ทั่วโลกกำลังเผชิญหน้ากับการเพิ่มขึ้นของการโจมตีทางไซเบอร์ (Cyber-Attack) และเนื่องจากเหตุการณ์การระบาดครั้งใหญ่ที่ผ่านมา ทำให้องค์กรต่างเร่งการเปลี่ยนแปลงสู่ดิจิทัล การทำงานระยะไกล และใช้บริการคลาวด์มากขึ้น แม้การเปลี่ยนแปลงเหล่านี้จะมีข้อดีหลายประการ แต่ก็ส่งผลให้ธุรกิจที่ไม่ได้เตรียมพร้อมมีความเสี่ยงต่อการถูกโจมตีจากภัยคุกคามมีความซับซ้อนและเป็นอันตราย ไม่ว่าจะเป็นไวรัส (Virus), มัลแวร์เรียกค่าไถ่ (Ransomware) หรือการหลอกลวงแบบฟิชชิง (Phishing) ที่พบได้บ่อย ทั้งนี้ในกรณีที่องค์กรถูกโจมตี การวางแผน Incident Reponse จึงเป็นสิ่งสำคัญที่องค์กรควรให้ความสำคัญ
แผน Incident Response คืออะไร?
Incident Response คือ แผนและกระบวนการตอบสนองต่อเหตุการณ์ความปลอดภัย เช่น การรั่วไหลของข้อมูล (Data Breach) ที่เกิดจากการโจมตีทางไซเบอร์
โดยเป้าหมายหลักของ Incident Response คือ การควบคุมการรั่วไหลของข้อมูล เพื่อลดความเสียหายให้น้อยที่สุด และช่วยให้องค์กรกลับสู่การดำเนินงานตามปกติอย่างรวดเร็วที่สุด ซึ่งแผน Incident Response โดยทั่วไปจะกำหนดข้อปฏิบัติตามขั้นตอนที่เรียกว่า Incident Response Cycle
วงจร Incident Response Cycle จะเริ่มต้นด้วยการระบุเหตุการณ์ ตามด้วยการควบคุม การกำจัด และการกู้คืน นอกจากนี้เพื่อให้แผนการรับมือมีประสิทธิภาพ องค์กรจะต้องมีการวางแผนและฝึกซ้อมล่วงหน้าในการตอบสนองต่อเหตุการณ์ต่างๆ เพื่อให้ทีม IT บุคลากร และผู้ที่มีส่วนเกี่ยวข้องทราบว่าจะต้องตอบสนองอย่างไรในกรณีที่เกิดการรั่วไหลของข้อมูล
องค์กรต้องป้องกันการโจมตีทางไซเบอร์รูปแบบใดบ้าง?
ปฏิเสธไม่ได้ว่า การเข้าถึงข้อมูลสำคัญของบริษัทหรือลูกค้าโดยไม่ได้รับอนุญาตทุกรูปแบบควรถือว่าเป็นเหตุการณ์ที่องค์กรต้องตอบสนอง แม้วบางเหตุการณ์จะเกิดขึ้นจากพนักงานโดยไม่รู้ตัวก็ตาม แต่ในหลายกรณีมักเป็นการโจมตีทางไซเบอร์ที่มีเจตนาร้าย หรือทำไปเพื่อผลประโยชน์ส่วนตัว โดยเหตุการณ์ที่การโจมตีทางไซเบอร์ที่พบได้บ่อยในปัจจุบัน ได้แก่
Brute Force Attack
การโจมตีแบบ Brute Force คือ การพยายามเข้าถึงระบบหรือบัญชีโดยไม่ได้รับอนุญาต ด้วยการคาดเดารหัสผ่านหรือใช้ Encryption Key ทุกรูปแบบที่เป็นไปได้ โดยผู้โจมตีหรือแฮกเกอร์มักใช้ซอฟต์แวร์อัตโนมัติหรือสคริปต์ในการคาดเดารหัสต่างๆ อย่างรวดเร็วจนกว่าจะพบรหัสที่ถูกต้อง โดยการโจมตีรูปแบบนี้มักมุ่งเป้าหมายไปยังจุดที่มีการตั้งรหัสผ่านที่สามารถคาดเข้าได้ง่าย เช่น ชื่อ-รหัสผ่านของพนักงาน
Ransomware
อาชญากรไซเบอร์หลายคนหันมาใช้ Ransomware หรือมัลแวร์เรียกค่าไถ่ โดยมีเป้าหมายเพื่อหาเงิน โดยการโจมตีด้วย Ransomware ได้รับความนิยมเพิ่มขึ้นควบคู่ไปกับเทรนด์การใช้สกุลเงินดิจิทัล (Digital Currency) ซึ่งไม่สามารถติดตามได้ แฮกเกอร์จึงสามารถเรียกค่าไถ่ได้โดยไม่ถูกจับ ทั้งนี้ เราสามารถป้องกันภัยคุกคามจาก Ransomware ได้เกือบทั้งหมดด้วยชุดเครื่องมือรักษาความปลอดภัยทางไซเบอร์ที่ทันสมัย
Phishing และ Social Engineering
Social Engineering และฟิชชิง (Phishing) ถือเป็นรูปแบบการโจมตีทางไซเบอร์ที่ประสบความสำเร็จมากที่สุด เนื่องจากเป็นการมุ่งเป้าไปยังพนักงานหรือบุคลากรในองค์กร โดยผู้โจมตีจะปลอมตัวเป็นบุคคลที่น่าเชื่อถือและใช้เทคนิคต่างๆ เพื่อสร้างความไว้วางใจจากเหยื่อ โดยเฉพาะพนักงานใหม่หรือพนักงานที่ขาดประสบการณ์ในด้านนี้ ซึ่งอาจเป็นการหลอกล่อให้เหยื่อคลิกลิงก์ที่มีเป็นอันตรายหรือดาวน์โหลดไฟล์ที่มัลแวร์ฝังอยู่ผ่านการส่งอีเมล หรือช่องทางการสื่อสารอื่นๆ
Privilege Escalation Attack
รูปแบบการโจมตีที่แฮกเกอร์จะให้ใช้ช่องโหว่หรือเทคนิคต่างๆ เพื่อเข้าถึงระบบหรือบัญชีผู้ใช้งานงาน และเพิ่มระดับการเข้าถึงของตนเอง โดยอาจใช้หลากหลายวิธีการ เช่น อาศัยช่องโหว่ของซอฟต์แวร์ การตั้งค่าผิดพลาด หรือจุดอ่อนในระบบควบคุม ซึ่งเมื่อผู้โจมตีได้สิทธิ์เข้าถึงในระดับที่สูงขึ้นก็จะสามารถเข้าถึงข้อมูลที่เป็นความลับ ติดตั้งมัลแวร์ที่เป็นอันตราย แก้ไขการตั้งค่าของระบบ หรือกระทำการอื่นๆ เพื่อผลประโยชน์ส่วนตัว
DDoS Attack
Distributed Denial of Service (DDoS) เป็นรูปแบบการโจมตีที่แฮกเกอร์ส่งจะส่งทราฟฟิก (Traffic) จำนวนมหาศาลไปยังเครือข่ายเป้าหมาย โดยอาจใช้คอมพิวเตอร์ที่มีไวรัสหลายๆ เครื่องเพื่อส่งคำขอและสร้างทราฟฟิก แล้วเนื่องด้วยเซิร์ฟเวอร์ทั่วไปไม่ถูกออกแบบมาเพื่อรองรับการเพิ่มขึ้นของทราฟฟิกจำนวนมากแบบกะทันหัน เซิร์ฟเวอร์อาจล่มหรือไม่สามารถให้บริการได้อย่างมีประสิทธิภาพ
Supply Chain Attack
เมื่อการใช้บริการผ่าน Third-Party ได้รับความนิยมมากขึ้น การโจมตี Supply Chain ก็เพิ่มขึ้นตามไปด้วยเช่นกัน การโจมตีทางไซเบอร์รูปแบบนี้ คือ การที่แฮกเกอร์ทำการโจมตีผู้ให้บริการหรือ Vendor โดยตรง ด้วยการฝังมัลแวร์ลงไปในแอปพลิเคชัน เพื่อหวังให้แพร่กระจายสู่คอมพิวเตอร์และเครือข่ายที่ใช้บริการหรือดาวน์โหลดแอปพลิเคชันนั้นๆ
Insider Threats
เหตุการณ์ความปลอดภัยทั้งหมดอาจไม่ได้เกิดขึ้นจากบุคคลภายนอกเสมอไป เพราะยิ่งธุรกิจของคุณใหญ่มากเท่าไหร่ ก็ยิ่งมีโอกาสที่จะเผชิญกับภัยคุกคามจากบุคลากรภายในองค์กรมากขึ้น โดยพนักงานบางคนขององค์กรอาจกระทำกิจกรรมที่มีความเสี่ยง หรือละเลยข้อปฏิบัติด้านความปลอดภัย ส่งผลให้องค์กรมีความเสี่ยงต่อภัยคุกคามแบบต่างๆ มากยิ่งขึ้น
MitM Attacks
การโจมตี Man in the Middle (MitM) มีลักษณะที่แฮกเกอร์จะแทรกตัวเองระหว่างผู้ใช้งานและผู้ให้บริการ เช่น การสร้างเว็บไซต์ปลอมที่ดูเหมือนจริง (Website Spoofing) หรือแฮกเครือข่ายที่มีการรักษาความปลอดภัยต่ำ เพื่อคอยดักขโมยข้อมูลที่รับ-ส่งระหว่างผู้ใช้งานและผู้ให้บริการ
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT) เป็นการโจมตีทางไซเบอร์ที่มีความซับซ้อนและมีเป้าหมายเฉพาะเจาะจง ซึ่งมักเป็นการโจมตีที่ใช้งานโดยกลุ่มที่มีทรัพยากรมากพอสมควร เช่น กลุ่มแฮกเกอร์ Nation-State ที่ได้รับการสนับสนุนจากรัฐบาล หรือแฮกเกอร์ที่ทำงานกันเป็นกลุ่ม โดยการโจมตีแบบ APTs มีลักษณะเด่นตรงที่ใช้เวลายาวนาน ตรวจพบได้ยาก และกระทำเพื่อสำเร็จเป้าหมายระยะยาว
APTs ต่างจากการแฮกทั่วไปที่ฉวยโอกาสจากช่องโหว่หรือจุดอ่อนต่างๆ ตรงที่มีการระบุเป้าหมายชัดเจน และทำการโจมตีเพื่อเข้าถึงเครือข่ายเป็นระยะเวลานาน โดยไม่ถูกตรวจพบ ซึ่งแฮกเกอร์อาศัยเทคนิคการโจมตีแบบต่างๆ เช่น Social Engineering, Zero-Day Exploit ไปจนถึงมัลแวร์ขั้นสูง เพื่อ Bypass ระบบการรักษาความปลอดภัยเพื่อสอดแนม โจรกรรมข้อมูล หรือสร้างความเสียหายต่อเครือข่าย
แผน Incident Response คืออะไร?
แผน Incident Response คือ เอกสารแผนการที่จัดทำขึ้นเพื่อกำหนดการดำเนินการหรือขั้นตอนที่ต้องปฏิบัติในกรณีที่เกิดการโจมตี โดยแผนรับมือภัยคุกคามควรประกอบด้วยองค์กรประกอบสำคัญ ดังนี้
- บทบาทและความรับผิดชอบของบุคลากร
- ข้อแนะนำและขั้นตอนการสื่อสาร
- เกณฑ์การระบุ ควบคุม และกำจัดการโจมตีทางไซเบอร์ประเภทต่างๆ
- ขั้นตอนการคืนกู้คืนสู่การดำเนินงานปกติ
- แผนการสื่อสารเพื่อแจ้งผู้นำบริษัท พนักงาน ลูกค้า และหน่วยงานบังคับใช้กฎหมาย
- การวิเคราะห์เหตุการณ์และจุดอ่อน เพื่อเตรียมพร้อมสำหรับเหตุการณ์ในอนาคต
ทีม Incident Response
ในกรณีที่เกิดการโจมตีทางไซเบอร์ อาจเป็นเรื่องยากที่จะตอบสนองอย่างทันท่วงทีและถูกต้อง หากขาดประสบการณ์ที่เหมาะสม องค์กรจึงควรมีทีม Incident Response หรือทีมงานผู้เชี่ยวชาญด้าน IT ที่มีหน้าที่ดำเนินการตามแผน Incident Response และช่วยลดผลกระทบจากการโจมตี โดยทีมงานจะเป็นปราการด่านแรกในการตรวจสอบและเข้าควบคุมเหตุการณ์ ประกอบกับช่วยวิเคราะห์ภัยคุกคามเพื่อป้องกันเหตุการณ์คล้ายๆ ไม่ให้เกินขึ้นอีกในอนาคต
กรอบการทำงาน Incident Response
องค์กรสามารถใช้ประโยชน์จากการดูกรอบการทำงานของ Incident Response ที่มีอยู่ เพื่อเป็นแนวทางในการร่างแผนของตนเองให้มีประสิทธิภาพ โดยกรอบการทำงานหรือ Framework เหล่านี้สามารถชี้แนะถึงขั้นตอนการรับมือกับการโจมตี ลดผลกระทบ และช่วยแนะนำการกู้คืนจากเหตุการณ์อย่างมีประสิทธิภาพ ถึงแม้ Framework แต่ละแบบจะมีลักษณะแตกต่างกันเล็กน้อย แต่กรอบการทำงานเหล่านี้มักแนะนำขั้นตอนการปฏิบัติในเหตุการณ์ด้านความปลอดภัยที่คล้ายคลึงกัน โดย กรอบการทำงาน Incident Response ที่มีในปัจจุบัน ได้แก่
- NIST Incident Response Framework - พัฒนาขึ้นโดย National Institute of Standards and Technology (NIST) กรอบการทำงานนี้ประกอบด้วยกระบวนการสี่ขั้นตอน คือ การเตรียมพร้อม ตรวจจับและวิเคราะห์ การควบคุม กำจัด และกู้คืน สุดท้ายคือการดำเนินการหลังเกิดเหตุการณ์ โดยกรอบการทำงานมุ่งเน้นไปยังการวางแผนแบบเชิงรุกและพัฒนาอย่างต่อเนื่อง
- SANS Incident Response Process - สร้างขึ้นโดย SANS Institute กรอบการทำงานนี้ประกอบด้วยหกขั้นตอน ได้แก่ การเตรียมพร้อม การระบุภัยคุกคาม การควบคุม การกำจัด การกู้คืน และการเรียนรู้หลังเกิดเหตุการณ์ ซึ่งกรอบการทำงานนี้จะให้ความสำคัญกับการตรวจจับภัยคุกคาม วิเคราะห์ และตอบสนองอย่างครอบคลุม พร้อมการแชร์ความรู้จากเหตุการณ์ที่เกิดขึ้น
- ISO 27035 - เป็นมาตรฐานสากลที่กำหนดแนวทางสำหรับการจัดการการตอบสนองต่อเหตุการณ์ เริ่มตั้งแต่การเตรียมพร้อม การตรวจจับและรายงาน การวิเคราะห์และตัดสินใจ การตอบสนอง และการเรียนรู้จากเหตุการณ์ โดยเป็นมาตรฐาน Framework ที่เน้นย้ำถึงความสำคัญในการวางแผน Incident Respose ที่มีประสิทธิภาพ รวมถึงการพัฒนาปรับปรุงอย่างต่อเนื่อง
- CERT/CC Incident Response Process: Framework ที่พัฒนาโดย CERT Coordination Center ซึ่งแนะนำแนวทางปฏิบัติตามขั้นตอน คือ การเตรียมพร้อม การตรวจจับและวิเคราะห์ การควบคุม การกำจัดและกู้คืน และสุดท้ายคือการเรียนรู้หลังเหตุการณ์ โดยเป็นกรอบการทำงานที่ให้ความสำคัญกันกับการแชร์ข้อมูลและการร่วมมือกับหน่วยงานภายนอกในการรับมือการโจมตีทางไซเบอร์
ในการกำหนดข้อปฏิบัติในเหตุการณ์การโจมตีทางไซเบอร์ องค์กรสามารถนำ Framework ข้างต้นมาใช้เป็นแนวทางในการวางแผน Incident Respose เพื่อให้สามารถรับมือกับเหตุการณ์ด้านความปลอดภัยต่างๆ ได้อย่างรวดเร็วและมีประสิทธิภาพ และลดโอกาสต่อความเสี่ยงต่างๆ ให้ได้มากที่สุด
ขั้นตอน Incident Respose มีอะไรบ้าง?
การเตรียมตัวองค์กรของคุณให้พร้อมตอบสนองต่อเหตุการณ์ความปลอดภัยทางไซเบอร์ มีหลากหลายขั้นตอนที่ต้องพิจารณาและนำมาปรับใช้ โดย ขั้นตอน Incident Respose มีดังนี้
#1: การเตรียมความพร้อม
ช่วงเวลาก่อนที่จะเกิดเหตุการณ์เป็นสิ่งสำคัญในการเตรียมพร้อม เพราะไม่มีใครรู้ว่าองค์กรจะตกเป็นเหยื่อของการโจมตีในตอนไหน ดังนั้น ขั้นตอนแรกในการเตรียมพร้อมสำหรับเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ คือ การทบทวนนโยบายและมาตรการความปลอดภัยที่มีอยู่ในปัจจุบัน
โดยอาจเริ่มจากประเมินความเสี่ยงภายในองค์กร ว่านโยบายความปลอดภัยที่มีนั้นเพียงพอหรือไม่ มีช่องโหว่ในส่วนไหนบ้าง จากนั้นจึงวางแผน Incident Response ว่าทรัพยากรส่วนไหนมีความสำคัญต่อธุรกิจ เช่น ข้อมูลส่วนบุคคลของลูกค้า และระบบต่างๆ ที่สำคัญต่อการดำเนินงาน
อันดับต่อมาในการเตรียมความพร้อม คือ การอัปเกรด ปรับเปลี่ยน หรือเพิ่มฟีเจอร์การรักษาความปลอดภัยทางไซเบอร์ โดยคำนึงถึงทรัพยากรที่มีความสำคัญต่อธุรกิจเป็นหลัก ยกตัวอย่างเช่น ธุรกิจที่ขาดการสำรองข้อมูล อาจต้องเพิ่มเติมระบบ Data Loss Prevention (DLP) หรือ Cloud Computing Hybrid เพื่อสำรองข้อมูลและป้องกันการสูญหาย หากเกิดเหตุการณ์ด้านความปลอดภัยใดๆ
สุดท้ายนี้ แผน Incident Response ควรระบุถึงหน้าที่และความรับผิดชอบของบุคลากร หากเกิดเหตุการณ์ด้านความปลอดภัยต่างๆ ประกอบกับแผนการสื่อสารที่ชัดเจนและเป็นระบบ จะช่วยให้องค์กรสามารถรับมือกับการโจมตีทางไซเบอร์ได้อย่างเป็นระบบระเบียบและมีประสิทธิภาพยิ่งขึ้น
#2: การระบุภัยคุกคาม
ระบบรักษาความปลอดภัยทางไซเบอร์ขององค์กรของคุณ เช่น Endpoint Detection and Response (EDR) หรือ Managed Detection and Response (MDR) ควรคอยตรวจหาภัยคุกคามที่อาจเกิดขึ้นอย่างต่อเนื่อง แล้วเมื่อตรวจพบภัยคุกคาม ทีมงานควรระบุสิ่งต่อไปนี้
- ลักษณะของการโจมตี
- แหล่งที่มาของการโจมตี
- เป้าหมายของการโจมตี
- เวลาที่เหตุการณ์เริ่มต้น
- ส่วนใดขององค์กรที่ได้รับผลกระทบ
- ส่วนใดของธุรกิจที่ถูกบุกรุก
แม้ข้อมูลบางอย่างอาจดูไม่เกี่ยวข้องกับเหตุการณ์การโจมตีในตอนแรก แต่เป็นข้อมูลสำคัญที่สามารถช่วยให้องค์กรทำความเข้าใจแรงจูงใจและแหล่งที่มาของการโจมตีได้ ซึ่งจะช่วยในการป้องกันและควบคุมเหตุการณ์อื่นๆ ในภายหลังได้
#3: การควบคุมภัยคุกคาม
เมื่อเหตุการณ์การโจมตีเริ่มต้น เป้าหมายของแผน Incident Response คือ การหยุดยั้งและป้องกันความเสียหายเพิ่มเติม ซึ่งเป็นขั้นตอนสำคัญก่อนดำเนินการกำจัดภัยคุกคามในขั้นตอนต่อไป โดยการควมคุมภัยคุกคามนั้นช่วยให้ทีมงานมีเวลาในการรวบรวมข้อมูลเพิ่มเติมเพื่อทำความเข้าใจเหตุการณ์และแนวทางการป้องกัน
โดยการควบคุมภัยคุกคามนั้นมีทั้งระยะสั้นและระยะยาว โดยที่การควบคุมระยะสั้นนั้นหมายถึงการปิดกั้นหรือกำจัดส่วนของโครงสร้างพื้นฐานหรือเครือข่ายที่ถูกโจมตี เพื่อไม่ให้เกิดความเสียหายเพิ่มเติม ส่วนการควบคุมภัยคุกคามในระยะยาวนั้นจะมุ่งเน้นไปยังการดำเนินการธุรกิจตามปกติในขณะที่กักกันการรั่วไหลของข้อมูลไว้อย่างปลอดภัย
#4: การกำจัดภัยคุกคาม
เมื่อมัลแวร์ถูกควบคุมแล้ว ทีม Incident Response จะดำเนินการขั้นตอนต่อไปเพื่อกำจัดภัยคุกคามดังกล่าว ซึ่งจะเริ่มตั้งแต่การค้นหาร่องรอยของการรั่วไหลในอุปกรณ์ แอปพลิเคชัน และเครือข่ายที่ได้รับผลกระทบทั้งหมด โดยในบางเหตุการณ์อาจต้องเปลี่ยนอุปกรณ์ รีเซตระบบ หรืออัปเดตแพทช์ความปลอดภัยเพิ่มเติม
#5: การกู้คืน
เมื่อมัลแวร์และความผิดปกติของเครือข่ายถูกกำจัดออกจากระบบขององค์กรเป็นที่เรียบร้อยทั้งหมดแล้ว อันดับต่อมาคือ การกู้คืนการดำเนินงานให้กลับสู่สภาพปกติ ตามที่วางแผน Incident Response เอาไว้ โดยหากองค์กรคุณมีการสำรองข้อมูล ก็สามารถใช้เพื่อกู้คืนข้อมูลก่อนที่จะเกิดจากโจมตี ซึ่งทีม Incident Reponse ควรเป็นฝ่ายที่รับผิดชอบและดูแลกระบวนการกู้คืนทั้งหมด เพื่อให้แน่ใจว่าไม่มีมัลแวร์หลงเหลืออยู่ในระบบ
#6: การวิเคราะห์หลังเกิดเหตุการณ์
ขั้นตอนสุดท้ายของแผน Incident Response ถือเป็นขั้นตอนที่สำคัญที่สุด โดยทีม Incident Response จะเป็นผู้ที่วิเคราะห์ข้อมูลต่างๆ ที่ได้รวบรวมจากการโจมตี ซึ่งข้อมูลเหล่านี้จะช่วยให้องค์กรระบุจุดอ่อนที่อาจไม่เคยทราบมาก่อน พร้อมเป็นแนวทางช่วยให้องค์กรรู้ทิศทางการวางแผน Cybersecurity ได้อย่างแข็งแกร่งมากขึ้น
แพลตฟอร์มและเครื่องมือความปลอดภัยที่มีประโยชน์ต่อ Incident Response
ธุรกิจสามารถเลือกใช้โซลูชันความปลอดภัยที่หลากหลายร่วมกัน เพื่อสร้างการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ ซึ่งรวมถึงโซลูชันที่ช่วยให้สามารถตรวจจับภัยคุกคามได้รวดเร็วขึ้น การควบคุมที่ดีขึ้น การวิเคราะห์อัตโนมัติ และการกู้คืนระบบอย่างรวดเร็ว โดยมีเทคโนโลยีการรักษาความปลอดภัยที่น่าสนใจ ดังนี้
- Network Detection and Response (NDR) - แพลตฟอร์ม NDR เช่น Cyber Command ของ Sangfor ถูกออกแบบมาเพื่อตรวจจับและตอบสนองต่อภัยคุกคามตลอด 24 ชั่วโมง ด้วยการเฝ้าระวังทราฟฟิก (Traffic) ภายในเครือข่าย เพื่อระบุการรั่วไหลและค้นหาภัยคุกคามแบบเรียลไทม์
- Endpoint Detection and Response (EDR) - EDR เป็นซอฟต์แวร์ถูกติดตั้งในอุปกรณ์ปลายทางของพนักงาน เช่น แล็ปท็อปหรือเดสก์ท็อป ซึ่งช่วยในการตรวจสอบอุปกรณ์ปลายทางทั้งหมดที่เชื่อมต่อกับเครือข่ายอย่างต่อเนื่อง
- Threat Intelligence Platforms - แพลตฟอร์มข่าวกรองภัยคุกคาม หรือ Threat Intelligence นั้นสามารถรวบรวม วิเคราะห์ และแชร์ข้อมูลเกี่ยวกับภัยคุกคามและช่องโหว่ที่อาจเกิดขึ้นใหม่ โดยแพลตฟอร์มอย่าง Neural-X ของ Sangfor รวบรวม วิเคราะห์ และแบ่งปันข้อมูลเกี่ยวกับภัยคุกคามในบริบทต่างๆ ที่เป็นประโยชน์ต่อทีม Incident Response ช่วยให้ทีมสามารถตัดสินใจได้อย่างมีประสิทธิภาพยิ่งขึ้น
- Extended Detection and Response (XDR) - เทคโนโลยี XDR เช่น Extended Detection Defense and Response (XDDR) ของ Sangfor ช่วยเชื่อมช่องว่างระหว่างเทคโนโลยีต่างๆ
- Application Containment - มัลแวร์บางประเภทสามารถเข้าควบคุมแอปพลิเคชันและก่อให้เกิดความเสียหายจากภายในได้ ดังนั้นจึงได้เทคโนโลยี Application Containment จึงถูกพัฒนาขึ้นเพื่อช่วยกักกันแอปพลิเคชันที่ได้รับผลกระทบจนกว่าภัยคุกคามจะถูกจัดการอย่างเหมาะสม
- Next-Generation Firewall - ไฟร์วอลล์ (Firewall) ถือเป็นหนึ่งในโซลูชันที่เป็นที่รู้จักและถูกใช้งานแพร่หลาย แม้แต่ในอุปกรณ์ผู้บริโภคทั่วไป ทั้งนี้ Next-Generation Firewall เช่น Sangfor Next Generation Firewall (NGFW) นั้นเป็นการยกระดับเทคโนโลยีไฟร์วอลล์แบบดั้งเดิม โดยกรองทราฟฟิกที่เข้าถึงเครือข่ายและแอปพลิเคชันต่างๆ เพื่อค้นหาภัยคุกคาม โดย NGFW ของ Sangfor สามารถทำงานร่วมกับ Cyber Command ได้อย่างราบรื่น เพื่อจัดการกับภัยคุกคามเครือข่ายโดยอัตโนมัติ ผ่านเทคโนโลยีที่เรียกว่า SOAR (Security Orchestration, Automation, and Response)
เหตุใดองค์กรจึงต้องตอบสนองต่อเหตุการณ์ด้านความปลอดภัยทางไซเบอร์?
จากสถิติ พบว่า ธุรกิจขนาดเล็กที่ถูกโจมตีทางไซเบอร์จำนวน 60% นั้นปิดตัวลงภายใน 6 เดือน และแม้ธุรกิจที่มีขาดใหญ่กว่าอาจมีเงินทุนเพียงพอที่จะรับมือความเสียหายจากการโจมตี แต่ชื่อเสียงและการเติบโตอาจถูกลดทอนลง ซึ่งการเตรียมความพร้อมถือเป็นหนึ่งปัจจัยสำคัญที่จะช่วยให้องค์กรจัดการกับการโจมตีทางไซเบอร์ได้อย่างมีประสิทธิภาพ โดยเหตุผลที่ธุรกิจต้องวางแผน Incident Response เป็นเพราะ
- ช่วยให้องค์กรตอบสนองต่อการโจมตีทางไซเบอร์ได้อย่างรวดเร็ว
- ทำหน้าที่เป็นเกราะป้องกันเพื่อรักษาความมั่นคงทางการเงินของธุรกิจ
- ธุรกิจที่ปลอดภัยคือธุรกิจที่มีชื่อเสียงในแง่ดี
- แผน Incident Response เป็นข้อกำหนดสำหรับการปฏิบัติตามข้อบังคับในหลายธุรกิจและอุตสาหกรรม
การว่าจ้างบริการ Incident Response ภายนอก
แทนที่จะมีทีมงานเฉพาะภายในบริษัท ธุรกิจสามารถใช้บริการ Incident Response จากผู้ให้บริการที่เชี่ยวชาญได้ โดยข้อดีของการว่าจ้างบริการ Incident Response ได้แก่
- ทีมความปลอดภัยภายนอกมีประสิทธิภาพที่สูงกว่าเมื่อเทียบกับต้นทุน ซึ่งตอบโจทย์ธุรกิจขนาดเล็กที่ต้องการใช้ประโยชน์จากความเชี่ยวชาญของผู้ให้บริการ โดยไม่จำเป็นต้องลงทุนจำนวนมาก
- ธุรกิจคุณจะได้ทำงานกับทีม Incident Response ที่มีความเชี่ยวชาญและมีประสบการณ์
มีธุรกิจจำนวนไม่น้อยที่พยายามจัดการทุกอย่างภายในบริษัท แต่กลับมีทรัพยากรไม่เพียงพอ ซึ่งมักจะจบลงด้วยการตอบสนองต่อเหตุการณ์ไซเบอร์ที่ไม่เป็นไปตามมาตรฐาน
Sangfor Incident Response
ทีม Sangfor Incident Response นำเสนอแนวทางที่หลากหลายเพื่อจัดการกับเหตุการณ์ความปลอดภัย ซึ่งรวมถึงการระบุเวกเตอร์การโจมตีเริ่มต้น การให้ข้อมูลเชิงลึกเกี่ยวกับการโจมตีและผลกระทบ การวิเคราะห์มัลแวร์เพื่อทำความเข้าใจพฤติกรรมและธรรมชาติของไฟล์ที่เป็นอันตราย พร้อมกำหนดห่วงโซ่ของการโจมตีที่ดำเนินการโดยแฮกเกอร์ และระบุความเสี่ยงทางไซเบอร์ที่อาจเกิดขึ้นและช่องโหว่อื่นๆ
ทีมของเรามีเป้าหมายในการส่งมอบแผน Incident Response ที่ใช้งานได้จริง พร้อมมอบแนวทางปฏิบัติที่ดีที่สุด และการติดตามวิเคราะห์ภัยคุกคาม เพื่อลดความเสี่ยงในอนาคตและมอบความอุ่นใจแก่องค์กรที่ต้องเผชิญกับเหตุการณ์ความปลอดภัย และนำเสนอตัวเลือกการปรับใช้ที่คุ้มค่า
ทีม Sangfor Incident Response มีประสบการณ์สะสมมากกว่า 5,000 ชั่วโมงในการจัดการมัลแวร์ การรั่วไหลของข้อมูล และอื่นๆ ทีมของเราช่วยลดความกังวลจากการโจมตีทางไซเบอร์ ในระหว่างเหตุการณ์ ทีมของเราจะช่วยดำเนินการตามแผนทุกขั้นตอน และสร้างรายงานการพิสูจน์หลักฐานเชิงวิเคราะห์ เพื่ออภิปรายสาเหตุของการรั่วไหลและแนะนำการปรับปรุงความปลอดภัยเพิ่มเติม โดยสามารถดูวิดีโอด้านล่างเพื่อเรียนรู้เพิ่มเติมเกี่ยวกับบริการ
ตัวอย่างแผน Incident Reponse
- ตัวอย่างจากรัฐบาลรัฐมิชิแกน - https://www.michigan.gov/-/media/Project/Websites/msp/cjic/pdfs6/Example_Incident_Response_Policy.pdf
- ตัวอย่างจาก National Cyber Security Committee (NCSC) สหราชอาณาจักร - https://www.ncsc.gov.uk/collection/incident-management/cyber-incident-response-processes
ติดต่อเราเพื่อสอบถามข้อมูลธุรกิจ
คำถามที่พบบ่อย
แม้ว่า Incident Response และ Disaster Recovery จะมีความเกี่ยวข้องกัน แต่ทั้งสองมีวัตถุประสงค์ที่แตกต่างกันและจัดการกับแง่มุมการรักษาความปลอดภัยที่ต่างกัน ทั้งในการจัดการและลดผลกระทบจากเหตุการณ์ และลดการหยุดชะงักของการทำงาน
Incident Response คือ แนวทางที่มีโครงสร้างในการจัดการและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ โดยเน้นการตรวจจับ ควบคุม และลดผลกระทบของเหตุการณ์ความปลอดภัยอย่างรวดเร็ว เพื่อลดความเสียหาย กู้คืนการให้บริการ และป้องกันเหตุการณ์ในอนาคต
ในทางกลับกัน Disaster Recovery (DR) มุ่งเน้นไปยังการคืนสู่การดำเนินงานทางธุรกิจที่สำคัญและโครงสร้างพื้นฐาน IT หลังจากการหยุดชะงักหรือภัยพิบัติครั้งใหญ่ ซึ่งอาจรวมถึงเหตุการณ์เช่น ภัยธรรมชาติ ระบบทำงานล้มเหลว ไฟฟ้าดับ หรือการโจมตีทางไซเบอร์ขนาดใหญ่
หากทุ่มเททรัพยากรเฉพาะกับ Disaster Recovery อย่างเดียว องค์กรอาจมองข้ามความสำคัญของ Incident Response เพราะหากขาดความสามารถด้านการวางแผน Incident Response ที่แข็งแกร่ง องค์กรอาจเผชิญกับการหยุดชะงักที่ยาวนานขึ้น การสูญเสียทางการเงินที่เพิ่มขึ้น ความเสียหายต่อชื่อเสียง และผลกระทบทางกฎหมาย ซึ่งแผน Incident Response ช่วยให้การกู้คืนเป็นไปอย่างรวดเร็วด้วยการเข้าควบคุมเหตุการณ์ก่อนที่จะกลายเป็นภัยพิบัติขนาดใหญ่
นอกจากนี้ การทำงานของ Incident Response ยังช่วยระบุช่องโหว่และจุดอ่อนในระบบขององค์กร ทำให้สามารถใช้มาตรการเชิงรุกเพื่อป้องกันเหตุการณ์ในอนาคตและเสริมสร้างความยืดหยุ่นโดยรวม หรืออีกนัยหนึ่งก็คือ Incident Response ช่วยสนับสนุนแผน Disaster Recovery โดยการจัดการกับสาเหตุและลดความเสี่ยงก่อนที่จะนำไปสู่การหยุดชะงักของการดำเนินงาน
องค์กรสามารถเพิ่มความสามารถด้าน Incident Response ลดผลกระทบของเหตุการณ์ความปลอดภัย และปรับปรุงท่าทีด้านความปลอดภัยทางไซเบอร์โดยรวมโดยการนำแนวทางปฏิบัติต่อไปนี้มาใช้งาน:
- การเตรียมพร้อมและการวางแผน: พัฒนาแผน Incident Response ที่มีการกำหนดชัดเจนบทบาท ความรับผิดชอบ และขั้นตอนสำหรับการจัดการเหตุการณ์อย่างชัดเจน พร้อมทำการอัปเดตและทดสอบแผนอย่างสม่ำเสมอ
- การระบุและการจำแนกเหตุการณ์: ใช้ระบบการตรวจสอบและควบคุมความปลอดภัยเพื่อตรวจจับเหตุการณ์อย่างรวดเร็ว พร้อมจัดลำดับความรุนแรงและความสำคัญในการตอบสนอง
- การตอบสนองอย่างรวดเร็ว: จัดตั้งทีม Incident Response โดยเฉพาะ พร้อมฝึกฝนและจัดเตรียมอุปกรณ์เพื่อเข้าควบคุมเหตุการณ์อย่างมีประสิทธิภาพ
- การควบคุมและการกำจัด: แยกระบบที่ได้รับผลกระทบ ระบุสาเหตุ กำจัดกิจกรรมที่เป็นอันตราย และฟื้นฟูระบบ
- การสอบสวนเหตุการณ์: ดำเนินการสอบสวนเหตุการณ์เพื่อเก็บหลักฐาน ระบุเทคนิคผู้โจมตี และจัดทำรายงานสำหรับข้อบังคับทางกฎหมาย
องค์กรต้องตระหนักถึงข้อผิดพลาดที่อาจเกิดขึ้นและดำเนินการเชิงรุกเพื่อหลีกเลี่ยงช่องโหว่เหล่านั้น ซึ่งช่วยในการเพิ่มความสามารถด้าน Incident Response และลดผลกระทบของเหตุการณ์ความปลอดภัย:
- การตรวจจับเหตุการณ์ที่ไม่เพียงพอ: ทำให้พลาดเหตุการณ์ที่สำคัญหรือเกิดความล่าช้าในการตอบสนอง
- การตอบสนองและการควบคุมที่ล่าช้า: ส่งผลให้เหตุการณ์ลุกลามและสร้างความเสียหายมากขึ้น
- การสื่อสารที่ไม่มีประสิทธิภาพ: ขัดขวางการประสานงานภายในและภายนอก ทำให้ข้อมูลสำคัญไม่ถูกถ่ายทอดอย่างทันท่วงที
- การละเลยการสอบสวนเหตุการณ์: ขาดการวิเคราะห์เชิงลึกทำให้ไม่สามารถระบุรากเหง้าของปัญหา
- การขาดการวิเคราะห์หลังเหตุการณ์: ทำให้องค์กรไม่สามารถเรียนรู้และพัฒนาแผนป้องกันในอนาคตได้
Sangfor Incident Response Success Stories
Multinational Manufacturer
A Vietnamese manufacturing customer who called upon Sangfor Cyber Guardian security services to attend to a security incident and subsequently enhance its security operations.
Consulting Company
Sangfor HQ experts defined the ransomware as belonging to the Ryuk family and had mapped the ransomware path of destruction through the network. The Sangfor Hong Kong FAE helped the customer install Endpoint Secure to remove the virus entirely.
