3/17/2022

แนวทางการวางแผนและจัดทําแผนการสื่อสารในภาวะวิกฤตเพื่อตอบสนองตอเหตุการณฯ
ตามกรอบมาตรฐาน (มาตรการเผชิญเหตุ)
แนวทางจัดทํา/ทบทวนแผนการรับมือภัยคุกคามทางไซเบอรตามประมวลแนวทาง และ
ภาคปฏิบัติ (แผนการตรวจสอบ)
รองศาสตราจารย ดร.พงษพิสิฐ วุฒิดษิ ฐโชติ
ภาควิชาการบริหารเครือขายดิจิทัลและความมั่นคงปลอดภัยสารสนเทศ
Department of Digital Network and Information Security Management (DNS)
คณะเทคโนโลยีสารสนเทศและนวัตกรรมดิจิทัล
มหาวิทยาลัยเทคโนโลยีพระจอมเกลาพระนครเหนือ (มจพ.)
Pongpisit.w@itd.kmutnb.ac.th
Line ID: pongpisitw

สํานักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอรแหงชาติ, 17 มีนาคม 2565 1

Version 1.0 ปรับปรุงลาสุด 17 มีนาคม 2565 เวลา 08.40 น.

Outline
(ราง) นโยบายบริหารจัดการที่เกี่ยวกับ
การรักษาความมั่นคงปลอดภัยไซเบอร
ประมวลแนวทางปฏิบัติและกรอบมาตรฐาน
ดานการรักษาความมั่นคงปลอดภัยไซเบอร
แผนการรับมือภัยคุกคามทางไซเบอร

แผนการสื่อสารในภาวะวิกฤต

1
 3/17/2022

มาตรา 13 คณะกรรมการกํากับดูแลดานความมั่นคง
ปลอดภัยไซเบอร (กกม.) มีหนาที่และอํานาจ ประมวลแนวทางปฏิบัติและ
กรอบมาตรฐานดานการรักษา
(4) กําหนดประมวลแนวทางปฏิบัติและกรอบมาตรฐานดานการรักษา ความมั่นคงปลอดภัยไซเบอร
ความมั่นคงปลอดภัยไซเบอรอันเปนขอกําหนดขั้นต่ําในการดําเนินการ
ดานการรักษาความมั่นคงปลอดภัยไซเบอร สําหรับหนวยงานของรัฐ
และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ รวมทั้งกําหนด
มาตรการในการประเมินความเสี่ยง การตอบสนองและรับมือกับภัย
คุกคามทางไซเบอร เมื่อมีภัยคุกคามทางไซเบอรหรือเหตุการณที่สงผล
กระทบหรืออาจกอใหเกิดผลกระทบหรือความเสียหายอยางมีนยั สําคัญ
หรืออยางรายแรงตอระบบสารสนเทศของประเทศ เพื่อใหการรักษา
ความมั่นคงปลอดภัยไซเบอรปฏิบัติไดอยางรวดเร็ว มีประสิทธิภาพ
และเปนไปในทิศทางเดียวกัน

“กกม.” หมายถึง คณะกรรมการกํากับดูแลดานความมั่นคงปลอดภัยไซเบอร

3

2
 3/17/2022

ประมวลแนวทางปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร
มาตรา 44 ประมวลแนวทางปฏิบัติดานการรักษาความมั่นคงปลอดภัยไซเบอรตามวรรคหนึ่ง อยางนอยตองประกอบดวยเรื่อง ดังตอไปนี้
(1) แผนการตรวจสอบและประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอรโดยผูตรวจประเมิน ผูตรวจสอบภายใน หรือ
ผูตรวจสอบอิสระจากภายนอก อยางนอยปละหนึ่งครั้ง
(2) แผนการรับมือภัยคุกคามทางไซเบอร

แผนการตรวจสอบดาน การประเมินความเสี่ยง แผนการรับมือภัย

การรักษาความมั่นคง ดานการรักษาความ คุกคามทางไซเบอร
ปลอดภัยไซเบอร มั่นคงปลอดภัยไซเบอร
1 2 3
5

3. แผนการรับมือภัยคุกคามทางไซเบอร
3.1 ตองจัดทําแผนการรับมือภัยคุกคามทางไซเบอร (Cybersecurity Incident Response Plan) ที่กาํ หนดวาควร
ตอบสนองตอเหตุการณที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอรอยางไร โดยแผนการรับมือภัยคุกคามทางไซเบอร
ตองระบุรายละเอียดอยางนอย ดังนี้
(ก) โครงสรางทีมรับมือเหตุการณที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร (Cyber Incident Response Team: CIRT) รวมถึง
บทบาทและความรับผิดชอบที่กําหนดไวอยางชัดเจนของสมาชิกในทีมแตละคนและรายละเอียดการติดตอ
(ข) โครงสรางการรายงานเหตุการณ (Incident Reporting Structure) ซึ่งกําหนดวา หนวยงานของรัฐ และหนวยงาน
โครงสรางพื้นฐานสําคัญทางสารสนเทศจะปฏิบัติตามภาระหนาที่ในการรายงานภายใตพระราชบัญญัติ และกฎหมายยอยใด ๆ
ที่ทาํ ขึ้นภายใตกฎหมายดังกลาว ตลอดจนภาระหนาที่ในการรายงานภายใตกฎหมาย และขอกําหนดดานกฎระเบียบที่เกีย่ วของ
กับโครงสรางพื้นฐานสําคัญทางสารสนเทศ
(ค) เกณฑและขั้นตอนในการเรียกใชงาน (Activate) การตอบสนองตอเหตุการณและ CIRT
(ง) ขั้นตอนจํากัดขอบเขต (Containment) ผลกระทบของเหตุการณที่เกี่ยวกับความมัน่ คงปลอดภัยไซเบอร
(จ) ...
6

3
 3/17/2022

3. แผนการรับมือภัยคุกคามทางไซเบอร (ตอ)
(จ) การเรียกใชงานกระบวนการกูคนื (Recovery Process)
(ฉ) ขั้นตอนในการสอบสวน (Investigate) สาเหตุและผลกระทบของเหตุการณ
(ช) ขั้นตอนการเก็บรักษาหลักฐาน (Preservation of Evidence) กอนเริ่มกระบวนการกูคืน ซึ่งรวมถึงการไดมาของ
บันทึกการยึดหลักฐานคอมพิวเตอรที่ไดมา หรืออุปกรณอื่น ๆ เพื่อสนับสนุนการสอบสวน
(ช) ระเบียบวิธีการมีสวนรวม (Engagement Protocols) กับบุคคลภายนอก หรือแนวปฏิบัติ การบริหารจัดการ
บุคคลภายนอก ซึ่งรวมถึงรายละเอียดการติดตอ ตัวอยางเชน ผูขายสําหรับบริการ ดานนิติวิทยาศาสตร/การกูคืนและ
การบังคับใชกฎหมายเพื่อดําเนินคดี และ
(ฌ) กระบวนการทบทวนหลังการดําเนินการ (After-Action Review Process) เพื่อระบุ และแนะนําใหปรับปรุงการ
ดําเนินการเพื่อปองกันการเกิดซ้ํา

3. แผนการรับมือภัยคุกคามทางไซเบอร (ตอ)
3.2 ตองตรวจสอบใหแนใจวาแผนการรับมือภัยคุกคามทางไซเบอรไดรับการสื่อสารอยางมีประสิทธิผลไปยัง
บุคลากรที่เกี่ยวของทั้งหมดที่สนับสนุนบริการสําคัญของหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญ
ทางสารสนเทศ
3.3 ตองทบทวนแผนการรับมือภัยคุกคามทางไซเบอร อยางนอยปละหนึ่ง (๑) ครั้ง โดยนับตั้งแตวันที่แผนไดรับ
การอนุมตั ิ
3.4 ตองทบทวนแผนการรับมือภัยคุกคามทางไซเบอร เมื่อมีการเปลี่ยนแปลงอยางมีนัยสําคัญ ในสภาพแวดลอม
การปฏิบัติการทางไซเบอรของบริการที่สําคัญของหนวยงานของรัฐและหนวยงาน โครงสรางพื้นฐานสําคัญทาง
สารสนเทศ หรือขอกําหนดในการตอบสนองตอเหตุการณท่เี กี่ยวกับความมั่นคงปลอดภัยไซเบอร

4

กรอบมาตรฐานดานการรักษาความมั่นคงปลอดภัยไซเบอร
1. การระบุความเสี่ยงที่อาจจะเกิดขึ้นแก
คอมพิวเตอร ขอมูลคอมพิวเตอร ระบบ
คอมพิวเตอร ขอมูลอื่นที่เกี่ยวของกับระบบ
คอมพิวเตอร ทรัพยสินและชีวิตรางกาย
ของบุคคล (Identify)
1.1 การจัดการทรัพยสิน (Asset
Management)
1.2 การประเมินความเสี่ยงและกลยุทธ
ในการจัดการความเสี่ยง (Risk
Assessment and Risk
Management Strategy)
1.3 การประเมินชองโหว และการ
ทดสอบเจาะระบบ (Vulnerability
Assessment and Penetration
Testing)
1.4 การจัดการผูใหบริการภายนอก
(Third Party Management)
10
2. มาตรการปองกันความเสี่ยงที่
อาจจะเกิดขึ้น (Protect)
2.1การควบคุมการเขาถึง (Access
Control)
2.2การทําใหระบบมีความแข็งแกรง
(System Hardening)
2.3การเชื่อมตอระยะไกล (Remote
Connection)
2.4สื่อเก็บขอมูลแบบถอดได
(Removable Storage Media)
2.5การสรางความตระหนักรูดาน
ความมั่นคงปลอดภัยไซเบอร
(Cybersecurity Awareness)
2.6การแบงปนขอมูล (Information
Sharing)
3/17/2022
3. มาตรการตรวจสอบและเฝาระวังภัยคุกคามทาง
ไซเบอร (Detect)
3.1 การตรวจสอบและเฝาระวังภัยคุกคามทาง
ไซเบอร (Cyber Threat Detection and
Monitoring)
4. มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคาม
ทางไซเบอร (Respond)
4.1 แผนการรับมือภัยคุกคามทางไซเบอร
(Cybersecurity Incident Response Plan)
4.2 แผนการสื่อสารในภาวะวิกฤต (Crisis
Communication Plan)
4.3 การฝกซอมความมั่นคงปลอดภัยไซเบอร
(Cybersecurity exercise)
5.มาตรการรักษาและฟนฟูความเสียหายที่เกิดจาก
ภัยคุกคามทางไซเบอร (Recover)
5.1 การรักษาและฟนฟูความเสียหายที่เกิดจาก
ภัยคุกคามทางไซเบอร (Cybersecurity
10
Resilience and Recovery
5
 3/17/2022

4. มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร (Respond)
4.1 แผนการรับมือภัยคุกคามทางไซเบอร (Cybersecurity Incident Response Plan)
4.1.1 ตองมีการจัดทํา สื่อสาร ฝกซอม ทบทวน และปรับปรุง แผนการรับมือภัยคุกคามทางไซเบอร ตามที่ระบุไวในประมวล
แนวทางปฏิบตั ิการรักษาความมั่นคงปลอดภัยไซเบอร อยางนอยปละหนึ่ง (1) ครั้ง เพื่อใหแนใจวาแผนการรับมือภัยคุกคามทาง
ไซเบอรสามารถดําเนินการไดอยางมีประสิทธิภาพและประสิทธิผล

11

11

4. มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร (Respond) (ตอ)

4.2 แผนการสื่อสารในภาวะวิกฤต (Crisis Communication Plan)
4.2.1 ตองจัดทําแผนการสื่อสารในภาวะวิกฤตเพื่อตอบสนองตอวิกฤตที่เกิดจากเหตุการณ ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร
4.2.2 ตองตรวจสอบใหแนใจวาแผนการสื่อสารในภาวะวิกฤต
(ก) จัดตั้งทีมสื่อสารในภาวะวิกฤตเพื่อเปดใชงานในชวงวิกฤต
(ข) ระบุสถานการณจําลองเหตุการณที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร ที่เปนไปไดและแผนการดําเนินการที่เกี่ยวของ
(ค) ระบุกลุมเปาหมาย และผูมีสวนไดสวนเสียสําหรับสถานการณจําลองเหตุการณ ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอรแตละประเภท
(ง) ระบุโฆษกหลักและผูเชี่ยวชาญดานเทคนิคที่จะเปนตัวแทนขององคกรเมื่อกลาวแถลงกับสื่อมวลชน และ
(จ) ระบุแพลตฟอรม/ชองทางการเผยแพรที่เหมาะสม (เชน สื่อดั้งเดิม และโซเชียลมีเดีย) สําหรับการเผยแพรขอมูล
4.2.3 ตองตรวจสอบใหแนใจวาแผนการสื่อสารในภาวะวิกฤตรวมถึงการประสานงานระหวางทุกฝายที่ไดรบั ผลกระทบเพื่อใหแนใจ
วามีการตอบสนองที่ประสานกันและสอดคลองกันในชวงวิกฤต
4.2.4 ตองดําเนินการฝกซอมแผนการสื่อสารในภาวะวิกฤตอยางนอยปละหนึ่ง (๑) ครั้ง เพื่อใหแนใจวาสามารถสื่อสารและเผยแพร
ขอมูลไดอยางทันทวงทีและมีประสิทธิผลในชวงวิกฤตอันเนื่องมาจากเหตุการณที่เกีย่ วกับความมั่นคงปลอดภัยไซเบอร
12

12

6
 3/17/2022

4. มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร (Respond)(ตอ)
4.3 การฝกซอมความมั่นคงปลอดภัยไซเบอร (Cybersecurity exercise)
4.3.1 ตามมาตรา 22(13) หนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญ ทางสารสนเทศตองมีสวนรวมในการฝกซอม
ความมั่นคงปลอดภัยไซเบอรหากไดรับคําสัง่ เปนลายลักษณอกั ษรใหทําโดยคณะกรรมการ การฝกซอมการรักษาความมั่นคง
ปลอดภัยไซเบอรดังกลาวอาจดําเนินการไดทั้งในระดับชาติหรือระดับภาคสวน หนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐาน
สําคัญทางสารสนเทศตองตรวจสอบใหแนใจวาบุคลากรที่เกี่ยวของที่ระบุไวในแผนการรับมือภัยคุกคามทางไซเบอรมีสว นรวมใน
การฝกซอมความมั่นคงปลอดภัยไซเบอรดังกลาว
4.3.2 ตองปฏิบัติตามคําขอใด ๆ ของคณะกรรมการเพื่อใหขอมูลที่เกี่ยวของกับบริการ ที่สําคัญหนวยงานของรัฐ และหนวยงาน
โครงสรางพื้นฐานสําคัญทางสารสนเทศ เพื่อวัตถุประสงคในการวางแผนและดําเนินการฝกซอมความมั่นคงปลอดภัยไซเบอร
ขอมูลที่คณะกรรมการอาจรองขอภายใตขอนี้รวมถึงแผนการรับมือภัยคุกคามทางไซเบอรและแผนการสือ่ สารในภาวะวิกฤตที่
กําหนดขึ้นตามขอ 4.1 และ 4.2 ขั้นตอนการปฏิบัติงานมาตรฐานที่เกี่ยวของกับการดําเนินงานของบริการที่สาํ คัญของหนวยงาน
ของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ

13

13

14

14

7
 3/17/2022

https://www.oic.or.th/th/consumer/RM_Survey

15

15

16

16

8
 3/17/2022

17

17

• สํานักงาน คปภ. ไดมีการทบทวนแนวปฏิบัติ BCM และ BCP ของบริษัทประกันภัย ฉบับป 2555

โดยประเด็ น หลั ก สํ า คั ญ ในการทบทวนสํ า นั ก งานจะให ค วามสํ า คั ญ กั บ ความเสี่ ย งด า น
ภัยคุกคามทางไซเบอร เปนความเสี่ยงสําคัญที่ทุกบริษัทควรมีแผนรองรับการดําเนินธุรกิจ
อยางตอเนื่อง และครอบคลุมถึงแผนรับมือภัยคุกคามและตอบสนองตอเหตุการณผิดปกติทาง
ไซเบอร (Cyber Incident Response Plan)
• แนวปฏิบัติแบบนี้มุงเนนที่จะใหมุมมองที่เปนประโยชนในดานการเตรียมความพรอม การพัฒนา
บุคลากร การกําหนดแผนในการตอบสนองหรือรับมือของบริษทั ประกันภัย เพื่อชวยบรรเทาความ
รุน แรงและผลกระทบที่ จ ะเกิ ดขึ้ น กั บ บริ ษั ท อี ก ทั้ งยั ง ช ว ยให บ ริ ษั ท สามารถตั ดสิ น ใจได อย า ง
รวดเร็ว และถูกตอง เมื่อ อยู ในสภาวะวิ ก ฤต โดยไม ทํา ใหก ารดําเนิน ธุ รกิจ เกิดการหยุ ดชะงั ก
รวมถึงกระทบตอผูที่มีสว นไดเสียของบริษัทนอยที่สุด

18

18

9
 3/17/2022

19

19

20

20

10
 3/17/2022

21

21

22

22

11
 3/17/2022

23

23

แผนรับมือภัยคุกคามและตอบสนองตอเหตุการณผดิ ปกติทางไซเบอร
(Cyber Incident Response Plan: CIRP)
• แผนรับมือภัยคุกคามและตอบสนองตอเหตุการณผิดปกติทางไซเบอร เปนแผนงานที่กําหนดเปน
ลายลักษณอักษร แสดงถึงวิธีปฏิบัตเิ พื่อตอบสนองเมื่อเกิดเหตุภัยคุกคามทางไซเบอร โดยควร
สอดคลองและเชื่อมโยงกับแผน BCP ของบริษทั
• ครอบคลุมระบบงานดานเทคโนโลยีสารสนเทศที่สาํ คัญ โดยไดรับอนุมัติ จากคณะกรรมการของ
บริษัท หรือ คณะกรรมการชุดยอยที่ไดรับมอบหมาย และไดรับการทบทวนอยางนอยปละ 1 ครั้ง
หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคัญ
• นอกจากนี้ แผน CIRP ควรครอบคลุมตั้งแตกระบวนการจัดการ การเตรียมความพรอมในการ
รับมือและการตอบสนองตอเหตุการณ และการรายงานเหตุการณภัยคุกคามทาง ไซเบอรท่อี าจ
กอใหเกิดความเสียหายหรือสงผลกระทบตอระบบคอมพิวเตอร ขอมูลคอมพิวเตอร หรือขอมูลอื่น
ที่เกี่ยวของ
24

24

12
 3/17/2022

แผนรับมือภัยคุกคามและตอบสนองตอเหตุการณผดิ ปกติทางไซเบอร
(Cyber Incident Response Plan: CIRP) (ตอ)
ทั้งนี้ บริษัทควรพิจารณาจัดใหมีบุคลากรหรือทีมงานที่ทาํ หนาที่รบั ผิดชอบในการรับมือและตอบสนองตอ
เหตุการณผิดปกติทางไซเบอร (Cyber Incident Response Team) โดยอยางนอย ทีมรับมือและตอบสนองฯ
ควรประกอบดวยบุคลากรดังตอไปนี้
1) บุคลากรที่ทําหนาที่รับแจงเหตุหรือรับรายงานดานความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศจากผูที่พบหรือสงสัยวามี
เหตุภัยคุกคามเกิดขึ้นภายในองคกร โดยควรจัดใหมีชองทางในการรายงาน เชน ชองทางอีเมล โทรศัพท โทรสาร แบบฟอรมบน
เว็บไซต ระบบที่รวบรวมขอมูลอัตโนมัติ และการสื่อสารทางตรง เปนตน
2) บุคลากรที่ทําหนาที่รับผิดชอบในการรับมือและตอบสนองตอเหตุการณผิดปกติทางไซเบอร ทั้งนี้ บริษัทอาจพิจารณาเพิ่ม
จํานวนบุคลากรที่มีความเชี่ยวชาญตามความเหมาะสมของความเสี่ยงและระดับความรุนแรงของภัยคุกคามที่อาจเกิดขึ้น โดยอาจ
จัดหาบุคลากรที่มีทักษะทางเทคนิคที่จําเปนตอการรับมือและตอบสนองตอภัยคุกคามทางไซเบอร เชน การตรวจจับภัยคุกคาม
การวิเคราะหโปรแกรมไมประสงคดี (Malware) การบริหารจัดการระบบและเครือขาย การสนับสนุนทางเทคนิค เปนตน

25

25

แผนรับมือภัยคุกคามและตอบสนองตอเหตุการณผดิ ปกติทางไซเบอร
(Cyber Incident Response Plan: CIRP) (ตอ)
• ทั้งนี้ บริษัทสามารถดําเนินการใชบริการ Security Operation Center (SOC) จากผูใหบริการ
ภายนอกได ในการปฏิบัติงานดังกลาวได โดยบริษัทควรกําหนดเงื่อนไขใหผูบริการภายนอกปฏิบัติ
ตามนโยบายการรักษาความปลอดภัยของบริษัท พรอมทั้งมีการประเมินความความเสี่ยงจากการ
ใชผูใหบริการภายนอก รวมถึงตรวจสอบและติดตามการใหบริการอยางสม่ําเสมอ

26

26

13
 3/17/2022

แผนรับมือภัยคุกคามและตอบสนองตอเหตุการณผดิ ปกติทางไซเบอร
(Cyber Incident Response Plan: CIRP) (ตอ)
แผนรับมือภัยคุกคามและตอบสนองตอเหตุการณผดิ ปกติทางไซเบอร ควรระบุข้นั ตอนการรับมือและตอบสนอง
เหตุการณที่ชัดเจน เพื่อใหสามารถดําเนินการไดอยางรวดเร็วและงายตอการปฏิบัติ โดยอยางนอย ควรครอบคลุม
• ชื่อแผน วัตถุประสงค และขอบเขต
• โครงสรางของการบังคับบัญชาในการดําเนินการตามแผน ผูปฏิบัติหนาที่และความรับผิดชอบ และ ผูปฏิบัติหนาที่แทนใน
กรณีผูปฏิบัติหนาที่หลักที่ไดรับมอบหมายไมสามารถปฏิบัติงานได รวมถึงบันทึกการบันทึกการเปลี่ยนแปลงของแผน
• รายละเอียดของระบบเทคโนโลยีสารสนเทศ เชน โครงสรางสถาปตยกรรมเครือขาย เปนตน
• ขั้นตอนการรับมือภัยคุกคามและตอบสนองตอเหตุการณผิดปกติทางไซเบอร และแผนการสื่อสารใหหนวยงานที่เกี่ยวของ
รับทราบ
• ขั้นตอนการกูคืนระบบ โดยจัดทําเปนเอกสารหรือ คูมือ หรือ Checklist เพื่อควบคุมกระบวนการใหเปนไปตามขั้นตอนที่
กําหนดไว

27

27

28

28

14
 3/17/2022

ขั้นตอนการรับมือภัยคุกคามและตอบสนองตอเหตุการณผิดปกติทาง
ไซเบอร
บริษัทควรกําหนดขั้นตอนการรับมือและ
ตอบสนองตอเหตุการณผิดปกติทางไซเบอร
สามารถแบงไดเปน 4 ขั้นตอนอยางนอย ดังนี้
1. การเตรียมความพรอม (Preparation)
2. การตรวจจับและวิเคราะหภัยคุกคามทาง
ไซเบอร (Detection and Analysis)
3. การรับมือและการตอบสนองตอเหตุการณ
ภัยคุกคามทางไซเบอร
4. การดําเนินการหลังจากการรับมือภัยคุกคาม
Incident Response Life Cycle
และตอบสนองตอเหตุการณผดิ ปกติทางไซเบอร
(Post Cyber Incident Activity) NIST SP 800-61 Revision 2 Computer Security Incident Handling Guide

29

29

1. การเตรียมความพรอม (ตอ)
1.1 การกําหนดและจัดเตรียมทรัพยากรและเครื่องมือที่จําเปนตอการรับมือและตอบสนองตอภัยคุกคามทางไซเบอร
รวมถึงการกําหนดแนวทางการติดตอสื่อสารอยางเปนระบบ บริษัทควรมีเครื่องมือสําหรับทําการวิเคราะหเหตุการณภัย
คุกคามทางไซเบอร และมีการกําหนดแนวทางรักษาความปลอดภัยของระบบแมขาย (Host Security) ควรติดตั้ง
โปรแกรม (Software) เพื่อตรวจจับและยับยัง้ โปรแกรมไมประสงคดี (Malware) ภายในระบบเทคโนโลยีสารสนเทศ
ขององคกร ระบบปฏิบัตกิ าร ระบบโปรแกรมที่ใชงาน (Application) และระบบโปรแกรมงานสําหรับลูกคา
(Application Clients) รวมถึงมีกระบวนการประเมินความเสีย่ งของระบบเทคโนโลยีสารสนเทศและระบบงานที่สําคัญ
ขององคกร โดยอยางนอยเครื่องมือและทรัพยากรที่จําเปนตอการรับมือและตอบสนองตอภัยคุกคามทางไซเบอรควร
ครอบคลุม ดังนี้
(1) เครื่องมือและสิ่งอํานวยความสะดวกในการสื่อสารของบุคลากรผูทําหนาที่รับมือและตอบสนองตอเหตุภัยคุกคามทางไซเบอร
(2) อุปกรณและซอฟตแวรสําหรับวิเคราะหเหตุภัยคุกคามทางไซเบอร
(3) แหลงขอมูลในการวิเคราะหเหตุภัยคุกคามทางไซเบอร (Cyber Incident Analysis Resources)
(4) ซอฟตแวรสําหรับการบรรเทาเหตุภัยคุกคาม

30

30

15
 3/17/2022

1. การเตรียมความพรอม (ตอ)
(1) เครื่องมือและสิ่งอํานวยความสะดวกในการสื่อสารของบุคลากรผูทําหนาที่รับมือและตอบสนองตอเหตุภัย
คุกคามทางไซเบอร
(1.1) รายชื่อและชองทางการติดตอสําหรับสมาชิกภายในทีมรับมือภัยคุกคามทางไซเบอร รวมถึงหนวยงานอื่นๆ ที่จําเปนตอ
การรับมือเหตุทั้งภายในและภายนอกองคกร (รายชื่อผูรับผิดชอบหลัก และรายชื่อสํารอง) เชน ฝายรักษาความมั่นคงปลอดภัย
ดานเทคโนโลยีสารสนเทศ ฝายบริหารความเสี่ยง ฝายสื่อสารองคกร ฝายทรัพยากรบุคคล และคูคาของบริษัท เปนตน
(1.2) รายชื่อและชองทางการติดตอสําหรับทีมหรือหนวยงานภายในองคกรในกรณีที่มีการยกระดับความรุนแรงของเหตุการณ
โดยสามารถใหความชวยเหลือหรือรับชวงตอในการรับมือไดทันทวงทีหลังไดรับการแจง
(1.3) ชองทางการรายงานเหตุการณ เชน หมายเลขโทรศัพท อีเมล แบบรายงานออนไลน และระบบการสงขอความทันทีที่มี
เหตุการณกระทบตอความมั่นคงปลอดภัย เพื่อใหผูใชงานทั่วไปสามารถใชในการรายงานเหตุการณที่เขาขายจะเปนภัยคุกคาม
ทางไซเบอร
(1.4) ระบบในการรายงานและติดตามขอมูล สถานะการดําเนินการของเหตุการณที่ไดรับแจง
(1.5) โปรแกรมเขารหัส (Encryption Software) เพื่อเพิ่มความปลอดภัยในการสื่อสารทั้งระหวางภายในและภายนอกองคกร
(1.6) หองประชุม (War Room) สําหรับการสื่อสารและประสานงานระหวางสวนกลางและหนวยงานที่เกี่ยวของ ซึ่งอาจเปน
หองประชุมที่ใชงานชั่วคราวเพื่อการรับมือภัยคุกคามทางไซเบอรก็ได
(1.7) สถานที่จัดเก็บที่มีความมั่นคงปลอดภัยเพื่อใชในการจัดเก็บหลักฐาน ขอมูลและพยานวัตถุอื่นๆ ที่สําคัญ
31

31

1. การเตรียมความพรอม (ตอ)
(2) อุปกรณและซอฟตแวรสําหรับวิเคราะหเหตุภัยคุกคามทางไซเบอร
(2.1) เครื่องคอมพิวเตอร หรืออุปกรณสํารองขอมูล ที่ใชงานเพื่อการจัดเก็บขอมูลบันทึกเหตุการณ (Log Files) หรือสราง Disk
Image หรือบันทึกขอมูลเหตุการณที่เกี่ยวของอื่นๆ โดยเฉพาะ
(2.2) เครื่องมือสําหรับตรวจจับและวิเคราะหขอมูลในเครือขายคอมพิวเตอร (Packet Sniffers and Protocol Analyzers)
เพื่อเก็บขอมูลและวิเคราะหการดักจับขอมูลที่ผานไปมาระหวางเครือขาย
(2.3) เครื่องคอมพิวเตอรสํารอง เซิรฟเวอร และอุปกรณเครือขายที่สามารถใชทดแทนเครื่องคอมพิวเตอรหรืออุปกรณหลักได
ซึ่งสามารถใชเพื่อสําหรับสนับสนุนการวิเคราะหเหตุภัยคุกคามทางไซเบอร
(2.4) อุปกรณที่ใชในการรวบรวมหลักฐาน เชน โนตบุก กลองดิจิตอล เครื่องบันทึกเสียง แบบบันทึกขอมูลผูครอบครอง
พยานหลักฐาน เปนตน เพื่อเก็บหลักฐานสําหรับการดําเนินการทางกฎหมาย

32

32

16
 3/17/2022

1. การเตรียมความพรอม (ตอ)
(3) แหลงขอมูลในการวิเคราะหเหตุภยั คุกคามทางไซเบอร (Cyber Incident Analysis Resources)
(3.1) รายการพอรตชองทางการแลกเปลี่ยนขอมูลผานอินเตอรเน็ตหรือระบบเครือขายคอมพิวเตอร (Port Lists) ตั้งแตพอรตที่
ใชงานทั่วไปจนถึงพอรตที่เสี่ยงตอการถูกโจมตี
(3.2) เอกสารหรือคูมือการใชงานของระบบปฏิบัติการ แอพพลิเคชั่น โปรโตคอลที่ใชในการสื่อสารระหวางเครื่องคอมพิวเตอร
ซอฟตแวรสําหรับตรวจจับการบุกรุก และซอฟตแวรปองกันไวรัส
(3.3) แผนผังเครือขายและรายการทรัพยสินทางสารสนเทศที่สําคัญ เชน ฐานขอมูล เปนตน
(3.4) คาปกติ (Current Baseline) ของระบบ เครือขาย และแอพพลิเคชั่น
(3.5) คา hash ของไฟลที่มีความสําคัญ เพื่อเพิ่มความเร็วในการวิเคราะห การตรวจสอบ และกําจัดภัยคุกคามที่เกิดขึ้น

(4) ซอฟตแวรสําหรับการบรรเทาเหตุภัยคุกคาม
ไฟล disk image ของระบบปฏิบัติการ (OS) และแอพพลิเคชั่น (Application) เพื่อใชในการกูคืนและฟนฟูระบบ

33

33

1. การเตรียมความพรอม (ตอ)
1.2 การปองกันเหตุภัยคุกคามทางไซเบอร (เครือขาย ระบบ และแอพพลิเคชั่น)
สิ่งสําคัญที่สุดในการปองกันเหตุภัยคุกคามทางไซเบอร คือ การลดจํานวนเหตุภัยคุกคามใหเหลือนอยที่สุด
เพื่อลดผลกระทบตอการดําเนินงานของบริษัท หากบริษัทมีมาตรการการรักษาความมั่นคงปลอดภัยที่ไม
เพียงพออาจทําใหเกิดเหตุภัยคุกคามมากจนเกินขีดความสามารถในการจัดการของบริษัท ซึ่งสงผลใหการ
รับมือและตอบสนองกับเหตุภัยคุกคามที่เกิดขึ้นลาชาและไมมีประสิทธิภาพ อาจสงผลกระทบทางธุรกิจที่
รุนแรงตอบริษัทได

34

34

17
 3/17/2022

1. การเตรียมความพรอม (ตอ)
การปองกันเหตุภยั คุกคามทางไซเบอร ควรครอบคลุมอยางนอยในเรื่องดังตอไปนี้
(1) การประเมินความเสี่ยงภัยคุกคามทางไซเบอร
• บริษัทควรทําการประเมินความเสี่ยง เพื่อพิจารณาวามีความเสี่ยงใดบางที่เกี่ยวของกับภัยคุกคามทางไซเบอรหรือชองโหวดานความ
มั่นคงปลอดภัย โดยควรระบุเหตุการณภัยคุกคามที่อาจเกิดขึ้นและสงผลกระทบหรือสรางความเสียหายตอระบบงาน ขอมูลสําคัญ และ
การดําเนินงานขององคกร
• ทั้งนี้ ควรประเมินความเสี่ยงรวมทั้งผลกระทบที่เกิดขึ้นจริงในระหวางการเกิดเหตุอยางนอยปละ 1 ครั้ง เพื่อประเมินผลกระทบและ
มูลคาความเสียหายที่แทจริง และเปนขอมูลประกอบการพิจารณาทบทวนหรือปรับปรุงแนวทางในการรับมือและการตอบสนองตอภัย
คุกคามทางไซเบอรตอไป
(2) การกําหนดแนวทางรักษาความมั่นคงปลอดภัยของระบบแมขาย (Host Security)
• ระบบแมขาย (Host) ควรกําหนดใหมีการรักษาความมั่นคงปลอดภัยที่เหมาะสมและมีมาตรฐาน รวมทั้งการปดชองโหวและทําการ
แพตชระบบอยางเหมาะสม นอกจากนี้ ควรมีการกําหนดสิทธิ์ของผูใชงานโดยใหสิทธิเทาที่จําเปนตอการปฏิบัติงานที่ไดรับอนุญาต
เทานั้น รวมทั้งระบบแมขายควรบันทึกเหตุการณที่เกี่ยวของกับความมั่นคงปลอดภัยที่สําคัญของบริษัท และไดรับการติดตามตรวจสอบ
อยางสม่ําเสมอ
(3) การรักษาความปลอดภัยของเครือขาย (Network Security)
• ระบบการรักษาความมั่นคงปลอดภัยของเครือขายควรตั้งคาใหปฏิเสธการเขาถึงของกิจกรรมทั้งหมดที่ไมไดรับอนุญาต รวมทั้งอุปกรณ
เครือขายทั้งหมดของบริษัทที่เชื่อมตอกับเครือขายภายนอก
35

35

Incident Response Life Cycle

NIST SP 800-61 Revision 2 Computer Security Incident Handling Guide

36

36

18
 3/17/2022

2. การตรวจจับและวิเคราะหภัยคุกคามทางไซเบอร

การรวบรวมขอมูลและตรวจวิเคราะหจากระบบงานที่มีชองโหวจากการโจมตีทางไซเบอรภายในองคกร ควรมี
เครื่องมือในการชี้วัดและเฝาระวังภัยคุกคามทางไซเบอรจากหลายแหลงที่มา โดยอยางนอยตองมีการจัดเก็บและ
สอบทานบันทึกการเขาถึงระบบ (Access Log) และบันทึกการดําเนินงาน (Activity Log) และทําการแจงเตือน
แกผูเกี่ยวของเมื่อพบเหตุการณภยั คุกคามทางไซเบอร

37

37

2. การตรวจจับและวิเคราะหภัยคุกคามทางไซเบอร (ตอ)
(1) รูปแบบของการโจมตีหรือภัยคุกคามที่มีโอกาสเกิดขึ้นหรือพบเห็นบอยครั้ง
(1.1) การโจมตีหรือภัยคุกคามที่เกิดจากสื่อบันทึกขอมูลที่สามารถถอดหรือเคลื่อนยายได หรืออุปกรณตอพวง เชน มัลแวรที่
แพรกระจายเขาระบบงานจากแฟลชไดรฟ USB ที่ติดมัลแวร
(1.2) การโจมตีเพื่อทําใหระบบประสิทธิภาพลดลง เชน การโจมตีแบบ DDoS เพื่อทําใหไมสามารถใหบริการได เปนตน
(1.3) การโจมตีผานเว็บไซตหรือระบบงานบนเว็บไซต เชน การโจมตีดวยวิธี Cross Site Scripting เพื่อขโมยขอมูล หรือ การเปลี่ยน
เสนทางไปยังเว็บไซตที่มีการโจมตีผานชองโหวของ Web Browser และติดตั้งมัลแวรไว และการโจมตีผานทางขอความหรือเอกสาร
แนบในอีเมล เปนตน
(1.4) การโจมตีที่เขาขายการปลอมแปลงตัวตน เชน การปลอมตัว (Spoofing) เพื่อหลอกลวงและควบคุมระบบ การโจมตีโดยการ
ปลอมตัวเปนบุคคลอื่นเพื่อแทรกสัญญาณการรับสงขอมูลระหวางผูใชงานระบบ (Man in the Middle Attack) และการโจมตีโดยสง
คําสั่ง SQL ผานทางระบบงานบนเว็บไซตเพื่อไปโจมตีระบบฐานขอมูล (SQL Injection) เปนตน
(1.5) ภัยคุกคามที่เกิดจากผูใชงานละเมิดนโยบายการใชงานระบบเทคโนโลยีสารสนเทศขององคกร เชน การติดตั้งโปรแกรมที่นําไปสู
การรั่วไหลขอมูลสําคัญของบริษัท หรือผูใชงานทํากิจกรรมที่ผิดกฎหมายผานระบบงานเทคโนโลยีสารสนเทศของบริษัท เปนตน
(1.6) อุปกรณคอมพิวเตอรหรือสื่อตางๆ สูญหาย เชน เครื่องโนตบุค แทบเล็ต โทรศัพทมือถือ หรือสิ่งที่ใชยืนยันตัวตนซึ่งเปน
ทรัพยสินของบริษัทที่สูญหายหรือถูกขโมย

38

38

19
 3/17/2022

2. การตรวจจับและวิเคราะหภัยคุกคามทางไซเบอร (ตอ)
(2) สัญญาณการเกิดเหตุภัยคุกคาม สามารถติดตามไดจากชองทางอยางนอยดังตอไปนี้
(2.1) สัญญาณแจงเตือนเหตุภัยคุกคามทางไซเบอร สามารถตรวจสอบไดจากระบบดังตอไปนี้
• ระบบตรวจจับและปองกันการบุกรุก (Intrusion Detection and Prevention Systems: IDPS) ใชในการระบุเหตุการณที่นาสงสัยวา
อาจเปนภัยคุกคามและบันทึกขอมูลทีเ่ กีย่ วของ รวมถึงวันที่และเวลาทีต่ รวจพบการโจมตี ประเภทของการโจมตี ที่อยู IP ตนทางและ
ปลายทาง และชื่อผูใชงาน โดยสวนใหญระบบ IDPS จะระบุกจิ กรรมทีเ่ ปนอันตรายโดยใชลักษณะเฉพาะของการโจมตี (attack
signature) ดังนั้น ขอมูลลักษณะเฉพาะของการโจมตีจะตองไดรับการอัพเดตอยางสม่ําเสมอ เพื่อใหสามารถตรวจพบการโจมตีรูปแบบ
ใหมได ทั้งนี้ ระบบ IDPS สามารถเกิดการแจงเตือนที่ผดิ พลาดได (false positive) โดยแจงวามีกจิ กรรมที่เปนอันตรายกําลังเกิดขึ้น แตใน
ความจริงยังไมเกิด ดังนั้น นักวิเคราะหระบบจึงควรตรวจสอบขอมูลแจงเตือนจาก IDPS ดวยตนเอง และทบทวนรายละเอียดหรือรวมรวม
ขอมูลที่เกี่ยวของจากแหลงขอมูลอื่นๆ ประกอบการวิเคราะห
• ระบบบริหารจัดการขอมูลและวิเคราะหเหตุการณดานความมั่นคงปลอดภัย (SIEM) ชวยในการตรวจจับและทําการแจงเตือนจากการ
วิเคราะหที่ไดจากขอมูลบันทึกเหตุการณ (Log data)
• ซอฟแวรปองกันไวรัส (Antivirus Software) เพื่อปองกันและตรวจจับไวรัสหรือมัลแวรในรูปแบบตางๆ แลวแจงเตือนและปองกันไมใหเกิด
การแพรกระจายที่ระบบแมขา ย รวมทั้งเพื่อใหระบบทํางานไดอยางมีประสิทธิภาพในการปองกันควรมีการอัพเดตลักษณะเฉพาะของการ
โจมตีอยูเสมอ
• ซอฟแวรตรวจสอบความถูกตองของไฟลเพื่อตรวจสอบการเปลี่ยนแปลง หรือการแกไขที่เกิดขึ้นกับไฟลที่มีความสําคัญในระหวางเกิดเหตุ
ภัยคุกคาม (File Integrity Checking Software)
• การใชบริการเฝาระวังภัยคุกคามจากผูใ หบริการภายนอก (Third-Party Monitoring Services)

39

39

2. การตรวจจับและวิเคราะหภัยคุกคามทางไซเบอร (ตอ)
(2.2) ขอมูลบันทึกเหตุการณ ควรจัดเก็บขอมูลดังตอไปนี้เปนอยางนอย
• ขอมูลบันทึกเหตุการณของระบบปฏิบัตกิ าร การบริการ และแอพพลิเคชั่น (Operating System, Service and Application Logs)
• ขอมูลบันทึกเหตุการณของอุปกรณเครือขาย (Network Device Logs)
• ขอมูลบันทึกการเคลื่อนไหวของขอมูลในเครือขาย (Network Flow Logs)

(2.3) ขอมูลสาธารณะ (Publicly Available Information)

• ขอมูลของชองโหวหรือจุดออนใหม จากหนวยงานดานการรักษาความมัน่ คงปลอดภัยเทคโนโลยีสารสนเทศ เชน TI-CERT National-CERT
หรือชองทางอื่นๆ ที่มีการอัพเดตและเผยแพรขอ มูลภัยคุกคามสูสาธารณะ เปนตน

(2.4) บุคคล (People)

• บุคลากรภายในบริษทั เชน ผูใชงานระบบ ผูดูแลระบบ ผูดูแลระบบเครือขาย เจาหนาที่ดานความมั่นคงปลอดภัย เปนตน ซึ่งเมื่อไดรบั รายงาน
แลวจะตองมีการตรวจสอบขอเท็จจริงหรือยืนยันขอมูลทุกครั้ง
• บุคคลภายนอกบริษัท เชน รายงานจากผูใชงานภายนอกถึงหนาเว็บไซตที่ไมสามารถใชงานได เปนตน โดยบริษัทควรมีขั้นตอนในการรับ
รายงานและตรวจสอบขอมูลอยางละเอียดถี่ถวน

40

40

20
 3/17/2022

2. การตรวจจับและวิเคราะหภัยคุกคามทางไซเบอร (ตอ)
(3) การวิเคราะหเหตุการณภัยคุกคามทางไซเบอร ควรครอบคลุมอยางนอยดังตอไปนี้
(3.1) การจัดทําขอมูลเครือขายและระบบ (Profile Network and System) เพื่อ ใหสามารถระบุการเปลี่ยนแปลงที่เกิดขึ้น
จากการเขาถึงหรือใชงานเครือขายและระบบงานจากปกติได เชน การวัดปริมาณการใชงาน bandwidth ของเครือขายและ
บันทึกขอมูลระดับการใชงานเฉลี่ยและระดับสูงสุด ในแตละชวงเวลาเพื่อตรวจสอบพฤติกรรมการใชงานที่ผิดปกติของเครือขาย
(3.2) การศึกษาและเขาใจพฤติกรรมตามปกติของระบบ เครือขาย และแอพพลิเคชั่นเพื่อชวยในการสังเกตพฤติกรรมที่ผิดปกติ
โดยการตรวจสอบบันทึกเหตุการณ และการแจงเตือนดานความมั่นคงปลอดภัย เพื่อใหมีความคุนเคยและจะชวยใหการสังเกต
เหตุการณและการแจงเตือนที่ผิดปกติไดเร็วและแมนยํามากยิ่งขึ้น
(3.3) การจัดทํานโยบายการเก็บรักษาบันทึกเหตุการณ (Log Retention Policy)
(3.4) การตรวจสอบความสัมพันธของเหตุการณภัยคุกคาม (Event Correlation) โดยการตรวจสอบขอมูลบันทึกเหตุการณของ
เครื่องแมขายเพื่อหาความเชื่อมโยง เพื่อนําประกอบการพิจารณาวามีเหตุภัยคุกคามเกิดขึ้นจริงหรือไม
(3.5) การตั้งเวลาเครื่องแมขายใหเปนมาตรฐานเดียวกัน
(3.6) การจัดทําเอกสาร หรือฐานขอมูล ที่ใชเพื่ออางอิงสําหรับการดําเนินการวิเคราะหขอมูลภัยคุกคาม
(3.7) การเปดใชงานโปรแกรมสําหรับดักจับภัยคุกคาม (Packet Sniffer) เพื่อบันทึกหรือเก็บขอมูลการจราจรภายในเครือขาย
ของบริษัทเพิ่มเติม

41

41

2. การตรวจจับและวิเคราะหภัยคุกคามทางไซเบอร (ตอ)
(4) การลงบันทึกขอมูลเหตุการณภัยคุกคามทางไซเบอร (Cyber Incident Documentation)
• การบันทึกขอมูลเหตุการณภยั คุกคาม จะชวยใหการรับมือและตอบสนองภัยคุกคามมีประสิทธิภาพและเปน
ระบบมากขึ้น หนวยงานควรบันทึกขอมูลเกี่ยวกับเหตุการณที่เกิดขึ้นตั้งแตการตรวจพบจนถึงการสิน้ สุดของ
เหตุการณภัยคุกคาม โดยการบันทึกขอมูลเกี่ยวกับสถานะของเหตุการณภยั คุกคามและขอมูลที่เกี่ยวของ
อาจจัดเก็บในโปรแกรมประยุกตหรือฐานขอมูล เชน ระบบติดตามปญหา (Issues Tracking System) เพื่อ
ประโยชนในการติดตามเหตุการณ ขั้นตอนการจัดการ และแกไขเหตุภัยคุกคามเพื่อใหมั่นใจไดวาเหตุการณภัย
คุกคามที่เกิดขึ้นไดรับการจัดการแกไขภายในระยะเวลาที่เหมาะสม

42

42

21
 3/17/2022

43

43

44

44

22
 3/17/2022

2. การตรวจจับและวิเคราะหภัยคุกคามทางไซเบอร (Detection and Analysis) (ตอ)

(5) การจัดลําดับความรุนแรงของเหตุการณภัยคุกคามทางไซเบอร ควรคํานึงปจจัยดังตอไปนี้
• ผลกระทบตอการใหบริการ และการดําเนินงานของหนวยงานที่เกิดภัยคุกคาม โดยควรพิจารณาผลกระทบที่เกิดขึ้นทั้งใน
ปจจุบัน และผลกระทบที่มีโอกาสเกิดขึ้นหากเหตุการณภัยคุกคามยังไมถูกควบคุมโดยทันที
• ผลกระทบตอขอมูล ควรพิจารณา 3 ดาน ไดแก ดานการรักษาความลับ (Confidentiality) ดานการรักษาความครบถวน
(Integrity) และดานการรักษาสภาพพรอมใช (Availability) รวมทั้งควรพิจารณาวาเหตุการณภัยคุกคามสงผลตอการ
ดําเนินงานโดยรวมของบริษัทอยางไร และสงผลตอขอมูลสําคัญของบริษัท (Sensitive Information) อยางไร
• ความสามารถในการฟนฟูระบบ ควรพิจารณาจากระยะเวลาและทรัพยากรที่ตองใชในการฟนฟูระบบจากเหตุภัยคุกคาม
ซึ่งความรุนแรงของเหตุภัยคุกคามและประเภทของทรัพยสินสารสนเทศที่ไดรับผลกระทบจะเปนสวนสําคัญในการพิจารณา
ความสามารถในการฟนฟูระบบ

45

45

2. การตรวจจับและวิเคราะหภัยคุกคามทางไซเบอร (Detection and Analysis) (ตอ)

(6) การแจงเตือนเหตุภัยคุกคามทางไซเบอรแกผูที่เกี่ยวของ
ทีมรับมือและตอบสนองฯ ควรดําเนินการแจงขอมูลเกี่ยวกับเหตุภยั คุกคามกับผูที่เกี่ยวของเพื่อใหทุกคนสามารถดําเนินการตาม
หนาที่ความรับผิดชอบที่ไดกําหนดไว ทั้งนี้ บริษัทควรมีขอกําหนดเกี่ยวกับการแจงขอมูลเหตุภยั คุกคาม ขอมูลอะไรบางที่ตองรายงาน
รายงานตอใคร และเมื่อใด โดยอยางนอยควรกําหนดบุคคลผูรับรายงาน ขอมูลที่ตองรายงาน และเวลาที่ตองรายงาน รวมถึง
หนวยงานตางๆ ทั้งภายในและภายนอกที่ตองไดรับแจง
บุคลากรหรือหนวยงานที่ควรไดรับการแจงเหตุภัยคุกคาม มีดังตอไปนี้
• ผูบริหารเทคโนโลยีสารสนเทศระดับสูง (CIO) หรือเทียบเทา (กรณีไมมีตําแหนง CIO)
• ผูบริหารความมั่นคงปลอดภัยสารสนเทศ (CISO) หรือเทียบเทา (กรณีไมมีตาํ แหนง CISO)
• ทีมรับมือและตอบสนองตอเหตุการณอื่นๆ ของบริษัท
• ทีมรับมือและตอบสนองตอเหตุการณภายนอกบริษัท (ตามความเหมาะสม)
• เจาของระบบงาน
• ฝายทรัพยากรบุคคล (สําหรับกรณีที่เกี่ยวของกับพนักงาน เชน การลวงละเมิดทางอีเมล)
• ฝายสื่อสารองคกร (สําหรับเหตุการณที่จําเปนตองใหการประชาสัมพันธ)
• ฝายกฎหมาย (สําหรับเหตุการณที่อาจมีขอเกี่ยวของทางกฎหมาย)
• TI-CERT
46

46

23
 3/17/2022

Incident Response Life Cycle

NIST SP 800-61 Revision 2 Computer Security Incident Handling Guide

47

47

3. การรับมือและการตอบสนองตอเหตุการณภัยคุกคามทางไซเบอร

ประกอบดวย 3 ขั้นตอน ไดแก

(1) การควบคุมภัยคุกคามและจํากัดความเสียหาย (Containment)
(2) การกําจัดภัยคุกคาม (Eradication)
(3) การฟนฟูระบบ (Recovery)

48

48

24
 3/17/2022

3. การรับมือและการตอบสนองตอเหตุการณภัยคุกคามทางไซเบอร (ตอ)
(1) กําหนดแนวทางการควบคุมภัยคุกคามและจํากัดความเสียหายที่เกิดขึ้นจากเหตุการณภัยคุกคามทางไซเบอร
ซึ่งจะมีความแตกตางกันไปขึ้นกับลักษณะ ประเภทของภัยคุกคาม ระบบงานหรือบริการที่ไดรับผลกระทบ ระยะเวลา
และทรัพยากรที่จําเปนตอการควบคุมความเสียหาย
เกณฑประกอบการพิจารณากําหนดแนวทางการควบคุมภัยคุกคามและจํากัดความเสียหาย ควรพิจารณาอยางนอยใน
เรื่องดังตอไปนี้
• ความเสียหายที่อาจเกิดขึ้นและการโจรกรรมขอมูล
• ความจําเปนในการเก็บรักษาหลักฐาน
• ความพรอมใหบริการ เชน การเชื่อมตอเครือขาย การใหบริการกับบุคคลภายนอก เปนตน
• เวลาและทรัพยากรที่จําเปนในการดําเนินการ
• ประสิทธิผลของแนวทางในการควบคุมและจํากัดความเสียหาย เชน การควบคุมบางสวน หรือ การควบคุมทั้งหมด
• ระยะเวลาในการแกปญหา เชน การแกไขปญหาแบบฉุกเฉินภายใน 4 ชั่วโมง การแกไขปญหาแบบชั่วคราวภายใน 2 สัปดาห
และการแกไขปญหาแบบถาวร เปนตน

49

49

3. การรับมือและการตอบสนองตอเหตุการณภัยคุกคามทางไซเบอร (ตอ)
• นอกจากนี้ บริษัทควรเก็บรวบรวมหลักฐานที่เกิดขึ้นระหวางเกิดเหตุการณภยั คุกคาม เพื่อใชในการแกไขปญหาและ
จัดการเหตุภัยคุกคาม รวมทั้งเพื่อใชในกระบวนการทางกฎหมายหากจําเปน บริษัทควรจัดทําเอกสารรวบรวม
หลักฐานทั้งหมดที่ไดถูกบุกรุกโจมตี รวมถึงระบุขั้นตอนการเก็บรักษาหลักฐานที่เปนไปตามกฎหมายและระเบียบ
ขอบังคับ เพื่อใหสามารถใชเปนพยานหลักฐานไดในชั้นศาล นอกจากนี้ ควรมีการบันทึกหลักฐานทุกครั้งหากมีการ
ถายโอนหลักฐานจากบุคคลหนึ่งสูอีกคน และลงลายมือชื่อกํากับของแตละฝาย
• การจัดทําเอกสารรายละเอียดหลักฐานควรครอบคลุมอยางนอยดังนี้
• ขอมูลระบุพยานหลักฐาน เชน สถานที่ตั้ง หมายเลขซีเรียล (Serial Number)หมายเลขรุน (Model Number) ชื่อเครื่องแมขาย
ที่อยูสําหรับควบคุมการเขาใชงานสื่อกลาง (Media Access Control Addresses) และที่อยู IP ของคอมพิวเตอร เปนตน
• ชื่อ-สกุล และหมายเลขโทรศัพทของบุคคลที่เก็บรวบรวมหรือดูแลพยานหลักฐานในระหวางการสอบสวน
• วันที่และเวลาที่มีการดําเนินการกับพยานหลักฐานในแตละครั้ง
• สถานที่เก็บหลักฐาน

50

50

25
 3/17/2022

3. การรับมือและการตอบสนองตอเหตุการณภัยคุกคามทางไซเบอร (ตอ)
(2) การกําจัดภัยคุกคามทางไซเบอร (Eradication)
บริษทั ควรกําจัดตนเหตุของเหตุการณที่เปนอันตรายตอเครือขาย ระบบ หรือแอพพลิเคชั่น รวมถึงการกําจัดไฟลที่เกี่ยวของกับ
การโจมตีและการปดชองโหวที่ถูกใชในการโจมตี ทั้งนี้ การกําจัดภัยคุกคามมีวิธีที่แตกตางกันโดยขึ้นกับประเภทของเหตุภัยคุกคาม
ตัวอยางของวิธีการกําจัดภัยคุกคาม ดังนี้
(2.1) การลบมัลแวร (Malware) คือ การกักกัน ลบ แทนที่ หรือกูคืนไฟลที่ติดมัลแวร ซึ่งโดยสวนใหญ หนวยงานจะตองกูคืนระบบสารสนเทศใหมโดย
การติดตั้งระบบปฏิบัตกิ าร ระบบงาน และขอมูลจากสื่อบันทึกขอมูลที่เชื่อถือได และอาจรวมถึงการอัพเดตขอมูลคุณลักษณะเฉพาะของโปรแกรม
ปองกันไวรัส (antivirus signature) ใหเปนปจจุบัน
(2.2) การแกไขหรือลดผลกระทบจากชองโหว การแกไขชองโหวสามารถทําไดดวยการติดตั้ง แพตช (Patch) รุนลาสุดของระบบปฏิบตั ิการและ
ระบบงาน เพื่อปองกันการใชงานชองโหวที่เปนชองทางการโจมตี ทั้งนี้ หากระบบสารสนเทศไมสามารถติดตัง้ แพตช ไดดวยเหตุผลทางเทคนิคหรือ
เหตุผลในการปฏิบัติงาน ใหลดผลกระทบจากชองโหวโดยปรับปรุงการตั้งคา (configuration) ของระบบสารสนเทศใหสามารถปองกันหรือจํากัดความ
เสียหายจากเครื่องแมขายที่ติดมัลแวร หากกรณียังไมมี patch ใหใชวิธีแกไขปญหาหรือลดผลกระทบชั่วคราว
(2.3) การปรับปรุงการควบคุมการเขาถึงผูใชงานและเครือขาย เชน การลบบัญชีผูใชงานหรือผูดูแลระบบทีถ่ ูกบุกรุก การปรับปรุงการควบคุมการ
เขาถึงเครือขาย เชน การตั้งคาของระบบตรวจจับและปองกันการบุกรุก (IDPS) ไฟรวอลล (firewall) เปนตน การปรับปรุงการกําหนดคาพื้นฐาน
(baseline configuration) และการลบกลไกการเขาถึงอืน่ ๆ ที่ถูกใชโดยผูโจมตี

51

51

3. การรับมือและการตอบสนองตอเหตุการณภัยคุกคามทางไซเบอร (ตอ)

(3) การฟนฟูระบบ (Recovery)

• การฟนฟูระบบ เปนการกูคืนขอมูลหรือระบบ เพื่อทําใหระบบสารสนเทศ ขอมูล ความมั่นคงปลอดภัยของ
ระบบและเครือขายกลับสูส ถานะปกติ ดวยการติดตั้งระบบปฏิบัติการ ระบบงาน และขอมูลจากสื่อบันทึกขอมูล
ที่เชื่อถือได พรอมทั้งมีกลไกติดตามการดําเนินการเพื่อปองกันการเกิดเหตุภยั คุกคามที่มีความคลายคลึงกันขึ้น
อีกในอนาคต การฟนฟูระบบมีวิธีการที่แตกตางกันขึ้นอยูกับประเภทของเหตุภัยคุกคาม เชน การติดตั้งระบบ
ใหมจากตนฉบับหรือติดตั้งจากขอมูลที่สํารองที่เชื่อถือได การเปลี่ยนรหัสผานของระบบ การติดตั้งแพตช
(Patch) ใหเปนเวอรช่นั ปจจุบัน และการปรับปรุงความมั่นคงปลอดภัยของเครือขาย เปนตน ทั้งนี้ ในกรณีที่การ
กูคืนขอมูลและระบบที่เสียหายเสร็จสิ้น ผูดูแลระบบควรทําการยืนยันวาระบบสามารถกลับมาทํางานได
ตามปกติใหผูท่เี กี่ยวของทราบ

52

52

26
 3/17/2022

Incident Response Life Cycle

NIST SP 800-61 Revision 2 Computer Security Incident Handling Guide

53

53

4. การดําเนินการหลังจากการรับมือภัยคุกคามและตอบสนองตอเหตุการณผิดปกติทางไซเบอร
4.1 การเรียนรูจากภัยคุกคาม (Lessons Learned)
• บริษทั ควรมีการเรียนรูจากเหตุภัยคุกคามที่เกิดขึ้น เพื่อนํามาปรับปรุงและพัฒนาแนวทางในการรับมือและตอบสนองตอภัย
คุกคามทางไซเบอร รวมทั้งจัดสรรทรัพยากรและเทคโนโลยีใหมีความพรอมตอการรับมือเหตุภยั คุกคามตอไปในอนาคต
นอกจากนี้ บริษัทควรจัดใหมีการประชุมของฝายหรือหนวยงานที่มีความเกี่ยวของกับเหตุการณภัยคุกคามทางไซเบอรที่เกิดขึ้น
โดยวัตถุประสงคของการประชุมเพื่อใหทุกหนวยงานที่เกี่ยวของไดมีการแลกเปลี่ยนขอมูล รวมทั้งทบทวนเหตุภัยคุกคาม และ
วิธีการรับมือและตอบสนองตอภัยคุกคามที่เกิดขึ้น
• ตัวอยางประเด็นคําถามที่บริษัทสามารถพิจารณาปรับใชประกอบการประชุมแลกเปลี่ยนขอมูลหลังจากการรับมือภัยคุกคาม
และตอบสนองตอเหตุการณผดิ ปกติทางไซเบอร เชน
• เหตุภัยคุกคามที่เกิดขึ้นคืออะไร เกิดขึ้นเมื่อเวลาใดบาง
• เจาหนาที่และฝายบริหารสามารถรับมือภัยคุกคามไดดีเพียงใด การดําเนินการเปนไปตามขั้นตอนการปฏิบัติงานที่กําหนดไวหรือไม
• ขอมูลอะไรบางที่จําเปนตองไดรับรายงานภายในระยะเวลาอันสั้น เพื่อเพิ่มประสิทธิภาพในการรับมือและตอบสนองตอเหตุการณ
• มีข้นั ตอนหรือการดําเนินการใดๆ ที่อาจเปนอุปสรรคหรือไมสอดคลองกับขั้นตอนของการฟนฟูระบบหรือไม
• เจาหนาที่และฝายบริหาร มีแนวทางดําเนินการเพิ่มเติมหรือแตกตางไปจากเดิม หากเกิดภัยคุกคามที่มีรูปแบบคลายคลึงกันเกิดขึ้นในครั้งตอไป
• การแลกเปลี่ยนขอมูลกับหนวยงานอื่นๆ สามารถปรับปรุงใหดีขึ้นไดอยางไร
• แนวทางการดําเนินการแกไข (corrective action) ที่สามารถเพิ่มเติมเพื่อปองกันภัยคุกคามที่คลายคลึงกันในอนาคตได
• สัญญาณอะไรบางที่สามารถนํามาใชเพื่อตรวจจับภัยคุกคามที่มีลักษณะคลายคลึงกันซึ่งอาจเกิดขึ้นในอนาคต
• เครื่องมือหรือทรัพยากรที่มีความจําเปนตองไดรับการจัดสรรเพิ่มเติม เพื่อใชดําเนินการในการตรวจจับ วิเคราะห และบรรเทาเหตุภัยคุกคามที่อาจเกิดขึ้นในอนาคต
54

54

27
 3/17/2022

4. การดําเนินการหลังจากการรับมือภัยคุกคามและตอบสนองตอเหตุการณผิดปกติทางไซเบอร (ตอ)
4.2 การวัดผลและปรับปรุงการปฏิบตั ิงานในการรับมือภัยคุกคามและตอบสนองตอเหตุการณผิดปกติทางไซเบอร
(1) จํานวนเหตุการณภัยคุกคามทางไซเบอรที่รับมือตอเดือน/ไตรมาส/ป
(2) ระยะเวลาในการรับมือและตอบสนองตอเหตุการณ สามารถวัดไดหลายวิธี เชน
1) ระยะเวลาทั้งหมดที่ใชในการรับมือและตอบสนอง
2) ระยะเวลาที่ใชในการดําเนินการในแตละชวงของกระบวนการรับมือและตอบสนองในแตละขั้นตอน
3) ระยะเวลาที่ทีมรับมือฯ ใชในการตอบสนองหลังจากที่ไดรับรายงานภัยคุกคาม 4) ระยะเวลาที่ทีมรับมือฯ ใชในการรายงานภัยคุกคามตอผูบริหาร หรือหนวยงาน
ภายนอกที่เกี่ยวของ เชน TI-CERT เปนตน
(3) การประเมินกระบวนการรับมือในแตละเหตุการณ (Objective Assessment) ตัวอยางของการประเมิน เชน
• การตรวจทานบันทึกเหตุการณ (log) แบบฟอรม รายงาน และเอกสารอื่นๆ ที่เกี่ยวของกับภัยคุกคาม เพื่อใหการปฏิบัติงานเปนไปตามขั้นตอนการรับมือภัยคุกคามทางไซเบอรที่กําหนดไว
• การระบุวาสัญญาณการเกิดเหตุภัยคุกคามอะไรบางที่บันทึกไว เพื่อพิจารณาวาการบันทึกเหตุการณและระบุเหตุภัยคุกคามมีประสิทธิภาพเพียงใด
• การพิจารณาวาภัยคุกคามที่เกิดขึ้นกอใหเกิดความเสียหายกอนที่จะตรวจพบหรือไม
• การพิจารณาวามีการระบุสาเหตุที่แทจริงของภัยคุกคามไวหรือไม และการระบุชองทางการโจมตี ชองโหวที่เปดเผย และลักษณะของระบบ เครือขาย และแอพพลิเคชั่นที่เปนถูกโจมตี
• การพิจารณาวาภัยคุกคามเปนการเกิดขึ้นอีกครั้งของภัยคุกคามกอนหนาหรือไม
• การประเมินความเสียหายทางการเงินจากภัยคุกคามที่เกิดขึ้น เชน ขอมูลและกระบวนการทางธุรกิจที่สําคัญที่ไดรับผลกระทบจากภัยคุกคาม
(4) การประเมินประสิทธิภาพของทีมรับมือและตอบสนองฯ (Subjective Assessment) บริษัทอาจกําหนดใหมีการประเมินผลการปฏิบัติงานของ
ทีมรับมือและตอบสนองฯ ทั้งในรูปแบบรายบุคคล หรือ ทั้งทีม รวมทั้งอาจใหเจาของระบบงานที่ระบบถูกโจมตีเปนผูทําการประเมินการปฏิบัติหนาที่
ของทีมรับมือและตอบสนองฯ ก็ได เพื่อประกอบการพิจารณาวาประสิทธิภาพของการรับมือใหผลลัพธเปนที่นาพอใจหรือไม
55

55

Cybersecurity Incident & Vulnerability Response Playbooks Operational Procedures for Planning and
Conducting Cybersecurity Incident and Vulnerability Response Activities in FCEB Information Systems
56

56

28
 3/17/2022

57

57

Communications Considerations

58

58

29
 3/17/2022

59

59

60

60

30
 3/17/2022

61

61

62

62

31
 3/17/2022

63

63

64

64

32
 3/17/2022

65

65

ขอขอบพระคุ ณ ทุ ก ท า น
ที่ ร ว มกิ จ กรรม

66

66

33