Professional Documents
Culture Documents
NCSA IRP+Communication 17mar2022 v1.0
NCSA IRP+Communication 17mar2022 v1.0
แนวทางการวางแผนและจัดทําแผนการสื่อสารในภาวะวิกฤตเพื่อตอบสนองตอเหตุการณฯ
ตามกรอบมาตรฐาน (มาตรการเผชิญเหตุ)
แนวทางจัดทํา/ทบทวนแผนการรับมือภัยคุกคามทางไซเบอรตามประมวลแนวทาง และ
ภาคปฏิบัติ (แผนการตรวจสอบ)
รองศาสตราจารย ดร.พงษพิสิฐ วุฒิดษิ ฐโชติ
ภาควิชาการบริหารเครือขายดิจิทัลและความมั่นคงปลอดภัยสารสนเทศ
Department of Digital Network and Information Security Management (DNS)
คณะเทคโนโลยีสารสนเทศและนวัตกรรมดิจิทัล
มหาวิทยาลัยเทคโนโลยีพระจอมเกลาพระนครเหนือ (มจพ.)
Pongpisit.w@itd.kmutnb.ac.th
Line ID: pongpisitw
Outline
(ราง) นโยบายบริหารจัดการที่เกี่ยวกับ
การรักษาความมั่นคงปลอดภัยไซเบอร
ประมวลแนวทางปฏิบัติและกรอบมาตรฐาน
ดานการรักษาความมั่นคงปลอดภัยไซเบอร
แผนการรับมือภัยคุกคามทางไซเบอร
แผนการสื่อสารในภาวะวิกฤต
1
3/17/2022
มาตรา 13 คณะกรรมการกํากับดูแลดานความมั่นคง
ปลอดภัยไซเบอร (กกม.) มีหนาที่และอํานาจ ประมวลแนวทางปฏิบัติและ
กรอบมาตรฐานดานการรักษา
(4) กําหนดประมวลแนวทางปฏิบัติและกรอบมาตรฐานดานการรักษา ความมั่นคงปลอดภัยไซเบอร
ความมั่นคงปลอดภัยไซเบอรอันเปนขอกําหนดขั้นต่ําในการดําเนินการ
ดานการรักษาความมั่นคงปลอดภัยไซเบอร สําหรับหนวยงานของรัฐ
และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ รวมทั้งกําหนด
มาตรการในการประเมินความเสี่ยง การตอบสนองและรับมือกับภัย
คุกคามทางไซเบอร เมื่อมีภัยคุกคามทางไซเบอรหรือเหตุการณที่สงผล
กระทบหรืออาจกอใหเกิดผลกระทบหรือความเสียหายอยางมีนยั สําคัญ
หรืออยางรายแรงตอระบบสารสนเทศของประเทศ เพื่อใหการรักษา
ความมั่นคงปลอดภัยไซเบอรปฏิบัติไดอยางรวดเร็ว มีประสิทธิภาพ
และเปนไปในทิศทางเดียวกัน
2
3/17/2022
ประมวลแนวทางปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร
มาตรา 44 ประมวลแนวทางปฏิบัติดานการรักษาความมั่นคงปลอดภัยไซเบอรตามวรรคหนึ่ง อยางนอยตองประกอบดวยเรื่อง ดังตอไปนี้
(1) แผนการตรวจสอบและประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอรโดยผูตรวจประเมิน ผูตรวจสอบภายใน หรือ
ผูตรวจสอบอิสระจากภายนอก อยางนอยปละหนึ่งครั้ง
(2) แผนการรับมือภัยคุกคามทางไซเบอร
3. แผนการรับมือภัยคุกคามทางไซเบอร
3.1 ตองจัดทําแผนการรับมือภัยคุกคามทางไซเบอร (Cybersecurity Incident Response Plan) ที่กาํ หนดวาควร
ตอบสนองตอเหตุการณที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอรอยางไร โดยแผนการรับมือภัยคุกคามทางไซเบอร
ตองระบุรายละเอียดอยางนอย ดังนี้
(ก) โครงสรางทีมรับมือเหตุการณที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร (Cyber Incident Response Team: CIRT) รวมถึง
บทบาทและความรับผิดชอบที่กําหนดไวอยางชัดเจนของสมาชิกในทีมแตละคนและรายละเอียดการติดตอ
(ข) โครงสรางการรายงานเหตุการณ (Incident Reporting Structure) ซึ่งกําหนดวา หนวยงานของรัฐ และหนวยงาน
โครงสรางพื้นฐานสําคัญทางสารสนเทศจะปฏิบัติตามภาระหนาที่ในการรายงานภายใตพระราชบัญญัติ และกฎหมายยอยใด ๆ
ที่ทาํ ขึ้นภายใตกฎหมายดังกลาว ตลอดจนภาระหนาที่ในการรายงานภายใตกฎหมาย และขอกําหนดดานกฎระเบียบที่เกีย่ วของ
กับโครงสรางพื้นฐานสําคัญทางสารสนเทศ
(ค) เกณฑและขั้นตอนในการเรียกใชงาน (Activate) การตอบสนองตอเหตุการณและ CIRT
(ง) ขั้นตอนจํากัดขอบเขต (Containment) ผลกระทบของเหตุการณที่เกี่ยวกับความมัน่ คงปลอดภัยไซเบอร
(จ) ...
6
3
3/17/2022
3. แผนการรับมือภัยคุกคามทางไซเบอร (ตอ)
(จ) การเรียกใชงานกระบวนการกูคนื (Recovery Process)
(ฉ) ขั้นตอนในการสอบสวน (Investigate) สาเหตุและผลกระทบของเหตุการณ
(ช) ขั้นตอนการเก็บรักษาหลักฐาน (Preservation of Evidence) กอนเริ่มกระบวนการกูคืน ซึ่งรวมถึงการไดมาของ
บันทึกการยึดหลักฐานคอมพิวเตอรที่ไดมา หรืออุปกรณอื่น ๆ เพื่อสนับสนุนการสอบสวน
(ช) ระเบียบวิธีการมีสวนรวม (Engagement Protocols) กับบุคคลภายนอก หรือแนวปฏิบัติ การบริหารจัดการ
บุคคลภายนอก ซึ่งรวมถึงรายละเอียดการติดตอ ตัวอยางเชน ผูขายสําหรับบริการ ดานนิติวิทยาศาสตร/การกูคืนและ
การบังคับใชกฎหมายเพื่อดําเนินคดี และ
(ฌ) กระบวนการทบทวนหลังการดําเนินการ (After-Action Review Process) เพื่อระบุ และแนะนําใหปรับปรุงการ
ดําเนินการเพื่อปองกันการเกิดซ้ํา
3. แผนการรับมือภัยคุกคามทางไซเบอร (ตอ)
3.2 ตองตรวจสอบใหแนใจวาแผนการรับมือภัยคุกคามทางไซเบอรไดรับการสื่อสารอยางมีประสิทธิผลไปยัง
บุคลากรที่เกี่ยวของทั้งหมดที่สนับสนุนบริการสําคัญของหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญ
ทางสารสนเทศ
3.3 ตองทบทวนแผนการรับมือภัยคุกคามทางไซเบอร อยางนอยปละหนึ่ง (๑) ครั้ง โดยนับตั้งแตวันที่แผนไดรับ
การอนุมตั ิ
3.4 ตองทบทวนแผนการรับมือภัยคุกคามทางไซเบอร เมื่อมีการเปลี่ยนแปลงอยางมีนัยสําคัญ ในสภาพแวดลอม
การปฏิบัติการทางไซเบอรของบริการที่สําคัญของหนวยงานของรัฐและหนวยงาน โครงสรางพื้นฐานสําคัญทาง
สารสนเทศ หรือขอกําหนดในการตอบสนองตอเหตุการณท่เี กี่ยวกับความมั่นคงปลอดภัยไซเบอร
4
3/17/2022
กรอบมาตรฐานดานการรักษาความมั่นคงปลอดภัยไซเบอร
3. มาตรการตรวจสอบและเฝาระวังภัยคุกคามทาง
1. การระบุความเสี่ยงที่อาจจะเกิดขึ้นแก 2. มาตรการปองกันความเสี่ยงที่ ไซเบอร (Detect)
คอมพิวเตอร ขอมูลคอมพิวเตอร ระบบ อาจจะเกิดขึ้น (Protect) 3.1 การตรวจสอบและเฝาระวังภัยคุกคามทาง
คอมพิวเตอร ขอมูลอื่นที่เกี่ยวของกับระบบ 2.1การควบคุมการเขาถึง (Access ไซเบอร (Cyber Threat Detection and
คอมพิวเตอร ทรัพยสินและชีวิตรางกาย Control) Monitoring)
ของบุคคล (Identify) 2.2การทําใหระบบมีความแข็งแกรง 4. มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคาม
1.1 การจัดการทรัพยสิน (Asset (System Hardening) ทางไซเบอร (Respond)
Management) 2.3การเชื่อมตอระยะไกล (Remote
4.1 แผนการรับมือภัยคุกคามทางไซเบอร
1.2 การประเมินความเสี่ยงและกลยุทธ Connection)
(Cybersecurity Incident Response Plan)
ในการจัดการความเสี่ยง (Risk 2.4สื่อเก็บขอมูลแบบถอดได
4.2 แผนการสื่อสารในภาวะวิกฤต (Crisis
Assessment and Risk (Removable Storage Media)
Communication Plan)
Management Strategy) 2.5การสรางความตระหนักรูดาน
4.3 การฝกซอมความมั่นคงปลอดภัยไซเบอร
1.3 การประเมินชองโหว และการ ความมั่นคงปลอดภัยไซเบอร
(Cybersecurity exercise)
ทดสอบเจาะระบบ (Vulnerability (Cybersecurity Awareness)
Assessment and Penetration 2.6การแบงปนขอมูล (Information 5.มาตรการรักษาและฟนฟูความเสียหายที่เกิดจาก
Testing) Sharing) ภัยคุกคามทางไซเบอร (Recover)
1.4 การจัดการผูใหบริการภายนอก 5.1 การรักษาและฟนฟูความเสียหายที่เกิดจาก
(Third Party Management) ภัยคุกคามทางไซเบอร (Cybersecurity
10
Resilience and Recovery
10
5
3/17/2022
4. มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร (Respond)
4.1 แผนการรับมือภัยคุกคามทางไซเบอร (Cybersecurity Incident Response Plan)
4.1.1 ตองมีการจัดทํา สื่อสาร ฝกซอม ทบทวน และปรับปรุง แผนการรับมือภัยคุกคามทางไซเบอร ตามที่ระบุไวในประมวล
แนวทางปฏิบตั ิการรักษาความมั่นคงปลอดภัยไซเบอร อยางนอยปละหนึ่ง (1) ครั้ง เพื่อใหแนใจวาแผนการรับมือภัยคุกคามทาง
ไซเบอรสามารถดําเนินการไดอยางมีประสิทธิภาพและประสิทธิผล
11
11
12
6
3/17/2022
4. มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร (Respond)(ตอ)
4.3 การฝกซอมความมั่นคงปลอดภัยไซเบอร (Cybersecurity exercise)
4.3.1 ตามมาตรา 22(13) หนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญ ทางสารสนเทศตองมีสวนรวมในการฝกซอม
ความมั่นคงปลอดภัยไซเบอรหากไดรับคําสัง่ เปนลายลักษณอกั ษรใหทําโดยคณะกรรมการ การฝกซอมการรักษาความมั่นคง
ปลอดภัยไซเบอรดังกลาวอาจดําเนินการไดทั้งในระดับชาติหรือระดับภาคสวน หนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐาน
สําคัญทางสารสนเทศตองตรวจสอบใหแนใจวาบุคลากรที่เกี่ยวของที่ระบุไวในแผนการรับมือภัยคุกคามทางไซเบอรมีสว นรวมใน
การฝกซอมความมั่นคงปลอดภัยไซเบอรดังกลาว
4.3.2 ตองปฏิบัติตามคําขอใด ๆ ของคณะกรรมการเพื่อใหขอมูลที่เกี่ยวของกับบริการ ที่สําคัญหนวยงานของรัฐ และหนวยงาน
โครงสรางพื้นฐานสําคัญทางสารสนเทศ เพื่อวัตถุประสงคในการวางแผนและดําเนินการฝกซอมความมั่นคงปลอดภัยไซเบอร
ขอมูลที่คณะกรรมการอาจรองขอภายใตขอนี้รวมถึงแผนการรับมือภัยคุกคามทางไซเบอรและแผนการสือ่ สารในภาวะวิกฤตที่
กําหนดขึ้นตามขอ 4.1 และ 4.2 ขั้นตอนการปฏิบัติงานมาตรฐานที่เกี่ยวของกับการดําเนินงานของบริการที่สาํ คัญของหนวยงาน
ของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ
13
13
14
14
7
3/17/2022
https://www.oic.or.th/th/consumer/RM_Survey
15
15
16
16
8
3/17/2022
17
17
18
18
9
3/17/2022
19
19
20
20
10
3/17/2022
21
21
22
22
11
3/17/2022
23
23
แผนรับมือภัยคุกคามและตอบสนองตอเหตุการณผดิ ปกติทางไซเบอร
(Cyber Incident Response Plan: CIRP)
• แผนรับมือภัยคุกคามและตอบสนองตอเหตุการณผิดปกติทางไซเบอร เปนแผนงานที่กําหนดเปน
ลายลักษณอักษร แสดงถึงวิธีปฏิบัตเิ พื่อตอบสนองเมื่อเกิดเหตุภัยคุกคามทางไซเบอร โดยควร
สอดคลองและเชื่อมโยงกับแผน BCP ของบริษทั
• ครอบคลุมระบบงานดานเทคโนโลยีสารสนเทศที่สาํ คัญ โดยไดรับอนุมัติ จากคณะกรรมการของ
บริษัท หรือ คณะกรรมการชุดยอยที่ไดรับมอบหมาย และไดรับการทบทวนอยางนอยปละ 1 ครั้ง
หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคัญ
• นอกจากนี้ แผน CIRP ควรครอบคลุมตั้งแตกระบวนการจัดการ การเตรียมความพรอมในการ
รับมือและการตอบสนองตอเหตุการณ และการรายงานเหตุการณภัยคุกคามทาง ไซเบอรท่อี าจ
กอใหเกิดความเสียหายหรือสงผลกระทบตอระบบคอมพิวเตอร ขอมูลคอมพิวเตอร หรือขอมูลอื่น
ที่เกี่ยวของ
24
24
12
3/17/2022
แผนรับมือภัยคุกคามและตอบสนองตอเหตุการณผดิ ปกติทางไซเบอร
(Cyber Incident Response Plan: CIRP) (ตอ)
ทั้งนี้ บริษัทควรพิจารณาจัดใหมีบุคลากรหรือทีมงานที่ทาํ หนาที่รบั ผิดชอบในการรับมือและตอบสนองตอ
เหตุการณผิดปกติทางไซเบอร (Cyber Incident Response Team) โดยอยางนอย ทีมรับมือและตอบสนองฯ
ควรประกอบดวยบุคลากรดังตอไปนี้
1) บุคลากรที่ทําหนาที่รับแจงเหตุหรือรับรายงานดานความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศจากผูที่พบหรือสงสัยวามี
เหตุภัยคุกคามเกิดขึ้นภายในองคกร โดยควรจัดใหมีชองทางในการรายงาน เชน ชองทางอีเมล โทรศัพท โทรสาร แบบฟอรมบน
เว็บไซต ระบบที่รวบรวมขอมูลอัตโนมัติ และการสื่อสารทางตรง เปนตน
2) บุคลากรที่ทําหนาที่รับผิดชอบในการรับมือและตอบสนองตอเหตุการณผิดปกติทางไซเบอร ทั้งนี้ บริษัทอาจพิจารณาเพิ่ม
จํานวนบุคลากรที่มีความเชี่ยวชาญตามความเหมาะสมของความเสี่ยงและระดับความรุนแรงของภัยคุกคามที่อาจเกิดขึ้น โดยอาจ
จัดหาบุคลากรที่มีทักษะทางเทคนิคที่จําเปนตอการรับมือและตอบสนองตอภัยคุกคามทางไซเบอร เชน การตรวจจับภัยคุกคาม
การวิเคราะหโปรแกรมไมประสงคดี (Malware) การบริหารจัดการระบบและเครือขาย การสนับสนุนทางเทคนิค เปนตน
25
25
แผนรับมือภัยคุกคามและตอบสนองตอเหตุการณผดิ ปกติทางไซเบอร
(Cyber Incident Response Plan: CIRP) (ตอ)
• ทั้งนี้ บริษัทสามารถดําเนินการใชบริการ Security Operation Center (SOC) จากผูใหบริการ
ภายนอกได ในการปฏิบัติงานดังกลาวได โดยบริษัทควรกําหนดเงื่อนไขใหผูบริการภายนอกปฏิบัติ
ตามนโยบายการรักษาความปลอดภัยของบริษัท พรอมทั้งมีการประเมินความความเสี่ยงจากการ
ใชผูใหบริการภายนอก รวมถึงตรวจสอบและติดตามการใหบริการอยางสม่ําเสมอ
26
26
13
3/17/2022
แผนรับมือภัยคุกคามและตอบสนองตอเหตุการณผดิ ปกติทางไซเบอร
(Cyber Incident Response Plan: CIRP) (ตอ)
แผนรับมือภัยคุกคามและตอบสนองตอเหตุการณผดิ ปกติทางไซเบอร ควรระบุข้นั ตอนการรับมือและตอบสนอง
เหตุการณที่ชัดเจน เพื่อใหสามารถดําเนินการไดอยางรวดเร็วและงายตอการปฏิบัติ โดยอยางนอย ควรครอบคลุม
• ชื่อแผน วัตถุประสงค และขอบเขต
• โครงสรางของการบังคับบัญชาในการดําเนินการตามแผน ผูปฏิบัติหนาที่และความรับผิดชอบ และ ผูปฏิบัติหนาที่แทนใน
กรณีผูปฏิบัติหนาที่หลักที่ไดรับมอบหมายไมสามารถปฏิบัติงานได รวมถึงบันทึกการบันทึกการเปลี่ยนแปลงของแผน
• รายละเอียดของระบบเทคโนโลยีสารสนเทศ เชน โครงสรางสถาปตยกรรมเครือขาย เปนตน
• ขั้นตอนการรับมือภัยคุกคามและตอบสนองตอเหตุการณผิดปกติทางไซเบอร และแผนการสื่อสารใหหนวยงานที่เกี่ยวของ
รับทราบ
• ขั้นตอนการกูคืนระบบ โดยจัดทําเปนเอกสารหรือ คูมือ หรือ Checklist เพื่อควบคุมกระบวนการใหเปนไปตามขั้นตอนที่
กําหนดไว
27
27
28
28
14
3/17/2022
ขั้นตอนการรับมือภัยคุกคามและตอบสนองตอเหตุการณผิดปกติทาง
ไซเบอร
บริษัทควรกําหนดขั้นตอนการรับมือและ
ตอบสนองตอเหตุการณผิดปกติทางไซเบอร
สามารถแบงไดเปน 4 ขั้นตอนอยางนอย ดังนี้
1. การเตรียมความพรอม (Preparation)
2. การตรวจจับและวิเคราะหภัยคุกคามทาง
ไซเบอร (Detection and Analysis)
3. การรับมือและการตอบสนองตอเหตุการณ
ภัยคุกคามทางไซเบอร
4. การดําเนินการหลังจากการรับมือภัยคุกคาม
Incident Response Life Cycle
และตอบสนองตอเหตุการณผดิ ปกติทางไซเบอร
(Post Cyber Incident Activity) NIST SP 800-61 Revision 2 Computer Security Incident Handling Guide
29
29
1. การเตรียมความพรอม (ตอ)
1.1 การกําหนดและจัดเตรียมทรัพยากรและเครื่องมือที่จําเปนตอการรับมือและตอบสนองตอภัยคุกคามทางไซเบอร
รวมถึงการกําหนดแนวทางการติดตอสื่อสารอยางเปนระบบ บริษัทควรมีเครื่องมือสําหรับทําการวิเคราะหเหตุการณภัย
คุกคามทางไซเบอร และมีการกําหนดแนวทางรักษาความปลอดภัยของระบบแมขาย (Host Security) ควรติดตั้ง
โปรแกรม (Software) เพื่อตรวจจับและยับยัง้ โปรแกรมไมประสงคดี (Malware) ภายในระบบเทคโนโลยีสารสนเทศ
ขององคกร ระบบปฏิบัตกิ าร ระบบโปรแกรมที่ใชงาน (Application) และระบบโปรแกรมงานสําหรับลูกคา
(Application Clients) รวมถึงมีกระบวนการประเมินความเสีย่ งของระบบเทคโนโลยีสารสนเทศและระบบงานที่สําคัญ
ขององคกร โดยอยางนอยเครื่องมือและทรัพยากรที่จําเปนตอการรับมือและตอบสนองตอภัยคุกคามทางไซเบอรควร
ครอบคลุม ดังนี้
(1) เครื่องมือและสิ่งอํานวยความสะดวกในการสื่อสารของบุคลากรผูทําหนาที่รับมือและตอบสนองตอเหตุภัยคุกคามทางไซเบอร
(2) อุปกรณและซอฟตแวรสําหรับวิเคราะหเหตุภัยคุกคามทางไซเบอร
(3) แหลงขอมูลในการวิเคราะหเหตุภัยคุกคามทางไซเบอร (Cyber Incident Analysis Resources)
(4) ซอฟตแวรสําหรับการบรรเทาเหตุภัยคุกคาม
30
30
15
3/17/2022
1. การเตรียมความพรอม (ตอ)
(1) เครื่องมือและสิ่งอํานวยความสะดวกในการสื่อสารของบุคลากรผูทําหนาที่รับมือและตอบสนองตอเหตุภัย
คุกคามทางไซเบอร
(1.1) รายชื่อและชองทางการติดตอสําหรับสมาชิกภายในทีมรับมือภัยคุกคามทางไซเบอร รวมถึงหนวยงานอื่นๆ ที่จําเปนตอ
การรับมือเหตุทั้งภายในและภายนอกองคกร (รายชื่อผูรับผิดชอบหลัก และรายชื่อสํารอง) เชน ฝายรักษาความมั่นคงปลอดภัย
ดานเทคโนโลยีสารสนเทศ ฝายบริหารความเสี่ยง ฝายสื่อสารองคกร ฝายทรัพยากรบุคคล และคูคาของบริษัท เปนตน
(1.2) รายชื่อและชองทางการติดตอสําหรับทีมหรือหนวยงานภายในองคกรในกรณีที่มีการยกระดับความรุนแรงของเหตุการณ
โดยสามารถใหความชวยเหลือหรือรับชวงตอในการรับมือไดทันทวงทีหลังไดรับการแจง
(1.3) ชองทางการรายงานเหตุการณ เชน หมายเลขโทรศัพท อีเมล แบบรายงานออนไลน และระบบการสงขอความทันทีที่มี
เหตุการณกระทบตอความมั่นคงปลอดภัย เพื่อใหผูใชงานทั่วไปสามารถใชในการรายงานเหตุการณที่เขาขายจะเปนภัยคุกคาม
ทางไซเบอร
(1.4) ระบบในการรายงานและติดตามขอมูล สถานะการดําเนินการของเหตุการณที่ไดรับแจง
(1.5) โปรแกรมเขารหัส (Encryption Software) เพื่อเพิ่มความปลอดภัยในการสื่อสารทั้งระหวางภายในและภายนอกองคกร
(1.6) หองประชุม (War Room) สําหรับการสื่อสารและประสานงานระหวางสวนกลางและหนวยงานที่เกี่ยวของ ซึ่งอาจเปน
หองประชุมที่ใชงานชั่วคราวเพื่อการรับมือภัยคุกคามทางไซเบอรก็ได
(1.7) สถานที่จัดเก็บที่มีความมั่นคงปลอดภัยเพื่อใชในการจัดเก็บหลักฐาน ขอมูลและพยานวัตถุอื่นๆ ที่สําคัญ
31
31
1. การเตรียมความพรอม (ตอ)
(2) อุปกรณและซอฟตแวรสําหรับวิเคราะหเหตุภัยคุกคามทางไซเบอร
(2.1) เครื่องคอมพิวเตอร หรืออุปกรณสํารองขอมูล ที่ใชงานเพื่อการจัดเก็บขอมูลบันทึกเหตุการณ (Log Files) หรือสราง Disk
Image หรือบันทึกขอมูลเหตุการณที่เกี่ยวของอื่นๆ โดยเฉพาะ
(2.2) เครื่องมือสําหรับตรวจจับและวิเคราะหขอมูลในเครือขายคอมพิวเตอร (Packet Sniffers and Protocol Analyzers)
เพื่อเก็บขอมูลและวิเคราะหการดักจับขอมูลที่ผานไปมาระหวางเครือขาย
(2.3) เครื่องคอมพิวเตอรสํารอง เซิรฟเวอร และอุปกรณเครือขายที่สามารถใชทดแทนเครื่องคอมพิวเตอรหรืออุปกรณหลักได
ซึ่งสามารถใชเพื่อสําหรับสนับสนุนการวิเคราะหเหตุภัยคุกคามทางไซเบอร
(2.4) อุปกรณที่ใชในการรวบรวมหลักฐาน เชน โนตบุก กลองดิจิตอล เครื่องบันทึกเสียง แบบบันทึกขอมูลผูครอบครอง
พยานหลักฐาน เปนตน เพื่อเก็บหลักฐานสําหรับการดําเนินการทางกฎหมาย
32
32
16
3/17/2022
1. การเตรียมความพรอม (ตอ)
(3) แหลงขอมูลในการวิเคราะหเหตุภยั คุกคามทางไซเบอร (Cyber Incident Analysis Resources)
(3.1) รายการพอรตชองทางการแลกเปลี่ยนขอมูลผานอินเตอรเน็ตหรือระบบเครือขายคอมพิวเตอร (Port Lists) ตั้งแตพอรตที่
ใชงานทั่วไปจนถึงพอรตที่เสี่ยงตอการถูกโจมตี
(3.2) เอกสารหรือคูมือการใชงานของระบบปฏิบัติการ แอพพลิเคชั่น โปรโตคอลที่ใชในการสื่อสารระหวางเครื่องคอมพิวเตอร
ซอฟตแวรสําหรับตรวจจับการบุกรุก และซอฟตแวรปองกันไวรัส
(3.3) แผนผังเครือขายและรายการทรัพยสินทางสารสนเทศที่สําคัญ เชน ฐานขอมูล เปนตน
(3.4) คาปกติ (Current Baseline) ของระบบ เครือขาย และแอพพลิเคชั่น
(3.5) คา hash ของไฟลที่มีความสําคัญ เพื่อเพิ่มความเร็วในการวิเคราะห การตรวจสอบ และกําจัดภัยคุกคามที่เกิดขึ้น
(4) ซอฟตแวรสําหรับการบรรเทาเหตุภัยคุกคาม
ไฟล disk image ของระบบปฏิบัติการ (OS) และแอพพลิเคชั่น (Application) เพื่อใชในการกูคืนและฟนฟูระบบ
33
33
1. การเตรียมความพรอม (ตอ)
1.2 การปองกันเหตุภัยคุกคามทางไซเบอร (เครือขาย ระบบ และแอพพลิเคชั่น)
สิ่งสําคัญที่สุดในการปองกันเหตุภัยคุกคามทางไซเบอร คือ การลดจํานวนเหตุภัยคุกคามใหเหลือนอยที่สุด
เพื่อลดผลกระทบตอการดําเนินงานของบริษัท หากบริษัทมีมาตรการการรักษาความมั่นคงปลอดภัยที่ไม
เพียงพออาจทําใหเกิดเหตุภัยคุกคามมากจนเกินขีดความสามารถในการจัดการของบริษัท ซึ่งสงผลใหการ
รับมือและตอบสนองกับเหตุภัยคุกคามที่เกิดขึ้นลาชาและไมมีประสิทธิภาพ อาจสงผลกระทบทางธุรกิจที่
รุนแรงตอบริษัทได
34
34
17
3/17/2022
1. การเตรียมความพรอม (ตอ)
การปองกันเหตุภยั คุกคามทางไซเบอร ควรครอบคลุมอยางนอยในเรื่องดังตอไปนี้
(1) การประเมินความเสี่ยงภัยคุกคามทางไซเบอร
• บริษัทควรทําการประเมินความเสี่ยง เพื่อพิจารณาวามีความเสี่ยงใดบางที่เกี่ยวของกับภัยคุกคามทางไซเบอรหรือชองโหวดานความ
มั่นคงปลอดภัย โดยควรระบุเหตุการณภัยคุกคามที่อาจเกิดขึ้นและสงผลกระทบหรือสรางความเสียหายตอระบบงาน ขอมูลสําคัญ และ
การดําเนินงานขององคกร
• ทั้งนี้ ควรประเมินความเสี่ยงรวมทั้งผลกระทบที่เกิดขึ้นจริงในระหวางการเกิดเหตุอยางนอยปละ 1 ครั้ง เพื่อประเมินผลกระทบและ
มูลคาความเสียหายที่แทจริง และเปนขอมูลประกอบการพิจารณาทบทวนหรือปรับปรุงแนวทางในการรับมือและการตอบสนองตอภัย
คุกคามทางไซเบอรตอไป
(2) การกําหนดแนวทางรักษาความมั่นคงปลอดภัยของระบบแมขาย (Host Security)
• ระบบแมขาย (Host) ควรกําหนดใหมีการรักษาความมั่นคงปลอดภัยที่เหมาะสมและมีมาตรฐาน รวมทั้งการปดชองโหวและทําการ
แพตชระบบอยางเหมาะสม นอกจากนี้ ควรมีการกําหนดสิทธิ์ของผูใชงานโดยใหสิทธิเทาที่จําเปนตอการปฏิบัติงานที่ไดรับอนุญาต
เทานั้น รวมทั้งระบบแมขายควรบันทึกเหตุการณที่เกี่ยวของกับความมั่นคงปลอดภัยที่สําคัญของบริษัท และไดรับการติดตามตรวจสอบ
อยางสม่ําเสมอ
(3) การรักษาความปลอดภัยของเครือขาย (Network Security)
• ระบบการรักษาความมั่นคงปลอดภัยของเครือขายควรตั้งคาใหปฏิเสธการเขาถึงของกิจกรรมทั้งหมดที่ไมไดรับอนุญาต รวมทั้งอุปกรณ
เครือขายทั้งหมดของบริษัทที่เชื่อมตอกับเครือขายภายนอก
35
35
36
36
18
3/17/2022
2. การตรวจจับและวิเคราะหภัยคุกคามทางไซเบอร
การรวบรวมขอมูลและตรวจวิเคราะหจากระบบงานที่มีชองโหวจากการโจมตีทางไซเบอรภายในองคกร ควรมี
เครื่องมือในการชี้วัดและเฝาระวังภัยคุกคามทางไซเบอรจากหลายแหลงที่มา โดยอยางนอยตองมีการจัดเก็บและ
สอบทานบันทึกการเขาถึงระบบ (Access Log) และบันทึกการดําเนินงาน (Activity Log) และทําการแจงเตือน
แกผูเกี่ยวของเมื่อพบเหตุการณภยั คุกคามทางไซเบอร
37
37
2. การตรวจจับและวิเคราะหภัยคุกคามทางไซเบอร (ตอ)
(1) รูปแบบของการโจมตีหรือภัยคุกคามที่มีโอกาสเกิดขึ้นหรือพบเห็นบอยครั้ง
(1.1) การโจมตีหรือภัยคุกคามที่เกิดจากสื่อบันทึกขอมูลที่สามารถถอดหรือเคลื่อนยายได หรืออุปกรณตอพวง เชน มัลแวรที่
แพรกระจายเขาระบบงานจากแฟลชไดรฟ USB ที่ติดมัลแวร
(1.2) การโจมตีเพื่อทําใหระบบประสิทธิภาพลดลง เชน การโจมตีแบบ DDoS เพื่อทําใหไมสามารถใหบริการได เปนตน
(1.3) การโจมตีผานเว็บไซตหรือระบบงานบนเว็บไซต เชน การโจมตีดวยวิธี Cross Site Scripting เพื่อขโมยขอมูล หรือ การเปลี่ยน
เสนทางไปยังเว็บไซตที่มีการโจมตีผานชองโหวของ Web Browser และติดตั้งมัลแวรไว และการโจมตีผานทางขอความหรือเอกสาร
แนบในอีเมล เปนตน
(1.4) การโจมตีที่เขาขายการปลอมแปลงตัวตน เชน การปลอมตัว (Spoofing) เพื่อหลอกลวงและควบคุมระบบ การโจมตีโดยการ
ปลอมตัวเปนบุคคลอื่นเพื่อแทรกสัญญาณการรับสงขอมูลระหวางผูใชงานระบบ (Man in the Middle Attack) และการโจมตีโดยสง
คําสั่ง SQL ผานทางระบบงานบนเว็บไซตเพื่อไปโจมตีระบบฐานขอมูล (SQL Injection) เปนตน
(1.5) ภัยคุกคามที่เกิดจากผูใชงานละเมิดนโยบายการใชงานระบบเทคโนโลยีสารสนเทศขององคกร เชน การติดตั้งโปรแกรมที่นําไปสู
การรั่วไหลขอมูลสําคัญของบริษัท หรือผูใชงานทํากิจกรรมที่ผิดกฎหมายผานระบบงานเทคโนโลยีสารสนเทศของบริษัท เปนตน
(1.6) อุปกรณคอมพิวเตอรหรือสื่อตางๆ สูญหาย เชน เครื่องโนตบุค แทบเล็ต โทรศัพทมือถือ หรือสิ่งที่ใชยืนยันตัวตนซึ่งเปน
ทรัพยสินของบริษัทที่สูญหายหรือถูกขโมย
38
38
19
3/17/2022
2. การตรวจจับและวิเคราะหภัยคุกคามทางไซเบอร (ตอ)
(2) สัญญาณการเกิดเหตุภัยคุกคาม สามารถติดตามไดจากชองทางอยางนอยดังตอไปนี้
(2.1) สัญญาณแจงเตือนเหตุภัยคุกคามทางไซเบอร สามารถตรวจสอบไดจากระบบดังตอไปนี้
• ระบบตรวจจับและปองกันการบุกรุก (Intrusion Detection and Prevention Systems: IDPS) ใชในการระบุเหตุการณที่นาสงสัยวา
อาจเปนภัยคุกคามและบันทึกขอมูลทีเ่ กีย่ วของ รวมถึงวันที่และเวลาทีต่ รวจพบการโจมตี ประเภทของการโจมตี ที่อยู IP ตนทางและ
ปลายทาง และชื่อผูใชงาน โดยสวนใหญระบบ IDPS จะระบุกจิ กรรมทีเ่ ปนอันตรายโดยใชลักษณะเฉพาะของการโจมตี (attack
signature) ดังนั้น ขอมูลลักษณะเฉพาะของการโจมตีจะตองไดรับการอัพเดตอยางสม่ําเสมอ เพื่อใหสามารถตรวจพบการโจมตีรูปแบบ
ใหมได ทั้งนี้ ระบบ IDPS สามารถเกิดการแจงเตือนที่ผดิ พลาดได (false positive) โดยแจงวามีกจิ กรรมที่เปนอันตรายกําลังเกิดขึ้น แตใน
ความจริงยังไมเกิด ดังนั้น นักวิเคราะหระบบจึงควรตรวจสอบขอมูลแจงเตือนจาก IDPS ดวยตนเอง และทบทวนรายละเอียดหรือรวมรวม
ขอมูลที่เกี่ยวของจากแหลงขอมูลอื่นๆ ประกอบการวิเคราะห
• ระบบบริหารจัดการขอมูลและวิเคราะหเหตุการณดานความมั่นคงปลอดภัย (SIEM) ชวยในการตรวจจับและทําการแจงเตือนจากการ
วิเคราะหที่ไดจากขอมูลบันทึกเหตุการณ (Log data)
• ซอฟแวรปองกันไวรัส (Antivirus Software) เพื่อปองกันและตรวจจับไวรัสหรือมัลแวรในรูปแบบตางๆ แลวแจงเตือนและปองกันไมใหเกิด
การแพรกระจายที่ระบบแมขา ย รวมทั้งเพื่อใหระบบทํางานไดอยางมีประสิทธิภาพในการปองกันควรมีการอัพเดตลักษณะเฉพาะของการ
โจมตีอยูเสมอ
• ซอฟแวรตรวจสอบความถูกตองของไฟลเพื่อตรวจสอบการเปลี่ยนแปลง หรือการแกไขที่เกิดขึ้นกับไฟลที่มีความสําคัญในระหวางเกิดเหตุ
ภัยคุกคาม (File Integrity Checking Software)
• การใชบริการเฝาระวังภัยคุกคามจากผูใ หบริการภายนอก (Third-Party Monitoring Services)
39
39
2. การตรวจจับและวิเคราะหภัยคุกคามทางไซเบอร (ตอ)
(2.2) ขอมูลบันทึกเหตุการณ ควรจัดเก็บขอมูลดังตอไปนี้เปนอยางนอย
• ขอมูลบันทึกเหตุการณของระบบปฏิบัตกิ าร การบริการ และแอพพลิเคชั่น (Operating System, Service and Application Logs)
• ขอมูลบันทึกเหตุการณของอุปกรณเครือขาย (Network Device Logs)
• ขอมูลบันทึกการเคลื่อนไหวของขอมูลในเครือขาย (Network Flow Logs)
40
40
20
3/17/2022
2. การตรวจจับและวิเคราะหภัยคุกคามทางไซเบอร (ตอ)
(3) การวิเคราะหเหตุการณภัยคุกคามทางไซเบอร ควรครอบคลุมอยางนอยดังตอไปนี้
(3.1) การจัดทําขอมูลเครือขายและระบบ (Profile Network and System) เพื่อ ใหสามารถระบุการเปลี่ยนแปลงที่เกิดขึ้น
จากการเขาถึงหรือใชงานเครือขายและระบบงานจากปกติได เชน การวัดปริมาณการใชงาน bandwidth ของเครือขายและ
บันทึกขอมูลระดับการใชงานเฉลี่ยและระดับสูงสุด ในแตละชวงเวลาเพื่อตรวจสอบพฤติกรรมการใชงานที่ผิดปกติของเครือขาย
(3.2) การศึกษาและเขาใจพฤติกรรมตามปกติของระบบ เครือขาย และแอพพลิเคชั่นเพื่อชวยในการสังเกตพฤติกรรมที่ผิดปกติ
โดยการตรวจสอบบันทึกเหตุการณ และการแจงเตือนดานความมั่นคงปลอดภัย เพื่อใหมีความคุนเคยและจะชวยใหการสังเกต
เหตุการณและการแจงเตือนที่ผิดปกติไดเร็วและแมนยํามากยิ่งขึ้น
(3.3) การจัดทํานโยบายการเก็บรักษาบันทึกเหตุการณ (Log Retention Policy)
(3.4) การตรวจสอบความสัมพันธของเหตุการณภัยคุกคาม (Event Correlation) โดยการตรวจสอบขอมูลบันทึกเหตุการณของ
เครื่องแมขายเพื่อหาความเชื่อมโยง เพื่อนําประกอบการพิจารณาวามีเหตุภัยคุกคามเกิดขึ้นจริงหรือไม
(3.5) การตั้งเวลาเครื่องแมขายใหเปนมาตรฐานเดียวกัน
(3.6) การจัดทําเอกสาร หรือฐานขอมูล ที่ใชเพื่ออางอิงสําหรับการดําเนินการวิเคราะหขอมูลภัยคุกคาม
(3.7) การเปดใชงานโปรแกรมสําหรับดักจับภัยคุกคาม (Packet Sniffer) เพื่อบันทึกหรือเก็บขอมูลการจราจรภายในเครือขาย
ของบริษัทเพิ่มเติม
41
41
2. การตรวจจับและวิเคราะหภัยคุกคามทางไซเบอร (ตอ)
(4) การลงบันทึกขอมูลเหตุการณภัยคุกคามทางไซเบอร (Cyber Incident Documentation)
• การบันทึกขอมูลเหตุการณภยั คุกคาม จะชวยใหการรับมือและตอบสนองภัยคุกคามมีประสิทธิภาพและเปน
ระบบมากขึ้น หนวยงานควรบันทึกขอมูลเกี่ยวกับเหตุการณที่เกิดขึ้นตั้งแตการตรวจพบจนถึงการสิน้ สุดของ
เหตุการณภัยคุกคาม โดยการบันทึกขอมูลเกี่ยวกับสถานะของเหตุการณภยั คุกคามและขอมูลที่เกี่ยวของ
อาจจัดเก็บในโปรแกรมประยุกตหรือฐานขอมูล เชน ระบบติดตามปญหา (Issues Tracking System) เพื่อ
ประโยชนในการติดตามเหตุการณ ขั้นตอนการจัดการ และแกไขเหตุภัยคุกคามเพื่อใหมั่นใจไดวาเหตุการณภัย
คุกคามที่เกิดขึ้นไดรับการจัดการแกไขภายในระยะเวลาที่เหมาะสม
42
42
21
3/17/2022
43
43
44
44
22
3/17/2022
45
45
46
23
3/17/2022
47
47
3. การรับมือและการตอบสนองตอเหตุการณภัยคุกคามทางไซเบอร
48
48
24
3/17/2022
3. การรับมือและการตอบสนองตอเหตุการณภัยคุกคามทางไซเบอร (ตอ)
(1) กําหนดแนวทางการควบคุมภัยคุกคามและจํากัดความเสียหายที่เกิดขึ้นจากเหตุการณภัยคุกคามทางไซเบอร
ซึ่งจะมีความแตกตางกันไปขึ้นกับลักษณะ ประเภทของภัยคุกคาม ระบบงานหรือบริการที่ไดรับผลกระทบ ระยะเวลา
และทรัพยากรที่จําเปนตอการควบคุมความเสียหาย
เกณฑประกอบการพิจารณากําหนดแนวทางการควบคุมภัยคุกคามและจํากัดความเสียหาย ควรพิจารณาอยางนอยใน
เรื่องดังตอไปนี้
• ความเสียหายที่อาจเกิดขึ้นและการโจรกรรมขอมูล
• ความจําเปนในการเก็บรักษาหลักฐาน
• ความพรอมใหบริการ เชน การเชื่อมตอเครือขาย การใหบริการกับบุคคลภายนอก เปนตน
• เวลาและทรัพยากรที่จําเปนในการดําเนินการ
• ประสิทธิผลของแนวทางในการควบคุมและจํากัดความเสียหาย เชน การควบคุมบางสวน หรือ การควบคุมทั้งหมด
• ระยะเวลาในการแกปญหา เชน การแกไขปญหาแบบฉุกเฉินภายใน 4 ชั่วโมง การแกไขปญหาแบบชั่วคราวภายใน 2 สัปดาห
และการแกไขปญหาแบบถาวร เปนตน
49
49
3. การรับมือและการตอบสนองตอเหตุการณภัยคุกคามทางไซเบอร (ตอ)
• นอกจากนี้ บริษัทควรเก็บรวบรวมหลักฐานที่เกิดขึ้นระหวางเกิดเหตุการณภยั คุกคาม เพื่อใชในการแกไขปญหาและ
จัดการเหตุภัยคุกคาม รวมทั้งเพื่อใชในกระบวนการทางกฎหมายหากจําเปน บริษัทควรจัดทําเอกสารรวบรวม
หลักฐานทั้งหมดที่ไดถูกบุกรุกโจมตี รวมถึงระบุขั้นตอนการเก็บรักษาหลักฐานที่เปนไปตามกฎหมายและระเบียบ
ขอบังคับ เพื่อใหสามารถใชเปนพยานหลักฐานไดในชั้นศาล นอกจากนี้ ควรมีการบันทึกหลักฐานทุกครั้งหากมีการ
ถายโอนหลักฐานจากบุคคลหนึ่งสูอีกคน และลงลายมือชื่อกํากับของแตละฝาย
• การจัดทําเอกสารรายละเอียดหลักฐานควรครอบคลุมอยางนอยดังนี้
• ขอมูลระบุพยานหลักฐาน เชน สถานที่ตั้ง หมายเลขซีเรียล (Serial Number)หมายเลขรุน (Model Number) ชื่อเครื่องแมขาย
ที่อยูสําหรับควบคุมการเขาใชงานสื่อกลาง (Media Access Control Addresses) และที่อยู IP ของคอมพิวเตอร เปนตน
• ชื่อ-สกุล และหมายเลขโทรศัพทของบุคคลที่เก็บรวบรวมหรือดูแลพยานหลักฐานในระหวางการสอบสวน
• วันที่และเวลาที่มีการดําเนินการกับพยานหลักฐานในแตละครั้ง
• สถานที่เก็บหลักฐาน
50
50
25
3/17/2022
3. การรับมือและการตอบสนองตอเหตุการณภัยคุกคามทางไซเบอร (ตอ)
(2) การกําจัดภัยคุกคามทางไซเบอร (Eradication)
บริษทั ควรกําจัดตนเหตุของเหตุการณที่เปนอันตรายตอเครือขาย ระบบ หรือแอพพลิเคชั่น รวมถึงการกําจัดไฟลที่เกี่ยวของกับ
การโจมตีและการปดชองโหวที่ถูกใชในการโจมตี ทั้งนี้ การกําจัดภัยคุกคามมีวิธีที่แตกตางกันโดยขึ้นกับประเภทของเหตุภัยคุกคาม
ตัวอยางของวิธีการกําจัดภัยคุกคาม ดังนี้
(2.1) การลบมัลแวร (Malware) คือ การกักกัน ลบ แทนที่ หรือกูคืนไฟลที่ติดมัลแวร ซึ่งโดยสวนใหญ หนวยงานจะตองกูคืนระบบสารสนเทศใหมโดย
การติดตั้งระบบปฏิบัตกิ าร ระบบงาน และขอมูลจากสื่อบันทึกขอมูลที่เชื่อถือได และอาจรวมถึงการอัพเดตขอมูลคุณลักษณะเฉพาะของโปรแกรม
ปองกันไวรัส (antivirus signature) ใหเปนปจจุบัน
(2.2) การแกไขหรือลดผลกระทบจากชองโหว การแกไขชองโหวสามารถทําไดดวยการติดตั้ง แพตช (Patch) รุนลาสุดของระบบปฏิบตั ิการและ
ระบบงาน เพื่อปองกันการใชงานชองโหวที่เปนชองทางการโจมตี ทั้งนี้ หากระบบสารสนเทศไมสามารถติดตัง้ แพตช ไดดวยเหตุผลทางเทคนิคหรือ
เหตุผลในการปฏิบัติงาน ใหลดผลกระทบจากชองโหวโดยปรับปรุงการตั้งคา (configuration) ของระบบสารสนเทศใหสามารถปองกันหรือจํากัดความ
เสียหายจากเครื่องแมขายที่ติดมัลแวร หากกรณียังไมมี patch ใหใชวิธีแกไขปญหาหรือลดผลกระทบชั่วคราว
(2.3) การปรับปรุงการควบคุมการเขาถึงผูใชงานและเครือขาย เชน การลบบัญชีผูใชงานหรือผูดูแลระบบทีถ่ ูกบุกรุก การปรับปรุงการควบคุมการ
เขาถึงเครือขาย เชน การตั้งคาของระบบตรวจจับและปองกันการบุกรุก (IDPS) ไฟรวอลล (firewall) เปนตน การปรับปรุงการกําหนดคาพื้นฐาน
(baseline configuration) และการลบกลไกการเขาถึงอืน่ ๆ ที่ถูกใชโดยผูโจมตี
51
51
3. การรับมือและการตอบสนองตอเหตุการณภัยคุกคามทางไซเบอร (ตอ)
52
52
26
3/17/2022
53
53
4. การดําเนินการหลังจากการรับมือภัยคุกคามและตอบสนองตอเหตุการณผิดปกติทางไซเบอร
4.1 การเรียนรูจากภัยคุกคาม (Lessons Learned)
• บริษทั ควรมีการเรียนรูจากเหตุภัยคุกคามที่เกิดขึ้น เพื่อนํามาปรับปรุงและพัฒนาแนวทางในการรับมือและตอบสนองตอภัย
คุกคามทางไซเบอร รวมทั้งจัดสรรทรัพยากรและเทคโนโลยีใหมีความพรอมตอการรับมือเหตุภยั คุกคามตอไปในอนาคต
นอกจากนี้ บริษัทควรจัดใหมีการประชุมของฝายหรือหนวยงานที่มีความเกี่ยวของกับเหตุการณภัยคุกคามทางไซเบอรที่เกิดขึ้น
โดยวัตถุประสงคของการประชุมเพื่อใหทุกหนวยงานที่เกี่ยวของไดมีการแลกเปลี่ยนขอมูล รวมทั้งทบทวนเหตุภัยคุกคาม และ
วิธีการรับมือและตอบสนองตอภัยคุกคามที่เกิดขึ้น
• ตัวอยางประเด็นคําถามที่บริษัทสามารถพิจารณาปรับใชประกอบการประชุมแลกเปลี่ยนขอมูลหลังจากการรับมือภัยคุกคาม
และตอบสนองตอเหตุการณผดิ ปกติทางไซเบอร เชน
• เหตุภัยคุกคามที่เกิดขึ้นคืออะไร เกิดขึ้นเมื่อเวลาใดบาง
• เจาหนาที่และฝายบริหารสามารถรับมือภัยคุกคามไดดีเพียงใด การดําเนินการเปนไปตามขั้นตอนการปฏิบัติงานที่กําหนดไวหรือไม
• ขอมูลอะไรบางที่จําเปนตองไดรับรายงานภายในระยะเวลาอันสั้น เพื่อเพิ่มประสิทธิภาพในการรับมือและตอบสนองตอเหตุการณ
• มีข้นั ตอนหรือการดําเนินการใดๆ ที่อาจเปนอุปสรรคหรือไมสอดคลองกับขั้นตอนของการฟนฟูระบบหรือไม
• เจาหนาที่และฝายบริหาร มีแนวทางดําเนินการเพิ่มเติมหรือแตกตางไปจากเดิม หากเกิดภัยคุกคามที่มีรูปแบบคลายคลึงกันเกิดขึ้นในครั้งตอไป
• การแลกเปลี่ยนขอมูลกับหนวยงานอื่นๆ สามารถปรับปรุงใหดีขึ้นไดอยางไร
• แนวทางการดําเนินการแกไข (corrective action) ที่สามารถเพิ่มเติมเพื่อปองกันภัยคุกคามที่คลายคลึงกันในอนาคตได
• สัญญาณอะไรบางที่สามารถนํามาใชเพื่อตรวจจับภัยคุกคามที่มีลักษณะคลายคลึงกันซึ่งอาจเกิดขึ้นในอนาคต
• เครื่องมือหรือทรัพยากรที่มีความจําเปนตองไดรับการจัดสรรเพิ่มเติม เพื่อใชดําเนินการในการตรวจจับ วิเคราะห และบรรเทาเหตุภัยคุกคามที่อาจเกิดขึ้นในอนาคต
54
54
27
3/17/2022
4. การดําเนินการหลังจากการรับมือภัยคุกคามและตอบสนองตอเหตุการณผิดปกติทางไซเบอร (ตอ)
4.2 การวัดผลและปรับปรุงการปฏิบตั ิงานในการรับมือภัยคุกคามและตอบสนองตอเหตุการณผิดปกติทางไซเบอร
(1) จํานวนเหตุการณภัยคุกคามทางไซเบอรที่รับมือตอเดือน/ไตรมาส/ป
(2) ระยะเวลาในการรับมือและตอบสนองตอเหตุการณ สามารถวัดไดหลายวิธี เชน
1) ระยะเวลาทั้งหมดที่ใชในการรับมือและตอบสนอง
2) ระยะเวลาที่ใชในการดําเนินการในแตละชวงของกระบวนการรับมือและตอบสนองในแตละขั้นตอน
3) ระยะเวลาที่ทีมรับมือฯ ใชในการตอบสนองหลังจากที่ไดรับรายงานภัยคุกคาม 4) ระยะเวลาที่ทีมรับมือฯ ใชในการรายงานภัยคุกคามตอผูบริหาร หรือหนวยงาน
ภายนอกที่เกี่ยวของ เชน TI-CERT เปนตน
(3) การประเมินกระบวนการรับมือในแตละเหตุการณ (Objective Assessment) ตัวอยางของการประเมิน เชน
• การตรวจทานบันทึกเหตุการณ (log) แบบฟอรม รายงาน และเอกสารอื่นๆ ที่เกี่ยวของกับภัยคุกคาม เพื่อใหการปฏิบัติงานเปนไปตามขั้นตอนการรับมือภัยคุกคามทางไซเบอรที่กําหนดไว
• การระบุวาสัญญาณการเกิดเหตุภัยคุกคามอะไรบางที่บันทึกไว เพื่อพิจารณาวาการบันทึกเหตุการณและระบุเหตุภัยคุกคามมีประสิทธิภาพเพียงใด
• การพิจารณาวาภัยคุกคามที่เกิดขึ้นกอใหเกิดความเสียหายกอนที่จะตรวจพบหรือไม
• การพิจารณาวามีการระบุสาเหตุที่แทจริงของภัยคุกคามไวหรือไม และการระบุชองทางการโจมตี ชองโหวที่เปดเผย และลักษณะของระบบ เครือขาย และแอพพลิเคชั่นที่เปนถูกโจมตี
• การพิจารณาวาภัยคุกคามเปนการเกิดขึ้นอีกครั้งของภัยคุกคามกอนหนาหรือไม
• การประเมินความเสียหายทางการเงินจากภัยคุกคามที่เกิดขึ้น เชน ขอมูลและกระบวนการทางธุรกิจที่สําคัญที่ไดรับผลกระทบจากภัยคุกคาม
(4) การประเมินประสิทธิภาพของทีมรับมือและตอบสนองฯ (Subjective Assessment) บริษัทอาจกําหนดใหมีการประเมินผลการปฏิบัติงานของ
ทีมรับมือและตอบสนองฯ ทั้งในรูปแบบรายบุคคล หรือ ทั้งทีม รวมทั้งอาจใหเจาของระบบงานที่ระบบถูกโจมตีเปนผูทําการประเมินการปฏิบัติหนาที่
ของทีมรับมือและตอบสนองฯ ก็ได เพื่อประกอบการพิจารณาวาประสิทธิภาพของการรับมือใหผลลัพธเปนที่นาพอใจหรือไม
55
55
Cybersecurity Incident & Vulnerability Response Playbooks Operational Procedures for Planning and
Conducting Cybersecurity Incident and Vulnerability Response Activities in FCEB Information Systems
56
56
28
3/17/2022
57
57
Communications Considerations
58
58
29
3/17/2022
59
59
60
60
30
3/17/2022
61
61
62
62
31
3/17/2022
63
63
64
64
32
3/17/2022
65
65
ขอขอบพระคุ ณ ทุ ก ท า น
ที่ ร ว มกิ จ กรรม
66
66
33