่มความปลอดภัยในการปกป้องข้อมูล ถึงแม้ว่า GDPR จะพึ่งถูกนำมาใช้อย่างจริงจังในปี 2560 ก็ตาม แต่ GDPR  ก็เริ่มมีการใช้งานกันมาตั้งปี 25 พฤษภาคม พ.ศ. 2561 เลยทีเดียว ถึงแม้ว่าองค์กรของคุณจะไม่ได้ตั้งอยู่ในกลุ่มประเทศ EU ก็ตาม แต่หากธุรกรรมที่คุณทำนั้นเกี่ยวข้องกับการจัดเก็บและจัดการข้อมูลส่วนบุคคลของพลเมืองของ EU คุณก็จะต้องปฏิบัติตามข้อกำหนดด้านความปลอดภัยนี้ ซึ่งหากไม่ปฏิบัติตามก็อาจจะโดนปรับมากถึง 4% ของรายได้องค์กรต่อปี หรืออาจะสูงถึง 20 ล้านยูโร (มีโอกาสเพิ่มขึ้นได้มากกว่านี้แล้วแต่การพิจารณา)   Key Points of the GDPR   ...

Read More
NYDFS

NYDFS ตัวแทนความปลอดภัยของนิวยอร์ก เข้าใจ เข้าถึง รักษา ตามหลักข้อกำหนด 23 NYCRR Part 500   At a Glance:   ข้อกำหนดด้านความปลอดภัยบนระบบเครือข่ายของ NYDFS ซึ่งถูกกำหนดให้บริษัทประกันภัย ธนาคาร และสถาบันการเงินใน New York ประเทศสหรัฐอเมริกา ซึ่งจะรวมไปถึงหน่วยงานที่เกี่ยวข้องกับสถาบันการเงิน สาขาต่างๆ ที่ไม่ใช่หน่วยงานของภาครัฐ ปฏิบัติตามเพื่อประเมินด้านความเสี่ยงบนโลกไซเบอร์ โดยระเบียบการปฏิบัติ “NYDFS Cybersecurity” ได้รับการออกแบบมาเพื่อปกป้องผู้บริโภคและเพื่อ "รักษาความปลอดภัยและความถูกต้องของตัวสถาบันเอง" ด้วยเช่นเดียวกัน ซึ่งระเบียบดังกล่าวได้มีผลบังคับใช้เมื่อวันที่ 1 มีนาคม 2017 และจะต้องมีผลดำเนินงานภายใน 180 วัน (28 สิงหาคม 2017) ภายใต้การควบคุมของ New York Department of Financial Services (NYDFS) องค์กรที่ได้รับรอง ในการวางโปรแกรมระบบรักษาความปลอดภัยในโลกไซเบอร์ที่จะครอบคลุมและสอดคล้องกับระยะเวลาการปฏิบัติตามข้อกำหนดที่มีการเจาะจงเอาไว้   What Is the NYDFS Cybersecurity Regulation?   NYDFS ได้ออกกฎระเบียน NYDFS ได้ออกกฎระเบียบ Cybersecurity (23 NYCRR Part 500) เพื่อตลอดสนองความต้องการที่แสนซับซ้อนด้านความปลอดภัย เนื่องจากเหล่า “อาชญากรไซเบอร์” ในรูปแบบการโจมตีหลากหลาย และมักจะเลือกโจมตี “สถาบันการเงินของสหรัฐฯ”...

Read More
SOC

รู้จัก SOC Reports ข้อมูลเชิงลึกด้านความเสี่ยงขององค์กร Providing insight into an organization's risk   At a Glance: สำหรับองค์กรที่มีการควบคุมภายใต้กรอบ SOC ซึ่งจะมีการใช้รายงานในการรายผลเพื่อเป็นวิธีใน “การตรวจสอบว่า องค์กรสามารถปฏิบัติได้ตามแนวทางของกรอบควบคุมความปลอดภัยหรือไม่” ทั้งนี้ยังเป็นการตรวจเช็คภายใต้กรอบปฏิบัติก่อนที่องค์กรจะเลือกใช้ตัวช่วยจากหน่วยงาน Outsource อีกด้วย ซึ่งแนวทางนี้จะเป็นทางออกด้านความปลอดภัยเกี่ยวกับระบบการเงิน และการประมวลผลต่างๆได้เป็นอย่างดีเลยทีเดียว นอกจากนี้รายงานยังสามารถนำมาตรวจสอบโดยองค์กรอิสระ บุคคลที่สาม เพื่อประกอบการพิจารณาต่างๆ ไม่ว่าจะเป็นในการทำประกัน และนักลงทุน เพื่อแสดงให้เห็นถึงศักยภาพด้านความปลอดภัยขององค์กรว่ามีมากน้อยแค่ไหน   รายงาน SOC จะเป็นตัวแสดงถึง “ภาพรวมด้านความปลอดภัยภายในองค์กร” และรายละเอียดของกรอบการทำงานด้านความปลอดภัย ซึ่งจะสอดคล้องกับระบบการทำงานจริงที่เกิดขึ้นภายในองค์กร รวมไปถึงการประสานงานร่วมกับบรรดาพันธมิตร และความสัมพันธ์ด้านธุรกิจต่างๆอีกด้วย ซึ่งในปัจจุบันรายงาน SOC มีความสำคัญมากที่เลยทีเดียวสำหรับ “ทีมขาย” ขององค์กรที่มักจะใช้อ้างอิงถึงความปลอดภัยและเสถียรภาพภายในองค์กรแก่ลูกค้า ก่อนที่จะไปทำความเข้าใจกันในเรื่อง “ประเภทของรายงาน” จะต้องเข้าใจก่อน “รายงาน  SOC” จะมีคำจำกัดความได้เช่นไรบ้าง ? รายงานที่แสดงถึง “ความสามารถในการให้บริการ” รายงานที่แสดงถึง “การบริหารงานโดยใช้ Outsource หรือใช้พันธมิตรในเครือธุรกิจ” รายงานที่แสดงถึง “ขอบเขตการควบคุม กระบวนการและกลไกที่ตรวจสอบได้ รวมถึงผลกระทบที่เกิดขึ้นจากปัญหาด้านความปลอดภัย”   Types of Reports รายงานของ SOC สามารถแยกออกเป็นได้หลายประเภท ทั้งนี้ก็จะขึ้นอยู่กับความหลากหลายและรูปแบบการทำงานขององค์กร รวบไปถึงข้อมูลด้านความปลอดภัยที่องค์กรต้องการอีกด้วย   SOC1: รายงานที่แสดงเกี่ยวกับ “การควบคุมที่มีผลกระทบทันที หรือต่อเนื่องเกี่ยวกับงบประมาณ การเงิน ตามมาตรฐานของ SSAE16”   Type...

Read More
Compliance and Regulatory Frameworks

Compliance and Regulatory Frameworks กรอบความปลอดภัยแบบไหนเหมาะกับคุณ แนวทางและแนวการปฏิบัติที่ดี ที่มีอิทธิพลต่อองค์กรในปัจจุบัน   At a Glance: กรอบการปฏิบัติตามกฎระเบียบและข้อบังคับคือแนวทางการปฏิบัติที่ดีที่สุดขององค์กร เพื่อให้ให้องค์กรสามารถปรับปรุงกระบวนการเสริมสร้างความปลอดภัยและบรรลุวัตถุประสงค์ทางธุรกิจได้ในอีกหลายๆด้าน “ตัวอย่างเช่น บริษัทของเอกชนเสนอขายโซลูชั่นระบบคลาวด์ให้กับหน่วยงานของรัฐ การดำเนินการกฎระเบียบที่วางเอาไว้จะช่วยส่งเสริมให้ธุรกิจประสบความสำเร็จได้เป็นอย่างดี” กรอบการปฏิบัติเหล่านี้จะส่งผลให้การสื่อสารกันระหว่างห้องเซิร์ฟเวอร์ไปยังห้องทำงานได้อย่างราบรื่น โดยมาตรฐานของกฎระเบียบและข้อบังคับนี้จะใช้ประโยชน์ได้โดย ผู้ตรวจสอบภายในองค์กรและผู้มีส่วนได้ส่วนเสียภายในองค์กร จะสามารถใช้กรอบการปฏิบัตินี้ “เพื่อประเมินและควบคุมภายในองค์กรได้” ผู้ตรวจสอบและประเมินจากภายนอกสามารถใช้ “กรอบการปฏิบัติ” เหล่านี้ในการประเมินเพื่อรับรองการทำงานขององค์กรได้อีกด้วย บุคคลภายนอกอื่นๆเช่น “ลูกค้า นักลงทุน หรือกลุ่มธุรกิจอื่นๆ” จะสามารถนำมาใช้ประเมินความเสี่ยงที่อาจจะเกิดขึ้นภายในองค์กรได้อีกด้วย   การปฏิบัติตามกรอบข้อบังคับที่จะสามารถเปลี่ยนแปลงและปรับแต่งให้เข้ากับสภาพแวดล้อมที่เปลี่ยนไปตลอดเวลา ซึ่งประสิทธิภาพในการควบคุมอาจจะลดลงได้เช่นเดียวกัน “การเฝ้าติดตามการเปลี่ยนแปลงอยู่เป็นประจำคือสิ่งที่จะช่วยให้ควบคุมความปลอดภัยได้” ซึ่งหากคุณทำงานร่วมกันกับทีมรักษาความปลอดภัยของข้อมูล (IS) นี่คือกรอบการดูแลที่คุณอาจจะได้พบ   Sarbanes-Oxley (SOX)   -              ทำไมถึงต้องมี SOX ? ตามที่ Sarbanes-Oxley Act ได้มีการรับรองในปี 2545 ซึ่งจะได้รับการรับรองในการป้องกันการคุกคาม ภายหลังเรื่องราวที่เกิดขึ้นใน Enron, WorldCom และ Tyco ที่ได้รับผลกระทบในเรื่องของความไว้วางใจจากนักลงทุน หากคุณเป็นส่วนหนึ่งของ IS จะมีผลต่อคุณอย่างไร ? มีข้อกำหนดด้านความปลอดภัยที่หลากหลายเลยทีเดียวสำหรับแอพพลิเคชั่นและระบบที่ใช้การประมวลข้อมูลทางการเงิน โดยจะเป็นการควบคุมด้านระบบไอทีทั่วไป (ITGCs) โดยการควบคุมแบบ Entity-Level จำเป็นที่ต้องได้รับการจัดการโดย IS team   กรอบการทำงานในลักษณะนี้ เหมาะสมกับองค์กรประเภทใด ? กรอบตามการควบคุมนี้จะเหมาะกับบริษัทมหาชนทั่วไป และบริษัทที่เกี่ยวกับงานเงิน และตลอดหุ้น (IPO)   PCI DSS ...

Read More
Security Risk Management

Information Security Risk Management เข้าใจความเสี่ยง ! ระบุเป้าหมายเข้าใจระดับของความเสี่ยง   At a Glance: การจัดการความเสี่ยงและความปลอดภัยด้านข้อมูลขององค์กรหรือ Information Security Risk Management (ISRM) คือกระบวนการจัดการความเสี่ยงที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ (IT) เข้ามาเป็นส่วนเกี่ยวข้องในการจัดการและระบุภัยคุกคาม รวมไปถึงการเก็บรักษาและสร้างความปลอดภัยให้พร้อมรับมืออยู่ตลอดเวลาอีกด้วย อย่างไรก็ตาม “ทรัพย์สินขององค์กร” ไม่ว่าจะเป็นทั้งแบบ Hardware หรือ Software คือเป้าหมายสุดท้ายในการรักษาเอาไว้ให้ได้ดีที่สุด เพื่อเป็นการสร้างความปลอดภัยขั้นสูงการจัดการความเสี่ยงทั้งหมด ระบุเป้าหมายให้ชัดเจน และกำหนดระดับของความเสี่ยงได้ คือทางออกที่ดีที่สุด   Stages of ISRM:   Identification   Identify assets: ข้อมูลที่ถูกเก็บอยู่ขององค์กรภายในระบบเปรียบได้กับ “เพชรที่แสนล้ำค่า” ที่หากเสียหายหรือสูญเสียไปจะต้องส่งผลมากมาย ตัวอย่างเช่น หมายเลขประกันสังคม และระบบทรัพย์สินทางปัญญา หรือจะเป็นข้อมูลด้านการเงินขององค์กร และส่วนอื่นๆที่หากโดนคุกคามไปแล้วอาจจะส่งผลเสียหายให้กับองค์กรได้ในระดับสูงมากเลยทีเดียว   Identify vulnerabilities: ระบุให้ได้ว่าตอนนี้ในองค์กรมี “ช่องโหว่” ด้านความปลอดภัยที่ส่วนใดบ้าง โดยเฉพาะในเรื่องของระบบ Software ที่ใช้ในการรักษาความปลอดภัยอยู่ เพื่อสร้างความตื่นตัวในการป้องกันให้ได้มากที่สุด   Identify threats: ระบุสาเหตุที่จะทำให้องค์กรของคุณเสียหาย เช่นหากเป็นภัยคุกคามทางกายภาพเช่น คุณสามารถระบุได้ว่าจะมีพายุทอร์นาโดและน้ำท่วมได้เมื่อไร ในทิศทางเดียวกัน การระบุความเสี่ยงที่องค์กรของคุณอาจจะเจอได้ในระบบไอที ไม่ว่าจะเป็น กลุ่มแฮกเกอร์ มัลเวอร์ที่น่าสงสัย หรือจะเป็นกลุ่มอาชญากรรมในระบบต่างๆ   Identify controls: ระบุให้ได้ว่า “คุณมีหน้าที่อะไรบ้างในการป้องกันทรัพย์สินขององค์กร” ในส่วนนี้จะหมายถึงการระบุขอบเขตของการป้องกัน ควบคุม แก้ไขช่องโหว่ ที่เกิดขึ้น เพื่อลดและป้องกันภัยที่จะเข้ามาทำลายองค์กรให้ได้โดยอัตโนมัติ...

Read More
Incident Response Plan วางแผนก่อน พร้อมก่อน

Incident Response Plan วางแผนก่อน เริ่มก่อน พร้อมก่อน   At a Glance:   Incident Response Plan หรือแผนการตอบสนองภัยคุกคามจะทำหน้าที่เป็นตัวอธิบายถึงขั้นตอนในการรับมือภัยคุกคามที่จะเข้ามาสร้างปัญหาให้กับองค์กรของคุณ “ซึ่งแผนการตอบสนองที่รัดกุมได้มากเท่าไรก็เหมือนการยิ่งสร้างความแข็งแกร่งให้กับความปลอดภัยขององค์กรมากเท่านั้น” เมื่อเกิดเหตุการณ์ที่ไม่คาดคิดขึ้นแล้วนั้น “แผนรับมือ” จะเป็นหัวใจสำคัญที่ทำให้องค์กรกลับมาเป็นปกติและฟื้นฟูความเสียหายได้อย่างรวดเร็ว  แต่อย่างไรก็ตามแผนการรับมือที่รัดกุมจำเป็นจะต้องผ่านการจำลองเหตุการณ์และการฝึกอบรมอย่างสม่ำเสมอ เพื่อให้แก้ไขสถานการณ์ได้อย่างไม่ติดขัดและทันท่วงที   ไม่มีใครชอบสถานการณ์วิกฤติกันอย่างแน่นอน เมื่อถึงเวลาเช่นนี้ย่อมจะต้องคลีคลายให้เร็วที่สุด และจะต้องมีการรับมืออย่างถูกต้องตามขั้นตอนที่สามารถแก้ปัญหาได้ตั้งแต่วินาทีแรกที่เกิดปัญหา ซึ่งหากปล่อยให้เหตุการณ์วิกฤติยิ่งกินเวลานานมากขึ้น ก็จะยิ่งส่งผลให้องค์กรของคุณจะต้องเสียหายไปเรื่อยๆ เพื่อป้องกันไม่ให้เกิดเหตุการณ์เช่นนี้เกิดขึ้นกับองค์กรของคุณ “ทีมผู้ดูแลระบบความปลอดภัย” จะต้องมีความตื่นตัวและพร้อมอยู่เสมอในการรับมือสถานการณ์ อีกทั้งบุคคลอื่นๆในองค์กรด้วยเช่นเดียวกัน จะต้องทราบว่าเมื่อเกิด “สถานการณ์วิกฤติ” ใครควรจะปฏิบัติตัวเช่นไร เพื่อไม่ให้เกิดความเสียหายกับองค์กรในภาพรวม   What’s In a Robust Incident Response Plan?   Buy-in from key organizational stakeholders: เมื่อเกิดวิกฤติขึ้นทีมของคุณจำเป็นต้องรู้ว่า “การคุกคาม” ที่เกิดขึ้นมาจากผู้มีส่วนได้ส่วนเสียคนอื่นในองค์กรหรือไม่ ไม่ว่าจะเป็นพนักงานทั่วไปหรือผู้บริหารระดับสูงคนอื่นๆ เพื่อจะได้เดินตามแผนการตอบสนองอย่างเต็มที่ อย่างรวดเร็วและมั่นใจอีกด้วย   Clearly defined roles, responsibilities, and processes: พยายามมองหาตัวการหลักของปัญหาว่ามากจากผู้ใด พิจารณาจากองค์ประกอบที่มีผลต่อเหตุการณ์ที่เกิดขึ้น ซึ่งผู้ที่พิจารณาในจุดนี้จะต้องมีข้อมูลอัพเดทกันอยู่เสมอว่า “ใครที่อาจจะเป็นภัยคุกคาม” ซึ่งในช่วงเวลานี้ไม่ใช้เวลาที่จะมาทดสอบสมาชิกในทีมของคุณเอง ซึ่งบางครั้งอาจจะเกิดการคลุมเครือว่าเป็นฝีมือของกลุ่มใดที่เข้ามาทำความเสียหายในองค์กร “กระบวนการคัดกรองและพิจารณาหาต้นตอของปัญหาจึงสำคัญ”   Technologies and partnerships to enable quick action: การฝึกซ้อม ทดสอบจากการจำลองสถานการณ์อยู่เป็นประจำ จะช่วยให้ทุกคนในทีมช่วยกันมองช่องโหว่ ไม่ว่าจะเป็นในเรื่องของวิธีการแก้ปัญหา หรือจะเป็นในเรื่องของเครื่องมือ...

Read More

Security Awareness Training ความปลอดภัยกับการฝึกอบรม -Rapid7 “สร้างความพร้อมในด้านความปลอดภัยกับการฝึกอบรม องค์ประกอบที่สำคัญกับระบบความปลอดภัย”   At a Glance:   พนักงานเป็นส่วนหนึ่งขององค์กร ทั้งในเรื่องของการทำงานและเรื่องของการสอดส่องรักษาความปลอดภัยให้กับระบบขององค์กร โดยไม่เพียงแค่ผู้ดูแลระบบเท่านั้น แต่พนักงานทุกคนจะต้องมีความรู้และสามารถป้องกันภัยคุกคามที่เข้ามาทำลายองค์กร อย่างน้อยก็ได้ในระบบเบื้องต้น โดยการฝึกอบรบด้านความปลอดภัยจากทั้งภาครัฐและภาคอุตสาหกรรมไม่ว่าจะเป็น FISMA, PCI, HIPAA หรือ Sarbanes-Oxley ทั้งนี้ยังสามารถฝึกอบรบโดยผู้เชี่ยวชาญในองค์กรเอง หรือบุคคลจากภายนอกเข้ามาฝึกอบรมให้กับพนักงาน ในด้านของการรับรู้ด้านความปลอดภัย การมีส่วนร่วม และให้ข้อเสนอแนะตลอดกระบวนการรักษาความปลอดภัย   Types of Training : ประเภทของการฝึกอบรม   ในแต่ละองค์ย่อมมีระบบและวัฒนธรรมภายในองค์กรที่แตกต่างกันออกไป ซึ่งรูปแบบของการฝึกอบรมก็ย่อมแตกต่างกันออกไปด้วยเช่นเดียวกัน Classroom training: เป็นรูปแบบการฝึกอบรมที่คล้ายกับห้องเรียนของเด็กนักเรียน ซึ่งจะมีผู้สอนยืนบรรยายและให้คำแนะนำ ทั้งผู้สอนและผู้เข้าฝึกอบรมจะสามารถแลกเปลี่ยน พูดคุย และสามารถตอบคำถามกันได้ตลอดการฝึกอบรม   Online training: เป็นรูปแบบการฝึกอบรมที่เน้นการฝึกอบรมโดยคนจำนวนน้อยผ่านระบบออนไลน์ แต่สามารถฝึกอบรมได้ตามเวลาที่ผู้เรียนสะดวก นอกจากนี้จะเป็นการฝึกอบรมที่ผู้เรียนสามารถใช้อุปกรณ์ของตัวเองในการฝึกอบรมได้อีกด้วย   Visual aids: การฝึกอบรมในรูปแบบนี้จะเน้นไปที่ “การสร้างความตระหนักด้านความปลอดภัย” กันมากกว่า ซึ่งส่วนมากจะติดเป็นป้ายประกาศอยู่ภายในห้องพักของพนักงาน   Phishing campaigns: ไม่มีอะไรน่าดึงดูดใจในการฝึกอบรมได้มากกว่า “การฝึกอบรมที่จะต้องมีการวัดผล” “ผู้เข้ารับการฝึกอบรมจะต้องลงทะเบียน” ไม่ว่าจะเพื่อรางวัลที่ทางองค์กรจะให้ หรือการบังคับก็ตาม   ในบางกรณีการผสมผสานวิธีการฝึกอบรมเหล่านี้ ให้มีความหลากหลาย อาจจะเป็นตัวเลือกที่ดีที่สุด ทั้งการเรียนรู้ และการสร้างความตระหนักในเรื่องความปลอดภัย “อีกทั้งการสร้างสื่อเอกสารที่สามารถทำความเข้าใจได้ง่ายก็เป็นอีกวิธีที่เหมาะกับองค์กรมีอัตราการหมุนเวียนสูง”   Subjects to Cover : เรื่องที่จะฝึกอบรม   ความแตกต่างกันออกไปของรายละเอียดภายในองค์ ความเสี่ยงที่องค์กรจะต้องเจอ ระดับความรู้ความสามารถพื้นของพนักงานในองค์กร ก็จะเป็นองค์ประกอบในการตัดสินว่า “เรื่องที่จะฝึกอบรมคือเรื่องอะไร”   Phishing: เรื่องพื้นฐานเลยทีเดียวที่พนักงานจะต้องทำความเข้าใจและศึกษาเกี่ยวกับ การสังเกตและรายงาน ระบบ Phishing การป้อนข้อมูลในสื่อที่แปลกปลอม การโต้ตอบกับลิงก์ที่น่าสงสัย...

Read More