Cyber Incident Response การตอบสนองต่อภัยคุกคามทางไซเบอร์

ความเสี่ยงด้านเทคโนโลยีสารสนเทศ และความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่ปัจจุบันมีแนวโน้มเพิ่มสูงขึ้นเป็นอย่างมากซึ่งอาจก่อให้เกิดความเสียหายและมีผลกระทบต่อการรักษาความลับ (Confidentiality) การรักษาความครบถ้วน (Integrity) และการรักษาสภาพพร้อมใช้ (Availability) ของข้อมูลตลอดเวลา

การรับมือภัยคุกคามทางไซเบอร์ (Incident Response) เพื่อใช้ในการบริหารจัดการความเสี่ยงดังกล่าว รวมถึงตอบสนองต่อ เหตุการณ์ที่เกิดขึ้นเพื่อให้บริษัทสามารถดำเนินการด้านเทคโนโลยีสารสนเทศได้อย่างต่อเนื่อง พร้อมทั้งลดผลกระทบที่มี ต่อข้อมูลสารสนเทศ และเครือข่ายทางสารสนเทศให้น้อยที่สุด เพื่อให้ธุรกิจยังสามารถดำเนินงานได้อย่างต่อเนื่องและ สร้างความเชื่อมั่นให้กับลูกค้าหรือผู้มีส่วนได้เสียตลอดเวลา

แนวทางการรับมือภัยคุกคามและตอบสนองต่อเหตุการณ์ผิดปกติทางไซเบอร์ (Cyber Incident Response Cycle)

จะกำหนดขั้นตอนการดำเนินงาน รวมทั้งการดำเนินงานด้านเทคนิคอย่างละเอียดเพื่อให้สามารถดำเนินงานตามแผน และได้ผลลัพธ์ตามที่กำหนดโดยต้องครอบคลุมในเรื่องดังต่อไปนี้

1. การเตรียมความพร้อม (Preparation)

2. การตรวจจับและวิเคราะห์ (Detection & Analysis)

3. การควบคุมความเสียหาย การกำจัดสาเหตุของภัยคุกคาม และการกู้คืน (Containment, Eradication & Recovery)

4. การดำเนินการหลังจากการรับมือและตอบสนองต่อภัยคุกคามทางไซเบอร์เสร็จสิ้น (Post-Incident Activity)

ขั้นตอนที่ 1 : การเตรียมความพร้อม (Preparation)

บริษัทควรมีการจัดเตรียมทรัพยากรและเครื่องมือ ที่จำเป็นต่อการรับมือและตอบสนองต่อภัยคุกคามทางไซเบอร์ที่ครอบคลุมทั้งในเรื่อง

1. การจัดเตรียมเครื่องมือและสิ่งอำนวยความสะดวกในการสื่อสารของบุคลากรผู้ทำหน้าที่รับมือและตอบสนองต่อเหตุภัยคุกคามทางไซเบอร์เช่น รายชื่อและช่องทางการติดต่อ ช่องทางการรายงานเหตุการณ์ ระบบในการรายงานและติดตามข้อมูล สถานะการดำเนินการของ เหตุการณ์ที่ได้รับแจ้ง โปรแกรมเข้ารหัส (Encryption Software) ห้องประชุม (War Room) และ สำคัญโดยเฉพาะหลักฐานทางดิจิทัล เป็นต้น
2. อุปกรณ์และซอฟต์แวร์สำหรับวิเคราะห์เหตุภัยคุกคามทางไซเบอร์ เช่น เครื่องคอมพิวเตอร์หรืออุปกรณ์สำรองข้อมูล (Backup Device) เครื่องมือสำหรับตรวจจับและวิเคราะห์ข้อมูลในเครือข่ายคอมพิวเตอร์ (Packet Sniffers and Protocol Analyzers) เพื่อใช้ศึกษาพฤติกรรมของ Malware หรือความผิดปกติของเครือข่ายเครื่องคอมพิวเตอร์สำรอง และอุปกรณ์ที่ใช้ในการรวบรวมหลักฐาน เป็นต้น
3. แหล่งข้อมูลในการวิเคราะห์เหตุภัยคุกคามทางไซเบอร์ (Cyber Incident Analysis Resources) เช่น รายการพอร์ตช่องทางการแลกเปลี่ยนข้อมูลผ่านอินเทอร์เน็ตหรือระบบเครือข่ายคอมพิวเตอร์ (Port Lists) ซอฟต์แวร์สำหรับตรวจจับ การบุกรุก และซอฟต์แวร์ป้องกันไวรัส แผนผังเครือข่ายและรายการทรัพย์สินทางสารสนเทศที่สำคัญค่าปกติ (Current Baseline) ของระบบ เครือข่าย และแอปพลิเคชัน รวมทั้งค่า hash ของไฟล์ที่มีความสำคัญ เป็นต้น
4. ซอฟต์แวร์สำหรับการบรรเทาเหตุภัยคุกคาม เช่น ไฟล์ disk image ของระบบปฏิบัติการ (OS) และ แอปพลิเคชัน (Application) เพื่อใช้ในการกู้คืนและฟื้นฟูระบบ เป็นต้น

การดำเนินการป้องกันก่อนเกิดเหตุ (Preventing Incidents) ควรดำเนินการต่อไปนี้

1. การประเมินความเสี่ยง (Risk Assessment) บริษัทควรทำการประเมินความเสี่ยง เพื่อพิจารณาว่ามีความเสี่ยงใดบ้างที่เกี่ยวข้องกับภัยคุกคามทางไซเบอร์หรือช่องโหว่ด้านความมั่นคงปลอดภัยเพื่อประเมินผลกระทบและ มูลค่าความเสียหายที่แท้จริง และเป็นข้อมูลประกอบการพิจารณาทบทวนหรือปรับปรุงแนวทางในการรับมือและการ ตอบสนองต่อภัยคุกคามทางไซเบอร์ต่อไป
2. การกำหนดแนวทางรักษาความมั่นคงปลอดภัยของระบบแม่ข่าย (Implement Host Security Control) และการควบคุมพื้นฐานในระดับ Endpoint ที่ควรมีรวมทั้งควรกำหนดให้มีการรักษาความมั่นคงปลอดภัยที่เหมาะสมและมีมาตรฐาน ควรมีการกำหนดสิทธิ์ของผู้ใช้งานโดยให้สิทธิเท่าที่จำเป็นต่อการปฏิบัติงานที่ได้รับอนุญาตเท่านั้น รวมทั้งระบบแม่ข่ายควรบันทึกเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยที่สำคัญของบริษัท และได้รับการติดตามตรวจสอบอย่างสม่ำเสมอ
3. การรักษาความปลอดภัยของเครือข่าย (Network Security: Implement Network Security Control) เป็นการตั้งค่าอุปกรณ์ทางเครือข่ายที่จำเป็น เช่น Router ACL, Firewall, IPDS เป็นต้น ให้ปฏิเสธการเข้าถึงของกิจกรรมทั้งหมดที่ไม่ได้รับอนุญาตรวมทั้งอุปกรณ์เครือข่ายทั้งหมดของบริษัทที่เชื่อมต่อกับเครือข่ายภายนอกเพื่อป้องกันและ แจ้งเตือนการบุกรุก
4. การจัดให้มี User Awareness training เพื่อให้ทุกคนในองค์กรมีความรู้ความเข้าใจ มีความระมัดระวังและเข้าใจถึงความผิดปกติที่เกิดขึ้นจากการโจมตีทางโซเบอร์รวมทั้งเข้าใจวิธีการตอบสนองในเบื้องต้นและดำเนินการแจ้งให้หน่วยงานที่ทำหน้าที่ในการรับมือและตอบสนองรับทราบเมื่อมีเหตุการณ์ผิดปกติเกิดขึ้น

ขั้นตอนที่ 2 : การตรวจจับและวิเคราะห์ (Detection & Analysis)

1. การกำหนดจุดและวิธีการที่จะใช้ในการตรวจจับ Incident การตรวจจับ Incidentจะขึ้นอยู่กับระบบที่ใช้งานอยู่และรูปแบบของความพยายามในการโจมตีประกอบกับกลไกต่างๆ ที่ทำการปกป้องระบบอยู่ เพราะโดยทั่วไประบบการป้องกันจะทำการแจ้งเตือน (Alert) หรือ เก็บบันทึกข้อมูล (Log) เพื่อใช้ในการวิเคราะห์หาความผิดปกติด้วย
2. การวิเคราะห์เหตุภัยคุกคามหรือความผิดปกติเมื่อได้รับแจ้งการวิเคราะห์เหตุภัยคุกคามหรือความผิดปกติควรมีความถูกต้องแม่นยำและมีประสิทธิภาพ เพื่อให้การดำเนินการในขั้นตอนต่อไปสามารถดำเนินการได้เร็วและถูกต้องมากยิ่งขึ้น
3. การบันทึกข้อมูลเหตุการณ์ภัยคุกคามซึ่งจะช่วยให้การรับมือและตอบสนองภัยคุกคามมีประสิทธิภาพและเป็นระบบมากขึ้น โดยหน่วยงานควรบันทึกข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้นตั้งแต่การตรวจพบจนถึงการสิ้นสุดของเหตุการณ์ภัยคุกคาม เพื่อประโยชน์ในการติดตามเหตุการณ์ ขั้นตอนการจัดการ และแก้ไขเหตุ ภัยคุกคามเพื่อให้มั่นใจได้ว่าเหตุการณ์ภัยคุกคามที่เกิดขึ้นได้รับการจัดการแก้ไขภายในระยะเวลาที่เหมาะสม
4. การวิเคราะห์ผลกระทบและการจัดลำดับความสำคัญของ Incident การวิเคราะห์ผลกระทบและความรุนแรงเพื่อจัดลำดับความสำคัญของ Incident และช่วยในการตัดสินใจเชิงกลยุทธ์ เพื่อดำเนินการรับมือและตอบสนองต่อภัยคุกคามที่เกิดขึ้นได้อย่างเหมาะสมภายใต้ทรัพยากรที่มีอยู่อย่างจำกัดของบริษัท และ ลดผลกระทบทางธุรกิจให้น้อยลงที่สุด
5. การติดต่อประสานงานและแจ้งข้อมูลให้กับบุคลากรด้านอื่นๆ ควรดำเนินการแจ้ง ข้อมูลเกี่ยวกับเหตุภัยคุกคามกับผู้ที่เกี่ยวข้องเพื่อให้ทุกคนสามารถดำเนินการตามหน้าที่ความรับผิดชอบที่ได้กำหนดไว้ ทั้งนี้บริษัทควรมีข้อกำหนดเกี่ยวกับการแจ้งข้อมูลเหตุภัยคุกคาม ข้อมูลอะไรบ้างที่ต้องรายงาน รายงานต่อใคร และเมื่อใด โดยอย่างน้อยควรกำหนดบุคคลผู้รับรายงาน ข้อมูลที่ต้องรายงาน และเวลาที่ต้องรายงาน รวมถึงหน่วยงานต่างๆ ทั้งภายใน และภายนอกที่ต้องได้รับแจ้งแล้ว ทั้งนี้ บริษัทสามารถพิจารณาปัจจัยในเรื่องดังต่อไปนี้ประกอบการพิจารณาเพื่อกำหนด แนวทางในการติดต่อประสานงานและแจ้งข้อมูลให้กับผู้ที่เกี่ยวข้อง

ขั้นตอนที่ 3 : การควบคุมความเสียหาย การกำจัดสาเหตุของภัยคุกคาม และการกู้คืน (Containment, Eradication & Recovery)

• พิจารณาวิธีการในการควบคุมความเสียหาย การควบคุมความเสียหายมีความจำเป็นอย่างยิ่งที่จะป้องกันไม่ให้ความเสียหายกระจายออกไปเป็นวงกว้าง สร้างผลกระทบต่อทรัพยากรในการดำเนินธุรกิจอื่นๆและยังเป็นการเปิดพื้นที่ เพิ่มระยะเวลาให้ทีมที่รับมือ Incident มีเวลาในการคิดหาสาเหตุ และวิธีการแก้ปัญหาที่ถาวรได้ ข้อสำคัญของการควบคุมความเสียหาย คือการตัดสินใจเลือกใช้วิธีการที่เหมาะสม โดยวิธีการทั่วไปมี ดังต่อไปนี้
  • ปิดระบบ (Shut Down)
  • ตัดการเชื่อมต่อทางเครือข่ายทั้งหมด (Network disconnection) ทั้งนี้ อาจมียกเว้นการเชื่อมต่อสำหรับ Endpoint Detection & Response Agent (กระบวนการตรวจสอบและตรวจจับกิจกรรมหรือเหตุการณ์ที่น่าสงสัยใดๆ ที่เกิดขึ้นที่ ปลายทางแบบเรียลไทม์)
  • หยุดการทำงานของฟังก์ชันที่เกี่ยวข้อง (Disabling Certain Functions)
  • Redirect Network Traffic และ/หรือความสนใจของผู้บุกรุกไปยังBlackhole/ Sandbox/ Honeypot
• การจัดเก็บและดูแลรักษาหลักฐานทางดิจิทัล วัตถุประสงค์หลักของการจัดเก็บหลักฐาน คือเพื่อให้การแก้ไข Incident ส่งผลกระทบต่อธุรกิจให้น้อยที่สุด (Minimizing impact to the business)
• การกำจัดสาเหตุและการกู้คืนระบบให้กลับมาทำงานปกติ หากพิจารณาแผนภาพ Incident Response Life Cycle จะพบว่า เมื่อมีการควบคุมความเสียหาย และมีการเก็บหลักฐานข้อมูลเพิ่มเติมเรียบร้อยแล้วข้อมูลทั้งหมดจะต้องนำกลับมาวิเคราะห์ตามหลักการที่ได้กล่าวไว้ใน “ขั้นตอนที่ 2 เรื่องการตรวจจับและวิเคราะห์ (Detection & Analysis)” จนกว่าจะสามารถกำจัดสาเหตุที่ทำให้เกิด Incident และ ช่องทางที่ผู้บุกรุกได้สร้างไว้เพื่อเข้ามาในระบบทั้งหมดได้เรียบร้อย

ขั้นตอนที่ 4 : การดำเนินการหลังจากการรับมือและตอบสนองต่อภัยคุกคามทางไซเบอร์เสร็จสิ้น (Post Incident Activity)

การเรียนรู้เพื่อปรับปรุงการดำเนินการหลังจากการรับมือและตอบสนองต่อภัยคุกคามทางไซเบอร์เสร็จสิ้น (Post-Incident Activity) ทีมรับมือและผู้ที่เกี่ยวข้องทั้งหมดควรมีการประชุมหารือเพื่อแลกเปลี่ยนข้อมูลความคิดเห็น ในการนำไปพัฒนาและปรับปรุงแนวทางในการรับมือและตอบสนองต่อภัยคุกคามทางไซเบอร์ รวมทั้งการใช้ข้อมูลจาก Issue Tracking System เพื่อประกอบการพิจารณาปรับปรุงและพัฒนา

Reference : https://www.oic.or.th/sites/default/files/file_download/cyber_incident_response_plan_handbook.pdf